Шлюз безопаcности Bel VPN Gate 4.5

комплекс программно-аппаратный
Версия 4.5


Описание

Комплекс программно-аппаратный «Шлюз безопаcности Bel VPN Gate 4.5» (ПАК Bel VPN Gate) предназначено для защиты информации (сетевого трафика), поступающей в информационную систему и/или выходящей из нее, а также обеспечивающим защиту информационной системы посредством фильтрации потока информации.

ПАК Bel VPN Gate обеспечивает:

  • создание виртуальных защищенных сетей (VPN);
  • защиту транзитного трафика между персональным устройством пользователя и различными узлами сети и защиту трафика самого устройства безопасности на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP в рамках международных стандартов:
    — Security Architecture for the Internet Protocol –  Authentication Header (AH);
    — IP Encapsulating Security Payload (ESP);
    — Internet Security Association and Key Management Protocol (ISAKMP);
    — The Internet Key Exchange (IKE);
    — The Internet IP Security Domain of Interpretation for ISAKMP (DOI);
  • пакетную stateless фильтрацию трафика;
  • контекстную (stateful) фильтрацию для протоколов TCP и FTP;
  • работу по расписанию для правил пакетной фильтрации;
  • классификацию и маркирование трафика;
  • различные наборы правил обработки трафика на различных интерфейсах;
  • возможность задания независимых правил для входящего и исходящего трафиков на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика;
  • получение сертификатов открытых ключей по протоколу LDAP;
  • событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования;
  • сбор статистики для мониторинга;
  • реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию;
  • регулируемую стойкость защиты трафика;
  • маскировку сетевых интерфейсов ПЭВМ (туннелирование трафика);
  • возможность задания дополнительной аутентификации партнера на основе запросов на RADIUS сервер;
  • загрузку политики из внешнего файла.

Управление ПАК Bel VPN Gate осуществляется:

  • централизованно-удаленно посредством Программного продукта «Система централизованного управления Bel VPN KP 4.5»;
  • локально и удаленно по протоколу SSH, с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems;
  • при помощи конфигурационного текстового файла, описывающего политику безопасности, и последующей загрузки этого файла на ПАК Bel VPN Gate 4.5;

ПАК Bel VPN Gate совместим со следующими продуктами компаний C-Терра Бел:

Описание Спецификация
Количество одновременно поддерживаемых VPN туннелей 10/50/1000/неограниченное количество
Производительность От 100 Мб/с до 15 Гбит/с
Количество сетевых интерфейсов Не менее 2
Размещение аппаратных платформ

Аппаратные платформы белорусского производства имеют как стоячное так и серверное исполнение (для установки в серверную стойку), могут быть дополнительно доукомплектованы различными сетевыми интерфейсами, с возможностью их размещения как на передней так и на задней панели.

Стоячный вариант исполнения АП также может быть устанволен в серверном шкафу при приобретении дополнительных комплектующих — Полки металлической.

Носитель ключевой информации AvPass 11-E-05 (AvPass 11-E-06) / AvBign 128-C-01
Алгоритмы шифрования СТБ 34.101.31-2011
Алгоритмы контроля целостности (имитозащита) СТБ 34.101.31-2011
Алгоритмы электронной цифровой подписи СТБ 34.101.45-2013
Алгоритмы вычисления хэш сумм СТБ 34.101.31-2011
Генерация случайных данных Аппаратный датчик (AvPass 11-E-05 (AvPass 11-E-06) / AvBign 128-C-01), СТБ 34.101.47-2017
Защита трафика

Протоколы IPsec:

  • IPsec Encapsulating Security Payload (ESP) – инкапсуляция пакетов данных
  • IPsec Authentication Header (AH) – защищенный заголовок
Управление ключами Протокол IKE
Информационные обмены IKE
  • Main mode
  • Aggressive mode
  • Quick mode
  • Transaction Exchanges
  • Informational Exchanges
Режимы аутентификации IKE
  • по preshared key
  • по сертификатам (СТБ 34.101.45-2013)
Дополнительные возможности IKE режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть
Работа через NAT протокол NAT Traversal IPsec
Обеспечение надежности защищенных соединений протокол Dead Peer Detection (DPD)
Управление
  • локально (CLI) или удаленно по протоколу SSH
  • с помощью программного продукта Bel VPN KP 4.5
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов открытых ключей X.509 v.3 (СТБ 34.101.19-2012)
Поддерживаемые системы сертификатов открытого ключа ГосСУОК
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64)
Способы передачи сертификатов между устройствами
  • протокол IKE
  • протокол LDAP v.3
  • импорт из файла: PKCS#7 (bin/base64), PKCS#12 (bin/base64)
Способы получения ключевой пары
  • генерация продуктом с выдачей CER
  • генерация внешним PKI сервисом с доставкой через PKSC#12
Поддержка списка отозванных сертификатов

Обработка Certificate Revocation List (CRL) [опционально]
Поддерживается CRL v.2.
Способы получения CRL:

 

  • протокол LDAP v.3
  • импорт из файла: PKCS#7 (bin/base64), PKCS#12(bin/base64)
Поддержка QoS Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео
Межсетевой экран

СТБ 34.101.73-2017 (пункты 7.3, 7.4):

  • по IP-адресу (диапазон IP, хост) источника и назначения
  • по порту и типу протокола
  • обработка фрагментированных пакетов
Маршрутизация
  • cтатическая маршрутизация
  • RIPv2
  • OSPF
  • BGP
  • контроль фрагментации пакетов в канале
  • назначение IP из локального пула адресов (IKE-CFG)
Механизмы обеспечения отказоустойчивости
  • VRRP
  • RRI

 

Типы лицензии ПАК Bel VPN Gate 4.5: