CSP VPN Gate 7000

Предназначается для обеспечения сетевой безопасности крупных офисов (свыше 250 компьютеров).

CSP VPN Gate 7000 представляет собой высокопроизводительный программно-аппаратный комплекс – шлюз безопасности, функционирующий на аппаратной платформе под управлением операционной системы Sun Solaris 8.

CSP VPN Gate 7000 обеспечивает защиту транзитного трафика между различными узлами сети, защиту трафика самого шлюза безопасности, а также пакетную фильтрацию трафика. CSP VPN агенты являются частью решения по безопасности Cisco, адаптированного к российским стандартам информационной безопасности, и предназначены для использования в рамках идеологии CiscoSAFE.

Управление шлюзом безопасности CSP VPN Gate 7000 осуществляется централизованно посредством графического интерфейса центра управления CiscoWorks VPN/Security Management Solution v.2.2 – CiscoWorks Router Management Center (Router MC), Web-base интерфейса (аналог Cisco router SDM) или с помощью интерфейса командной строки. В Web-based интерфейсе и интерфейсе командной строки используются те же принципы управления, что и для Cisco IOS, что облегчает управление администраторам, имеющим опыт конфигурирования шлюзов безопасности и межсетевых экранов Cisco Systems.

CSP VPN Gate 7000 совместим со следующими продуктами компаний Cisco и S-Terra CSP:

Cisco Routers. IOS version 12.2(13)T и выше
Cisco PIX Security Appliance. Software version 6.3 и выше
CSP VPN Client
CSP VPN Server
CSP VPN Gate - 100B/100/1000/3000/7000

Решения CSP VPN обеспечивают построение виртуальных защищенных сетей (VPN) предприятия:

Шифрование (конфиденциальность), электронно-цифровая подпись (целостность, аутентификация) IP пакето

Гибкость в реализации политики сетевой защиты (множественность алгоритмов шифрования, включая ГОСТ; сложные конфигурации туннелей)
Высокая стойкость защиты информации

Аутентификация узлов сети
Аутентификация пользователей
Контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений
Формирование защищенных соединений между

Подсетями
Компьютерами (клиент-сервер, одноранговые клиенты)

Защита для сложных сетевых инфраструктур

Характеристики

Обеспечение защиты трафика на уровне аутентификации/шифрации сетевых пакетов по протоколам IPSec AH и/или IPSec ESP
Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней
различные наборы правил обработки трафика на различных интерфейсах
Интеллектуальное обнаружение доступности узла сети (DPD)
Интегрированный межсетевой экран
Поддержка работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKE-CFG сервер)
Поддержка открытого интерфейса подключения криптографических модулей
Возможность получения сертификатов открытых ключей по протоколу LDAP
Поддержка маскировки реального IP адреса (туннелирование трафика)
Управляемое событийное протоколирование (syslog)
Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks VPN Monitor
Прозрачность для работы сервиса QoS
Поддержка инкапсуляции пакета ESP в UDP (NAT traversal)
Совместимость с PKI и LDAP службами зарубежных и российских производителей (RSA Keon, Microsoft, SunONE, КриптоПро, Валидата и Сигнал-КОМ)

Спецификация платформы

Kraftway GEG Express ISP ES11
HP Proliant DL140G2
HP Proliant DL360G4p
HP Proliant DL380G4

Описание	Спецификация
Количество одновременно поддерживаемых VPN туннелей	Не ограничено
Количество сетевых интерфейсов	2/4 (10/100/1000 Mbps)
Объем оперативной памяти	512MB – 1GB
Количество и тип процессоров	2 x Intel Xeon 2.8 - 3.6GHz
Количество, объем и тип интерфейса жестких дисков	1 x 36/72 GB SCSI
Корпус	1U/2U, 19'' rack mounted
Операционные системы	Sun Solaris 8
Протоколы IKE/IPsec	Стандарты RFC 2401 - 2412
Алгоритмы шифрования	NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89
Алгоритмы электронно-цифровой подписи	DSA, RSA, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001
Алгоритмы вычисления хэш сумм	MD5, SHA1, ГОСТ Р 34.11-94
Подключение внешних криптографических модулей	Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят: тестовый модуль для подключения западных криптоалгоритмов; модуль для подключения криптобиблиотеки СКЗИ КриптоПро CSP 2.0 (производитель – компания КриптоПро), реализующей российские криптографические алгоритмы и функции; модуль для подключения криптобиблиотеки СКЗИ Крипто-Ком 3.1 (производитель – компания Сигнал КОМ), реализующей российские криптографические алгоритмы и функции
Информационные обмены протокола IKE	Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges
Режимы аутентификации в протоколе IKE	Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001
Дополнительные возможности IKE	Режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть
Обеспечение надежности (пересинхронизации) защищенных соединений	Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование	Syslog
Сбор статистики	SNMP v.1, v.2c
Формат сертификатов публичных ключей	X.509 v.3 (RSA, DSA, ГОСТ)
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом	Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов	Протоколы IKE, LDAP v.3 Импорт из файла (bin и base64, PKCS7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары	Генерация продуктом с выдачей CER Генерация внешним PKI сервисом с доставкой через PKSC#12, контейнеры КриптоПро или Крипто КОМ
Поддержка списка отозванных сертификатов	Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2. Способы получения CRL: Протокол LDAP v.3 Импорт из файла (bin и base64, PKCS7 bin и base64, PKCS#12 bin и base64)
Работа через NAT	Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)