Возможности межсетевых экранов Dionis DPS

Программно-аппаратный комплекс Dionis DPS является средством защиты информации, используется в роли маршрутизатора с криптографической защитой, межсетевого экрана, firewall, брандмауэра и сертифицированной ФСТЭК системы обнаружения и предотвращения вторжений IPS/IDS.
Dionis DPS гарантирует безопасность передачи конфиденциальной информации через незащищенные сети общего пользования.

Ключевые возможности Dionis DPS

  • Маршрутизация трафика (Dionis маршрутизатор межсетевой экран, межсетевой экран firewall, межсетевой экран брандмауэр, криптошлюз межсетевой экран): статическая, динамическая (RIP, BGP, OSPF) и на основе политик, маршрутизация multicast на младших моделях.
  • Средства организации криптографически защищенных VPN.
  • Криптошлюз для защиты передачи данных (ФСБ КС1/КС3).
  • Межсетевой экран Dionis (ФСТЭК МЭ2/МЭ4), контроль сессий, NAT/PAT (Dionis Firewall).
  • Система обнаружения и предотвращения вторжений IDS/IPS (ФСТЭК СОВ2/СОВ4).
  • Единый центр анализа и управления системой обнаружения и предотвращения сетевых вторжений.
  • PROXY, DHCP, NTP-сервер, балансировщик нагрузки с поддержкой QoS.
  • Сервер удаленного защищенного доступа мобильных абонентов.
  • Обеспечивает высокую доступность сервисов, отказоустойчивость портов и устройств.
  • Управляет качеством сервисов, ограничение и гарантирование полосы пропускания.
  • Поддерживает средства мониторинга и диагностики, обеспечивает запись всех событий в сети и оповещение администратора.

Подробнее о возможностях межсетевого экрана DIONIS DPS

— статическая маршрутизация TCP/IP (v4);

— статическая маршрутизация TCP/IP (v6);

— маршрутизация на основе политик (PBR) IPv4/IPv6 с учетом классификации трафика, с контролем состояния маршрута;

— динамическая (протоколы OSPFv2/v3, BGPv4/v6, RIP, RIP-NG) с использованием карт маршрутов (route-map) и протокола быстрого обнаружения недоступности соседа (BFD);

— маршрутизация мультикаст-трафика (статическая, динамическая по протоколам IGMP, DVMRP, PIM);

— MPLS (многопротокольная коммутация по меткам) — c возможностью статической и динамической коммутации по меткам (LDP) и построением L2/L3-туннелей с использованием интерфейсов Ditap/Ditun с криптозащитой и без;

— VRF — технология, позволяющая реализовывать на базе одного физического маршрутизатора несколько виртуальных, каждого со своей независимой таблицей маршрутизации. VRF в связке с технологией MPLS и BGP реализуют (MP-BGP, MPLS-L3VPN).

— XMPP — протокол обмена сообщениями;

— Tox — протокол для текстовой, голосовой и видеосвязи.

Кластеры:

— отказоустойчивый аппаратный кластер с горячим резервированием (активный/пассивный, с передачей информации о текущих соединениях);

— кластер по протоколу VRRPv2/v3.

— классификация трафика по IP/MAC-адресам, портам и значениям байтов, битам поля CoS фрейма Ethernet и поля TOS/DSCP заголовка IP, наследование значения из заголовка Ethernet в заголовок IP и в заголовок туннеля IPoverIP. Предоставление политик обслуживания, в том числе гарантированной и максимальной полосы пропускания для различных классов трафика;

— управление полосой пропускания и приоритизация могут быть реализованы с помощью различных политик (HTB, Prio и PrioToS) и различных алгоритмов приоритизации (codel/fqcodel, RED/GRED и SFQ). В политиках обеспечивается двухуровневая иерархия очередей.

— трансляция ARP (proxy-arp);

— фильтрация ARP только для одного интерфейса (arp-filter);

— управление размером TCP MSS (path-mtu-discovery, adjust-mss);

— равномерное распределение входящих пакетов по очередям обработки (RSS);

— использование аппаратных возможностей сетевого адаптера (offload);

— уведомление о заторах без отброса пакетов (ECN);

— управление перегрузками FIFO, PQ, CQ, WFQ, CBWFQ;

— избежание перегрузок WRED/RED.

Cлужбы:

— DHCP, DHCP6, DHCP-Relay, DHCP-Relay6;

— DNS/EDNS (клиент/сервер);

— NTP (клиент/сервер);

— FTP-сервер;

— измерительные утилиты NetPerf и IPerf (клиент/сервер);

— SLAgent: агент измерителя качества каналов.

— Ethernet с возможностью задания нескольких IP-адресов на одном интерфейсе;

— VLAN с поддержкой QinQ;

— интерфейсы сетевой виртуализации VXLAN;

— туннельные интерфейсы: GRE/GRETAP с контролем состояния туннеля, L2TP с возможностью упаковки в туннель IPSec, PPTP, PPPoE;

— агрегированные интерфейсы Bond с различными алгоритмами балансировки: поочередное циклическое использование (balance-rr), резервирование (active-backup), распределение по хеш-функции (balance-xor), одновременная передача (broadcast) по стандарту IEEE 802.3ad, адаптивная балансировка передачи (balance-tlb), адаптивная балансировка на приеме (balance-alb);

— скоммутированные интерфейсы Bridge с поддержкой протокола STP;

— интерфейсы беспроводных адаптеров Wi-Fi и модемов 3G/LTE;

— E1 (HDLC);

— VPN-интерфейсы OpenVPN (клиент/сервер);

— туннельные интерфейсы Ditun/Ditap (L3VPN/L2VPN) с поддержкой криптозащиты трафика по алгоритмам ГОСТ и контролем состояния туннеля.

Поддерживаются аутентификация и авторизация пользователей через серверы Radius и TACACS+.

Локальное управление (интерфейс командной строки):

— локальная консоль (клавиатура и монитор, возможно подключение монитора по DisplayLink);

— терминал через порт RS-232.

Удаленное управление:

— интерфейс командной строки;

— по протоколам SSH и telnet;

— WEB-интерфейс по протоколу HTTP.

Удобство управления:

— групповые объекты ACL, NAT, PBR;

— архиватор.

Ролевая модель управления:

— возможность задания множества администраторов с назначаемыми правами управления и мониторинга.

 

Развитые механизмы обслуживания:

— удаленное обновление программного обеспечения;

— возможность установки нескольких версий на одну аппаратную платформу;

— привязка слотов данных (настроек) к версиям программного обеспечения;

— контроль целостности программного обеспечения;

— резервное архивирование и восстановление, в том числе по сети;

— назначение умалчиваемой, резервной и экспериментальной версий ПО;

— автоматический переход на резервную версию ПО при неуспешном запуске.

Трассировка:

— отслеживание приема, пути и отправки пакета в маршрутизаторе, его трансформаций, попадания в фильтры.

 

Ведение журналов:

— регистрация в системных журналах различных событий (в том числе протоколирование работы фильтров) и действий администраторов;

— статистика по IP-адресам.

Мониторинг:

— SNMP, NetFlow v1/v5/v9, Syslog;

— LLDP;

— отзеркаливание трафика (mirroring);

— отслеживание сообщений в журналах по заданному шаблону с возможностью отправки на E-mail;

— текущий мониторинг загрузки системы и интерфейсов на консоли.

Мониторинг (SNMP, Netflow, событий ИБ)

  • Отображение доступности сетевых устройств в реальном времени и статистика за предыдущие периоды.
  • Отображение статуса узлов на топологии сети.
  • Получение и отображение SNMP traps.
  • Отображение загрузки интерфейсов узлов.
  • Отображение загрузки памяти, процессора, дисковой подсистемы узлов и самого Dionis-SMP.
  • Отображение статистики по трафику в сети.
  • Отображение атак в виде списка с возможностью фильтрации.
  • Отображение атак в виде графика с возможностью фильтрации.
  • Вывод детальной информации по атаке (атакующий узел, атакуемый узел, CVE, pcap).
  • Формирование уведомление администратора об атаках с заданными критериями.
  • Формирование сводного дашборда мониторинга, его настройка.
  • Возможность построения собственных дашбордов.
  • Формирование оповещений по пороговым значениям на графиках.
  • Формирование оповещений о недоступности узлов.
  • Формирование оповещений о DoS-атаках.
  • Отображение возможных реакций на задание различных реакций на различные типы событий и срабатывание правил корреляции.
  • Отображение и редактирование списка правил корреляции.

Отчеты

  • Формирование отчета о доступности сетевого устройства за период, график и проценты.
  • Формирование отчета со списком и графиком атак за период.
  • Формирование отчета со статистикой атак за период с различными критериями.
  • Формирование отчета с наиболее популярными категориями угроз.
  • Формирование отчета с типами инцидентов.
  • Формирование отчета с наиболее популярными целями атак.
  • Формирование отчета с наиболее популярными категориями угроз.
  • Поиск событий с помощью фильтров и группировка событий в журнале средства обнаружения вторжений.

Управление устройствами Dionis-DPS

Общие функции

  • Добавление/изменение/удаление узла, настройки доступа и получаемых логов с узла.
  • Отображение списка узлов, группировка узлов.
  • Экспорт/импорт списка узлов.
  • Включение и выключение СОВ(IPS/IDS) на Dionis-NX.
  • Загрузка правил СОВ и выгрузка (получение информации о загруженных на узел правилах).
  • Настройка правил СОВ, ввод пользовательских правил СОВ.
  • Настройки приоритетов правил СОВ.
  • Доступ к журналам работы СОВ.
  • Возможность подключиться к любому узлу по SSH.
  • Ролевое управление доступом к функциям системы.

Управление списками доступа (ACL, NAT)

  • Отображение для каждого узла созданных списков ACL, NAT.
  • Создание и редактирование списков, контроль синтаксиса.
  • Отображение всех интерфейсов узла.
  • Сканирование/проверка открытых адресов/портов.
  • Управление сетевыми объектами и группами сетевых объектов.
  • Управление ACL при помощи политик с использованием сетевых объектов или групп сетевых объектов.

Туннели

  • Отображение туннеля или туннельных интерфейсов парой (парой узлов) + связанные маршруты.
  • Создание туннелей типа Ditun.
  • Анализ и добавление конфигурации туннелей на основе полученной информации из конфигурации с возможностью редактирования.
  • Отображения счетчика пакетов, объема переданного трафика.
  • Изменение настроек (и ключей) в паре и индивидуально.
  • Включение и выключение туннелей индивидуально.
  • Отображение всех интерфейсов и маршрутов узла.
  • Отображение состояния туннелей (keepalive).
  • Замена номера серии для всех туннелей узлов.

Менеджер конфигураций

  • Отображение списка конфигураций по списку узлов с группировкой узлов.
  • Отображение последней загруженной конфигурации узла.
  • Хранение конфигураций узлов (истории изменений конфигураций).
  • Редактирование конфигурации узлов.
  • Получение конфигураций по расписанию для каждого узла.
  • Сравнение двух конфигураций в истории одного узла и между двумя узлами.
  • Отображение изменений при сравнении конфигураций узлов.
  • Формирование уведомления о нахождении различий полученной конфигурации с эталонной конфигурацией.
  • Отправка, применение конфигурации startup-config на узле с перезагрузкой.
  • Безопасное применение конфигурации с автоматическим откатом при проблемах.

Скрипты

  • Отображение и редактирование переменных и шаблонов переменных по списку узлов.
  • Отображение списка скриптов.
  • Выполнение скриптов на устройстве или группе устройств.

Политики

  • Задание сетевых объектов, группы сетевых объектов, сервисов.

 

Dionis-NX содержит систему обнаружения и предотвращения сетевых атак (IDS/IPS) на базе Snort. Работа системы возможна в режиме только обнаружения атаки или в режиме обнаружения и предотвращения атаки. Анализ можно применять для маршрутизируемого трафика и для трафика, коммутируемого через сетевой мост. Помимо стандартных широких возможностей системы Snort добавлена поддержка создания собственных правил анализа трафика и возможность записи дампов трафика, распознанного как атака. Управление системой и отображение статистики атак реализовано через портал управления безопасностью Dionis-SMP.

Решения на базе межсетевых экранов DIONOS DPS

Подключение к АИС "НАЛОГ-3"
Как выбрать средство криптозащиты для взаимодействия с АИС «Налог-3»? Поможем и подскажем.
Сравнение моделей межсетевых экранов DIONIS DPS
Сравнение моделей российских межсетевых экранов DIONIS DPS
Межсетевые экраны для крупных компаний - уровень ядра
Межсетевые экраны, маршрутизаторы, криптомаршрутизаторы, криптошлюзы серии DIONIS DPS 5000, DIONIS DPS 6000/, DIONIS DPS 7000 предназначены для работы в центрах обработки данных и ключевых высокопроизводительных узлах сети ком...
Межсетевые экраны для среднего бизнеса - уровень распределения
Межсетевые экраны, маршрутизаторы, криптошлюзы, криптомаршрутизаторы серии DIONIS DPS 3000 и DIONIS DPS 4000 предназначены для использования в региональных центрах и крупных филиалах компаний. Модульная система и поддержка инт...
Межсетевые экраны для небольших компаний - уровень доступа
Отечественные межсетевые экраны, маршрутизаторы, криптошлюзы серий DIONIS DPS 1000 и DIONIS DPS 2000 предназначены для использования в небольших офисах и региональных отделениях компании. Изделия Dionis-D...