Комплексные решения на базе ПАК Шлюз
Программно-аппаратный комплекс «Шлюз безопасности Bel VPN Gate 4.5» (Bel VPN Gate 4.5) предназначен для обеспечения сетевой безопасности корпоративной сети любой топологии: выполняет функции шифрования, контроля целостности (криптографической защиты), а также фильтрацию как трафика подсетей, проходящего через него, так и защиту трафика самого шлюзов безопасности.
Bel VPN Gate 4.5 обеспечивает:
- создание виртуальных защищенных сетей (IPsec VPN) с применением белорусских криптографических стандартов на аппартаных платформах белорусского производства
- защиту транзитного трафика между различными узлами сети и защиту трафика самого шлюза безопасности на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP
- маскировку топологии защищаемого сегмента сети (туннелирование трафика)
- пакетную stateless фильтрацию трафика
- контекстную (stateful) фильтрацию для протоколов TCP и FTP
- различные наборы правил обработки трафика на различных интерфейсах
Bel VPN Gate 4.5 поддерживает:
- получение сертификатов открытых ключей по протоколу LDAP
- событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования (syslog)
- сбор статистики для мониторинга (SNMP)
- реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию
- возможность задания дополнительной аутентификации партнера на основе запросов на RADIUS сервер;
- регулируемую стойкость защиты трафика
- работу по расписанию для правил пакетной фильтрации
- возможность задания независимых правил для входящего и исходящего трафика на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика
- классификацию и маркирование трафика
- загрузку политики из внешнего файла
В состав Bel VPN Gate 4.5 входит программный модуль Bel VPN L2, обеспечивающий возможность защищенного взаимодействия сегментов сети на канальном уровне.
Bel VPN L2 обеспечивает:
- объединение территориально распределенных сетей в один широковещательный домен
- передачу широковещательных (broadcast) и multicast пакетов тестированного трафика (VLAN trunk), меток IPV4 и др.
- обработку приоритетного трафика
- минимальные настройки маршрутизации
Bel VPN L2 применяется для:
- организации защищенного канала между ЦОД
- реализации миграции сетевой инфраструктуры
- построения высокопроизводительного, отказоустойчивого решения с балансировкой нагрузки
Управление шлюзом безопасности осуществляется:
- централизованно-удаленно посредством Программного продукта «Bel VPN KP 4.5»
- локально и удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems
- при помощи конфигурационного текстового файла, описывающего политику безопасности, и последующей загрузки этого файла на шлюз
- при помощи интеллектуального интерфейса управления платформой IPMI (Intelligent Platform Management Interface), опционально
Bel VPN Gate 4.5 совместим со следующими продуктами компаний C-Терра Бел:
Описание | Спецификация |
---|---|
Количество одновременно поддерживаемых VPN туннелей | 10/50/1000/неограниченное количество |
Производительность | От 100 Мб/с до 10 Гбит/с |
Количество сетевых интерфейсов | Не менее 2 |
Размещение аппаратных платформ |
Аппаратные платформы белорусского производства имеют как стоячное так и серверное исполнение (для установки в серверную стойку), могут быть дополнительно доукомплектованы различными сетевыми интерфейсами, с возможностью их размещения как на передней так и на задней панели. Стоячный вариант исполнения АП также может быть устанволен в серверном шкафу при приобретении дополнительных комплектующих — Полки металлической. |
Носитель ключевой информации | AvPass 11-E-04 / AvBign 128-C-01 |
Алгоритмы шифрования | СТБ 34.101.31-2011 |
Алгоритмы контроля целостности (имитозащита) | СТБ 34.101.31-2011 |
Алгоритмы электронной цифровой подписи | СТБ 34.101.45-2013 |
Алгоритмы вычисления хэш сумм | СТБ 34.101.31-2011 |
Генерация случайных данных | Аппаратный датчик (AvPass 11-E-04 / AvBign 128-C-01), СТБ 34.101.47-2017 |
Стандарты IKE/IPsec | RFC 2401-2412 |
Защита трафика |
Протоколы IPsec:
|
Управление ключами | Протокол IKE |
Информационные обмены IKE |
|
Режимы аутентификации IKE |
|
Дополнительные возможности IKE | режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть |
Работа через NAT | протокол NAT Traversal IPsec |
Обеспечение надежности защищенных соединений | протокол Dead Peer Detection (DPD) |
Управление |
|
Событийное протоколирование | Syslog |
Сбор статистики | SNMP v.1, v.2c |
Формат сертификатов открытых ключей | X.509 v.3 (СТБ 34.101.19-2012) |
Поддерживаемые системы сертификатов открытого ключа | ГосСУОК |
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом | Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64) |
Способы передачи сертификатов между устройствами |
|
Способы получения ключевой пары |
|
Поддержка списка отозванных сертификатов |
Обработка Certificate Revocation List (CRL) [опционально]
|
Поддержка QoS | Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео |
Межсетевой экран |
СТБ 34.101.73-2017 (пункты 7.3, 7.4):
|
Маршрутизация |
|
Механизмы обеспечения отказоустойчивости |
|

- Руководство по эксплуатации
- Руководство пользователя
- Cisco-like команды. Руководство пользователя
- Специализированные команды. Руководство пользователя
- Форматы и расширения. Руководство пользователя
- Создание конфигурационного файла. Руководство пользователя
- Модуль Bel VPN L2. Руководство пользователя
Bel VPN Gate 4.1 обеспечивает:
- создание виртуальных защищенных сетей (IPsec VPN) с применением белорусских криптографических стандартов
- защиту транзитного трафика между различными узлами сети и защиту трафика самого шлюза безопасности на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP
- маскировку топологии защищаемого сегмента сети (туннелирование трафика)
- пакетную stateless фильтрацию трафика
- контекстную (stateful) фильтрацию для протоколов TCP и FTP
- различные наборы правил обработки трафика на различных интерфейсах
Bel VPN Gate 4.1 поддерживает:
- получение сертификатов открытых ключей по протоколу LDAP
- событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования (syslog)
- сбор статистики для мониторинга (SNMP)
- реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию
- возможность задания дополнительной аутентификации партнера на основе запросов на RADIUS сервер;
- регулируемую стойкость защиты трафика
- работу по расписанию для правил пакетной фильтрации
- возможность задания независимых правил для входящего и исходящего трафика на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика
- классификацию и маркирование трафика
- загрузку политики из внешнего файла
В состав Bel VPN Gate 4.1 входит программный модуль Bel VPN L2, обеспечивающий возможность защищенного взаимодействия сегментов сети на канальном уровне.
Bel VPN L2 обеспечивает:
- объединение территориально распределенных сетей в один широковещательный домен
- передачу широковещательных (broadcast) и multicast пакетов тестированного трафика (VLAN trunk), меток IPV4 и др.
- обработку приоритетного трафика
- минимальные настройки маршрутизации
Bel VPN L2 применяется для:
- организации защищенного канала между ЦОД
- реализации миграции сетевой инфраструктуры
- построения высокопроизводительного, отказоустойчивого решения с балансировкой нагрузки
Управление шлюзом безопасности осуществляется:
- централизованно-удаленно посредством Программного продукта «Bel VPN KP 4.1»
- локально и удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems
- при помощи конфигурационного текстового файла, описывающего политику безопасности, и последующей загрузки этого файла на шлюз
Bel VPN Gate 4.1 совместим со следующими продуктами компаний C-Терра Бел:
Описание | Спецификация |
---|---|
Количество одновременно поддерживаемых VPN туннелей | 5/10/50/1000/неограниченное количество |
Производительность | От 50 Мб/с |
Количество сетевых интерфейсов | Не менее 2 |
Размещение аппаратных платформ | Аппаратные платформы, за исключением аппаратных платформ программно-аппаратного комплекса «Шлюз безопасности Bel VPN Gate 4.1» c лицензией до 10 туннелей (Gate 100) до 50 Мбит/c, имеют серверное исполнение и могут быть размещены в серверных шкафах. Размещение программно-аппаратного комплекса «Шлюз безопасности Bel VPN Gate 4.1» c лицензией до 10 туннелей (Gate 100) до 50 Мбит/c в серверных шкафах возможно при приобретении дополнительных комплектующих — Полки металлической. |
Носитель ключевой информации | AvPass 11-E-02 / AvPass 11-E-04 / AvBign 128-C-01 |
Алгоритмы шифрования |
|
Алгоритмы контроля целостности (имитозащита) |
|
Алгоритмы электронной цифровой подписи |
|
Алгоритмы вычисления хэш сумм |
|
Генерация случайных данных | Аппаратный датчик (AvPass 11-E-02 / AvPass 11-E-04 / AvBign 128-C-01), СТБ 34.101.47-2017 |
Стандарты IKE/IPsec | RFC 2401-2412 |
Защита трафика | Протоколы IPsec:
|
Управление ключами | Протокол IKE |
Информационные обмены IKE |
|
Режимы аутентификации IKE |
|
Дополнительные возможности IKE | режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть |
Работа через NAT | протокол NAT Traversal IPsec |
Обеспечение надежности защищенных соединений | протокол Dead Peer Detection (DPD) |
Управление |
|
Событийное протоколирование | Syslog |
Сбор статистики | SNMP v.1, v.2c |
Формат сертификатов открытых ключей | X.509 v.3 (СТБ 34.101.19-2012) |
Поддерживаемые системы сертификатов открытого ключа | ГосСУОК, Mailgov |
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом | Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64) |
Способы передачи сертификатов между устройствами |
|
Способы получения ключевой пары |
|
Поддержка списка отозванных сертификатов | Обработка Certificate Revocation List (CRL) [опционально] Поддерживается CRL v.2. Способы получения CRL:
|
Поддержка QoS | Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео |
Межсетевой экран | СТБ 34.101.73-2017 (пункты 7.3, 7.4):
|
Маршрутизация |
|
Механизмы обеспечения отказоустойчивости |
|
Программно-аппаратные комплексы «Шлюз безопасности Bel VPN Gate 4.1» подразделяются как по необходимому значению производительности шифрования (по аппаратной платформе), так и по типу лицензии.
Типы лицензии Bel VPN Gate 4.1:
- Bel VPN Gate 100 — Шлюз безопасности с количеством туннелей шифрования до 10
- Bel VPN Gate 1000 — Шлюз безопасности с количеством туннелей шифрования до 50
- Bel VPN Gate 3000 — Шлюз безопасности с количеством туннелей шифрования до 1 000
- Bel VPN Gate 7000 — Шлюз безопасности с неограниченным количеством туннелей шифрования

- Введение
- Инициализация
- Лицензионное соглашение
- Мониторинг
- Общие настройки
- Протоколирование событий
- Создание конфигурационного файла
- Специализированные команды
- Структура документации
- Bel VPN Gate 4.1. Приложение
- Bel VPN L2 4.1. Лицензионное соглашение
- Bel VPN L2 4.1. Руководство администратора
- Bel VPN KP 4.1. Лицензионное соглашение
- Bel VPN KP 4.1. Руководство администратора
- Cisco-like команды
Bel VPN 3.0.1 обеспечивает:
- Конфиденциальность, целостность и аутентификацию IP пакетов;
- Гибкость в реализации политики сетевой защиты:
- Использование различных алгоритмов шифрования;
- Построение сложных конфигураций туннелей;
- Высокая стойкость защиты информации;
- Аутентификация пользователей и узлов сети;
- Контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений;
- Формирование защищенных соединений между:
- Подсетями;
- Компьютерами (клиент-сервер, одноранговые клиенты);
- Защиту для сложных сетевых инфраструктур.
Управление шлюзом безопасности осуществляется локально или удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки используется подмножество команд Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems.
Bel VPN Gate 3.0.1 совместим со следующими продуктами компаний С-Терра Бел:
- Bel VPN Gate 4.1
- Bel VPN Gate 3.0.1
- Bel VPN Gate 3.0
- Bel VPN Gate-V 4.1
- Bel VPN Client-P 4.1
- Bel VPN Client 4.1
- Bel VPN Client 3.0.1
- Bel VPN Client 3.0
Описание | Спецификация |
Количество одновременно поддерживаемых VPN туннелей | От 10 до неограниченного количества |
Носитель ключевой информации | AvPass 11-E-02 |
Операционные системы | Red Hat Linux 9 |
Криптографический модуль | Криптобиблиотека «AvCrypt ver 5.1» (производитель ЗАО «Авест»), реализующая белорусские криптографические алгоритмы и протоколы. |
Алгоритмы шифрования |
|
Алгоритмы электронной цифровой подписи |
|
Алгоритмы вычисления хэш сумм |
|
Алгоритмы контроля целостности |
|
Процедура выработки псевдослучайных данных | РД РБ 07040.1202-2003 |
Стандарты IKE/IPsec | RFC 2401-2412 |
Защита трафика | Протоколы IPsec:
|
Управление ключами | Протокол IKE |
Информационные обмены IKE |
|
Режимы аутентификации IKE |
|
Дополнительные возможности IKE | режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть |
Работа через NAT | протокол NAT Traversal IPsec |
Обеспечение надежности (пересинхронизации) защищенных соединений | протокол Dead Peer Detection (DPD) |
Управление |
|
Событийное протоколирование | Syslog |
Сбор статистики | SNMP v.1, v.2c |
Формат сертификатов публичных ключей | X.509 v.3 |
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом | Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64) |
Способы получения сертификатов |
|
Способы получения ключевой пары |
|
Поддержка списка отозванных сертификатов | Обработка Certificate Revocation List (CRL) [opt] Поддерживается CRL v.2. Способы получения CRL:
|
Поддержка QoS | Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео |
Фильтрация |
|
Маршрутизация |
|
Типы лицензии Bel VPN Gate 3.0.1:
- Bel VPN Gate 100 — шлюз безопасности для защиты сетей малых офисов (до 10 компьютеров) с количеством туннелей шифрования до 10;
- Bel VPN Gate 1000 — шлюз безопасности для защиты сетей малых и средних офисов (10-50 компьютеров) с количеством туннелей шифрования до 50;
- Bel VPN Gate 3000 — шлюз безопасности для защиты сетей средних офисов (до 250 компьютеров) с количеством туннелей шифрования до 1 000;
- Bel VPN Gate 7000 — шлюз безопасности для защиты сетей крупных офисов (свыше 250 компьютеров) с неограниченным количеством туннелей шифрования.

- Введение
- Инсталляция Bel VPN Gate при использовании «AvCrypt ver. 5.1»
- Инструкции по восстановлению ПАК
- Инструкция администратора категорированной сети
- Конфигурирование с помощью CiscoWorks
- Лицензионное соглашение
- Мониторинг
- Общие настройки
- Описание программы
- Протоколирование событий
- Примеры конфигураций в различных сценариях
- Создание конфигурационного файла
- Специализированные команды
- Структура документации
- Сценарии конфигурирования
- Управление Bel VPN Gate с помощью Cisco Security Manager
- Bel VPN Gate 3.0.1 Приложение
- Cisco-like команды
Основные отличия версии 3.0.1 от версии 4.1
Bel VPN Gate 3.0.1 | Bel VPN Gate 4.1 | |
---|---|---|
Операционная система | Red Hat Linux 6 | Debian GNU\Linux 6 |
Криптографические алгоритмы | ||
ЭЦП | СТБ 1176.2-99 | СТБ 1176.2-99 СТБ 34.101.45-2013 |
Шифрование | ГОСТ 28147-89 | ГОСТ 28147-89 СТБ 34.101.31-2011 (6.4) |
Вычисление хэш-значений | СТБ 1176.1-99 | СТБ 1176.1-99 СТБ 34.101.31-2011 (6.9) |
Контроль целостности | ГОСТ 28147-89 (имитовставка) СТБ 34.101.31-2011 (6.9 HMAC) |
ГОСТ 28147-89 (имитовставка) СТБ 1176.1-99 (HMAC) СТБ 34.101.31-2011 (6.6) |
Производительность | поставляется только на аппаратной платформе S-TERRA GATE 1000 с производительностью до 160Мбит/с | поставляется на различных аппаратных платформах с производительностью от 50Мбит/с до 3.5Гбит/с |