NGFW Континент 4

Назначение комплекса

Комплекс Континент 4 реализует следующие функции:

межсетевого экранирования
обнаружения и предотвращения вторжений
обеспечения доступа удалённых пользователей к корпоративной сети
поддержания сетевых возможностей (коммутация, маршрутизация, организация VLAN и т.д.)
журналирования, аудита и мониторинга событий
централизованного и локального управления компонентами комплекса

Состав комплекса

Агент идентификации - программное средство, устанавливаемое на ПК пользователя для связи с узлом безопасности, с целью проверки учётных данных
Менеджер конфигурации - программное средство, устанавливаемое на ПК администратора для управления политиками безопасности комплекса
Узел безопасности - комплекс программных средств, устанавливаемых на аппаратную платформу

Управление комплексом

Комплекс Континент 4 предусматривает следующие варианты управления:

Типовые аппратные платформы

Лицензирование

определяет набор используемых функций комплекса;
без лицензии невозможна установка политик;
по умолчанию в Комплексе предусмотрена демо-лицензия;
срок демо-лицензии 14 дней;
при первой установке в БД ЦУС прописывается ID клиента из лицензии, впоследствии нужно привязывать лицензии только с заданным ID;
деактивированную лицензию можно привязать к другому узлу или вообще удалить.

Администраторы Комплекса

Предусмотрены 2 типа ролей:

Встроенные роли:

Главный администратор ‐ встроенная роль, имеет полный набор привилегий, кроме удалённого доступа по SSH;
Администратор безопасности ‐ встроенная роль, имеет права на управление сертификатами безопасности;
Администратор сети ‐ встроенная роль, имеет права на управление сетевыми параметрами;
Администратор аудита ‐ встроенная роль, имеет права на просмотр параметров и жкрналов Комплекса;

Настройка удалённого доступа по SSH

Узел безопасности

Режимы работы узла безопасности:

UTM
Детектор атак
Высокопроизводительный МЭ

Программные компоненты UTM:

ЦУС - осуществляет управление комплексом и оперативный мониторинг его компонентов, сбор и хранение журналов
Межсетевой экран - обязательный компонент в режимах UTM и Высокопроизводительный МЭ; в режиме UTM поддерживает контроль протоколов и приложений, URL-фильтрация, антивирус, модуль GeoProtection
Приоритизация трафика - позволяет настроить правила QoS и обрабатывать трафик в соответствии с заданным приоритетом
L2VPN - позволяет настроить виртуальный коммутатор поверх VPN-сети и тем самым связать интерфейсы узлов безопасности в L2-сеть
L3VPN - организация обычного VPN-соединения вида Site-to-Site

Программные компоненты UTM (продолжение):

Система обнаружения вторжений - осуществляет анализ трафика сигнатурными и эвристическими методами, с уведомлением администратора и/или блокировкой вредоносного трафика
Сервер доступа - организация VPN-соединений удалённых пользователей к корпоративной сети
Идентификация пользователей - обеспечивает идентификацию встроенных пользователей и пользователей из Active Directory
Модуль поведенческого анализа - обеспечивает обнаружение и блокировку аномального трафика, атак сканирования, атак на основе корректности протоколов и DDoS-атак

Программные компоненты Высокопроизводительного МЭ:

Межсетевой экран
Приоритизация трафика

Программные компоненты Детектора атак:

Детектор атак

<< >>

Локальное управление

осуществляется путём подключения к комплексу клавиатуры и монитора или KVM;
осуществляется путём подключения ноутбука через serial port;

Через локальное управление реализуются следующие функции:

просмотр системных сведений, сведений о лицензиях;
управление сертификатами;
просмотр журналов событий и их очистка;
диагностика Комплекса;
резервирование и восстановление конфигурации;
управление конфигурацией;
инициализация Комплекса;
настройка подключения к ЦУС;
установка системного времени;
настройка сетевых параметров.

Централизованное управление

обеспечивается удалённое управление Комплексом с помощью Менеджера конфигурации
ограничений на количество установок Менеджера конфигурации нет;
Менеджер конфигурации устанавливает защищённое соединение с ЦУС;
для Администратора, средствами Менеджера конфигурации, разрешено настроить политики безопасности учётных записей.

Высокопроизводительные устройства

модель - IPC-3000F;
форм-фактор - 1U;
сетевые интерфейсы - 1x1000BASE-T RJ45, 8x1G SFP и 4x10G SFP+ ;
кол-во устройств под управлением ЦУС - стандартная платформа: до 150, выделенная (IPC-3000FM): до 500;
кол-во одновременных подключений к СД - до 3000

модель - IPC-3000NF2;
форм-фактор - 1U;
сетевые интерфейсы - 9x1000BASE-T RJ45 и 8x10G SFP+ ;
кол-во устройств под управлением ЦУС - стандартная платформа: до 150;
кол-во одновременных подключений к СД - до 3000

модель - IPC-3000;
форм-фактор - 1U;
сетевые интерфейсы - 8x1000BASE-T RJ45 и 8x10G SFP+ ;
кол-во устройств под управлением ЦУС - стандартная платформа: до 500;
кол-во одновременных подключений к СД - до 3000

<< >>

Средняя производительность

модель - IPC-R300;
форм-фактор - настольный с комплектом крепления в стойку 1U;
сетевые интерфейсы - 4x1000BASE-T RJ45, 2x Combo SFP/RJ45 и 2x10G SFP+ ;
кол-во устройств под управлением ЦУС - стандартная платформа: до 40
кол-во одновременных подключений к СД - до 100

модель - IPC-R550;
форм-фактор - настольный с комплектом крепления в стойку 1U;
сетевые интерфейсы - 4x1000BASE-T RJ45, 2x Combo SFP/RJ45 и 2x10G SFP+ ;
кол-во устройств под управлением ЦУС - стандартная платформа: до 80;
кол-во одновременных подключений к СД - до 150

модель - IPC-R800`;
форм-фактор - 1U;
сетевые интерфейсы - 8x1000BASE-T RJ45 и 4x10G SFP+ ;
кол-во устройств под управлением ЦУС - стандартная платформа: до 200;
кол-во одновременных подключений к СД - до 800

<< >>

Базовая производительность

модель - IPC-R10;
форм-фактор - настольный с комплектом крепления в стойку 1U;
сетевые интерфейсы - 4x1000BASE-T RJ45 и 1x1G SFP;
кол-во устройств под управлением ЦУС - стандартная платформа: до 5
кол-во одновременных подключений к СД - не поддерживается

модель - IPC-R50;
форм-фактор - настольный с комплектом крепления в стойку 1U;
сетевые интерфейсы - 4x1000BASE-T RJ45 и 1x1G SFP;
кол-во устройств под управлением ЦУС - стандартная платформа: до 10
кол-во одновременных подключений к СД - до 50

модель - IPC-10;
форм-фактор - Mini-ITX
сетевые интерфейсы - 3x1000BASE-T RJ45
кол-во устройств под управлением ЦУС - стандартная платформа: до 1
кол-во одновременных подключений к СД - не поддерживается

модель - IPC-50;
форм-фактор - Mini-ITX
сетевые интерфейсы - 4x1000BASE-T RJ45 и 1х1G SFP
кол-во устройств под управлением ЦУС - стандартная платформа: до 5
кол-во одновременных подключений к СД - до 25

<< >>

Виртуальное исполнение

2 ядра:

режим UTM (МЭ+IPS+DPI): до 700 Мбит/с;
режим МЭ: до 4000 Мбит/с;

4 ядра:

режим UTM (МЭ+IPS+DPI): до 2500 Мбит/с;
режим МЭ: до 12000 Мбит/с;

8 ядер:

режим UTM (МЭ+IPS+DPI): до 6000 Мбит/с;
режим МЭ: до 16000 Мбит/с;

Встроенные роли

роли с фиксированным набором привилегий;
запрещено редактировать или удалять.

Пользовательские роли

роли с настраиваемым набором привилегий;
администратор Комплекса может создавать и редактировать.

Настройка удалённого доступа по SSH:

максимальное количество сетевых объектов, которым можно предоставить доступ по SSH, - 10;

Настройка средствами локального управления:

в Менеджере конфигурации: создать роль с правом удалённого доступа;
в Менеджере конфигурации: назначить администатору роль с правом удалённого доступа;
в меню локального управления: Настройки -> Сеть -> Настройки SSH -> Ограничение доступа по SSH
в меню локального управления: добавить адрес, диапазон адресов или подсеть в список;
в меню локального управления: применить локальную политику
в Менеджере конфигурации: подтвердить локальные изменения

Настройка средствами Менеджера конфигурации:

создать роль с правом удалённого доступа;
назначить администатору роль с правом удалённого доступа;
в разделе "Структура" открыть свойства выбранного узла безопасности
выбрать раздел "Доступ по SSH" и активировать режим удалённого доступа по SSH
сформировать список из адресов, диапазонов адресов или подсетей, с которых разрешено удалённое подключение по SSH
сохранить изменения и установить политику

<< >>