Категория:
Сетевые экраны
Исполнение:
ПАК

Программно-аппаратный комплекс (ПАК) ViPNet xFirewall 5 – это развитие шлюзов безопасности ViPNet xFirewall, реализующих парадигму NGFW и позволяющих создавать гранулированные политики безопасности на основе учетных записей пользователей и списка приложений. ViPNet xFirewall обеспечивает фильтрацию трафика на всех уровнях, антивирусную защиту и предотвращение обхода политик ИБ.

5 поколение ViPNet xFirewall предоставляет новые возможности, среди которых:

  • Расширение функций безопасности:
    • Реализация системы предотвращения вторжений (IPS – Intrusion Prevention System).
    • Расширение возможностей идентификации пользователей.
  • Улучшения удобства пользования.
  • Повышение производительности.

Система предотвращения вторжений

В состав ViPNet xFirewall 5 входит система предотвращения вторжений IPS, целью которой является выявление и блокировка сетевых атак. Модуль IPS глубоко интегрирован с другими входящими в состав ViPNet xFirewall 5 сервисами безопасности, благодаря чему проводит анализ лишь того сетевого трафика и трафика приложений, которые разрешены согласно настроенной политике ИБ. Это повышает защищенность и предотвращает обход политик ИБ, поскольку позволяет выявлять атаки уровня прикладных протоколов.

IPS использует несколько способов выявления атак:

  • Сигнатурный метод анализа трафика.
  • Эвристический метод анализа трафика.

Комбинация двух методов позволяет выявлять как известные атаки, эксплуатирующие уязвимости в программном обеспечении (сигнатурный метод), так ранее неизвестные, признаками которых являются различные аномалии (эвристический метод).

База правил формируется специалистами ОАО «ИнфоТеКС», регулярно обновляется и публикуется на официальном сервере обновлений ОАО «ИнфоТеКС».

scheme

При обнаружении характерных признаков вторжения (срабатывании правила IPS) в зависимости от настроенных политик/правил возможны следующие действия с IP-пакетом:

  • IP-пакет блокируется.
  • IP-пакет пропускается с оповещением для дальнейшей обработки.

Сценарии использования

  • Защита периметра сети.
  • Разграничение доступа внутри сети.
  • Организация DMZ.
  • Контроль доступа к ресурсам Интернет.
  • Комплексная защита от сетевых угроз.

Преимущества

Гранулированная политика безопасности, которая строится в терминах «Пользователь» - «Приложение» - «Протокол» - разрешить/запретить обеспечивает:

  • безопасное использование персональных устройств в рабочих целях с полным соблюдением политик безопасности компании – BYOD (Bring Your Own Device);
  • снижение расходов на потребление интернет трафика;
  • минимизацию поверхности атак;
  • интеграция с сервисом IPS - обнаружение и нейтрализацию сетевых вторжений.

Сертификация в ФСБ России

В процессе

Сертификация во ФСТЭК России

В процессе

ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств.


Межсетевой экран

  • Межсетевой экран с контролем состояния сессий.
  • Трансляция адресов NAT/PAT.
  • Защита от атак Antispoofing.

Межсетевое экранирование уровня приложений (DPI – deep packet inspection)

DPI (deep packet inspection) - механизм глубокой инспекции протоколов. DPI использует различные техники идентификации трафика пользовательских приложений: на основе портов и протоколов, сигнатурный метод, эвристический метод. Эти подходы позволяют выявить даже те приложения, трафик которых шифруется или маскируется.

Выявление и блокировка более 2000 прикладных протоколов и приложений среди которых:

  • Игры.
  • Социальные сети.
  • Сервисы мгновенных сообщений.
  • Видео трансляции.
  • Сервисы P2P, torrent.
  • Хостинг файлов.
  • Туннелирование, VPN.
  • Удаленное управление.
  • Промышленные протоколы.

Система предотвращения вторжений (IPS – intrusion prevention system)

  • Сигнатурный метод анализа трафика.
  • Эвристический метод анализа трафика.
  • База правил, содержащая описания сетевых угроз, регулярно обновляется специалистами ОАО «ИнфоТеКС» для поддержания в актуальном состоянии.

При обнаружении характерных признаков вторжения (срабатывании правила IPS) возможны следующие действия с IP-пакетом:

  • IP-пакет блокируется.
  • IP-пакет пропускается с оповещением для дальнейшей обработки.

Прокси сервер

  • Поддержка протокола HTTP.
  • Проверка и фильтрация трафика по MIME-типу файлов и по типу HTTP-метода запроса.
  • Проверка трафика сторонним антивирусом, подключаемым по протоколу ICAP.

Интеграция с каталогами справочников

  • Microsoft AD.
  • Captive Portal с LDAP каталогом.

Сетевые функции

  • Развитая статическая маршрутизация.
  • Динамическая маршрутизация.
  • Поддержка VLAN (dot1q).
  • Агрегирование каналов связи (bonding (LACP), EtherChannel).
  • Поддержка QoS, ToS, DiffServ.

Сервисные функции

  • DNS-сервер.
  • NTP-сервер.
  • DHCP-сервер.
  • DHCP –Relay.

Отказоустойчивость и резервирование

  • Кластер горячего резервирования – failover.
  • Поддержка ИБП (UPS).
Исполнение xF100 xF1000 C/D xF5000
Производительность1
МЭ, 1518 байт UDP (Мбит/сек)2 800 2 700 19 000
МЭ (пакетов/сек) 90 000 1 300 000 4 000 000
МЭ, TCP (Мбит/сек) 720 2 700 9 300
Application Control МЭ+DPI3 (Мбит/сек) 190 1 900 7 100
NGFW Throughput4 (Мбит/сек) 9,5 249 669
Соединений в секунду 2 500 20 000 50 000
Кол-во одновременно обслуживаемых соединений 148 500 990 000 9 900 000
Аппаратные характеристики
Форм-фактор ПАК (MiniPC) ПАК (19’ Rack 1U) ПАК (19’ Rack 1U)
Размеры (ШхВхГ) 170 х 41,5 х 138 мм 430 x 43,4 x 380 мм 444 х 44 х 383 мм
Масса 1 кг 7,2 кг 13 кг
Источник питания DC 24В; 2,5А Встроенный БП, 110-240 В, 250 Вт Встроенный БП, 110-240 В, 500 Вт
Порты ввода/вывода 1x VGA
2x USB
2x VGA
1x PS/2
1x COM DB9
6x USB
1x VGA
1x PS/2 KB/Mouse port
1x COM DB9
2x USB
Сетевые порты
  • 4 x RJ45 1 Гбит/с
  • 1 x SFP 1 Гбит/с

xF1000 C:

  • 6 x RJ45 10/100/1000 Мбит/с

xF1000 D:

  • 4 x RJ45 10/100/1000 Мбит/с
  • 2 x SFP 10/100/1000 Мбит/с
  • 4 x RJ45 1 Гбит/с
  • 4 x SFP+ 10 Гбит/с

1 Производительность зависит от активированных функций, характеристик обрабатываемого сетевого трафика: протоколов, размера пакетов. Производительность может меняться вследствие изменений, вносимых в новые версии программного обеспечения.

2 Результаты получены на основании методики ОАО «ИнфоТеКС»

3 Результаты получены для трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.

4 Результаты получены для активированных МЭ, DPI, IPS с использованием актуальной на момент теста базы правил IPS, при анализе трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.

Версии

Сопутствующие продукты

Материалы для загрузки

Enable JavaScript for correct display.