Bir kriptografik ağ geçidinin işlevlerini uygulayan donanım ve yazılım kompleksi. Rus ve yabancı üreticilerin kriptografik ağ geçitlerine genel bakış

Vikipedi, özgür ansiklopedi

Kripto ağ geçidi (kripto ağ geçidi, vpn ağ geçidi, kripto yönlendirici)- Rusya FSB'sinin kriptografik bilgi koruması (CIP) gereksinimlerini karşılayan bir bağlantı kurarken IPsec AH ve / veya IPsec ESP protokollerini kullanan paket şifrelemeye dayalı veri, ses, video trafiğinin kriptografik koruması için donanım ve yazılım kompleksi ve modern bir VPN cihazının temel işlevlerini sağlar ...

Randevu

Kripto ağ geçidi, bir kuruluşun bilgi güvenliğini sağlamak, bilgi ağlarını veri iletim ağlarından (İnternet) izinsiz girişlere karşı korumak, açık iletişim kanalları (VPN) üzerinden bilgi aktarırken gizliliği sağlamak ve aynı zamanda güvenli kullanıcı erişimini organize etmek için tasarlanmıştır. kamu ağlarının kaynakları.

Kripto ağ geçidi, modern bir VPN cihazının temel işlevlerini sağlar:

IP paket akışının gizliliği ve bütünlüğü;
trafiği güvenli bir tünelde kapsülleyerek ağ topolojisinin maskelenmesi;
NAT için şeffaflık;
ağ düğümlerinin ve kullanıcıların kimlik doğrulaması;
mobil ve "dahili" kullanıcılar için güvenlik politikasının birleştirilmesi ("VPN içindeki" uzak kullanıcılar için kurumsal IP adreslerinin dinamik yapılandırması).

Kripto ağ geçitleri, hem VPN cihazları segmentinde hem de birkaç güvenlik aracını bir arada birleştiren birleşik cihazlar (UTM) segmentinde temsil edilir.

Kripto ağ geçitleri ve geleneksel VPN yönlendiricileri arasındaki fark, IPSec protokolü temelinde çalışması ve Rus şifreleme standartlarının (GOST 28147-89 ve GOST R 34.10-2001) gereksinimlerini karşılayan algoritmalar kullanarak iletişim kanalları üzerinden iletilen bilgilerin korunmasını sağlamasıdır. ).

Bilgi sistemi kaynaklarına erişim

Kripto ağ geçitleri, uzak abonelerin kurumsal bilgi sisteminin kaynaklarına güvenli erişim sağlamasına izin verir. Erişim, bir kripto ağ geçidi ile uzak ve mobil kullanıcılar arasında güvenli etkileşim için kullanıcının bilgisayarına (VPN istemcisi) yüklenen özel yazılım kullanılarak yapılır.

Kripto ağ geçidi yazılımı (erişim sunucusu), kullanıcıyı tanımlar ve kimliğini doğrular ve korunan ağın kaynakları ile iletişim kurar. Kripto ağ geçitlerinin yardımıyla, bilgilerin gizliliğini ve güvenilirliğini garanti eden ve bir kombinasyon olan sanal özel ağları (Sanal Özel Ağ - VPN) organize eden genel ağlarda (örneğin İnternet) sanal güvenli kanallar oluşturulur. yerel ağlar veya genel bir ağa bağlı bireysel bilgisayarlar. tek bir güvenli sanal ağda kullanın. Böyle bir ağı yönetmek için, genellikle VPN istemcilerinin ve kripto ağ geçitlerinin yerel güvenlik politikalarının merkezi yönetimini sağlayan, onlara önemli bilgiler ve yeni yapılandırma verileri gönderen ve sistem günlüklerini koruyan özel bir yazılım (kontrol merkezi) kullanılır.

"Kripto Ağ Geçidi" makalesi hakkında bir inceleme yazın

Notlar (düzenle)

Edebiyat

Zhdanov, O.N., Zolotarev, V.V.... - Krasnoyarsk: SibGAU, 2007 .-- 217 s.

Bağlantılar

... mantık-yumuşak. Erişim tarihi: 28 Şubat 2012.
... Güvenlik Kodu şirketi. Erişim tarihi: 28 Şubat 2012.
Konstantin Kuzovkin.... i-teco. Erişim tarihi: 28 Şubat 2012.

Cryptogate'i karakterize eden bir alıntı

- Qui'nin "mazeret - s" suçlaması, [Kim özür diliyor, o kendini suçluyor.] - Gülümseyerek ve tüylerini sallayarak, dedi Julie ve son sözü onun söylemesi için hemen konuşmayı değiştirdi. - Ne oldu, bugün öğrendim: zavallı Marie Volkonskaya dün Moskova'ya geldi. Babasını kaybettiğini duydun mu?
- Yok canım! O nerede? Onu görmeyi çok isterim, - dedi Pierre.
- Dün akşamı onunla geçirdim. Bu sabah veya yarın yeğeni ile Moskova Bölgesi'ne gidiyor.
- O nasıl? - dedi Pierre.
- Hiçbir şey, üzücü. Ama onu kimin kurtardığını biliyor musun? Tam bir roman. Nicolas Rostov. Etrafını sardılar, onu öldürmek istediler, insanlarını yaraladılar. Koşarak onu kurtardı...
Milisler, "Başka bir roman" dedi. - Kesin olarak, bu genel kaçış, tüm yaşlı gelinlerin evlenmesi için yapılır. Catiche bir, Prenses Bolkonskaya bir diğeri.
"Onun gerçekten un petit peu amoureuse du jeune homme olduğunu düşündüğümü biliyorsun. [genç bir adama biraz aşık.]
- İyi! İyi! İyi!
- Ama bunu Rusça nasıl söyleyebilirim? ..

Pierre eve döndüğünde, o gün getirilen Rostopchin'in iki posteri ona verildi.
Birincisi, Kont Rostopchin'in Moskova'dan ayrılmasının yasak olduğu söylentisinin haksız olduğunu ve tam tersine, Kont Rostopchin'in hanımların ve tüccar eşlerinin Moskova'dan ayrılmasından memnun olduğunu söyledi. Poster, "Daha az korku, daha az haber" dedi, "ama Moskova'da kötü adam olmayacağına hayatımla cevap veriyorum." Bu sözler ilk kez Pierre'e Fransızların Moskova'da olacağını açıkça gösterdi. İkinci afiş, ana dairemizin Vyazma'da olduğunu, Kont Wittgstein'ın Fransızları yendiğini, ancak birçok sakin kendini silahlandırmak istediğinden, cephanelikte onlar için hazırlanan silahlar olduğunu söyledi: kılıçlar, tabancalar, silahlar, sakinlerin alabileceği silahlar. ucuz bir fiyat. Posterlerin tonu artık önceki Chigirin konuşmalarında olduğu gibi şaka yapmıyordu. Pierre bu afişler üzerinde düşündü. Açıkçası, ruhunun tüm güçleriyle çağırdığı ve aynı zamanda içinde istemsiz bir korku uyandıran o korkunç gök gürültüsü bulutu - belli ki, bu bulut yaklaşıyordu.
“Askerliğe girip askere gitmek mi yoksa beklemek mi? - Pierre kendine bu soruyu yüzüncü kez sordu. Masasındaki iskambil destesini aldı ve solitaire oynamaya başladı.
"Eğer bu solitaire çıkarsa," dedi kendi kendine, güverteyi karıştırarak, elinde tutarak ve yukarıya bakarak, "eğer çıkarsa, o zaman ... ne anlama geliyor?" kıdemli prenses bunun mümkün olup olmadığını soruyor. girmek.
Pierre kendi kendine, "O zaman orduya gitmem gerektiği anlamına gelecek," dedi. "Girin, gelin," diye ekledi prensese seslenerek.
(Uzun bir belli ve taşlaşmış bir kapakla yaşlı bir prenses Pierre'in evinde yaşamaya devam etti; daha küçük iki prenses evlendi.)
"Size geldiğim için beni bağışlayın kuzenim," dedi sitem dolu, heyecanlı bir sesle. - Sonuçta, sonunda bir şeye karar vermeliyiz! O ne olacak? Hepsi Moskova'yı terk etti ve halk isyan ediyor. Neden kalıyoruz?
"Aksine, her şey yolunda görünüyor, kuzenim," dedi Pierre, prensesin önünde velinimeti rolüne her zaman utanarak katlanan Pierre'in onunla ilgili olarak kendini asimile ettiği o şakacılık alışkanlığıyla.
- Evet, iyi ... esenlik! Bugün Varvara İvanovna bana askerlerimizin ne kadar farklı olduğunu anlattı. Elbette onur atfedebilirsiniz. Evet ve halk tamamen isyan etti, dinlemeyi bıraktılar; kızım ve o kaba oldu. Yakında bizi de yenecekler. Sokaklarda yürüyemezsin. Ve en önemlisi, yarın Fransızlar orada olacak, ne bekleyebiliriz ki! Bir şey soruyorum, kuzenim, dedi prenses, beni Petersburg'a götürmelerini emrediyor: Her ne olursam olayım, Bonapart egemenliği altında yaşayamam.
- Evet, dolgunluk, kuzenim, bilgiyi nereden alıyorsun? Karşısında…
- Napolyon'unuza boyun eğmeyeceğim. Diğerleri istedikleri gibi... Bunu yapmak istemiyorsan...
- Evet, yapacağım, şimdi sipariş vereceğim.
Prenses belli ki kızacak kimse olmadığı için sinirlenmişti. Bir şeyler fısıldayarak bir sandalyeye oturdu.
Pierre, "Ama bu size doğru söylenmiyor," dedi. “Şehirde her şey sakin ve tehlike yok. Bu yüzden okudum ... - Pierre prensese posterleri gösterdi. - Kont, düşmanın Moskova'da olmayacağına hayatıyla cevap verdiğini yazıyor.
"Ah, bu kontunuz," dedi prenses öfkeyle, "bu bir ikiyüzlü, insanları isyana teşvik eden bir kötü adam. Bu aptal afişlerde, her ne ise, onu tepeden çıkışa sürükleyin (ve ne kadar aptalca) yazmadı mı? Kim alırsa, ona hem şeref hem de şan der. Bu yüzden umursamadım. Varvara Ivanovna, Fransızca konuştuğu için insanların onu neredeyse öldürdüğünü söyledi ...
- Neden, bu çok ... Her şeyi çok ciddiye alıyorsun, - dedi Pierre ve solitaire oynamaya başladı.

APKSH "Kıta"IPC-25 küçük bir ofis için kompakt kripto ağ geçidi. APKSH "Kıta" herhangi bir mimariden bir VPN oluşturmanıza izin veren güçlü ve esnek bir VPN aracıdır. VPN bileşenleri (yerel alan ağları, segmentleri ve bireysel bilgisayarlar) arasında açık iletişim kanalları üzerinden iletilen bilgilerin (GOST 28147-89 uyarınca) kriptografik olarak korunmasını sağlar. ele geçirilen verilerin şifresinin çözülmesine karşı korumayı garanti eden benzersiz anahtarlarla bireysel veri paketlerini şifreler. Kurcalamaya karşı koruma sağlamak için bir trafik filtreleme sistemi sağlanmıştır. Ağ yapısını gizlemek için VoIP, video konferans, GPRS, 3G, LTE, ADSL, Dial-Up ve uydu iletişim kanalları, NAT/PAT teknolojisi desteği sağlar.

APKSH "Kıta", aşağıdaki tipik görevleri çözmek için tasarlanmıştır:

Çok yönlü ağ koruması
Kuruluşun coğrafi olarak dağıtılmış şubelerini tek bir güvenli ağda birleştirme yeteneği sağlar.
Çalışanların şirket ağına uzaktan erişiminin korunmasını sağlar.

Üretici firma: Güvenlik Kodu LLC

180.000 RUB

Fatura otomatik olarak oluşturulacaktır. Ödeyen "tüzel kişilik" türünü belirtin ve ayrıntıları doldurun.

Sürüm karşılaştırması

	APKSH "Kıta" - IPC-25	APKSH "Kıta" - IPC-100	APKSH "Kıta" - IPC-400	APKSH "Kıta" - IPC-1000
Fiyat	180.000 RUB Satın almak	270.000 RUB Satın almak	665.000 RUR Satın almak	1.021.000 TL Satın almak
VPN performansı (şifreleme + ME filtreleme)	50 Mbps'ye kadar	300 Mbps'ye kadar	500 Mbps'ye kadar	950 Mbps'ye kadar
ME performansı (açık trafik)	100 Mbps'ye kadar	400 Mbps'ye kadar	1 Gbps'ye kadar	1 Gbps'ye kadar
İşlenen maksimum eşzamanlı TCP oturumu sayısı (durum tutma)	10000	250000	350000	1000000
Güvenli bağlantı sayısı (VPN tünelleri)	25	limitsiz	limitsiz	limitsiz

Donanım yapılandırması:

Form faktörü	Mini-ITX, 1U yükseklik
Boyutlar (YxGxD)	155 x 275 x 45 mm
İşlemci	Intel Atom C2358 1743 MHz
Veri deposu	SODIMM DDR3 DRAM, 2 GB, PC-1333
Ağ arayüzleri	4х 1000BASE-T Ethernet 10/100/1000 RJ45 (kolay değiştirilebilir modüller şeklinde yapılmıştır)
Sabit sürücüler	SATA DOM modülü 4Gb
Güç kaynağı	harici AC adaptörü 19V, 220V 80W
Okuyucu	Dokunmatik Bellek
Kişisel tanımlayıcılar	Dokunmatik Bellek iButton DS1992L 2 PCS.
Dahili APMDZ modülü	PAK "Sobol" 3.0 (mini PCIe)
USB flash sürücü	512 MB'den az değil
%100 yükte akustik gürültü seviyesi (ölçüm yöntemi ISO7779)
Gömülü işletim sistemi	Kıta İşletim Sistemi - FreeBSD Çekirdeğine dayalı Gelişmiş Güvenlik Gelişmiş İşletim Sistemi

APKSH "Kıta" 3.9 şunları içerir:

Kriptografik Ağ Geçidi Ağ Kontrol Merkezi (NCC)- KSH ve AWP'nin kimlik doğrulamasını gerçekleştirir / KSh ağının durumunun izlenmesi ve günlüğe kaydedilmesi / günlüklerin depolanması ve KSh'nin yapılandırılması / anahtar ve yapılandırma bilgilerinin dağıtımı / kriptografik anahtarların merkezi yönetimi / kontrol programı ile etkileşim.
Kripto ağ geçidi (KSH) IP paketlerini TCP / IP protokolleri (statik yönlendirme) / paket şifreleme (GOST 28147–89, kapalı döngü gama modu, 256 bit anahtar uzunluğu) / iletilen verilerin bozulmadan korunması yoluyla alan ve ileten özel bir donanım ve yazılım cihazıdır. (GOST 28147–89, taklit ekleme modu) / paket filtreleme / ağ yapısını gizleme / olayları kaydetme / NCC'yi etkinliği ve müdahale gerektiren olaylar hakkında bilgilendirme / KSH yazılımının bütünlüğünü izleme.
NCC kontrol programı (PU NCC)- ana işlevi, kompleksin bir parçası olan tüm kontrol ünitelerinin durumunun merkezileştirilmiş bir kontrolü ve operasyonel izlenmesidir. MS Windows 2003/2008/7/8 altında yöneticinin iş istasyonunda güvenli bir ağda kurulur.
NCC ve SD ajanı NCC ve CP ile güvenli bir bağlantı ve veri alışverişi kurulmasını ve / NCC'den alınmasını, logların içeriklerinin CP tarafından saklanmasını ve iletilmesini / NCC'den alınmasını ve kompleksin işleyişi ile ilgili bilgilerin aktarılmasını gerçekleştirir. CP.
Kullanıcı Kimlik Doğrulama İstemcisi- korumalı bir ağ segmentinde bulunan bilgisayarlarda çalışan kullanıcıların bir şifreleme ağ geçidine bağlandıklarında kimlik doğrulamasını sağlar.
Abone istasyonu (Continent-AP) kullanıcının uzak iş istasyonu ile kuruluşun dahili korumalı ağı arasında bir VPN tüneli kurar. Genel ağlar ve İnternet üzerinden bağlandığında, kullanıcı kimlik doğrulaması / dinamik adres tahsisi desteği / korunan ağın kaynaklarına şifreli bir kanal aracılığıyla uzaktan erişim / özel ve çevirmeli iletişim kanalları aracılığıyla erişim / kaynakların kaynaklarına erişim yeteneği gerçekleştirir. genel ağlar.
Sunucuya Erişim uzak UA ile korunan ağ arasında iletişim sağlar, ayrıca kullanıcı erişim seviyesini ve onun kimlik doğrulamasını belirler.
Erişim Sunucusu Yönetim Programı (PC SD)- güvenlik olayları hakkında ağ yöneticisine anında bildirim sağlar. Komplekste bulunan tüm erişim sunucularının ayarlarını yönetmek için tasarlanmıştır.
Kıta saldırı dedektörü bir kripto ağ geçidinden gelen trafiği analiz eden ve yetkisiz izinsiz girişleri filtreleyen bir yazılım bileşenidir. "Kıta" sürüm 3.7 ve üstü şifreleme ağ geçitleri ağı için Kontrol Merkezi ile birlikte çalışır.

sertifikalar

NDV'nin yokluğu için 2. kontrol düzeyi ve güvenlik duvarları için 2. sınıf güvenlik konusunda Rusya FSTEC yönergelerinin uygunluğu. Güvenlik sınıfı 1B'ye kadar otomatik sistemler oluşturmak için ve sınıf 1'e kadar kişisel veri bilgi sistemleri oluştururken kullanılabilir;
4. sınıf güvenlik için güvenlik duvarı gibi cihazlar için Rusya FSB'sinin gereksinimlerine uygunluk;
KC3 sınıfındaki bilgilerin kriptografik korunması araçları için Rusya FSB'sinin gerekliliklerine uygunluk ve devlet sırrı oluşturan bilgileri içermeyen bilgilerin kriptografik koruması için kullanma olasılığı;
Rusya Federasyonu Telekom ve Kitle İletişim Bakanlığı - bilgi paketleri için yönlendirme ekipmanı için belirlenmiş gerekliliklere uygunluk ve bilgi paketlerini değiştirmek ve yönlendirmek için ekipman olarak kamu iletişim ağlarında kullanma olasılığı hakkında.

olasılıklar

Kompleks, yerel bilgisayar ağları, segmentleri ve bireysel bilgisayarlar olabilen VPN bileşenleri arasında açık iletişim kanalları üzerinden iletilen bilgilerin (GOST 28147-89'a göre) kriptografik olarak korunmasını sağlar.

Her paketin benzersiz bir anahtarla şifrelenmesini gerçekleştiren modern anahtar şeması, ele geçirilen verilerin şifresinin çözülme olasılığına karşı garantili koruma sağlar.

Continent 3.6 kompleksi, genel ağlardan sızmaya karşı koruma sağlamak için alınan ve iletilen paketlerin çeşitli kriterlere göre (gönderen ve alıcı adresleri, protokoller, port numaraları, ek paket alanları vb.) filtrelenmesini sağlar. Ağ yapısını gizlemek için VoIP, video konferans, ADSL, Dial-Up ve uydu iletişim kanalları, NAT/PAT teknolojisi desteği sağlar.

APCS "Continent" 3.6'nın temel özellikleri ve özellikleri

Kurumsal ağların etkin korunması

Genel ağ kaynaklarına güvenli VPN kullanıcı erişimi
GOST 28147-89 uyarınca iletilen verilerin kriptografik koruması

APKSH "Continent" 3.6'da, her paketin benzersiz bir anahtar üzerinde şifrelenmesini sağlayan modern bir anahtar şeması kullanılır. Bu, müdahale durumunda şifrenin çözülmesine karşı yüksek derecede veri koruması sağlar.

Veri şifreleme, geri besleme gama modunda GOST 28147–89'a göre gerçekleştirilir. Bozulmaya karşı veri koruması, taklit ekleme modunda GOST 28147-89'a göre gerçekleştirilir.

Şifreleme anahtarları, NCC'den merkezi olarak yönetilir.

güvenlik duvarı - dahili ağ bölümlerinin yetkisiz erişime karşı korunması

Kripto ağ geçidi "Kıta" 3.6, alınan ve iletilen paketlerin çeşitli kriterlere göre (gönderici ve alıcı adresleri, protokoller, port numaraları, ek paket alanları vb.) filtrelenmesini sağlar. Bu, dahili ağ segmentlerini genel ağlardan sızmaya karşı korumanıza olanak tanır.

Uzak kullanıcılar için VPN kaynaklarına güvenli erişim

APKSH "Continent" 3.6'nın bir parçası olan özel yazılım "Continent AP", uzak bilgisayarlardan kurumsal VPN ağına güvenli erişim düzenlemenizi sağlar.

Fiziksel düzeyde paylaşılan erişime sahip bilgi alt sistemlerinin oluşturulması

APKSH "Continent" 3.6'da, her kripto ağ geçidine 1 harici ve 3–9 dahili arabirim bağlayabilirsiniz. Bu, kullanıcının ağı kurumsal güvenlik politikasına göre yapılandırma yeteneğini büyük ölçüde geliştirir. Özellikle, birkaç dahili arabirimin varlığı, kuruluşun bölümlerinin alt ağlarını ağ kartları düzeyinde bölmenize ve bunlar arasında gerekli etkileşim derecesini oluşturmanıza olanak tanır.

Temel özellikler ve yetenekler

Ortak iletişim kanalları için destek

Çevirmeli bağlantılar aracılığıyla çalışan, doğrudan kripto ağ geçidine bağlı ADSL ekipmanı ve ayrıca uydu iletişim kanalları aracılığıyla.

Tüm uygulamalar ve ağ hizmetleri için "Şeffaflık"

Kripto ağ geçitleri "Kıta" 3.6, IP telefonu ve video konferans gibi multimedya hizmetleri de dahil olmak üzere TCP / IP protokolünü kullanan tüm uygulamalar ve ağ hizmetleri için "saydamdır".

Yüksek öncelikli trafikle çalışma

Continent 3.6 trafik önceliklendirme mekanizmasında uygulanan trafik önceliklendirme mekanizması, iletişim kalitesini kaybetmeden ses (VoIP) trafiğini ve video konferansı korumanıza olanak tanır.

Belirli hizmetler için garantili bant genişliği ayırma

Belirli hizmetler için garantili bant genişliği rezervasyonu, e-posta trafiğinin, belge yönetim sistemlerinin vb. geçişini sağlar. IP telefonunun düşük hızlı iletişim kanallarında aktif kullanımıyla bile.

VLAN desteği

VLAN desteği, APCS'nin sanal segmentlere ayrılmış ağ altyapısına kolay entegrasyonunu sağlar.

Dahili ağı gizleyin. NAT / PAT teknolojileri için destek

NAT / PAT teknolojisi desteği, açık trafiği iletirken korunan ağ bölümlerinin iç yapısını gizlemenize ve ayrıca askerden arındırılmış bölgeleri ve bölüm korumalı ağları düzenlemenize olanak tanır.

Kurumsal ağın korunan bölümlerinin iç yapısının gizlenmesi gerçekleştirilir:

iletilen paketlerin kapsüllenmesi yöntemiyle (trafiği şifrelerken);
kamu kaynaklarıyla çalışırken ağ adresi çevirisi (NAT) teknolojisini kullanma.

Saldırı tespit sistemleri ile entegrasyon

Her kripto ağ geçidinde, yetkisiz erişim girişimleri (ağ saldırıları) için KSH'den geçen trafiği kontrol etmek için arayüzlerden birini özel olarak seçmek mümkündür. Bunu yapmak için, "SPAN bağlantı noktası" gibi bir arabirim tanımlamanız ve izinsiz giriş algılama sistemi (örneğin, RealSecure) kurulu bir bilgisayarı buna bağlamanız gerekir. Bundan sonra kripto ağ geçidinin paket filtresinin girişine gelen tüm paketler bu arayüze aktarılmaya başlar.

Servis ve yönetim

Kolaylık ve bakım kolaylığı (bakım gerektirmeyen mod 24 * 7)

APKSH "Continent" 3.6, sürekli yerel yönetim gerektirmez ve 24 * 7х365 katılımsız modda çalışabilir. Kompleksin üretiminde kullanılan endüstriyel bilgisayarlar, sıcak ve soğuk yedeklilik imkanı ile birlikte kompleksin sorunsuz çalışmasını garanti eder.

Kompleks, gerçek zamanlı olarak hızlı müdahale gerektiren olaylar hakkında yöneticilere anında bildirim sağlar.

Kripto ağ geçitlerinin uzaktan yazılım güncellemesi

Kompleks, coğrafi olarak dağıtılmış sistemlerde KSH yazılımının güncellenmesi sorununu çözmüştür. Yazılım güncellemesi, komplekse merkezi olarak yüklenir, komplekste bulunan tüm kripto ağ geçitlerine gönderilir ve otomatik olarak kurulur.

Hata toleransı sağlamak

Kompleksin hata toleransı aşağıdaki önlemlerle sağlanır:

Kriptografik ağ geçitlerinin donanım yedekliliği (yüksek erişimli bir kümenin oluşturulması). Kripto ağ geçitlerinden birinin arızalanması durumunda, yöneticinin müdahalesi olmadan ve kurulan bağlantılar kesilmeden yedeklemeye geçiş otomatik olarak gerçekleştirilir.
Kompleksin yapılandırma dosyalarının otomatik olarak yedeklenmesi. Donanım arızası durumunda ağ operasyonunun hızlı bir şekilde kurtarılmasını sağlar.

Merkezi ağ yönetimi

Merkezi ağ yönetimi, NCC ve ağdaki tüm kripto ağ geçitlerinin ayarlarını etkileşimli olarak değiştirmenize ve mevcut durumlarını izlemenize olanak tanıyan bir yönetim programı kullanılarak gerçekleştirilir.

Yöneticinin iş yerindeki tüm cihazların durumunun gerçek zamanlı olarak görüntülenmesi, normal çalışma sürecinden sapmaları zamanında belirlemenize ve bunlara anında yanıt vermenize olanak tanır.

Rol tabanlı yönetim - kompleksin yönetimi için güçler ayrılığı

Kompleksin yönetimi için yetkileri ayırma, örneğin önemli bilgileri yönetme, korunan kaynaklara erişim hakları atama, yeni bileşenler ekleme, kullanıcı eylemlerini denetleme (diğer yöneticiler dahil) için yetkiler uygulandı.

Ağ yönetim sistemleri ile etkileşim

Küresel ağ yönetim sistemlerinden (Hewlett-Packard, Cisco, vb.) SNMPv2 protokolü aracılığıyla APCS "Continent" 3.6'nın durumunu izlemenizi sağlar.

Modern koşullarda, bir organizasyonun etkin bir şekilde çalışması için, uzak bölümler arasında bilgi aktarımının ve dünyanın her yerinden kurumsal hizmetlere sürekli erişimin sağlanması gerekmektedir. Bilgilerin kamuya açık iletişim kanalları üzerinden iletimi sırasında korunması için VPN (Sanal Özel Ağ) teknolojisi geliştirilmiştir. Aslında, bir VPN kullanırken, özel bir noktadan noktaya bağlantı taklidi (şifreli bir VPN tüneli veya tüm bir VPN ağı oluşturulur) ile İnternet üzerinden sanal bir kanal aracılığıyla uzak bir yerel ağ ile bilgi alışverişi yapılır.

VPN teknolojisi kriptografi (şifreleme) içerdiğinden, Rusya Federasyonu yasalarına göre, Rusya topraklarında aşağıdaki türlerde kriptografik araçlar (kripto yönlendirici / kripto ağ geçidi / VPN ağ geçidi) kullanmak mümkündür:

Batı kriptografisi (56 * bit'e kadar anahtar uzunluğu dahil);
Batı kriptografisi (56 bitten anahtar uzunluğu) - Rusya FSB müşterisinin bildirimi ile;
Rus kriptografisi (GOST 28147—89, GOST 34.10—2012, GOST 34.11—2012).

AltEl, pazarın gereksinimlerine ve kriptografik araçlarla ilgili mevzuata yanıt olarak, ALTELL NEO VPN ağ geçidinde GOST 28147-89 algoritmasına dayanan kendi tasarımının bir kriptografik çekirdeğini oluşturmuştur. Bu, uzak şubeleri tek bir VPN ağında birleştirmek için ALTELL NEO'yu kullanmanıza, mobil çalışanlardan (mobil cihazlar için ALTELL VPN istemcisi kullanarak) şirketin yerel ağına erişim sağlamanıza ve şubeler ile karşı taraflar arasında güvenli veri alışverişi yapmanıza olanak tanır. ALTELL NEO'nun geniş model yelpazesi, her büyüklükteki şirketin güvenli bir kombinasyonuna olan ihtiyacı karşılar: hem küçük bir uzak ofis hem de birkaç bin çalışanı olan büyük bir holdingin genel merkezi.

Bir kripto ağ geçidi olarak ALTELL NEO, uzak kullanıcıların güvenlik seviyesinden ödün vermeden güvenli bir kanal (bir VPN tüneli aracılığıyla) aracılığıyla bir kuruluşun yerel ağına bağlanmasına izin verir. Kullanıcıların yalnızca belirli sunuculara veya belirli hizmetlere erişmesine izin verilebilir. Mobil cihazlarda uzaktan çalışmak için bir VPN istemcisi kurulmalıdır.

topoloji

Aşağıda, ALTELL NEO kripto yönlendiricisini kullanan şirketin şubeleri arasında bir VPN bağlantısı organizasyonunun bir şeması bulunmaktadır (Şekil 1). VPN tüneli, yerel veya Batı kripto algoritmaları (IPsec veya OpenVPN protokolleri üzerinden GOST / AES128) temelinde oluşturulmuştur. VPN tünelinin içinde, birleşik ağlardan gelen trafik iletilebilir: veri, ses, video.

Şekil 1 Şubeler arasında VPN bağlantısı kurulması.

Şekil 2, uzak kullanıcılarla bir VPN bağlantısı düzenleme şemasını göstermektedir. Kullanıcının kuruluşun ağına güvenli erişim sağladığı mobil cihazlara bir VPN istemcisi kurulur.

Şekil 2 Mobil kullanıcılarla VPN bağlantısının organizasyonu.

ALTELL NEO VPN ağ geçidi şu anda aşağıdaki VPN bağlantı türlerini desteklemektedir:

Avantajlar

uzak şubelerden işletmenin dahili BT kaynaklarına erişim yeteneği;
yerel veya Batı şifreleme algoritmalarını kullanarak trafik koruması (IPsec veya OpenVPN üzerinden GOST / AES128);
yedekli bir sağlayıcı ile bir planın organizasyonu veya topolojide yedek yönlendirilmiş halkaların kullanılması nedeniyle kesintisiz çalışma;
yüksek kullanılabilirlik planının organizasyonu;
ev ofisinden veya İnternet'teki herhangi bir yerden bireysel tek kullanıcılar için işletmenin iç ağında güvenli bir şekilde çalışma yeteneği;
VPN kanalındaki istenmeyen trafiği filtrelemek;
mevcut ağlarda korunan segmentleri tahsis etme yeteneği;
mevcut BT altyapısının değişmezliği;
ölçeklenebilir VPN ağı;
bir VPN ağı oluşturmak için çok çeşitli araçlar;
hızlı dağıtım ve ilk yapılandırma;
sistemin kullanım kolaylığı.

sertifikalar

ALTELL NEO kripto ağ geçidi, otomatik sistemleri korumak için bu VPN ağ geçidinin kullanılmasına izin veren ME2 / ME3 / ME4 ve NDV2 / NDV3 sınıfları için Rusya FSTEC sertifikaları da dahil olmak üzere bilgileri koruma aracı olarak kullanmak için gerekli tüm sertifikalara sahiptir. sınıf 1B'ye dahil etmek ve 152-FZ "Kişisel veriler hakkında" uyarınca güvenli ISPDN oluşturmak, K1 sınıfına kadar.

Ücretsiz test

Tüm ALTELL NEO modelleri, kuruluşunuzda ücretsiz olarak test edilebilir. İlgilendiğiniz modeli almak için bir başvuru formu doldurmanız gerekmektedir. Ayrıca cihaz konfigürasyonunu (ek bellek, genişletme modülleri, yazılım versiyonu vb.) seçebilir ve kullanarak cihazın yaklaşık fiyatını hesaplayabilirsiniz.

Makale, küresel VPN pazarındaki eğilimleri kısaca açıklar, Rusya pazarındaki popüler kripto ağ geçitlerini inceler ve temel özelliklerini sunar.

Tanıtım

Kriptografik ağ geçidi (kripto ağ geçidi, kripto yönlendirici, VPN ağ geçidi), paketleri çeşitli protokoller kullanarak şifreleyerek iletişim kanalları üzerinden iletilen trafiğin kriptografik koruması için bir yazılım ve donanım kompleksidir.

Kripto ağ geçidi, açık iletişim kanalları üzerinden veri aktarırken bir kuruluşun bilgi güvenliğini sağlamak için tasarlanmıştır.

Modern pazardaki kripto ağ geçitleri aşağıdaki temel işlevleri sağlar:

NAT için şeffaflık;
trafiği şifreli bir tünelde kapsülleyerek ağ topolojisini gizleme;
IP paketlerinin bütünlüğünü ve gizliliğini sağlamak;
güvenli ağ düğümlerinin ve kullanıcıların kimlik doğrulaması.

Çeşitli büyüklükteki işletmeler, devlet kurumları, özel şirketler, kripto ağ geçidi tüketicilerinin ana kategorileridir.

Bugün, VPN ağ geçidi işlevi, kurumsal yönlendirici, ev Wi-Fi yönlendiricisi veya güvenlik duvarı gibi hemen hemen her ağ cihazının ayrılmaz bir parçasıdır. Bu özelliği dikkate alarak, aşağıda GOST şifreleme algoritmasını kullanan Rus pazarının kilit temsilcilerini ve alternatif olarak birkaç yabancı örneği ele alacağız.

Ayrı bir satırda, hem Rus hem de yabancı üreticilerin TLS protokolüne (TLS ağ geçitleri) dayalı güvenli uzaktan erişim çözümlerinin pazarındaki varlığını not ediyoruz. Bu incelemede dikkate alınmazlar.

Küresel kripto ağ geçidi pazarı

Coğrafi olarak dağıtılmış herhangi bir şirket için iş sürekliliği, her zaman iletilen bilgilerin korunmasını sağlamakla ilişkilidir. Çeşitli VPN cihazları bu sorunu uzun süredir çözmektedir. Uygulamalarında belirgin farklılıklar gösterirler: özel çözümler, güvenlik duvarları / yönlendiriciler gibi yazılım ve donanım sistemlerine dayalı çözümler veya tamamen yazılım sistemleri olabilirler.

Dünya pazarındaki benzer ürünler, farklı faaliyet alanlarındaki şirketler tarafından kullanılmaktadır: sağlık, sanayi kuruluşları, nakliye şirketleri, devlet kurumları ve diğerleri.

Çoğu durumda, müşterinin aşağıdaki görevlerden bir veya daha fazlasını çözmesi gerekir:

çeşitli topolojilerde dağıtılmış bir şirket ağının korunması;
uzak kullanıcıları şirket ağına bağlama (mobil cihazlardan dahil);
bağlantı katmanı koruması.

SSL VPN, Alliedmarketresearch'ün araştırmasıyla kanıtlandığı gibi, kendisini küresel pazarda sağlam bir şekilde kurmuştur. Onlara göre 2016 yılında küresel SSL VPN pazarı 3 milyar ABD dolarının üzerindeydi. 2023 yılına kadar öngörülen büyüme - 5,3 milyara kadar.

Küresel pazardaki kilit oyuncular arasında Cisco Systems, Citrix Systems, Pulse Secure, F5 Networks lider pozisyonları elinde tutuyor.

Şekil 1, küresel SSL VPN pazarının önemli büyüme segmentlerini göstermektedir:

ince istemci modu;
tam tünel modu;
istemcisiz mod

Rus kripto ağ geçidi pazarı

Rusya'da, kripto ağ geçitlerinin ana tüketicileri, devlet kurumlarının yanı sıra kişisel veri operatörleri olan kuruluşlardır. Ülkemiz topraklarında, belirli sorunların çözümü için bilgi güvenliği araçlarının hangi kriterlere göre kullanılacağını belirleyen çeşitli düzenlemeler bulunmaktadır.

Bu belgeler aşağıdakileri içerir:

27.07.2006 Sayılı 152-FZ Federal Yasası "Kişisel Veriler".
Rusya Federasyonu Hükümeti'nin 01.11.2012 Sayılı 1119 sayılı Kararı "Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gerekliliklerin onaylanması üzerine."
Rusya FSTEC'in 11 Şubat 2013 tarihli ve 17 No'lu emri "Devlet bilgi sistemlerinde yer alan bir devlet sırrı oluşturmayan bilgilerin korunmasına ilişkin gerekliliklerin onaylanması üzerine."
Rusya FSTEC'in 18 Şubat 2013 tarih ve 21 No'lu emri "Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için organizasyonel ve teknik önlemlerin bileşiminin ve içeriğinin onaylanması üzerine."
Şifreleme (kriptografik) bilgi güvenliği araçlarının geliştirilmesi, üretilmesi, uygulanması ve işletilmesine ilişkin düzenlemeler (Yönetmelikler PKZ-2005).

Kripto ağ geçitleri için temel gereksinimlerden biri, piyasa düzenleyicilerinin geçerli uygunluk sertifikalarının bulunmasıdır - Rusya'nın FSB'si ve Rusya'nın FSTEC'i. Şifreleme (kriptografik) araç gereksinimlerine uygunluk için Rusya'nın FSB sertifikası, yalnızca kripto ağ geçidi GOST 28147-89'a göre yerel şifreleme algoritmaları kullanılarak uygulanırsa verilir.

Yabancı üreticiler nadiren GOST uyarınca şifrelemeyi destekler ve Rus kriptografik bilgi koruma araçları (CIPF) satıcıları tarafından aktif olarak kullanılan çözümleri için bu tür uygunluk sertifikaları alırlar.

Ayrı olarak, otomatikleştirilmiş süreç kontrol sistemlerinin (APCS) siber güvenliği ile ilgili eğilimi not etmek gerekir. Bugün, bazı kriptografik bilgi koruma cihazları, toz ve nem koruması ve özel sıcaklık aralıkları gereksinimlerini karşılayan, piyasada güvenli kripto ağ geçitleri sunmaktadır. Bu tür sistemlerde bilgilerin korunması için gereklilikleri oluşturan düzenlemeler de vardı:

26 Temmuz 2017 tarihli ve 187-FZ sayılı "Rusya Federasyonu'nun Kritik Bilgi Altyapısının Güvenliğine Dair Federal Kanun".
Rusya FSTEC'in 14 Mart 2014 tarihli ve 31 No'lu Emri "Kritik tesislerde, potansiyel olarak tehlikeli tesislerde ve artan tehlike arz eden tesislerde üretim ve teknolojik süreçler için otomatik kontrol sistemlerinde bilgilerin korunmasını sağlamaya yönelik gereksinimlerin onaylanması üzerine insanların ve çevrenin yaşamına ve sağlığına. doğal çevre".

Bu, kriptografik bilgi güvenliği üreticileri için ürünlerinin geliştirilmesi açısından bu yönde ciddi bir perspektiften bahsetmemizi sağlıyor.

Bazı Rus ve yabancı kripto ağ geçitlerinin özelliklerini daha ayrıntılı olarak ele alalım.

Rus kripto ağ geçitleri

Atlix-VPN ("NTC Atlası")

Atlix-VPN donanım ve yazılım kompleksi (PAC), Rus şirketi NTC Atlas'ın bir ürünüdür. PAK, Rus kriptografik algoritmalarını kullanarak IPsec protokolüne ve X.509 standardına dayalı sanal özel ağların (VPN) oluşturulmasını ve etkileşimini sağlamak için tasarlanmıştır.

GOST 28147-89, GOST R 34.11-94, GOST R 34.10-2001 desteklenen standartlar olarak beyan edilmiştir.

Ayırt edici bir özellik, işlevlerinin uygulanması için gerekli olan temel bilgileri girme yoludur. Bunun için Rus Entelektüel Kartı (RIC) kullanılır - STC Atlas, CJSC Program Systems and Technologies, OJSC Angstrem tarafından geliştirilen bir mikroişlemci kartı. Kart, JSC Angstrem tarafından üretilen yerli bir mikroişlemci temelinde yapılır.

Donanım açısından bakıldığında, "Atlix-VPN" özel, sabit bir platform sunucusu temelinde çalışır. PAK, günümüz standartlarına göre nispeten düşük bir şifreleme performansı sağlar - 85 Mbps. Bu hız ve donanım platformu türü, PAK - KV2 tarafından sağlanan Rusya FSB'sinin gereksinimlerine uygun yüksek güvenlik sınıfından kaynaklanmaktadır.

Şekil 2. PAK "Atlix-VPN"

Atlix-VPN aşağıdaki geçerli uygunluk sertifikalarına sahiptir:

Rusya FSB'si №СФ / 124-2958, PAK'ın KB2 sınıfının şifreleme (kriptografik) araçlarının gereksinimlerini karşıladığını ve bilgi oluşturan bilgileri içermeyen bilgilerin kriptografik koruması (IP trafiğinin şifrelenmesi ve taklidi) için kullanılabileceğini doğrular. bir devlet sırrı;
Rusya FSTEC No. 1864, PAK'ın “Bilgisayar tesisleri” kılavuz belgesinin gerekliliklerine uygun olduğunu doğrular. Güvenlik duvarları. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri ”- 4. güvenlik sınıfı için.

Atlix-VPN PAK hakkında daha fazla bilgiyi üreticinin web sitesinde bulabilirsiniz.

ZASTAVA (ELVIS-PLUS)

Donanım ve yazılım sistemleri ZASTAVA - Rus şirketi ELVIS-PLUS'ın geliştirilmesi. PAK, IPsec / IKE protokollerine dayalı sanal korumalı ağlar (VPN) teknolojilerini kullanarak ağ düzeyinde kurumsal bilgi sistemlerinin korunmasını sağlar. ZASTAVA, yalnızca yerel kriptografik algoritmaları destekleyen bir VPN ağ geçidi değil, aynı zamanda bir güvenlik duvarıdır. ZASTAVA, IKE protokolünün (IKEv2) güncel sürümünü uygulayan tek Rus ürünüdür. Çoğu Rus satıcı, güvenlik sorunları da dahil olmak üzere, IETF tarafından 10 yıldan uzun bir süre önce resmi olarak geçersiz olarak kabul edilen IKEv1 protokolünü kullanıyor. Buna kıyasla, IKEv2 hizmet reddi saldırılarına karşı daha dirençli, ağ sorunlarına karşı daha dirençli ve kullanımı daha esnektir. IKEv2 protokolü şu anda IETF'de, örneğin verileri kuantum bilgisayarlardan korumak veya DoS saldırılarına karşı koymak için iş kanıtı ilkesini kullanmak gibi kriptografideki bu tür gelişmiş alanlar dahil olmak üzere aktif olarak geliştirilmektedir. ELVIS-PLUS bu çalışmalarda aktif olarak yer almakta ve PAK ZASTAVA'ya yeni protokol özellikleri için anında destek eklemektedir.

ZASTAVA üç ayrı bileşenden oluşur:

ZASTAVA-Client, VPN aracılığıyla bir uzaktan erişim istemcisinin işlevselliğini uygular;
ZASTAVA-Office, bir VPN ağ geçidi ve güvenlik duvarının işlevlerini uygular;
ZASTAVA-Management, ağ güvenliğinin birleşik yönetimi için Güvenlik Politikası Yönetim Merkezi'nin işlevlerini yerine getirir.

Ayırt edici özellikleri:

GOST R 34.10-2001, GOST R 34.10-2012, GOST R 34.11-2012, GOST 28147-89, özellikle CryptoPro CSP kriptografik koruma sistemini uygulayan harici şifreleme modüllerinin kullanımı;
sadece yerli kriptografik algoritmaları değil, aynı zamanda yabancıları da destekler - RSA, DH, ECDH, DES, 3DES, AES, SHA1, SHA2;
X.509 sertifikalarını kullanan ortakların kimlik doğrulaması;
ZASTAVA-Management ürünü aracılığıyla PAK'ın merkezi yönetimi için destek;
"aktif / pasif" modunda çalışan bir yük devretme kümesinin işlevselliğinin uygulanması;
donanım platformuna bağlı olarak şifreleme performansı 40 Mbps ile 4 Gbps arasında değişebilir;
istemci iş istasyonlarından PAK'a iletişim kanalının şifrelenmesini sağlamak için kendi geliştirmemizi kullanıyoruz - ZASTAVA-Client ürünü.

ZASTAVA, Rusya'nın FSB'sinin ve Rusya'nın FSTEC'inin gerekliliklerine uygun birkaç geçerli sertifikaya sahiptir, özellikle:

Rusya FSB'si №СФ / 114-3067, devlet sırrını oluşturan bilgileri içermeyen bilgilerin kriptografik korunması gerekliliklerine uygunluğu teyit eden, KC3 sınıfı; kriptografik koruma için kullanılabilir (IPsec ESP'ye dayalı IP paketlerinin şifrelenmesi, IPsec AH ve / veya IPsec ESP'ye dayalı IP paketleri için karma işlevinin hesaplanması, IKE v1 veya IKE protokolü v2'ye dayalı bir bağlantı kurarken abonelerin kriptografik kimlik doğrulaması) devlet sırrı oluşturan bilgileri içermeyen bilgiler;
PAK'ın “Bilgisayar tesisleri” kılavuz belgesinin gerekliliklerine uygun olduğunu onaylayan Rusya'nın FSTEC No. 2573. Güvenlik duvarları. Bilgiye yetkisiz erişime karşı koruma. 2. sınıf güvenlik için bilgilere yetkisiz erişime karşı güvenlik göstergeleri.

PAK ZASTAVA hakkında daha fazla bilgiyi üreticinin web sitesinde bulabilirsiniz.

"Kıta" ("Güvenlik Kodu")

Kıta donanım ve yazılım şifreleme kompleksi (APKSH), Rus şirketi Güvenlik Kodu tarafından üretilen bir şifreleme ağ geçididir. APKSH, GOST 28147-89'a göre açık iletişim kanallarının güvenlik duvarı ve kriptografik koruması sağlar.

APPSH, çok hizmetli ağlarda ağ trafiğini korumanıza, ağ bölümlerini bölmenize, yerel ağa güvenli uzaktan erişim düzenlemenize ve ağlar arası çalışmayı diğer güvenli ağlarla (bu ürüne dayalı olarak) gerçekleştirmenize olanak tanır. APPS, FreeBSD'ye dayanmaktadır.

APKSH aşağıdaki özelliklere sahiptir:

Continent Network Management Center ürününü kullanarak merkezi yönetimi ve izlemeyi destekler;
hataya dayanıklı bir yapılandırma uygulamak için APCS'nin donanım yedekliliği;
APCSh model aralığında endüstriyel sistemlerde bilgilerin korunması için bir performans vardır;
bağımsız bir çözüm kullanırken 10 Mbps'den 3,5 Gbps'ye kadar şifreleme hızlarını destekleyen geniş bir model yelpazesi (10 Gbps'ye kadar - APPS'den bir çiftlik arasında şifreli trafik dağıtırken);
bağlantı katmanında (L2 VPN) ağların şeffaf bir şekilde toplanması için destek;
ağ uygulama düzeyinde (DPI) trafik filtreleme;
HTTP, FTP protokolleri için filtreleme komutları;
Statik listelere ve düzenli ifadelere dayalı URL filtreleme;
orta ve yüksek performanslı ağ geçitleri (IPC-400 ve üzeri) 2U form faktöründe uygulanır;
APSH model yelpazesi, 4 adede kadar optik 10 Gb SFP +, 32 adede kadar optik 1 Gb SFP dahil olmak üzere 34 GbE arabirimine kadar olan platformları içerir;
Continent-AP yazılım ürünü bir VPN istemcisi olarak kullanılır.

Şekil 3. APCS "Kıta" IPC -3034

APKSH'nin yerleşik bir kurcalamaya karşı koruma cihazı - Sobol yazılım ve donanım kompleksi ile birlikte verildiğine dikkat edilmelidir. Ayrıca, APPS formu ve yönetici kılavuzu düzeyinde, bir "Kıta" ağ kontrol merkezine sahip bir ağda maksimum kripto ağ geçidi sayısıyla ilgili bir sınırlama vardır.

APKSH, yerli yazılım kaydına dahildir (No. 310) ve aşağıdakiler dahil bir dizi geçerli uygunluk sertifikasına sahiptir:

Rusya FSB No.СФ / 124-2617, KC3 sınıfının şifreleme (kriptografik) araçlarının gereksinimlerine uygunluğu onaylar ve kriptografik koruma için kullanılabilir (anahtar bilgilerinin oluşturulması ve yönetimi, IP paketlerinde iletilen verilerin şifrelenmesi ve taklit koruması) ortak veri iletim ağları üzerinden) devlet sırrını oluşturan bilgileri içermeyen bilgiler;
FSTEC of Russia No. 3008, sınıf 3 için "A" tipi güvenlik duvarları (IT.ME.A3.PZ) ve ağ düzeyinde izinsiz giriş tespit araçları (IT.COV.S3.PZ) gereksinimlerine uygunluğu teyit eder (belge görüntüleme, üreticinin web sitesinde mevcut değildir, istek üzerine mevcuttur).

APKSH "Kıta" hakkında daha fazla bilgiyi üreticinin web sitesinde bulabilirsiniz.

FPSU-IP (AMIKON, "InfoCrypt")

Rus şirketi AMIKON tarafından InfoCrypt'in katılımıyla üretilen donanım ve yazılım kompleksi "Ağ katmanı paket filtresi - İnternet Protokolü" (FPSU-IP). PAK, bir güvenlik duvarı ve sanal özel ağdır (VPN).

FPSU-IP, "InfoCrypt" (kriptografi açısından) tarafından üretilen CIPF "Tünel 2.0" kullanılarak uygulanan GOST 28147-89, GOST R 34.10-2012, GOST R 34.11-2012 yerel standartlarını destekler. PAK, Linux temelinde çalışır.

FPSU-IP aşağıdaki özelliklere sahiptir:

"sıcak" yedekleme modunda çalışma özelliğini destekler (üretici tarafından bir seçenek olarak sunulur);
hem 1U hem de 2U standart boyutlarındaki çeşitli donanım platformları temelinde uygulanır;
kendi VPN protokolünü kullanır;
FPSU-IP / İstemci yazılımı bir uzak istemci bileşeni olarak kullanılır (PAK üzerindeki istemci yazılımıyla etkileşim kurma yeteneğinin etkinleştirilmesi, üretici tarafından isteğe bağlı olarak sunulur);
seri, 10 Mbps'den 12 Gbps'ye (1450 baytlık bir IP paket boyutu ve 56 bilgi işlem akışı ile) veri şifreleme hızı sağlar.

Şekil 4. FPSU-IP ağ geçidi

FPSU-IP, yerleşik sertifikalı kriptografik bilgi koruma sistemine sahip çeşitli donanım platformlarına ve yazılımlara dayalı bir çözümdür.

Yerleşik CIPF, Rusya FSB No. СФ / 124-3060'ın geçerli bir sertifikasına sahiptir ve devlet sırrı oluşturan bilgileri, КС1, КС2, КС3 sınıflarını içermeyen bilgileri korumak için tasarlanmış kriptografik bilgi koruma araçlarının gereksinimlerini karşılar. .

FPSU-IP hakkında daha fazla bilgi üreticinin web sitesinde bulunabilir.

ALTELL NEO ("AltEl")

AltEl tarafından üretilen ATLELL NEO donanım ve yazılım kompleksi.

Temel işlev, güvenli iletişim kanalları oluşturma yeteneğiyle birleştirilmiş güvenlik duvarıdır. ALTELL NEO, yalnızca bir güvenlik duvarının, VPN ağ geçidinin yeteneklerini değil, aynı zamanda izinsiz giriş algılama ve önleme, içerik filtreleme ve kötü amaçlı yazılımlara karşı korumayı da birleştiren bir UTM (Birleşik Tehdit Yönetimi) çözümü olarak konumlandırılmıştır.

Ürün, gömülü sertifikalı yazılımla birleştirilmiş bir donanım platformudur. IPsec, OpenVPN, GOST 28147-89 kullanılarak şifreleme protokolleri olarak desteklenir.

Üretici tarafından sunulan platformlar, daha genç olanlar (100 ve 110) hariç olmak üzere, üç yazılım versiyonundan birini kullanarak çalışabilir: FW (güvenlik duvarı), VPN (kripto ağ geçidi), UTM. Yazılımın sonraki her sürümü, öncekilerin işlevselliğini içerir.

ALTELL NEO aşağıdaki özelliklere sahiptir:

çeşitli konfigürasyonlarda çok çeşitli donanım platformları;
Kurumsal sınıf donanım platformu (model 340, 2U form faktörü), artırılmış ağ arabirimi yoğunluğuna sahiptir (65'e kadar RJ45 GbE bağlantı noktası / 64'e kadar SFP GbE bağlantı noktası / 16'ya kadar SFP + 10 GbE bağlantı noktası);
IPsec algoritmasını kullanırken şifreleme performansı (donanım platformuna bağlı olarak) 18 Mbps'den 2,4 Gbps'ye, OpenVPN - 14 Mbps'den 1,4 Gbps'ye kadardır.

Şekil 5. Ağ Geçidi ALTELL NEO 340

Çözümde kullanılan yazılım, yerli yazılım (No. 3768) sicilinde yer almakta olup aşağıdaki uygunluk belgelerine sahiptir:

Rusya FSB'si №SF / SZI-0074, 4. güvenlik sınıfı güvenlik duvarları için gereksinimlerin karşılandığını ve yazılımın, devletin devlet yetkililerinin bilgi ve telekomünikasyon sistemlerinde bilgileri yetkisiz erişime karşı korumak için kullanılabileceğini doğrular. Rusya Federasyonu;
FSTEC of Russia No. 2726, yazılımın “Bilgisayar tesisleri” kılavuz belgesinin gereksinimlerine uygun olduğunu onaylar. Güvenlik duvarları. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri "- 2. güvenlik sınıfı için.

İncelemenin açık kaynaklarda yayınlandığı tarihte, KC1 / KC2 / KC3 sınıflarının şifreleme (kriptografik) araçlarının gerekliliklerine uygunluk için Rusya FSB'sinin geçerli bir sertifikasını bulmanın mümkün olmadığı belirtilmelidir.

ALTELL NEO hakkında daha fazla bilgi üreticinin web sitesinde bulunabilir.

C-Terra Ağ Geçidi 4.1 ("C-Terra CSP")

Rus şirketi S-Terra CSP tarafından üretilen C-Terra Gateway ürünü, çeşitli donanım platformlarına dayanan bir yazılım paketidir (bundan sonra PC olarak anılacaktır).

SS-Terra Gateway 4.1, GOST 28147-89'a göre şifreleme ve IPsec protokolü kullanılarak açık iletişim kanalları üzerinden iletilen trafiğin taklit koruması sağlar. Ürün, VPN'ye ek olarak güvenlik duvarı işlevine sahiptir. İşletim sistemi olarak Debian kullanılmaktadır.

PC'deki şifreleme işlevleri, CryptoPro CSP CIPF ile uyumlu olan tescilli bir şifreleme kitaplığı - C-Terra ST tarafından uygulanır.

C-Terra Gateway 4.1 aşağıdaki ana özelliklere sahiptir:

S-Terra KP sistemi aracılığıyla merkezi uzaktan kumandayı destekler;
ağ geçidi modeline ve donanım platformuna bağlı olarak 60 Mbps'den 2,5 Gbps'ye kadar şifreleme çözümü performansı;
sanal makine olarak yürütme mümkündür (C-Terra Virtual Gateway);
S-Terra Gateway PC'yi müşterinin AP'sine kurmak mümkündür;
Üretici, C-Terra L2 yazılım modülüne sahip 4 çift 7000 High End ağ geçidi ve iki veri merkezine iki çift anahtar yerleştirerek (trafik yoğunluğu göz önünde bulundurularak) 10 Gbps iletişim kanalını L2 seviyesinde korumak için bir çözüm sunar. korumalı iletişim kanalında çoğunlukla TCP vardır, IP telefonu yoktur).

Şekil 6. С-Terra Gateway 1000

S-Terra Gateway 4.1, Rusya'nın FSB'si tarafından KS1, KS2, KS3 sınıfları için kriptografik koruma sistemi ve sınıf 4'ün ME'si olarak ve ayrıca Rusya'nın FSTEC'i tarafından sınıf 3 güvenlik duvarı (ME 3) olarak onaylanmıştır. Sertifikalar arasında:

Rusya'nın FSB'si №СФ / 124-2517, KC3 sınıfının şifreleme (kriptografik) araçları için gereksinimlerin karşılandığını doğrular;

Rusya FSB №СФ / 525-2663, 4. güvenlik sınıfının güvenlik duvarları için gereksinimlerin karşılandığını onaylar;

Rusya'nın FSTEC No. 3370, S-Terra Gateway'in “Bilgisayar tesisleri” kılavuz belgesinin gerekliliklerine uygun olduğunu onaylar. Güvenlik duvarları. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri "- 3. güvenlik sınıfı için.

S-Terra Gateway hakkında daha fazla bilgi üreticinin web sitesinde bulunabilir.

Elmas VPN (TCC)

TCC Diamond VPN / FW donanım ve yazılım kompleksi, güvenlik duvarı, VPN ağ geçidi ve izinsiz giriş tespit sisteminin (IDS) işlevlerini birleştiren yüksek performanslı bir UTM çözümüdür.

PAK, DTLS protokolünü kullanarak GOST 28147-89 şifreleme sağlar.

Ana özellikler şunlardır:

"aktif / pasif" modunda hataya dayanıklı bir yapılandırma oluşturma desteği;
performansın mevcudiyeti (model 7141), yüksek performans sağlayan (16 Gbps'ye kadar hızlarda şifreleme, güvenlik duvarı - 40 Gbps'ye kadar);
maksimum donanım yapılandırmasında yüksek bağlantı noktası yoğunluğu (32'ye kadar RJ45 GbE bağlantı noktası / 32'ye kadar GbE SFP bağlantı noktası / 16'ya kadar 10G SFP + bağlantı noktası);
APCS'deki bilgileri korumak için endüstriyel düzeyde bir kripto ağ geçidinin (Diamond VPN / FW Endüstriyel modeli) varlığı.

Şekil 7. PAK Diamond VPN / FW

PAK, yerli yazılım siciline (No. 1425) dahil edilmiştir ve Rusya'nın 2260 No'lu geçerli bir FSTEC sertifikasına sahiptir ve “Bilgisayar tesisleri” kılavuz belgesinin gerekliliklerine uygunluğu onaylar. Güvenlik duvarları. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri "- 2. güvenlik sınıfı için.

KC1 ve KC2 sınıflarının (versiyona bağlı olarak) şifreleme (kriptografik) araçlarının gereksinimlerine uygunluk için 124-2702 sayılı Rusya FSB'sinin geçerli sertifikasının CIPF Dcrypt 1.0'a sahip olduğuna dikkat edilmelidir. PAC'nin bir parçası olarak şifreleme ve elektronik imza işlevlerini uygular.

Diamond VPN / FW hakkında daha fazla bilgiyi üreticinin web sitesinde bulabilirsiniz.

Dionis-NX ("Faktör-TS")

Dionis-NX donanım ve yazılım kompleksi, Rus şirketi Factor-TS'nin bir gelişimidir. PAK, güvenlik duvarı, kripto yönlendirici, saldırı tespit ve önleme sistemi olarak kullanılabilen bir UTM cihazıdır.

PAK, GRE, PPTP, OpenVPN protokollerini kullanarak GOST 28147-89'a uygun VPN tünelleri oluşturmanıza olanak tanır.

Aşağıdaki ayırt edici özelliklere sahiptir:

üretici, 100 Mbps'den 10 Gbps'ye kadar şifreleme hızları sağlayan donanım platformları için beş seçenek sunar;
hataya dayanıklı bir konfigürasyonda ("aktif / pasif" mod) küme yürütme desteği;
VPN istemcisinin işlevselliğini uygulayan "Dissek" yazılımı ile etkileşim desteği.

Dionis-NX, yerli yazılım kaydına (No. 2772) dahil edilmiştir ve “Bilgisayar tesisleri” kılavuz belgesinin gerekliliklerine uygunluğu onaylayan, 2852 sayılı Rusya'nın geçerli bir FSTEC sertifikasına sahiptir. Güvenlik duvarları. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri "- 2. güvenlik sınıfı için.

KC1 ve KC3 sınıflarının (versiyona bağlı olarak) şifreleme (kriptografik) gereksinimlerine uygunluk için 124-2625 sayılı Rusya FSB'sinin geçerli sertifikasının CIPF DioNIS-NX'e sahip olduğuna dikkat edilmelidir, PAC'nin bir parçası olarak şifreleme işlevlerini uygulayan.

"Dionis-NX" hakkında daha fazla bilgiyi üreticinin web sitesinde bulabilirsiniz.

ViPNet Koordinatörü HW ("Infotecs")

ViPNet Koordinatörü HW donanım ve yazılım kompleksi, Rus şirketi Infotecs tarafından geliştirilmiştir ve sertifikalı bir kripto ağ geçidi ve güvenlik duvarıdır.

ViPNet Coordinator HW, GOST 28147-89'a göre bir VPN (hem ağda hem de OSI modelinin kanal seviyelerinde - L3, L2 VPN) oluşturarak çeşitli iletişim kanalları üzerinden iletilen verilerin korunmasını - şifrelemesini sağlar. PAK, hem veri merkezlerine hem de kurumsal altyapıya güvenli erişim düzenlemenizi sağlar. Orta ve yüksek performanslı PAC'ler 1U form faktöründe sağlanır. Uyarlanmış Linux işletim sisteminde çalışır.

ViPNet Coordinator HW aşağıdaki özelliklere sahiptir:

bir VPN oluşturmak için, iletişim kanalı türünden bağımsız olarak engelsiz güvenli etkileşim, iletişim kanalları arasında otomatik dolaşım sağlayan tescilli ViPNet VPN protokolü kullanılır;
modern çoklu hizmet ağlarında çalışma desteği (Cisco SCCP, H.323 protokollerini kullanarak);
modele bağlı olarak 50 Mbps'den 5.5 Gbps'ye (bağımsız çözümler için) şifreleme performansı;
orta ve yüksek seviyeli modeller (HW1000 modelinden) için hataya dayanıklı konfigürasyon ("aktif / pasif" mod) desteği;
ViPNet Administrator yazılımını kullanarak merkezi yönetim ve uzaktan güncelleme desteği;
çeşitli işletim sistemlerinde (Windows, Linux, macOS, iOS, Android) istemci bileşenleriyle (ViPNet İstemci yazılımı) etkileşim desteği.

Şekil 8. PAK ViPNet Koordinatörü HW1000

Çözümlerinde PAK üreticisi, güvenilir yükleme (APMDZ) için donanım ve yazılım modülleri gibi ek cihazlar kullanmadan yüksek sınıf kripto koruması (KC3) elde etmeyi mümkün kılan sabit konfigürasyonlu donanım platformları kullanır.

ViPNet Coordinator HW, yerli yazılım (No. 2798) kaydına dahil edilmiştir ve aşağıdakiler de dahil olmak üzere çeşitli geçerli uygunluk sertifikalarına sahiptir:

Rusya FSB'si №СФ / 124-2981, KC3 sınıfı şifreleme (kriptografik) araçlarının gereksinimlerinin karşılandığını teyit eder;
Rusya FSB №СФ / 525-3007, 4. güvenlik sınıfının güvenlik duvarları için gereksinimlerin karşılandığını onaylar;
3692 sayılı Rusya FSTEC, PAK'ın bir "A" tipi güvenlik duvarı olduğunu ve "Güvenlik duvarları için gereksinimler" (Rusya'nın FSTEC, 2016) belgelerinin gereksinimlerini karşıladığını ve "Dördüncü korumanın A tipi bir güvenlik duvarının güvenlik profilini karşıladığını onaylar. sınıf. IT.ME.A4.PZ".

ViPNet Coordinator HW hakkında daha fazla bilgi üreticinin web sitesinde bulunabilir.

Yabancı kripto ağ geçitleri

Bu bölümde, bilgi güvenliği ürünlerinin ana yabancı üreticilerine daha yakından bakacağız. İşte yazılım ve donanım tasarımında çözümler için çeşitli seçenekler.

Aşağıda listelenen üreticiler, "hepsi bir arada" kategorisinden "birleştirir", modern pazar UTM çözümleri sunar. Bu, NGFW (Yeni Nesil Güvenlik Duvarı), IDS / IPS (saldırı tespit ve önleme sistemleri), akış antivirüsü ve elbette bir VPN ağ geçidinin işlevselliğini içerir. İkincisi, bu inceleme bağlamında bizi özellikle ilgilendiriyor.

Yabancı satıcıların VPN'leri için yalnızca yabancı şifreleme algoritmaları kullandığına dikkat edilmelidir - DES, 3DES, AES. Buna göre, Rusya'daki bu tür çözümlerin (VPN açısından) hedef müşterisi, incelemenin başında belirtilen düzenleyici düzenlemelere uygun olarak faaliyet gösteren bir devlet kurumu veya kuruluşu değildir.

Kripto güvenlik ürünleri piyasası Rusya Federasyonu topraklarında düzenlendiğinden, yabancı üreticiler ürünlerini geçerli tüm norm ve gereksinimlere uygun olarak resmi olarak ithal etmelidir. Bu durumda iki seçenek mümkündür:

basitleştirilmiş bir program kapsamında ithalat (bildirime göre, kayıt Avrasya Ekonomik Birliği'nin web sitesinde mevcuttur);
Rusya FSB veya Rusya Sanayi ve Ticaret Bakanlığı lisansı altında ithalat.

Rusya FSB'sinin sertifikasyon sisteminde yabancı kriptografik algoritmaların kullanılması nedeniyle, bu bölümde ele alınan çözümler sunulmamıştır.

Cisco VPN Çözümleri (Cisco ASA 5500-X, Cisco Firepower, Cisco ASAv, Cisco IOS VPN)

Uluslararası şirket Cisco Systems, yalnızca bu fırsatın uygulanmasının özelliklerinde değil, aynı zamanda temel işlevsellikte de farklılık gösteren, VPN oluşturmak için geniş bir çözüm portföyüne sahiptir. Örneğin, Cisco ASA 5500-X veya Cisco Firepower, özellikle Uzaktan Erişim VPN'leri için etkin bir şekilde kullanılabilen VPN'leri içeren çok işlevli güvenlik ağ geçitleridir. Ancak, öncelikle İnternet'e bağlanmak için tasarlanmış Cisco ISR / ASR / GSR / CSR yönlendirici, gelişmiş Siteden Siteye VPN özelliklerine sahiptir.

Cisco Adaptive Security Appliance (ASA) ve Cisco Firepower, Cisco'nun amiral gemisi güvenlik ürünleri arasındadır. Sanallaştırılmış ASAv güvenlik ağ geçidi ve IOS VPN yönlendirici ile birlikte bu çözümler, IPSec, IPSec RA, SSL, SSL istemcisiz, DTLS kullanarak 100 Mbps'den 51 Gbps'ye kadar hızlarda ve 60.000'e kadar uzak kullanıcı desteğiyle VPN iletişimini mümkün kılar.

Ayırt edici özellikler

Rezervasyon. İki seçenek vardır: bir yük devretme çözümü ve coğrafi olarak dağıtılmış dahil kümeleme. İlk durumda, iki cihaz tek bir mantıksal cihazda birleştirilir. İki çalışma modu mevcuttur: aktif / bekleme ve aktif / aktif. İkincisinde, 16 adede kadar ASA cihazını (5585-X modeli için) tek bir mantıksal cihazda birleştirmek mümkündür. Bu yetenek, çözümün performansını önemli ölçüde artırabilir.
DMVPN, GET VPN, Easy VPN teknolojileri için destek.
Multimedya trafiğinin korunmasının optimizasyonu.
Uygulama başına VPN işlevini destekler (farklı uygulamalar için farklılaştırılmış trafik şifrelemesi).
Bir VPN tüneli oluşturmadan önce uzak bir sitenin (mobil cihaz) güvenlik uyumluluğunu değerlendirme desteği.
Yerleşik Sertifika Yetkilisi (CA) gibi yerleşik ek güvenlik mekanizmaları.
Harici filtreleme sistemleri ve hizmet yönetimi ile entegrasyon için API - Web proxy, AAA ve uyumluluk değerlendirmesi.
Cisco ASA 5500-X çok işlevli güvenlik platformu, Cisco Firepower veya Cisco yönlendirici, ITU ve NGFW, NGIPS, kötü amaçlı yazılımdan koruma alt sistemi, URL filtreleme alt sisteminin güvenlik yetenekleriyle entegrasyon.

Şekil 9. Cisco Firepower 9300

Cisco ASA 5500-X, Cisco Firepower veya Cisco ISR, Cisco Adaptive Security Device Manager (ASDM), Cisco Firepower Device Manager veya Cisco Security Device Manager aracılığıyla yerel olarak veya Cisco Security Manager, Cisco Firepower Management Center veya merkezi olarak yönetilir. Cisco Savunma Orkestratörü ...

Uzak istemci iş istasyonlarını bağlamak için, Rusça veya Cisco SSL istemcisiz teknolojisine yerelleştirilmiş Cisco AnyConnect Güvenli Mobilite İstemcisi ve ayrıca Apple iOS ve Android'de yerleşik VPN istemcileri kullanılabilir.

Cisco ASA 5500-X, Cisco Firepower ve Cisco ISR çözümleri, PAK'ın A6, B6 sınıflarındaki güvenlik duvarları gereksinimlerine uygun olduğunu belgeleyen ve ayrıca sertifikalandırılmış olan No. 3738 dahil olmak üzere düzinelerce farklı geçerli FSTEC uygunluk sertifikasına sahiptir. belgelenmemiş yeteneklerin olmaması. Cisco, C-Terra CSP şirketi ile birlikte Rus şifreleme algoritmalarına (GOST 28147-89 vb.) dayalı bir şifreleme modülü geliştirmiş ve bunu FSB tarafından KC1 / KC2 sınıfları için bir kriptografik koruma aracı olarak onaylamıştır. Bu modül, üzerinde diğer VPN çözümlerini çalıştırmak için bir platform olarak kullanılabilen bir Cisco ISR için tasarlanmıştır. Özellikle ortak Cisco ISR çözümlerinin VipNet ve TSS VPN çözümleri ile entegrasyonu ve testi gerçekleştirildi.

Cisco ASA 5500-X, Cisco Firepower, Cisco ISR hakkında daha fazla bilgi üreticinin web sitesinde bulunabilir.

F5 Ağları VPN Çözümleri

F5 Networks, eksiksiz çözümler ve bağımsız VPN cihazları sunar. 2016'dan beri şirket, uçtan uca çözümlere odaklandı ve izole VPN ağ geçitleri aşamalı olarak kullanımdan kaldırılıyor.

F5 Access Policy Manager (APM) ürünü, VPN işlevselliğinin yanı sıra, BIG-IP, kullanıcılar ve uygulama sunucuları arasında güvenlik, uygulama trafiği optimizasyonu ve dengeleme sağlayan eksiksiz bir proxy dahil olmak üzere birçok farklı özelliği içeren özel bir yazılım modülüdür. yükler.

BIG-IP VPN istemcisi, gecikmeye duyarlı uygulamaları etkinleştirmek için TLS ve Datagram TLS (DTLS) kullanır. Bu istemci, tüm yaygın masaüstü ve mobil platformlarda kullanılabilir.

BIG-IP çözümleri, tescilli işletim sistemi (OS) F5 TMOS temelinde çalışır. Avantajları arasında:

API Kontrolü kullanarak trafik akışını esnek bir şekilde yönetmenize ve performansı artırmanıza olanak tanıyan açık bir API.
Trafik kontrolü, özel bir betik dili olan iRules kullanılarak F5 cihazları kullanılarak gerçekleştirilir.
Belirli uygulamalar için ağ hizmetlerini dağıtmanıza ve yönetmenize olanak tanıyan IApps şablonları.

F5'in bugüne kadar sunduğu teklifler, BIG-IP 1600 ile başlar ve en büyük bağımsız VPN cihazı olan BIG-IP 11050 ile sona erer.

En büyük blade sunucu çözümü Viprion 4800'dür. 30.000'e kadar SSL işlemini destekler.

Şekil 10. F5 Viprion 4800

F5 Networks ürünleri, ROSS RU.0001.01BI00 (Rusya'nın FSTEC) numaralı sertifikalı bilgi güvenliği ürünlerinin devlet sicilinde sunulmamaktadır.

F5 Networks ürünleri hakkında daha fazla bilgiyi üreticinin web sitesinde bulabilirsiniz.

NetScaler (Citrix Sistemleri)

NetScaler, Citrix Systems'ın ağ güvenliği ürünleri serisidir. Citrix VPN çözümleri, NetScaler Gateway ürününe entegre edilmiştir. NetScaler ağ geçidi, tüm Citrix ekipmanları gibi, şirketin birçok ürün hattına standart olarak entegre edilmiştir.

NetScaler Gateway, Citrix XenDesktop, XenApp, XenMobile, MS RDP, VMware horizonuna ve kurumsal ağ içindeki web uygulamalarına ve kaynaklarına güvenli erişim dahil olmak üzere SSL VPN işlevselliği sunar. Ayrıca ürün, cihazın analizi ve tanımı ile birlikte herhangi bir sunucuya güvenli ağ erişimi yetenekleri sağlar.

Citrix Gateway, trafik gereksinimlerinize bağlı olarak hem TLS hem de DTLS'yi destekler.

Üründeki en düşük MPX platformu (5550), 1500'e kadar SSL işlemini destekler. En üretken (22.120) - 560.000'e kadar SSL işlemi.

Şekil 11. Citrix NetScaler MPX-8005

Citrix NetScaler ağ geçitleri, ROSS RU.0001.01BI00 (Rusya'nın FSTEC) numaralı sertifikalı bilgi güvenliği araçlarının devlet kaydında temsil edilmez.

Citrix ürünleri hakkında daha fazla bilgi için üreticinin web sitesini ziyaret edin.

Darbe Güvenli (Ardıç Ağları)

Pulse Secure, Amerikan Juniper Networks şirketinin bir dizi ürünüdür. Anahtar işlevsellik - SSL VPN.

Üretici, farklı performans ve form faktörüne sahip dört yazılım ve donanım kompleksi sunar.

Minimum yapılandırma modeli (PSA300), 200 SSL bağlantısı için 200 Mbps aktarım hızı sağlar. En yüksek performanslı çözüm (PSA7000) - 25.000 SSL bağlantısı için 10 Gb/sn.

Pulse Secure hattındaki ayırt edici bir özellik, PSA7000 modeli için iki güç kaynağının bulunmasıdır.

Şekil 12. Pulse Secure Appliance 7000

Pulse Secure ağ geçitleri, ROSS RU.0001.01BI00 (Rusya'nın FSTEC) numaralı sertifikalı bilgi güvenliği araçlarının devlet kaydında sunulmaz.

Pulse Secure ürünleri hakkında daha fazla bilgiyi üreticinin web sitesinde bulabilirsiniz.

SonicDuvar

SonicWALL, bir Amerikan ağ güvenliği çözümleri üreticisidir. 2012 yılında şirket, Dell Software Group tarafından satın alındı. 2016'da Dell, SonicWALL'u sattı.

Şirket, çeşitli kapasitelerde çözümler sunmaktadır. Bunlar çoğunlukla NGFW, IPS, VPN, akış antivirüsünün işlevselliğini uygulayan UTM çözümleridir.

VPN açısından, üretici IPSec, SSL'yi destekler. Aşağıdaki şekilde gösterilen en güçlü çözüm, 14 Gbps'ye kadar VPN verimi sağlar. Bu durumda maksimum VPN bağlantısı sayısı 25.000'dir.

SonicWALL ağ geçitleri kendi işletim sistemlerini çalıştırır - Sonic OS.

Şekil 13. SonicWALL SuperMassive 9000 Serisi

SonicWALL ağ geçitleri, ROSS RU.0001.01BI00 (Rusya'nın FSTEC) numaralı sertifikalı bilgi güvenliği araçlarının devlet kaydında sunulmaz.

SonicWALL ürünleri hakkında daha fazla bilgiyi üreticinin web sitesinde bulabilirsiniz.

sonuçlar

Bir kriptografik ağ geçidi, yalnızca özel bir VPN çözümü değil, aynı zamanda hemen hemen her işletmenin veya devlet kurumunun çok çeşitli bilgi güvenliği sorunlarını çözen çok işlevli bir üründür. Kripto ağ geçitlerini uygulamak zor olabilir ve bir kuruluşun nitelikli personele sahip olmasını gerektirir.

İstatistik portalı Statista.com'a göre, 2014 yılında küresel VPN pazar hacmi 45 milyar ABD dolarıydı. Aynı zamanda, 2019 yılına kadar 70 milyara ulaşması bekleniyor. Bu, bir VPN oluşturmaya yönelik cihazların yıldan yıla daha fazla talep göreceğini gösteriyor.

Rusya Federasyonu topraklarında, kriptografik koruma araçlarının çalışma süreçlerinin "Şifreleme (kriptografik) bilgi güvenliği araçlarının geliştirilmesi, üretimi, uygulanması ve işletilmesine ilişkin Yönetmelikler (Yönetmelikler PKZ-2005)" tarafından düzenlenmesine rağmen. , yabancı geliştiriciler hala ürünlerini Rus müşterilerine sunma fırsatına sahipler ... PKZ-2005 uyarınca, yalnızca bilgi alışverişine katılanlar (bir dizi çekinceyle), devlet kurumları değilse, kriptografik korumasına olan ihtiyacı belirler ve uygulanan kriptografik koruma araçlarını seçer.

1 Ocak 2018 tarihinden itibaren "Rusya Federasyonu'nun kritik bilgi altyapısının güvenliği hakkında" (CII) 187-FZ sayılı Federal Yasanın yürürlüğe girmesi, CII ve yakıt ve enerji kompleksi şirketlerini ve tesislerini zorunlu kılacaktır. yetkilileri bilgisayar olayları hakkında bilgilendirmek ve bilgiye yasa dışı erişim girişimlerini önlemek. Böyle bir yasal girişim, önümüzdeki birkaç yıl içinde gelecekte kripto güvenlik segmentinin büyümesi için ek bir fırsat yaratacaktır.

Modern yerli kripto ağ geçitleri, daha dün yalnızca yabancı üreticiler tarafından sunulan daha fazla işlevsellik (Yeni Nesil Güvenlik Duvarı, IDS, IPS, akışlı antivirüs) kazanıyor. Artan rekabet, pazardaki oyuncu sayısındaki artış, müşterinin en avantajlı konumda olmasına ve ihtiyaçlarına ve yeteneklerine gerçekten uygun olanı seçmesine olanak tanır.