
ViPNet xFirewall 5
-
Категория:
- Сетевые экраны
-
Исполнение:
- ПАК

Программно-аппаратный комплекс (ПАК) ViPNet xFirewall 5 – это развитие шлюзов безопасности ViPNet xFirewall, реализующих парадигму NGFW и позволяющих создавать гранулированные политики безопасности на основе учетных записей пользователей и списка приложений. ViPNet xFirewall обеспечивает фильтрацию трафика на всех уровнях, антивирусную защиту и предотвращение обхода политик ИБ.
5 поколение ViPNet xFirewall предоставляет новые возможности, среди которых:
-
Расширение функций безопасности:
- Реализация системы предотвращения вторжений (IPS – Intrusion Prevention System).
- Расширение возможностей идентификации пользователей.
- Улучшения удобства пользования.
- Повышение производительности.
Система предотвращения вторжений
В состав ViPNet xFirewall 5 входит система предотвращения вторжений IPS, целью которой является выявление и блокировка сетевых атак. Модуль IPS глубоко интегрирован с другими входящими в состав ViPNet xFirewall 5 сервисами безопасности, благодаря чему проводит анализ лишь того сетевого трафика и трафика приложений, которые разрешены согласно настроенной политике ИБ. Это повышает защищенность и предотвращает обход политик ИБ, поскольку позволяет выявлять атаки уровня прикладных протоколов.
IPS использует несколько способов выявления атак:
- Сигнатурный метод анализа трафика.
- Эвристический метод анализа трафика.
Комбинация двух методов позволяет выявлять как известные атаки, эксплуатирующие уязвимости в программном обеспечении (сигнатурный метод), так ранее неизвестные, признаками которых являются различные аномалии (эвристический метод).
База правил формируется специалистами ОАО «ИнфоТеКС», регулярно обновляется и публикуется на официальном сервере обновлений ОАО «ИнфоТеКС».
При обнаружении характерных признаков вторжения (срабатывании правила IPS) в зависимости от настроенных политик/правил возможны следующие действия с IP-пакетом:
- IP-пакет блокируется.
- IP-пакет пропускается с оповещением для дальнейшей обработки.
Сценарии использования
- Защита периметра сети.
- Разграничение доступа внутри сети.
- Организация DMZ.
- Контроль доступа к ресурсам Интернет.
- Комплексная защита от сетевых угроз.
Преимущества
Гранулированная политика безопасности, которая строится в терминах «Пользователь» - «Приложение» - «Протокол» - разрешить/запретить обеспечивает:
- безопасное использование персональных устройств в рабочих целях с полным соблюдением политик безопасности компании – BYOD (Bring Your Own Device);
- снижение расходов на потребление интернет трафика;
- минимизацию поверхности атак;
- интеграция с сервисом IPS - обнаружение и нейтрализацию сетевых вторжений.
Сертификация в ФСБ России
В процессеСертификация во ФСТЭК России
В процессеИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств.
Межсетевой экран
- Межсетевой экран с контролем состояния сессий.
- Трансляция адресов NAT/PAT.
- Защита от атак Antispoofing.
Межсетевое экранирование уровня приложений (DPI – deep packet inspection)
DPI (deep packet inspection) - механизм глубокой инспекции протоколов. DPI использует различные техники идентификации трафика пользовательских приложений: на основе портов и протоколов, сигнатурный метод, эвристический метод. Эти подходы позволяют выявить даже те приложения, трафик которых шифруется или маскируется.
Выявление и блокировка более 2000 прикладных протоколов и приложений среди которых:
- Игры.
- Социальные сети.
- Сервисы мгновенных сообщений.
- Видео трансляции.
- Сервисы P2P, torrent.
- Хостинг файлов.
- Туннелирование, VPN.
- Удаленное управление.
- Промышленные протоколы.
Система предотвращения вторжений (IPS – intrusion prevention system)
- Сигнатурный метод анализа трафика.
- Эвристический метод анализа трафика.
- База правил, содержащая описания сетевых угроз, регулярно обновляется специалистами ОАО «ИнфоТеКС» для поддержания в актуальном состоянии.
При обнаружении характерных признаков вторжения (срабатывании правила IPS) возможны следующие действия с IP-пакетом:
- IP-пакет блокируется.
- IP-пакет пропускается с оповещением для дальнейшей обработки.
Прокси сервер
- Поддержка протокола HTTP.
- Проверка и фильтрация трафика по MIME-типу файлов и по типу HTTP-метода запроса.
- Проверка трафика сторонним антивирусом, подключаемым по протоколу ICAP.
Интеграция с каталогами справочников
- Microsoft AD.
- Captive Portal с LDAP каталогом.
Сетевые функции
- Развитая статическая маршрутизация.
- Динамическая маршрутизация.
- Поддержка VLAN (dot1q).
- Агрегирование каналов связи (bonding (LACP), EtherChannel).
- Поддержка QoS, ToS, DiffServ.
Сервисные функции
- DNS-сервер.
- NTP-сервер.
- DHCP-сервер.
- DHCP –Relay.
Отказоустойчивость и резервирование
- Кластер горячего резервирования – failover.
- Поддержка ИБП (UPS).
Исполнение | xF100 | xF1000 C/D | xF5000 |
Производительность1 | |||
МЭ, 1518 байт UDP (Мбит/сек)2 | 800 | 2 700 | 19 000 |
МЭ (пакетов/сек) | 90 000 | 1 300 000 | 4 000 000 |
МЭ, TCP (Мбит/сек) | 720 | 2 700 | 9 300 |
Application Control МЭ+DPI3 (Мбит/сек) | 190 | 1 900 | 7 100 |
NGFW Throughput4 (Мбит/сек) | 9,5 | 249 | 669 |
Соединений в секунду | 2 500 | 20 000 | 50 000 |
Кол-во одновременно обслуживаемых соединений | 148 500 | 990 000 | 9 900 000 |
Аппаратные характеристики | |||
Форм-фактор | ПАК (MiniPC) | ПАК (19’ Rack 1U) | ПАК (19’ Rack 1U) |
Размеры (ШхВхГ) | 170 х 41,5 х 138 мм | 430 x 43,4 x 380 мм | 444 х 44 х 383 мм |
Масса | 1 кг | 7,2 кг | 13 кг |
Источник питания | DC 24В; 2,5А | Встроенный БП, 110-240 В, 250 Вт | Встроенный БП, 110-240 В, 500 Вт |
Порты ввода/вывода |
1x VGA 2x USB |
2x VGA 1x PS/2 1x COM DB9 6x USB |
1x VGA 1x PS/2 KB/Mouse port 1x COM DB9 2x USB |
Сетевые порты |
|
xF1000 C:
xF1000 D:
|
|
1 Производительность зависит от активированных функций, характеристик обрабатываемого сетевого трафика: протоколов, размера пакетов. Производительность может меняться вследствие изменений, вносимых в новые версии программного обеспечения.
2 Результаты получены на основании методики ОАО «ИнфоТеКС»
3 Результаты получены для трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.
4 Результаты получены для активированных МЭ, DPI, IPS с использованием актуальной на момент теста базы правил IPS, при анализе трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.