ПК Шлюз безопасности Bel VPN Gate

программный комплекс
Версия 4.5Версия 4.1


Описание

Пограммный комплекс «Шлюз безопасности Bel VPN Gate 4.5» (ПК Bel VPN Gate-P 4.5) функционирует как в виртуальной среде  – наиболее популярных гипервизорах (VMware ESXi, Citrix XenServer, KVM и др.), так и на любых аппаратных платформах поддерживающих ОС Linux.

ПК Bel VPN Gate-P 4.5 обеспечивает:

  • Cоздание виртуальных частных сетей (VPN);
  • Защиту транзитного трафика между различными узлами сети и защиту трафика самого шлюза безопасности на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP;
  • Пакетную stateless фильтрацию трафика;
  • Контекстную (stateful) фильтрацию для протоколов TCP и FTP;
  • Работу по расписанию для правил пакетной фильтрации;
  • Классификацию и маркирование трафика;
  • Различные наборы правил обработки трафика на различных интерфейсах;
  • Возможность задания независимых правил для входящего и исходящего трафика на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика;
  • Получение сертификатов открытых ключей по протоколу LDAP;
  • Событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования;
  • Сбор статистики для мониторинга;
  • Реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию;
  • Регулируемую стойкость защиты трафика;
  • Маскировку топологии защищаемого сегмента сети (туннелирование трафика);
  • Возможность задания дополнительной аутентификации партнера на основе запросов на RADIUS сервер;
  • Загрузку политики из внешнего файла.

Управление виртуальным шлюзом безопасности осуществляется:

  • Централизованно-удаленно посредством программного продукта «Bel VPN KP 4.5»;
  • Локально и удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems;
  • При помощи конфигурационного текстового файла, описывающего политику безопасности, и последующей загрузки этого файла на шлюз.

Bel VPN Gate-P 4.5 совместим со следующими продуктами компаний C-Терра Бел:


Варианты установки

Предусмотрены 2 варианта установки ПК Bel VPN GateP 4.5: 

 1 Вариант:

ПК Bel VPN Gate-P 4.5 устанавливается посредством экспорта образа виртуальной машины под управлением операционной системы Debian GNU/Linux 9, созданного в одном из наиболее популярных гипервизоров (VMware ESXiCitrix XenServer, KVM) – по умолчанию в комплект поставки включен файл формата *.vmdk для экспорта в гипервизор VMware. 

 2 Вариант:

ПК Bel VPN Gate-P 4.5 устанавливается в виде deb-пакета на аппаратную платформу любого производителя, поддерживающую Linux

ВАЖНО: Работоспособность программного комплекса возможна только при установке deb-пакета на ОС Linux с версией ядра — 4.9.168-1. 

Файлы необходимые для установки ПК Bel VPN GateP 4.5 (в том числе и образ ОС Debian GNU Linux 9 с версией ядра — ОС Debian 4.9.168-1) для обоих вариантов входят в комплект поставки.


Минимальные требования


Требования предъявляемые к виртуальной машине*: Требования предъявляемые к аппаратной платформе*:
Процессор (CPU): 1 процессорное ядро Процессор (CPU): intel x86,х64, 1 ядро
Оперативная память: 2 Гб Оперативная память: 2 Гб
Объем дискового пространства: 8 Гб Объем дискового пространства: 8 Гб
Наличие не менее 1 виртуального сетевого интерфейса Сетевые интерфейсы:  1 со скоростью 0.1 Гбит/с

*Для сведения: В таблице представлены минимальные требования необходимые для работоспособности программного комплекса «Bel VPN Gate 4.5», которые соответствуют лицензии — Gate-P 100.

Формула расчета рекомендуемого объема оперативной памяти в зависимости от количества туннелей шифрования:

Необходимый объем оперативной памяти = 2Гб + 4Мб х (количество туннелей шифрования)

 

Описание Спецификация
Количество одновременно поддерживаемых VPN туннелей От 10 до неограниченного количества
Производительность

От 250 Мбит/с до 5,2 Гбит/с (размер пакета (MTU) 1500, 33 vCPU)

До 9,7 Гбит/с (MTU 8838, 39 vCPU)

Операционные системы Linux
Алгоритмы шифрования СТБ 34.101.31-2011
Алгоритмы электронной цифровой подписи СТБ 34.101.45-2013
Алгоритмы вычисления хэш сумм СТБ 34.101.31-2011
Алгоритмы контроля целостности (имитозащита) СТБ 34.101.31-2011
Межсетевой экран сетевого и транспортного уровней СТБ 34.101.73-2017
Процедура выработки псевдослучайных данных СТБ 34.101.47-2017
Стандарты IKE/IPsec RFC 2401-2412
Защита трафика

Протоколы IPsec:

  • IPsec Encapsulating Security Payload (ESP)
  • IPsec Authentication Header (AH)
Управление ключами Протокол IKE
Информационные обмены IKE
  • Main mode
  • Aggressive mode
  • Quick mode
  • Transaction Exchanges
  • Informational Exchanges
Режимы аутентификации IKE
  • по preshared key
  • по сертификатам (СТБ 34.101.45-2013)

 

Дополнительные возможности IKE режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть
Работа через NAT протокол NAT Traversal IPsec
Обеспечение надежности  защищенных соединений протокол Dead Peer Detection (DPD)
Управление
  • локально или удаленно по протоколу SSH
  • с помощью программного продукта
    Bel VPN KP 4.5
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (СТБ 34.101.19-2012)
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64)
Способы получения сертификатов
  • протокол IKE
  • протокол LDAP v.3
  • импорт из файла: PKCS#7 (bin/base64), PKCS#12 (bin/base64)
Способы получения ключевой пары
  • генерация продуктом с выдачей CER
  • генерация внешним PKI сервисом с доставкой через PKSC#12
Поддержка списка отозванных сертификатов

Обработка Certificate Revocation List (CRL) [опционально] Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • импорт из файла: PKCS#7 (bin/base64), PKCS#12(bin/base64)
Поддержка QoS Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео
Фильтрация
  • по IP-адресу (диапазон IP, хост) источника и назначения
  • по порту и типу протокола
  • обработка фрагментированных пакетов
Маршрутизация
  • статическая маршрутизация
  • RIPv2
  • OSPF
  • контроль фрагментации пакетов в канале
  • назначение IP из локального пула адресов (IKE-CFG)
Механизмы обеспечения отказоустойчивости
  • VRRP
  • RRI

 

 

Типы лицензии ПК Bel VPN Gate-P 4.5:

BelVPNGateV41

 



Описание

Программный комплекс «Шлюз безопасности виртуальный Bel VPN Gate-V 4.1» (Bel VPN Gate-V 4.1) функционирует в виртуальной машине под управлением операционной системы Debian GNU/Linux 6, созданной в одном из наиболее популярных гипервизоров (VMware ESXi, Citrix XenServer, KVM).

Bel VPN Gate-V 4.1 обеспечивает:

  • Cоздание виртуальных частных сетей (VPN);
  • Защиту транзитного трафика между различными узлами сети и защиту трафика самого шлюза безопасности на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP;
  • Пакетную stateless фильтрацию трафика;
  • Контекстную (stateful) фильтрацию для протоколов TCP и FTP;
  • Работу по расписанию для правил пакетной фильтрации;
  • Классификацию и маркирование трафика;
  • Различные наборы правил обработки трафика на различных интерфейсах;
  • Возможность задания независимых правил для входящего и исходящего трафика на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика;
  • Получение сертификатов открытых ключей по протоколу LDAP;
  • Событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования;
  • Сбор статистики для мониторинга;
  • Реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию;
  • Регулируемую стойкость защиты трафика;
  • Маскировку топологии защищаемого сегмента сети (туннелирование трафика);
  • Возможность задания дополнительной аутентификации партнера на основе запросов на RADIUS сервер;
  • Загрузку политики из внешнего файла.

Управление виртуальным шлюзом безопасности осуществляется:

  • Централизованно-удаленно посредством программного продукта «Bel VPN KP 4.1»;
  • Локально и удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems;
  • При помощи конфигурационного текстового файла, описывающего политику безопасности, и последующей загрузки этого файла на шлюз.

Bel VPN Gate-V 4.1 совместим со следующими продуктами компаний C-Терра Бел:

 

Описание Спецификация
Количество одновременно поддерживаемых VPN туннелей От 10 до неограниченного количества
Производительность От 50 Мб/с
Операционные системы Debian GNU/Linux 6
Алгоритмы шифрования
  • СТБ 34.101.31-2011
  • ГОСТ 28147-89
Алгоритмы электронной цифровой подписи
  • СТБ 34.101.45-2013
Алгоритмы вычисления хэш сумм
  • СТБ 34.101.31-2011
Алгоритмы контроля целостности (имитозащита)
  • СТБ 34.101.31-2011
  • ГОСТ 28147-89
Процедура выработки псевдослучайных данных СТБ 34.101.47-2017
Стандарты IKE/IPsec RFC 2401-2412
Защита трафика Протоколы IPsec:

  • IPsec Encapsulating Security Payload (ESP)
  • IPsec Authentication Header (AH)
Управление ключами Протокол IKE
Информационные обмены IKE
  • Main mode
  • Aggressive mode
  • Quick mode
  • Transaction Exchanges
  • Informational Exchanges
Режимы аутентификации IKE
  • по сертификатам (СТБ 34.101.45-2013)
  • по preshared key
Дополнительные возможности IKE режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть
Работа через NAT протокол NAT Traversal IPsec
Обеспечение надежности  защищенных соединений протокол Dead Peer Detection (DPD)
Управление
  • локально или удаленно по протоколу SSH
  • с помощью программного продукта Bel VPN KP 4.1
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (СТБ 34.101.19-2012)
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64)
Способы получения сертификатов
  • протокол IKE
  • протокол LDAP v.3
  • импорт из файла: PKCS#7 (bin/base64), PKCS#12 (bin/base64)
Способы получения ключевой пары
  • генерация продуктом с выдачей CER
  • генерация внешним PKI сервисом с доставкой через PKSC#12
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) [опционально] Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • импорт из файла: PKCS#7 (bin/base64), PKCS#12(bin/base64)
Поддержка QoS Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео
Фильтрация
  • по IP-адресу (диапазон IP, хост) источника и назначения
  • по порту и типу протокола
  • обработка фрагментированных пакетов
Маршрутизация
  • статическая маршрутизация
  • RIPv2
  • OSPF
  • контроль фрагментации пакетов в канале
  • назначение IP из локального пула адресов (IKE-CFG)
Механизмы обеспечения отказоустойчивости
  • VRRP
  • RRI

 

 

 

Типы лицензии Bel VPN Gate-V 4.1:

  • Bel VPN Gate-V 100 — шлюз безопасности для защиты сетей малых офисов (до 10 компьютеров) с количеством туннелей шифрования до 10;
  • Bel VPN Gate-V 1000 — шлюз безопасности для защиты сетей малых и средних офисов (10-50 компьютеров) с количеством туннелей шифрования до 50;
  • Bel VPN Gate-V 3000 — шлюз безопасности для защиты сетей средних офисов (до 250 компьютеров) с количеством туннелей шифрования до 1 000;
  • Bel VPN Gate-V 7000 — шлюз безопасности для защиты сетей крупных офисов (свыше 250 компьютеров) с неограниченным количеством туннелей шифрования.
 

BelVPNGateV41