Главная  > Продукты  > Продуктовая линейка  > Криптомаршрутизатор Zelax-ST

Криптомаршрутизатор Zelax-ST

Zelax-STКриптомаршрутизатор Zelax-ST – российское универсальное устройство, объединяющее функции маршрутизации, коммутации, шифрования и сетевой безопасности.

Совместная разработка компаний «Зелос» («Zelax», Москва) и «С-Терра СиЭсПи» на базе:

ПРЕИМУЩЕСТВА

  • Сделано в России!
  • IPsec VPN с ГОСТ‑алгоритмами
  • Высокая плотность портов
  • Несколько эшелонов защиты
  • Удаленное централизованное управление
  • Экономия пространства
  • Снижение энергопотребления
  • Широкая сеть сервис-центров

Криптомаршрутизатор Zelax-ST сочетает в себе высокую производительность маршрутизации и шифрование в соответствии с ГОСТ 28147-89.

Назначение:

  • Защита сетей любой топологии
  • Защита территориально распределенных сетей
  • Защита межсетевых взаимодействий
  • Защита мультисервисных сетей (VoIP, видеоконференцсвязь)
  • Разделение сети на сегменты с различным уровнем доступа
    и другие задачи

Функциональные возможности

  • Высококачественная функциональность маршрутизатора и коммутатора

    • Динамическая и статическая маршрутизация
    • Поддержка необходимых сетевых протоколов и сервисов
    • Высокая плотность портов для построения сетей любого масштаба
    • Поддержка протоколов 2 уровня
    • Совместимость с сетевым оборудованием других российских и зарубежных производителей
  • Надежная защита передаваемого трафика

    • Шифрование и контроль целостности передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием российских криптографических алгоритмов.
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран, осуществляющий stateful-фильтрацию трафика
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки трафика
    • Поддержка различных топологий сети
    • Построение нескольких эшелонов защиты, выделение зон с разным уровнем доверия, организация перешифрования и инспекции трафика в центре
    • Динамическое туннелирование (аналог DMVPN)
  • Гибкая интеграция в существующую инфраструктуру

    • Объединение устройств в кластер
    • Динамическая маршрутизация, в том числе, балансировка нагрузки
    • Работа через NAT
    • Выдача IP-адресов из внутренней сети
    • Поддержка VLAN
  • Высокая надежность и производительность

    • Отказоустойчивость с резервированием шлюзов безопасности, сетевых интерфейсов и провайдерских каналов
    • Сохранение защищенных туннелей при перезагрузке политики безопасности
    • Защита трафика, требовательного к задержкам и потерям пакетов, например, IP-телефония и видеоконференцсвязь (ВКС)
    • Поддержка QoS

Протоколы и технологии

Наименование Спецификация
Программный комплекс VPN-шлюз С-Терра Шлюз 4.1
Криптографические библиотеки

С-Терра ST – встроенная

Протокол IKE

Информационные обмены:

Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001,
VKO_GOSTR3410_2012_256 в соответствии с документом «РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ...»

Режимы аутентификации:

Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012

Алгоритмы шифрования, контроля целостности и ЭП Шифрование:
DES, AES, ГОСТ28147-89

ЭП:
DSA, RSA, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012

Контроль целостности:

MD5, SHA1, комбинированное преобразование ESP_GOST-4M-IMIT, ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012

Мониторинг и контроль Доступности удаленного узла: Dead Peer Detection (DPD)
Событийное протоколирование: Syslog
Сбор статистики: SNMP v.1, v.2c
Механизмы обеспечения отказоустойчивости
VRRP (в т.ч. объединение в кластер), RRI,
GRE+OSPF (резервирование провайдеров)
Работа через NAT
NAT Traversal Encapsulation (инкапсуляция IPsec в UDP)  / NAT-T
Протоколы RADIUS, IKECFG (выдача адресов для С-Терра Клиент), LACP

Динамическая маршрутизация:
RIP и OSPF (в том числе, балансировка нагрузки RRI)
Обработка трафика QoS: приоритизация, маркировка
сценарии: split tunneling
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ)
Формат запроса на регистрацию сертификата при генерации ключевой пары Certificate Enrollment Request (CER), упакованный в PKCS#10 bin или base 64
Способы получения сертификатов Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
Генерация внешним PKI сервисом с доставкой:
– на сменных ключевых носителях
– через PKSC#12 (DSA, RSA)
Список отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:
  • протокол LDAP v.3
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Аппаратная платформа Маршрутизатор Zelax MM-1017
Интерфейсы аппаратной платформы
4 x 10GBase (IEEE802.3ae) SFP+;
24 х 10/100/1000Base-T (IEEE802.3ab) RJ-45;
4 x 10/100/1000Base-x (IEEE802.3ab) SFP
Маршрутизация динамическая RIP, OSPF, BGP4/4+, VRRP, ISATAP, GRE, BFD, PBR
статическая
Многоадресная рассылка статическая, PIM-DM, PIM-SM, PIM-SSM, MSDP
Сетевые протоколы и сервисы DHCP (клиент и сервер), VLAN, PAT, LACP
Протоколы 2-го уровня 802.1d (STP), 802.1w (RSTP), 802.1s (MSTP); 802.1Q, 802.1Q-in-Q, Dynamic ARP inspection (DAI), DHCP, BPDU, GARP, GVRP, LLDP, LLDP-MED, UDLD, IGMP, Multicast VLAN Registration (MVR); MLD Snooping v1, v2; 802.3ad (LACP) агрегация портов, PPPoE, предотвращение блокировки (HOL)
Качество обслуживания (QoS) Классификация трафика
Ограничение полосы пропускания с шагом 1 кбит/с
8 очередей на каждом порту
Полисинг трафика

 

Производительность

  • Коммутационная фабрика (максимальное значение)
  • – 128 Гбит/с
  • Маршрутизации (максимальное значение)
  • – 95 Мп/с (для кадров Ethernet длиной 64Б)

Производительность шифрования

Модель Максимальная производительность шифрования, Мбит/c Производительность шифрования IMIX, Мбит/c Количество туннелей
Zelax-ST ММ-1017-1000М 400 200 500
Zelax-ST ММ-1017-3000 800 300 1000

Управление

  • Централизованно удаленно:
  • – Система централизованного управления С-Терра КП
  • – Графический интерфейс Cisco Security Manager (CSM) в составе CSM Suite
  • Локально или удаленно:
  • – Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
  • Удаленно:
  • – Web-based интерфейс управления

Совместимость

  • Токены:
  • – eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java)
  • – Рутокен S, Рутокен ЭЦП, Рутокен ЭЦП Bluetooth
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии
  • Модуль NME-RVPN в исполнении МСМ, Модуль Cisco UCS-EN120

Сертификаты

Сертификат ФСТЭК России № 3370 (МЭ-3, НДВ-3, ОУД 4+)

Формуляр, согласованный ФСТЭК России (АС 1В, ГИС до 1 кл. вкл., ПДн 1-4 ур.)

Встроенная криптобиблиотека компании «С-Терра СиЭсПи»: