| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| tssltd:различные_сценарии_эксплуатации [2024/12/12 17:19] – i.sharapov | tssltd:различные_сценарии_эксплуатации [2024/12/12 17:47] (current) – i.sharapov |
|---|
| | [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] |
| | |
| <WRAP indent> | <WRAP indent> |
| <wrap em>Многофункциональный комплекс сетевой защиты «Diamond Next»</wrap> - это современное высокопроизводительное UTM решением, которое включает в себя основные и дополнительные функции. К основным относятся функции безопасности, такие как защита канала передачи данных с использованием отечественных алгоритмов, межсетевое экранирование, детектирование сетевых атак. К дополнительным функциям относятся поддержка базовых протоколов и сетевых технологий, которые присуще всем современным устройствам, фильтрация по GeoIP, статическая и динамическая маршрутизация, маршрутизация мультикаст трафика, поддержка отказоустойчивой конфигурации, механизм DPI и др. Как основные функции, так и дополнительные могут одновременно работать на одном устройстве, при этом аппаратные ресурсы устройства будут разделены между функциями безопасности согласно настройке. | <wrap em>Многофункциональный комплекс сетевой защиты «Diamond Next»</wrap> - это современное высокопроизводительное UTM решением, которое включает в себя основные и дополнительные функции. К основным относятся функции безопасности, такие как защита канала передачи данных с использованием отечественных алгоритмов, межсетевое экранирование, детектирование сетевых атак. К дополнительным функциям относятся поддержка базовых протоколов и сетевых технологий, которые присуще всем современным устройствам, фильтрация по GeoIP, статическая и динамическая маршрутизация, маршрутизация мультикаст трафика, поддержка отказоустойчивой конфигурации, механизм DPI и др. Как основные функции, так и дополнительные могут одновременно работать на одном устройстве, при этом аппаратные ресурсы устройства будут разделены между функциями безопасности согласно настройке. |
| |
| <WRAP indent> | <WRAP indent> |
| Устройство МКСЗ «Diamond Next» можно использовать для межсетевого экранирования сетевого трафика по GeoIP. Необходимо учитывать, что данных механизм фильтрации обрабатывает сетевой трафик до основного механизма фильтрации. При фильтрации по GeoIP учитывается только сетевой адрес. При подготовке устройства к отгрузке на него устанавливается базовый набор подсетей для всех стран мира. В процессе работы администратор системы может внести изменения в базовый набор. | Устройство <wrap em>МКСЗ «Diamond Next»</wrap> можно использовать для межсетевого экранирования сетевого трафика по GeoIP. Необходимо учитывать, что данных механизм фильтрации обрабатывает сетевой трафик до основного механизма фильтрации. При фильтрации по GeoIP учитывается только сетевой адрес. При подготовке устройства к отгрузке на него устанавливается базовый набор подсетей для всех стран мира. В процессе работы администратор системы может внести изменения в базовый набор. |
| </WRAP> | </WRAP> |
| |
| |
| <WRAP indent> | <WRAP indent> |
| Устройство МКСЗ «Diamond Next» можно использовать для детектирования и блокировки сетевых атак. Актуальная база сигнатур, которая еженедельно обновляется и включает в себя порядка 35000 правил, позволяет реагировать практически на любые сетевые угрозы. Обновление сигнатурных правил можно производить локально или в автоматическом режиме с авторизованного сервера. Поддерживается возможность написания собственных сигнатурных правил. | Устройство <wrap em>МКСЗ «Diamond Next»</wrap> можно использовать для детектирования и блокировки сетевых атак. Актуальная база сигнатур, которая еженедельно обновляется и включает в себя порядка 35000 правил, позволяет реагировать практически на любые сетевые угрозы. Обновление сигнатурных правил можно производить локально или в автоматическом режиме с авторизованного сервера. Поддерживается возможность написания собственных сигнатурных правил. |
| |
| При детектировании сетевой атаки происходит запись в журнал системы обнаружения или предотвращения вторжений, а также записывается файл с атакой в формате pcap для дальнейшего расследования инцидента. | При детектировании сетевой атаки происходит запись в журнал системы обнаружения или предотвращения вторжений, а также записывается файл с атакой в формате pcap для дальнейшего расследования инцидента. |
| |
| <WRAP indent> | <WRAP indent> |
| Устройство МКСЗ «Diamond Next» поддерживает различные механизмы трансляции ip-адресов: Static NAT, Dynamic NAT, PAT, Port-forward и Twice-NAT. | Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает различные механизмы трансляции ip-адресов: **Static NAT**, **Dynamic NAT**, **PAT**, **Port-forward** и **Twice-NAT**. |
| * Static NAT – механизм, который позволяет транслировать внутренний приватный сетевой адрес в публичный сетевой адрес. Сопоставление адресов происходит в режиме один к одному. Механизм позволяет скрыть инфраструктуры внутренней приватной сети и предоставляет возможность одному устройству получить доступ в публичную сеть. | * **Static NAT** – механизм, который позволяет транслировать внутренний приватный сетевой адрес в публичный сетевой адрес. Сопоставление адресов происходит в режиме один к одному. Механизм позволяет скрыть инфраструктуры внутренней приватной сети и предоставляет возможность одному устройству получить доступ в публичную сеть. |
| * Dynamic NAT - механизм, который позволяет транслировать внутренние приватные сетевые адреса в публичные сетевые адреса. Сопоставление адресов происходит в режиме многие ко многим. Механизм позволяет скрыть инфраструктуры внутренней приватной сети и предоставляет возможность нескольким устройствам получить доступ в публичную сеть. | * **Dynamic NAT** - механизм, который позволяет транслировать внутренние приватные сетевые адреса в публичные сетевые адреса. Сопоставление адресов происходит в режиме многие ко многим. Механизм позволяет скрыть инфраструктуры внутренней приватной сети и предоставляет возможность нескольким устройствам получить доступ в публичную сеть. |
| * PAT - механизм, который позволяет транслировать внутренние приватные сетевые адреса в публичные сетевые адреса. Сопоставление адресов происходит в режиме многие ко многим, при этом используется не только диапазон сетевых адресов, но также и диапазон сетевых портов. Механизм позволяет скрыть инфраструктуру внутренней приватной сети и предоставляет возможность нескольким устройствам получить доступ в публичную сеть. Данный механизм позволяет снизить количество публичных адресов за счета сетевых портов по сравнению с механизмом Dynamic NAT. | * **PAT** - механизм, который позволяет транслировать внутренние приватные сетевые адреса в публичные сетевые адреса. Сопоставление адресов происходит в режиме многие ко многим, при этом используется не только диапазон сетевых адресов, но также и диапазон сетевых портов. Механизм позволяет скрыть инфраструктуру внутренней приватной сети и предоставляет возможность нескольким устройствам получить доступ в публичную сеть. Данный механизм позволяет снизить количество публичных адресов за счета сетевых портов по сравнению с механизмом Dynamic NAT. |
| * Port-forward – механизм, который позволяет транслировать публичные сетевые адреса во внутренние приватные сетевые адреса. Сопоставление адреса может происходить в режиме один к одному без использования сетевых портов. Дополнительно можно задать сетевые порты как для публичного сетевого адреса, так и для приватного. Механизм позволяет скрыть инфраструктуру внутренней приватной сети и позволяет предоставить доступ удаленному устройству, которое расположено в публичном сегменте сети, во внутреннюю сеть до заданного сетевого адреса, по заданному сетевому протоколу и сетевому порту. | * **Port-forward** – механизм, который позволяет транслировать публичные сетевые адреса во внутренние приватные сетевые адреса. Сопоставление адреса может происходить в режиме один к одному без использования сетевых портов. Дополнительно можно задать сетевые порты как для публичного сетевого адреса, так и для приватного. Механизм позволяет скрыть инфраструктуру внутренней приватной сети и позволяет предоставить доступ удаленному устройству, которое расположено в публичном сегменте сети, во внутреннюю сеть до заданного сетевого адреса, по заданному сетевому протоколу и сетевому порту. |
| * Twice-NAT – механизм, который позволяет при обработке сетевого трафика осуществлять двойную подмену как адреса источника, так и адреса назначения. | * **Twice-NAT** – механизм, который позволяет при обработке сетевого трафика осуществлять двойную подмену как адреса источника, так и адреса назначения. |
| |
| </WRAP> | </WRAP> |
| |
| <WRAP indent> | <WRAP indent> |
| Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает протоколы и сетевые технологии, которые работают на уровне L2 стандартной сетевой модели, которые включают в себя поддержку VLAN ID, протокол связующего дерева STP, возможность перевода сетевых интерфейсов в режиме работы L2, фильтрация в прозрачном режиме (режим коммутатора), проброс L2 уровня L2overVPN, агрегацию сетевых интерфейсов с использованием протокол LACP. | Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает протоколы и сетевые технологии, которые работают как на уровне L2, так и на уровне L3/L4 стандартной сетевой модели. |
| | |
| | Технологии на уровне L2 включают в себя поддержку VLAN ID (802.1q) с расширенным диапазоном, поддержку технологии Q-in-Q (802.1ad) возможность перевода сетевых интерфейсов в режиме работы на втором уровне стандартной сетевой модели с возможность осуществлять фильтрацию в прозрачном режиме коммутатора, возможность перевода сетевых интерфейсов в полностью прозрачный режим с возможность обработки любого типа сетевого трафика, в том числе с прозрачной обработкой протокола LACP, возможность создания конфигураций L2overVPN, L2overGRE, различные типы агрегации сетевых интерфейсов (Round-robin, Xor, Active-Backup, Broadcast), в том числе протокол LAСP (802.3ad). |
| | |
| | Технологии на уровне L3 включают в себя поддержку механизмов маршрутизации как статической, так и динамической. Поддерживается возможность осуществлять маршрутизацию сетевого трафик с использование политик или списков доступа – Policy-based routing или ACL Based Forwarding, возможность задавать несколько шлюзов по умолчанию с дальнейшей балансировкой сетевого трафика между разными каналами передачи данных. |
| </WRAP> | </WRAP> |
| |
| |
| <WRAP indent> | <WRAP indent> |
| Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает различные протоколы динамической маршрутизации, которые позволят решать задачи по распространению маршрутной информации и обеспечению целостности сети и доступности всех ее узлов. Для распространения маршрутной информации можно использовать протокол динамической маршрутизации RIP, OSPF и BGP, что позволяет легко интегрировать устройство в текущую инфраструктуру сети. Функция расширенной маршрутизации позволяет создавать независимые таблицы маршрутизации с индивидуальными правилами. Решение об оптимальном маршруте для сетевого пакета может приниматься на основе различных критериев. | Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает различные протоколы динамической маршрутизации, которые позволят решать задачи по распространению маршрутной информации и обеспечению целостности сети и доступности всех ее узлов. Для распространения маршрутной информации можно использовать протокол динамической маршрутизации RIP, RIPng, OSPF, OSPFv3, BGP, EIGRP, IS-IS, что позволяет легко интегрировать устройство в текущую инфраструктуру сети. Поддерживается возможность создания независимых контекстов с маршрутной информацией VRF, поддерживается возможность фильтрации маршрутной информации, которая отправляется другим устройствам или принимается от них. Протокол PIM, PIMv6 и протокол IGMP позволяют решать задачи по маршрутизации мультикаст трафика. Протокол BFD позволяет отслеживать состояние линков между устройствами и оперативно реагировать при возникновении различных ситуация на сетевой инфраструктуре. Протокол LDP позволяет осуществлять обмен информацией о метках в рамках построения сети MPLS. |
| </WRAP> | </WRAP> |
| |
| |
| <WRAP indent> | <WRAP indent> |
| Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает возможность реализации отказоустойчивого кластера на основе двух и более устройств. Отказоустойчивый кластер может быть настроен в нескольких режимах работы: с одним виртуальным ip-адресом, с несколькими виртуальными ip-адресами. Поддерживается возможность ведения независимой таблицы маршрутизации, осуществлять контроль за сетевыми интерфейсами и работы в режиме Active/passive. | Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает возможность создания отказоустойчивой конфигурации на основе двух и более устройств. При создании отказоустойчивой конфигурации одно из устройств работает в активном режиме и осуществляет обработку сетевого трафика, второе устройство работает в пассивном режиме и отслеживает состояние активного. На устройствах можно задать до 255 отказоустойчивых конфигураций. Поддерживается возможность отслеживать состояние сетевых интерфейсов и возможность изменять статус устройств. При создании отказоустойчивого кластера устройства поддерживают работоспособность одного или нескольких виртуальных адресов, которые могут выступать шлюзами по умолчанию для сегмента сети или других устройств. |
| | |
| | === Независимые контексты с маршрутной информацией === |
| | |
| | <WRAP indent> |
| | Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает возможность создавать дополнительные таблицы с маршрутной информацией и закреплять сетевые интерфейсы для каждой из таблиц. Технология позволяет изолировать движение сетевого трафика между сегментами сети, позволяет задавать свои специфические политики маршрутизации сетевого трафика и обрабатывать сетевой трафик из сегментов сети, в которых пересекаются адресные пространства. |
| </WRAP> | </WRAP> |
| |
| | [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] |
