+7 (499) 940-90-61
С-Терра Шлюз

Версия 5.0

Версия 4.3

Версия 4.2

Версия 4.1

Программно-аппаратный комплекс (программный комплекс на аппаратной платформе) для обеспечения безопасности сети связи любой топологии (VPN), с любым количеством туннелей. Обеспечивает криптографическую защиту и фильтрацию как трафика подсетей, проходящего через него, так и защиту трафика самого шлюза безопасности.
Исполнения
С-Терра Шлюз ST
Сертификация
ФСБ: СКЗИ КС1, СКЗИ КС2, СКЗИ КС3
IKE / IPSEC с ГОСТ
согласно RFC и ТК26
Гарантия 3 года
на аппаратную платформу
Продукт зарегистрирован
С-Терра Шлюз представляет собой программный комплекс на аппаратной платформе (программно-аппаратный комплекс, ПАК), предназначенный для обеспечения безопасности сети связи любой топологии, с любым количеством туннелей.

С-Терра Шлюз обеспечивает защиту и фильтрацию как трафика подсетей, проходящего через него, так и защиту трафика самого шлюза безопасности.
  • Характеристики
  • Технологии
  • Преимущества
  • Эксплуатация

Надежная защита передаваемого трафика

  • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
  • Маскировка топологии защищаемого сегмента сети
  • Аутентификация абонентов – по протоколу IKE (RFC2407, RFC2408, RFC2409, RFC 2412)
  • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP

Построение защищенных сетей любой сложности

  • Полноценная поддержка инфраструктуры PKI
  • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
  • Поддержка различных топологий, в том числе: точка-точка, звезда, иерархическое дерево, частично- и полносвязная топология
  • Возможность построения нескольких эшелонов защиты, организации перешифрования
  • Возможность применения сценария на базе технологии, аналогичной DMVPN
  • Route-based VPN на основе GRE и протоколов динамической маршрутизации RIP, OSPF, BGP
  • L2 VPN (возможность построения полносвязной оптимальной топологии)
  • Интеграция с системой обнаружения вторжений С-Терра СОВ

Легкая интеграция в существующую инфраструктуру

Совместимость со всеми необходимыми протоколами, в том числе:


  • интеграция с RADIUS сервером
  • выдача IKECFG-адресов для С-Терра Клиент и С-Терра Юнит
  • поддержка расширенной аутентификации при помощи одноразовых паролей на С‑Терра Клиент
  • динамическая маршрутизация RIP, OSPF, BGP
  • поддержка 802.1Q (VLAN) и агрегирование интерфейсов на базе протокола LACP
  • работа через NAT (NAT Traversal)
  • поддержка source NAT и destination NAT на С-Терра Шлюз и С-Терра Юнит
  • событийное протоколирование – Syslog
  • мониторинг SNMP, NetFlow/IPFIX, Zabbix agent
  • инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)

Высокая надежность и производительность

  • MultiWAN – резервирование каналов связи в режиме Active/Passive (возможно использование USB модемов)
  • Объединение устройств в кластер по протоколу VRRP
  • Балансировка нагрузки на С-Терра Шлюз при помощи технологии Reverse Route Injection (RRI)
  • Балансировка нагрузки и обеспечение отказоустойчивости С-Терра Шлюз в режиме L2 VPN при помощи протокола LACP
  • Возможность оснащения резервными блоками питания и жесткими дисками, объединенными в RAID – для старших моделей
  • Поддержка сценариев обеспечения отказоустойчивости с резервированием шлюзов безопасности, сетевых интерфейсов и каналов провайдеров
  • Поддержка режима сохранения защищенных туннелей при перезагрузке политики безопасности
  • Высокая производительность
  • Возможность использования для защиты трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
  • Поддержка QoS

Операционные системы

Характеристики оборудования должны соответствовать требованиям, предъявляемым операционными системами.

Криптографические библиотеки
С-Терра ST – встроенная
Операционные системы
Debian GNU/Linux 7
Информационные обмены протокола IKE

Main mode

Aggressive mode

Quick mode

Transaction Exchanges

Informational Exchanges

VKO ГОСТ Р 34.10-2001

VKO ГОСТ Р 34.10-2012, 256 бит

Шифрование Аутентификация Имитозащита

ГОСТ 28147-89

ГОСТ Р 34.10-2012

ГОСТ Р 34.11-2012

ГОСТ Р 34.12-2015

ГОСТ Р 34.13-2015

Мониторинг доступности удаленного узла
Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование
Syslog
Сбор статистики
SNMP v.1, v.2c
Формат сертификатов публичных ключей
X.509 v.3 (RSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»
Формат запроса на регистрацию сертификата при генерации ключевой пары
Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов

Протоколы IKE, LDAP v.3

Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Способ получения ключевой пары
  • Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
  • Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
  • Генерация внешним PKI сервисом с доставкой через PKSC#12 (RSA)
Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна.

Поддерживается CRL v.2.

Способы получения CRL:

  • протокол LDAP v.3
  • протокол HTTP
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Отказоустойчивость и балансировка нагрузки
VRRP, RRI, GRE+OSPF/BGP, MultiWAN (резервирование каналов связи)
Работа через NAT
NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)
Протоколы динамической маршрутизации
RIPv2, OSPF, BGP
Прочие сетевые протоколы и сервисы
DHCP (клиент и сервер), VLAN, NAT, LACP, MTU Path Discovery, NetFlow, IPFIX

1. Обновленная операционная система и современные аппаратные платформы.
Шлюз работает под управлением операционной системы (ОС) Debian GNU/Linux 7, которая включает в себя актуальные обновления безопасности. Использование новой ОС и обновление версий всех компонентов позволяет повысить её надежность и защищенность, а также использовать самые современные аппаратные платформы.

2. Рост производительности.
Повышение производительности шифрования на младших моделях линейки составляет около 10% за счет оптимизации алгоритмов обработки сетевых пакетов, синхронизации потоков и реализации вычислений ГОСТ.

3. Криптоалгоритмы по ГОСТ Р 34.12-2015.
Применяются новые алгоритмы шифрования (в т.ч. «Кузнечик») для выполнения требований нормативных документов.

4. Единая ролевая модель локального доступа для всех модификаций (исполнений).
Административная консоль теперь используется во всех модификациях шлюза, а не только для исполнений, сертифицированных ФСБ России по классу КС3. Это повышает защищенность, а также позволяет разграничить права доступа администраторов.

5. Технологическая возможность совместимости с другими вендорами VPN-продуктов.
Реализован новый режим работы IKEv1, соответствующий рекомендациям ТК 26.

6. IKEv2.
В тестовом режиме реализована возможность создания защищенных соединений на основе протокола IKEv2 (дополнительный пакет).

7. Обновленная система управления продуктом.
В консоль конфигурирования (здесь и далее под консолью конфигурирования понимается интерфейс c подмножеством команд Cisco IOS) добавлены команды, повышающие удобство настройки, управления и эксплуатации продукта, в том числе:

  • Настройка VRRP кластера – единый интерфейс настройки основного сценария отказоустойчивости.
  • Расширенные диапазоны значений параметров keepalive, что дает возможность более быстрого перестроения защищенных соединений в различных схемах отказоустойчивости.
  • Задание адреса партнера DNS именем, что позволяет указать в конфигурации партнера без привязки к IP-адресу.
  • Получение CRL по HTTP, то есть более тесная интеграция с PKI сервисами.
  • Задание локального адреса для построения туннелей. Независимость конфигурации шлюза от адресов внешних интерфейсов дает возможность построения более гибких сценариев с несколькими провайдерами.
  • Работа с файлами. Теперь работа осуществляется непосредственно в консоли конфигурирования, без перехода в консоль операционной системы.
  • Задание адреса источника для команды ping. Проверку и поиск неисправностей теперь можно проводить непосредственно в консоли конфигурирования, без перехода в консоль операционной системы.
  • Просмотр информации о защищенных соединениях. Добавлены команды просмотра информации о IKE и IPsec туннелях. Теперь просмотр осуществляется непосредственно в консоли конфигурирования, без перехода в консоль операционной системы.

8.Нестандартные IKE/IPsec порты.
Можно задать произвольный номер порта в случае, если стандартные порты блокируются провайдером или уже используются в продуктах других производителей, и не представляется возможным выделить дополнительный внешний адрес.

9. IPsec-over-HTTP.
Инкапсуляция IPsec трафика на основе протокола HTTP позволяет строить защищенные соединения, даже если у провайдеров разрешен только HTTP (например, в публичных местах).

10. Статический NAT в DMVPN.
При реализации DMVPN шлюзы в филиалах могут находиться за маршрутизатором, осуществляющим статическую трансляцию адресов (ранее у шлюзов в филиалах должны были быть строго глобально маршрутизируемые адреса).

11. Дополнительная аутентификация для С-Терра Клиент: xAuth + Radius.
Реализована дополнительная аутентификация с применением xAuth с поддержкой на Radius-сервере, что значительно упрощает управление продуктами, установленными на пользовательских рабочих местах, в крупных сетях.

12. Новый лицензионный механизм.
Лицензия может быть ограничена по времени использования, то есть включать в себя дату, до которой она является активной.

13. Диагностика перегрузки.
Добавлена утилита просмотра статистических данных о пакетах, обработанных VPN-драйвером. На основе этих данных можно осуществлять диагностику перегрузки шлюза.


Управление
  • Централизованно удаленно

    Система централизованного управления С-Терра КП

  • Удаленно

    Web-based интерфейс управления
    Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS

  • Локально

    Интерфейс командной строки с подмножеством команд Cisco IOS

Совместимость
  • Токены:

    — eToken Java 72К

    — JaCarta PKI, JaCarta PKI/ГОСТ

    — Рутокен Lite, Рутокен ЭЦП

  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x

  • Все продукты компании «С-Терра СиЭсПи» независимо от версии, кроме С-Терра Шлюз 10G

Техническая поддержка

Обновлённая услуга «Сервис технической поддержки» даёт возможности пользоваться технической поддержкой того уровня, который вам наиболее подходит на весь период эксплуатации продукта.

Комплект поставки аппаратной платформы включает 3 (три) года гарантии от производителя аппаратной платформы. Информация о гарантийном обслуживании АП.


Модификации
С-Терра Шлюз 100
Малые офисы,
банкоматы, подключение к гос. системам
МАКС. ПРОИЗВОДИТЕЛЬНОСТЬ ШИФРОВАНИЯ, МБИТ/C
145
МАКС. ПРОИЗВОДИТЕЛЬНОСТЬ ШИФРОВАНИЯ IMIX, МБИТ/C
95
КОЛИЧЕСТВО ТУННЕЛЕЙ
10 / 200
С-Терра Шлюз 1000 / 2000
Небольшие офисы
МАКС. ПРОИЗВОДИТЕЛЬНОСТЬ ШИФРОВАНИЯ, МБИТ/C
405 / 1040
МАКС. ПРОИЗВОДИТЕЛЬНОСТЬ ШИФРОВАНИЯ IMIX, МБИТ/C
260 / 690
КОЛИЧЕСТВО ТУННЕЛЕЙ
50 / 500
С-Терра Шлюз 3000
Средние офисы
МАКС. ПРОИЗВОДИТЕЛЬНОСТЬ ШИФРОВАНИЯ, МБИТ/C
1580
МАКС. ПРОИЗВОДИТЕЛЬНОСТЬ ШИФРОВАНИЯ IMIX, МБИТ/C
1180
КОЛИЧЕСТВО ТУННЕЛЕЙ
1000
С-Терра Шлюз 7000
Крупные офисы, ЦОД
МАКС. ПРОИЗВОДИТЕЛЬНОСТЬ ШИФРОВАНИЯ, МБИТ/C
3090
МАКС. ПРОИЗВОДИТЕЛЬНОСТЬ ШИФРОВАНИЯ IMIX, МБИТ/C
2070
КОЛИЧЕСТВО ТУННЕЛЕЙ
не ограничено
С-Терра Шлюз 100
В промышленном исполнении
АСУ ТП
МАКС. ПРОИЗВОДИТЕЛЬНОСТЬ ШИФРОВАНИЯ, МБИТ/C
80
МАКС. ПРОИЗВОДИТЕЛЬНОСТЬ ШИФРОВАНИЯ IMIX, МБИТ/C
45
КОЛИЧЕСТВо ТУННЕЛЕЙ
10



Преимущества продукта С-Терра Шлюз 4.2
1.
Удаленное обновление с помощью системы централизованного управления С-Терра КП 4.30
2.
Криптографическое преобразование ENCR_KUZNYECHIK_MGM_KTREE по проекту спецификации ТК26 на базе криптоалгоритма «Кузнечик»
3.
Улучшенный пользовательский интерфейс
4.
Поддержка групповых операций при работе со списками доступа для межсетевого экранирования и шифрования
5.
Поддержка одновременной работы с 2 USB модемами разных вендоров
6.
Расширенные возможности мониторинга средствами ОС, в том числе температуры компонентов шлюза и жестких дисков.
7.
Использование Zabbix-агента «из коробки».
8.
Поддержка технологий NetFlow, IPFIX.
9.
L2 VPN — возможность построения полносвязной оптимальной топологии, совмещение L2/L3 функций на порту захвата фреймов.
10.
Улучшена работа VRRP кластера (поддержка расширенных сценариев из CLI, новые команды проверки состояния кластера).

Закажите консультацию

Оставьте свои контакты, мы свяжемся с вами в ближайшее время