Шлюз безопасности Bel VPN Gate

программно-аппаратный комплекс

Запрос в службу технической поддержки

Цены на продукты

Программно-аппаратный комплекс «Шлюз безопасности Bel VPN Gate 4.1» (Bel VPN Gate 4.1) и программно-аппаратный комплекс «Шлюз безопасности Bel VPN Gate 3.0.1» (Bel VPN Gate 3.0.1) предназначены для обеспечения сетевой безопасности корпоративной сети любой топологии: выполняют функции шифрования, контроля целостности (криптографической защиты), а также фильтрацию как трафика подсетей, проходящего через них, так и защиту трафика самих шлюзов безопасности.

Комплексные решения на базе ПАК Шлюз

Защита межсетевого взаимодействия

Защита удаленного доступа

Защита удаленного доступа с мобильных устройств

Защита канала 10G

Защита платежных систем

Bel VPN Gate 4.1

Описание

Bel VPN Gate 4.1 обеспечивает:

создание виртуальных защищенных сетей (IPsec VPN) с применением белорусских криптографических стандартов
защиту транзитного трафика между различными узлами сети и защиту трафика самого шлюза безопасности на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP
маскировку топологии защищаемого сегмента сети (туннелирование трафика)
пакетную stateless фильтрацию трафика
контекстную (stateful) фильтрацию для протоколов TCP и FTP
различные наборы правил обработки трафика на различных интерфейсах

Bel VPN Gate 4.1 поддерживает:

получение сертификатов открытых ключей по протоколу LDAP
событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования (syslog)
сбор статистики для мониторинга (SNMP)
реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию
возможность задания дополнительной аутентификации партнера на основе запросов на RADIUS сервер;
регулируемую стойкость защиты трафика
работу по расписанию для правил пакетной фильтрации
возможность задания независимых правил для входящего и исходящего трафика на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика
классификацию и маркирование трафика
загрузку политики из внешнего файла

В состав Bel VPN Gate 4.1 входит программный модуль Bel VPN L2, обеспечивающий возможность защищенного взаимодействия сегментов сети на канальном уровне.

Bel VPN L2 обеспечивает:

объединение территориально распределенных сетей в один широковещательный домен
передачу широковещательных (broadcast) и multicast пакетов тестированного трафика (VLAN trunk), меток IPV4 и др.
обработку приоритетного трафика
минимальные настройки маршрутизации

Bel VPN L2 применяется для:

организации защищенного канала между ЦОД
реализации миграции сетевой инфраструктуры
построения высокопроизводительного, отказоустойчивого решения с балансировкой нагрузки

Управление шлюзом безопасности осуществляется:

централизованно-удаленно посредством Программного продукта «Bel VPN KP 4.1»
локально и удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems
при помощи конфигурационного текстового файла, описывающего политику безопасности, и последующей загрузки этого файла на шлюз

Bel VPN Gate 4.1 совместим со следующими продуктами компаний C-Терра Бел:

Спецификация

Описание	Спецификация
Количество одновременно поддерживаемых VPN туннелей	5/10/50/1000/неограниченное количество
Производительность	От 50 Мб/с
Количество сетевых интерфейсов	Не менее 2
Носитель ключевой информации	AvPass 11-E-02 / AvPass 11-E-04 / AvBign 128-C-01
Алгоритмы шифрования	СТБ 34.101.31-2011 ГОСТ 28147-89
Алгоритмы контроля целостности (имитозащита)	СТБ 34.101.31-2011 ГОСТ 28147-89
Алгоритмы электронной цифровой подписи	СТБ 34.101.45-2013 СТБ 1176.2-99
Алгоритмы вычисления хэш сумм	СТБ 34.101.31-2011 СТБ 1176.1-99
Генерация случайных данных	Аппаратный датчик (AvPass 11-E-02 / AvPass 11-E-04 / AvBign 128-C-01), СТБ 34.101.47-2012
Стандарты IKE/IPsec	RFC 2401-2412
Защита трафика	Протоколы IPsec: IPsec Encapsulating Security Payload (ESP) – инкапсуляция пакетов данных IPsec Authentication Header (AH) – защищенный заголовок
Управление ключами	Протокол IKE
Информационные обмены IKE	Main mode Aggressive mode Quick mode Transaction Exchanges Informational Exchanges
Режимы аутентификации IKE	по сертификатам (СТБ 34.101.45-2013, СТБ 1176.2-99) по preshared key
Дополнительные возможности IKE	режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть
Работа через NAT	протокол NAT Traversal IPsec
Обеспечение надежности защищенных соединений	протокол Dead Peer Detection (DPD)
Управление	локально (CLI) или удаленно по протоколу SSH с помощью программного продукта Bel VPN KP 4.1
Событийное протоколирование	Syslog
Сбор статистики	SNMP v.1, v.2c
Формат сертификатов открытых ключей	X.509 v.3 (СТБ 34.101.19-2012)
Поддерживаемые системы сертификатов открытого ключа	ГосСУОК, Mailgov
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом	Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64)
Способы передачи сертификатов между устройствами	протокол IKE протокол LDAP v.3 импорт из файла: PKCS#7 (bin/base64), PKCS#12 (bin/base64)
Способы получения ключевой пары	генерация продуктом с выдачей CER генерация внешним PKI сервисом с доставкой через PKSC#12
Поддержка списка отозванных сертификатов	Обработка Certificate Revocation List (CRL) [опционально] Поддерживается CRL v.2. Способы получения CRL: протокол LDAP v.3 импорт из файла: PKCS#7 (bin/base64), PKCS#12(bin/base64)
Поддержка QoS	Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео
Фильтрация	по IP-адресу (диапазон IP, хост) источника и назначения по порту и типу протокола обработка фрагментированных пакетов
Маршрутизация	cтатическая маршрутизация RIPv2 OSPF контроль фрагментации пакетов в канале назначение IP из локального пула адресов (IKE-CFG)
Механизмы обеспечения отказоустойчивости	VRRP RRI

Масштабируемость

Программно-аппаратные комплексы «Шлюз безопасности Bel VPN Gate 4.1» подразделяются как по необходимому значению производительности шифрования (по аппаратной платформе), так и по типу лицензии.

Типы лицензии Bel VPN Gate 4.1:

Bel VPN Gate 100B — Шлюз безопасности для защиты платежных терминалов с количеством туннелей шифрования до 5
Bel VPN Gate 100 — Шлюз безопасности с количеством туннелей шифрования до 10
Bel VPN Gate 1000 — Шлюз безопасности с количеством туннелей шифрования до 50
Bel VPN Gate 3000 — Шлюз безопасности с количеством туннелей шифрования до 1 000
Bel VPN Gate 7000 — Шлюз безопасности с неограниченным количеством туннелей шифрования

Документация

Скачать одним архивом

Сертификат соответствия

Bel VPN Gate 3.0.1

Описание

Bel VPN Gate 3.0.1 функционирует под управлением операционной системы Linux.

Bel VPN 3.0.1 обеспечивает:

Конфиденциальность, целостность и аутентификацию IP пакетов;
Гибкость в реализации политики сетевой защиты:
- Использование различных алгоритмов шифрования;
- Построение сложных конфигураций туннелей;
Высокая стойкость защиты информации;
Аутентификация пользователей и узлов сети;
Контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений;
Формирование защищенных соединений между:
- Подсетями;
- Компьютерами (клиент-сервер, одноранговые клиенты);
Защиту для сложных сетевых инфраструктур.

Управление шлюзом безопасности осуществляется локально или удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки используется подмножество команд Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems.

Bel VPN Gate 3.0.1 совместим со следующими продуктами компаний С-Терра Бел:

Спецификация

Описание	Спецификация
Количество одновременно поддерживаемых VPN туннелей	От 10 до неограниченного количества
Носитель ключевой информации	AvPass 11-E-02
Операционные системы	Red Hat Linux 9
Криптографический модуль	Криптобиблиотека «AvCrypt ver 5.1» (производитель ЗАО «Авест»), реализующая белорусские криптографические алгоритмы и протоколы.
Алгоритмы шифрования	ГОСТ 28147-89 возможно использование: 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC
Алгоритмы электронной цифровой подписи	СТБ 1176.2-99 возможно использование: DSA, RSA
Алгоритмы вычисления хэш сумм	СТБ 1176.1-99 возможно использование: MD5, SHA1
Алгоритмы контроля целостности	Имитозащита по ГОСТ 28147-89 СТБ 34.101.31-2011 в режиме HMAC
Процедура выработки псевдослучайных данных	РД РБ 07040.1202-2003
Стандарты IKE/IPsec	RFC 2401-2412
Защита трафика	Протоколы IPsec: IPsec Encapsulating Security Payload (ESP) IPsec Authentication Header (AH)
Управление ключами	Протокол IKE
Информационные обмены IKE	Main mode Aggressive mode Quick mode Transaction Exchanges Informational Exchanges
Режимы аутентификации IKE	по сертификатам (СТБ 1176.2-99, возможно также RSA digital signature, DSA digital signature) по preshared key
Дополнительные возможности IKE	режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть
Работа через NAT	протокол NAT Traversal IPsec
Обеспечение надежности (пересинхронизации) защищенных соединений	протокол Dead Peer Detection (DPD)
Управление	локально или удаленно по протоколу SSH централизованно удаленно посредством графического интерфейса центра управления CiscoWorks VPN/Security Management Solution v.2.3 – CiscoWorks Router Management Center (Router MC) централизованно удаленно посредством графического интерфейса Cisco Security Manager 3.2 (CSM), который входит в состав Cisco Security Management Suite удаленно с использованием web-интерфейса управления
Событийное протоколирование	Syslog
Сбор статистики	SNMP v.1, v.2c
Формат сертификатов публичных ключей	X.509 v.3
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом	Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64)
Способы получения сертификатов	протоколы IKE, LDAP v.3 импорт из файла: PKCS#7 (bin/base64), PKCS#12 (bin/base64)
Способы получения ключевой пары	генерация продуктом с выдачей CER генерация внешним PKI сервисом с доставкой через PKSC#12, контейнеры Авест
Поддержка списка отозванных сертификатов	Обработка Certificate Revocation List (CRL) [opt] Поддерживается CRL v.2. Способы получения CRL: протокол LDAP v.3 импорт из файла: PKCS#7 (bin/base64), PKCS#12(bin/base64)
Поддержка QoS	Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео
Фильтрация	по IP-адресу (диапазон IP, хост) источника и назначения по порту и типу протокола обработка фрагментированных пакетов
Маршрутизация	cтатическая маршрутизация управляемый политикой IPsec контроль фрагментации пакетов в канале обнаружения отказов удаленных узлов: IKE keep-alive extension — Dead Peer Detection удаленный клиент IP, назначение IP из локального пула адресов (IKECFG)

Масштабируемость

Типы лицензии Bel VPN Gate 3.0.1:

Bel VPN Gate 100 — шлюз безопасности для защиты сетей малых офисов (до 10 компьютеров) с количеством туннелей шифрования до 10;
Bel VPN Gate 1000 — шлюз безопасности для защиты сетей малых и средних офисов (10-50 компьютеров) с количеством туннелей шифрования до 50;
Bel VPN Gate 3000 — шлюз безопасности для защиты сетей средних офисов (до 250 компьютеров) с количеством туннелей шифрования до 1 000;
Bel VPN Gate 7000 — шлюз безопасности для защиты сетей крупных офисов (свыше 250 компьютеров) с неограниченным количеством туннелей шифрования.

Документация

Скачать одним архивом

Сертификат соответствия

Основные отличия версии 3.0.1 от версии 4.1

	Bel VPN Gate 3.0.1	Bel VPN Gate 4.1
Операционная система	Red Hat Linux 6	Debian GNU\Linux 6
Криптографические алгоритмы
ЭЦП	СТБ 1176.2-99	СТБ 1176.2-99 СТБ 34.101.45-2013
Шифрование	ГОСТ 28147-89	ГОСТ 28147-89 СТБ 34.101.31-2011 (6.4)
Вычисление хэш-значений	СТБ 1176.1-99	СТБ 1176.1-99 СТБ 34.101.31-2011 (6.9)
Контроль целостности	ГОСТ 28147-89 (имитовставка) СТБ 34.101.31-2011 (6.9 HMAC)	ГОСТ 28147-89 (имитовставка) СТБ 1176.1-99 (HMAC) СТБ 34.101.31-2011 (6.6)
Производительность	поставляется только на аппаратной платформе S-TERRA GATE 1000 с производительностью до 160Мбит/с	поставляется на различных аппаратных платформах с производительностью от 50Мбит/с до 3.5Гбит/с