اینترنت پنجره ها اندروید
بسط دادن
خانه

مجموعه سخت افزاری و نرم افزاری که عملکردهای یک دروازه رمزنگاری را پیاده سازی می کند. مروری بر دروازه های رمزنگاری تولید کنندگان روسی و خارجی

از ویکیپدیا، دانشنامه آزاد

دروازه رمزنگاری (دروازه رمزنگاری ، دروازه vpn ، روتر رمزنگاری)- مجموعه سخت افزاری و نرم افزاری برای حفاظت رمزنگاری شده از داده ها ، صدا ، ترافیک ویدئویی بر اساس رمزگذاری بسته ها با استفاده از پروتکل های IPsec AH و / یا IPsec ESP هنگام ایجاد اتصال ، که الزامات حفاظت از اطلاعات رمزنگاری (CIP) FSB روسیه و عملکردهای اساسی یک دستگاه VPN مدرن را ارائه می دهد ...

وقت ملاقات

دروازه رمزنگاری برای اطمینان از امنیت اطلاعات یک سازمان ، محافظت از شبکه های اطلاعاتی آن در برابر نفوذ از شبکه های انتقال داده (اینترنت) ، اطمینان از محرمانه بودن هنگام انتقال اطلاعات از طریق کانال های ارتباطی باز (VPN) و همچنین سازماندهی دسترسی ایمن کاربران به منابع شبکه های عمومی

دروازه رمزنگاری عملکرد اساسی یک دستگاه VPN مدرن را ارائه می دهد:

  1. محرمانه بودن و یکپارچگی جریان بسته IP ؛
  2. پوشاندن توپولوژی شبکه با محصور کردن ترافیک در یک تونل ایمن ؛
  3. شفافیت برای NAT ؛
  4. احراز هویت گره های شبکه و کاربران ؛
  5. وحدت سیاست امنیتی برای کاربران تلفن همراه و "داخلی" (پیکربندی پویا آدرس های IP شرکت برای کاربران از راه دور "در داخل VPN").

دروازه های رمزنگاری هم در بخش دستگاه های VPN و هم در بخش دستگاه های یکپارچه (UTM) ارائه می شوند که چندین ابزار امنیتی را در یک ترکیب می کند.

تفاوت بین دروازه های رمزنگاری و روترهای VPN معمولی این است که آنها بر اساس پروتکل IPSec عمل می کنند و از اطلاعات منتقل شده از طریق کانال های ارتباطی با استفاده از الگوریتم هایی که الزامات استانداردهای رمزنگاری روسیه را رعایت می کنند ، محافظت می کنند (GOST 28147-89 و GOST R 34.10-2001 )

دسترسی به منابع سیستم اطلاعات

دروازه های رمزنگاری به مشترکان از راه دور اجازه می دهد دسترسی ایمن به منابع سیستم اطلاعات شرکتی را ایجاد کنند. دسترسی با استفاده از نرم افزار خاصی که بر روی رایانه کاربر (سرویس گیرنده VPN) برای تعامل امن بین کاربران از راه دور و تلفن همراه با یک دروازه رمزنگاری نصب شده است ، ایجاد می شود.

نرم افزار رمزنگاری دروازه (سرور دسترسی) کاربر را شناسایی و احراز هویت می کند و با منابع شبکه محافظت شده ارتباط برقرار می کند. با کمک دروازه های رمزنگاری ، کانال های مجازی ایمن در شبکه های عمومی (به عنوان مثال اینترنت) ایجاد می شود که محرمانه بودن و قابلیت اطمینان اطلاعات را تضمین می کند و شبکه های خصوصی مجازی (شبکه خصوصی مجازی - VPN) را که ترکیبی از شبکه های محلی یا رایانه های جداگانه متصل به یک شبکه عمومی. استفاده در یک شبکه مجازی امن برای مدیریت چنین شبکه ای معمولاً از نرم افزار ویژه (مرکز کنترل) استفاده می شود که مدیریت متمرکز سیاست های امنیتی محلی سرویس گیرندگان VPN و دروازه های رمزنگاری را ارائه می دهد ، اطلاعات کلیدی و داده های پیکربندی جدید را برای آنها ارسال می کند و گزارشات سیستم را حفظ می کند.

نظر خود را در مورد مقاله "Crypto Gateway" بنویسید

یادداشت ها (ویرایش)

ادبیات

  1. ژدانوف ، O. N. ، Zolotarev ، V. V.... - کراسنویارسک: SibGAU ، 2007.- 217 ص.

پیوندها

  • ... منطقی نرم بازبینی شده در 28 فوریه 2012.
  • ... شرکت کد امنیتی بازبینی شده در 28 فوریه 2012.
  • کنستانتین کوزوکین.... i-teco بازبینی شده در 28 فوریه 2012.

گزیده ای که ویژگی Cryptogate را نشان می دهد

- Qui's "excuse - s" متهم می کند ، [کسی که عذرخواهی می کند ، خودش را سرزنش می کند.] - جولی لبخندی زد و با پرز زدن اشاره کرد و به طوری که آخرین کلمه را گفت ، بلافاصله مکالمه را تغییر داد. - این چیست ، امروز متوجه شدم: ماری ولکونسکایا فقیر دیروز وارد مسکو شد. آیا شنیده اید که پدرش را از دست داده است؟
- واقعا! او کجاست؟ من خیلی دوست دارم او را ببینم ، - پیر گفت.
- دیروز عصر را با او گذراندم. او صبح یا فردا با برادرزاده اش به منطقه مسکو می رود.
- خوب ، او چطور است؟ - گفت پیر.
- هیچی ، غمگین. اما آیا می دانید چه کسی او را نجات داد؟ یک رمان کامل است. نیکلاس روستوف. آنها او را محاصره کردند ، می خواستند او را بکشند ، افرادش را زخمی کردند. با عجله او را نجات داد ...
شبه نظامیان گفت: "یک رمان دیگر." - قاطعانه ، این فرار عمومی به گونه ای صورت می گیرد که همه عروسهای قدیمی ازدواج کنند. Catiche یکی است ، شاهزاده Bolkonskaya دیگر است.
"شما می دانید که من واقعاً فکر می کنم او یک petit peu amoureuse du jeune homme است. [کمی عاشق یک مرد جوان.]
- خوب! خوب! خوب!
- اما چگونه می توانم آن را به روسی بگویم؟ ..

هنگامی که پیر به خانه بازگشت ، دو پوستر از روستوپچین در همان روز به او تحویل داده شد.
اولی گفت که شایعه ممنوع الخروج شدن کنت روستوپچین از مسکو ناعادلانه است و برعکس ، کنت روستوپچین خوشحال است که خانم ها و زنان بازرگان مسکو را ترک می کنند. پوستر می گوید: "ترس کمتر ، اخبار کمتر ،" اما من با عمرم پاسخ می دهم که در مسکو تبهکار وجود نخواهد داشت. این کلمات برای اولین بار به وضوح به پیر نشان داد که فرانسوی ها در مسکو خواهند بود. در بیلبورد دوم آمده بود که مقر ما در ویازما بود ، که کنت ویتگشتاین فرانسوی ها را شکست داد ، اما از آنجا که بسیاری از ساکنان می خواهند خود را مسلح کنند ، سلاح هایی برای آنها در زرادخانه تهیه شده است: شمشیر ، تپانچه ، اسلحه ، که ساکنان می توانند از آن استفاده کنند. ارزان قیمت. لحن پوسترها دیگر مانند مکالمات قبلی چیگرین شوخی برانگیز نبود. پیر در مورد این پوسترها تأمل کرد. بدیهی است ، آن ابر رعد و برق وحشتناک ، که او را با تمام نیروهای روح خود احضار کرد و در عین حال وحشت غیر ارادی را در او برانگیخت - بدیهی است که این ابر نزدیک می شد.
"برای ورود به خدمت سربازی و رفتن به ارتش یا منتظر ماندن؟ - پیر این سوال را برای صدمین بار از خود پرسید. او دسته کارتهایی را که روی میز او بود برداشت و شروع به بازی یک نفره کرد.
او با خود گفت: "اگر این بازی یک نفره بیرون بیاید ، عرشه را مخلوط کرد ، آن را در دست گرفت و به بالا نگاه کرد ،" اگر بیرون آمد ، پس ... به چه معناست؟ " برای ورود
پیر با خود گفت: "پس این بدان معناست که من باید به ارتش بروم." او با خطاب به شاهزاده خانم افزود: "بیا داخل ، بیا".
(یک شاهزاده خانم مسن تر ، با کمر بلند و یک درپوش سنگی ، به زندگی در خانه پیر ادامه داد ؛ دو کوچکتر ازدواج کردند.)
او با صدایی سرزنش آمیز و مضطرب گفت: "من را ببخش ، پسر عمو ، که به نزد تو آمدم." - بالاخره ، ما باید در نهایت در مورد چیزی تصمیم بگیریم! چه خواهد بود؟ همه مسکو را ترک کرده اند و مردم شورش می کنند. چرا می مانیم؟
پیر با آن عادت بازیگوشی که پیر ، که همیشه با شرمندگی نقش خیر خود را در مقابل شاهزاده خانم تحمل می کرد ، گفت: "برعکس ، همه چیز خوب است ، پسر عمو".
- بله ، خوب است ... رفاه! امروز واروارا ایوانوونا به من گفت تفاوت سربازان ما چگونه است. مطمئناً می توانید افتخار را نسبت دهید. بله ، و مردم کاملاً شورش کردند ، گوش دادن را متوقف کردند. دخترم و او بی ادب شد بنابراین آنها به زودی ما را نیز خواهند زد. نمی توانید در خیابان قدم بزنید. و مهمتر از همه ، فرانسوی ها فردا آنجا خواهند بود ، بنابراین ما چه انتظاری می توانیم داشته باشیم! من در مورد یک چیز می پرسم ، پسر عمو ، "شاهزاده خانم گفت ،" به آنها دستور دهید مرا به پترزبورگ ببرند: هرچه هستم ، نمی توانم تحت حکومت بناپارت زندگی کنم.
- بله ، کامل ، پسر عمو ، اطلاعات خود را از کجا می آورید؟ در برابر…
- من تسلیم ناپلئون شما نمی شوم. دیگران آنطور که می خواهند ... اگر شما نمی خواهید این کار را انجام دهید ...
- بله ، من الان سفارش می دهم.
شاهزاده خانم بدیهی است که از کسی عصبانی شده بود عصبانی شده بود. او ، چیزی را زمزمه کرد ، روی صندلی نشست.
پیر گفت: "اما این را به شما درست نمی گویند." "همه چیز در شهر آرام است و هیچ خطری وجود ندارد. بنابراین من فقط خواندم ... - پیر پوسترها را به شاهزاده خانم نشان داد. - شمار می نویسد که او با جان خود پاسخ می دهد که دشمن در مسکو نخواهد بود.
شاهزاده خانم با عصبانیت گفت: "اوه ، این شمارش ، منافق است ، شروری که خود مردم را به شورش کشاند. مگر او در این پوسترهای احمقانه ننوشته بود که هر چه که هست ، او را با تاج به سمت خروجی بکشید (و چقدر احمقانه)! هرکس عزت و جلال را برای او می گیرد ، می گوید. بنابراین اهمیتی ندادم واروارا ایوانوونا گفت که مردم تقریباً او را کشتند زیرا او به زبان فرانسه صحبت می کرد ...
- چرا ، این چنین است ... شما همه چیز را بسیار به قلب خود می گیرید ، - پیر گفت و شروع به بازی یک نفره کرد.

APKSH "قاره"IPC-25دروازه رمزنگاری جمع و جور برای یک دفتر کوچک. APKSH "قاره"یک ابزار VPN قدرتمند و انعطاف پذیر است که به شما امکان می دهد VPN با هر معماری بسازید. حفاظت رمزنگاری شده از اطلاعات (مطابق با GOST 28147-89) که از طریق کانالهای ارتباطی باز بین اجزای VPN (شبکه های محلی ، بخشهای آنها و رایانه های فردی) منتقل می شود. بسته های داده فردی را با کلیدهای منحصر به فرد رمزگذاری می کند ، که محافظت در برابر رمزگشایی داده های رهگیری شده را تضمین می کند. برای محافظت در برابر دستکاری ، یک سیستم فیلتر ترافیک ارائه شده است. پشتیبانی از VoIP ، ویدئو کنفرانس ، GPRS ، 3G ، LTE ، ADSL ، Dial-Up و کانال های ارتباطی ماهواره ای ، فناوری NAT / PAT را برای پنهان کردن ساختار شبکه ارائه می دهد.

APKSH "قاره" برای حل کارهای معمولی زیر طراحی شده است:

  • حفاظت همه جانبه از شبکه
  • توانایی ترکیب شاخه های توزیع شده جغرافیایی سازمان را در یک شبکه امن واحد فراهم می کند.
  • حفاظت از دسترسی از راه دور کارکنان به شبکه شرکتی را فراهم می کند.

سازنده: کد امنیتی LLC

180،000.00 روبل

فاکتور به طور خودکار ایجاد می شود. نوع پرداخت کننده "شخص حقوقی" را مشخص کرده و جزئیات را وارد کنید.

مقایسه نسخه

APKSH "قاره" - IPC -25APKSH "قاره" - IPC -100APKSH "قاره" - IPC -400APKSH "قاره" - IPC -1000
قیمت180،000 روبل
خرید کنید		270،000 روبل
خرید کنید		665،000 روبل
خرید کنید		1،021،000 RUR
خرید کنید
عملکرد VPN (رمزگذاری + فیلتر ME)حداکثر تا 50 مگابیت بر ثانیهحداکثر تا 300 مگابیت بر ثانیهحداکثر تا 500 مگابیت بر ثانیهحداکثر 950 مگابیت بر ثانیه
عملکرد ME (ترافیک باز)حداکثر 100 مگابیت بر ثانیهحداکثر 400 مگابیت بر ثانیهحداکثر تا 1 گیگابیت بر ثانیهحداکثر تا 1 گیگابیت بر ثانیه
حداکثر تعداد جلسات TCP همزمان پردازش شده (حالت نگهدارنده)10000 250000 350000 1000000
تعداد اتصالات ایمن (تونل VPN)25 بدون محدودیتبدون محدودیتبدون محدودیت

پیکربندی سخت افزار:

شکل فاکتور

مینی ITX ، ارتفاع 1U

ابعاد (HxWxD)

155 در 275 در 45 میلی متر

CPU

Intel Atom C2358 1743 مگاهرتز

رم

SODIMM DDR3 DRAM ، 2 گیگابایت ، PC-1333

رابط های شبکه

4х 1000BASE-T اترنت 10/100/1000 RJ45 (ساخته شده در قالب ماژول های به راحتی قابل تعویض)

دیسکهای سخت

ماژول SATA DOM 4 گیگابایت

منبع تغذیه

آداپتور AC خارجی 19 ولت ، 220 ولت 80 وات

خواننده

حافظه را لمس کنید

شناسه های شخصی

Memory iButton DS1992L 2 را لمس کنید PCS

ماژول APMDZ داخلی

PAK "Sobol" 3.0 (mini-PCIe)

فلش درایو USB

کمتر از 512 مگابایت

سطح نویز صوتی در بار 100٪ (روش اندازه گیری ISO7779)

سیستم عامل تعبیه شده

سیستم عامل قاره - پیشرفته امنیت پیشرفته سیستم عامل مبتنی بر هسته FreeBSD

APKSH "قاره" 3.9 شامل موارد زیر است:

  • مرکز کنترل شبکه رمزنگاری (NCC)- احراز هویت KSH و AWP مدیریت / نظارت و ثبت وضعیت شبکه KSh / ذخیره سیاهههای مربوط و پیکربندی KSh / توزیع اطلاعات کلیدی و پیکربندی / مدیریت متمرکز کلیدهای رمزنگاری / تعامل با برنامه کنترل.
  • دروازه رمزنگاری (KSH)یک دستگاه سخت افزاری و نرم افزاری تخصصی است که بسته های IP را از طریق پروتکل های TCP / IP (مسیریابی استاتیک) / رمزگذاری بسته ها (GOST 28147-89 ، حالت گاما حلقه بسته ، طول کلید 256 بیتی) / حفاظت از داده های منتقل شده از اعوجاج دریافت و ارسال می کند. (GOST 28147-89 ، حالت درج تقلید) / فیلتر بسته / پنهان کردن ساختار شبکه / ثبت رویدادها / اطلاع رسانی NCC در مورد فعالیتها و رویدادهای مورد نیاز برای مداخله / نظارت بر یکپارچگی نرم افزار KSH.
  • برنامه کنترل NCC (PU NCC)- عملکرد اصلی آن کنترل متمرکز تنظیمات و نظارت عملیاتی بر وضعیت همه واحدهای کنترل است که بخشی از مجموعه هستند. در یک شبکه امن در ایستگاه کاری مدیر تحت MS Windows 2003/2008/7/8 نصب شده است.
  • عامل NCC و SDیک اتصال امن برقرار می کند و داده ها را با NCC و CP مبادله می کند / از NCC دریافت می کند ، محتویات سیاهههای مربوط را ذخیره می کند و از طریق CP دریافت می کند / از NCC دریافت می کند و اطلاعات مربوط به عملکرد مجتمع را به CP منتقل می کند.
  • مشتری احراز هویت کاربر- احراز هویت کاربرانی که روی رایانه هایی که در یک بخش محافظت شده شبکه قرار دارند هنگام اتصال به یک دروازه رمزنگاری ، ارائه می دهد.
  • ایستگاه مشترک (Continent-AP)یک تونل VPN بین ایستگاه کاری از راه دور کاربر و شبکه محافظت شده داخلی سازمان ایجاد می کند. هنگام اتصال از طریق شبکه های دسترسی عمومی و اینترنت ، احراز هویت کاربر / پشتیبانی از تخصیص آدرس پویا / دسترسی از راه دور به منابع شبکه محافظت شده از طریق یک کانال رمزگذاری شده / دسترسی از طریق کانالهای ارتباطی اختصاصی و شماره گیری / امکان دسترسی به منابع شبکه های عمومی
  • دسترسی به سرورارتباط بین UA از راه دور و شبکه محافظت شده و همچنین سطح دسترسی کاربر و احراز هویت وی را تعیین می کند.
  • دسترسی به برنامه مدیریت سرور (PC SD)- اطلاع رسانی سریع مدیر شبکه در مورد رویدادهای امنیتی را ارائه می دهد. طراحی شده برای مدیریت تنظیمات همه سرورهای دسترسی موجود در مجموعه.
  • آشکارساز حمله "قاره"یک جزء نرم افزاری است که ترافیک ناشی از یک دروازه رمزنگاری شده را تجزیه و تحلیل می کند و نفوذهای غیر مجاز را فیلتر می کند. در ارتباط با مرکز کنترل برای شبکه دروازه های رمزنگاری "قاره" نسخه 3.7 و بالاتر کار می کند.

گواهینامه ها

  • مطابقت با دستورالعمل های FSTEC روسیه در سطح دوم کنترل عدم وجود NDV و درجه 2 امنیت برای دیوارهای آتش. می توان از آن برای ایجاد سیستم های خودکار تا کلاس امنیتی 1B و شامل ایجاد سیستم های اطلاعات شخصی اطلاعات تا کلاس 1 استفاده کرد.
  • رعایت الزامات FSB روسیه برای دستگاه هایی مانند فایروال برای امنیت کلاس 4 ؛
  • مطابقت با الزامات FSB روسیه برای حفاظت رمزنگاری اطلاعات کلاس KC3 و امکان استفاده از آن برای حفاظت رمزنگاری اطلاعاتی که حاوی اطلاعاتی نیست که یک راز دولتی را تشکیل می دهند.
  • وزارت مخابرات و ارتباطات جمعی فدراسیون روسیه - در مورد رعایت الزامات تعیین شده برای مسیریابی تجهیزات بسته های اطلاعاتی و امکان استفاده از آن در شبکه های ارتباطی عمومی به عنوان تجهیزات تعویض و مسیریابی بسته های اطلاعاتی.

ممکن ها

این مجموعه حفاظت رمزنگاری اطلاعات (مطابق با GOST 28147-89) که از طریق کانال های ارتباطی باز بین اجزای VPN منتقل می شود ، که می تواند شبکه های رایانه ای محلی ، بخش های آنها و رایانه های فردی باشد ، ارائه می دهد.

طرح کلید مدرن ، با رمزگذاری هر بسته با یک کلید منحصر به فرد ، حفاظت تضمینی را در برابر احتمال رمزگشایی داده های رهگیری شده فراهم می کند.

برای محافظت در برابر نفوذ از شبکه های عمومی ، مجموعه قاره 3.6 فیلتر بسته های دریافتی و ارسال شده را با توجه به معیارهای مختلف (آدرس فرستنده و گیرنده ، پروتکل ، شماره پورت ، فیلدهای بسته اضافی و غیره) فراهم می کند. پشتیبانی از VoIP ، ویدئو کنفرانس ، ADSL ، Dial-Up و کانال های ارتباطی ماهواره ای ، فناوری NAT / PAT را برای پنهان کردن ساختار شبکه ارائه می دهد.

ویژگیها و ویژگیهای کلیدی APCS "قاره" 3.6

حفاظت موثر از شبکه های شرکتی

  • دسترسی امن VPN به منابع شبکه عمومی
  • حفاظت رمزنگاری شده از داده های منتقل شده مطابق با GOST 28147-89

در APKSH "قاره" 3.6 ، از یک طرح کلیدی مدرن استفاده می شود که رمزگذاری هر بسته را بر روی یک کلید منحصر به فرد پیاده سازی می کند. این سطح بالایی از حفاظت از داده ها را در برابر رمزگشایی در صورت رهگیری فراهم می کند.

رمزگذاری داده ها مطابق با GOST 28147-89 در حالت بازخورد گاما انجام می شود. حفاظت از داده ها در برابر اعوجاج مطابق با GOST 28147-89 در حالت درج تقلید انجام می شود.

کلیدهای رمزنگاری به طور مرکزی از NCC مدیریت می شوند.

  • دیوار آتش - محافظت از بخشهای داخلی شبکه در برابر دسترسی غیر مجاز

دروازه رمزنگاری "قاره" 3.6 فیلتر بسته های دریافتی و منتقل شده را با توجه به معیارهای مختلف (آدرس فرستنده و گیرنده ، پروتکل ، شماره پورت ، فیلدهای بسته اضافی و غیره) فراهم می کند. این به شما امکان می دهد از بخش های داخلی شبکه در برابر نفوذ شبکه های عمومی محافظت کنید.

  • دسترسی امن برای کاربران از راه دور به منابع VPN

نرم افزار ویژه "قاره AP" ، که بخشی از APKSH "قاره" 3.6 است ، به شما امکان می دهد دسترسی امن از رایانه های راه دور به شبکه VPN شرکت را سازماندهی کنید.

  • ایجاد زیر سیستم های اطلاعاتی با دسترسی مشترک در سطح فیزیکی

در APKSH "قاره" 3.6 ، می توانید 1 رابط خارجی و 3-9 رابط داخلی را در هر دروازه رمزنگاری متصل کنید. این قابلیت کاربر را برای پیکربندی شبکه مطابق با خط مشی امنیتی شرکت بسیار افزایش می دهد. به طور خاص ، وجود چندین رابط داخلی به شما امکان می دهد زیر شبکه های بخشهای سازمان را در سطح کارتهای شبکه تقسیم کرده و میزان لازم برای تعامل بین آنها را ایجاد کنید.

ویژگی ها و قابلیت های کلیدی

  • پشتیبانی از کانالهای ارتباطی متداول

از طریق اتصالات Dial-Up ، تجهیزات ADSL که مستقیماً به دروازه رمزنگاری متصل شده اند ، و همچنین از طریق کانال های ارتباط ماهواره ای کار کنید.

  • "شفافیت" برای هرگونه برنامه و خدمات شبکه

دروازه های رمزنگاری "قاره" 3.6 برای برنامه ها و خدمات شبکه ای که از پروتکل TCP / IP استفاده می کنند "شفاف" هستند ، از جمله خدمات چند رسانه ای مانند تلفن IP و کنفرانس ویدیویی.

  • کار با ترافیک با اولویت بالا

مکانیسم اولویت بندی ترافیک که در مکانیزم اولویت بندی ترافیک قاره 3.6 اجرا شده است ، بدون از دست دادن کیفیت ارتباطات ، از ترافیک صوتی (VoIP) و کنفرانس های ویدئویی محافظت می کند.

  • رزرو پهنای باند تضمین شده برای برخی از خدمات

رزرو پهنای باند تضمینی برای برخی خدمات ، عبور و مرور ایمیل ، سیستم های مدیریت اسناد و غیره را تضمین می کند. حتی با استفاده فعال از تلفن IP در کانال های ارتباطی با سرعت پایین.

  • پشتیبانی از VLAN

پشتیبانی VLAN یکپارچگی آسان APCS را در زیرساخت های شبکه ، تقسیم شده به بخشهای مجازی ، تضمین می کند.

  • شبکه داخلی را مخفی کنید. پشتیبانی از فناوری های NAT / PAT

پشتیبانی از فناوری NAT / PAT به شما امکان می دهد هنگام انتقال ترافیک باز ، ساختار داخلی بخش های محافظت شده شبکه را پنهان کنید و همچنین مناطق غیرنظامی را سازماندهی کرده و شبکه های محافظت شده را تقسیم بندی کنید.

پنهان کردن ساختار داخلی بخشهای محافظت شده از شبکه شرکتی انجام می شود:

    • با استفاده از روش بسته بندی بسته های منتقل شده (هنگام رمزگذاری ترافیک) ؛
    • استفاده از فناوری ترجمه آدرس شبکه (NAT) هنگام کار با منابع عمومی.
  • ادغام با سیستم های تشخیص نفوذ

در هر دروازه رمزنگاری ، می توان یکی از رابط ها را به طور خاص انتخاب کرد تا ترافیک عبوری از KSH را برای دسترسی غیر مجاز (حملات شبکه) بررسی کند. برای انجام این کار ، باید چنین رابطی را به عنوان "پورت SPAN" تعریف کنید و رایانه ای را با سیستم تشخیص نفوذ نصب شده (به عنوان مثال RealSecure) به آن متصل کنید. پس از آن ، همه بسته هایی که به ورودی فیلتر بسته دروازه رمزنگاری می رسند ، به این رابط منتقل می شوند.

  • خدمات و مدیریت

راحتی و سهولت نگهداری (حالت بدون تعمیر و نگهداری 24 * 7)

APKSH "قاره" 3.6 نیازی به مدیریت محلی ندارد و می تواند در حالت بدون مراقبت 24 * 7х365 کار کند. رایانه های صنعتی مورد استفاده در تولید مجتمع ، همراه با امکان پشتیبان گیری گرم و سرد ، عملکرد روان این مجموعه را تضمین می کند.

این مجموعه اعلانات سریع مدیران را در مورد رویدادهایی که نیاز به مداخله سریع در زمان واقعی دارند ، ارائه می دهد.

  • به روز رسانی نرم افزار از راه دور دروازه های رمزنگاری شده

این مجتمع مشکل به روز رسانی نرم افزار KSH در سیستم های توزیع شده جغرافیایی را حل کرده است. به روزرسانی نرم افزار به صورت مرکزی در مجموعه بارگذاری می شود ، به تمام دروازه های رمزنگاری که بخشی از مجموعه هستند ارسال می شود و به طور خودکار نصب می شود.

  • ارائه تحمل خطا

تحمل خطا مجتمع با اقدامات زیر تضمین می شود:

    • افزونگی سخت افزاری دروازه های رمزنگاری (ایجاد یک خوشه با دسترسی بالا). در صورت خرابی یکی از دروازه های رمزنگاری ، تغییر به پشتیبان به طور خودکار بدون دخالت مدیر و بدون قطع ارتباطات ایجاد شده انجام می شود.
    • پشتیبان گیری خودکار از فایلهای پیکربندی پیچیده. بازیابی سریع عملکرد شبکه را در صورت خرابی سخت افزار ارائه می دهد.
  • مدیریت شبکه متمرکز

مدیریت شبکه متمرکز با استفاده از NCC و یک برنامه مدیریتی انجام می شود که به شما امکان می دهد به صورت تعاملی تنظیمات همه دروازه های رمزنگاری شده در شبکه را تغییر داده و بر وضعیت فعلی آنها نظارت کنید.

نمایش لحظه ای وضعیت همه دستگاه ها در محل کار مدیر به شما امکان می دهد انحرافات را از روند عملکرد عادی به موقع شناسایی کرده و به سرعت به آنها پاسخ دهید.

  • مدیریت مبتنی بر نقش - تفکیک قوا برای مدیریت مجموعه

توانایی تفکیک اختیارات برای مدیریت مجموعه ، به عنوان مثال ، برای مدیریت اطلاعات کلیدی ، اختصاص حقوق دسترسی به منابع حفاظت شده ، برای افزودن اجزای جدید ، برای ممیزی اقدامات کاربران (از جمله سایر مدیران) ، اجرا شده است.

  • تعامل با سیستم های مدیریت شبکه

به شما امکان می دهد وضعیت APPS "قاره" 3.6 را با استفاده از پروتکل SNMPv2 از سیستم های مدیریت شبکه جهانی (هیولت پاکارد ، سیسکو و غیره) کنترل کنید.

در شرایط مدرن ، برای عملکرد م anثر یک سازمان ، لازم است از انتقال اطلاعات بین بخش های از راه دور و دسترسی مداوم به خدمات شرکت از هر نقطه در جهان اطمینان حاصل شود. برای محافظت از اطلاعات در حین انتقال از طریق کانال های ارتباطی عمومی ، فناوری VPN (شبکه خصوصی مجازی) توسعه داده شد. در واقع ، هنگام استفاده از VPN ، اطلاعات با یک شبکه مجازی از راه دور از طریق اینترنت با تقلید از اتصال خصوصی نقطه به نقطه (یک تونل VPN رمزگذاری شده یا یک شبکه کامل VPN ایجاد می شود) مبادله می شود.

از آنجا که فناوری VPN شامل رمزنگاری (رمزگذاری) می شود ، بنابراین مطابق قوانین فدراسیون روسیه ، می توان از وسایل رمزنگاری (رمزگذار روتر / دروازه رمزنگاری / دروازه VPN) از انواع زیر در قلمرو روسیه استفاده کرد:

  • رمزنگاری غربی (طول کلید تا 56 بیت * شامل) ؛
  • رمزنگاری غربی (طول کلید از 56 بیت) - با اطلاع مشتری FSB روسیه ؛
  • رمزنگاری روسی (GOST 28147—89 ، GOST 34.10—2012 ، GOST 34.11—2012).

در پاسخ به الزامات بازار و قوانین مربوط به ابزارهای رمزنگاری ، AltEl یک هسته رمزنگاری اختصاصی را بر اساس الگوریتم GOST 28147-89 در دروازه VPN ALTELL NEO ادغام کرده است. این به شما امکان می دهد از ALTELL NEO برای متحد کردن شعب از راه دور به یک شبکه VPN واحد ، دسترسی به شبکه محلی سازمان از کارکنان تلفن همراه (با استفاده از سرویس گیرنده ALTELL VPN برای دستگاه های تلفن همراه) به منابع شرکت و ایمن سازی تبادل داده بین شعب و طرفهای دیگر استفاده کنید. طیف گسترده ای از مدل ALTELL NEO نیاز به ترکیبی مطمئن از شرکت ها در هر اندازه را برآورده می کند: هم یک دفتر کوچک از راه دور و هم دفتر مرکزی یک هلدینگ بزرگ با کارکنان چند هزار کارمند.

به عنوان یک دروازه رمزنگاری ، ALTELL NEO به کاربران از راه دور اجازه می دهد از طریق یک کانال امن (از طریق یک تونل VPN) به شبکه محلی یک سازمان وصل شوند بدون آنکه سطح امنیتی آن به خطر بیفتد. فقط می توان به کاربران اجازه دسترسی به سرورهای خاص یا خدمات خاص را داد. برای کار از راه دور بر روی دستگاه های تلفن همراه ، یک سرویس گیرنده VPN باید نصب شود.

توپولوژی

در زیر نمودار سازماندهی اتصال VPN بین شعب یک شرکت با استفاده از روتر رمزنگاری ALTELL NEO (شکل 1) آمده است. تونل VPN بر اساس الگوریتم های رمزنگاری داخلی یا غربی (GOST / AES128 از طریق پروتکل های IPsec یا OpenVPN) ساخته شده است. در داخل تونل VPN ، ترافیک از شبکه های همگرا می تواند منتقل شود: داده ، صدا ، ویدئو.

شکل 1 ایجاد اتصال VPN بین شعب.

شکل 2 نمودار سازماندهی اتصال VPN با کاربران از راه دور را نشان می دهد. یک سرویس گیرنده VPN بر روی دستگاه های تلفن همراه نصب شده است ، که از طریق آن کاربر دسترسی امن به شبکه سازمان را به دست می آورد.

شکل 2 سازماندهی اتصال VPN با کاربران تلفن همراه.

در حال حاضر دروازه ALTELL NEO VPN انواع زیر را از اتصالات VPN پشتیبانی می کند:

مزایای

  • توانایی دسترسی به منابع فناوری اطلاعات داخلی شرکت از شعبه های دور.
  • حفاظت از ترافیک با استفاده از الگوریتم های رمزنگاری داخلی یا غربی (GOST / AES128 از طریق پروتکل های IPsec یا OpenVPN) ؛
  • عملیات بدون وقفه به دلیل سازماندهی طرح با ارائه دهنده مازاد یا استفاده از حلقه های اضافی مسیریابی در توپولوژی ؛
  • سازماندهی یک طرح در دسترس بودن بالا ؛
  • توانایی کار ایمن در شبکه داخلی شرکت برای تک تک کاربران از دفتر خانه یا هرجای دیگر در اینترنت ؛
  • فیلتر کردن ترافیک ناخواسته در کانال VPN ؛
  • توانایی اختصاص بخش های محافظت شده در شبکه های موجود ؛
  • تغییرناپذیر بودن زیرساخت فناوری اطلاعات موجود ؛
  • شبکه VPN مقیاس پذیر ؛
  • طیف گسترده ای از ابزارها برای ایجاد یک شبکه VPN ؛
  • استقرار سریع و پیکربندی اولیه ؛
  • سهولت استفاده از سیستم

گواهینامه ها

دروازه رمزنگاری ALTELL NEO دارای تمام گواهینامه های لازم برای استفاده به عنوان وسیله ای برای محافظت از اطلاعات است ، از جمله گواهینامه های FSTEC روسیه برای کلاسهای ME2 / ME3 / ME4 و NDV2 / NDV3 ، که اجازه می دهد از این دروازه VPN برای محافظت از سیستم های خودکار استفاده کنید. شامل کلاس 1B و ایجاد ISPDN امن مطابق با 152-FZ "درباره داده های شخصی" تا کلاس K1 شامل.

تست رایگان

همه مدل های ALTELL NEO برای آزمایش در سازمان شما به صورت رایگان در دسترس هستند. برای به دست آوردن مدل مورد علاقه خود ، باید یک برنامه را پر کنید. همچنین می توانید پیکربندی دستگاه (حافظه اضافی ، ماژول های توسعه ، نسخه نرم افزار و غیره) را انتخاب کرده و قیمت تقریبی دستگاه را با استفاده از

مقاله به طور خلاصه روند بازار جهانی VPN را شرح می دهد ، دروازه های رمزنگاری محبوب در بازار روسیه را بررسی می کند و ویژگی های اصلی آنها را ارائه می دهد.

معرفی

دروازه رمزنگاری (دروازه رمزنگاری ، روتر رمزنگاری ، دروازه VPN) یک مجموعه نرم افزاری و سخت افزاری برای حفاظت رمزنگاری از ترافیک منتقل شده از طریق کانال های ارتباطی با رمزگذاری بسته ها با استفاده از پروتکل های مختلف است.

دروازه رمزنگاری برای اطمینان از امنیت اطلاعات یک سازمان هنگام انتقال داده ها از طریق کانال های ارتباطی باز طراحی شده است.

دروازه های رمزنگاری در بازار مدرن عملکردهای اساسی زیر را ارائه می دهند:

  • شفافیت برای NAT ؛
  • پنهان کردن توپولوژی شبکه با محصور کردن ترافیک در یک تونل رمزگذاری شده ؛
  • اطمینان از یکپارچگی و محرمانه بودن بسته های IP ؛
  • احراز هویت گره ها و کاربران امن شبکه.

شرکت های با اندازه های مختلف ، سازمان های دولتی ، شرکت های خصوصی دسته های اصلی مصرف کنندگان دروازه های رمزنگاری هستند.

امروزه عملکرد دروازه VPN تقریباً جزء لاینفک هر دستگاه شبکه است ، اعم از روتر شرکتی ، روتر Wi-Fi خانگی یا فایروال. با در نظر گرفتن این ویژگی ، در زیر نمایندگان اصلی بازار روسیه را با استفاده از الگوریتم رمزگذاری GOST و همچنین چندین مثال خارجی به عنوان جایگزین در نظر خواهیم گرفت.

در یک خط جداگانه ، ما به وجود راه حل هایی برای دسترسی از راه دور ایمن بر اساس پروتکل TLS (دروازه های TLS) تولیدکنندگان روسی و خارجی در بازار اشاره می کنیم. آنها در این بررسی مورد توجه قرار نگرفته اند.

بازار جهانی دروازه رمزنگاری

تداوم تجارت برای هر شرکت توزیع شده جغرافیایی همیشه با اطمینان از حفاظت از اطلاعات منتقل شده همراه است. دستگاه های مختلف VPN مدت هاست که این مشکل را حل کرده اند. آنها در اجرا بسیار متفاوت هستند: آنها می توانند راه حل های تخصصی ، راه حل های مبتنی بر سیستم های نرم افزاری و سخت افزاری ، مانند فایروال ها / روترها یا سیستم های کاملاً نرم افزاری باشند.

محصولات مشابه در بازار جهانی توسط شرکت هایی در زمینه های مختلف فعالیت استفاده می شود: مراقبت های بهداشتی ، شرکت های صنعتی ، شرکت های حمل و نقل ، سازمان های دولتی و بسیاری دیگر.

در بیشتر موارد ، مشتری باید یک یا چند کار زیر را حل کند:

  • حفاظت از شبکه توزیع شده شرکت در توپولوژی های مختلف ؛
  • اتصال کاربران از راه دور به شبکه شرکتی (از جمله از دستگاه های تلفن همراه) ؛
  • حفاظت از لایه پیوند

SSL VPN به طور محکم خود را در بازار جهانی تثبیت کرده است ، همانطور که توسط تحقیقات Alliedmarketresearch نشان داده شده است. به گفته آنها ، بازار جهانی SSL VPN در سال 2016 بیش از 3 میلیارد دلار آمریکا بوده است. پیش بینی رشد تا سال 2023 - تا 5.3 میلیارد.

در میان بازیگران کلیدی در بازار جهانی ، موقعیت های پیشرو در اختیار Cisco Systems ، Citrix Systems ، Pulse Secure ، F5 Networks است.

شکل 1 بخش های کلیدی رشد بازار جهانی SSL VPN را نشان می دهد:

  • حالت مشتری نازک ؛
  • حالت کامل تونل زنی ؛
  • حالت بدون مشتری

بازار دروازه رمزنگاری روسیه

در روسیه ، مصرف کنندگان اصلی دروازه های رمزنگاری ، نهادهای دولتی و همچنین سازمان هایی هستند که عامل داده های شخصی هستند. در قلمرو کشور ما ، مقررات متعددی وجود دارد که معیارهایی را برای تعیین ابزارهای امنیتی اطلاعات برای حل مشکلات خاص تعیین می کند.

این اسناد شامل موارد زیر است:

  • قانون فدرال 27.07.2006 شماره 152-FZ "در مورد داده های شخصی".
  • فرمان دولت فدراسیون روسیه از 01.11.2012 شماره 1119 "در مورد تأیید الزامات حفاظت از اطلاعات شخصی در حین پردازش آنها در سیستم های اطلاعات داده های شخصی."
  • دستور FSTEC روسیه مورخ 11 فوریه 2013 شماره 17 "در مورد تأیید الزامات حفاظت از اطلاعات که محرمانه دولتی موجود در سیستم های اطلاعات دولتی نیست."
  • دستور FSTEC روسیه مورخ 18 فوریه 2013 شماره 21 "در مورد تأیید ترکیب و محتوای اقدامات سازمانی و فنی برای اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم های اطلاعات داده های شخصی".
  • مقررات مربوط به توسعه ، تولید ، پیاده سازی و بهره برداری از ابزارهای امنیت اطلاعات رمزنگاری (رمزنگاری) (مقررات PKZ-2005).

یکی از الزامات اصلی برای دروازه های رمزنگاری ، در دسترس بودن گواهینامه های معتبر انطباق تنظیم کنندگان بازار - FSB روسیه و FSTEC روسیه است. گواهی FSB روسیه برای رعایت الزامات رمزگذاری (رمزنگاری) تنها در صورتی صادر می شود که دروازه رمزنگاری با استفاده از الگوریتم های رمزنگاری داخلی مطابق با GOST 28147-89 اجرا شود.

تولیدکنندگان خارجی به ندرت از رمزگذاری مطابق با GOST پشتیبانی می کنند و چنین گواهینامه هایی را برای راه حل های خود دریافت می کنند ، که به طور فعال توسط فروشندگان روسی ابزارهای حفاظت از اطلاعات رمزنگاری (CIPF) استفاده می شود.

به طور جداگانه ، لازم است به روند مرتبط با امنیت سایبری سیستم های کنترل فرآیند خودکار (APCS) توجه شود. امروزه ، برخی از دستگاههای حفاظت از اطلاعات رمزنگاری ، دروازه های رمزنگاری شده ایمن را در بازار ارائه می دهند که الزامات حفاظت از گرد و غبار و رطوبت و محدوده دما ویژه را برآورده می کند. همچنین مقرراتی وجود داشت که الزامات حفاظت از اطلاعات را در چنین سیستم هایی تشکیل می دهد:

  • قانون فدرال 26 ژوئیه 2017 شماره 187-FZ "در مورد امنیت زیرساخت های اطلاعات مهم فدراسیون روسیه".
  • دستور FSTEC روسیه مورخ 14 مارس 2014 شماره 31 "در مورد تأیید الزامات برای اطمینان از حفاظت از اطلاعات در سیستم های کنترل خودکار برای تولید و فرآیندهای تکنولوژیکی در تاسیسات مهم ، تاسیسات بالقوه خطرناک و همچنین تاسیساتی که خطر را افزایش می دهند. به زندگی و سلامت مردم و محیط زیست. محیط طبیعی ".

این به ما امکان می دهد در مورد چشم انداز جدی این جهت برای تولیدکنندگان امنیت اطلاعات رمزنگاری از نظر توسعه محصولات خود صحبت کنیم.

بیایید ویژگی های برخی از دروازه های رمزنگاری روسی و خارجی را با جزئیات بیشتری در نظر بگیریم.

دروازه های رمزنگاری روسی

Atlix-VPN ("اطلس NTC")

مجموعه سخت افزاری و نرم افزاری Atlix-VPN (PAC) محصول شرکت روسی NTC Atlas است. PAK برای ایجاد و تعامل شبکه های خصوصی مجازی (VPN) بر اساس پروتکل IPsec و استاندارد X.509 با استفاده از الگوریتم های رمزنگاری روسی طراحی شده است.

GOST 28147-89 ، GOST R 34.11-94 ، GOST R 34.10-2001 به عنوان استانداردهای پشتیبانی شده اعلام شده است.

یک ویژگی متمایز نحوه ورود اطلاعات کلیدی لازم برای اجرای عملکردهای آن است. برای این منظور ، از کارت فکری روسیه (RIC) استفاده می شود - یک کارت ریزپردازنده که توسط STC Atlas ، JSC Program Systems and Technologies ، JSC Angstrem توسعه یافته است. این کارت بر اساس ریزپردازنده داخلی ساخته شده توسط JSC Angstrem ساخته شده است.

از نظر سخت افزاری ، "Atlix-VPN" بر اساس سرور یک پلت فرم تخصصی و ثابت عمل می کند. PAK نسبت به استانداردهای امروزی عملکرد رمزگذاری نسبتاً پایینی را ارائه می دهد - 85 مگابیت بر ثانیه. این سرعت و نوع سکوی سخت افزاری به دلیل درجه امنیت بالا مطابق با الزامات FSB روسیه است که توسط PAK - KV2 ارائه شده است.

شکل 2. PAK "Atlix-VPN"

Atlix-VPN دارای گواهینامه های معتبر انطباق زیر است:

  • FSB روسیه №СФ / 124-2958 ، تأیید می کند که PAK شرایط رمزگذاری (رمزنگاری) کلاس KB2 را دارد و می تواند برای حفاظت رمزنگاری (رمزگذاری و تقلید ترافیک IP) اطلاعاتی که حاوی اطلاعات تشکیل دهنده نیستند مورد استفاده قرار گیرد. یک راز دولتی ؛
  • FSTEC روسیه شماره 1864 ، تأیید می کند که PAK با الزامات سند راهنمایی "امکانات رایانه ای مطابقت دارد. دیوارهای آتش حفاظت در برابر دسترسی غیر مجاز به اطلاعات. شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات "- 4 کلاس امنیتی.

اطلاعات بیشتر در مورد Atlix-VPN PAK را می توانید در وب سایت سازنده پیدا کنید.

ZASTAVA (ELVIS-PLUS)

سیستم های سخت افزاری و نرم افزاری ZASTAVA - توسعه شرکت روسی ELVIS -PLUS. PAK حفاظت از سیستم های اطلاعاتی شرکت ها را در سطح شبکه با استفاده از فناوری های شبکه های محافظت شده مجازی (VPN) بر اساس پروتکل های IPsec / IKE ارائه می دهد. ZASTAVA نه تنها یک دروازه VPN با پشتیبانی از الگوریتم های رمزنگاری داخلی است ، بلکه یک فایروال است. ZASTAVA تنها محصول روسی است که نسخه فعلی پروتکل IKE (IKEv2) را پیاده سازی می کند. اکثر فروشندگان روسی از پروتکل IKEv1 استفاده می کنند ، که بیش از 10 سال پیش به طور رسمی توسط IETF منسوخ شناخته شد ، از جمله به دلیل مشکلات امنیتی. در مقایسه با آن ، IKEv2 در برابر حملات انکار سرویس مقاوم تر ، در برابر مشکلات شبکه مقاوم تر و در استفاده انعطاف پذیرتر است. پروتکل IKEv2 در حال حاضر در حال توسعه فعال در IETF است ، از جمله زمینه های پیشرفته در رمزنگاری ، به عنوان مثال ، محافظت از داده ها از رایانه های کوانتومی یا استفاده از اصل اثبات کار برای مقابله با حملات DoS. ELVIS-PLUS در این آثار مشارکت فعال دارد و به سرعت پشتیبانی از ویژگی های جدید پروتکل را به PAK ZASTAVA اضافه می کند.

ZASTAVA از سه جزء جداگانه تشکیل شده است:

  • ZASTAVA-Client عملکرد یک سرویس گیرنده دسترسی از راه دور را از طریق VPN پیاده سازی می کند.
  • ZASTAVA-Office عملکردهای یک دروازه VPN و فایروال را اجرا می کند.
  • ZASTAVA-Management وظایف مرکز مدیریت سیاست های امنیتی را برای مدیریت یکپارچه امنیت شبکه انجام می دهد.

ویژگی های متمایز کننده:

  • استفاده از ماژول های رمزنگاری خارجی که استانداردهای داخلی را اجرا می کنند GOST R 34.10-2001 ، GOST R 34.10-2012 ، GOST R 34.11-2012 ، GOST 28147-89 ، به ویژه CryptoPro CSP CIP ؛
  • پشتیبانی از الگوریتم های رمزنگاری داخلی ، بلکه الگوریتم های خارجی - RSA ، DH ، ECDH ، DES ، 3DES ، AES ، SHA1 ، SHA2 ؛
  • احراز هویت شرکا با استفاده از گواهی X.509 ؛
  • پشتیبانی از مدیریت متمرکز PAK از طریق محصول ZASTAVA-Management ؛
  • پیاده سازی عملکرد یک خوشه شکست خورده که در حالت "فعال / غیرفعال" عمل می کند.
  • بسته به بستر سخت افزاری ، عملکرد رمزگذاری می تواند از 40 مگابیت بر ثانیه تا 4 گیگابیت بر ثانیه متغیر باشد.
  • برای اطمینان از رمزگذاری کانال ارتباطی از ایستگاه های کاری مشتری به PAK ، ما از توسعه خودمان - محصول ZASTAVA -Client - استفاده می کنیم.

ZASTAVA دارای چندین گواهی معتبر برای مطابقت با الزامات FSB روسیه و FSTEC روسیه است ، به ویژه:

  • FSB روسیه №СФ / 114-3067 ، تأیید انطباق با الزامات حفاظت رمزنگاری شده از اطلاعات که حاوی اطلاعاتی نیستند که یک راز دولتی را تشکیل می دهند ، کلاس KC3 ؛ می تواند برای حفاظت رمزنگاری (رمزگذاری بسته های IP مبتنی بر IPsec ESP ، محاسبه عملکرد هش برای بسته های IP بر اساس IPsec AH و / یا IPsec ESP ، احراز هویت رمزنگاری مشترکین هنگام ایجاد ارتباط بر اساس پروتکل IKE v1 یا IKE v2) اطلاعاتی که حاوی اطلاعاتی نیستند که محرمانه دولتی هستند ؛
  • FSTEC روسیه شماره 2573 ، تأیید می کند که PAK با الزامات سند راهنمایی "امکانات رایانه ای مطابقت دارد. دیوارهای آتش حفاظت در برابر دسترسی غیر مجاز به اطلاعات. شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات "برای درجه 2 امنیت.

اطلاعات بیشتر در مورد PAK ZASTAVA را می توانید در وب سایت سازنده پیدا کنید.

"قاره" ("کد امنیتی")

مجموعه رمزگذاری سخت افزار و نرم افزار قاره (APKSH) یک دروازه رمزنگاری است که توسط شرکت روسی Security Code تولید شده است. APKSH مطابق با GOST 28147-89 ، از دیوارهای آتش و حفاظت رمزنگاری از کانالهای ارتباطی باز استفاده می کند.

APPS به شما امکان می دهد از ترافیک شبکه در شبکه های چند سرویس محافظت کنید ، بخش های شبکه را تقسیم کنید ، دسترسی ایمن از راه دور را به شبکه محلی سازماندهی کرده و اتصال متقابل با سایر شبکه های امن (بر اساس این محصول) را پیاده سازی کنید. APPS بر اساس FreeBSD است.

APKSH دارای ویژگی های زیر است:

  • از مدیریت و نظارت متمرکز با استفاده از محصول مرکز مدیریت شبکه قاره پشتیبانی می کند.
  • افزونگی سخت افزاری APCS به منظور پیکربندی مقاوم در برابر خطا ؛
  • در محدوده مدل APCSh ، عملکردی برای محافظت از اطلاعات در سیستم های صنعتی وجود دارد.
  • طیف گسترده ای از مدلها با سرعت رمزگذاری از 10 مگابیت بر ثانیه تا 3.5 گیگابیت بر ثانیه هنگام استفاده از راه حل مستقل (حداکثر تا 10 گیگابیت بر ثانیه هنگام توزیع ترافیک رمزگذاری شده بین مزرعه از APPS) ؛
  • پشتیبانی از تجمع شفاف شبکه ها در لایه پیوند (L2 VPN) ؛
  • فیلتر ترافیک در سطح برنامه شبکه (DPI) ؛
  • دستورات فیلتر برای پروتکل های HTTP ، FTP ؛
  • فیلتر URL بر اساس لیست های ایستا و عبارات معمولی ؛
  • دروازه های با عملکرد متوسط ​​و بالا (از IPC-400 و بالاتر) به صورت 2U اجرا می شوند.
  • محدوده مدل APSH شامل سیستم عامل هایی با حداکثر 34 رابط GbE ، از جمله حداکثر 4 اپتیکال 10 گیگابایت SFP +، تا 32 نوری 1 گیگابایت SFP است.
  • محصول نرم افزاری Continent-AP به عنوان سرویس گیرنده VPN استفاده می شود.

شکل 3. APCS "قاره" IPC -3034

لازم به ذکر است که APKSH مجهز به یک دستگاه ضد دستکاری داخلی است-مجموعه نرم افزاری و سخت افزاری Sobol. همچنین ، در سطح فرم APPS و راهنمای مدیر ، محدودیتی در حداکثر تعداد دروازه های رمزنگاری شده در شبکه ای با یک مرکز کنترل شبکه "قاره" وجود دارد.

APKSH در فهرست نرم افزارهای داخلی (شماره 310) گنجانده شده است و دارای تعدادی گواهینامه معتبر انطباق است ، از جمله:

  • FSB روسیه شماره СФ / 124-2617 ، تأیید رعایت الزامات مربوط به ابزارهای رمزنگاری (رمزنگاری) کلاس KC3 و می تواند برای حفاظت رمزنگاری (ایجاد و مدیریت اطلاعات کلیدی ، رمزگذاری و حفاظت تقلید از داده های منتقل شده در بسته های IP) مورد استفاده قرار گیرد. از طریق شبکه های انتقال داده عمومی) اطلاعاتی که حاوی اطلاعاتی نیستند که یک راز دولتی را تشکیل می دهند.
  • FSTEC روسیه شماره 3008 ، تأیید رعایت الزامات مربوط به فایروال های نوع "A" (IT.ME.A3.PZ) و ابزارهای تشخیص نفوذ در سطح شبکه (IT.COV.S3.PZ) برای کلاس 3 (سند برای مشاهده در وب سایت سازنده در دسترس نیست ، در صورت درخواست).

اطلاعات بیشتر در مورد APKSH "قاره" را می توانید در وب سایت سازنده پیدا کنید.

FPSU-IP (AMIKON ، "InfoCrypt")

مجموعه سخت افزاری و نرم افزاری "فیلتر بسته لایه شبکه - پروتکل اینترنت" (FPSU -IP) تولید شده توسط شرکت روسی AMIKON با مشارکت InfoCrypt. PAK یک فایروال و شبکه خصوصی مجازی (VPN) است.

FPSU-IP از استانداردهای داخلی GOST 28147-89 ، GOST R 34.10-2012 ، GOST R 34.11-2012 پشتیبانی می کند ، با استفاده از CIPF "Tunnel 2.0" ساخته شده توسط "InfoCrypt" (از نظر رمزنگاری) اجرا می شود. PAK بر اساس لینوکس عمل می کند.

FPSU-IP دارای ویژگی های زیر است:

  • از توانایی کار در حالت پشتیبان "داغ" (ارائه شده توسط سازنده به عنوان یک گزینه) پشتیبانی می کند.
  • بر اساس سیستم عامل های سخت افزاری مختلف در اندازه های استاندارد 1U و 2U اجرا می شود.
  • از پروتکل VPN خود استفاده می کند.
  • نرم افزار FPSU-IP / Client به عنوان یک جزء مشتری از راه دور استفاده می شود (فعال سازی قابلیت تعامل با نرم افزارهای مشتری در PAK توسط سازنده به عنوان یک گزینه ارائه می شود) ؛
  • این مجموعه سرعت رمزگذاری داده ها را از 10 مگابیت بر ثانیه تا 12 گیگابیت بر ثانیه (با اندازه بسته IP 1450 بایت و 56 جریان محاسباتی) ارائه می دهد.

شکل 4. دروازه FPSU-IP

FPSU-IP یک راه حل مبتنی بر سیستم عامل ها و نرم افزارهای مختلف سخت افزاری با سیستم محافظت از اطلاعات رمزنگاری شده داخلی است.

CIPF داخلی دارای یک گواهی معتبر از FSB روسیه No.SF / 124-3060 است و الزامات مربوط به ابزارهای حفاظت از اطلاعات رمزنگاری را که برای حفاظت از اطلاعاتی طراحی شده است که حاوی اطلاعاتی است که دارای اسرار دولتی هستند ، برآورده می کند ، کلاس های KC1 ، KC2 ، KC3 به

اطلاعات بیشتر در مورد FPSU-IP را می توانید در وب سایت سازنده پیدا کنید.

ALTELL NEO ("AltEl")

مجموعه سخت افزاری و نرم افزاری ATLELL NEO تولید شده توسط AltEl.

عملکرد اصلی فایروال همراه با توانایی ایجاد کانال های ارتباطی امن است. ALTELL NEO همچنین به عنوان یک راه حل UTM (مدیریت تهدید یکپارچه) قرار دارد که نه تنها قابلیت های یک فایروال ، دروازه VPN ، بلکه تشخیص و جلوگیری از نفوذ ، فیلتر محتوا و محافظت در برابر بدافزارها را نیز ترکیب می کند.

این محصول یک پلت فرم سخت افزاری است که با نرم افزار دارای گواهی تعبیه شده ترکیب شده است. IPsec ، OpenVPN به عنوان پروتکل های رمزگذاری با استفاده از GOST 28147-89 پشتیبانی می شوند.

سیستم عامل های ارائه شده توسط سازنده ، به استثنای نرم افزارهای جوانتر (100 و 110) ، می توانند با استفاده از یکی از سه نسخه نرم افزار کار کنند: FW (فایروال) ، VPN (دروازه رمزنگاری) ، UTM. هر نسخه بعدی نرم افزار شامل عملکرد نسخه های قبلی است.

ALTELL NEO دارای ویژگی های زیر است:

  • طیف گسترده ای از سیستم عامل های سخت افزاری با تنظیمات مختلف ؛
  • پلتفرم سخت افزاری کلاس Enterprise (مدل 340 ، 2U شکل فاکتور) تراکم رابط های شبکه را افزایش داده است (تا 65 پورت RJ45 GbE / تا 64 پورت SFP GbE / تا 16 پورت SFP + 10 GbE) ؛
  • عملکرد رمزگذاری (بسته به بستر سخت افزاری) هنگام استفاده از الگوریتم IPsec از 18 مگابیت بر ثانیه تا 2.4 گیگابیت بر ثانیه است ، OpenVPN - از 14 مگابیت بر ثانیه تا 1.4 گیگابیت بر ثانیه.

شکل 5. Gateway ALTELL NEO 340

نرم افزار مورد استفاده در محلول در فهرست نرم افزارهای داخلی (شماره 3768) گنجانده شده است و دارای گواهینامه های زیر است:

  • FSB روسیه №SF / SZI-0074 ، تأیید برآورده شدن الزامات فایروال های کلاس 4 امنیتی و این واقعیت که نرم افزار می تواند برای محافظت از اطلاعات در برابر دسترسی غیر مجاز در اطلاعات و سیستم های مخابراتی مقامات دولتی فدراسیون روسیه؛
  • FSTEC روسیه شماره 2726 ، تأیید می کند که نرم افزار با الزامات سند راهنمایی "امکانات رایانه مطابقت دارد. دیوارهای آتش حفاظت در برابر دسترسی غیر مجاز به اطلاعات. شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات "- برای درجه 2 امنیت.

لازم به ذکر است که در زمان انتشار بررسی در منابع باز ، امکان یافتن گواهی معتبر FSB روسیه برای رعایت الزامات ابزارهای رمزنگاری (رمزنگاری) کلاس های KC1 / KC2 / KC3 وجود نداشت.

اطلاعات بیشتر در مورد ALTELL NEO را می توانید در وب سایت سازنده پیدا کنید.

S-Terra Gateway 4.1 ("S-Terra CSP")

محصول C-Terra Gateway تولید شده توسط شرکت روسی S-Terra CSP یک بسته نرم افزاری (از این پس به عنوان رایانه شخصی نامیده می شود) بر اساس پلتفرم های مختلف سخت افزاری است.

SS-Terra Gateway 4.1 رمزگذاری مطابق با GOST 28147-89 و تقلید از ترافیک منتقل شده از طریق کانال های ارتباطی باز با استفاده از پروتکل IPsec را ارائه می دهد. علاوه بر VPN ، محصول دارای قابلیت دیوار آتش است. Debian به عنوان سیستم عامل استفاده می شود.

عملکردهای رمزنگاری در رایانه توسط یک کتابخانه رمزنگاری اختصاصی - C -Terra ST ، که با CryptoPro CSP CIPF سازگار است ، اجرا می شود.

C-Terra Gateway 4.1 دارای ویژگی های اصلی زیر است:

  • از کنترل از راه دور متمرکز از طریق سیستم S-Terra KP پشتیبانی می کند.
  • بسته به مدل دروازه و پلت فرم سخت افزاری ، عملکرد راه حل رمزگذاری از 60 مگابیت بر ثانیه تا 2.5 گیگابیت بر ثانیه ؛
  • اجرای به عنوان ماشین مجازی امکان پذیر است (C-Terra Virtual Gateway) ؛
  • امکان نصب رایانه S-Terra Gateway بر روی AP مشتری وجود دارد.
  • سازنده با قرار دادن 4 جفت 7000 دروازه High End با ماژول نرم افزاری C-Terra L2 و دو جفت سوئیچ در دو مرکز داده (با در نظر گرفتن ترافیک ، راه حلی را برای حفاظت از یک کانال ارتباطی 10 گیگابیت بر ثانیه در سطح L2 ارائه می دهد. در کانال ارتباطی محافظت شده عمدتا TCP ، بدون تلفن IP).

شکل 6. С-Terra Gateway 1000

  • S-Terra Gateway 4.1 توسط FSB روسیه به عنوان یک سیستم حفاظت رمزنگاری برای کلاس های KS1 ، KS2 ، KS3 و به عنوان ME کلاس 4 و همچنین FSTEC روسیه به عنوان فایروال کلاس 3 (ME 3) تأیید شده است. از جمله گواهینامه ها:

FSB روسیه №СФ / 124-2517 ، تأیید برآورده کردن الزامات رمزگذاری (رمزنگاری) کلاس KC3 ؛

FSB روسیه №СФ / 525-2663 ، تأیید برآورده کردن الزامات فایروال های کلاس 4 امنیتی ؛

FSTEC روسیه شماره 3370 تأیید می کند که S-Terra Gateway با الزامات سند راهنمایی "امکانات رایانه ای مطابقت دارد. دیوارهای آتش حفاظت در برابر دسترسی غیر مجاز به اطلاعات. شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات "- برای کلاس ایمنی 3.

اطلاعات بیشتر در مورد S-Terra Gateway را می توانید در وب سایت سازنده پیدا کنید.

Diamond VPN (TCC)

مجموعه سخت افزاری و نرم افزاری TCC Diamond VPN / FW یک راه حل UTM با عملکرد بالا است که عملکردهای فایروال ، دروازه VPN و سیستم تشخیص نفوذ (IDS) را ترکیب می کند.

PAK رمزگذاری GOST 28147-89 را با استفاده از پروتکل DTLS ارائه می دهد.

ویژگی های اصلی عبارتند از:

  • پشتیبانی از ایجاد پیکربندی مقاوم در برابر خطا در حالت "فعال / غیرفعال" ؛
  • در دسترس بودن عملکرد (مدل 7141) ، ارائه عملکرد بالا (رمزگذاری با سرعت تا 16 گیگابیت بر ثانیه ، دیوار آتش - تا 40 گیگابیت بر ثانیه) ؛
  • تراکم پورت بالا در حداکثر پیکربندی سخت افزاری (حداکثر 32 پورت RJ45 GbE / تا 32 پورت SFP 32 گیگابایت / حداکثر 16 پورت 10G SFP +) ؛
  • وجود یک دروازه رمزنگاری درجه صنعتی (مدل الماس VPN / FW صنعتی) برای محافظت از اطلاعات در APCS.

شکل 7. PAK Diamond VPN / FW

PAK در ثبت نرم افزارهای داخلی (شماره 1425) گنجانده شده است و دارای گواهی معتبر FSTEC روسیه شماره 2260 است که تأیید کننده الزامات سند راهنمایی "امکانات رایانه است. دیوارهای آتش حفاظت در برابر دسترسی غیر مجاز به اطلاعات. شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات "- برای درجه 2 امنیت.

لازم به ذکر است که گواهی معتبر FSB روسیه شماره 124-2702 برای رعایت الزامات روشهای رمزنگاری (رمزنگاری) کلاسهای KC1 و KC2 (بسته به نسخه) در اختیار CIPF Dcrypt 1.0 است که عملکردهای رمزگذاری و امضای الکترونیکی را به عنوان بخشی از PAC اجرا می کند.

اطلاعات بیشتر در مورد Diamond VPN / FW را می توانید در وب سایت سازنده پیدا کنید.

Dionis-NX ("Factor-TS")

مجموعه سخت افزاری و نرم افزاری Dionis-NX توسعه شرکت روسی Factor-TS است. PAK یک دستگاه UTM است که می تواند به عنوان فایروال ، روتر رمزنگاری ، سیستم تشخیص و جلوگیری از نفوذ مورد استفاده قرار گیرد.

PAK به شما امکان می دهد تونل های VPN را مطابق با GOST 28147-89 با استفاده از پروتکل های GRE ، PPTP ، OpenVPN بسازید.

دارای ویژگی های متمایز زیر است:

  • سازنده پنج گزینه برای سیستم عامل های سخت افزاری ارائه می دهد که سرعت رمزگذاری را از 100 مگابیت بر ثانیه تا 10 گیگابیت بر ثانیه ارائه می دهد.
  • پشتیبانی از اجرای خوشه در پیکربندی مقاوم در برابر خطا (حالت "فعال / غیرفعال") ؛
  • پشتیبانی از تعامل با نرم افزار "Dissek" ، که عملکرد مشتری VPN را پیاده سازی می کند.

Dionis-NX در فهرست نرم افزارهای داخلی (شماره 2772) گنجانده شده است و دارای گواهی معتبر FSTEC روسیه شماره 2852 است که تأیید کننده الزامات سند راهنمایی "امکانات رایانه است. دیوارهای آتش حفاظت در برابر دسترسی غیر مجاز به اطلاعات. شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات "- برای درجه 2 امنیت.

لازم به ذکر است که گواهینامه معتبر FSB روسیه شماره 124-2625 برای رعایت الزامات رمزگذاری (رمزنگاری) کلاسهای KC1 و KC3 (بسته به نسخه) در اختیار CIPF DioNIS-NX است ، که عملکردهای رمزگذاری را به عنوان بخشی از PAC پیاده سازی می کند.

اطلاعات بیشتر در مورد "Dionis-NX" را می توانید در وب سایت سازنده پیدا کنید.

هماهنگ کننده ViPNet HW (Infotecs)

سیستم سخت افزاری و نرم افزاری ViPNet Coordinator HW توسط شرکت روسی Infotecs توسعه یافته است و یک دروازه رمزنگاری و فایروال معتبر است.

ViPNet Coordinator HW محافظت می کند - رمزگذاری داده های منتقل شده از طریق کانال های ارتباطی مختلف با ایجاد VPN (هم در شبکه و هم در سطح کانال مدل OSI - L3 ، L2 VPN) مطابق با GOST 28147-89. PAK به شما امکان می دهد دسترسی ایمن را هم به مرکز داده و هم به زیرساخت های سازمانی سازماندهی کنید. PAC ها با عملکرد متوسط ​​و بالا به صورت 1U ارائه می شوند. روی سیستم عامل لینوکس سازگار کار می کند.

ViPNet Coordinator HW دارای ویژگی های زیر است:

  • برای ایجاد VPN ، از پروتکل اختصاصی ViPNet VPN استفاده می شود که بدون در نظر گرفتن نوع کانال ارتباطی ، رومینگ خودکار بین کانال های ارتباطی ، تعامل امن بدون مانع را فراهم می کند.
  • پشتیبانی از کار در شبکه های چند سرویس مدرن (با استفاده از پروتکل های Cisco SCCP ، H.323) ؛
  • بسته به مدل ، عملکرد رمزگذاری از 50 مگابیت بر ثانیه تا 5.5 گیگابیت بر ثانیه (برای راه حل های مستقل) ؛
  • پشتیبانی از پیکربندی مقاوم در برابر خطا (حالت "فعال / غیرفعال") برای مدلهای سطح متوسط ​​و بالا (از مدل HW1000) ؛
  • پشتیبانی از مدیریت متمرکز و به روز رسانی از راه دور با استفاده از نرم افزار ViPNet Administrator ؛
  • پشتیبانی از تعامل با اجزای مشتری (نرم افزار ViPNet Client) در سیستم عامل های مختلف (Windows ، Linux ، macOS ، iOS ، Android).

شکل 8. PAK ViPNet Coordinator HW1000

سازنده PAK در راه حل های خود از پلتفرم های سخت افزاری با پیکربندی ثابت استفاده می کند ، که باعث می شود بدون استفاده از دستگاه های اضافی ، مانند ماژول های سخت افزاری و نرم افزاری برای بارگذاری مطمئن (APMDZ) ، از کلاس بالایی از حفاظت از رمزنگاری (KC3) برخوردار شوید.

ViPNet Coordinator HW در فهرست نرم افزارهای داخلی (شماره 2798) گنجانده شده است و دارای گواهینامه های مختلف معتبر انطباق است ، از جمله:

  • FSB روسیه شماره СФ / 124-2981 ، تأیید برآورده کردن الزامات رمزگذاری (رمزنگاری) کلاس KC3 ؛
  • FSB روسیه №СФ / 525-3007 ، تأیید برآورده شدن الزامات فایروال های کلاس 4 امنیتی ؛
  • FSTEC روسیه شماره 3692 ، تأیید می کند که PAK یک فایروال نوع "A" است و الزامات اسناد "الزامات مربوط به دیوارهای آتش" (FSTEC روسیه ، 2016) و "مشخصات امنیتی فایروال نوع A حفاظت چهارم را برآورده می کند. کلاس IT.ME.A4.PZ ".

اطلاعات بیشتر در مورد ViPNet Coordinator HW را می توانید در وب سایت سازنده پیدا کنید.

دروازه های رمزنگاری خارجی

در این بخش ، ما نگاهی دقیق تر به اصلی ترین تولیدکنندگان خارجی محصولات امنیت اطلاعات می اندازیم. در اینجا انواع مختلفی از راه حل ها در طراحی نرم افزار و سخت افزار وجود دارد.

تولیدکنندگان ذکر شده در زیر ، راه حل های مدرن UTM ، "ترکیبی" از دسته "همه در یک" را ارائه می دهند. این شامل قابلیت های NGFW (فایروال نسل بعدی) ، IDS / IPS (سیستم های تشخیص و پیشگیری از نفوذ) ، پخش آنتی ویروس و البته یک دروازه VPN است. مورد دوم در زمینه این بررسی مورد توجه ما است.

لازم به ذکر است که فروشندگان خارجی برای VPN خود از الگوریتم های رمزگذاری خارجی منحصراً استفاده می کنند - DES ، 3DES ، AES. بر این اساس ، مشتری هدف چنین راه حل هایی (از نظر VPN) در روسیه یک سازمان یا سازمان دولتی نیست که مطابق با قوانین نظارتی که در ابتدای بررسی ذکر شده است عمل کند.

از آنجا که بازار وسایل حفاظت از رمزنگاری در قلمرو فدراسیون روسیه تنظیم شده است ، تولیدکنندگان خارجی باید محصولات خود را مطابق با همه هنجارها و الزامات قابل اعمال وارد کنند. در این حالت ، دو گزینه امکان پذیر است:

  • وارد کردن تحت یک طرح ساده (طبق اطلاع رسانی ، ثبت نام در وب سایت اتحادیه اقتصادی اوراسیا موجود است) ؛
  • واردات تحت مجوز FSB روسیه یا وزارت صنعت و تجارت روسیه.

به دلیل استفاده از الگوریتم های رمزنگاری خارجی در سیستم صدور گواهینامه FSB روسیه ، راه حل های در نظر گرفته شده در این بخش ارائه نشده است.

راه حل های VPN Cisco (Cisco ASA 5500-X ، Cisco Firepower ، Cisco ASAv ، Cisco IOS VPN)

شرکت بین المللی Cisco Systems مجموعه ای وسیع از راه حل ها برای ایجاد VPN دارد که نه تنها در ویژگیهای اجرای این فرصت بلکه در عملکردهای اساسی نیز متفاوت است. به عنوان مثال ، Cisco ASA 5500-X یا Cisco Firepower دروازه های امنیتی چند منظوره هستند که شامل VPN هایی هستند که می توانند به طور م effectivelyثر برای VPN های دسترسی از راه دور استفاده شوند. اما روتر Cisco ISR / ASR / GSR / CSR ، که عمدتا برای اتصال به اینترنت طراحی شده است ، دارای قابلیت های VPN سایت به سایت است.

Cisco Adaptive Security Appliance (ASA) و Cisco Firepower از جمله مهمترین محصولات امنیتی سیسکو هستند. این راه حل ها ، همراه با دروازه امنیتی مجازی ASAv و روتر VPN IOS ، ارتباطات VPN را با استفاده از IPSec ، IPSec RA ، SSL ، SSL بدون سرویس گیرنده ، DTLS با سرعت 100 مگابیت بر ثانیه تا 51 گیگابیت بر ثانیه و با پشتیبانی تا 60،000 کاربر از راه دور فعال می کند.

ویژگیهای متمایز هستند

  • رزرو. دو گزینه وجود دارد: راه حل شکست و خوشه بندی ، از جمله توزیع جغرافیایی. در حالت اول ، دو دستگاه در یک دستگاه منطقی ترکیب می شوند. دو حالت کار در دسترس است: فعال / آماده به کار و فعال / فعال. در حالت دوم ، امکان ترکیب حداکثر 16 دستگاه ASA (برای مدل 5585-X) در یک دستگاه منطقی وجود دارد. این قابلیت می تواند عملکرد محلول را به میزان قابل توجهی بهبود بخشد.
  • پشتیبانی از فناوری های DMVPN ، GET VPN ، Easy VPN.
  • بهینه سازی حفاظت از ترافیک چند رسانه ای
  • پشتیبانی از هر برنامه عملکرد VPN (رمزگذاری ترافیک متمایز برای برنامه های مختلف).
  • پشتیبانی برای ارزیابی انطباق امنیتی یک سایت از راه دور (دستگاه تلفن همراه) قبل از ایجاد یک تونل VPN.
  • دارای مکانیزم های امنیتی اضافی مانند مجوز گواهینامه داخلی (CA).
  • API برای ادغام با سیستم های فیلتر خارجی و مدیریت خدمات - وب پروکسی ، AAA و ارزیابی انطباق.
  • ادغام با قابلیت های امنیتی پلت فرم امنیتی چند منظوره Cisco ASA 5500-X ، روتر Cisco Firepower یا Cisco ، ITU و NGFW ، NGIPS ، زیر سیستم ضد بدافزار ، زیر سیستم فیلتر URL.

شکل 9. Cisco Firepower 9300

Cisco ASA 5500-X ، Cisco Firepower یا Cisco ISR به صورت محلی از طریق Cisco Adaptive Security Device Manager (ASDM) ، Cisco Firepower Device Manager یا Cisco Security Device Manager یا به طور مرکزی از طریق Cisco Security Manager ، مرکز مدیریت Cisco Firepower یا مدیریت می شود. ارکستراتور دفاع سیسکو ...

برای اتصال ایستگاه های کاری سرویس گیرنده از راه دور ، می توانید از Cisco AnyConnect Secure Mobility Client که در فن آوری بدون سرویس گیرنده روسی یا Cisco SSL و همچنین سرویس گیرندگان VPN ساخته شده در Apple iOS و Android استفاده می شود ، استفاده کنید.

راه حل های Cisco ASA 5500-X ، Cisco Firepower و Cisco ISR دارای ده ها گواهینامه معتبر انطباق FSTEC ، از جمله شماره 3738 است که تأیید می کند که PAK با الزامات فایروال در کلاس های A6 ، B6 مطابقت دارد و همچنین دارای گواهینامه عدم وجود قابلیت های بدون سند به همراه شرکت C-Terra CSP ، سیسکو یک ماژول رمزگذاری بر اساس الگوریتم های رمزگذاری روسی (GOST 28147-89 و غیره) ایجاد کرده و آن را توسط FSB به عنوان یک ابزار حفاظت رمزنگاری برای کلاس های KC1 / KC2 تأیید کرده است. این ماژول برای ISR سیسکو در نظر گرفته شده است ، که می تواند به عنوان بستری برای اجرای سایر راه حل های VPN بر روی آن استفاده شود. به طور خاص ، ادغام و آزمایش راه حل های مشترک Cisco ISR با راه حل های VipNet و TSS VPN انجام شد.

اطلاعات بیشتر در مورد Cisco ASA 5500-X ، Cisco Firepower ، Cisco ISR را می توانید در وب سایت سازنده پیدا کنید.

F5 Networks VPN راه حل ها

F5 Networks راه حل های کامل و دستگاه های VPN مستقل را ارائه می دهد. از سال 2016 ، این شرکت بر روی راه حل های مختلف تمرکز کرده است و دروازه های جدا شده VPN به تدریج حذف می شوند.

محصول F5 Access Policy Manager (APM) یک ماژول نرم افزاری اختصاصی است که شامل قابلیت VPN و بسیاری از ویژگی های مختلف ، از جمله BIG-IP ، یک پروکسی کامل بین کاربران و سرورهای برنامه است که امنیت ، بهینه سازی ترافیک برنامه و ایجاد تعادل را فراهم می کند. بارها

سرویس گیرنده BIG-IP VPN از TLS و Datagram TLS (Datagram TLS) برای فعال کردن برنامه های حساس به تأخیر استفاده می کند. این سرویس گیرنده در همه سیستم عامل های رایانه و تلفن همراه رایج موجود است.

راه حل های BIG-IP بر اساس سیستم عامل اختصاصی (OS) F5 TMOS عمل می کنند. از جمله مزایای آن می توان به موارد زیر اشاره کرد:

  • یک API باز که به شما این امکان را می دهد تا جریان ترافیک را به صورت انعطاف پذیر مدیریت کرده و با استفاده از API Control عملکرد را افزایش دهید.
  • کنترل ترافیک با استفاده از دستگاه های F5 با استفاده از iRules زبان برنامه نویسی خاص انجام می شود.
  • الگوهای IApps که به شما امکان می دهد خدمات شبکه را برای برنامه های خاص مستقر و مدیریت کنید.

پیشنهادات F5 تا به امروز با BIG-IP 1600 شروع می شود و با BIG-IP 11050 ، که بزرگترین دستگاه VPN مستقل آنها است ، پایان می یابد.

بزرگترین راه حل سرور تیغ Viprion 4800 است. این تا 30،000 تراکنش SSL را پشتیبانی می کند.

شکل 10. F5 ویپریون 4800

محصولات F5 Networks در ثبت دولتی ابزارهای تأیید شده اطلاعات امنیتی شماره ROSS RU.0001.01BI00 (FSTEC روسیه) ارائه نشده است.

اطلاعات بیشتر در مورد محصولات F5 Networks را می توانید در وب سایت سازنده پیدا کنید.

NetScaler (سیستم های Citrix)

NetScaler یک خط از محصولات امنیتی شبکه از Citrix Systems است. راه حل های Citrix VPN در محصول NetScaler Gateway تعبیه شده است. دروازه NetScaler ، مانند تمام تجهیزات Citrix ، به طور استاندارد در بسیاری از خطوط تولید شرکت ادغام شده است.

NetScaler Gateway عملکرد SSL VPN را ارائه می دهد ، از جمله دسترسی ایمن به Citrix XenDesktop ، XenApp ، XenMobile ، MS RDP ، VMware horizon ، و همچنین برنامه های کاربردی وب و منابع درون شبکه شرکتی. همچنین ، این محصول قابلیت های دسترسی امن شبکه به هر سرور ، همراه با تجزیه و تحلیل و تعریف دستگاه را فراهم می کند.

بسته به نیازهای ترافیکی ، Citrix Gateway از TLS و DTLS پشتیبانی می کند.

کمترین پلتفرم MPX در محصول (5550) تا 1500 تراکنش SSL را پشتیبانی می کند. پربارترین (22،120) - تا 560،000 تراکنش SSL.

شکل 11. Citrix NetScaler MPX-8005

دروازه های Citrix NetScaler در ثبت دولتی ابزارهای تأیید شده اطلاعات امنیتی شماره ROSS RU.0001.01BI00 (FSTEC روسیه) نشان داده نمی شوند.

برای کسب اطلاعات بیشتر در مورد محصولات Citrix ، به وب سایت سازنده مراجعه کنید.

Pulse Secure (شبکه های Juniper)

Pulse Secure مجموعه ای از محصولات شرکت آمریکایی Juniper Networks است. قابلیت های کلیدی - SSL VPN.

سازنده چهار مجموعه نرم افزاری و سخت افزاری با عملکرد و ضریب شکل متفاوت ارائه می دهد.

حداقل مدل پیکربندی (PSA300) سرعت 200 مگابیت بر ثانیه را برای 200 اتصال SSL فراهم می کند. بالاترین راه حل عملکرد (PSA7000) - 10 گیگابیت بر ثانیه برای 25000 اتصال SSL.

یک ویژگی متمایز در خط Pulse Secure وجود دو منبع تغذیه برای مدل PSA7000 است.

شکل 12. Pulse Secure Appliance 7000

دروازه های Pulse Secure در ثبت دولتی ابزارهای تأیید شده اطلاعات امنیتی شماره ROSS RU.0001.01BI00 (FSTEC روسیه) ارائه نشده است.

اطلاعات بیشتر در مورد محصولات Pulse Secure را می توانید در وب سایت سازنده پیدا کنید.

SonicWALL

SonicWALL سازنده راه حل های امنیتی شبکه آمریکایی است. در سال 2012 ، این شرکت توسط گروه نرم افزاری Dell خریداری شد. در سال 2016 ، Dell SonicWALL را فروخت.

این شرکت راه حل هایی با ظرفیت های مختلف ارائه می دهد. در بیشتر موارد ، اینها راه حل های UTM هستند که عملکرد NGFW ، IPS ، VPN ، آنتی ویروس جریان را پیاده سازی می کنند.

از نظر VPN ، سازنده از IPSec ، SSL پشتیبانی می کند. قوی ترین راه حل ، که در شکل زیر نشان داده شده است ، توان VPN را تا 14 گیگابیت بر ثانیه فراهم می کند. حداکثر تعداد اتصالات VPN در این مورد 25000 است.

دروازه های SonicWALL سیستم عامل خود را اجرا می کنند - Sonic OS.

شکل 13. سری SonicWALL SuperMassive 9000

دروازه های SonicWALL در ثبت دولتی ابزارهای تأیید شده اطلاعات امنیتی شماره ROSS RU.0001.01BI00 (FSTEC روسیه) ارائه نشده است.

اطلاعات بیشتر در مورد محصولات SonicWALL را می توانید در وب سایت سازنده پیدا کنید.

نتیجه گیری

یک دروازه رمزنگاری نه تنها یک راه حل تخصصی VPN است ، بلکه یک محصول چند منظوره است که طیف وسیعی از مشکلات امنیت اطلاعات تقریباً هر شرکت یا موسسه دولتی را حل می کند. پیاده سازی دروازه های رمزنگاری می تواند چالش برانگیز باشد و به سازمانی نیاز دارد که دارای کارکنان واجد شرایط باشد.

بر اساس پورتال آماری Statista.com ، در سال 2014 حجم بازار جهانی VPN 45 میلیارد دلار آمریکا بوده است. در عین حال ، پیش بینی می شود که تا سال 2019 به 70 میلیارد دلار برسد. این به ما اجازه می دهد بگوییم که دستگاه های ساخت VPN از سال به سال تقاضای بیشتری خواهد داشت.

علیرغم این واقعیت که در قلمرو فدراسیون روسیه ، فرایندهای استفاده از ابزارهای حفاظت رمزنگاری شده توسط "مقررات توسعه ، تولید ، اجرا و بهره برداری از ابزارهای حفاظت از اطلاعات رمزگذاری (رمزنگاری) (مقررات PKZ-2005)" تنظیم می شود. ، توسعه دهندگان خارجی هنوز فرصت دارند محصولات خود را به مشتریان روسی ارائه دهند ... مطابق با PKZ-2005 ، فقط شرکت کنندگان در تبادل اطلاعات (با تعدادی رزرو) ، اگر نهادهای دولتی نباشند ، نیاز به حفاظت رمزنگاری آن را تعیین می کنند و ابزارهای کاربردی حفاظت رمزنگاری را انتخاب می کنند.

لازم الاجرا شدن قانون فدرال شماره 187-FZ "در مورد امنیت زیرساختهای اطلاعات مهم فدراسیون روسیه" (CII) در 1 ژانویه 2018 ، شرکتها و تأسیسات CII و مجتمع سوخت و انرژی را ملزم به به مقامات در مورد حوادث رایانه ای اطلاع دهید و از تلاش های غیرقانونی برای دسترسی به اطلاعات جلوگیری کنید. چنین ابتکار قانونگذاری فرصتی اضافی برای رشد بخش امنیت رمزنگاری در آینده در چند سال آینده ایجاد می کند.

دروازه های رمزنگاری داخلی داخلی روز به روز کارایی بیشتری پیدا می کنند (فایروال نسل بعدی ، IDS ، IPS ، آنتی ویروس جریان) ، که فقط دیروز فقط توسط تولیدکنندگان خارجی ارائه شد. با افزایش رقابت ، افزایش تعداد بازیگران در بازار به مشتری امکان می دهد در موقعیت مطلوب ترین موقعیت قرار گرفته و آنچه را که واقعاً مناسب نیازها و قابلیت های او است انتخاب کند.

آیا پاسخی برای س yourال شما پیدا نکردید؟ به اینجا نگاه کن
بررسی اتصالات ایمن در موزیلا فایرفاکسبررسی اتصالات ایمن در موزیلا فایرفاکس
چگونه می توان یک گواهی را از rootken به رایانه ، از cryptopro به درایو فلش USB کپی کرد - Konturچگونه می توان یک گواهی را از rootken به رایانه ، از cryptopro به درایو فلش USB کپی کرد - Kontur
خطای احراز هویت رخ داده استخطای احراز هویت رخ داده است