ViPNet xFirewall 5

Межсетевой экран следующего поколения, обеспечивающий фильтрацию трафика на всех уровнях

Категория:: Сетевые экраны
Исполнение:: ПАК

Программно-аппаратный комплекс (ПАК) ViPNet xFirewall 5 – это развитие шлюзов безопасности ViPNet xFirewall, реализующих парадигму NGFW и позволяющих создавать гранулированные политики безопасности на основе учетных записей пользователей и списка приложений. ViPNet xFirewall обеспечивает фильтрацию трафика на всех уровнях, антивирусную защиту и предотвращение обхода политик ИБ.

5 поколение ViPNet xFirewall предоставляет новые возможности, среди которых:

Расширение функций безопасности:
- Реализация системы предотвращения вторжений (IPS – Intrusion Prevention System).
- Расширение возможностей идентификации пользователей.
Улучшения удобства пользования.
Повышение производительности.

Система предотвращения вторжений

В состав ViPNet xFirewall 5 входит система предотвращения вторжений IPS, целью которой является выявление и блокировка сетевых атак. Модуль IPS глубоко интегрирован с другими входящими в состав ViPNet xFirewall 5 сервисами безопасности, благодаря чему проводит анализ лишь того сетевого трафика и трафика приложений, которые разрешены согласно настроенной политике ИБ. Это повышает защищенность и предотвращает обход политик ИБ, поскольку позволяет выявлять атаки уровня прикладных протоколов.

IPS использует несколько способов выявления атак:

Сигнатурный метод анализа трафика.
Эвристический метод анализа трафика.

Комбинация двух методов позволяет выявлять как известные атаки, эксплуатирующие уязвимости в программном обеспечении (сигнатурный метод), так ранее неизвестные, признаками которых являются различные аномалии (эвристический метод).

База правил формируется специалистами ОАО «ИнфоТеКС», регулярно обновляется и публикуется на официальном сервере обновлений ОАО «ИнфоТеКС».

При обнаружении характерных признаков вторжения (срабатывании правила IPS) в зависимости от настроенных политик/правил возможны следующие действия с IP-пакетом:

IP-пакет блокируется.
IP-пакет пропускается с оповещением для дальнейшей обработки.

Сценарии использования

Защита периметра сети.
Разграничение доступа внутри сети.
Организация DMZ.
Контроль доступа к ресурсам Интернет.
Комплексная защита от сетевых угроз.

Преимущества

Гранулированная политика безопасности, которая строится в терминах «Пользователь» - «Приложение» - «Протокол» - разрешить/запретить обеспечивает:

безопасное использование персональных устройств в рабочих целях с полным соблюдением политик безопасности компании – BYOD (Bring Your Own Device);
снижение расходов на потребление интернет трафика;
минимизацию поверхности атак;
интеграция с сервисом IPS - обнаружение и нейтрализацию сетевых вторжений.

Сертификация в ФСБ России

В процессе

Сертификация во ФСТЭК России

В процессе

ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств.

Межсетевой экран

Межсетевой экран с контролем состояния сессий.
Трансляция адресов NAT/PAT.
Защита от атак Antispoofing.

Межсетевое экранирование уровня приложений (DPI – deep packet inspection)

DPI (deep packet inspection) - механизм глубокой инспекции протоколов. DPI использует различные техники идентификации трафика пользовательских приложений: на основе портов и протоколов, сигнатурный метод, эвристический метод. Эти подходы позволяют выявить даже те приложения, трафик которых шифруется или маскируется.

Выявление и блокировка более 2000 прикладных протоколов и приложений среди которых:

Игры.
Социальные сети.
Сервисы мгновенных сообщений.
Видео трансляции.
Сервисы P2P, torrent.
Хостинг файлов.
Туннелирование, VPN.
Удаленное управление.
Промышленные протоколы.

Система предотвращения вторжений (IPS – intrusion prevention system)

Сигнатурный метод анализа трафика.
Эвристический метод анализа трафика.
База правил, содержащая описания сетевых угроз, регулярно обновляется специалистами ОАО «ИнфоТеКС» для поддержания в актуальном состоянии.

При обнаружении характерных признаков вторжения (срабатывании правила IPS) возможны следующие действия с IP-пакетом:

IP-пакет блокируется.
IP-пакет пропускается с оповещением для дальнейшей обработки.

Прокси сервер

Поддержка протокола HTTP.
Проверка и фильтрация трафика по MIME-типу файлов и по типу HTTP-метода запроса.
Проверка трафика сторонним антивирусом, подключаемым по протоколу ICAP.

Интеграция с каталогами справочников

Microsoft AD.
Captive Portal с LDAP каталогом.

Сетевые функции

Развитая статическая маршрутизация.
Динамическая маршрутизация.
Поддержка VLAN (dot1q).
Агрегирование каналов связи (bonding (LACP), EtherChannel).
Поддержка QoS, ToS, DiffServ.

Сервисные функции

DNS-сервер.
NTP-сервер.
DHCP-сервер.
DHCP –Relay.

Отказоустойчивость и резервирование

Кластер горячего резервирования – failover.
Поддержка ИБП (UPS).

Исполнение	xF100	xF1000 C/D	xF5000
Производительность¹
МЭ, 1518 байт UDP (Мбит/сек)²	800	2 700	19 000
МЭ (пакетов/сек)	90 000	1 300 000	4 000 000
МЭ, TCP (Мбит/сек)	720	2 700	9 300
Application Control МЭ+DPI³ (Мбит/сек)	190	1 900	7 100
NGFW Throughput⁴ (Мбит/сек)	9,5	249	669
Соединений в секунду	2 500	20 000	50 000
Кол-во одновременно обслуживаемых соединений	148 500	990 000	9 900 000
Аппаратные характеристики
Форм-фактор	ПАК (MiniPC)	ПАК (19’ Rack 1U)	ПАК (19’ Rack 1U)
Размеры (ШхВхГ)	170 х 41,5 х 138 мм	430 x 43,4 x 380 мм	444 х 44 х 383 мм
Масса	1 кг	7,2 кг	13 кг
Источник питания	DC 24В; 2,5А	Встроенный БП, 110-240 В, 250 Вт	Встроенный БП, 110-240 В, 500 Вт
Порты ввода/вывода	1x VGA 2x USB	2x VGA 1x PS/2 1x COM DB9 6x USB	1x VGA 1x PS/2 KB/Mouse port 1x COM DB9 2x USB
Сетевые порты	4 x RJ45 1 Гбит/с 1 x SFP 1 Гбит/с	xF1000 C: 6 x RJ45 10/100/1000 Мбит/с xF1000 D: 4 x RJ45 10/100/1000 Мбит/с 2 x SFP 10/100/1000 Мбит/с	4 x RJ45 1 Гбит/с 4 x SFP+ 10 Гбит/с

¹ Производительность зависит от активированных функций, характеристик обрабатываемого сетевого трафика: протоколов, размера пакетов. Производительность может меняться вследствие изменений, вносимых в новые версии программного обеспечения.

² Результаты получены на основании методики ОАО «ИнфоТеКС»

³ Результаты получены для трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.

⁴ Результаты получены для активированных МЭ, DPI, IPS с использованием актуальной на момент теста базы правил IPS, при анализе трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.