ПАК ViPNet xFirewall 5
Общие сведения
Программно-аппаратный комплекс (ПАК) ViPNet xFirewall 5 – это криптошлюз – межсетевой экран нового поколения (NGFW), сочетающий функции классического межсетевого экрана: анализ состояния сессии, проксирование, трансляция адресов; с расширенными функциями анализа и фильтрации трафика такими как: глубокая инспекция протоколов, выявление и предотвращение компьютерных атак, инспекция SSL/TLS-трафика, взаимодействие с антивирусными решениями, DLP и песочницами.
Варианты исполнения
| Производительность | ||||
Исполнение | xF100 | xF1000 C | xF1000 D | xF5000 |
| Аппаратная платформа | xF100 N1 | xF1000 Q7 | xF1000 Q8 | xF5000 Q2 |
| МЭ, 1518 байт UDP (Мбит/сек)2 | 800 | 7 600 | 7 600 | 45 000 |
| МЭ (пакетов/сек) | 90 000 | 2 200 000 | 2 200 000 | 4 000 000 |
| МЭ, TCP (Мбит/сек) | 720 | 11 000 | 11 000 | 30 000 |
| Application Control МЭ+DPI3 (Мбит/сек) | 190 | 2 600 | 2 600 | 7 800 |
| NGFW Throughput4 (Мбит/сек) | 13 | 409 | 409 | 1 531 |
| SSL Inspection5 (Мбит/с) | идут испытания | идут испытания | идут испытания | 8 400 |
| Соединений в секунду | 4 000 | 40 000 | 40 000 | 85 000 |
| Кол-во одновременно обслуживаемых соединений | 148 500 | 4 990 000 | 4 990 000 | 9 900 000 |
| Аппаратные характеристики | ||||
Наименование аппаратной платформы | xF100 N1 | xF1000 Q7 | xF1000 Q8 | xF5000 Q2 |
| Форм-фактор | ПАК (MiniPC) | ПАК (19’ Rack 1U) | ПАК (19’ Rack 1U) | ПАК (19’ Rack 1U) |
| Размеры (ШхВхГ) | 170 х 41,5 х 138 мм | 430 x 43,4 x 380 мм | 444 х 44 х 383 мм | 444 х 44 х 383 мм |
| Масса | 1 кг | 7,2 кг | 7,2 кг | 7,9 кг |
| Источник питания | DC 24В; 2,5А | Встроенный БП, 110-240 В, 250 Вт | Два встроенных БП с функцией «горячей» замены, 110-240 В, 300 Вт | Два встроенных БП с функцией «горячей» замены, 110-240 В, 300 Вт |
| Порты ввода/вывода | 1x VGA, 2x USB | 1x VGA, 1x COM DB9, 6x USB | 1x VGA, 1x COM DB9, 6x USB | 1x VGA, 1x COM DB9, 6x USB |
| Сетевые порты | 4 x RJ45 1 Гбит/с, 1 x SFP 1 Гбит/с | 8 x RJ45 10/100/1000 Мбит/с | 8 x RJ45 10/100/1000 Мбит/с, 4 x SFP 10/100/1000 Мбит/с | 4 x RJ45 1 Гбит/с, 8 x SFP+10 Гбит/сек |
- Гранулированная политика безопасности, которая строится в терминах «Пользователь» — «Приложение» — разрешить/запретить
- Обеспечение безопасного использования персональных устройств в рабочих целях с полным соблюдением политик безопасности компании – BYOD (Bring Your Own Device)
- Выявление и блокировка более 5000 прикладных протоколов и приложений: игры, социальные сети, torrent и т.д.
- Снижение расходов на потребление интернет-трафика
- Минимизация поверхности атак
- Обнаружение и нейтрализация сетевых вторжений с использованием встроенной системы предотвращения вторжений (IPS)
- Инспекция SSL/TLS-трафика средствами глубокой инспекции протоколов, системой предотвращения атак, антивирусными решениями и контентной фильтрацией
Сертификат соответствия ФСТЭК России № 4501 удостоверяет, что программно-аппаратный комплекс ViPNet xFirewall 5 является программно-аппаратным средством защиты от несанкционированного доступа к информации, реализующим функции межсетевого экрана и системы обнаружения вторжений, и соответствует требованиям по безопасности информации, установленным в документах «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020)» — по 4 уровню доверия, «Требования к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты ИТ.МЭ.А4.ПЗ» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа Б четвертого класса защиты ИТ.МЭ.Б4.ПЗ» (ФСТЭК России, 2016), «Требования к системам обнаружения вторжений» (ФСТЭК России, 2011), «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ» (ФСТЭК России, 2012) и задания по безопасности ФРКЕ.465614.002Д1 при выполнении указаний по эксплуатации, приведенных в формуляре ФРКЕ.465614.002ФО.
Срок действия — 28.12.2026
Декларация Евразийского экономического союза (ЕАЭС) № ЕАЭС N RU Д-RU.РА05.В.66119/22 о соответствии требованиям ТР ТС 004/2011 «О безопасности низковольтного оборудования», ТР ТС 020/2011 «Электромагнитная совместимость технических средств» и ТР ЕАЭС 037/2016 «Об ограничении применения опасных веществ в изделиях электротехники и радиоэлектроники». Декларация о соответствии принята на основании протокола 001/G-28/07/22, выданного 28.07.2022 испытательной лабораторией «Испытательный центр диагностики электротехнических изделий и машин ООО «Вега» (аттестат аккредитации РОСС RU.31578.04ОЛН0.ИЛ08)».
Срок действия — 03.08.2027
Межсетевой экран
- Межсетевой экран с контролем состояния сессий
- Трансляция адресов NAT/PAT
- Защита от атак Antispoofing
Межсетевое экранирование уровня приложений (DPI – deep packet inspection) — механизм глубокой инспекции протоколов. DPI использует различные техники идентификации трафика пользовательских приложений: на основе портов и протоколов, сигнатурный метод, эвристический метод. Эти подходы позволяют выявить даже те приложения, трафик которых шифруется или маскируется.
Выявление и блокировка более 2000 прикладных протоколов и приложений среди которых:
- Игры
- Социальные сети
- Сервисы мгновенных сообщений
- Видео трансляции
- Сервисы P2P, torrent
- Хостинг файлов
- Туннелирование, VPN
- Удаленное управление
- Промышленные протоколы
- Сигнатурный метод анализа трафика.
- Эвристический метод анализа трафика.
- Регулярно обновляемая база правил.
При обнаружении характерных признаков вторжения (срабатывании правила IPS) возможны следующие действия с IP-пакетом:
- IP-пакет блокируется.
- IP-пакет пропускается с оповещением для дальнейшей обработки.
- Классификация SSL/TLS-трафика, выявление и выборочная фильтрация трафика приложений;
- Исследование содержимого SSL/TLS сессий средствами DPI и IPS;
- URL- и контент-фильтрация HTTP(S)-трафика;
- Выявление и блокировка вирусов и вредоносного ПО в HTTP(S)-трафике.
Инспекция SSL/TLS подразумевает два шага:
- SSL decryption – расшифровывание SSL-трафика, проходящего через межсетевой экран
- Анализ содержимого SSL-трафика
Расшифровывание SSL-трафика в ViPNet xFirewall реализовано по принципу проксирования – forward proxy decryption.
- Microsoft AD.
- Captive Portal с LDAP каталогом.
- Развитая статическая маршрутизация.
- Динамическая маршрутизация.
- Поддержка VLAN (dot1q).
- Агрегирование каналов связи (bonding (LACP), EtherChannel).
- Поддержка QoS, ToS, DiffServ.
- DNS-сервер.
- NTP-сервер.
- DHCP-сервер.
- DHCP –Relay.
- Кластер горячего резервирования – failover.
- Поддержка ИБП (UPS).
- Защита периметра сети.
- Разграничение доступа внутри сети.
- Организация DMZ.
- Контроль доступа к ресурсам Интернет.
- Комплексная защита от сетевых угроз.
Другие решения
