Главная  > Продукты  > Продуктовая линейка  > Модуль HW-ST

Модуль HW-ST

ПРЕИМУЩЕСТВА

  • IPsec VPN с ГОСТ‑алгоритмами
  • Гибкое развертывание распределенных сетей
  • Подключение к частному или публичному облакам
  • Удаленное централизованное управление
  • Экономия пространства
  • Снижение энергопотребления
  • Низкая стоимость эксплуатации

modul_hw-stМодуль HW-ST представляет собой семейство программно-аппаратных комплексов для маршрутизаторов Huawei с функциональностью VPN-шлюза С-Терра.

Модификации

Модель Аппаратная платформа Маршрутизатор Huawei
HW-ST 220 AR01WSX220B
(SAE220)
AR1200, AR1220, AR2220, AR2240, AR3260
HW-ST 550 AR01WSX165B
(SAE550)
AR2220, AR2240, AR3260

Назначение:

  • Защита сетей любой топологии
  • Защита территориально распределенных сетей
  • Разделение сети на сегменты с различным уровнем доступа
  • Организация защищенного удаленного доступа к корпоративной сети
  • Защита межсетевых взаимодействий
  • Защита мультисервисных сетей (VoIP, видеоконференцсвязь)

    и другие задачи.

Sterra_Moduli_Huawei.jpg


  • Надежная защита передаваемого трафика

    • Шифрование и контроль целостности передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием российских криптографических алгоритмов. Туннелирование трафика
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран, осуществляющий stateful-фильтрацию трафика
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки трафика
    • Поддержка различных топологий сети
    • Построение нескольких эшелонов защиты, выделение зон с разным уровнем доверия, организация перешифрования и инспекции трафика в центре
    • Динамическое туннелирование (аналог DMVPN)
  • Гибкая интеграция в существующую инфраструктуру

    • Объединение устройств в кластер
    • Динамическая маршрутизация, в том числе, балансировка нагрузки
    • Работа через NAT
    • Выдача IP-адресов из внутренней сети
    • Поддержка VLAN
    • Маскирование IPsec трафика на основе протокола http
  • Высокая надежность и производительность

    • Сохранение защищенных туннелей при перезагрузке политики безопасности
    • Защита трафика, требовательного к задержкам и потерям пакетов, например, IP-телефония и видеоконференцсвязь (ВКС)
    • Поддержка QoS
Наименование Спецификация
Криптографические библиотеки С-Терра ST – встроенная
Протокол IKE

Информационные обмены:

Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256 в соответствии с документом «РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ...»

Режимы аутентификации:

Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012

Алгоритмы шифрования, контроля целостности и ЭП Шифрование:
DES, AES, ГОСТ28147-89

ЭП:
DSA, RSA, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012

Контроль целостности:

MD5, SHA1, комбинированное преобразование ESP_GOST-4M-IMIT, ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012

Мониторинг и контроль Доступности удаленного узла: Dead Peer Detection (DPD)
Событийное протоколирование: Syslog
Сбор статистики: SNMP v.1, v.2c
Механизмы обеспечения отказоустойчивости
VRRP (в т.ч. объединение в кластер), RRI,
GRE+OSPF (резервирование провайдеров)
Работа через NAT
NAT Traversal Encapsulation (инкапсуляция IPsec в UDP)  / NAT-T
Протоколы RADIUS, IKECFG (выдача адресов для С-Терра Клиент), LACP
DHCP (клиент и сервер), VLAN, PAT
Динамическая маршрутизация:
RIP и OSPF (в том числе, балансировка нагрузки RRI)
Обработка трафика QoS: приоритизация, маркировка
сценарии: split tunneling
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ)
Формат запроса на регистрацию сертификата при генерации ключевой пары Certificate Enrollment Request (CER), упакованный в PKCS#10 bin или base 64
Способы получения сертификатов Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
Генерация внешним PKI сервисом с доставкой:
– на сменных ключевых носителях
– через PKSC#12 (DSA, RSA)
Список отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:
  • протокол LDAP v.3
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Производительность шифрования


Модель Целевое назначение Максимальная производительность шифрования, Мбит/c Производительность шифрования IMIX, Мбит/c
Модуль HW-ST 220 Небольшие офисы 140 100
Модуль HW-ST 550 Средние офисы 370 280

Управление

  • Централизованно удаленно:
  • – Система централизованного управления С-Терра КП
  • Локально или удаленно:
  • – Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
  • Удаленно:
  • – Web-based интерфейс управления

Совместимость

  • Токены:
  • – eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java)
  • – Рутокен S, Рутокен ЭЦП, Рутокен ЭЦП Bluetooth
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии