- Русский
- English
Безопасность VPN Firewall Brick® 700
Устройство обеспечения безопасности VPN Firewall Brick® 700 компании Alcatel-Lucent выводит защищенность данных на новый уровень благодаря высокой пропускной способности межсетевого экрана – 1,7 Гбит/с, встроенной поддержке высокоскоростных VPN, безопасности VoIP, VLAN, а также возможностям виртуального межсетевого экрана – и все это по невероятно низкой цене. Благодаря возможности управления полосой пропускания QoS, встроенным функциям обнаружения попыток несанкционированного доступа и защиты от атак типа “отказ в обслуживании”, а также высокой производительности при работе в сети, устройства обеспечения безопасности VPN Firewall Brick 700 способны надежно защитить крупные предприятий, центры обработки данных и среды на границах сетей. Это платформа IP-услуг операторского класса, обеспечивающая великолепное качество при низком соотношении цена/производительность и невысокой полной стоимости владения. Она позволяет поставщикам услуг, государственным учреждениям и крупным пред- приятиям гарантировать безопасность своих служб IP и VPN, и тем самым оптимизировать свою деятельность при максимизации возврата капитальных вложений.
Особенности
Встроенная платформа обеспечения безопасности — высокоскоростной меж- сетевой экран и возможности поддержки VPN, QoS, VLAN и виртуального меж- сетевого экрана в единой конфигурации.
- Наивысшая на рынке пропускная способность — производительность межсетевого экрана до 1,7 Гбит/с, производительность VPN с 3DES в 425 Мбит/с и с AES до 350 Мбит/с, с установленными платами ускорителя шифрования (EAC; Encryption Accelerator Cards).
- Современные службы обеспечения без- опасности — улучшенная распределенная защита от атак типа “отказ в обслуживании”, применение последних стандартов IKEv2, мощные средства аутентификации, мониторинга в реальном времени, файлов регистрации и формирования отчетов.
- Высокая емкость — поддержка до 7500 туннелей VPN одновременно, до 4094 VLAN, 350 виртуальных межсетевых экранов и до 1,0 миллиона одновременных сеансов.
- Внутренне защищенный прозрачный мост уровня 2 — превосходит работающие на маршрутизаторах межсетевые экраны и операционные системы обще- го назначения на серверах на основе ПК.
- Высоконадежная архитектура — полное отсутствие одиночных точек отказа.
- Проверенная защищенность — практически неуязвимая, сверху-стойчивая операционная система и защищенная структура управления Централизованная установка и средства защищенного удаленного управления — возможность объединенного управления из единого центра тысячами устройств VPN Firewall Brick и пользователей клиентов IPSec (включая клиент IPSec компании Alcatel-Lucent) при использовании программного обеспечения Сервера управления безопасностью (Security Management Server; SMS) компании Alcatel-Lucent.
Преимущества
Высокая производительность — удовлетворение повышенных запросов пользователей благодаря пропускной способности 1,7 Гбит/с для чистого текста и 425 Мбит/с для IPSec VPN с 3DES и 350 Мбит/с – с AES, а также благодаря лучшим в своем классе возможностям по управлению полосой пропускания с контролем качества обслуживания на уровне заказчика, пользователя и сервера.
- Прекрасное отношение цена/производительность — непревзойденные безопасность и пропускная способность при меньшей стоимости мегабита в секунду, чем у основных конкурентов.
- Низкая стоимость владения — поддержка нескольких IP-услуг в единой конфигурации при отсутствии дополнительных расходов и необходимости постоянно платить за лицензии.
- Гибкость развертывания — различные варианты услуг, привязанных либо к объекту, либо к сети, в средах с раз- дельным или совместным использованием аппаратных средств.
- Малые затраты на расширение — плавный переход к расширенным услугам обеспечения безопасности VoIP, QoS и VPN без дополнительных вложений в инфраструктуру.
- Возможность применения режима Plug-and-play — исключение затрат на изменение кон- фигурации сети или выездную поддержку.
- Экономичность поддержки бизнеса — благодаря низкой стоимости и высокой производительности шифрования, а также надежности операторского класса для современных бизнес-приложений с большими объемами данных.
- Гарантированная непрерывность работы бизнеса — благодаря высокому коэффициенту готовности в сочетании с надежностью операторского класса.
- Централизованное масштабируемое управление операторского класса — возможность централизованного управления 20000 модулей VPN Firewall Brick и 500000 пользователей с клиентами IPSec компании Alcatel-Lucent (или клиентами IPSec сторонних производителей) благодаря возможностям Сервера управления безопасностью (Security Management Server) компании Alcatel-Lucent версии 9.0 или более поздней.
• Процессор 2,8 ГГц с 512 Мб ОЗУ
Интерфейсы LAN/VPN БАЗОВАЯ МОДЕЛЬ BRICK 700:
• 8 портов 10/100/1000
МОДЕЛИ BRICK 700 HS AC ИЛИ DC: • 8 портов 10/100/1000
• 1 плата ускорителя шифрования для VPN
Другие порты • 1 плата ускорителя шифрования для VPN
• SVGA-видео, последовательный DB9, PS/2 для клавиатуры, 4 порта USB
Производительность • Одновременных сеансов: 1 000 000
• Новых сеансов в секунду: 20 000
• Правил: 30000 (для всех виртуальных межсетевых экранов вместе)
• Максимальная пропускная способность при передаче чистого текста: 1,7 Гбит/с (пакеты UDP по 1514 байтов)
• Максимальная пропускная способность при передаче чистого текста: 800 000 пакетов/с (пакеты UDP по 78 байтов)
• Максимальная пропускная способность при передаче 3DES с программным шифрованием (Brick 700 базовый): 110 Мбит/с (пакеты UDP по 1460 байтов)
• Максимальная пропускная способность при передаче 3DES с аппаратным ускорителем шифрования (Brick 700 VPN): 425 Мбит/с (пакеты UDP по 1514 байтов)
• Максимальная пропускная способность при передаче АES с программным шифрованием (Brick 700 базовый): 150 Мбит/с (пакеты UDP по 1514 байтов)
• Максимальная пропускная способность при передаче АES с аппаратным ускорителем шифрования (Brick 700 VPN): 350 Мбит/с (пакеты UDP по 1460 байтов)
Виртуализация • Новых сеансов в секунду: 20 000
• Правил: 30000 (для всех виртуальных межсетевых экранов вместе)
• Максимальная пропускная способность при передаче чистого текста: 1,7 Гбит/с (пакеты UDP по 1514 байтов)
• Максимальная пропускная способность при передаче чистого текста: 800 000 пакетов/с (пакеты UDP по 78 байтов)
• Максимальная пропускная способность при передаче 3DES с программным шифрованием (Brick 700 базовый): 110 Мбит/с (пакеты UDP по 1460 байтов)
• Максимальная пропускная способность при передаче 3DES с аппаратным ускорителем шифрования (Brick 700 VPN): 425 Мбит/с (пакеты UDP по 1514 байтов)
• Максимальная пропускная способность при передаче АES с программным шифрованием (Brick 700 базовый): 150 Мбит/с (пакеты UDP по 1514 байтов)
• Максимальная пропускная способность при передаче АES с аппаратным ускорителем шифрования (Brick 700 VPN): 350 Мбит/с (пакеты UDP по 1460 байтов)
• Максимальное количество виртуальных межсетевых экранов: 350
• Количество поддерживаемых VLAN: 4094
• Доменов VLAN: до 16 на транк VLAN
• Сегменты VPN Firewall Brick: позволяют виртуализировать диапазон IP-адресов заказчика, включая поддержку перекрывающихся IP-адресов
Функциональные возможности • Количество поддерживаемых VLAN: 4094
• Доменов VLAN: до 16 на транк VLAN
• Сегменты VPN Firewall Brick: позволяют виртуализировать диапазон IP-адресов заказчика, включая поддержку перекрывающихся IP-адресов
• Режим bridging и/или маршрутизация на всех интерфейсах
• Все функции поддерживаются в режиме bridging
• IP-маршрутизация со статическими маршрутами
• Поддержка тегов VLAN 802.1Q на входе и выходе для любой комбинации портов
• Режим bridging для VLAN на уровне 2
• Преобразование сетевых адресов (NAT; Network Address Translation)
• Преобразование адресов порта (PAT; Port Address Translation)
• NAT и PAT на основании политик (для каждого правила)
• Поддержка виртуальных IP-адресов для преобразования адреса и для оконечных точек туннеля VPN
• PPPoE и назначаемые через DHCP адреса интерфейса и VLAN
• Возможности резервирования при проключении DHCP
• Динамическая регистрация адреса устройства обеспечения безопасности VPN Firewall Brick в сетях мобильной связи с целью централизованного удаленного управления.
• Наборы правил для вложенных зон, для общих политик межсетевых экранов для всех устройств Brick® в зоне.
• Агрегирование каналов
• Устройство Brick для мобильной связи с использованием встроенного клиента DHCP
Поддерживаемые службы • Все функции поддерживаются в режиме bridging
• IP-маршрутизация со статическими маршрутами
• Поддержка тегов VLAN 802.1Q на входе и выходе для любой комбинации портов
• Режим bridging для VLAN на уровне 2
• Преобразование сетевых адресов (NAT; Network Address Translation)
• Преобразование адресов порта (PAT; Port Address Translation)
• NAT и PAT на основании политик (для каждого правила)
• Поддержка виртуальных IP-адресов для преобразования адреса и для оконечных точек туннеля VPN
• PPPoE и назначаемые через DHCP адреса интерфейса и VLAN
• Возможности резервирования при проключении DHCP
• Динамическая регистрация адреса устройства обеспечения безопасности VPN Firewall Brick в сетях мобильной связи с целью централизованного удаленного управления.
• Наборы правил для вложенных зон, для общих политик межсетевых экранов для всех устройств Brick® в зоне.
• Агрегирование каналов
• Устройство Brick для мобильной связи с использованием встроенного клиента DHCP
• Bootp, http, irc, netstat, pop3, SNMP, tftp, pptp, dns, https, kerberos, nntp, rip, ssh, who, RADIUS, eigrp, ident, LDAP, ntp, rip2, syslog, shell, X11, exec, gmp, login, OSPF, rlogin, telnet, talk, H.323, SIP, ftp, imap, mbone, ping, rsh, traceroute, lotus notes, VoIP/SIP, Gopher, IPSec, netbios, pointcast, mtp, sql*net
• Любой IP-протокол (определяется пользователем)
• Любой IP-протокол + порты 4-го уровня (определяется пользователем)
• Поддержка не-IP протоколов, определяемая SAP/Ethertype
Поддержка приложений 7-го уровня • Любой IP-протокол (определяется пользователем)
• Любой IP-протокол + порты 4-го уровня (определяется пользователем)
• Поддержка не-IP протоколов, определяемая SAP/Ethertype
• Архитектура фильтра приложений поддерживает проверку протокола 7-го уровня (глубокую проверку пакетов) для контроля достоверности команд и протокола, обнаружения нарушений протокола, динамического открытия каналов типа pinhole и преобразования адреса уровня приложений. Фильтры приложений включают http, ftp, RPC, tftp, H.323/H.323 RAS, SMTP, Oracle SQL*Net, NetBIOS, ESP, DHCP Relay, DNS, GTP и SIP
Обнаружение атак на межсетевой экран и защита от них • Общая защита от массированных атак («затопления») типа «День ноль», срабатывающая по появлению аномалии и основанная на патентуемом механизме интеллектуального управления кэшированием
• Защита от SYN-затопления, особенно для защиты внешних серверов, например, Веб-серверов, от входящих SYN-затоплений по TCP
• Строгая проверка достоверности ТСР для гарантии правильности состояния сеанса, проверки порядковых номеров и номеров подтверждений
• Отклонение неверных комбинаций флагов ТСР
• Перезапись начальных порядковых номеров (ISN; Initial Sequence Number) при неполноценности реализации стека ТСР
• Защита от «затопления фрагментами» (Fragment ood protection) путем надежной повторной сборки фрагмента гарантирует исключение передачи частичных или перекрывающихся фрагментов
• Общая проверка IP-пакетов, включающая обнаружение неверно сформированных пакетов
• Ослабление последствий более 190 разновидностей DoS-атак, включая атаки типа «ping of death» (злонамеренная посылка сообщений ICMP-эхо), атак типа «land» (злонамеренная посылка блокирующих пакетов), атак типа «tear drop» (атаки для разрыва соединения) и других
• Отбрасывание неверных опций IP, а также неверных опций исходного маршрута
• Ограничение скорости соединений для минимизации влияния новых атак
Управление качеством обслуживания (QoS) и полосой пропускания • Защита от SYN-затопления, особенно для защиты внешних серверов, например, Веб-серверов, от входящих SYN-затоплений по TCP
• Строгая проверка достоверности ТСР для гарантии правильности состояния сеанса, проверки порядковых номеров и номеров подтверждений
• Отклонение неверных комбинаций флагов ТСР
• Перезапись начальных порядковых номеров (ISN; Initial Sequence Number) при неполноценности реализации стека ТСР
• Защита от «затопления фрагментами» (Fragment ood protection) путем надежной повторной сборки фрагмента гарантирует исключение передачи частичных или перекрывающихся фрагментов
• Общая проверка IP-пакетов, включающая обнаружение неверно сформированных пакетов
• Ослабление последствий более 190 разновидностей DoS-атак, включая атаки типа «ping of death» (злонамеренная посылка сообщений ICMP-эхо), атак типа «land» (злонамеренная посылка блокирующих пакетов), атак типа «tear drop» (атаки для разрыва соединения) и других
• Отбрасывание неверных опций IP, а также неверных опций исходного маршрута
• Ограничение скорости соединений для минимизации влияния новых атак
• Гарантированная полоса пропускания для сеанса определяется для групп, объединяемых по физическим портам, по виртуальным межсетевым экранам и используемым в них правилам как на входе в виртуальный межсетевой экран, так и на выходе из него, и выражается в битах в секунду
• Ограничение полосы пропускания - как в виртуaльный межсетевой экран, так и из него; назначается в битах/секунду, пакетах/сеанс, сеансах/секунду
• Маркирование и согласование ToS/DiffServ
• Совместная работа с фильтрами уровня приложения
Безопасность контента • Ограничение полосы пропускания - как в виртуaльный межсетевой экран, так и из него; назначается в битах/секунду, пакетах/сеанс, сеансах/секунду
• Маркирование и согласование ToS/DiffServ
• Совместная работа с фильтрами уровня приложения
• Поддержка пароля фильтра НТТР, совмещенная с фильтром приложения НТТР
• Базовая фильтрация контента с возможностью конфигурировать белые и черные списки и проверкой пароля контента
• Перенаправление URL для сайтов из черного списка
• Основанная на правилах маршрутизация для функций HTTP, SMTP и FTP (доступна в Security Management Server, начиная с версии 9.1) ¬ Возможность взаимодействия со всеми антивирусными, антиспамовыми системами и системами фильтрации контента других производителей ¬ Перенаправление на системы других производителей, выполняющие антивирусные, антиспамовые функции и функции фильтрации контен- та, только пакетов определенного протокола
• Обнаружение и фильтрация команд протокола уровня приложений
• Проверка длины командной строки уровня приложений
• Обработка команд неизвестных протоколов
• Создание подробных записей в файлах регистрации, ориентированных на сеанс, для команд и откликов на уровне приложений
• Блокирование злонамеренных программ для устройств мобильной связи (Java®, ActiveX™)
Аутентификация пользователя межсетевого экрана • Базовая фильтрация контента с возможностью конфигурировать белые и черные списки и проверкой пароля контента
• Перенаправление URL для сайтов из черного списка
• Основанная на правилах маршрутизация для функций HTTP, SMTP и FTP (доступна в Security Management Server, начиная с версии 9.1) ¬ Возможность взаимодействия со всеми антивирусными, антиспамовыми системами и системами фильтрации контента других производителей ¬ Перенаправление на системы других производителей, выполняющие антивирусные, антиспамовые функции и функции фильтрации контен- та, только пакетов определенного протокола
• Обнаружение и фильтрация команд протокола уровня приложений
• Проверка длины командной строки уровня приложений
• Обработка команд неизвестных протоколов
• Создание подробных записей в файлах регистрации, ориентированных на сеанс, для команд и откликов на уровне приложений
• Блокирование злонамеренных программ для устройств мобильной связи (Java®, ActiveX™)
• Основанная на браузере аутентификация позволяет аутентифицировать любой пользовательский протокол
• Встроенная база данных на 10000 пользователей
• Локальные пароли, RADIUS, SecurID
• Назначаемые пользователем параметры RADIUS
• Аутентификация сертификатов
VPN • Встроенная база данных на 10000 пользователей
• Локальные пароли, RADIUS, SecurID
• Назначаемые пользователем параметры RADIUS
• Аутентификация сертификатов
• Максимальное количество выделенных туннелей VPN: 7500
• Ручной ключ, IKEv1, IKEv2, DoD PKI, X.509
• 3DES (168-битовый), DES (56-битовый)
• AES (128, 192, 256-битовый)
• Аутентификация/целостность SHA-1 и MD5
• Защита от атак типа «replay» (атак с повтором или задержкой передачи данных)
• Удаленный доступ к VPN
• VPN «площадка-площадка»
• Использование механизма NAT Traversal в IPSec; IPSec, инкапсулированный в UDP
• NAT Traversal в IPSec с IKEv2, также применение механизма Dead Peer Detection (обнаружение не отвечающего однорангового узла IKE)
• Сжатие LZS
• Объединенное и вложенное туннелирование
• Полносвязные VPN или VPN типа «звезда»
Аутентификация VPN • Ручной ключ, IKEv1, IKEv2, DoD PKI, X.509
• 3DES (168-битовый), DES (56-битовый)
• AES (128, 192, 256-битовый)
• Аутентификация/целостность SHA-1 и MD5
• Защита от атак типа «replay» (атак с повтором или задержкой передачи данных)
• Удаленный доступ к VPN
• VPN «площадка-площадка»
• Использование механизма NAT Traversal в IPSec; IPSec, инкапсулированный в UDP
• NAT Traversal в IPSec с IKEv2, также применение механизма Dead Peer Detection (обнаружение не отвечающего однорангового узла IKE)
• Сжатие LZS
• Объединенное и вложенное туннелирование
• Полносвязные VPN или VPN типа «звезда»
• Местные пароли, RADIUS, SecurID, цифровые сертификаты X.509
• Запросы сертификатов PKI (PKCS 12)
• Автоматическое получение сертификатов LDAP
• DoD PKI
Высокая надежность • Запросы сертификатов PKI (PKCS 12)
• Автоматическое получение сертификатов LDAP
• DoD PKI
• Полностью синхронное переключение с активно- го устройства обеспечения безопасности VPN Firewall Brick на резервное при отказе
• Обнаружение и реакция на отказ устройства в течение 400 мс
• Защита сеансов для межсетевого экрана, VoIP и VPN
• Обнаружение отказа линии связи
• Извещение об аварии при переключении на резерв
• Шифрование и аутентификация трафика синхронизации сеанса
• Самовосстанавливающиеся каналы синхронизации
• Принудительное прерывание и отслеживание IP для улучшенных проверок состояния исправности
• Плавное обновление системы без прерывания обслуживания при наличии резервирования
• Обнаружение и реакция на отказ устройства в течение 400 мс
• Защита сеансов для межсетевого экрана, VoIP и VPN
• Обнаружение отказа линии связи
• Извещение об аварии при переключении на резерв
• Шифрование и аутентификация трафика синхронизации сеанса
• Самовосстанавливающиеся каналы синхронизации
• Принудительное прерывание и отслеживание IP для улучшенных проверок состояния исправности
• Плавное обновление системы без прерывания обслуживания при наличии резервирования