+7 (499) 940-90-61
С-Терра Виртуальный Шлюз Е

Версия 4.3

Версия 4.1

Экспортный вариант шлюза безопасности С-Терра Виртуальный Шлюз для криптографической защиты трафика при трансграничном информационном взаимодействии и обмене данными между представительствами российских компаний за рубежом. Программный комплекс, функционирующий в виртуальной машине.
Сертификация
ФСБ: СКЗИ КС1
IKE / IPSEC с ГОСТ
согласно RFC и ТК26
Бесплатная техподдержка
в первый год
Продукт зарегистрирован

С-Терра Виртуальный Шлюз Е применяется российскими компаниями и организациями, осуществляющими свою деятельность за пределами РФ, с целью защиты трансграничного информационного взаимодействия и защиты обмена данными между представительствами российских компаний за рубежом.

Функционирует в виртуальной машине, созданной в одном из наиболее популярных гипервизоров. Предназначен для работы в виртуальной среде и защиты как периметра облачной инфраструктуры, так и взаимодействия между отдельными виртуальными машинами.

Особенности

Эксплуатация С-Терра Виртуальный Шлюз E допускается как на территории Российской Федерации, так и за её пределами, что отражено в Формуляре, согласованном ФСБ России. Это упрощает достижение положительного результата при получении лицензии на экспорт в порядке, установленном законодательством РФ.

  • Характеристики
  • Технологии
  • Производительность
  • Эксплуатация

Надежная защита передаваемого трафика

  • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
  • Маскировка топологии защищаемого сегмента сети
  • Аутентификация абонентов – по протоколу IKE (RFC2407, RFC2408, RFC2409, RFC 2412)
  • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP

Построение защищенных сетей любой сложности

  • Полноценная поддержка инфраструктуры PKI
  • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
  • Возможность построения нескольких эшелонов защиты, организации перешифрования
  • Возможность применения сценария на базе технологии, аналогичной DMVPN
  • Route-based VPN на основе GRE и протоколов динамической маршрутизации RIP, OSPF, BGP
  • L2 VPN (возможность построения полносвязной оптимальной топологии)
  • Интеграция с системой обнаружения вторжений С-Терра СОВ

Легкая интеграция в существующую инфраструктуру

Совместимость со всеми необходимыми протоколами, в том числе:


  • Интеграция с RADIUS сервером
  • Выдача IKECFG-адресов для С-Терра Клиент и С-Терра Юнит
  • поддержка расширенной аутентификации при помощи одноразовых паролей на С‑Терра Клиент
  • динамическая маршрутизация RIP, OSPF, BGP
  • поддержка 802.1Q (VLAN) и агрегирование интерфейсов на базе протокола LACP
  • работа через NAT (NAT Traversal)
  • поддержка source NAT и destination NAT на С-Терра Виртуальный Шлюз и С‑Терра Юнит
  • событийное протоколирование – Syslog
  • мониторинг SNMP, NetFlow/IPFIX, Zabbix agent
  • инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)

Высокая надежность и производительность

  • Поддержка сценариев обеспечения отказоустойчивости с резервированием шлюзов безопасности, сетевых интерфейсов и каналов провайдеров
  • Поддержка режима сохранения защищенных туннелей при перезагрузке политики безопасности
  • Высокая производительность (см. таблицу на данной странице выше)
  • Возможность использования для защиты трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
  • Поддержка QoS

Операционные системы

Продукт работает под управлением Debian GNU/Linux 9 в одном из наиболее популярных гипервизоров.

Характеристики оборудования должны соответствовать требованиям, предъявляемым операционными системами.

Криптографические библиотеки
С-Терра ST – встроенная
Операционные системы
Debian GNU/Linux 9
Гипервизоры
VMware, Microsoft Hyper-V, KVM, Citrix XenServer
Ресурсы виртуальной машины, необходимые для установки продукта

Не менее:

  • 1/4/12 (в зависимости от лицензии) ядер процессора
  • 4 Гб HDD
  • 2 Гб RAM
  • двух виртуальных сетевых интерфейсов
Информационные обмены протокола IKE

Main mode

Aggressive mode

Quick mode

Transaction Exchanges

Informational Exchanges

VKO ГОСТ Р 34.10-2001

VKO ГОСТ Р 34.10-2012, 256 бит

Шифрование Аутентификация Имитозащита

ГОСТ 28147-89

ГОСТ Р 34.10-2012

ГОСТ Р 34.11-2012

ГОСТ Р 34.12-2015

ГОСТ Р 34.13-2015

Мониторинг доступности удаленного узла
Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование
Syslog
Сбор статистики
SNMP v.1, v.2c
Формат сертификатов публичных ключей
X.509 v.3 (RSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»
Формат запроса на регистрацию сертификата при генерации ключевой пары
Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов

Протоколы IKE, LDAP v.3

Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Способ получения ключевой пары
  • Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
  • Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
  • Генерация внешним PKI сервисом с доставкой через PKSC#12 (RSA)
Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна.

Поддерживается CRL v.2.

Способы получения CRL:

  • протокол LDAP v.3
  • протокол HTTP
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Отказоустойчивость и балансировка нагрузки

VRRP

RRI

GRE+OSPF/BGP

MultiWAN (резервирование каналов связи)

Работа через NAT
NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)
Протоколы динамической маршрутизации

RIPv2

OSPF

BGP

Прочие сетевые протоколы и сервисы

DHCP (клиент и сервер)

VLAN

NAT

LACP

MTU Path Discovery

NetFlow

IPFIX

Наименование Условия измерений: Vmware 6.5, vmxnet3, CPU E5-2643v4 3.40 Ghz
Максимальная производительность шифрования, Мбит/c Максимальная производительность шифрования IMIX, Мбит/c
С-Терра Виртуальный Шлюз (1 ядро) 340 270
С-Терра Виртуальный Шлюз (4 ядра) 1350 1000
С-Терра Виртуальный Шлюз (12 ядер*) 3050 2000

* Данные значения могут быть получены только при использовании passthrough или SR-IOV для сетевых адаптеров.

Управление
  • Централизованно удаленно

    Система централизованного управления С-Терра КП

  • Удаленно

    — Web-based интерфейс управления

    — Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS

  • Локально

    Интерфейс командной строки с подмножеством команд Cisco IOS

Совместимость
  • Токены:

    — eToken Java 72К

    — JaCarta PKI, JaCarta PKI/ГОСТ

    — Рутокен Lite, Рутокен ЭЦП, Рутокен ЭЦП 2.0

  • В части реализации протоколов IPsec/IKE и их расширений:

    — с Cisco IOS v.12.4 и v.15.x.x

    — с СКЗИ КриптоПро CSP 5.0

  • Все продукты компании «С-Терра СиЭсПи» независимо от версии, кроме С-Терра Шлюз 10G и С-Терра Шлюз 40G

Техническая поддержка

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии). Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Комплект поставки аппаратной платформы включает 3 (три) года гарантии от производителя аппаратной платформы. Информация о гарантийном обслуживании АП.





Преимущества продукта С-Терра Виртуальный Шлюз Е 4.3
1.
Удаленное обновление с помощью системы централизованного управления С-Терра КП 4.3.
2.
Криптографическое преобразование ENCR_KUZNYECHIK_MGM_KTREE по проекту спецификации ТК26 на базе криптоалгоритма «Кузнечик».
3.
Улучшенный пользовательский интерфейс.
4.
Поддержка групповых операций при работе со списками доступа для межсетевого экранирования и шифрования.
5.
Расширенные возможности мониторинга средствами ОС, в том числе температуры компонентов шлюза и жестких дисков.
6.
Использование Zabbix-агента «из коробки».
7.
Поддержка технологий NetFlow, IPFIX.
8.
L2 VPN – возможность построения полносвязной оптимальной топологии, совмещение L2/L3 функций на порту захвата фреймов.
9.
Улучшена работа VRRP кластера (поддержка расширенных сценариев из CLI, новые команды проверки состояния кластера).
10.
Улучшена работа MultiWAN (возможность задавать произвольные маршруты для резервирования, поддержка механизма uRPF).

Закажите бесплатную консультацию

Оставьте свои контакты, мы свяжемся с вами в ближайшее время