Межсетевой экран
Фильтрация пакетов:
- по IP/MAC-адресам, портам, значениям байтов в теле пакета;
- фильтрация, учитывающая состояние соединения (Stateful Packet Inspection);
- фильтрация по расписанию;
- фильтрация по мандатным меткам ОС МСВС и ОС Astra Linux;
- фильтрация пакетов на прикладных уровнях (L7-filter);
- transparent firewall;
- защита от вирусов (с использованием дополнительного ПО).
Трансляция пакетов:
- NAT/PAT (трансляция входящего (DNAT) и исходящего (SNAT) трафика;
- трансляция всех адресов в один адрес (masquerade);
- трансляция сеть-в-сеть (netmap);
- перенаправление трафика (redirect);
- IPv6 transition: NAT-PT.
Средства криптографической защиты информации
Криптографические туннели:
- статические — с использованием симметричных ключей и на ключевых парах Dikey, c шифрованием и имитозащитой IP-трафика по алгоритму ГОСТ 28147-89 (совместимы с хостами Dionis всех версий, в том числе DOS и LX и ПО DiSec);
- динамические — по протоколу IPSec (IKEv1, ESP) c изделиями семейства Dionis и с клиентским ПО семейства Disec, а также совместим с VPN-производителями «КриптоПро», Stonesoft, S-terra, поддерживающими стандарт, разработанный ООО «Крипто-Про», с шифрованием и имитозащитой передаваемых IP-пакетов и двусторонней криптографической аутентификацией по алгоритмам ГОСТ 281470-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2012, в инфраструктуре открытых ключей (сертификаты X.509), с контролем состояния туннеля.
Шифратор имеет синхронный режим работы, исключающий перемешивание пакетов (out-of-order).
Работа через NAT:
- инкапсуляция трафика в протокол UDP;
- — поддержка механизма nat-traversal.
Система обнаружения и предотвращения вторжений
Dionis-NX содержит систему обнаружения и предотвращения сетевых атак (IDS/IPS) на базе Snort. Работа системы возможна в режиме только обнаружения атаки или в режиме обнаружения и предотвращения атаки. Анализ можно применять для маршрутизируемого трафика и для трафика, коммутируемого через сетевой мост. Помимо стандартных широких возможностей системы Snort добавлена поддержка создания собственных правил анализа трафика и возможность записи дампов трафика, распознанного как атака. Управление системой и отображение статистики атак реализовано через портал управления безопасностью Dionis-SMP.
Единый центр управления
Функциональные возможности Dionis-SMP
Мониторинг (SNMP, Netflow, событий ИБ)
- Отображение доступности сетевых устройств в реальном времени и статистика за предыдущие периоды.
- Отображение статуса узлов на топологии сети.
- Получение и отображение SNMP traps.
- Отображение загрузки интерфейсов узлов.
- Отображение загрузки памяти, процессора, дисковой подсистемы узлов и самого Dionis-SMP.
- Отображение статистики по трафику в сети.
- Отображение атак в виде списка с возможностью фильтрации.
- Отображение атак в виде графика с возможностью фильтрации.
- Вывод детальной информации по атаке (атакующий узел, атакуемый узел, CVE, pcap).
- Формирование уведомление администратора об атаках с заданными критериями.
- Формирование сводного дашборда мониторинга, его настройка.
- Возможность построения собственных дашбордов.
- Формирование оповещений по пороговым значениям на графиках.
- Формирование оповещений о недоступности узлов.
- Формирование оповещений о DoS-атаках.
- Отображение возможных реакций на задание различных реакций на различные типы событий и срабатывание правил корреляции.
- Отображение и редактирование списка правил корреляции.
Отчеты
- Формирование отчета о доступности сетевого устройства за период, график и проценты.
- Формирование отчета со списком и графиком атак за период.
- Формирование отчета со статистикой атак за период с различными критериями.
- Формирование отчета с наиболее популярными категориями угроз.
- Формирование отчета с типами инцидентов.
- Формирование отчета с наиболее популярными целями атак.
- Формирование отчета с наиболее популярными категориями угроз.
- Поиск событий с помощью фильтров и группировка событий в журнале средства обнаружения вторжений.
Управление устройствами Dionis-DPS
Общие функции
- Добавление/изменение/удаление узла, настройки доступа и получаемых логов с узла.
- Отображение списка узлов, группировка узлов.
- Экспорт/импорт списка узлов
- Включение и выключение СОВ(IPS/IDS) на Dionis-NX.
- Загрузка правил СОВ и выгрузка (получение информации о загруженных на узел правилах).
- Настройка правил СОВ, ввод пользовательских правил СОВ.
- Настройки приоритетов правил СОВ.
- Доступ к журналам работы СОВ.
- Возможность подключиться к любому узлу по SSH.
- Ролевое управление доступом к функциям системы.
Управление списками доступа (ACL, NAT)
- Отображение для каждого узла созданных списков ACL, NAT.
- Создание и редактирование списков, контроль синтаксиса.
- Отображение всех интерфейсов узла.
- Сканирование/проверка открытых адресов/портов.
- Управление сетевыми объектами и группами сетевых объектов.
- Управление ACL при помощи политик с использованием сетевых объектов или групп сетевых объектов.
Туннели
- Отображение туннеля или туннельных интерфейсов парой (парой узлов) + связанные маршруты.
- Создание туннелей типа Ditun.
- Анализ и добавление конфигурации туннелей на основе полученной информации из конфигурации с возможностью редактирования.
- Отображения счетчика пакетов, объема переданного трафика.
- Изменение настроек (и ключей) в паре и индивидуально.
- Включение и выключение туннелей индивидуально.
- Отображение всех интерфейсов и маршрутов узла.
- Отображение состояния туннелей (keepalive).
- Замена номера серии для всех туннелей узлов.
Менеджер конфигураций
- Отображение списка конфигураций по списку узлов с группировкой узлов.
- Отображение последней загруженной конфигурации узла.
- Хранение конфигураций узлов (истории изменений конфигураций).
- Редактирование конфигурации узлов.
- Получение конфигураций по расписанию для каждого узла.
- Сравнение двух конфигураций в истории одного узла и между двумя узлами.
- Отображение изменений при сравнении конфигураций узлов.
- Формирование уведомления о нахождении различий полученной конфигурации с эталонной конфигурацией.
- Отправка, применение конфигурации startup-config на узле с перезагрузкой.
- Безопасное применение конфигурации с автоматическим откатом при проблемах.
Скрипты
- Отображение и редактирование переменных и шаблонов переменных по списку узлов.
- Отображение списка скриптов.
- Выполнение скриптов на устройстве или группе устройств.
Политики
- Задание сетевых объектов, группы сетевых объектов, сервисов.
Управление и мониторинг
Поддерживаются аутентификация и авторизация пользователей через серверы Radius и TACACS+.
Локальное управление (интерфейс командной строки):
- локальная консоль (клавиатура и монитор, возможно подключение монитора по DisplayLink);
- терминал через порт RS-232.
Удаленное управление:
- интерфейс командной строки;
- по протоколам SSH и telnet;
- WEB-интерфейс по протоколу HTTP.
Удобство управления:
- групповые объекты ACL, NAT, PBR;
- архиватор.
Ролевая модель управления:
- возможность задания множества администраторов с назначаемыми правами управления и мониторинга.
Развитые механизмы обслуживания:
- удаленное обновление программного обеспечения;
- возможность установки нескольких версий на одну аппаратную платформу;
- привязка слотов данных (настроек) к версиям программного обеспечения;
- контроль целостности программного обеспечения;
- резервное архивирование и восстановление, в том числе по сети;
- назначение умалчиваемой, резервной и экспериментальной версий ПО;
- автоматический переход на резервную версию ПО при неуспешном запуске.
Трассировка:
- отслеживание приема, пути и отправки пакета в маршрутизаторе, его трансформаций, попадания в фильтры.
Ведение журналов:
- регистрация в системных журналах различных событий (в том числе протоколирование работы фильтров) и действий администраторов;
- статистика по IP-адресам.
Мониторинг:
- SNMP, NetFlow v1/v5/v9, Syslog;
- LLDP;
- отзеркаливание трафика (mirroring);
- отслеживание сообщений в журналах по заданному шаблону с возможностью отправки на E-mail;
- текущий мониторинг загрузки системы и интерфейсов на консоли.
Интерфейсы
- Ethernet с возможностью задания нескольких IP-адресов на одном интерфейсе;
- VLAN с поддержкой QinQ;
- интерфейсы сетевой виртуализации VXLAN;
- туннельные интерфейсы: GRE/GRETAP с контролем состояния туннеля, L2TP с возможностью упаковки в туннель IPSec, PPTP, PPPoE;
- агрегированные интерфейсы Bond с различными алгоритмами балансировки: поочередное циклическое использование (balance-rr), резервирование (active-backup), распределение по хеш-функции (balance-xor), одновременная передача (broadcast) по стандарту IEEE 802.3ad, адаптивная балансировка передачи (balance-tlb), адаптивная балансировка на приеме (balance-alb);
- скоммутированные интерфейсы Bridge с поддержкой протокола STP;
- интерфейсы беспроводных адаптеров Wi-Fi и модемов 3G/LTE;
- E1 (HDLC);
- VPN-интерфейсы OpenVPN (клиент/сервер);
- туннельные интерфейсы Ditun/Ditap (L3VPN/L2VPN) с поддержкой криптозащиты трафика по алгоритмам ГОСТ и контролем состояния туннеля.
Сетевые сервисы
Cлужбы:
- DHCP, DHCP6, DHCP-Relay, DHCP-Relay6;
- DNS/EDNS (клиент/сервер);
- NTP (клиент/сервер);
- FTP-сервер;
- измерительные утилиты NetPerf и IPerf (клиент/сервер);
- SLAgent: агент измерителя качества каналов.
Оптимизация производительности
- трансляция ARP (proxy-arp);
- фильтрация ARP только для одного интерфейса (arp-filter);
- управление размером TCP MSS (path-mtu-discovery, adjust-mss);
- равномерное распределение входящих пакетов по очередям обработки (RSS);
- использование аппаратных возможностей сетевого адаптера (offload);
- уведомление о заторах без отброса пакетов (ECN);
- управление перегрузками FIFO, PQ, CQ, WFQ, CBWFQ;
- избежание перегрузок WRED/RED.
Качество сервиса (QoS)
- классификация трафика по IP/MAC-адресам, портам и значениям байтов, битам поля CoS фрейма Ethernet и поля TOS/DSCP заголовка IP, наследование значения из заголовка Ethernet в заголовок IP и в заголовок туннеля IPoverIP. Предоставление политик обслуживания, в том числе гарантированной и максимальной полосы пропускания для различных классов трафика;
- управление полосой пропускания и приоритизация могут быть реализованы с помощью различных политик (HTB, Prio и PrioToS) и различных алгоритмов приоритизации (codel/fqcodel, RED/GRED и SFQ). В политиках обеспечивается двухуровневая иерархия очередей.
Резервирование
Кластеры:
- отказоустойчивый аппаратный кластер с горячим резервированием (активный/пассивный, с передачей информации о текущих соединениях);
- кластер по протоколу VRRPv2/v3.
Общение и связь
- XMPP — протокол обмена сообщениями;
- Tox — протокол для текстовой, голосовой и видеосвязи.
Маршрутизация
- статическая маршрутизация TCP/IP (v4);
- статическая маршрутизация TCP/IP (v6);
- маршрутизация на основе политик (PBR) IPv4/IPv6 с учетом классификации трафика, с контролем состояния маршрута;
- динамическая (протоколы OSPFv2/v3, BGPv4/v6, RIP, RIP-NG) с использованием карт маршрутов (route-map) и протокола быстрого обнаружения недоступности соседа (BFD);
- маршрутизация мультикаст-трафика (статическая, динамическая по протоколам IGMP, DVMRP, PIM);
- MPLS (многопротокольная коммутация по меткам) — c возможностью статической и динамической коммутации по меткам (LDP) и построением L2/L3-туннелей с использованием интерфейсов Ditap/Ditun с криптозащитой и без;
- VRF — технология, позволяющая реализовывать на базе одного физического маршрутизатора несколько виртуальных, каждого со своей независимой таблицей маршрутизации. VRF в связке с технологией MPLS и BGP реализуют (MP-BGP, MPLS-L3VPN).