АПКШ «Континент 4»

«Континент 4» — это многофункциональный межсетевой экран класса NGFW/UTM, разработанный компанией «Код Безопасности». Предназначен для защиты сети, поддерживает российские криптографические алгоритмы шифрования ГОСТ.

Обзор продукта

В «Континент 4» реализована концепция централизованной инфраструктуры. Это означает, что управление всеми устройствами осуществляется через единую платформу.

Функциональные особенности

Устройство осуществляет контроль доступа пользователей к веб-ресурсам, предотвращает кибервторжения на уровне сети и формирует систему предоставления безопасного удалённого доступа.

«Континент 4» является решением класса Enterprise Firewall. В нём в рамках одной платформы объединился функционал:

  • криптографического шлюза,
  • криптографического коммутатора,
  • детектора атак,
  • центра управления сетью,
  • контроля приложений,
  • идентификации пользователей,
  • веб-защиты и др.

АПКШ «Континент 4» обладает рядом функциональных достоинств:

  • Централизованное управление сетью через единый центр, в рамках которого происходит контроль и настройка работы узлов сети, правил фильтрации трафика, а также политик безопасности.
  • Для идентификации и аутентификации пользователей используется либо локальная база в центре управления сетью, либо импортируемая из Active Directory группа пользователей. Аутентификация проходит прозрачно через протокол Kerberos. В этом случае пользователю не нужно вводить логин и пароль. Он легко аутентифицируется в операционной системе, далее открывает браузер и приступает к работе. Есть возможность проверки подлинности пользователей через портал Captive. В этом случае им необходимо вручную ввести логин и пароль. Также можно провести аутентификацию с помощью специализированных агентов, которые ставятся на операционную систему Microsoft Windows и позволяют автоматически прописывать логин и пароль на портал Captive.
  • Высокопроизводительная система хранения и обработки событий безопасности, а также их мониторинга в режиме реального времени. За эти задачи отвечает встроенная система мониторинга в центре управления сетью.
  • Администрирование комплекса с возможностью использования ролевой модели доступа администраторов.
  • Применение усиленных методов многофакторной аутентификации для удалённых пользователей. Например, через сервис multifactor.ru или через сертификаты на USB-токенах.
  • Осуществление централизованного управления VPN посредством разделения настроек отдельно для L3 VPN, и отдельно для L2 VPN для удалённого доступа.
  • Высокопроизводительный межсетевой экран, работающий по технологии префиксных деревьев.
  • Криптошифрование по L3 VPN и L2 VPN с использованием российских алгоритмов ГОСТ.
  • Возможность трансляции IP-адресов внутри VPN-туннеля.
  • Динамическая маршрутизация по протоколам BGP и OSPF.
  • Возможность использования технологии качества обслуживания (QoS).
  • Поддержка технологий Jumbo frame и VLAN.
  • Поддержка LLDP для обнаружения соседствующих устройств.
  • Контроль приложений и URL-фильтрация.
  • Фильтрация трафика на основе принадлежности IP-адреса к какой-либо стране.
  • Возможность безопасного подключения удалённых пользователей. Для этого используются два типа клиентов: «Континент АП» и «Континент ZTN».

Обнаружение и предотвращение различных вторжений, а также защита периметра от вредоносных программ реализуются при помощи нескольких модулей:

  • Система обнаружения и предотвращения вторжений. Она может работать либо на сетевом, либо на канальном уровне, в зависимости от режима работы. База сигнатур предоставляется «Кодом Безопасности».
  • Блокировка доступа к вредоносным сайтам. Это так называемый Threat Intelligence. Используются фиды из двух источников: на базе «Лаборатории Касперского» и на базе технологии «Кода Безопасности».
  • Модуль поведенческого анализа.
  • Антивирусная проверка трафика с помощью потокового антивируса, который встроен в решение. Также можно использовать интеграцию со сторонними системами через протокол ICAP. Например, с песочницей или с другой системой антивирусной проверки.

АПКШ «Континент 4» работает в следующих режимах:

  • NGFW/UTM (межсетевой экран), в рамках которого доступен весь базовый функционал устройства.
  • NF2 (высокопроизводительный межсетевой экран), который нужен для того, чтобы обеспечить высокую производительность передачи пакетов данных на транспортном уровне модели OSI. Для этого используется запатентованная «Кодом Безопасности» технология префиксных деревьев. Не входит в состав устройства, приобретается по отдельной лицензии.
  • L2 IPS (детектор атак), в котором осуществляется обнаружение и предотвращение вторжений. Он работает на канальном уровне и не влияет на сетевую топологию. В этом режиме устройство ставится в разрыв трафика. Оно анализирует пакеты данных и обнаруживает попытки вторжения, которые потом блокирует. Также устройство в этом режиме может подключаться к сетевому оборудованию по спам-порту. В этом случае «Континент 4» работает с копией трафика и занимается только обнаружением вторжений без последующей блокировки. Не входит в состав устройства, приобретается по отдельной лицензии.

Состав АПКШ «Континент 4»

В состав компонентов, которые функционируют в рамках режима NGFW, входят:

  • Платформа централизованного управления всей инфраструктурой «Континент 4». Она может работать в виде отдельного устройства или в составе единого решения.
  • Межсетевой экран. С его помощью осуществляется фильтрация трафика.

Функционал межсетевого экрана

  • контроль протоколов приложений, который осуществляет глубокий анализ трафика;
  • защита от вредоносных веб-сайтов, осуществляющая фильтрацию трафика по протоколам HTTP, HTTPS и FTP;
  • URL-фильтрация по категориям;
  • проверка трафика потоковым антивирусом для запрета на скачивание вредоносных файлов;
  • модуль GeoProtection, который осуществляет фильтрацию трафика по географической принадлежности IP-адресов (например, если нужно запретить подключение к инфраструктуре со стороны определённых иностранных государств).

Компоненты межсетевого экрана

  • L3VPN — помогает строить безопасный и полностью управляемый site-to-site VPN-сервис;
  • L2VPN — используется в том случае, когда необходимо шифровать трафик в рамках одной сети;
  • сервер доступа — отвечает за подключение удалённых пользователей по защищённому туннелю посредством использования мультиплатформенных VPN-клиентов «Континент»;
  • идентификация пользователей — отвечает за применение в правилах фильтрации идентификаторов пользователей;
  • система обнаружения и предотвращения сетевых вторжений;
  • модуль поведенческого анализа — позволяет обнаруживать и предотвращать различные протокольные вторжения, аномалии в трафике и DDoS-атаки.

Примеры защиты корпоративной инфраструктуры

Использование межсетевого экрана «Континент 4» возможно по разнообразным сценариям.

Защита корпоративной сети


В этом случае «Континент 4» устанавливается на границе сети и работает в режиме UTM. Здесь важно наличие модулей: межсетевое экранирование, контроль приложений и протоколов, веб-защита, система предотвращения вторжений.

Защита филиальной инфраструктуры


При таком сценарии один «Континент 4» устанавливается в центральном офисе, а другой — в филиале. В такой архитектуре инфраструктуры необходима защита на периметре сети. Обеспечение сетевой безопасности периметра осуществляется через центр управления сетью и всеми работающими в ней аппаратно-программными комплексами «Континент 4». В таком случае для шифрования трафика центральный офис и филиал связываются по L3VPN.

Защита корпоративной филиальной сети с отдельными удалёнными пользователями


В этом сценарии на рабочие станции удалённых пользователей устанавливается клиент «Континент АП/ZTN». Он в свою очередь подключается к общей инфраструктуре по защищённому туннелю.

Защита развитой филиальной сети с отдельными удалёнными сотрудниками


В этом случае имеется ввиду работа продукта в рамках расширенной корпоративной ИТ-инфраструктуры, где есть центральный офис, филиалы с большим штатом сотрудников, работающих в том числе и в удалённом режиме, а также с общедоступными приложениями. Появляется потребность в использовании выделенной системы обнаружения и предотвращения вторжений. Она устанавливается между локальной сетью и межсетевым экраном на периметре, нагрузка на который тем самым немного снижается. На эту систему поступает только разрешённый сторонний трафик, уже обработанный модулями межсетевого экранирования. Также осуществляется проверка и внутреннего трафика.

В таком сценарии продукт устанавливается в разрыв на канальном уровне. Таким образом он не оказывает влияния на сетевую топологию и при этом он работает как в режиме обнаружения, так и в режиме предотвращения вторжений.

Использование «Континент 4» в режиме высокопроизводительного межсетевого экрана


В этом сценарии продукт выполняет другие задачи. Если для периметра важно защищаться от различных вредоносных программ и контролировать доступ в сеть, то для внутреннего межсетевого экрана важна высокая производительность, сегментирование сети, возможность работы с большим количеством правил межсетевого программирования. Этот режим работы позволяет обрабатывать трафик до 80 Мбит/сек.

Защита центров обработки данных


Примеры:

  • Когда используются несколько серверов, между которыми на высокой скорости проходит большой поток трафика. Здесь необходим высокопроизводительный сетевой экран с индексом NF2.
  • Когда есть ещё и резервный центр обработки данных, то в нём и на границе сети устанавливаются отдельные устройства «Континент 4». Между ними проходит передача трафика по защищённому туннелю на канальном уровне.

Лицензирование АПКШ «Континент 4»

Лицензирование АПКШ «Континент 4» представлено в 3-х редакциях:

  1. Узел безопасности. Это та базовая лицензия, которая работает на всех устройствах «Континент 4» без необходимости покупки дополнительных лицензий. В состав входят модули: управление сетью, межсетевой экран, контроль приложений, URL-фильтрация.
  2. UTM базовый. В дополнение к предыдущим функциям работают: расширенный контроль приложений, система обнаружения вторжения и модуль GeoIP.
  3. UTM расширенный. Здесь добавлены: защита от вредоносных сайтов, преднастроенные категории URL и антивирусная защита.

Получить консультацию

Отправьте описание задачи, в решении которой нуждается ваш бизнес. Мы предложим возможные варианты её решения и оценим стоимость её выполнения.