ViPNet Coordinator VA 5
Общие сведения
Криптошлюз в виртуальном исполнении, реализующий концепцию NGFW (Next-Generation Firewall — межсетевой экран нового поколения), реализует следующие функции безопасности:
- криптографический шлюз, обеспечивающий построение VPN на сетевом (L3) и канальном (L2) уровнях модели OSI;
- межсетевой экран SPI (Stateful Packet Inspection);
- межсетевой экран уровня приложений DPI (Deep Packet Inspection);
- средство обнаружения и предотвращения вторжений (IDS/IPS);
- прокси-сервер;
- кластер высокой доступности (HA-cluster).
Спецификация
| Производительность1 | |||||
| Тип лицензии | VA100 | VA500 | VA1000 | VA2000 | VA5000 |
| МЭ UDP 1518 байт (Мбит/с) | 380 | 1 500 | 2 500 | 5 000 | 9 500 |
| МЭ UDP 64 байт (пакетов/с) | 450 000 | 900 000 | 1 750 000 | 2 100 000 | 3 200 000 |
| МЭ TCP (Мбит/с) | 360 | 1 000 | 2 500 | 4 500 | 9 500 |
| Application Control | 300 | 800 | 1 800 | 2 200 | 2 800 |
| (МЭ+DPI)2 (Мбит/с) | |||||
| NGFW Throughput | 95 | 250 | 550 | 650 | 925 |
| (МЭ + DPI + IPS)3 (Мбит/с) | |||||
| Количество обслуживаемых соединений | 150 000 | 500 000 | 2 500 000 | 5 000 000 | 10 000 000 |
| L3 VPN (Мбит/с) | 185 | 600 | 1 600 | 4 000 | 5 400 |
| L2 VPN (Мбит/с) | 165 | 580 | 1 600 | 4 000 | 5 400 |
| Рекомендуемое число связей | 500 | 2 000 | 10 000 | 15 000 | 16 000 |
| с ViPNet-узлами | |||||
| Рекомендуемое число зарегистрированных ViPNet-клиентов | 100 | 500 | 1 000 | 5 000 | 6 000 |
| Системные требования | |||||
| Тип лицензии | VA100 | VA500 | VA1000 | VA2000 | VA5000 |
| Количество ядер CPU, | 02.апр | 04.апр | 06.авг | 08.дек | дек.16 |
| мин./рек. (шт) | |||||
| Оперативная память, | 04.апр | 04.авг | 06.дек | авг.16 | дек.32 |
| мин./рек. (Гб) | |||||
| Требования к дисковой подсистеме (Гб) | 80 | 80 | 80 | 80 | 80 |
| Сетевые интерфейсы | 1 Гбит/с | 1 Гбит/с | 1/10 Гбит/с | 1/10 Гбит/с | 1/10 Гбит/с |
| Поддерживаемые среды виртуализации4 | KVM, QEMU-KVM и Libvirt | ||||
| VMware ESXi 6.7/7.0 | |||||
| VMware Workstation Pro 15.x / 16.x | |||||
| Microsoft Hyper-V Server 2016/2019 | |||||
| Oracle VM Server 3.4 | |||||
| Oracle VM VirtualBox 6.x | |||||
1 Условия измерений: VMware ESX 6.7, CPU Xeon E-2278GE, сетевые адаптеры работают в режиме passthrough (DirectPath I/O). Производительность зависит от активированных функций, характеристик обрабатываемого сетевого трафика: протоколов, размера пакетов, количества сессий. Производительность может меняться вследствие изменений, вносимых в новые версии программного обеспечения.
2 Результаты получены для трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.
3 Результаты получены для активированных функций МЭ, DPI, IPS с использованием актуальной на момент теста базы правил IPS, при анализе трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH
4 Работа на других платформах виртуализации возможна, но не гарантируется.
Сертификаты
Возможности
Сценарии использования
Преимущества
Сертификаты
Сертификация в ФСБ России
В процессе сертификации на соответствие требованиям: СКЗИ класса КС1
Сертификация во ФСТЭК России
В процессе сертификации на соответствие требованиям:
- МЭ типа Б четвертого класса (ИТ.МЭ.А4.П3)
- СОВ уровня сети четвертого класса защиты (ИТ.СОВ.С4.ПЗ)
- 4 уровень доверия средств защиты информации
Свидетельство о государственной регистрации ViPNet Coordinator HW 5
Номер свидетельства: 2022680214
Тип: Программное обеспечение для ЭВМ
Регистрационное свидетельство Межотраслевого научно-исследовательского института «Интеграл»
Номер свидетельства: 0003852
Тип: Программное обеспечение для ЭВМ
Возможности
Межсетевой экран (SPI)
- Фильтрация трафика на сетевом и транспортном уровнях модели OSI с контролем состояния сессий
- Раздельная настройка фильтрации для открытого и шифруемого IP-трафика
- NAT/PAT
- Антиспуфинг
Межсетевой экран уровня приложений (DPI)
- Фильтрация трафика на прикладном уровне модели OSI с помощью технологии DPI с целью отслеживания активности приложений и прикладных протоколов
- Выявление и блокировка более 2000 прикладных протоколов и приложений
- Выявление приложений, трафик которых шифруется или маскируется
- Фильтрация трафика для заданного пользователя (AD, LDAP)
Обнаружение и предотвращение вторжений (IPS)
- Анализ сетевого трафика для защиты от различного вида сетевых атак и вирусов, попыток эксплуатации уязвимостей и получения несанкционированного доступа
- Работа как в режиме предотвращения вторжений (IPS), так и обнаружения (IDS) с фиксацией событий
- Сигнатурный и эвристический методы анализа трафика
- Автоматизированное обновление баз правил с сервера обновлений
- База правил регулярно обновляется специалистами ГК ИнфоТеКС для поддержания в актуальном состоянии
VPN
- VPN-шлюз сетевого уровня (L3 VPN)
- VPN-шлюз канального уровня (L2OverIP VPN)
- Поддержка криптографических алгоритмов ГОСТ 34.12-2018 «Магма» и «Кузнечик», ГОСТ 28147-89
- Сервер IP-адресов и маршрутизатор VPN-пакетов
- Маскирование структуры трафика за счет инкапсуляции в UDP, TCP
Идентификация пользователей
- Интеграция с Microsoft Active Directory
- Captive Portal и интеграция с LDAP каталогом
Прокси-сервер
- Поддержка протокола HTTP
- Работа в «прозрачном» режиме
- Кэширование данных
- Проверка и фильтрация трафика по разным типам содержимого, передаваемого в протоколе HTTP
- Проверка трафика внешним антивирусом по протоколу ICAP
Отказоустойчивость и резервирование
- Отказоустойчивый кластер высокой доступности по схеме «активный/пассивный» с минимальным временем переключения между элементами кластера (до 1 секунды)
- Поддержка синхронизации таблицы соединений между элементами кластера
- Резервирование каналов связи
- Резервирование сетевых интерфейсов
Управление и мониторинг
- Централизованное управление шлюзом
- Удаленное управление шлюзом с помощью SSH-консоли и веб-интерфейса (HTTPS)
- Ролевая модель доступа — разделение полномочий между несколькими администраторами, аудит действий администраторов
- Централизованное обновление ключевой информации и конфигурации
- Мониторинг по протоколам SNMP v1, v2c, v3
- Автоматическое резервное копирование конфигурации шлюза и экспорт в систему централизованного управления
- Экспорт системного журнала по протоколу Syslog
- Экспорт журнала IP-пакетов в формате CEF
Сетевые функции
- Резервирование и балансировка каналов связи: WAN (балансировка и резервирование), VPN (резервирование)
- Маршрутизация сетевого трафика на основе:
- статической маршрутизации;
- динамической маршрутизации (OSPFv2);
- политик маршрутизации (policy based routing).
- Поддержка виртуальных локальных сетей (VLAN 802.1Q)
- Агрегирование сетевых интерфейсов (802.3ad, LACP)
- Поддержка Jumbo-кадров и технологии Path MTU Discovery
- Поддержка классификации и приоритизации трафика (QoS, ToS, DiffServ)
Сервисные функции
- DHCP-Relay
- DHCP-сервер
- DNS-сервер
- NTP-сервер
Сценарии использования
- Построение защищенных каналов связи между объектами организации (Site-to-Site и Multi Site-to-Site)
- Защита данных внутри виртуальной и облачной инфраструктуры
- Защищенный доступ удаленных пользователей
- Разграничение доступа к информации в локальных сетях, сегментирование локальных сетей (например, выделение ДМЗ).
- Обнаружение и нейтрализация сетевых вторжений
- Комплексная защита от сетевых угроз
- Защита магистральных каналов, соединяющих ЦОДы между собой
- Защита мультисервисных сетей (включая IP-телефонию и видеоконференцсвязь)
- Взаимодействие с сетями ViPNet других организаций
Преимущества
- Удобство управления и скорость развертывания
- Функциональность, соответствующая аппаратным шлюзам ViPNet Coordinator HW
- Отсутствие дополнительных затрат на размещение и обслуживание оборудования
- Поддержка распространенных систем виртуализации
- Единая система управления для виртуальных и аппаратных шлюзов безопасности
- Объединение в одном виртуальном устройстве нескольких функций безопасности (FW, DPI, IPS, VPN, Proxy)
- Гранулированные политики безопасности, которые строятся в терминах «Пользователь» — «Приложение» — «Действие»
- Обнаружение и нейтрализация сетевых вторжений с использованием встроенной системы предотвращения вторжений (IPS)
- Обеспечение безопасного использования персональных устройств в рабочих целях с полным соблюдением политик безопасности компании – BYOD (Bring Your Own Device)
- Отказоустойчивый кластер (High-Availability) с синхронизацией сессий позволяет минимизировать время переключения между элементами кластера до 1 секунды
- Гибкая политика лицензирования позволяет приобрести только необходимые функции в зависимости от потребности
- Выявление и блокировка более 2000 прикладных протоколов и приложений: игры, социальные сети, torrent и т.д.
- Централизованное управление шлюзом безопасности с ролевой моделью доступа
Другие решения
Программный комплекс ViPNet Coordinator VA — криптошлюз в виртуальном исполнении, предназначенный для обеспечения безопасной передачи данных между защищенными сегментами виртуальной сети ViPNet, а также фильтрации IP-трафика
Система комплексной защиты рабочих станций и серверов, предназначенная для предотвращения «файловых», «бесфайловых» и сетевых атак, обнаружения вредоносных действий и реакции на эти действия. Ключевыми модулями системы являются – персональный межсетевой экран, система обнаружения и предотвращения вторжений, а также контроль запуска приложений на основе чёрных и белых списков.
