This is an old revision of the document!
Многофункциональный комплекс сетевой защиты «Diamond Next» - это современное высокопроизводительное UTM решением, которое включает в себя основные и дополнительные функции. К основным относятся функции безопасности, такие как защита канала передачи данных с использованием отечественных алгоритмов, межсетевое экранирование, детектирование сетевых атак. К дополнительным функциям относятся поддержка базовых протоколов и сетевых технологий, которые присуще всем современным устройствам, фильтрация по GeoIP, статическая и динамическая маршрутизация, маршрутизация мультикаст трафика, поддержка отказоустойчивой конфигурации, механизм DPI и др. Как основные функции, так и дополнительные могут одновременно работать на одном устройстве, при этом аппаратные ресурсы устройства будут разделены между функциями безопасности согласно настройка.
Построение защищенного соединения
Устройство МКСЗ «Diamond Next» можно использовать для построения защищенных соединений через открытые каналы передачи данных. Шифрование данных осуществляется по алгоритму ГОСТ. При шифровании обеспечивается контроль целостности, шифрование данных и защита от воспроизведения сетевого трафика. Для установления соединения между устройствами используется проприетарный протокол. Защищенное соединение устанавливается на четвертом уровне стандартной сетевой модели по протоколу UDP. Данная реализация позволяет беспрепятственно строить защищенные каналы передачи данных через устройства, которые осуществляют трансляцию ip-адресов (NAT/PAT/SNAT/DNAT), без дополнительных настроек как на МКСЗ «Diamond Next», так и на стороне стороннего сетевого оборудования. Для построения защищенного канала используется модель клиент-сервер. Устройство, которое работает в режиме сервера, ожидает подключения. Устройство, которое работает в режиме клиента, инициализирует подключение. Дополнительные временные параметры, которые можно задать при настройке защищенного соединения, позволяют строить защищенные соединения в том числе и в плохой среде передачи данных, такой как спутниковые каналы, каналы 3G и 4G. При настройке соединения можно задать один из вариантов инкапсуляции, которая будет использоваться при шифровании L2/L3 или L4. В зависимости от варианта инкапсуляции к сетевому трафику будут добавляться заголовки разного размера, что в итоге может влиять на пропускную способность. При настройке защищенного соединения можно использовать два подхода. Первый подход позволяет выделить каналообразующий трафик от полезной нагрузки. При этом каналообразующий трафик может передаваться между устройствами по независимому каналу передачи данных. Второй подход позволяет передавать как каналообразующий трафик, так и полезную нагрузку по одному каналу передачи данных.
Подключение удаленных сотрудников
Устройство МКСЗ «Diamond Next» можно использовать в качестве сервера, на котором терминируются подключения удаленных пользователей. Удаленные пользователи устанавливают защищенное соединение с помощью программы «Клиент «Diamond Next», которая может быть установлена как на АРМ с ОС MS Windows, так и АРМ с ОС Linux. Программное обеспечение «Клиент «Diamond Next» можно использовать для организации защищенного соединения для сотрудников, которые работают удаленно, и для сторонних пользователей, которым необходимо предоставить доступ в корпоративную сеть предприятия.
Межсетевое экранирование
Устройство МКСЗ «Diamond Next» можно использовать для межсетевого экранирования сетевого трафика по любым полям и заголовкам сетевого пакета. Межсетевое экранирование поддерживается в режиме маршрутизатор и в прозрачном режиме коммутатора. Поддерживается возможность фильтрации по доменному имени, фильтрация по расписанию, возможность создания различных контекстов фильтрации, возможность синхронизации правил межсетевого экранирования между несколькими устройствами и логирования правил фильтрации. Поддерживается два режима межсетевого экранирования: в режиме коммутатора (прозрачный режим), в режиме маршрутизатора. Режимы можно использовать одновременно, в этом случае часть интерфейсов необходимо перевести в режим работы L2, а часть интерфейсов в режим работы L3.
Фильтрация по GeoIP
Устройство МКСЗ «Diamond Next» можно использовать для межсетевого экранирования сетевого трафика по любым полям и заголовкам сетевого пакета. Межсетевое экранирование поддерживается в режиме маршрутизатор и в прозрачном режиме коммутатора. Поддерживается возможность фильтрации по доменному имени, фильтрация по расписанию, возможность создания различных контекстов фильтрации, возможность синхронизации правил межсетевого экранирования между несколькими устройствами и логирования правил фильтрации. Поддерживается два режима межсетевого экранирования: в режиме коммутатора (прозрачный режим), в режиме маршрутизатора. Режимы можно использовать одновременно, в этом случае часть интерфейсов необходимо перевести в режим работы L2, а часть интерфейсов в режим работы L3.
Система обнаружения и предотвращения вторжений
Устройство МКСЗ «Diamond Next» можно использовать для детектирования и предотвращения сетевых атак. Актуальная база сигнатур, которая еженедельно обновляется, позволяет реагировать практически на любые сетевые угрозы. Обновление правил происходит в автоматическом режиме с централизованного сервера или через файл локально. При детектировании сетевой атаки происходит запись в журнал системы обнаружения или предотвращения вторжений, а также записывается файл с атакой в формате pcap для дальнейшего расследования инцидента. Поддерживается возможность написания собственных сигнатур. Устройство может быть установлено как в разрыв канала передачи данных, так и подключено через span порт.
Трансляция ip адресов (NAT\PAT), Port forward и Twice NAT
Устройство МКСЗ «Diamond Next» поддерживает возможность трансляции ip-адресов как в статическом, так и в динамическом режимах и функцию проброса сетевого порта. Также поддерживается возможность двойного NAT, когда происходит одновременная подмена как адреса источника, так и адреса назначения. Данные функции позволяют решать большой круг задач по предоставлению доступа пользователям локальной сети во внешнюю сеть и доступа из внешней сети к серверу, которое расположены в локальной сети.
Современный коммутатор
Устройство МКСЗ «Diamond Next» поддерживает протоколы и сетевые технологии, которые работают на уровне L2 стандартной сетевой модели, которые включают в себя поддержку VLAN ID, протокол связующего дерева STP, возможность перевода сетевых интерфейсов в режиме работы L2, фильтрация в прозрачном режиме (режим коммутатора), проброс L2 уровня L2overVPN, агрегацию сетевых интерфейсов с использованием протокол LACP.
Динамическая маршрутизация
Устройство МКСЗ «Diamond Next» поддерживает различные протоколы динамической маршрутизации, которые позволят решать задачи по распространению маршрутной информации и обеспечению целостности сети и доступности всех ее узлов. Для распространения маршрутной информации можно использовать протокол динамической маршрутизации RIP, OSPF и BGP, что позволяет легко интегрировать устройство в текущую инфраструктуру сети. Функция расширенной маршрутизации позволяет создавать независимые таблицы маршрутизации с индивидуальными правилами. Решение об оптимальном маршруте для сетевого пакета может приниматься на основе различных критериев.
Маршрутизация мультикаста
Устройство МКСЗ «Diamond Next» поддерживает различные протоколы динамической маршрутизации, которые позволят решать задачи по распространению маршрутной информации и обеспечению целостности сети и доступности всех ее узлов. Для распространения маршрутной информации можно использовать протокол динамической маршрутизации RIP, OSPF и BGP, что позволяет легко интегрировать устройство в текущую инфраструктуру сети. Функция расширенной маршрутизации позволяет создавать независимые таблицы маршрутизации с индивидуальными правилами. Решение об оптимальном маршруте для сетевого пакета может приниматься на основе различных критериев.
Отказоустойчивый кластер
Устройство МКСЗ «Diamond Next» поддерживает возможность реализации отказоустойчивого кластера на основе двух и более устройств. Отказоустойчивый кластер может быть настроен в нескольких режимах работы: с одним виртуальным ip-адресом, с несколькими виртуальными ip-адресами. Поддерживается возможность ведения независимой таблицы маршрутизации, осуществлять контроль за сетевыми интерфейсами и работы в режиме Active/passive.