CSP VPN Gate 7000 представляет собой высокопроизводительный программный комплекс – шлюз безопасности, функционирующий на аппаратной платформе под управлением операционной системы Sun Solaris 9.
Предназначается для обеспечения сетевой безопасности крупных офисов – одновременно может устанавливаться неограниченное количество туннелей.
Программный комплекс CSP VPN Gate 7000 обеспечивает защиту и пакетную фильтрацию как трафика подсетей, проходящего через него, так и защиту трафика самого шлюза безопасности. Линейка CSP VPN является частью решения по безопасности Cisco, адаптированного к российским стандартам информационной безопасности, и предназначена для использования в рамках идеологии Cisco SDN.
Управление шлюзом безопасности CSP VPN Gate 7000 осуществляется:
- централизованно удаленно посредством графического интерфейса центра управления CiscoWorks VPN/Security Management Solution v.2.3 – CiscoWorks Router Management Center (Router MC);
- централизованно удаленно посредством графического интерфейса Cisco Security Manager 3.2 (CSM), который входит в состав Cisco Security Management Suite;
- локально или удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки используется подмножество команд Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems;
- удаленно с использованием Web-based интерфейса управления.
CSP VPN Gate 7000 совместим со следующими продуктами компаний Cisco и «С-Терра СиЭсПи»:
- Cisco Routers. IOS version 12.4 (13a) и выше;
- Cisco PIX Security Appliance. Software version 6.3 и выше;
- CSP VPN Client;
- CSP VPN Server;
- CSP VPN Gate 100B/100/1000/3000;
- NME-RVPN.
Решения CSP VPN обеспечивают построение виртуальных защищенных сетей (VPN) предприятия:
- Шифрование (конфиденциальность), электронно-цифровая подпись (целостность, аутентификация) IP пакетов:
- гибкость в реализации политики сетевой защиты (множественность алгоритмов шифрования, включая ГОСТ; сложные конфигурации туннелей);
- высокая стойкость защиты информации;
- Аутентификация узлов сети;
- Аутентификация пользователей;
- Контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений;
- Формирование защищенных соединений между:
- подсетями;
- компьютерами (клиент-сервер, одноранговые клиенты);
- Защита для сложных сетевых инфраструктур.
Характеристики
- Обеспечение защиты трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP;
- Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней;
- Различные наборы правил обработки трафика на различных интерфейсах;
- Интеллектуальное отслеживание доступности партнёров обмена (DPD);
- Интегрированный межсетевой экран;
- Поддержка работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG сервер);
- Возможность получения сертификатов открытых ключей по протоколу LDAP;
- Поддержка маскировки реального IP адреса (туннелирование трафика);
- Управляемое событийное протоколирование (syslog);
- Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks VPN Monitor;
- Прозрачность для работы сервиса QoS;
- Поддержка инкапсуляции пакета ESP в UDP (NAT traversal);
- Совместимость с PKI и LDAP службами зарубежных и российских производителей (RSA Keon, Microsoft, SunONE, «Крипто-Про», «Валидата», «Сигнал-КОМ», «ЛИССИ»).
Спецификация платформы
CSP VPN Gate 7000 выпускается на базе аппаратных платформ:
- HP Proliant DL360G;
- Sun Fire X4150.
| Описание | Спецификация |
| Количество одновременно поддерживаемых VPN туннелей | Не ограничено |
| Количество сетевых интерфейсов | 2/4 (10/100/1000 Mbps) |
| Объем оперативной памяти | 2 – 4 GB |
| Количество и тип процессоров | 2 x Intel Xeon |
| Количество, объем и тип интерфейса жестких дисков | 1 SAS для модификации Standard 2 SAS (RAID) для модификации High Performance |
| Корпус | 1U/2U, 19'' rack mounted; резервирование блоков питания для модификации HighPerformance |
| Операционные системы | Sun Solaris 9 |
| Протоколы IKE/IPsec | Стандарты RFC 2401 – 2412 |
| Алгоритмы шифрования | NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89 |
| Алгоритмы электронно-цифровой подписи | DSA, RSA, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001 |
| Алгоритмы вычисления хэш сумм | MD5, SHA1, ГОСТ Р 34.11-94 |
| Подключение внешних криптографических модулей | Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:
|
| Информационные обмены протокола IKE | Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges |
| Режимы аутентификации в протоколе IKE | Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001 |
| Дополнительные возможности IKE | Режим IKECFG для объединения различных сетевых объектов в виртуальную локальную сеть |
| Обеспечение надежности (пересинхронизации) защищенных соединений | Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04) |
| Событийное протоколирование | Syslog |
| Сбор статистики | SNMP v.1, v.2c |
| Формат сертификатов публичных ключей | X.509 v.3 (RSA, DSA, ГОСТ) |
| Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом | Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат |
| Способы получения сертификатов | Протоколы IKE, LDAP v.3 Импорт из файла (bin и base64, PKCS7 bin и base64, PKCS#12 bin и base64) |
| Способ получения ключевой пары | Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER. Генерация внешним PKI сервисом с доставкой через PKSC#12 |
| Поддержка списка отозванных сертификатов | Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2. Способы получения CRL:
|
| Работа через NAT | Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02) |
