Описание
Продукт S-Terra CSP VPN Gate 1000 предназначается для обеспечения сетевой безопасности малых офисов – одновременно может устанавливаться до 50 туннелей.
Продукт S-Terra CSP VPN Gate 1000 представляет собой программный комплекс – шлюз безопасности, функционирующий на аппаратной платформе под управлением операционных систем Red Hat Enterprise Linux 5, CentOS 5.
Существует расширенная лицензия S-Terra CSP VPN Gate 1000V для использования в мультисервисных сетях (IP-телефония, голосовые службы, видеоконференции, видеосервисы и т.п.), которая позволяет устанавливать одновременно до 500 туннелей.
Аппаратно-программный комплекс S-Terra CSP VPN Gate 1000 обеспечивает защиту и пакетную фильтрацию как трафика подсетей, проходящего через него, так и защиту трафика самого шлюза безопасности.
Управление шлюзом безопасности S-Terra CSP VPN Gate 1000 осуществляется:
- централизованно удаленно посредством графического интерфейса Cisco Security Manager 3.2 (CSM) и Cisco Security Manager 4.3 (совместимо с версией 3.11), который входит в состав Cisco Security Management Suite;
- централизованно удаленно с использованием системы управления "С-Терра КП";
- локально или удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки используется подмножество команд Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems;
- удаленно с использованием Web-based интерфейса управления.
S-Terra CSP VPN Gate 1000 совместим со следующими продуктами компаний Cisco и S-Terra CSP:
- Cisco Routers. IOS version 12.4 (13a) и выше
- Cisco PIX Security Appliance. Software version 6.3 и выше
- CSP VPN Client
- CSP VPN Server
- CSP VPN Gate – 100B/100/1000/3000/7000
- NME-RVPN (МСМ)
- СПДС «ПОСТ»
- Система управления "С-Терра КП"
Решения S-Terra CSP VPN обеспечивают построение виртуальных защищенных сетей (VPN) предприятия:
- шифрование (конфиденциальность), электронно-цифровая подпись (целостность, аутентификация) IP пакетов:
- гибкость в реализации политики сетевой защиты (множественность алгоритмов шифрования, включая ГОСТ; сложные конфигурации туннелей);
- высокая стойкость защиты информации.
- аутентификация узлов сети;
- аутентификация пользователей;
- контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений;
- формирование защищенных соединений между:
- подсетями,
- компьютерами (клиент-сервер, одноранговые клиенты).
- защита для сложных сетевых инфраструктур.
Видео о продукции
Характеристики:
- обеспечение защиты трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP. В версии 3.11 для защиты трафика может применяться комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом “Методические рекомендации по использованию комбинированного алгоритма шифрования вложений IPsec на основе ГОСТ 28147-89”;
- возможность работы шлюза безопасности CSP VPN Gate версии 3.11 в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG клиент);
- совместимость с токенами MS_KEY K производства компании MultiSoft, eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken NG-OTP, eToken PRO (Java) производства компании Aladdin (в версии 3.11);
- обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней;
- различные наборы правил обработки трафика на различных интерфейсах;
- интеллектуальное отслеживание доступности партнёров обмена (DPD);
- интегрированный межсетевой экран;
- поддержка работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG сервер);
- возможность получения сертификатов открытых ключей по протоколу LDAP;
- поддержка маскировки реального IP адреса (туннелирование трафика);
- управляемое событийное протоколирование (syslog);
- мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks VPN Monitor;
- прозрачность для работы сервиса QoS;
- поддержка инкапсуляции пакета ESP в UDP (NAT traversal);
- совместимость с PKI и LDAP службами зарубежных и российских производителей.
Спецификация платформы
S-Terra CSP VPN Gate 1000 выпускается на базе аппаратных платформ Kraftway Credo VV16 и Kraftway Credo VV21.
| Описание | Спецификация |
|---|---|
| Количество одновременно поддерживаемых VPN туннелей | 50 |
| Количество сетевых интерфейсов | 2/3 (10/100 Mbps) |
| Объем оперативной памяти | 512MB |
| Количество и тип процессоров | 1 x VIA 1.0 GHz |
| Количество, объем и тип интерфейса жестких дисков | 1 x 1GB IDE IDE DoM |
| Корпус | 1U, 19'' rack mounted |
| Операционная система | Red Hat Enterprise Linux 5, CentOS 5 |
| Протоколы IKE/IPsec | Стандарты RFC 2401 - 2412 |
| Алгоритмы шифрования | NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89 |
| Алгоритмы электронно-цифровой подписи | DSA, RSA, ГОСТ Р 34.10-2001 |
| Алгоритмы вычисления хэш сумм | MD5, SHA1, ГОСТ Р 34.11-94 |
| Подключение внешних криптографических модулей |
Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:
|
| Информационные обмены протокола IKE | Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001 |
| Режимы аутентификации в протоколе IKE | Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-2001 |
| Дополнительные возможности IKE | Режим IKECFG для объединения различных сетевых объектов в виртуальную локальную сеть |
| Обеспечение надежности (пересинхронизации) защищенных соединений | Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04) |
| Событийное протоколирование | Syslog |
| Сбор статистики | SNMP v.1, v.2c |
| Формат сертификатов публичных ключей | X.509 v.3 (RSA, DSA, ГОСТ). В версии 3.11 учтены изменения в соответствии с "Приказ ФСБ России от 27.12.2011 № 795" и "ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом" |
| Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом | Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат |
| Способы получения сертификатов | Протоколы IKE, LDAP v.3. импорт из файла (bin и base64, pkcs#7 bin pkcs#12 base64) |
| Способ получения ключевой пары |
Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER. Генерация внешним PKI сервисом с доставкой через PKSC#12. |
| Поддержка списка отозванных сертификатов |
Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2. Способы получения CRL:
|
| Работа через NAT | Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02) |
Узнать о стоимости линейки программно – аппаратных комплексов S-Terra вы можете оставив «ЗАЯВКУ» с использованием ОНЛАЙН-сервиса нашего сайта. Также Вы можете получить всю исчерпывающую информацию по установке, настройке и специфике работы у наших специалистов: