|
Продуктная линия
CSP VPN Client
CSP VPN Server
CSP VPN Gate 100B
CSP VPN Gate 100
CSP VPN Gate 1000
CSP VPN Gate 3000
CSP VPN Gate 7000
Модуль NME-RVPN (МСМ)
CSP L2VPN Gate
Производительность
Сравнение VPN
Документация
Цены на продукцию
версии 3.1
|
CSP VPN Gate 3000
Характеристики
Спецификация платформы
CSP VPN Gate 3000 представляет собой программный комплекс – шлюз
безопасности, функционирующий на аппаратной платформе под
управлением операционной системы Sun Solaris 9.
Предназначается для обеспечения сетевой безопасности средних офисов – одновременно может устанавливаться до 1000 туннелей.
Программный комплекс CSP VPN Gate 3000 обеспечивает защиту и пакетную фильтрацию как трафика подсетей, проходящего через него,
так и защиту трафика самого шлюза безопасности. Линейка CSP VPN является частью решения по безопасности Cisco, адаптированного к российским стандартам
информационной безопасности, и предназначена для использования в рамках идеологии Cisco SDN.
Управление шлюзом безопасности CSP VPN Gate 3000 осуществляется:
- централизованно удаленно посредством графического интерфейса центра управления CiscoWorks VPN/Security Management
Solution v.2.3 – CiscoWorks Router Management Center (Router MC);
- централизованно удаленно посредством графического интерфейса Cisco Security Manager 3.2 (CSM),
который входит в состав Cisco Security Management Suite;
- локально или удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки
используется подмножество команд Cisco IOS, что облегчает управление администраторам, имеющим опыт
настройки шлюзов безопасности и межсетевых экранов Cisco Systems;
- удаленно с использованием Web-based интерфейса управления.
CSP VPN Gate 3000
совместим со следующими продуктами компаний Cisco и «С-Терра СиЭсПи»:
- Cisco Routers. IOS version 12.4(13a) и выше;
- Cisco PIX Security Appliance. Software version 6.3 и выше;
- CSP VPN Client;
- CSP VPN Server
- CSP VPN Gate – 100B/100/1000/3000/7000;
- NME-RVPN.
Решения CSP VPN обеспечивают построение виртуальных защищенных сетей (VPN) предприятия:
- Шифрование (конфиденциальность),
электронно-цифровая подпись (целостность, аутентификация) IP пакетов
- гибкость в реализации политики сетевой защиты (множественность алгоритмов
шифрования, включая ГОСТ; сложные конфигурации туннелей);
- высокая стойкость защиты информации.
- Аутентификация узлов сети.
- Аутентификация пользователей.
- Контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений.
- Формирование защищенных соединений между
- подсетями,
- компьютерами (клиент-сервер, одноранговые клиенты).
- Защита для сложных сетевых инфраструктур.
- Обеспечение защиты трафика на
уровне аутентификации/шифрования сетевых пакетов по протоколам
IPsec AH и/или IPsec ESP
- Обеспечение пакетной фильтрации
трафика с использованием информации в полях заголовков
сетевого и транспортного уровней
- Различные наборы правил обработки трафика на различных интерфейсах
- Интеллектуальное отслеживание доступности партнёров обмена (DPD)
- Интегрированный межсетевой экран
- Поддержка работы мобильного
пользователя в соответствии с политикой безопасности
внутрикорпоративной сети (IKECFG сервер)
- Возможность получения
сертификатов открытых ключей по протоколу LDAP
- Поддержка маскировки реального
IP адреса (туннелирование трафика)
- Управляемое событийное
протоколирование (syslog)
- Мониторинг глобальной статистики
по протоколу SNMP, совместимость с CiscoWorks VPN Monitor
- Прозрачность для работы сервиса QoS
- Поддержка инкапсуляции пакета
ESP в UDP (NAT traversal)
- Совместимость с PKI и LDAP
службами зарубежных и российских производителей (RSA Keon,
Microsoft, SunONE, «Крипто-Про», «Валидата», «Сигнал-КОМ», «ЛИССИ»)
CSP VPN Gate 3000 выпускается на базе аппаратных платформ:
- HP Proliant DL120
- HP Proliant DL360
- Sun Fire X2100 M2
- Sun Fire X4150
| Описание |
Спецификация |
| Количество одновременно
поддерживаемых VPN туннелей |
до 1000 |
| Количество сетевых интерфейсов |
2/4 (10/100 Mbps) |
| Объем оперативной памяти |
1 – 4 GB |
| Количество процессоров |
1 |
| Количество, объем и тип интерфейса жестких дисков |
1 SATA для модификации Low End,
1 SAS для модификации Standard,
2 SAS (RAID) для модификации High Performance
|
| Корпус |
1U/2U, 19'' rack mounted;
резервирование блоков питания для модификации High Performance
|
| Операционные системы |
Sun Solaris 9 |
| Протоколы IKE/IPsec |
Стандарты RFC 2401 – 2412 |
| Алгоритмы шифрования |
NULL, DES-CBC (IV32),
3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC,
AES-K256-CBC, ГОСТ 28147-89 |
| Алгоритмы электронно-цифровой подписи |
DSA, RSA, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001 |
| Алгоритмы вычисления хэш сумм |
MD5, SHA1, ГОСТ Р 34.11-94 |
| Подключение внешних криптографических модулей |
Возможность встраивания криптобиблиотек в соответствии с
RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:
- тестовый модуль для подключения западных криптоалгоритмов;
- модуль для подключения криптобиблиотеки СКЗИ «КриптоПро CSP
3.0» (производитель – компания «Крипто-Про»),
реализующей российские криптографические алгоритмы и
функции;
- модуль для подключения криптобиблиотеки СКЗИ «Крипто-Ком
3.2» (производитель – компания «Сигнал-КОМ»), реализующей
российские криптографические алгоритмы и функции;
- модуль для подключения криптобиблиотеки СКЗИ «LirSSL»
(производитель – компания «ЛИССИ»), реализующей российские криптографические алгоритмы и функции.
|
| Информационные обмены протокола IKE |
Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges |
| Режимы аутентификации в протоколе IKE |
Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001 |
| Дополнительные возможности IKE |
Режим IKECFG для объединения различных сетевых объектов в виртуальную локальную сеть |
| Обеспечение надежности (пересинхронизации) защищенных соединений |
Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04) |
| Событийное протоколирование |
Syslog |
| Сбор статистики |
SNMP v.1, v.2c |
| Формат сертификатов публичных ключей |
X.509 v.3 (RSA, DSA, ГОСТ) |
| Формат запроса на
регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом |
Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат |
| Способы получения сертификатов |
Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS7 bin и base64, PKCS#12 bin и base64) |
| Способ получения ключевой пары |
Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER.
Генерация внешним PKI сервисом с доставкой через PKSC#12. |
| Поддержка списка отозванных сертификатов |
Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2. Способы получения CRL:
- протокол LDAP v.3
- импорт из файла (bin и base64, PKCS7 bin и base64, PKCS#12 bin и base64)
|
| Работа через NAT |
Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP)
в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и
draft-ietf-ipsec-udp-encaps-03(02) |
|