Назначение и область применения

Межсетевой экран ССПТ-4А1 представляет собой программно-аппаратное средство, реализующее функции фильтрации информационных потоков в соответствии с заданной политикой доступа, а также с использованием глубокого контроля виртуальных соединений. Цель использования ССПТ-4А1: обеспечение защиты информации ограниченного доступа. ССПТ-4А1 обеспечивает нейтрализацию следующих угроз безопасности:

• несанкционированный доступ к информации, содержащейся в информационной системе;
• отказ в обслуживании информационной системы или ее отдельных компонентов;
• несанкционированная передача информации из информационной системы во внешние информационно-телекоммуникационные сети;
• несанкционированное воздействие на межсетевой экран, целью которого является нарушение его функционирования, преодоление или обход его функций безопасности;
• несанкционированное получение сведений о сети информационной системы.

Основные области применения:

• физическое и логическое сегментирование внутренней сети информационной системы согласно политике доступа без необходимости реконфигурации сетевой инфраструктуры;
• защита внешнего периметра информационной системы с возможностью применения технологии NAT, выделения демилитаризованного сегмента и защиты от DoS-атак;
• аудит безопасности сети с протоколированием пакетов, виртуальных соединений и событий безопасности;
• создание кластерных и отказоустойчивых решений.

Базовые режимы функционирования:

• режим управления сессиями (stateful inspection), в котором обеспечивается контроль виртуальных соединений и проверка каждого пакета на соответствие текущему контексту сессии;
• режим трансляции сетевых адресов (NAT), в котором обеспечивается выделение внутреннего сегмента с приватной адресацией и преобразование адресной информации при передаче пакетов во внешнюю сеть и обратно;
• режим пакетной фильтрации, в котором производится обработка каждого входящего пакета независимо от контекста виртуального соединения;
• приоритизация обработки пакетов подсистемой фильтрации с выделением трех уровней приоритета;
• посредничество (proxy) в обработке HTTP-трафика с возможностью фильтрации по адресам сайтов, а также удаления мобильного кода из просматриваемых WEB-страниц.

Скрытная фильтрация

Эффективность применения межсетевого экрана ССПТ-4А1 достигается за счет использования технологии скрытной фильтрации (режим «stealth») – инновационного решения (патенты РФ N 2214623, US7281129 B2), позволяющего скрывать для средств удаленного сетевого мониторинга место расположения ССПТ-4А1. Это решение повышает надежность функционирования межсетевого экрана, позволяет быстро и эффективно внедрять межсетевой экран в существующую информационную систему, а также наращивать производительность системы информационной безопасности.

Функциональные характеристики и режимы работы

Канальный уровень

Обеспечивается фильтрация кадров по следующим критериям:

• тип кадра Ethernet (Ethernet II, IEEE 802.3/LLC, IEEE 802.3 Raw, IEEE 802.3-SNAP);
• МАС-адреса отправителя/получателя;
• код протокола вышележащего уровня;
• идентификатор VLAN для кадров IEEE 802.1p/Q;

Сетевой уровень

Обеспечивается фильтрация пакетов по следующим критериям:

• тип протокола (IP версии 4 и 6);
• IPv4/IPv6 адреса отправителя/получателя;
• код протокола вышележащего уровня (TCP, UDP, ICMP, OSPF, IGMP и другие);
• поля фрагментации, TOS, TTL, длина пакета;
• дополнительные заголовки, поле класса трафика для протокола IPv6;
• тип/код служебных сообщений протоколов ICMPv4 и ICMPv6

Транспортный уровень

Обеспечивается фильтрация сегментов по следующим критериям:

• TCP: по портам источника/приемника, флагам управления потоком;
• UDP: по портам источника/приемника.

Контроль виртуальных соединений (управление сессиями)

В режиме управления сессиями ССПТ-4А1 реализует глубокий контроль сессий (deep session inspection), выявляя в общем сетевом трафике виртуальные соединения (сессии) между парами адресатов клиент–сервер и обеспечивая контроль корректности каждого пакета в пределах каждого виртуального соединения. Дополнительно к возможностям режима пакетной фильтрации в режиме управления сессиями обеспечивается фильтрация на прикладном уровне по следующим признакам

Обеспечивается контроль состояний виртуальных соединений:

• TCP, включая:
  • контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
  • контроль корректности переходов между состояниями виртуального соединения в соответствии с флагами управления;
  • контроль корректности номеров последовательностей ТСР-сегментов;
• UDP, включая контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
• ICMP, включая контроль неизменности параметров (адреса, интерфейсы, идентификационная информация ICMP) отправителя и получателя на протяжении всей сессии.
• traceroute/tracepath/tracert, включая контроль обмена сообщениями протоколов UDP/TCP/ICMP;
• других протоколов, включая контроль неизменности параметров (адреса, интерфейсы) отправителя и получателя на протяжении всей сессии.

Прикладной уровень

Управление протоколами обмена и доступа к информационным ресурсам:

• HTTP:фильтрация по адресам и фрагментам URL, по типу мобильного кода, по именам и фрагментам имен передаваемых файлов, по методу HTTP, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
• SMTP: фильтрация по адреса электронной почты отправителя и получателя, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
• FTP: по командам протокола, по именам и фрагментам имен передаваемых файлов, по данным авторизации, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
• DNS: фильтрация по запрашиваемым доменным именам, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
• протоколы распределенных СУБД: фильтрация по SQL запросам или фрагментам, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
• для других прикладных протоколов: фильтрация по любым ASCII- и бинарным последовательностям передаваемых прикладных данных.

Режим трансляции адресов (NAT)

В режиме NAT на фильтрующие интерфейсы ССПТ-4А1 назначаются IP-адреса, при этом часть интерфейсов может остаться в безадресном режиме. Основные возможности данного режима:

• динамический ARP;
• статическая маршрутизация;
• возможность организации нескольких контейнеров NAT, функционирующих независимо;
• агрегирование нескольких физических интерфейсов в один логический интерфейс;
• управляемая трансляция адресной информации при передаче во внешнюю сеть;
• переадресация запросов из внешних сетей к серверам во внутренних сетях.

Сохраняются все возможности режима пакетной фильтрации и режима управления сессиями.

Дополнительные возможности

• поддержка справочника сетевых объектов и возможность оперирования ими в правилах фильтрации;
• выявление и блокирование ряда flood-атак (UDP, ICMP, SYN): ССПТ-4А1 анализирует интенсивность трафика и блокирует потоки, скорость обмена которых превысила заданный порог. Блокировка осуществляется созданием динамического запрещающего правила фильтрации;
• аутентификация сетевых пользователей обеспечивает контроль доступа к сетевым ресурсам на основе логина и пароля пользователей, работающих через ССПТ-4А1;
• отказоустойчивая кластеризация на основе двух ССПТ-4А1, работающих в режиме горячего резервирования (одно устройство активно, второе в горячем резерве) или балансировки нагрузки (оба устройства активны).
• контроль целостности программных и конфигурационных файлов;
• приоритизация пакетов: возможность назначения трёх уровней приоритета, влияющих на очередность и скорость обработки трафика в подсистеме фильтрации;
• зеркалирование трафика на заданный фильтрующий интерфейс для мониторинга трафика или подключения система обнаружения вторжений сторонних производителей;
• выгрузка журналов и отдельных записей регистрации по протоколам FTP и SYSlog для хранения значимой зарегистрированной информации на выделенных серверах;
• защита канала управления с использованием алгоритмов шифрования на основе OpenSSL;
• аутентификация и авторизация администраторов и сетевых пользователей с использованием протокола RADIUS.

Применяемые технологии

Многопоточная обработка трафика (multithreading): подсистема фильтрации ССПТ-4А1 включает в себя несколько одновременно функционирующих потоков, способных параллельно обрабатывать трафик. За счет этого достигаются повышенные характеристики производительности.

Комбинация пакетной фильтрации и глубокого контроля сессий (deep session inspection): каждая новая сессия проверяется на предмет соответствия политике доступа, после чего каждый последующий пакет сессии контролируется в соответствии с текущим состоянием сессии. Принимаются во внимание поля заголовков протоколов канального, сетевого, транспортного и прикладного уровней.

Скрытная фильтрация (stealth filtering): отсутствие адресов на фильтрующих интерфейсах, а также сохранение в неизменном виде пакетов, передаваемых через устройство (при выключенном режиме NAT).

Реестр исполнений ССПТ-4А1

Ценообразование

Цена на изделие «Межсетевой экран ССПТ-4А1» ФРПС.466259.001 зависит от конструктивного исполнения и подлежит согласованию на этапе подписания договора

Преимущества:

• Сертификат соответствия требованиям ФСБ №СФ/СЗИ-0514
• Техническая поддержка, консультации по настройке и функционированию межсетевых экранов
• Курсы по обучению специалистов
• 2 года гарантии на устройства, возможность расширенной гарантии
• Разработка модулей фильтрации, необходимых для Заказчика
• Простая установка в любом сегменте сети без изменения адресного плана
• Медные и оптические интерфейсы
• Графический и командный интерфейс
• Возможность удаленного управления устройствами через доверенный канал
• Система централизованного управления, позволяющая обслуживать до 1000 устройств одновременно

Срок поставки до 90 рабочих дней.