TSSLTD

Устройство МКСЗ «Diamond Next» можно использовать для построения защищенных соединений через открытые каналы передачи данных. Защищенное соединение может быть установлено между устройствами, которые связаны между собой L1 связностью (темная оптика), L2 связностью (собственные каналы передачи данных или каналы сервис провайдеров) или L3/L4 связностью (каналы передачи данных сервис провайдеров или сеть Интернет). Среда передачи данных может быть построена на базе витой пары, волоконно-оптической кабельной инфраструктуры или беспроводной инфраструктуры. Шифрование данных осуществляется с использованием отечественного алгоритма ГОСТ XXX-XXX-XXX. При шифровании обеспечивается контроль целостности, шифрование данных и защита от воспроизведения сетевого трафика. Для установления соединения между устройствами используется проприетарный протокол. Защищенное соединение устанавливается на четвертом уровне стандартной сетевой модели по протоколу UDP. Данная реализация позволяет беспрепятственно строить защищенные соединения через устройства, которые осуществляют трансляцию ip-адресов (NAT/PAT/SNAT/DNAT), без дополнительных настроек как на МКСЗ «Diamond Next», так и на стороне стороннего сетевого оборудования. Для построения защищенного канала используется модель клиент-сервер. Устройство, которое работает в режиме сервера, ожидает подключения. Устройство, которое работает в режиме клиента, инициализирует подключение. Дополнительные временные параметры, которые можно задать при настройке защищенного соединения, позволяют строить защищенные соединения в том числе и в плохой среде передачи данных, такой как спутниковые каналы, каналы 3G и 4G. При настройке соединения можно задать один из вариантов инкапсуляции, которая будет использоваться при шифровании L2/L3 или L4. В зависимости от варианта инкапсуляции к сетевому трафику будут добавляться заголовки разного размера, что в итоге может влиять на пропускную способность. При шифровании защищается сетевой пакет со всеми исходными полями и заголовками. При настройке защищенного соединения можно использовать два подхода. Первый подход позволяет выделить каналообразующий трафик от полезной нагрузки. При этом каналообразующий трафик может передаваться между устройствами по независимому каналу передачи данных. Второй подход позволяет передавать как каналообразующий трафик, так и полезную нагрузку по одному каналу передачи данных. Вносимые задержки, которые появляются при передачи данных через защищенное соединение, составляют не более 0,75 мс.

Устройство МКСЗ «Diamond Next» можно использовать в качестве сервера, на котором терминируются подключения удаленных пользователей. Удаленные пользователи устанавливают защищенное соединение с помощью программы «Клиент «Diamond Next», которая может быть установлена как на АРМ с ОС MS Windows, так и АРМ с ОС Linux. Программное обеспечение «Клиент «Diamond Next» можно использовать для организации защищенного соединения для сотрудников, которые работают удаленно, и для сторонних пользователей, которым необходимо предоставить доступ в корпоративную сеть предприятия.

Устройство МКСЗ «Diamond Next» можно использовать для межсетевого экранирования сетевого трафика по любым полям и заголовкам сетевого пакета. Механизм межсетевого экранирования позволяет осуществлять фильтрацию в прозрачном режиме, режиме L2 (режим коммутатора) и режиме L3\L4 (режим маршрутизатора). Поддерживается возможность осуществлять фильтрацию по доменному имени, фильтрацию по расписанию, журналирование правил фильтрации. Доступа возможность создавать различные группировки сетевых адресов и сетевых портов для дальнейшего использовать групп при создании правил фильтрации.

При создании и применении политик межсетевого экранирования используется интерфейсно-ориентированный подход. Это означает, что перед применением список доступа ACL с правилами межсетевого экранирования должен быть создан, далее его можно применить на одном или нескольких сетевых интерфейсов с указанием направления сетевого трафика, для которого будут применяться заданные правила фильтрации. Один и тот же список доступа можно применить на разных сетевых интерфейсах и для разных направлений движения сетевого трафика.

• Прозрачный режим фильтрации - подразумевает фильтрацию сетевого трафика при условии того, что сетевой трафик передается без учета действия механизма коммутации и механизма маршрутизации. Прозрачный режим - это режим, в котором устройство осуществляет передачу в том числе служебного трафика без терvинации этого трафика на себя, например, прозрачную передачу трафик протокола STP, протокола LACP, протокола PAGP и т.д.
• Фильтрация в режиме L2 (режим коммутатора) - подразумевает фильтрацию сетевого трафика при условии того, что сетевой трафик передается только с учетом действия механизма коммутации.
• Фильтрация в режиме L3/L4 (режим маршрутизатора) - подразумевает фильтрацию сетевого трафика при условии того, что сетевой трафик передается с учетом механизма коммутации и маршрутизации.

Устройство МКСЗ «Diamond Next» можно использовать для межсетевого экранирования сетевого трафика по GeoIP. Необходимо учитывать, что данных механизм фильтрации обрабатывает сетевой трафик до основного механизма фильтрации. При фильтрации по GeoIP учитывается только сетевой адрес. При подготовке устройства к отгрузке на него устанавливается базовый набор подсетей для всех стран мира. В процессе работы администратор системы может внести изменения в базовый набор.

Устройство МКСЗ «Diamond Next» можно использовать для детектирования и блокировки сетевых атак. Актуальная база сигнатур, которая еженедельно обновляется и включает в себя порядка 35000 правил, позволяет реагировать практически на любые сетевые угрозы. Обновление сигнатурных правил можно производить локально или в автоматическом режиме с авторизованного сервера. Поддерживается возможность написания собственных сигнатурных правил.

При детектировании сетевой атаки происходит запись в журнал системы обнаружения или предотвращения вторжений, а также записывается файл с атакой в формате pcap для дальнейшего расследования инцидента. Поддерживается возможность написания собственных сигнатур. Устройство может быть установлено как в разрыв канала передачи данных, так и подключено через span порт. При установке устройства в разрыв канала передачи данных механизм детектирования можно активировать либо в прозрачном режиме до механизма межсетевого экранирования, либо в стандартном режиме после механизма межсетевого экранирования. Прозрачный режим позволяет анализировать весь трафик, который поступает на сетевые интерфейсы устройства. Стандартный режим позволяет анализировать очищенный сетевой трафик, который прошел через механизм фильтрации. Стандартный режим работы может затрачивать меньшее количество ресурсов, чем прозрачный режим.

Устройство МКСЗ «Diamond Next» поддерживает различные механизмы трансляции ip-адресов: Static NAT, Dynamic NAT, PAT, Port-forward и Twice-NAT.

• Static NAT – механизм, который позволяет транслировать внутренний приватный сетевой адрес в публичный сетевой адрес. Сопоставление адресов происходит в режиме один к одному. Механизм позволяет скрыть инфраструктуры внутренней приватной сети и предоставляет возможность одному устройству получить доступ в публичную сеть.
• Dynamic NAT - механизм, который позволяет транслировать внутренние приватные сетевые адреса в публичные сетевые адреса. Сопоставление адресов происходит в режиме многие ко многим. Механизм позволяет скрыть инфраструктуры внутренней приватной сети и предоставляет возможность нескольким устройствам получить доступ в публичную сеть.
• PAT - механизм, который позволяет транслировать внутренние приватные сетевые адреса в публичные сетевые адреса. Сопоставление адресов происходит в режиме многие ко многим, при этом используется не только диапазон сетевых адресов, но также и диапазон сетевых портов. Механизм позволяет скрыть инфраструктуру внутренней приватной сети и предоставляет возможность нескольким устройствам получить доступ в публичную сеть. Данный механизм позволяет снизить количество публичных адресов за счета сетевых портов по сравнению с механизмом Dynamic NAT.
• Port-forward – механизм, который позволяет транслировать публичные сетевые адреса во внутренние приватные сетевые адреса. Сопоставление адреса может происходить в режиме один к одному без использования сетевых портов. Дополнительно можно задать сетевые порты как для публичного сетевого адреса, так и для приватного. Механизм позволяет скрыть инфраструктуру внутренней приватной сети и позволяет предоставить доступ удаленному устройству, которое расположено в публичном сегменте сети, во внутреннюю сеть до заданного сетевого адреса, по заданному сетевому протоколу и сетевому порту.
• Twice-NAT – механизм, который позволяет при обработке сетевого трафика осуществлять двойную подмену как адреса источника, так и адреса назначения.

Устройство МКСЗ «Diamond Next» поддерживает протоколы и сетевые технологии, которые работают как на уровне L2, так и на уровне L3/L4 стандартной сетевой модели.

Технологии на уровне L2 включают в себя поддержку VLAN ID (802.1q) с расширенным диапазоном, поддержку технологии Q-in-Q (802.1ad) возможность перевода сетевых интерфейсов в режиме работы на втором уровне стандартной сетевой модели с возможность осуществлять фильтрацию в прозрачном режиме коммутатора, возможность перевода сетевых интерфейсов в полностью прозрачный режим с возможность обработки любого типа сетевого трафика, в том числе с прозрачной обработкой протокола LACP, возможность создания конфигураций L2overVPN, L2overGRE, различные типы агрегации сетевых интерфейсов (Round-robin, Xor, Active-Backup, Broadcast), в том числе протокол LAСP (802.3ad).

Технологии на уровне L3 включают в себя поддержку механизмов маршрутизации как статической, так и динамической. Поддерживается возможность осуществлять маршрутизацию сетевого трафик с использование политик или списков доступа – Policy-based routing или ACL Based Forwarding, возможность задавать несколько шлюзов по умолчанию с дальнейшей балансировкой сетевого трафика между разными каналами передачи данных.

Устройство МКСЗ «Diamond Next» поддерживает различные протоколы динамической маршрутизации, которые позволят решать задачи по распространению маршрутной информации и обеспечению целостности сети и доступности всех ее узлов. Для распространения маршрутной информации можно использовать протокол динамической маршрутизации RIP, RIPng, OSPF, OSPFv3, BGP, EIGRP, IS-IS, что позволяет легко интегрировать устройство в текущую инфраструктуру сети. Поддерживается возможность создания независимых контекстов с маршрутной информацией VRF, поддерживается возможность фильтрации маршрутной информации, которая отправляется другим устройствам или принимается от них. Протокол PIM, PIMv6 и протокол IGMP позволяют решать задачи по маршрутизации мультикаст трафика. Протокол BFD позволяет отслеживать состояние линков между устройствами и оперативно реагировать при возникновении различных ситуация на сетевой инфраструктуре. Протокол LDP позволяет осуществлять обмен информацией о метках в рамках построения сети MPLS.

Устройство МКСЗ «Diamond Next» поддерживает различные протоколы динамической маршрутизации, которые позволят решать задачи по распространению маршрутной информации и обеспечению целостности сети и доступности всех ее узлов. Для распространения маршрутной информации можно использовать протокол динамической маршрутизации RIP, OSPF и BGP, что позволяет легко интегрировать устройство в текущую инфраструктуру сети. Функция расширенной маршрутизации позволяет создавать независимые таблицы маршрутизации с индивидуальными правилами. Решение об оптимальном маршруте для сетевого пакета может приниматься на основе различных критериев.

Устройство МКСЗ «Diamond Next» поддерживает возможность создания отказоустойчивой конфигурации на основе двух и более устройств. При создании отказоустойчивой конфигурации одно из устройств работает в активном режиме и осуществляет обработку сетевого трафика, второе устройство работает в пассивном режиме и отслеживает состояние активного. На устройствах можно задать до 255 отказоустойчивых конфигураций. Поддерживается возможность отслеживать состояние сетевых интерфейсов и возможность изменять статус устройств. При создании отказоустойчивого кластера устройства поддерживают работоспособность одного или нескольких виртуальных адресов, которые могут выступать шлюзами по умолчанию для сегмента сети или других устройств.

Независимые контексты с маршрутной информацией

Вернуться к оглавлению