| Обзор российских TCP/IP VPN-продуктов |
Амикон |
Голлард |
Информзащита |
Инфосистемы Джет |
Инфотекс |
С-Терра СиЭсПи |
Фактор-ТС |
ЭЛВИС ПЛЮС |
| ФПСУ-IP Клиент |
ФПСУ-IP мини |
ФПСУ-IP |
Заслон |
Континент-АП |
Континент |
Мобильный клиент |
Тропа-Джет |
ViPNet [Клиент] |
ViPNet [Координатор] |
CSP VPN Client |
CSP VPN Server |
CSP VPN Gate |
Телекоммуникационный сервер ДИОНИС
(сведения о VPN-клиенте DiSec практически отсутствуют) |
Застава-Клиент |
Застава-Сервер |
Застава-Офис |
| Общие сведения |
|
| Веб-сайт производителя |
www.amicon.ru |
www.ip-zaslon.ru |
www.infosec.ru |
www.jet.msk.su; www.jetsoft.ru |
www.infotecs.ru |
www.s-terra.com |
www.factor-ts.ru |
www.elvis.ru; www.zastava.ru |
| Тип продукта (ПО/ПАК) |
ПАК (ПО + USB-устройство "VPN-key") |
ПАК |
ПАК |
ПО |
ПАК |
ПО |
ПО |
ПО |
ПО |
ПАК |
ПО, ПАК |
ПО |
|
| Назначение |
VPN-клиент |
VPN-шлюз (ряд ограничений, в частности, не может быть концентратором доступа VPN-клиентов) |
VPN-шлюз, "стандартная" и "усиленная" платформы |
VPN-шлюз |
VPN-клиент |
VPN-шлюз (для работы в режиме концентратора удаленного доступа требуется установка модуля "сервер доступа") |
VPN-клиент |
VPN-шлюз |
VPN-клиент, персональный МЭ |
VPN-шлюз, межсетевой экран, сервер защищенной почты и проч. |
VPN-клиент |
VPN-сервер |
семейство VPN-шлюзов, серии: 100 - комм. и выд. линии; 1000 - xDSL; 3000 - до 100 Мбит/с, 7000 - 100 Мбит/с и выше |
Многофункциональное устройство, в т.ч. VPN-шлюз |
VPN-клиент |
VPN-сервер |
VPN-шлюз |
| Количество сетевых интерфейсов ПАК |
не определено |
2, "внутренний" и "внешний" |
2, "внутренний" и "внешний" |
не определено |
1 внешний и до 5-7 внутренних интерфейсов |
не определено |
не определено |
не определено |
по сериям: 100 - 3; 1000 - 3; 3000/7000 - до 6 |
до 8 Еthernet 100 Мбит/с |
не определено |
| Операционная система |
Windows NT/2000/XP |
частная 32 битная DOS-подобная ОС |
отсутствует, аппаратный шифратор |
Windows 98/NT/2000 |
Free BSD |
Windows 98/2000 |
Solaris |
Windows 2000/ XP |
Windows
95/98/ME/NT, Linux |
Windows 2000/XP |
Solaris, Linux
2000/XP |
|
DOS v6.0 и выше |
Windows
DionisDOS |
Solaris
98/NT/2000 |
| Протокол защиты трафика |
|
| Протокол сетевой защиты |
частный |
частный |
частный |
IPsec AH, ESP |
частный |
IKE/IPsec |
IPsec |
IKE/IPsec |
| Избыточность протокола (доп. байт на пакет) |
до 22 |
неизвестно |
26-36 байт |
68-75 (?) |
неизвестно |
зависит от политики безопасности IPsec; от 24 до ~80 |
24-80 байт, IPsec (?) |
зависит от политики безопасности IPsec; от 24 до ~80 |
| Пакетная фильтрация |
МЭ 3-го класса |
нет |
|
МЭ 3-го класса |
|
нет |
МЭ, персональный МЭ |
МЭ, прокси |
MЭ 4-го класса |
МЭ 3-го класса |
МЭ 3-го класса |
Число защищенных туннелей
(внимание: разночнения в определениии понятия "туннель") |
|
1024*8 туннелей; до 3000 объектов политики на порту |
до 100 |
|
оценочно, 500 (?) |
неизвестно |
Определяется сложной системой лицензирования продуктов. Максимальное число туннельных лицензий по прайс-листу - 40 |
не ограничено |
лицензируется по сериям:
100 - 10 туннелей
1000 - 50 туннелей
3000 - 1000 туннелей
7000 - не ограничено |
256 статических, до 4000 динамических (?) |
не ограничено |
Производительность
(в порядке справки) |
не определено |
10 Мбит/с |
50-60 Мбит/с на "стандартной" платформе, 160 Мбит/с на "усиленной" платформе (данные веб-сайта); 250-270 Мбит/с по рекламным материалам |
180 Мбит/с (дуплекс 90+90), 200 килопакетов/с |
от 14 Мбит/с" |
применим для защиты высокоскоростных каналов связи (до 100 Мбит/с) |
не определено |
Для алгоритма VESTA-M: 86 Мбит/с, для ГОСТ - не опубликована |
неизвестно |
не определено |
серии:
100 - 6 Мбит/с;
1000 - 30 Мбит/с;
3000 - до 200 Мбит/с;
7000 - до 270 Мбит/с |
90 Мбит/с (?) |
не определено |
| Прочее |
|
проксирование SMNP/SMNP-Trap, Telnet, TFTP, HTTP для целей управления |
|
|
NAT |
|
NAT, FTP-прокси для мобильных клиентов |
Сервер IP-адресов, Почтовый сервер, Proxy-сервер защищенных соединений, Сервер "открытый Интернет" |
подержка NAT traversal IPsec |
NAT; проксирование ftp, telnet, smtp/pop3, http; аутентфикация PAP/CHAP/ГОСТ 28147 |
подержка NAT traversal IPsec |
| Протокол аутентифкации и управления ключами |
|
| Применение симметричных ключей |
да |
да |
да |
да |
да |
да (manual IPsec и IKE pre-shared key) |
да |
нет |
| Применение сертификатов Х.509 |
нет |
нет |
нет |
приведены данные об использовании ассимметричных ключей, однако сведения о сертификатах Х.509 не опубликованы |
неизвестно |
да |
нет |
да |
| Использование временного (сеансового) ключевого материала |
неизвестно |
неизвестно |
индивидуальный ключ для каждого пакета |
да |
неизвестно |
да |
нет (?) |
да |
| Прочее |
|
|
|
Частный протокол управления ключами на портах UDP 500,501 |
Реализована развитая система управления симметричными ключами |
XAUTHv6 |
|
|
XAUTHv3, XAUTHv6, HubridIKE |
| Криптография |
|
| Шифрование ГОСТ 28147-89 |
да |
да |
да |
да |
да |
да |
да |
да |
| ЭЦП ГОСТ Р 34.10-94 |
нет |
нет |
нет |
нет |
Сведения о применении этих алгоритмов в VPN-туннелировании не опубликованы |
да |
неизвестно |
да |
| ЭЦП ГОСТ Р 34.10-2001 |
нет |
нет |
нет |
нет |
да |
неизвестно |
да |
| Хэш ГОСТ Р 34.11-94 |
нет |
нет |
нет |
да |
да |
неизвестно |
да |
| Совместимость |
ИнфоКрипт |
Заслон |
MS Crypto API 2.0 |
RFC 4357 (КриптоПро) |
Домен-К |
RFC 2628, RFC 4357, MS CryptoAPI (VPN-клиент) |
неизвестно |
RFC 2628, RFC 4357, MS CryptoAPI (VPN-клиент) |
| Прочее |
сжатие |
внешний носитель ключевой информации ГМД 3S" |
|
Возможность встраивать различные криптобиблиотеки. Веста (ЛАНкрипто) и Крипто-Про. Западные криптоалгоритмы |
Применяется собственное криптографическое ядро СКЗИ "Домен-К", реализующее ГОСТ 28147, AES, 3DES, DES |
западные криптоалгоритмы |
Open CryptoAPI (Анкад, КриптоПро); Cжатие |
западные криптоалгоритмы |
| Интеграция в сетевую инфраструктуру |
|
| Адаптеры, стек протоколов |
не определено |
Ethernet 100 Mбит/c |
Ethernet 1000 Mбит/c |
Ethernet 10/100 Мбит/с, IP, вышележащий стек отсутствует |
не определено |
Ethernet 100/1000 Мбит/с, до 8 |
не определено |
не определено |
не определено |
по сериям:
100 - 2,
1000 - 2 или 3,
3000/7000 - до 6 Ethernet
100/1000 Мбит/с |
Ethernet 100 Мбит/с, собственный TCP/IP стек |
не определено |
| Модем, PPP/PPTP |
да |
неизвестно |
нет |
да |
нет |
да |
нет |
да |
да |
да, SLIP, CSLIP, PPP |
да |
| Беспроводные сети |
да |
нет |
нет |
неизвестно |
нет |
неизвестно |
нет |
да |
да |
нет |
да |
да |
нет |
| GPRS |
неизвестно |
нет |
нет |
неизвестно |
нет |
неизвестно |
нет |
да |
да |
да, с GPRS-модемом |
да |
да |
нет |
| Прочие типы сетевых интерфейсов (каналов связи) |
Infrared |
защита сетей X.25 (в рамках отдельного решения) |
|
|
|
|
V.35, RS530, X.21, G.703, G.704, G823 (в шлюзах CSP VPN Gate 3000, 7000 при использовании сетевых адаптеров Cronyx) |
RSR232 FIFO (4-8) X.25 Eicon, QZHSpPCI/ISA EthernetISDN
EiconHDLC |
|
| Возможность связи с клиентом удаленного доступа, имеющим
динамический IP-адрес |
да |
нет |
да |
нет |
да |
|
да |
да |
да |
нет |
да |
| Функция динамического конфигурирования IP-адресов
VPN-клиентов "внутри VPN" |
нет |
нет |
нет |
|
да |
да, при использовании доп. модуля "точка доступа" |
Технологич реализует оригинальную методику
управления "виртуальными" адресами объектов политики. Применимость
"виртуальных" адресов за пределами решения ViPNet не ясна |
да, IKE-CFG |
нет |
да, IKE-CFG |
| Возможность передвавать защищенный трафик через NAT-шлюзы |
да (?) |
нет |
да |
|
да |
да |
да, NAT traversal IPsec |
неизвестно |
да, NAT traversal IPsec |
| Фрагментация/дефрагментация шифрованного трафика |
нет |
нет |
нет |
|
нет |
нет |
да |
неизвестно |
да |
| Поддержка протоколов управления и сигнализации |
частные протоколы контроля состояния |
нет |
неизвестно |
|
неизвестно |
нет |
ICMP, SNMP (polling, статистика, trap, IPsec
MIB) |
SMTP |
ICMP, SNMP (polling, статистика, trap, IPsec
MIB) |
| Поддержка качества сетевого обслуживания (QoS) |
нет |
нет |
нет |
|
нет |
да (?) |
нет (кроме мэппирования ToS) |
да, мэппирование ToS, приоритетная обработка
трафика |
нет |
нет |
| Прочее |
|
|
|
|
|
Удаленное управление маршрутизаторами по защищенным
каналам "реверсным" методом: перенаправление доступа к внешним
маршрутизаторам через VPN-шлюзы. SPAN-порт для подключения IDS
(RealSecure) |
|
|
|
|
|
|
|
|
|
|
|
| Управление |
|
| Удаленная консоль: интерфейс командной строки |
нет |
нет |
нет |
нет |
да |
нет |
нет |
да |
да |
нет |
| Удаленная консоль: графический интерфейс |
нет |
нет |
нет |
нет |
нет |
нет |
|
да |
неизвестно |
нет |
| Централизованная платформа управления |
АРМ удаленного администрирования (до 4х на
сеть); в шлюзах должен быть установленм доп. модуль удаленного
управления |
нет |
Центр управления связью, до 5000
криптошлюзов. |
нет |
ViPNet [Администратор]: Центр управления
сетью + Ключевой центр |
нет |
да, CiscoWorks VMS |
ЦУС (?) |
Застава-Управление |
| Защита канала управления |
VPN + персональный аутентифкатор
администратора |
нет |
VPN |
VPN |
VPN |
VPN, SSH |
|
VPN |
VPN |
| Поддерживаемые протоколы управления |
частные |
нет |
частные |
нет |
неизвестно |
частные |
telnet/SSH |
|
SNMP |
PMP (частное расширение ISAKMP) |
| Подотчетность, мониторинг, аудит |
|
| Локальное событийное протоколирование |
неизвестно |
да |
да |
нет |
неизвестно |
да |
неизвестно |
да |
неизвестно |
да |
да |
да |
| Централизованное событийное протоколирование |
нет |
нет |
нет |
неизвестно |
да |
нет |
да |
нет |
да |
| Протокол |
частный протокол контроля состояния |
не определено |
частный |
неизвестно |
Syslog |
не определено |
Syslog |
не определено |
Syslog |
| Мониторинг, сигнализация |
мониторинг состояния |
нет |
неизвестно |
неизвестно |
SNMP |
неизвестно |
SNMP |
консоль, ЦУС, SMTP |
SNMP |
| Приложения аудита |
АРМ удаленного администрирования |
нет |
нет |
Syslog-совместимые продукты |
нет |
Syslog-совместимые, Cisco SIMS |
нет |
Syslog-совместимые |
| Интеграция с инфраструктурами открытых ключей |
|
| Генерация запроса на сертификат |
нет |
нет |
нет |
|
да |
нет |
Certificate Enrollment Request (CER) в
PKCS#10 base 64 или binary |
нет |
Certificate Enrollment Request (CER) в
PKCS#10 base 64 или binary |
| Доставка сертификатов |
нет |
нет |
нет |
|
да |
нет |
IKE, LDAP |
нет |
IKE, LDAP, PKCS#11 |
| Верификация сертификатов |
нет |
нет |
нет |
|
|
нет |
Certificate validation chain |
нет |
Certificate validation chain |
| Отзыв сертификатов |
нет |
нет |
нет |
|
|
нет |
CRL |
нет |
CRL |
| Надежность |
|
| Горячий резерв |
не определено |
нет |
да |
нет |
не определено |
да |
не определено |
да (?) |
да |
не определено |
да |
да |
не определено |
неизвестно |
| Схема резервирования |
не определено |
нет |
1+1 |
нет |
не определено |
1+1 |
не определено |
1+1 (?) |
неизвестно |
не определено |
N+1 |
1+1 (?) |
не определено |
неизвестно |
| Используемые критерии отказа |
не определено |
отказ аппаратной платформы |
нет |
не определено |
отказ аппаратной платформы |
не определено |
неизвестно |
неизвестно |
не определено |
отказ устройства, отказ канала (настраивается) |
неизвестно |
не определено |
неизвестно |
| Время переключения на резервное устройство |
неизвестно |
нет |
не определено |
до 30 сек., "без разрыва ... соединений" |
не определено |
неизвестно |
неизвестно |
не определено |
6-60 с в зависимости от настроек тайм-аутов |
неизвестно |
не определено |
неизвестно |
| Распределение нагрузки между основным и резервным
устройством |
не определено |
нет |
нет |
не определено |
не определено |
нет |
не определено |
да (?) |
неизвестно |
не определено |
да |
неизвестно |
не определено |
неизвестно |
| Сервис |
|
| Гарантии производителя |
до 36 месяцев |
неизвестно |
|
до 2х лет |
да |
неизвестно |
да, до 36 месяцев |
неизвестно |
неизвестно |
| Сервис поддержки |
годовое техническое
сопровождение, "горячая линия" |
неизвестно |
Сервисный центр, 7х24 |
Сервисный центр, широкий программ
поддержки, базовый сервис 5х8, расширенные сервисы 5х11 |
Три программы сервисной
поддержки (Silver, Gold, Platinum), горячая линия. Сервис Platinum:
UpGrade, консультации по e-mail, "горячая телефонная линия" (495)
737-6196, выезд к клиенту для решения сложных проблем |
Служба техподдержки партнеров
5х8 (поддержку заказчиков осуществляют системные крупнейшие системыне
интеграторы с широким спектром сервисных услуг) |
e-mail |
неизвестно |
| Обучение |
неизвестно |
нет |
|
Учебный центр "Информзащита" проводит авторизованное
обучение администраторов АПКШ "Континент" |
Методические материалы. Регулярный бюллетень.
Сведений о центре обучения нет |
Комплексная программа обучения. ОАО
"ИнфоТеКС", Сетевая Академия Ланит (Москва), Уральский государственный
университет путей сообщения (УрГУПС, Екатеринбург), Центр технологий
безопасности Томского университета систем управления и радиоэлектроники
(ТУСУР, Томск), Поволжская государственная академия телекоммуникаций и
информатики (ПГАТИ, Самара) |
Cisco Training Center (г.Москва,
авторизованный курс), МГИЭТ |
нет |
неизвестно |
| Лицензии и сертификаты |
|
| Сертификаты ФСТЭК |
нет |
№ 1091 от 31.10.05, на соответствие ТУ и РД
МЭ, 3 класс, №1281 от 03.11.06 3й-5й класс МЭ |
нет |
нет |
№ 808 от
14.11.03 и № 1168 от 17.04.06, РД МЭ 4 класс, НДВ 3-й уровень |
№1036 от 05.07.05, 4й уровень НДВ, ЗБ ГОСТ
15408 ОУД 4 (усиленный) |
В прайс-листе компании есть ссылки на сертификаты, однако сертификаты на сайте не опубликованы |
№941/2 от 01.03.05, №1206 от 07.07.06, ЗБ ГОСТ Р 15408,
ОУД 3, РД МЭ 4 класс (в составе ЗБ) |
нет |
№941 от 29.07.04, №941/1 от 01.03.05, №1205 от 07.07.06,
ЗБ ГОСТ Р 15408, ОУД 3, РД МЭ 4 класс (в составе ЗБ) |
DioNIS TS/FW PRO" v.6.0
№359/3 от 1.09.04, РД МЭ класс 3, ТУ,
№359/4 от 1.09.04, РД МЭ класс 2, ТУ |
нет |
нет |
№653 от 30.07.02 (продлен до 2008 г.), РД МЭ 3 класс, ТУ |
| Сертификаты ФСБ |
нет |
ФАПСИ № СФ/124-0643 от 20.06.03 на
криптоядро ООО Фирма "ИнфоКрипт" по классу КС1 |
ФСБ № СФ/124-0692 от 20.0404 (КВ2, конф. информация), №
СФ/024-0691 от 20.04.04 (КДС-2.03, КИФ-1.02, гостайна) |
нет |
СФ/124-0648, СФ/114-0649 и СФ/124-0650 от 06.08.03, КС1, КС2 |
Поставляется сертификат ФСБ от производителя
криптоядра (СКЗИ КриптоПро, КС1, КС2) |
|
Поставляется сертификат ФСБ (КС1, КС2) от
производителя криптобиблиотек |
VPN-клинет DiSec №СФ/114-0813 от 1.10.05, КС1, КС2;
VPN-шлюз DioNIS TS/FW 16000 №СФ/114-0814 от 1.10.05, КС1, КС2 |
Поставляется сертификат ФСБ (КС1, КС2) от
производителя криптобиблиотек |
| Прочее |
|
Сертификат МО РФ № 186 от 14.11.03 на
соответствие ТУ, 4012-002-36567521-02, требованиям приказа МО РФ №058 от
1996 г.,РД МЭ 3 класс, НДВ 3й уровень |
|
|
|
Сертификат соответствия ГОСТ Р № POCC.RU.СП05
от 15.01.03.
РОСПАТЕНТ, свидетьельство о регистрации ПО ЭВМ №2001610398 от 06.04.01 |
|
Свидетельство о регистрации в Фонде
Алгоритмов и Программ |
Мин. связи и информации РФ. Система сертификации "Связь".
Сертификат cоответствия ПАК "DioNIS TS/FW" от 26.12.03 |
|