ViPNet xFirewall xF65000
Описание
ПАК ViPNet xFirewall – это шлюз безопасности, межсетевой экран нового поколения, сочетающий функции классического межсетевого экрана: анализ состояния сессии, трансляция адресов; с расширенными функциями анализа и фильтрации трафика такими как: глубокая инспекции протоколов, выявление и предотвращения компьютерных атак, инспекции SSL/TLS трафика, взаимодействие с антивирусными решениями, DLP и песочницами; устанавливается на границе сети, предназначен для комплексного решения задач информационной безопасности в корпоративных сетях, позволяет создать гранулированную политику безопасности на основе учетных записей пользователей и списка приложений и обеспечивает обнаружение и нейтрализацию сетевых вторжений.
Особенности межсетевого экрана для ЦОД
Потребности ЦОД
Производительность
С точки зрения информационной безопасности ЦОД является уникальным объектом, потому что в нем сосредоточены все сервисы и данные компании, что представляет интерес для злоумышленников и тем самым он является важнейшим объектом, требующим защиты. Особенностью ЦОД являются информационные потоки и сетевая топология. Информационные потоки ЦОД принято разделять на два типа North-South и East-West. North-South информационные потоки описывают взаимодействие ЦОД с пользователями, сервисами, другими словами данные виды информационных потоков отвечают за взаимодействие ЦОДа с внешним миром. East-West информационные потоки описывают взаимодействие различных сервисов, служб внутри ЦОДа.
Классической задачей межсетевого экрана является контроль трафика входящего и выходящего из сети организации, поэтому межсетевой экран устанавливается на границе сети и его принято называть периметровым межсетевым экраном.
Применительно к задачам защиты ЦОД периметровый межсетевой экран выполняет задачу контроля информационных потоков North-South. Но в условиях ЦОД этого недостаточно, так как есть еще информационные потоки East-West, которые так же необходимо контролировать. East-West информационные потоки существенно отличаются как по качеству, так и по количеству от North-South потоков. East-West информационные потоки представляют собой трафик взаимодействия серверов, СХД и сетевого оборудования между собой. Что касается объемов то по разным оценкам East-West трафик составляет до 80% всех информационных потоков в ЦОДах, в то время как North-South не превышает 20%. В этой связи для контроля такого трафика нужен еще более производительный межсетевой экран.
Firewall | Next Gen Firewall | L3 new Connection | Max CC Connection |
76 Гбит/сек | 13 Гбит/сек* | 364 000 соединиений/сек | 30 000 000 соединений** |
* – Результаты получены для трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.
** - ограничение средства генерации и измерения.
Эффективная защита
Прозрачность/Visibility
При обеспечении безопасности ЦОД необходимо обеспечить прозрачность всех происходящих процессов, для этого необходимо реализовать контроль за деятельностью пользователей, устройств, сетей, приложений, рабочих нагрузок и процессов. Она может ускорить обнаружение атак и облегчить выявление злоумышленников, пытающихся украсть конфиденциальные данные или нарушить работу.
Прозрачность помимо повышения эффективности защиты, облегчает обнаружение узких мест в производительности, что позволяет оптимизировать процессы в ЦОД и прогнозировать его развитие.
Прозрачность, помимо облегчения контроля, также сокращает время реагирования на инциденты и помогает в расследовании инцидентов.
Сегментация/Segmentation
Сегментация позволяет локализовать и остановить продвижение злоумышленников/распространение атаки по инфраструктуре ЦОДа. Многие атаки направлены на получение прямого доступа к системе, чтобы скомпрометировать ее через уязвимости в приложениях, незащищенные порты или атаки типа "отказ в обслуживании" (DoS). Защититься от такого типа атак на 100 % практически невозможно, но сегментация - ценный инструмент, позволяющий замедлить действия хакера и дать командам безопасности время для выявления проблемы, ограничения воздействия и реагирования на атаку.
Оптимальный профиль защиты
Разные системы требуют разных средств защиты и разных подходов. Для примера, периметровые межсетевые экраны в офисах предназначены для защиты клиентов от угроз, исходящих из сети Интернет, и контроль доступа к нежелательному контенту, в то время как в ЦОДа требуется защита серверов.
Для защиты ЦОДа требуется:
IPS (Intrusion Prevention System) - обнаруживает и предотвращает вредоносное или нежелательное ПО, попытки эксплуатировать уязвимости, компьютерные атаки. В случаях с zero-day уязвимостей, сигнатуры IPS можно использовать как виртуальные патчи, которые позволяют выявлять эксплойты до тех пор, пока не будут устранены уязвимости в ПО. Используются сигнатуры от входящей в группу компаний ИнфоТеКС компании «Перспективный мониторинг», которая на регулярной основе разрабатывает экспертные данные для множества СЗИ. Для актуализации базы решающих правил мы ежемесячно анализируем до 100 000 образцов вредоносного кода и различных индикаторов компрометации, исследуем инструментарий злоумышленников и разрабатываем системы аналитики и приоритизации информации об угрозах, в результате чего каждый месяц подключаем до 1500 новых сигнатур AM Rules, которые учитывают российскую специфику атак.
SDP (Software-defined perimeter) – программно-определяемый периметр – это подход к разграничению доступа основанных на Прозрачности и Сегментации. Это позволяет на логическом уровне создать для каждого пользователя доступ к ресурсам посредством разрешенных протоколов.
AppControl (DPI) | Идентификация пользователей | IPS | SDP |
Более 5000 протоколов и приложений | - Синхронизация с контроллерами доменов - Captive Portal синхронизированный с LDAP-каталогами | Обнаружение и предотвращение компьютерных атак, использования вредоносного ПО и эксплуатации уязвимостей | Разграничение доступа с учетом разумной необходимости и достаточности |
Отказоустойчивость
Высокая доступность
Высокая доступность - это концепция организации отказоустойчивости системы за счет избыточности и сведение к минимуму времени простоя в случае сбоя. Избыточность достигается за счет объединения двух устройств в единый комплекс – кластер. Сведение к минимуму времени простоя достигается за счет того, что одно из устройств кластера – активное, постоянно синхронизирует свое состояние на пассивную (резервную) по специально выделенному каналу резервирования. Пассивное устройство же отслеживает состояние активной и в случае сбоя мгновенно переходит в активный режим.
Маршрутизация
Центры обработки данных и сети, требующие высокой доступности и быстрого восстановления после сбоев, нуждаются в чрезвычайно быстром обнаружении сбоев, которое обеспечивает протокол BFD.
Протокол BFD (bidirectional forward detection) распознает сбой между двумя маршрутизаторами. Обнаружение сбоев с помощью BFD происходит очень быстро по сравнению с мониторингом соединения или частыми динамическими проверками состояния маршрутизации, такими как пакеты Hello или keepalive, используемыми в BGP, что позволяет ускорить процесс выявления сбоя и переключиться на резервный канал практически мгновенно.
| Резервное питание | HA-Cluster | Failover | Резервирование каналов связи |
| 2 блока питания | Синхронизация таблицы состояния сессий с активного устройства на резервное | Мгновенное выявление сбоя и переключение на резервное устройство | Поддержка протоколов динамической маршрутизации BGP, OSPF совместно с BFD |
ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств
Производительность1
| Исполнение | xF65000 |
| МЭ, 1518 байт UDP (Мбит/сек)2 | 76 000 |
| МЭ (пакетов/сек) | 6 600 000 |
| МЭ, TCP (Мбит/сек) | 36 000 (ограничение средства измерения) |
| Application Control (МЭ+DPI)3 (Мбит/сек) | 16 000 (ограничение средства измерения) |
| NGFW Throughput4 (Мбит/с) | 13 500 |
| SSL Inspection5 (Мбит/с) | * |
| Соединений в секунду | 622 000 |
| Кол-во одновременно обслуживаемых соединений | 30 000 000 (ограничение средства измерения) |
Аппаратные характеристики
| Наименование аппаратной платформы | xF65000 Q1 |
| Форм-фактор | ПАК (19’ Rack 2U) |
| Размеры (ШхВхГ) | 483 x 88 x 558 мм |
| Масса | До 24 кг |
| Источник питания | Два встроенных БП с функцией «горячей» замены, 110-240 В, 800 Вт |
| Порты ввода/вывода | 1 x VGA 2 x USB 3.0 (тип A) 1 x USB 3.0 (тип C) 1 x miniUSB (тип B) |
| Сетевые порты | 4 x RJ45 1 Гбит/с 4 x SFP 1 Гбит/с 8 x SFP+ 10 Гбит/с |
1Производительность исполнения зависит от аппаратной платормы, активированных функций, характеристик обрабатываемого сетевого трафика: протоколов, размера пакетов. Производительность может меняться вследствие изменений, вносимых в новые версии программного обеспечения.
2Результаты получены на основании методики АО «ИнфоТеКС».
3Результаты получены для трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.
4Результаты получены для активированных МЭ, DPI, IPS с использованием актуальной на момент теста базы правил IPS, при анализе трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.
5Результаты получены для SSL/TLS соединений, осуществляется методом измерения показателей передачи HTTPS-трафика. Измерение производительности проводиться на фоне передачи вредоносного трафика, который должен отфильтровываться контентными фильтрами и антивирусной проверкой.
* - результаты будут предоставлены позже.
ViPNet xFirewall xF65000
Архив версий
Документация на продукты
Документация на продукты ViPNet представлена в виде zip-архивов или непосредственно в виде pdf-файлов. Для просмотра документации Вам понадобится бесплатная программа Adobe Acrobat Reader. Вы ее можете скачать с сайта компании Adobe. При скачивании документации просим вас обращать внимание на указанный номер версии. Эксплуатируемая вами версия продуктов ViPNet может отличаться от представленной на сайте версии документации. Выберите продукт для получения перечня доступной по нему документации:
| Наименование | Версия | Размер |
|---|---|---|
| Комплект документации на ViPNet xFirewall xF65000 | 5.7.5 от 04.08.2025 | 12,5 Мб |