Программно-аппаратный комплекс «Шлюз безопасности Bel VPN Gate 4.1» (Bel VPN Gate 4.1) и программно-аппаратный комплекс «Шлюз безопасности Bel VPN Gate 3.0.1» (Bel VPN Gate 3.0.1) предназначены для обеспечения сетевой безопасности корпоративной сети любой топологии: выполняют функции шифрования, контроля целостности (криптографической защиты), а также фильтрацию как трафика подсетей, проходящего через них, так и защиту трафика самих шлюзов безопасности.
Комплексные решения на базе ПАК Шлюз
Bel VPN Gate 4.1 обеспечивает:
- создание виртуальных защищенных сетей (IPsec VPN) с применением белорусских криптографических стандартов
- защиту транзитного трафика между различными узлами сети и защиту трафика самого шлюза безопасности на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP
- маскировку топологии защищаемого сегмента сети (туннелирование трафика)
- пакетную stateless фильтрацию трафика
- контекстную (stateful) фильтрацию для протоколов TCP и FTP
- различные наборы правил обработки трафика на различных интерфейсах
Bel VPN Gate 4.1 поддерживает:
- получение сертификатов открытых ключей по протоколу LDAP
- событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования (syslog)
- сбор статистики для мониторинга (SNMP)
- реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию
- возможность задания дополнительной аутентификации партнера на основе запросов на RADIUS сервер;
- регулируемую стойкость защиты трафика
- работу по расписанию для правил пакетной фильтрации
- возможность задания независимых правил для входящего и исходящего трафика на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика
- классификацию и маркирование трафика
- загрузку политики из внешнего файла
В состав Bel VPN Gate 4.1 входит программный модуль Bel VPN L2, обеспечивающий возможность защищенного взаимодействия сегментов сети на канальном уровне.
Bel VPN L2 обеспечивает:
- объединение территориально распределенных сетей в один широковещательный домен
- передачу широковещательных (broadcast) и multicast пакетов тестированного трафика (VLAN trunk), меток IPV4 и др.
- обработку приоритетного трафика
- минимальные настройки маршрутизации
Bel VPN L2 применяется для:
- организации защищенного канала между ЦОД
- реализации миграции сетевой инфраструктуры
- построения высокопроизводительного, отказоустойчивого решения с балансировкой нагрузки
Управление шлюзом безопасности осуществляется:
- централизованно-удаленно посредством Программного продукта «Bel VPN KP 4.1»
- локально и удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems
- при помощи конфигурационного текстового файла, описывающего политику безопасности, и последующей загрузки этого файла на шлюз
Bel VPN Gate 4.1 совместим со следующими продуктами компаний C-Терра Бел:
| Описание | Спецификация |
|---|---|
| Количество одновременно поддерживаемых VPN туннелей | 5/10/50/1000/неограниченное количество |
| Производительность | От 50 Мб/с |
| Количество сетевых интерфейсов | Не менее 2 |
| Размещение аппаратных платформ | Аппаратные платформы, за исключением аппаратных платформ программно-аппаратного комплекса «Шлюз безопасности Bel VPN Gate 4.1» c лицензией до 10 туннелей (Gate 100) до 50 Мбит/c, имеют серверное исполнение и могут быть размещены в серверных шкафах. Размещение программно-аппаратного комплекса «Шлюз безопасности Bel VPN Gate 4.1» c лицензией до 10 туннелей (Gate 100) до 50 Мбит/c в серверных шкафах возможно при приобретении дополнительных комплектующих — Полки металлической. |
| Носитель ключевой информации | AvPass 11-E-02 / AvPass 11-E-04 / AvBign 128-C-01 |
| Алгоритмы шифрования |
|
| Алгоритмы контроля целостности (имитозащита) |
|
| Алгоритмы электронной цифровой подписи |
|
| Алгоритмы вычисления хэш сумм |
|
| Генерация случайных данных | Аппаратный датчик (AvPass 11-E-02 / AvPass 11-E-04 / AvBign 128-C-01), СТБ 34.101.47-2017 |
| Стандарты IKE/IPsec | RFC 2401-2412 |
| Защита трафика | Протоколы IPsec:
|
| Управление ключами | Протокол IKE |
| Информационные обмены IKE |
|
| Режимы аутентификации IKE |
|
| Дополнительные возможности IKE | режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть |
| Работа через NAT | протокол NAT Traversal IPsec |
| Обеспечение надежности защищенных соединений | протокол Dead Peer Detection (DPD) |
| Управление |
|
| Событийное протоколирование | Syslog |
| Сбор статистики | SNMP v.1, v.2c |
| Формат сертификатов открытых ключей | X.509 v.3 (СТБ 34.101.19-2012) |
| Поддерживаемые системы сертификатов открытого ключа | ГосСУОК, Mailgov |
| Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом | Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64) |
| Способы передачи сертификатов между устройствами |
|
| Способы получения ключевой пары |
|
| Поддержка списка отозванных сертификатов | Обработка Certificate Revocation List (CRL) [опционально] Поддерживается CRL v.2. Способы получения CRL:
|
| Поддержка QoS | Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео |
| Межсетевой экран | СТБ 34.101.73-2017 (пункты 7.3, 7.4):
|
| Маршрутизация |
|
| Механизмы обеспечения отказоустойчивости |
|
Программно-аппаратные комплексы «Шлюз безопасности Bel VPN Gate 4.1» подразделяются как по необходимому значению производительности шифрования (по аппаратной платформе), так и по типу лицензии.
Типы лицензии Bel VPN Gate 4.1:
- Bel VPN Gate 100B — Шлюз безопасности для защиты платежных терминалов с количеством туннелей шифрования до 5
- Bel VPN Gate 100 — Шлюз безопасности с количеством туннелей шифрования до 10
- Bel VPN Gate 1000 — Шлюз безопасности с количеством туннелей шифрования до 50
- Bel VPN Gate 3000 — Шлюз безопасности с количеством туннелей шифрования до 1 000
- Bel VPN Gate 7000 — Шлюз безопасности с неограниченным количеством туннелей шифрования
- Введение
- Инициализация
- Лицензионное соглашение
- Мониторинг
- Общие настройки
- Протоколирование событий
- Создание конфигурационного файла
- Специализированные команды
- Структура документации
- Bel VPN Gate 4.1. Приложение
- Bel VPN L2 4.1. Лицензионное соглашение
- Bel VPN L2 4.1. Руководство администратора
- Bel VPN KP 4.1. Лицензионное соглашение
- Bel VPN KP 4.1. Руководство администратора
- Cisco-like команды
Bel VPN Gate 3.0.1 функционирует под управлением операционной системы Linux.
Bel VPN 3.0.1 обеспечивает:
- Конфиденциальность, целостность и аутентификацию IP пакетов;
- Гибкость в реализации политики сетевой защиты:
- Использование различных алгоритмов шифрования;
- Построение сложных конфигураций туннелей;
- Высокая стойкость защиты информации;
- Аутентификация пользователей и узлов сети;
- Контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений;
- Формирование защищенных соединений между:
- Подсетями;
- Компьютерами (клиент-сервер, одноранговые клиенты);
- Защиту для сложных сетевых инфраструктур.
Управление шлюзом безопасности осуществляется локально или удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки используется подмножество команд Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems.
Bel VPN Gate 3.0.1 совместим со следующими продуктами компаний С-Терра Бел:
- Bel VPN Gate 4.1
- Bel VPN Gate 3.0.1
- Bel VPN Gate 3.0
- Bel VPN Gate-V 4.1
- Bel VPN Client-P 4.1
- Bel VPN Client 4.1
- Bel VPN Client 3.0.1
- Bel VPN Client 3.0
| Описание | Спецификация |
| Количество одновременно поддерживаемых VPN туннелей | От 10 до неограниченного количества |
| Носитель ключевой информации | AvPass 11-E-02 |
| Операционные системы | Red Hat Linux 9 |
| Криптографический модуль | Криптобиблиотека «AvCrypt ver 5.1» (производитель ЗАО «Авест»), реализующая белорусские криптографические алгоритмы и протоколы. |
| Алгоритмы шифрования |
|
| Алгоритмы электронной цифровой подписи |
|
| Алгоритмы вычисления хэш сумм |
|
| Алгоритмы контроля целостности |
|
| Процедура выработки псевдослучайных данных | РД РБ 07040.1202-2003 |
| Стандарты IKE/IPsec | RFC 2401-2412 |
| Защита трафика | Протоколы IPsec:
|
| Управление ключами | Протокол IKE |
| Информационные обмены IKE |
|
| Режимы аутентификации IKE |
|
| Дополнительные возможности IKE | режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть |
| Работа через NAT | протокол NAT Traversal IPsec |
| Обеспечение надежности (пересинхронизации) защищенных соединений | протокол Dead Peer Detection (DPD) |
| Управление |
|
| Событийное протоколирование | Syslog |
| Сбор статистики | SNMP v.1, v.2c |
| Формат сертификатов публичных ключей | X.509 v.3 |
| Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом | Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64) |
| Способы получения сертификатов |
|
| Способы получения ключевой пары |
|
| Поддержка списка отозванных сертификатов | Обработка Certificate Revocation List (CRL) [opt] Поддерживается CRL v.2. Способы получения CRL:
|
| Поддержка QoS | Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео |
| Фильтрация |
|
| Маршрутизация |
|
Типы лицензии Bel VPN Gate 3.0.1:
- Bel VPN Gate 100 — шлюз безопасности для защиты сетей малых офисов (до 10 компьютеров) с количеством туннелей шифрования до 10;
- Bel VPN Gate 1000 — шлюз безопасности для защиты сетей малых и средних офисов (10-50 компьютеров) с количеством туннелей шифрования до 50;
- Bel VPN Gate 3000 — шлюз безопасности для защиты сетей средних офисов (до 250 компьютеров) с количеством туннелей шифрования до 1 000;
- Bel VPN Gate 7000 — шлюз безопасности для защиты сетей крупных офисов (свыше 250 компьютеров) с неограниченным количеством туннелей шифрования.
- Введение
- Инсталляция Bel VPN Gate при использовании «AvCrypt ver. 5.1»
- Инструкции по восстановлению ПАК
- Инструкция администратора категорированной сети
- Конфигурирование с помощью CiscoWorks
- Лицензионное соглашение
- Мониторинг
- Общие настройки
- Описание программы
- Протоколирование событий
- Примеры конфигураций в различных сценариях
- Создание конфигурационного файла
- Специализированные команды
- Структура документации
- Сценарии конфигурирования
- Управление Bel VPN Gate с помощью Cisco Security Manager
- Bel VPN Gate 3.0.1 Приложение
- Cisco-like команды
Основные отличия версии 3.0.1 от версии 4.1
| Bel VPN Gate 3.0.1 | Bel VPN Gate 4.1 | |
|---|---|---|
| Операционная система | Red Hat Linux 6 | Debian GNU\Linux 6 |
| Криптографические алгоритмы | ||
| ЭЦП | СТБ 1176.2-99 | СТБ 1176.2-99 СТБ 34.101.45-2013 |
| Шифрование | ГОСТ 28147-89 | ГОСТ 28147-89 СТБ 34.101.31-2011 (6.4) |
| Вычисление хэш-значений | СТБ 1176.1-99 | СТБ 1176.1-99 СТБ 34.101.31-2011 (6.9) |
| Контроль целостности | ГОСТ 28147-89 (имитовставка) СТБ 34.101.31-2011 (6.9 HMAC) |
ГОСТ 28147-89 (имитовставка) СТБ 1176.1-99 (HMAC) СТБ 34.101.31-2011 (6.6) |
| Производительность | поставляется только на аппаратной платформе S-TERRA GATE 1000 с производительностью до 160Мбит/с | поставляется на различных аппаратных платформах с производительностью от 50Мбит/с до 3.5Гбит/с |