Межсетевой экран

Возможности Secret Net Studio

Защита информации от несанкционированного доступа.

Защита от НСД обеспечивается механизмами, применяемыми в СЗИ от НСД Secret Net.

Защита входа в систему.

Усиленная аутентификация пользователей осуществляется по паролю и с использованием персональных идентификаторов. Secret Net Studio поддерживает все распространенные идентификаторы: iButton, eToken, Rutoken, iKey, JaCarta и ESMART. Продукт интегрируется с ПАК «Соболь» для обеспечения доверенной загрузки операционной системы. Кроме того, в Secret Net Studio предусмотрены дополнительные механизмы защиты для доменных пользователей, в том числе вход по сертификатам.

Доверенная информационная среда.

Доверенная среда обеспечивается защитой компьютера от несанкционированной загрузки и возможностью контроля индивидуального перечня программ, разрешенных пользователю для запуска, с проверкой неизменности исполняемых файлов.

Контроль утечек и каналов распространения защищаемой информации.

Дискреционное и полномочное управление доступом на основе категорий конфиденциальности ресурсов (файлов, каталогов, устройств, принтеров и сетевых интерфейсов) и прав допуска пользователей.

Контроль устройств.

Контроль неизменности аппаратной конфигурации компьютера во время работы, контроль подключения и отключения устройств. Secret Net Studio поддерживает широкий список контролируемых внешних устройств (веб-камеры, мобильные телефоны, 3G-модемы, сетевые карты, флэшки, принтеры и т.д.) и различные сценарии реагировании при их подключении или отключении от компьютера.

Антивирусная защита.

Защита от вредоносных исполняемых файлов на рабочих станциях и серверах с возможностью сканирования и запуска заданий по расписанию, а также по требованию администратора или пользователя.

Межсетевое экранирование.

Контроль сетевой активности компьютера и фильтрация большого числа протоколов в соответствии с заданными политиками, в том числе на уровне отдельных приложений, пользователей или групп пользователей.

Контроль действий приложений (HIPS).

Обнаружение подозрительной активности приложений эвристическими методами. Гибкие настройки правил защиты (групповые и индивидуальные для приложений) с поддержкой исключений и возможностью работы в режиме обучения активности приложений.

Защита от сетевых атак (NIPS)

Обнаружение атак сигнатурными и эвристическими методами. Автоматическая блокировка атакующих хостов при обнаружении аномальных пакетов, сканировании портов, DoS-атаках и др.

Создание защищенного соединения с удаленными компьютерами.

Программный VPN-клиент «Континент-АП» обеспечивает защищенное по криптоалгоритму ГОСТ 28147-89 соединение компьютеров с сервером доступа «Континент».

Шифрование контейнеров.

Шифрование контейнеров любого размера по алгоритму ГОСТ 28147-89 обеспечивает защиту данных в случае несанкционированного доступа к носителям информации, их утери или кражи.

Централизованное развертывание, управление и мониторинг.

В Secret Net Studio простота развертывания обеспечивается централизованной установкой продукта на все рабочие станции контролируемого домена.

Минимизация рисков ИБ

В систему централизованного мониторинга встроена система корреляции событий безопасности с поддержкой категорирования уровня важности отдельных защищаемых компьютеров и приоритизации инцидентов в системе по степени важности рисков.

Групповой мониторинг работы.

Журналы событий безопасности централизованно собираются со всех защитных механизмов подконтрольных компьютеров.

Расследование инцидентов безопасности.

Расширенная система регистрация событий и возможность построения удобных и подробных отчетов позволяют собрать подробный материал для расследования инцидентов безопасности: отследить атаки, каналы распространения вредоносных программ и действия инсайдеров в различные временные промежутки.

Надежная работа в ИТ-инфраструктуре территориально распределенных организаций.

Высокая масштабируемость решения обеспечивается созданием централизованных политик безопасности и их наследованием в распределенных доменных инфраструктурах.

Traffic Inspector устанавливают на персональном компьютере, выполняющем функции шлюза для LAN-сети. Администрирование происходит в графическом режиме, через оснастку Microsoft Management Console.

Основные характеристики решения:

• операционная система: Microsoft Windows 7×86, Windows 7×64, Windows 8×86, Windows 8×64, Windows 8.1×86, Windows 8.1×64, Windows Server 2008 R2×64, Windows Server 2012, Windows Server 2012 R2;
• SMS-идентификация;
• Layer 7 — фильтрация (интеллектуальное распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа, используется для блокировки приложений вроде Skype и BitTorrent);
• IDS/IPS;
• различные методы аутентификации;
• биллинг;
• интеграция с доменной средой Active Directory (импорт пользователей из домена);
• блокировка сайтов, URL-фильтрация, перехват и анализ HTTPS-трафика;
• прокси-сервер;
• ограничение скорости интернета и управление пропускной способностью интернет-доступа, учет трафика с системой лимитов, гибкое управление маршрутизацией;
• почтовый шлюз;
• встроенный веб-сервер для просмотра отчетов и индивидуальной статистики как администраторами, так и допущенными к статистике пользователями;
• дополнительно подключаемые модули: антивирусная защита, антиспам для электронной почты, контентная фильтрация, фильтр рекламы.

Срок действия лицензии — 5 лет, включает 1 год доступа к обновлениям и расширенной технической поддержке.
Решения компании «Смарт-Софт» защищают компьютерные сети «Газпрома», «Мегафона», Сбербанка, РЖД, «Роснефти», а также тысяч других компаний крупного, среднего и малого бизнеса и государственных организаций.

Возможности:

• контроль доступа каждого пользователя корпоративной сети к интернету в соответствии с критериями: URL ресурса, его репутация, протокол доступа и т.п.;
• блокировка рекламы, баннеров и тизерных вставок, графики, музыки и видео, возможен запрет на загрузку файлов определенного типа;
• работа в сетях со сложной топологией (VLAN, VPN), поддержка механизмов policy-based routing (маршрутизация по условию) и резервирование каналов;
• проверка и лечение почтового и веб-трафика на уровне шлюза с применением решений Kaspersky Lab;
• маршрутизация трафика;
• шейпирование трафика, ограничение максимальной скорости, приоритизация трафика (например, для IP-телефонии, передачи потокового видео и аудио, видеоконференции и т. п.);
• поддержка различных видов подключений к интернету: коммутируемое (dial-up), ISDN, xDSL, Wi-Fi, Ethernet;
• экспорт пользователей из доменов Active Directory.

Операционная система: Microsoft Windows 7 x86, Windows 7 x64, Windows 8 x86, Windows 8 x64, Windows 8.1 x86, Windows 8.1 x64, Windows Server 2008 R2 x64, Windows Server 2012, Windows Server 2016.
Срок действия лицензии — 5 лет, включает 1 год доступа к обновлениям и расширенной технической поддержке.

Решения «Смарт-Софт» защищают компьютеры «Газпрома», «Мегафона», Сбербанка, РЖД, «Роснефти», а также сотен других компаний крупного, среднего и малого бизнеса и государственных организаций.

Универсальный шлюз безопасности (UTM) и система обнаружения (предотвращения) вторжений Traffic Inspector Next Generation — программно-аппаратный универсальный шлюз безопасности нового поколения для организации контролируемого доступа в интернет корпоративных компьютерных сетей и их защиты от внешних угроз. Относится к классу Unified Threat Management. Базируется на открытом коде проекта OPNsense.

Traffic Inspector Next Generation обеспечивает фильтрацию на разных уровнях модели OSI (сетевом, транспортном, прикладном) и управление через веб-интерфейс по защищенному HTTPS-подключению, а также по протоколу SSH с использованием терминального доступа. Решение разворачивается в роли шлюза на границе корпоративной сети и позволяет контролировать информационные потоки между локальной сетью и интернетом.

Модели в линейке:

• S100: для небольших домашних и офисных сетей. В качестве аппаратной платформы используются компьютеры x86-64 малого форм-фактора (152,4 x 152,4 мм).
• S500: для среднего бизнеса и государственных учреждений среднего размера.
• M1000: для крупного бизнеса и учреждений госсектора.
• L1000+: топовая модель для крупных коммерческих, государственных, образовательных организаций, учреждений здравоохранения, культуры, спорта и туризма.

Аппаратная платформа моделей S500, M1000 и L1000+: стоечные серверы форм-фактора 1U.

Технические характеристики Traffic Inspector Next Generation:

• сетевой экран (Packet Filter) защищает шлюз и компьютеры пользователей от несанкционированного доступа извне, раздает интернет на пользователей, обеспечивает доступ к внутренним серверам из интернета;
• система обнаружения и предотвращения вторжений (IDS/IPS) распознает источники атак и атакуемые машины по определенным сигнатурам сетевого трафика и эффективно «очищает» его;
• мониторинг сетевой активности и отчеты (NetFlow: отчет по сетевой активности, по наиболее популярным сетевым службам, по наиболее популярным IP-адресам. Веб-прокси: Domains (по посещенным доменам), URLs (по посещенным URL), Users (по пользователям, генерировавшим запросы на прокси), User IPs (по компьютерам, генерировавшим запросы на прокси). Утилиты RRDtool: отчет по состоянию интернет-канала, по использованию процессора, по использованию оперативной памяти, по количеству состояний трассировщика соединений сетевого экрана. Мониторинг загрузки сетевых интерфейсов в реальном времени. Журнал сетевого экрана. Системный журнал и syslog-ng);
• управление пропускной способностью интернет-доступа динамическим шейпером и приоритизацией трафика (ограничение максимальной скорости работы пользователя, резервирование выделенной полосы для трафика, распределение пропускной способности интернет-канала поровну между пользователями внутренней сети, приоритизация трафика приложения с помощью очередей для трафика, критичного к задержкам);
• различные виды VPN (OpenVPN, IPsec в туннельном режиме, L2TP/IPsec (IPSec в транспортном режиме), Tinc VPN, PPTP, PPPoE);
• кластеризация (использует протоколы CARP (VRRP), PFSYNC (синхронизация состояния межсетевых экранов), XMLRPC Sync (синхронизация прочих настроек шлюза);
• Connection Failover (в данном режиме шлюз переключается на запасные каналы доступа в интернет при выходе из строя основных, обеспечивая тем самым непрерывность доступа);
• система централизованного управления (Central Management System) распределенной инфраструктурой сетевых шлюзов (шлюз может быть мастер-узлом (master node) в центральном офисе и подчиненным узлом (slave node) в удаленном офисе);
• Captive Portal (в том числе с поддержкой SMS-идентификации);
• гибкая маршрутизация;
• прокси-сервер (Squid) поддерживает: HTTP, HTTPS, FTP, прозрачное проксирование, перехват и дешифрование SSL/TLS-соединений, кеширование веб-контента;
• фильтрация: по IP-адресам клиентов и сетям, по портам назначения, по типу браузера (User Agent), по типу контента (по MIME-типам), по общим белым и черным URL-спискам, по индивидуальным URL-спискам, назначаемым на доменного или локального пользователя или группу, по скачиваемым URL-спискам (SquidGuard), по категориям с помощью модуля NetPolice (в URL-списках допускается использование синтаксиса регулярных выражений);
• различные методы аутентификации (аутентификация по локальной базе, LDAP, RADIUS, Kerberos, привязка по IP- и MAC-адресам, двухфакторная аутентификация, ваучеры);
• Layer 7 — фильтрация (интеллектуальное распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа, используется для блокировки приложений вроде Skype и BitTorrent);
• шлюзовый антивирус не требует установки на каждом клиентском компьютере, вместо этого устанавливается один раз на шлюзе и проверяет веб-трафик всех пользователей;
• среда: операционная система FreeBSD.

Срок действия лицензии определяется сроком службы аппаратной части программно-аппаратного комплекса, включает 1 год доступа к обновлениям и расширенной технической поддержке.

Решения компании «Смарт-Софт» защищают компьютерные сети «Газпрома», «Мегафона», Сбербанка, РЖД, «Роснефти», а также тысяч других компаний крупного, среднего и малого бизнеса и государственных организаций.

Сертифицированный универсальный шлюз безопасности (UTM) Traffic Inspector Next Generation FSTEC — программно-аппаратный универсальный шлюз безопасности нового поколения для организации контролируемого доступа к интернету корпоративных компьютерных сетей и их защиты от внешних угроз. Относится к классу Unified Threat Management. Базируется на открытом коде проекта OPNsense. Соответствует новым требованиям ФСТЭК от 2016 года. Может использоваться в государственных организациях: школах, вузах, медицинских центрах и др. (имеет соответствующий сертификат ФСТЭК России).

Traffic Inspector Next Generation FSTEC обеспечивает фильтрацию на разных уровнях модели OSI (сетевом, транспортном, прикладном) и управление через веб-интерфейс по защищенному HTTPS-подключению, а также по протоколу SSH с использованием терминального доступа. Решение разворачивается в роли шлюза на границе корпоративной сети и позволяет контролировать информационные потоки между локальной сетью и интернетом.

Модели в линейке:

• S100: для небольших домашних и офисных сетей. В качестве аппаратной платформы используются компьютеры x86-64 малого форм-фактора (152,4 x 152,4 мм).
• S500: для среднего бизнеса и государственных учреждений среднего размера.
• M1000: для крупного бизнеса и учреждений госсектора.
• L1000+: топовая модель для крупных коммерческих, государственных, образовательных организаций, учреждений здравоохранения, культуры, спорта и туризма.

Аппаратная платформа моделей S500, M1000 и L1000+: стоечные серверы форм-фактора 1U.

Технические характеристики Traffic Inspector Next Generation FSTEC:

• сетевой экран (Packet Filter) защищает шлюз и компьютеры пользователей от несанкционированного доступа извне, раздает интернет на пользователей, обеспечивает доступ к внутренним серверам из интернета;
• мониторинг сетевой активности и отчеты (NetFlow: отчет по сетевой активности, по наиболее популярным сетевым службам, по наиболее популярным IP-адресам. Веб-прокси: Domains (по посещенным доменам), URLs (по посещенным URL), Users (по пользователям, генерировавшим запросы на прокси), User IPs (по компьютерам, генерировавшим запросы на прокси). Утилиты RRDtool: отчет по состоянию интернет-канала, по использованию процессора, по использованию оперативной памяти, по количеству состояний трассировщика соединений сетевого экрана. Мониторинг загрузки сетевых интерфейсов в реальном времени. Журнал сетевого экрана. Системный журнал и syslog-ng);
• управление пропускной способностью интернет-доступа динамическим шейпером и приоритизацией трафика (ограничение максимальной скорости работы пользователя, резервирование выделенной полосы для трафика, распределение пропускной способности интернет-канала поровну между пользователями внутренней сети, приоритизация трафика приложения с помощью очередей для трафика, критичного к задержкам);
• различные виды VPN (OpenVPN, IPsec в туннельном режиме, L2TP/IPsec (IPSec в транспортном режиме), Tinc VPN, PPTP, PPPoE);
• кластеризация (использует протоколы CARP (VRRP), PFSYNC (синхронизация состояния межсетевых экранов), XMLRPC Sync (синхронизация прочих настроек шлюза);
• Connection Failover (в данном режиме шлюз переключается на запасные каналы доступа в интернет при выходе из строя основных, обеспечивая тем самым непрерывность доступа);
• система централизованного управления (Central Management System) распределенной инфраструктурой сетевых шлюзов (шлюз может быть мастер-узлом (master node) в центральном офисе и подчиненным узлом (slave node) в удаленном офисе);
• Captive Portal (в том числе с поддержкой SMS-идентификации);
• гибкая маршрутизация;
• прокси-сервер (Squid) поддерживает: HTTP, HTTPS, FTP, прозрачное проксирование, перехват и дешифрование SSL/TLS-соединений, кеширование веб-контента, фильтрацию;
• фильтрация: по IP-адресам клиентов и сетям, по портам назначения, по типу браузера (User Agent), по типу контента (по MIME-типам), по общим белым и черным URL-спискам, по индивидуальным URL-спискам, назначаемым на доменного или локального пользователя или группу, по скачиваемым URL-спискам (SquidGuard), по категориям с помощью модуля NetPolice (в URL-списках допускается использование синтаксиса регулярных выражений);
• различные методы аутентификации (аутентификация по локальной базе, LDAP, RADIUS, Kerberos, привязка по IP- и MAC-адресам, двухфакторная аутентификация, ваучеры);
• Layer 7 — фильтрация (интеллектуальное распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа, используется для блокировки приложений вроде Skype и BitTorrent);
• среда: операционная система FreeBSD.

Срок действия лицензии определяется сроком службы аппаратной части программно-аппаратного комплекса, включает 1 год доступа к обновлениям и расширенной технической поддержке.

Решения компании «Смарт-Софт» защищают компьютерные сети «Газпрома», «Мегафона», Сбербанка, РЖД, «Роснефти», а также тысяч других компаний крупного, среднего и малого бизнеса и государственных организаций.

Принцип работы UserGate UTM основан на создании правил, применяемых к пользователям или группам пользователей. Продукт позволяет администраторам контролировать поток трафика и управлять доступом пользователей в Интернет. UserGate UTM также позволяет мониторить использование Интернета и дает возможность получения подробной статистики.

Максимальная безопасность сети

UserGate UTM обеспечивает защиту от внешних вторжений, хакерских атак, вирусов, троянов и от посещения опасных интернет-ресурсов. UserGate UTM может эффективно заменить несколько других продуктов, обеспечивая полноценную сетевую безопасность, управление трафиком и мониторинг действий пользователя в интернете.

Защита от современных угроз

UserGate UTM обеспечивает глубокий анализ контента, использует репутационные сервисы, определяющие опасные домены и IP-адреса, а также обширные базы сигнатур файлов и скриптов. Все это позволяет блокировать уязвимости «нулевого часа» в целом.

Эффективное управление доступом

UserGate UTM может контролировать доступ пользователей к сайтам различных категорий, Web 2.0 контенту, закачкам и потоковому видео, а также допустимую ширину канала и максимальный потребляемый трафик, основываясь на правилах, применяемых к пользователям или к группам пользователей. Продукт поддерживает все современные механизмы авторизации. Поддержка работы с SSL позволяет применять эти политики во всех случаях, что не всегда возможно при использовании альтернативных решений.

Улучшение качества интернет-доступа

UserGate UTM обеспечивает защитой от сбоев за счет автоматического переключения на резервный канал, ускоряет работу интернета с помощью использования функции кэширования, позволяет гарантировать ширину канала для работы критично важных приложений и обеспечивает контролем за интернет приложениями.

Защита от слежения

UserGate UTM позволяет блокировать скрипты, которые обеспечивают наблюдение за поведением пользователя в Интернете.

Безопасность электронной почты

UserGate UTM обеспечивает качественную защиту от угроз, связанных с электронной почтой и работает с любыми почтовыми серверами. Вся загружаемая электронная почта проверяется на спам и вирусы, при этом используются различные методы детекции, что позволяет улучшить качество и скорость обработки.

Использование в высоконагруженных системах

UserGate UTM поддерживает возможность кластеризации, а также режим высокой доступности (High Availability). Кластеризация позволяет применять к разным нодам единые настройки, политики, библиотеки, сертификаты, сервера авторизации, группы пользователей и пр.

Форма поставки

UserGate UTM поставляется в виде виртуального образа или готового к использованию программно-аппаратного комплекса.

С использованием ViPNet CUSTOM могут разрабатываться решения по защите информации, требующие проведения разработки (доработки) функционала компонентов комплекса по требованиям заказчика. Поэтому ViPNet CUSTOM — это постоянное развитие функциональных возможностей и следование современным требованиям российского рынка средств защиты информации.

Преимущества ViPNet CUSTOM

• ViPNet CUSTOM ориентирован на организацию защищенного взаимодействия «клиент-клиент», в то время как большинство VPN-решений других производителей обеспечивают только соединения уровня «сервер-сервер» или «сервер-клиент». Это дает возможность реализовать любую необходимую политику разграничения доступа в рамках всей защищенной сети, а также снизить нагрузку на VPN-серверы, так как в общем случае при взаимодействии «клиент-клиент» VPN-сервер не задействован в операциях шифрования трафика между этими клиентами.
• Большое внимание в ViPNet CUSTOM уделено решению проблемы функционирования в условиях наличия разнообразного сетевого оборудования и программного обеспечения, реализующего динамическую или статическую трансляцию адресов и портов (NAT / PAT), что существенно облегчает процесс интеграции системы защиты в существующую инфраструктуру сети. В большинстве случаев настройка ПО ViPNet Client вручную не требуется.
• В ViPNet CUSTOM реализована раздельная фильтрация открытого и шифруемого трафиков, что позволяет даже среди доверенных сетевых узлов ограничивать возможность работы через несанкционированные порты, протоколы и за счет этого повышать уровень безопасности защищенной сети.
• Каждый компонент ViPNet CUSTOM содержит встроенный сетевой экран и систему контроля сетевой активности приложений или работает совместно с ПО ViPNet Client, что позволяет получить надежную распределенную систему межсетевых и персональных сетевых экранов.
• Для разрешения возможных конфликтов IP-адресов в локальных сетях, включаемых в единую защищенную сеть, ViPNet CUSTOM предлагает развитую систему виртуальных адресов. Во многих случаях она позволяет упростить настройку прикладного ПО пользователя, так как наложенная виртуальная сеть со своими виртуальными адресами скрывает реальную сложную структуру сети. Также становится возможным решение проблем взаимодействия локальных сетей с пересекающейся IP-адресацией.
• ViPNet CUSTOM поддерживает возможность межсетевого взаимодействия, что позволяет устанавливать необходимые защищенные каналы связи между произвольным числом защищенных сетей, построенных с использованием ViPNet CUSTOM.
• ViPNet CUSTOM обеспечивает защиту информации в современных мультисервисных сетях связи, предоставляющих услуги IP-телефонии и аудио- и видеоконференцсвязи. Поддерживается приоритезация трафика и протоколы H.323, Skinny, SIP.

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Область применения:

• Защита внешнего периметра сети от вредоносного воздействия со стороны сетей общего пользования.
• Создание отказоустойчивой VPN-сети между территориально распределенными сетями.
• Защита сетевого трафика в мультисервисных сетях (VoIP, Video conference).
• Разделение сети на сегменты с различным уровнем доступа.
• Организация защищенного удаленного доступа к сети для мобильных сотрудников.
• Защита пользовательского траффика, использующего беспроводную сеть в качестве канала.
• Организация защищенного межсетевого взаимодействия между конфиденциальными сетями.

Ключевые возможности:

• Межсетевое экранирование и создание L3 VPN с использованием алгоритмов ГОСТ.
• Единая система управления и мониторинга инфраструктурой АПКШ «Континент».
• Создание L2 VPN с использованием алгоритмов ГОСТ
• Обнаружение сетевых вторжений.
• Защищенный удаленный доступ с использованием алгоритмов ГОСТ.