Пограммный комплекс «Шлюз безопасности Bel VPN Gate 4.5» (ПК Bel VPN Gate-P 4.5) функционирует как в виртуальной среде – наиболее популярных гипервизорах (VMware ESXi, Citrix XenServer, KVM и др.), так и на любых аппаратных платформах поддерживающих ОС Linux.
Пограммный комплекс «Шлюз безопасности Bel VPN Gate 4.5» (ПК Bel VPN Gate-P 4.5) функционирует как в виртуальной среде – наиболее популярных гипервизорах (VMware ESXi, Citrix XenServer, KVM и др.), так и на любых аппаратных платформах поддерживающих ОС Linux.
ПК Bel VPN Gate-P 4.5 обеспечивает:
- Cоздание виртуальных частных сетей (VPN);
- Защиту транзитного трафика между различными узлами сети и защиту трафика самого шлюза безопасности на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP;
- Пакетную stateless фильтрацию трафика;
- Контекстную (stateful) фильтрацию для протоколов TCP и FTP;
- Работу по расписанию для правил пакетной фильтрации;
- Классификацию и маркирование трафика;
- Различные наборы правил обработки трафика на различных интерфейсах;
- Возможность задания независимых правил для входящего и исходящего трафика на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика;
- Получение сертификатов открытых ключей по протоколу LDAP;
- Событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования;
- Сбор статистики для мониторинга;
- Реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию;
- Регулируемую стойкость защиты трафика;
- Маскировку топологии защищаемого сегмента сети (туннелирование трафика);
- Возможность задания дополнительной аутентификации партнера на основе запросов на RADIUS сервер;
- Загрузку политики из внешнего файла.
Управление виртуальным шлюзом безопасности осуществляется:
- Централизованно-удаленно посредством программного продукта «Bel VPN KP 4.5»;
- Локально и удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems;
- При помощи конфигурационного текстового файла, описывающего политику безопасности, и последующей загрузки этого файла на шлюз.
Bel VPN Gate-P 4.5 совместим со следующими продуктами компаний C-Терра Бел:
- Bel VPN Gate 4.5
- Bel VPN Gate 4.1
- Bel VPN Gate-V 4.1
- Bel VPN Client-DSP 4.5
- Bel VPN Client-P 4.1
- Bel VPN Client 4.1
- Bel VPN Client-M 4.1
- Bel VPN Client-M 4.5
- Bel VPN KP 4.5
Предусмотрены 2 варианта установки ПК Bel VPN Gate—P 4.5:
1 Вариант:
ПК Bel VPN Gate-P 4.5 устанавливается посредством экспорта образа виртуальной машины под управлением операционной системы Debian GNU/Linux 9, созданного в одном из наиболее популярных гипервизоров (VMware ESXi, Citrix XenServer, KVM) – по умолчанию в комплект поставки включен файл формата *.vmdk для экспорта в гипервизор VMware.
2 Вариант:
ПК Bel VPN Gate-P 4.5 устанавливается в виде deb-пакета на аппаратную платформу любого производителя, поддерживающую Linux
ВАЖНО: Работоспособность программного комплекса возможна только при установке deb-пакета на ОС Linux с версией ядра — 4.9.168-1.
Файлы необходимые для установки ПК Bel VPN Gate—P 4.5 (в том числе и образ ОС Debian GNU Linux 9 с версией ядра — ОС Debian 4.9.168-1) для обоих вариантов входят в комплект поставки.
- Процессор (CPU): 1 процессорное ядро
- Оперативная память: 2 Гб
- Объем дискового пространства: 8 Гб
- Наличие не менее 1 виртуального сетевого интерфейса
- Процессор (CPU): intel x86,х64, 1 ядро
- Оперативная память: 2 Гб
- Объем дискового пространства: 8 Гб
- Сетевые интерфейсы: 1 со скоростью 0.1 Гбит/с
Формула расчета рекомендуемого объема оперативной памяти в зависимости от количества туннелей шифрования:
Необходимый объем оперативной памяти = 2Гб + 4Мб х (количество туннелей шифрования)
| Описание | Спецификация |
| Количество одновременно поддерживаемых VPN туннелей | От 10 до неограниченного количества |
| Производительность |
От 250 Мбит/с до 5,2 Гбит/с (размер пакета (MTU) 1500, 33 vCPU) До 9,7 Гбит/с (MTU 8838, 39 vCPU) |
| Операционные системы | Linux |
| Алгоритмы шифрования | СТБ 34.101.31-2011 |
| Алгоритмы электронной цифровой подписи | СТБ 34.101.45-2013 |
| Алгоритмы вычисления хэш сумм | СТБ 34.101.31-2011 |
| Алгоритмы контроля целостности (имитозащита) | СТБ 34.101.31-2011 |
| Межсетевой экран сетевого и транспортного уровней | СТБ 34.101.73-2017 |
| Процедура выработки псевдослучайных данных | СТБ 34.101.47-2017 |
| Стандарты IKE/IPsec | RFC 2401-2412 |
| Защита трафика |
Протоколы IPsec:
|
| Управление ключами | Протокол IKE |
| Информационные обмены IKE |
|
| Режимы аутентификации IKE |
|
| Дополнительные возможности IKE | режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть |
| Работа через NAT | протокол NAT Traversal IPsec |
| Обеспечение надежности защищенных соединений | протокол Dead Peer Detection (DPD) |
| Управление |
|
| Событийное протоколирование | Syslog |
| Сбор статистики | SNMP v.1, v.2c |
| Формат сертификатов публичных ключей | X.509 v.3 (СТБ 34.101.19-2012) |
| Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом | Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64) |
| Способы получения сертификатов |
|
| Способы получения ключевой пары |
|
| Поддержка списка отозванных сертификатов |
Обработка Certificate Revocation List (CRL) [опционально] Поддерживается CRL v.2.
|
| Поддержка QoS | Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео |
| Фильтрация |
|
| Маршрутизация |
|
| Механизмы обеспечения отказоустойчивости |
|