Главная  > Продукты  > Продуктовая линейка  > С-Терра Виртуальный Шлюз  > С-Терра Виртуальный Шлюз 4.3

С-Терра Виртуальный Шлюз 4.3

Продукт в едином реестре российских программ

Исполнения: С-Терра Виртуальный Шлюз ST. 
Классы сертификации СКЗИ: КС1.

Входит в линейку продуктов С-Терра VPN версии 4.3.

icon_virt-gate.pngПрограммный комплекс С-Терра Виртуальный Шлюз представляет собой шлюз безопасности, функционирующий в виртуальной машине, созданной в одном из наиболее популярных гипервизоров (VMware, Citrix XenServer, Microsoft Hyper-V, KVM).

Предназначен для работы в виртуальной среде. Используется для защиты как периметра облачной инфраструктуры, так и взаимодействия между отдельными виртуальными машинами.

Производительность


Наименование Условия измерений:
Vmware 6.5, vmxnet3, CPU E5-2643v4 3.40 Ghz
Максимальная производительность шифрования, Мбит/c Максимальная производительность шифрования IMIX, Мбит/c
С-Терра Виртуальный Шлюз (1 ядро) 340 270
С-Терра Виртуальный Шлюз (4 ядра) 1350 1000
С-Терра Виртуальный Шлюз (12 ядер*) 3050 2000

* Данные значения могут быть получены только при использовании passthrough или SR-IOV для сетевых адаптеров.


  • Надежная защита передаваемого трафика

    • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
    • Возможность построения нескольких эшелонов защиты, организации перешифрования
    • Возможность применения сценария на базе технологии, аналогичной DMVPN
    • Route-based VPN на основе GRE и протоколов динамической маршрутизации RIP, OSPF, BGP
    • L2 VPN (возможность построения полносвязной оптимальной топологии)
    • Интеграция с системой обнаружения вторжений С-Терра СОВ
  • Легкая интеграция в существующую инфраструктуру

    Совместимость со всеми необходимыми протоколами, в том числе:

    • Интеграция с RADIUS сервером
    • Выдача IKECFG-адресов для С-Терра Клиент и С-Терра Юнит
    • поддержка расширенной аутентификации при помощи одноразовых паролей на С‑Терра Клиент
    • динамическая маршрутизация RIP, OSPF, BGP
    • поддержка 802.1Q (VLAN) и агрегирование интерфейсов на базе протокола LACP
    • работа через NAT (NAT Traversal)
    • поддержка source NAT и destination NAT на С-Терра Виртуальный Шлюз и С‑Терра Юнит
    • событийное протоколирование – Syslog
    • мониторинг SNMP, NetFlow/IPFIX, Zabbix agent
    • инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)
  • Высокая надежность и производительность

    • Поддержка сценариев обеспечения отказоустойчивости с резервированием шлюзов безопасности, сетевых интерфейсов и каналов провайдеров
    • Поддержка режима сохранения защищенных туннелей при перезагрузке политики безопасности
    • Высокая производительность (см. таблицу на данной странице выше)
    • Возможность использования для защиты трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
    • Поддержка QoS
  • Операционные системы

    Продукт работает под управлением Debian GNU/Linux 9 в одном из наиболее популярных гипервизоров (VMware, Citrix XenServer, MS Hyper-V, KVM).

    Характеристики оборудования должны соответствовать требованиям, предъявляемым операционными системами.

Преимущества применения


  • Интеграция непосредственно в виртуальную инфраструктуру
  • Простая и быстрая установка и настройка
  • Высокая производительность шифрования трафика
  • Реализация сценариев обеспечения высокой доступности и отказоустойчивости
  • Оперативная адаптация к меняющимся задачам и требованиям сетевых приложений и инфраструктуры
  • Легкое сохранение или восстановление резервной копии
  • Эффективное использование вычислительных ресурсов
  • Экономия электроэнергии и места в стойке

Преимущества продукта версии 4.3


1. Удаленное обновление с помощью системы централизованного управления С-Терра КП 4.3.

2. Преобразование по спецификации ТК26 на базе криптоалгоритма «Кузнечик».

3. Улучшенный пользовательский интерфейс.

4. Поддержка групповых операций при работе со списками доступа для межсетевого экранирования и шифрования.

5. Расширенные возможности мониторинга средствами ОС, в том числе температуры компонентов шлюза и жестких дисков.

6. Использование Zabbix-агента «из коробки».

7. Поддержка технологий NetFlow, IPFIX.

8. L2 VPN – возможность построения полносвязной оптимальной топологии, совмещение L2/L3 функций на порту захвата фреймов.

9. Улучшена работа VRRP кластера (поддержка расширенных сценариев из CLI, новые команды проверки состояния кластера).

10. Улучшена работа MultiWAN (возможность задавать произвольные маршруты для резервирования, поддержка механизма uRPF).

Наименование Спецификация

Криптографические библиотеки

С-Терра ST – встроенная

Операционные системы

Debian GNU/Linux 9

Гипервизоры VMware, Citrix XenServer, Microsoft Hyper-V, KVM
Ресурсы виртуальной машины, необходимые для установки продукта Не менее:
  • 1/4/12 (в зависимости от лицензии) ядер процессора
  • 4 Гб HDD
  • 2 Гб RAM
  • двух виртуальных сетевых интерфейсов

Информационные обмены протокола IKE

Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO ГОСТ Р 34.10-2012, 256 бит

Шифрование
Аутентификация
Имитозащита

ГОСТ 28147-89
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012
ГОСТ Р 34.12-2015
ГОСТ Р 34.13-2015

Мониторинг доступности удаленного узла

Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)

Событийное протоколирование

Syslog

Сбор статистики

SNMP v.1, v.2c

Формат сертификатов публичных ключей

X.509 v.3 (RSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Формат запроса на регистрацию сертификата при генерации ключевой пары

Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат

Способы получения сертификатов

Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Способ получения ключевой пары

– Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
– Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
– Генерация внешним PKI сервисом с доставкой через PKSC#12 (RSA)

Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • протокол HTTP
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Отказоустойчивость и балансировка нагрузки

VRRP, RRI, GRE+OSPF/BGP, MultiWAN (резервирование каналов связи)

Работа через NAT

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Протоколы динамической маршрутизации

RIPv2, OSPF, BGP

Прочие сетевые протоколы и сервисы

DHCP (клиент и сервер), VLAN, NAT, LACP, MTU Path Discovery, NetFlow, IPFIX

Управление

  • Централизованно удаленно
  • — Система централизованного управления С-Терра КП
  • Удаленно
  • — Web-based интерфейс управления
  • — Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
  • Локально
  • — Интерфейс командной строки с подмножеством команд Cisco IOS

Совместимость

  • Токены:
  • — eToken Java 72К
  • — JaCarta PKI, JaCarta PKI/ГОСТ
  • — Рутокен Lite, Рутокен ЭЦП, Рутокен ЭЦП 2.0
  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии, кроме С-Терра Шлюз 10G и С‑Терра Шлюз 40G

Техническая поддержка

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии). Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.