Сспт 2 межсетевой экран производитель

Обновлено: 03.07.2024

ССПТ-2 является межсетевым экраном нового поколения, реализующим функции межсетевого экрана, но при этом остающимся «невидимым» для любых протоколов и тестовых воздействий, что достигается за счет отсутствия физических и логических адресов на интерфейсах.

Скрытный режим функционирования

Эффективность применения ССПТ-2 в современных высокоскоростных компьютерных сетях достигается за счет использования технологии скрытой фильтрации (режим "стелс"), защищающей FNP от обнаружения средствами удаленного сетевого мониторинга, что повышает надежность его работы и позволяет эффективно наращивать производительность всей системы информационной безопасности с использованием средств кластеризации. Применение режима "стелс" позволяет встраивать FNP в существующую сетевую инфраструктуру без изменения политики маршрутизации и не меняя структуру адресного пространства

Режимы работы для сетей с повышенными требованиями

1. "Зеркалирование" трафика на заданный интерфейс для анализа и проверки с использованием специальных средств контроля.

2. Горячее резервирование для создания систем фильтрации высокой готовности и отказоустойчивости

3. Работа в среде облачных вычислений в режиме "межсетевой экран как сервис"

Назначение и область применения:

На базе ССПТ-2 реализуются высокоэффективные масштабируемые решения по защите информации в компьютерных сетях на базе технологии Ethernet. Устройство FNP используется как:

1. Основное средство защиты для реализации различных политик информационной безопасности с помощью:

фильтрации пакетов на канальном, сетевом, транспортном и прикладном уровнях;
управления транспортными соединениями между отдельными узлами ЛВС или виртуальной ЛВС (VLAN);
контроля контента данных на прикладном уровне с учетом направления, времени и типа протоколов передачи трафика.

2. Дополнительное устройство защиты для:

обеспечения безопасности функционирования ранее установленных в компьютерной сети средств защиты и устройств маршрутизации;
мониторинга трафика с возможностью анализа данных регистрации пакетов по различным критериям и интеграции с IDS;
обеспечения функционирования сетевых распределенных телематических приложений и GRID ресурсов.

Функциональные характеристики:

Режимы и характеристики фильтрации:

Канальный уровень

Сетевой уровень

Для протокола IP версии 4 по IP-адресам источника/приемника и значимым полям заголовка IP-пакета;
Протокол IP версии 6 в режиме «разрешить/запретить»;
Для протокола IPX по адресам сети/узла источника/приемника, сокетам источника/приемника и типу пакета.

Транспортный уровень

TCP (порт источника/порт назначения, флаги управления потоком);
UDP (порт источника/порт назначения).

Контроль траспортных сессий

TCP, включая контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
UDP, включая контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
ICMP для утилиты ping, включая контроль неизменности параметров (адреса, идентификатор в заголовке ICMP) отправителя и получателя на протяжении всей сессии.

Прикладной уровень

Заказать обратный звонок

Пожалуйста, заполните форму и мы свяжемся с Вами

FNP типа ССПТ-2 является сертифицированным ФСТЭК И ФСБ межсетевым экраном нового поколения (патент РФ 2214623, патент US 7281129), реализующим функции межсетевого экрана, но при этом остающимся «невидимым» для любых протоколов и тестовых воздействий, что достигается за счет отсутствия физических и логических адресов на его фильтрующих интерфейсах. Поставляется в двух вариантах - с сертификатом ФСБ или сертификатом ФСТЭК.

Подробности

Скрытность функционирования межсетевого экрана повышает надежность системы защиты в целом и существенно упрощает процедуру установки ССПТ-2 в существующие компьютерные сети и функционирующие на их основе информационные и телематические системы.

Назначение и область применения:

Основное средство защиты для реализации различных политик информационной безопасности с помощью:
- фильтрации пакетов на канальном, сетевом, транспортном и прикладном уровнях;
- управления транспортными соединениями между отдельными узлами ЛВС или виртуальной ЛВС (VLAN);
- контроля контента данных на прикладном уровне с учетом направления, времени и типа протоколов передачи трафика.
Дополнительное устройство защиты для:
- обеспечения безопасности функционирования ранее установленных в компьютерной сети средств защиты и устройств маршрутизации;
- мониторинга трафика с возможностью анализа данных регистрации пакетов по различным критериям и интеграции с IDS;
- обеспечения функционирования сетевых распределенных телематических приложений и GRID ресурсов.

Характеристики:

количество фильтрующих интерфейсов - 5
тип интерфейса - Ethernet 10BASE-T/100BASE-TX/1000BASE TX
скорость, мбит/сек - 1000
количество управляющих интерфейсов - 1
тип интерфейса - Ethernet 10BASE-T/100BASE-TX/1000BASE TX
тип корпуса - стоечное исполнение 1U
габаритные размеры - 460х430х44 мм

Функциональные характеристики:

Режим скрытной фильтрации для систем защиты информации:

Применение системы защиты, состоящей из межсетевых экранов, функционирующих в режиме скрытной фильтрации или в режиме «стелс» позволяет не только гарантировать безопасность сетевых приложений в соответствии с РД ФСТЭК и ФСБ, но и повышает надежность работы системы защиты в целом.
Устройства защиты типа FNP в режиме «стелс» невозможно обнаружить никакими известными средствами удаленного мониторинга сети.
Межсетевые экраны типа ССПТ отвечают требованиям современных стандартов безопасности для устройств 3-го класса защиты и имеют сертификат ФСБ РФ N СФ/525-1093.

Срок поставки до 30 рабочих дней

Обращаем внимание на сроки действия сертификатов:

Сертификат соответствия требованиям ФСТЭК N 2141 действителен до 23 июля 2019 г.
Сертификат соответствия требованиям ФСБ N СФ/СЗИ-0139 действителен до 31 декабря 2019 г.

В соответствии с Положением о системе сертификации средств защиты информации, утвержденном приказом ФСТЭК России от 3 апреля 2018 г. N55 «…средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки» (пункт 15 Положения).

Таким образом, с учетом наличия технической поддержки и при условии соблюдения требований по безопасности информации изделие «Межсетевой экран ССПТ-2» может применяться на объектах информатизации до конца 2022 года.

Привет, Хабр!
1 июля приближается, а с ним приближается и необходимость выполнения ФЗ-152 «О персональных данных». В связи с этим хочу поделиться опытом работы по данному направлению. В блоге Информационная безопасность уже идет цикл постов о написании документов, однако, помимо бумаги, может возникнуть необходимость применения и некоторых технических средств защиты информации. Которым и посвящен данный топик.

Первое, что необходимо держать в памяти — средствами защиты информации у нас являются только те средства, которые имеют действующий сертификат ФСТЭК (по защите от НСД — несанкционированного доступа) и ФСБ (по криптографии и межсетевому экранированию). К сожалению, сертификаты периодически кончаются, и если компания-производитель не озаботится продлением сертификата, то при проверке могут возникнуть проблемы. Избежать их можно двумя способами:
1) Перед закупкой средств защиты проконсультироваться с производителем, или с поставщиком, когда заканчивается текущий сертификат, и собирается ли производитель его продлевать. Так же стоит заглянуть на сайт производителя — есть есть более новая версия, то старую могут и не продлить.
2) Если техника уже закуплена, и производитель не собирается продлевать сертификат — можно самому обратиться в орган по сертификации и получить сертификат на свой экземпляр (только свой). За некоторую сумму денег, как вы понимаете.
Кроме того, необходимо определиться, какие, собственно, средства защиты нам нужны? Если ваша ИСПДн — типовая, то требования по защите персональных данных описаны в приложении к приказу ФСТЭК № 58, которое может найти тут. Если же ваша ИСПДн — специальная, то требования по защите описаны в «Частной модели угроз. », которая составляется по результатам обследования ИСПДн. Поясню сразу — типовой ИСПДн является информационная система, к которой предъявляются требования только по конфиденциальности персональных данных, а доступность и целостность оставлены в стороне. Для чего можно сделать ИСПДн специальной? Актуально это, на мой взгляд, только для ИСПДн 1-го класса (К1), так как предъявляемые требования включают в себя в том числе и защиту от ПЭМИН (побочные электромагнитные излучения и наводки). Создание «Частной модели угроз. » помогает уйти от ПЭМИН и значительно облегчить жизнь. Суть же защиты сводится к установке генератора электромагнитного шума и фиксации расположения и состава как технических средств ИСПДн, так и вообще всех технических средств, расположенных в тех же помещениях. То есть, вносить изменения вы сможете только по согласованию с органом, производившим аттестационные испытания. Изменения же в составе ИСПДн могут вылиться в контрольную проверку или переаттестацию.
От ПЭМИН мы, будем считать, ушли, теперь давайте рассмотрим средства защиты информации и типовые варианты их применения. В общем и целом, все средства защиты можно разделить на несколько групп:

Локальные СЗИ НСД

СЗИ НСД — это аббревиатура от средства защиты информации от несанкционированного доступа. Используются для предотвращения несанкционированных действий пользователей, имеющих доступ к рабочим станциям ИСПДн. Включают в себя такие механизмы, как контроль загрузки со сменных носителей (CD/DVD-диски, флешки), контроль устройств (что бы нельзя было подключить левую флешку и слить информацию), реализация мандатного разграничения доступа (для ИСПДн не требуется). Приведу только те средства, с которыми я работал лично:
1) Secret Net. Может поставляться как с платой контроля загрузки, так и без оной. Работает через secpol.msc, так что на Home-версиях может и не заработать (на Windows XP Home не работает точно, да Vista и Windows 7 еще не проверял). Довольно прост в эксплуатации, имеет наилучший, из виденного, механизм контроля устройств. Есть сетевая версия, предназначенная для интеграции в доменную структуру.
2) Страж NT. Наилучший механизм мандатного разграничения доступа. В эксплуатации сложнее (из-за того, что часть защитных механизмов нельзя отключить). Сетевой версии нет.
3) Dallas Lock. Проигрывает по всем параметрам рассмотренным ранее, кроме возможности нормального развертывания сетевого варианта в бездоменной сети.
Как ясно из названия, данные средства используются на локальных машинах. Добавить тут нечего.

Межсетевые экраны

Назначение, я думаю, ясно. Кроме того, если одну ИСПДн разделить межсетевым экраном на две части, то можно с полным право назвать их двумя разными ИСПДн. Для чего? Если вы попадаете в первый класс именно по количеству обрабатываемых субъектов персональных данных, то, разделив ИСПДн на две части, вы уменьшите количество обрабатываемых в каждой ИСПДн субъектов и получите уже не К1, а К2. Сейчас на рынке представлено несколько сертифицированных межсетевых экранов:
1) VipNet Personal Firewall. Просто персональных межсетевой экран, без особых изысков. Управляется только локально. Механизма централизованного управления нет. Для запуска требует пароль, если его не ввести — не запускается.
2) VipNet Office Firewall. То же самое, но поддерживает несколько сетевых карт, что позволяет устанавливать его на шлюзе, и использовать для сегментирования ИСПДн.
3) ССПТ-2. Программно-аппаратный комплекс, работает на FreeBSD, однако добраться до самой ОС вам никто не даст. Работает быстро, поддерживает фильтрацию по многим параметрам. Имеет неприятную особенность — правила применяются по списку сверху-вниз, и правила, расположенные вверху, имеют больший приоритет. В документации это не отражено, было выявлено опытным путем. Управляется как с локальной консоли, так и через веб-интерфейс.
4) АПКШ «Континент». Вообще, это не межсетевой экран, а криптомаршрутизатор, но с функциями МСЭ. Архитектурно похож на ССПТ-2, но управления с локальной консоли нет — только через специальную консоль администратора. При чем, при начальной настройке необходимо указать интерфейс, к которому будет подключен компьютер администратора.
Кроме того, «Код безопасности» выпустил еще два продукта — МСЭ+ HIPS «Security Studio Endpoint Protection» и систему распределенных межсетевых экранов Trust Access, объединяющую межсетевое экранирование и сегментацию с использованием аутентификации по протоколу Kerberos. По скольку работать с данными продуктами мне не приходилось, предоставлю только ссылки на их описание:
TrustAccess
SSEP
Кроме того, было сертифицировано производство еще одного продукта — Stonegate Firewall/VPN. Продукт финской компании Stonesoft. Так же он поставляется к прикрученным к нему модулем шифрования КриптоПРО, что позволяет использовать его в качестве сертифицированного VPN-решения.

В принципе, вот краткое описание всех известных мне сертифицированных средств защиты. Надеюсь, данная информация будет полезна сообществу.

1 гигабитный порт WAN, 3 настраиваемых гигабитных WAN/LAN и 1 гигабитный LAN-порт обеспечивают высокоскоростное подключение по проводной сети. Поддержка протоколов IPsec/PPTP VPN, одновременная поддержка до 20 туннелей Ipsec VPN и 16 туннелей PPTP VPN. Межсетевой экран SPI и защита от DoS-атак позволят обезопасить компьютер от большинства угроз из Интернет. Надежная защита от молний до 4 кВ максимально защитит ваши средства, вложенные в оборудование. Поддержка IGMP Proxy и Bridge для IPTV Мulticast.. Закрыть описание

Тип маршрутизатор Поддержка Vpn да мес Дополнительная информация Частота процессора: Qualcomm Atheros Ar9344-Dc3A-R 600 Мгц Dhcp-сервер: да Usb: да Версия RouterOs: Level 5 Вес, гр: 890 Встроенная радиокарта: нет Количество портов Ethernet 1000 Мб /с: 24 Количество портов Sfp: 1 Межсетевой экран Firewall: да Память : 128Мв Питание: Стандартный коннектор Iec C14 110/220 В (блок питания в комплекте) Поддержка Mimo: нет Подключение 3G/4G-модема: Да Порт De-9: нет Порт microSd: нет Порт miniPci: нет Порт miniPcie: нет Рабочая температура : от -35 до +65 °C Раздача PoE-питания: нет Размеры, мм: 255 x 145 x 45 Вес, гр: 890.. Закрыть описание

Межсетевой экран нового поколения NetDefend UTM DFL-870 представляет собой высокопроизводительное решение, обеспечивающее всестороннюю защиту сетей предприятий от разнообразных угроз, таких как вирусные атаки, несанкционированный доступ и вредоносный трафик. DFL-870 также позволяет решать задачи управления, мониторинга и обслуживания безопасной сетевой инфраструктуры в распределенных корпоративных сетях. Данный межсетевой экран оснащен шестью настраиваемыми портами 10/100/1000 Мбит/с, двумя портами USB 2.01, консольным портом с разъемом mini-USB и выполнен в металлическом корпусе с возможностью установки в 19-дюймовую стойку. Закрыть описание

Маршрутизатор Ubiquiti EdgeRouter X SFP, оптимальный для эксплуатации в домашних условиях или в небольшом офисе, помещен в компактный черный корпус и оснащен 5 гигабитными портами RJ-45 Ethernet для подключения стационарных пользовательских устройств. Присоединенные к нему точки доступа или камеры видеонаблюдения сетевое устройство с PoE-портами снабжает энергией по свободным линиям витой пары. Благодаря этому вы сможете обойтись без дополнительных кабелей питания при подключении периферии. Маршрутизатор Ubiquiti EdgeRouter X SFP работает под управлением роутерной платформы EdgeOS и предлагает для настройки сетевых параметров и управления понятный веб-интерфейс. Настройка устройства может быть также выполнена через SSH или консольный порт. Эта простая и функциональная модель поддерживает у.. Закрыть описание

межсетевой экран, LAN: 4 Ethernet 10/100/1000 Мбит/сек, 1 WAN Ethernet 10/100/1000 Мбит/сек и SFP.. Закрыть описание

Тип: Межсетевой экран; Поддерживаемые стандарты: н/д; Скорость беспроводной передачи данных (максимальная): 1000Mbps; Дополнительные функции: SNMP; Шифрование данных: н/д; Количество WAN-портов: 2; Количество LAN-портов: 4; Скорость LAN-портов: 10/100/1000; Индикаторы: н/д; Количество и тип антенн: н/д; Коэффициент усиления штатной антенны (антенн): н/д; Поддерживаемые частоты связи: н/д; Поддерживаемые протоколы: DHCP; Тип антенн: съёмная; Вариант установки: наружный; Дополнительная информация: Межсетевой экран Zyxel Nebula NSG50 обеспечивает надежную защиту сети от различных угроз и удобное управление через облако.; Цвет корпуса: белый; Размеры: 216 x 33 x 143 мм; Вес: 3.86; шаблон2*ЗАПОЛНЯЕМ: LAN; +: +.. Закрыть описание

Тип: Маршрутизатор; Вариант установки: настольный; Поддерживаемая скорость: 10/100; Дополнительные возможности: NAT; WAN порты: 4 порта 10/100 Мбит/с; LAN порты: 1 x 10/100 Мбит/с; Интерфейс управления: н/д; Поддерживаемые стандарты: Стандарт Wi-Fi 802.11n; Питание: Адаптер 110 - 240 В переменного тока/12 В постоянного тока, 12 Вт (пиковое); Размеры: 271 x 192 x 113 мм; Дополнительно: LTE3300 Series использует 3GPP release 9, category 4 — одну из лучших на сегодняшний день версий технологии LTE, поддерживающей скорость передачи данных до 150/50 Mbps (DL/UL). С его помощью вы получите сверхбыстрое и гибкое беспроводное соединение везде, где работает мобильная сеть LTE/3G/2G., дни операторы для предоставления сервисов передачи голоса используют технологию packet-switched, другие – circuit-sw.. Закрыть описание

Тип: Межсетевой экран; Вариант установки: н/д; Поддерживаемая скорость: 10/100/1000; Дополнительные возможности: NAT; WAN порты: 2 порта 10/100/1000 Мбит/с; LAN порты: 4 x 10/100/1000 Мбит/с; Дополнительные порты: SFP; Интерфейс управления: WEB; Поддерживаемые стандарты: Auto MDI/MDIX, IEEE 802.1p (Priority tags), IEEE 802.1q (VLAN); Поддержка динамического DNS: да; Питание: 12 В; Размеры: 272 x 36 x 187 мм; Дополнительно: Цвет серебристый, Особенности Пропускная способность межсетевого экрана SPI - 2000 Мбит/с, VLAN - 16, IPsec туннели - 40 одновременно. Прозрачная авторизация Active Directory. Инспекция SSL-трафика. Поддержка Amazon VPC и SecuReporter. Закрыть описание

Читайте также: