АПКШ «Континент»

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 21:16, 25 мая 2017.

АПКШ «Континент» (программный комплекс шифрования «Континент») — аппаратно-программный комплекс, позволяющий обеспечить защиту информационных сетей организации от вторжения со стороны сетей передачи данных (Интернет), конфиденциальность при передаче информации по открытым каналам связи (VPN), организовать безопасный доступ пользователей VPN к ресурсам сетей общего пользования, а также защищенное взаимодействие сетей различных организаций.

Kontinent.gif

Является сертифицированным продуктом и обладает сертификатами ФСТЭК и ФСБ.[Источник 1]

Назначение

Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.[Источник 2][Источник 3]

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» 3.7 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

Область применения

  • Защита внешнего периметра сети от вредоносного воздействия со стороны сетей общего пользования.
  • Создание отказоустойчивой VPN-сети между территориально распределенными сетями.
  • Защита сетевого трафика в мультисервисных сетях (VoIP, Video conference).
  • Разделение сети на сегменты с различным уровнем доступа.
  • Организация защищенного удаленного доступа к сети для мобильных сотрудников.
  • Защита пользовательского траффика, использующего беспроводную сеть в качестве канала.
  • Организация защищенного межсетевого взаимодействия между конфиденциальными сетями.

Возможности

  • Безопасный доступ пользователей VPN к ресурсам сетей общего пользования
  • Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89
В АПКШ «Континент» 3.7 применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата. Шифрование данных производится в соответствии с ГОСТ 28147–89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28147–89 в режиме имитовставки. Управление криптографическими ключами ведется централизованно из ЦУС.
  • Межсетевое экранирование – защита внутренних сегментов сети от несанкционированного доступа
Криптошлюз «Континент» 3.7 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Это позволяет защитить внутренние сегменты сети от проникновения из сетей общего пользования.
  • Безопасный доступ удаленных пользователей к ресурсам VPN-сети
Специальное программное обеспечение «Континент АП», входящее в состав АПКШ «Континент» 3.7, позволяет организовать защищенный доступ с удаленных компьютеров к корпоративной VPN-сети.
  • Создание информационных подсистем с разделением доступа на физическом уровне
В АПКШ «Континент» 3.7 можно подключать 1 внешний и 3–9 внутренних интерфейсов на каждом криптошлюзе. Это значительно расширяет возможности пользователя при настройке сети в соответствии с корпоративной политикой безопасности. В частности, наличие нескольких внутренних интерфейсов позволяет разделять на уровне сетевых карт подсети отделов организации и устанавливать необходимую степень взаимодействия между ними.
  • Возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети криптошлюзов
Идентификация и аутентификация пользователей предназначены для более тонкой настройки доступа сотрудников к корпоративным ресурсам. Идентификация и аутентификация пользователей выполняются с помощью специальной программы «Клиент аутентификации пользователя», установленной на компьютере пользователя защищенной сети.

Основные характеристики

  • Поддержка распространенных каналов связи
  • Прозрачность для любых приложений и сетевых сервисов
  • Работа с высокоприоритетным трафиком
  • Резервирование гарантированной полосы пропускания за определенными сервисами
  • Поддержка VLAN
  • Скрытие внутренней сети. Поддержка технологий NAT/PAT
  • NAT внутри VPN-связей
  • Интеграция с внешними системами анализа событий безопасности
  • L2VPN
  • Поддержка NTP на ЦУСе
  • АРМ генерации ключей
  • Поддержка протокола IPv6
  • Режим повышенной безопасности
  • Возможность удобного защищенного взаимодействия между сетями разных организаций
  • Возможность интеграции с системами обнаружения атак
  • Защита от DoS-атак типа SYN-flood
  • Поддержка внешних 3G-модемов (USB)
  • Функционал DHCP сервера на КШ

Работа через Dial-Up соединения, оборудование ADSL, подключенное непосредственно к криптошлюзу, а также через спутниковые каналы связи. Криптошлюзы «Континент» 3.7 «прозрачны» для любых приложений и сетевых сервисов, работающих по протоколу TCP/IP, включая такие мультимедиасервисы, как IP-телефония и видеоконференции.

Реализованный в АПКШ «Континент» 3.7 механизм приоритизации трафика позволяет защищать голосовой (VoIP) трафик и видеоконференции без потери качества связи.

Резервирование гарантированной полосы пропускания за определенными сервисами обеспечивает прохождение трафика электронной почты, систем документооборота и т.д. даже при активном использовании IP-телефонии на низкоскоростных каналах связи.

Поддержка VLAN гарантирует простое встраивание АПКШ в сетевую инфраструктуру, разбитую на виртуальные сегменты. Поддержка технологии NAT/PAT позволяет скрывать внутреннюю структуру защищаемых сегментов сети при передаче открытого трафика, а также организовывать демилитаризованные зоны и сегментировать защищаемые сети.

Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется:

  • методом инкапсуляции передаваемых пакетов (при шифровании трафика);
  • при помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами.

Реализован механизм виртуальной адресации для обеспечения возможности обмена информацией между защищаемыми IP-подсетями с пересекающимся или одинаковым адресным пространством. В состав АПКШ «Континент» входит модуль «ArcSight коннектор», предназначенный для выгрузки событий в систему ArcSight ESM. Дополнительный модуль ПАК «Криптографический коммутатор» обеспечивает поддержку режима L2VPN для объединения распределенных сетей на канальном уровне L2 без изменения адресного пространства.

Есть возможность автоматической синхронизации времени ЦУС и всей сети криптошлюзов с заданным сервером точного времени по протоколу NTP. В состав комплекса добавлено автоматизированное рабочее место генерации ключей для введения режима управления по схеме трехлетнего хранения ключевой информации. В качестве носителя ключевой информации используются USB-ключи Rutoken ЭЦП, ключи шифрования записывают в защищенную область памяти.

Реализована поддержка работы с каналами связи, использующими протокол IPv6. Режим повышенной безопасности позволяет создавать группы криптографических шлюзов с политиками безопасности, исключающими попадание незашифрованного трафика во внешние сети.

Обеспечивается возможность установления доверительных отношений между криптошлюзами, принадлежащими разным криптографическим сетям и управляемыми разными ЦУС, для организации защищенного обмена между разными организациями. Все настройки производятся централизованно при помощи программы управления ЦУС с использованием собственной инфраструктуры открытых ключей. На каждом криптошлюзе существует возможность специально выделить один из интерфейсов для проверки трафика, проходящего через КШ, на наличие попыток неавторизованного доступа (сетевых атак). Для этого необходимо определить такой интерфейс, как «SPAN-порт», и подключить к нему компьютер с установленной системой обнаружения атак (например RealSecure). После этого на данный интерфейс начинают ретранслироваться все пакеты, поступающие на вход пакетного фильтра криптошлюза.

Для защиты от DoS-атак предусмотрен механизм антиспуфинга. Специальные механизмы борьбы с SYN-flood позволяют либо ограничить количество соединений, используя «агента» (TCP proxy), либо блокировать соединение до целевого сервера до тех пор, пока клиент не ответит на свой собственный запрос подтверждением в рамках стандартного алгоритма работы TCP. Полуоткрытые соединения с просроченным временем ожидания автоматически удаляются из таблицы состояния.Реализована поддержка внешних 3G-модемов (USB) для подключения криптошлюзов через провайдеров сотовых сетей.

Обслуживание и управление

АПКШ «Континент» 3.7 не требует постоянного локального администрирования и может работать в необслуживаемом режиме 24*7х365. Промышленные компьютеры, используемые в производстве комплекса, в совокупности с возможностью горячего и холодного резервирования гарантируют бесперебойную работу комплекса. Комплекс осуществляет оперативное оповещение администраторов о событиях, требующих оперативного вмешательства, в режиме реального времени.

В комплексе решена проблема обновления программного обеспечения криптошлюзов в территориально распределенных системах. Обновление ПО загружается в комплекс централизованно, рассылается на все криптошлюзы, входящие в состав комплекса, и автоматически устанавливается.

Отказоустойчивость комплекса обеспечивается следующими мерами:

  • Аппаратное резервирование криптографических шлюзов (создание кластера высокого доступа). В случае выхода из строя одного из криптошлюзов переключение на резервный производится автоматически без вмешательства администратора и без разрыва установленных соединений.
  • Автоматическое резервное копирование конфигурационных файлов комплекса. Обеспечивает быстрое восстановление работы сети в случае выхода аппаратуры из строя.

Централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет в диалоговом режиме изменять настройки всех криптошлюзов сети и вести оперативный мониторинг их текущего состояния. Отображение состояния всех устройств на рабочем месте администратора в масштабе реального времени позволяет своевременно выявлять отклонения от нормального процесса функционирования и оперативно на них реагировать.

Реализована возможность разделения полномочий на администрирование комплекса, например, на управление ключевой информацией, на назначение прав доступа к защищаемым ресурсам, на добавление новых компонентов, на аудит действий пользователей (в том числе и других администраторов).

Взаимодействие с системами управления сетью позволяет контролировать состояние АПКШ «Континент» 3.7 по протоколу SNMPv2 из систем глобального управления сетью (Hewlett-Packard, Cisco и др.)

Архитектура АПКШ «Континент» 3.7

АПКШ «Континент» состоит из:

1.Центр управления сетью АПКШ «Континент» 3.7
  • Центр управления сетью (ЦУС) осуществляет централизованное управление и мониторинг работы всех компонентов комплекса «Континент».
  • Управление осуществляется с помощью программы управления ЦУС (ПУ ЦУС).
2.Криптошлюз
  • Межсетевое экранирование на основе технологии Stateful Packet Inspection (SPI) с поддержкой NAT/PAT.
  • Создание VPN-каналов между сетями предприятия в соответствии с криптоалгоритмом ГОСТ 28147-89 (позволяет создать L3 VPN-сети).
  • Маршрутизация трафика: статическая, динамическая и Multicast-маршрутизации.
  • Приоритизация трафика механизмами QoS.
  • Поддержка DHCP-сервера.
  • Обеспечение работы в сетях IPv6.
  • Защита от DoS-атак.
  • Обеспечение работы в режиме повышенной безопасности с исключением попадания незашифрованного трафика во внешние сети.
  • Возможность распределения шифрованного трафика между фермой криптошлюзов для достижения производительности свыше 10 Гбит/с.
  • Обеспечение отказоустойчивости благодаря поддержке работы в режиме кластера высокой доступности.
3.Криптографический коммутатор
  • Прозрачное объединение сетей на канальном уровне без изменения адресного пространства (позволяет создать L2 VPN сети).
  • Обеспечение отказоустойчивости благодаря поддержке работы в режиме кластера высокой доступности.
4.Детектор атак
  • Обнаружение сетевых атак сигнатурными и эвристическими методами.
  • Информирование администратора в режиме реального времени об обнаруженных атаках через ПУ ЦУС, а также по электронной почте.
  • Построение графических отчетов о работе комплекса и выявленных атаках в ПУ ЦУС.
5.Сервер доступа
  • Позволяет осуществить защищенное подключение удаленных и мобильных пользователей, использующих программный VPN-клиент «Континент-АП».
  • Управление осуществляется с помощью программы управления сервером доступа (ПУ СД).
6.СКЗИ «Континент-АП»
  • Обеспечивает защищенный доступ удаленных и мобильных пользователей к корпоративной сети.
  • Межсетевое экранирование для безопасного подключения рабочих станций с установленным СКЗИ «Континент-АП» к сетям общего пользования и разграничение доступа к сетевым ресурсам АРМ.

Варианты использования АПКШ «Континент» 3.7

  • Создание защищенной корпоративной сети связи на базе интернета
  • Защита ИТ-инфраструктуры предприятия от сетевых угроз
  • Защита трафика систем видео-конференц-связи и IP-телефонии
  • Защита сетей банкоматов и платежных терминалов
  • Подключение к системе межведомственного электронного взаимодействия (СМЭВ)
  • Защищенный удаленный доступ, в том числе с мобильных устройств
  • Защита систем виртуализации рабочих мест (VDI)
  • Защита информационных систем персональных данных (ИСПДн)
  • Защита государственных информационных систем (ГИС)
  • Объединение распределенных сетей без изменения адресного пространства
  • Защита канала между ЦОД
  • Внедрение технических мер для приведения ИТ-систем в соответствие требованиям приказов ФСТЭК России №17, 21 и 3

Возможности АПКШ «Континент» 3.7

Обнаружение сетевых вторжений:

  • Сочетание сигнатурного и эвристического методов анализа сетевого трафика
  • Регистрация информации об атаке
    • Субъект/объект атаки, IP-адрес, номер порта
    • Время и дата события
    • Тип атаки
  • Обновление базы решающих правил (БРП)
    • Автоматически
    • Вручную
  • Поддержка широкого списка протоколов
    • Сетевого уровня: ICMPv4, ICMPv6, IPv4, IPv6
    • Транспортного уровня: TCP, UDP, SCTP
    • Канального уровня: PPPoE, PPP
    • Прикладного уровня: FTP, HTTP, SMB, SSH, SMTP
    • Сеансового уровня: SSL, DCE/RPC
  • Оперативное уведомление об атаках
    • Оповещение в консоли ЦУС
    • Оповещение по электронной почте
  • Интеграция в существующую сетевую инфраструктуру
    • Подключение к SPAN-порт

Управление и мониторинг:

  • Централизованная система управления:
    • Узлами сети
    • Настройками маршрутизации
    • Правилами фильтрации трафика
    • VPN-связями
    • Криптографическими ключами
  • Графическая консоль управления
  • Мониторинг состояния сети и событий НСД в реальном времени
  • Поддержка SNMP-trap
  • Централизованное обновление версии ПО всех узлов сети
  • Централизованный сбор и хранение журналов во внешней СУБД
  • Возможность регистрации каждого пакета
  • Интеграция с SIEM HP ArcSight
    • Выгрузка и конвертация журналов в формат XML
  • Синхронизация системного времени
    • Автоматическая синхронизация системного времени криптошлюзов с центром управления сетью
  • Синхронизация системного времени ЦУС с NTP-серверами

Межсетевое экранирование:

  • Контроль состояния сетевых соединений
  • Защита от DoS-атак
  • Фильтрация трафика по:
    • IP-адресу, группам IP-адресов или диапазону IP-адресов источника и назначения
    • Номерам портов
    • Типам протоколов
    • Типам и кодам сообщений ICMP
    • Направлению пакетов
    • Клиенту или серверу в TCP-соединении
    • В соответствии с расписанием
  • Идентификация и аутентификация пользователей МЭ

Сетевые возможности:

  • Поддержка IPv6
  • Резервирование WAN-канала
  • Резервирование VPN-канала
  • Поддержка протоколов динамической маршрутизации
    • RIP
    • OSPF
    • BGP
  • Поддержка Multicast-маршрутизации
  • Приоритизация трафика (QoS)
    • Защита от перегрузок
    • Управление очередями
    • Перенос полей ToS
  • Резервирование и ограничение полосы пропускания трафика
  • Поддержка технологии VLAN (IEEE802.1Q)
  • Поддержка технологии NAT
    • Source NAT
    • Destination NAT
    • Bidirectional NAT
  • Возможность работы КШ за NAT
  • Встроенный сервер IP-адресов
    • DHCP-сервер
    • DHCP-relay
  • NAT-трансляция внутри VPN. Позволяет создавать VPN между сетями с пересекающимися диапазонами IP-адресов

Шифрование:

  • Поддерживаемые криптоалгоритмы:
    • Шифрование данных производится в соответствии с ГОСТ 28147-89 в режиме гаммирования с обратной связью
    • Защита данных от искажения осуществляется по ГОСТ 28147-89 в режиме имитовставки
  • Ключевая схема:
    • Site-to-site VPN – симметричное распределение ключей
    • Remote Access VPN – открытое распределение ключей
  • Управление криптографическими ключами производится централизованно
  • Протокол туннелирования
    • Шифрование и инкапсуляция IP-трафика в UDP (L3 VPN)
    • Шифрование и инкапсуляция Ethernet-кадров в UDP (L2 VPN)

Отказоустойчивость:

  • Использование модулей твердотельной памяти DOM и SSD
  • Режим автоматического переключения на резервный канал связи
  • Режим кластера высокой доступности с автоматической синхронизацией конфигураций элементов кластера
  • Работа в необслуживаемом режиме 24х7х365
  • Среднее время наработки на отказ – 40 000 часов

Модельный ряд АПКШ «Континент»

Устройства начального уровня:

  • IP64
  • IPC-10
  • IPC-25

Устройства средней производительности:

  • IPC-100
  • IPC-400
  • IPC-1000
  • IPC-1000F
  • IPC-1000F2

Высокопроизводительные устройства:

  • IPC-3000F
  • IPC-3034
  • IPC-3034F

Описание платформы АПКШ «Континент» - IPC-3034F (S021)

IPC-3034F.png

Технические характеристики Характеристики аппаратной платформы

Форм-фактор 2U для монтажа в 19 стойку, Корпус R (Rack) (рельсы входят в комплект поставки)
Габариты (ВхШxГ) 88 x 430 x 550 мм
Процессор 2 восьмиядерных (общее количество физических ядер - 16) Intel® Xeon® E5-2470 v2 (20 Мб кэш L2, 2.4 ГГц)
Оперативная память) 4Gb DDR-3 SDRAM
Сетевые интерфейсы выполнены в виде легко заменяемых модулей:
  • 2х 1000BASE-T Ethernet 10/100/1000 UTP RJ45
  • 32x 1000BASE-X Gigabit Ethernet Fiber SFP
Накопители оптические привод DVD-RO
Жесткие диски SATA SSD модуль не менее 30Гбайт
Блок питания 2х 680W с "горячей" заменой
Считыватель Touch Memory
Персональные идентификаторы Touch Memory iButton DS1992L 2шт.
Встроенный модуль АПМДЗ ПАК «Соболь» 3.0 PCIe
USB-flash drive не менее 512 Мб
Упаковка индивидуальная картонная коробка
Вес 29,6 кг
Уровень акустического шума при 100% загрузке (методика измерения ISO7779) 58 dBA
Встроенная операционная система Continent OS – усовершенствованная ОС с усиленной безопасностью на основе ядра FreeBSD
Производительность VPN (шифрования+ фильтрация МЭ) до 950 Мбит/с
Производительность МЭ (открытый трафик) до 950 Мбит/с
Максимальное количество обрабатываемых конкурирующих TCP сессий (keep-state) 3 000 000

Характеристики криптографической подсистемы

Поддерживаемые криптоалгоритмы Шифрование ГОСТ 28147-89 (256 бит), имитозащита, хеширование ГОСТ Р 34.11-2012
Ключевая схема
  • Site-to-site VPN – симметричное распределение ключей
  • Mobile user VPN – открытое распределение ключей
Протокол туннелирования Технология «Континент», шифрование и инкапсуляция IP-трафика в UDP (L3 VPN)
Количество защищенных соединение (VPN тоннелей) Не ограничено

Межсетевое экранирование

Поддержка технологии Stateful Packet Inspection Да
Защита от DOS атак Да (контроль фрагментированных пакетов, антиспуфинг)
Фильтрация
  • Фильтрация по IP-адресу источника и назначения (или диапазону IP-адресов), номерам портов и типам протоколов, типам и кодам сообщений ICMP, направлению пакетов, клиенту или серверу в TCP-соединении
  • Фильтрация в соответствии с настраиваемым расписанием
Идентификация и аутентификация пользователей МЭ Да (Позволяет применять правила МЭ к группам пользователей)

Сетевые возможности

Поддержка протокола сетевого взаимодействия IPv6 Да (возможность организации VPN связей через IPv6-сети провайдеров)
Поддержка режима мульти-WAN Да
Резервирование WAN канала (WAN-failover) Да
Резервирование VPN канала (VPN-failover) Да
Режим балансировки исходящего открытого трафика между WAN портами Да
Маршрутизация на основе политик, через разные WAN интерфейсы Да
Поддержка протоколов динамической маршрутизации OSPF, BGP, RIP
Поддержка multicast-маршрутизации Да
Приоритизация трафика QoS Да (защита от перегрузок, управление очередями, перенос полей ToS)
Классификация трафика Да (до 32-х определяемых классов)
Управление трафиком (Traffic shaping) Да (резервирование, ограничение полосы пропускания трафика)
Поддержка технологии VLAN Да (тагирование до 4096 VLAN)
(IEEE802.1Q) Да (тагирование до 4096 VLAN)
Поддержка технологии NAT NAT, DNAT, PAT, NAT 1:1
Возможность работы КШ за NAT Да
Наличие встроенного сервера IP адресов Да (DHCP сервер, DHCP relay)
Возможность получения динамически настраиваемого IP адреса Да
Поддержка VoIP Да
Поддержка режима зеркалирования трафика Настраиваемый SPAN порт
Возможность работы с виртуальными IP-адресами Да, NAT трансляция внутри VPN (позволяет создавать VPN связи между сетями с пересекающимися диапазонами IP-адресов)

Управление и мониторинг

Управление и настройка
  • ЦУС - интегрированная централизованная система управления всеми узлами сети, настройками маршрутизации, межсетевого экранирования, VPN связями, криптографическими ключами
  • Возможность создания и управления политиками
  • Возможность группировки объектов и применения к ним глобальных политик
Средства управления Графическая консоль управления ПУ ЦУС
Мониторинг
  • Вывод событий и состояния сети в реальном времени на графическую консоль управления ПУ ЦУС
  • Поддержка SNMP trap для удаленного оповещения о событиях
Обновление версии ПО узлов сети Централизованное, дистанционное обновление версии ПО всех узлов сети
Подсистема журналирования
  • Централизованный сбор и хранение журналов во внешней СУБД MS SQL Serve.r
  • Возможность регистрации всех пакетов
Возможность экспорта журналов и событий во внешние системы Модуль ArcSight коннектор позволяет выполнять автоматическую выгрузку и конвертацию журналов в формат xml
Синхронизация системного времени узлов сети Автоматическая синхронизация системного времени КШ с ЦУС
  • Возможность синхронизации времени ЦУС с NTPсерверами точного времени

Доступность и надежность

Надежность
  • Использование в качестве дисковой подсистемы модулей твердотельной памяти DOM и SSD
  • Отсутствие необходимости установки защищенной сессии между узлами сити, IP-пакеты шифруются и отправляются сразу после получения (IP-шифратор)
  • Файловая система с защитой от сбоев
Защита от сбоев канала связи Режимы автоматического переключения на резервный канал связи WAN-failover, VPN-failover
Обеспечение высокой доступности Поддержка режима кластера высокой доступности (HA) с автоматической синхронизацией конфигураций элементов кластера
Работа в необслуживаемом режиме 24х7х365
Среднее время наработки на отказ (MTBF) 40 000 часов

Пример VPN-сети «Континент»

Пример континент.png

Сертификаты

  • соответствие руководящих документов ФСТЭК России по 2-му уровню контроля на отсутствие НДВ и 2-му классу защищенности для межсетевых экранов. Может использоваться для создания автоматизированных систем до класса защищенности 1Б включительно и при создании информационных систем персональных данных до 1-го класса включительно;
  • соответствие требованиям ФСБ России к устройствам типа межсетевой экран по 4 классу защищенности;
  • соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС3 и возможность применения для криптографической защиты информации не содержащей сведений, составляющих государственную тайну.

Сравнение характеристик аппаратных платформ

МОДЕЛЬ IPC-10 IPC-25 IPC-100 IPC-400
Форм-фактор Mini-ITX 1U 2U
ПРОИЗВОДИТЕЛЬНОСТЬ
Пропускная способность VPN, мбит/с до 10 до 50 до 300 до 500
Пропускная способность L2VPN (для крипто- коммутатора), мбит/с до 10 до 50 до 300 до 500
Пропускная способность МЭ, мбит/с до 100 до 100 до 400 до 1000
Максимальное количество конкурирующих keep-state сессий 5 000 10 000 250 000 350 000
Пропускная способность детектора атак на 1 интерфейс, мбит/с до 10 до 25 до 260 до 500
Производительность Сервера Доступа (количество одновременных подключений Континент АП) не поддерживается до 25 до 500 до 1000
Производительность ЦУС (количество КШ под управлением ЦУС) не поддерживается до 10 до 500 до 1000
КОНФИГУРАЦИЯ СЕТЕВЫХ ИНТЕРФЕЙСОВ
Общее количество сетевых интерфейсов 3x Ethernet 5x Gigabit Ethernet 8x Gigabit Ethernet 6x Gigabit Ethernet
Интерфейсы RJ-45 (медь UTP) 3x Ethernet 10/100 4x Ethernet 10/100/1000 6x Ethernet 10/100/1000 6x Ethernet 10/100/1000
Интерфейсы оптические нет 1x 1000BASE-X SFP 2x 1000BASE-X SFP нет
Подключение внешнего 3G USB модема да да нет нет
Порт RS232 для подключения Dial-UP модема да да да нет
ОТКАЗОУСТОЙЧИВОСТЬ И НАДЕЖНОСТЬ
Режим кластера высокой доступности (горячее резервирование) Нет Да
Блок питания Внешний адаптер 19V 40W 1 х 270W 1 x 680W
МОДЕЛЬ IPC-1000 IPC-1000F IPC-1000F2 IPC-3000F IPC-3034 IPC-3034F
Форм-фактор 2U
ПРОИЗВОДИТЕЛЬНОСТЬ
Пропускная способность VPN, мбит/с до 950 до 950 до 950 до 2500 до 2500 до 2500
Пропускная способность L2VPN (для крипто- коммутатора), мбит/с до 950 до 950 до 950 до 3000 до 3000 до 3000
Пропускная способность МЭ, мбит/с до 1000 до 1000 до 1000 до 3500 до 3500 до 3500
Максимальное количество конкурирующих keep-state сессий 1 000 000 1 000 000 1 000 000 3 000 000 3 000 000 3 000 000
Пропускная способность детектора атак на 1 интерфейс, мбит/с до 600 до 600 до 600 до 660 до 660 до 660
Производительность Сервера Доступа (количество одновременных подключений Континент АП) до 1000 до 1000 до 1000 до 3000 до 3000 до 3000
Производительность ЦУС (количество КШ под управлением ЦУС) до 3000 до 3000 до 3000 до 3000 до 3000 до 3000
КОНФИГУРАЦИЯ СЕТЕВЫХ ИНТЕРФЕЙСОВ
Общее количество сетевых интерфейсов 10x Gigabit Ethernet 10x Gigabit Ethernet 18x Gigabit Ethernet 14x Gigabit Ethernet 34x Gigabit Ethernet 34x Gigabit Ethernet
Интерфейсы RJ-45 (медь UTP) 10x Ethernet 10/100/1000 6x Ethernet 10/100/1000 10x Ethernet 10/100/1000 10x Ethernet 10/100/1000 34х Ethernet 10/100/1000 2х Ethernet 10/100/1000
Интерфейсы оптические нет 4x 1000BASE-X SFP 8x 1000BASE-X SFP 4x 10 Gigabit SFP+ нет 32x 1000BASE-X SFP
Подключение внешнего 3G USB модема нет нет нет нет нет нет
Порт RS232 для подключения Dial-UP модема нет нет нет нет нет нет
ОТКАЗОУСТОЙЧИВОСТЬ И НАДЕЖНОСТЬ
Режим кластера высокой доступности (горячее резервирование) Да
Блок питания 2 х 680W с горячей заменой

Недостатки

  • До версии 3.6 не работает за NAT, из-за использования нестандартного протокола IP 250.
  • Отсутствие CLI-интерфейса.
  • Низкий уровень поддержки Unix-систем.
  • До версии 3.7 Отсутствие поддержки синхронизации времени NTP.
  • Отсутствие настройки времени в GUI управления.
  • До версии 3.7 Отсутствие возможности назначать статические адреса для клиентов СД.
  • Высокая цена.

Источники

  1. Реестр российского ПО[Электронный ресурс]: Сведения о правообладателях программного обеспечения / Дата обращения: 2017-05-11. Режим доступа: https://reestr.minsvyaz.ru/reestr/69444/
  2. «Код Безопасности» [Электронный ресурс]: Сертификаты АПКШ «Континент»/ Дата обращения: 11.05.2017. Режим доступа: URL: https://www.securitycode.ru/products/apksh_kontinent/sertificates/
  3. «Информзащита» [Электронный ресурс]: Системный интегратор/ Дата обращения: 11.05.2017. Режим доступа: URL: http://www.infosec.ru/about#sertificate

Ссылки

«Код Безопасности» [Электронный ресурс]: Официальный сайт АПКШ «Континент»/ Дата обращения: 11.05.2017. Режим доступа: URL: https://www.securitycode.ru