ССПТ-4А1防火墙，ССПТ-4Б1 虚拟防火墙

Межсетевой экран ССПТ-4А1，Виртуальный межсетевой экран ССПТ-4Б1

☑成果属性：计算机软件

☑技术领域：电子信息技术

☑成熟度：产业化

☑拟交易价格：20-100万

ССПТ-4系列防火墙：

硬件、软件防火墙ССПТ-4А1，旨在保护基于以太网10/100/1G/10G技术的网络基础设施中的信息资源；

虚拟防火墙ССПТ-4Б1，旨在保护虚拟机管理程序虚拟环境中的信息资源。

ССПТ-4系列防火墙采用隐形（stealth）过滤技术，为远程网络监视工具隐藏防火墙的位置。隐藏过滤技术的主要特点是不会将IP地址分配给设备的过滤接口，并且这些接口的Mac地址在数据包处理过程中不被使用（NAT模式和中介服务器使用模式除外）。在隐身过滤模式下，防火墙:

不改变通过它的数据包参数；

它不需要在安装过程中对相邻网络设备进行特殊配置；

它不受操作系统漏洞的计算机攻击的影响。

SSPT-4系列防火墙可中和以下网络威胁：

未经授权访问信息系统组件；

拒绝信息系统或其各个组件的服务；

未经授权将信息从信息系统转移到外部接收者；

未经授权的访问防火墙，以中断其操作，克服或规避其安全功能；

未经授权收集有关信息系统的信息。

主要应用：

信息系统网络的物理和逻辑分割，以及虚拟机管理程序虚拟网络环境，根据访问策略，而不需要重新配置网络基础设施；

通过使用NAT技术，非军事化段分配和防止DoS攻击来保护信息系统的外部周边；

通过记录数据包、虚拟连接和安全事件进行网络安全审核；

创建集群和容错解决方案。

基本操作模式：

批量过滤模式，无论虚拟连接的上下文如何，都会处理每个传入数据包；

监控虚拟连接并检查每个数据包是否符合当前会话上下文的会话管理模式(stateful inspection)；

网络地址转换模式(NAT)，该模式在将数据包发送到外部网络并返回时提供具有专用寻址和转换地址信息的内部段的分配。

在批量过滤模式中，SSPT-4系列防火墙实现了一个程序，用于基于一组标准独立分析每个接收的数据包，并根据指定的访问策略决定是允许还是拒绝数据包传输到受保护的网络段。使用以下类型的网络数据包头字段在不同级别的网络交互中执行数据包筛选:

以太网帧格式Ethernet II, IEEE 802.2/LLC, IEEE-802.2/SNAP, IEEE 802.3-raw；

IPv4和IPv6软件包；

ICMPv4和ICMPv6软件包；

UDP效率；

TCP段。

在会话管理模式中，除上述之外，还实现了检测客户端-服务器地址对之间的虚拟连接的过程，并监视此虚拟连接内的数据包序列的正确性。以下协议/实用程序支持会话管理：ICMPv4, ICMPv6, UDP, TCP, GRE, traceroute等。此外，在TCP/IP协议栈的应用层传输的数据将被监视并筛选为以下应用协议：HTTP,  FTP,  SMTP,  DNS，以及用于传输SQL查询的协议。网络地址转换模式(NAT)提供可逆的网络地址转换，外部网络请求重定向到位于内部网段的服务，网络请求认证，支持动态ARP和IPv4的静态路由。SSPT-4网络接口上使用的IP地址是虚拟的，因为它们没有链接到设备的物理接口。因此，隐藏过滤技术的属性之一被保留-防火墙过滤接口上没有IP地址。

此外，还提供了以下功能：

HTTP媒介（代理服务器)；

优先流量处理；

记录事件、流量和系统消息；

ME管理员的识别、身份验证和访问控制；

监控软件组件的完整性；

热备份（用于ССПТ-4А1）；

控制接口端口的聚合（用于ССПТ-4А1）。

Межсетевые экраны  серии ССПТ-4 это:

• программно-аппаратный межсетевой экран ССПТ-4А1, предназначенный для защиты информационных ресурсов в сетевых инфраструктурах на базе технологии Ethernet 10/100/1G/10G.

• виртуальный межсетевой экран ССПТ-4Б1, предназначенный для защиты информационных ресурсов в виртуальной среде гипервизора.

Межсетевые экраны  серии ССПТ-4 используют технологию скрытной фильтрации (режим “stealth), обеспечивающую сокрытие для средств удаленного сетевого мониторинга места расположения межсетевого экрана. Основная особенность технологии скрытной фильтрации состоит в том, что фильтрующим интерфейсам устройства не назначаются IP-адреса, а в процессе обработки пакетов не используются MAC-адреса этих интерфейсов (за исключением режима NAT и режима использования сервера-посредника). В режиме скрытной фильтрации межсетевой экран:

• не изменяет параметров проходящих через него пакетов;

• не требует при своей установке специальной настройки смежных сетевых устройств;

• не подвержен воздействию компьютерных атак, эксплуатирующих уязвимости управляющей операционной системы.

Межсетевые экраны серии ССПТ-4 обеспечивают нейтрализацию следующих киберугроз:

• несанкционированный доступ к компонентам информационной системы;

• отказ в обслуживании информационной системы или ее отдельных компонентов;

• несанкционированная передача информации из информационной системы внешним получателям;

• несанкционированное воздействие на межсетевой экран c целью нарушения его функционирования, преодоления или обхода его функций безопасности;

• несанкционированный сбор сведений об информационной системе.

Основные области применения

• физическое и логическое сегментирование сети информационной системы, а также виртуальной сетевой среды гипервизора согласно политике доступа без необходимости реконфигурации сетевой инфраструктуры;

• защита внешнего периметра информационной системы с возможностью применения технологии NAT, выделения демилитаризованного сегмента и защиты от DoS-атак;

• аудит безопасности сети с протоколированием пакетов, виртуальных соединений и событий безопасности

• создание кластерных и отказоустойчивых решений.

Базовые режимы работы

• режим пакетной фильтрации, в котором производится обработка каждого входящего пакета независимо от контекста виртуального соединения;

• режим управления сессиями (stateful inspection), в котором обеспечивается контроль виртуальных соединений и проверка каждого пакета на соответствие текущему контексту сессии;

• режим трансляция сетевых адресов (NAT), обеспечивающая выделение внутреннего сегмента с приватной адресацией и преобразование адресной информации при передаче пакетов во внешнюю сеть и обратно.

В режиме пакетной фильтрации межсетевые экраны серии ССПТ-4 реализуют процедуру независимого анализа каждого принятого пакета по совокупности критериев и принятие решения о разрешении или запрете передачи пакета в защищаемый сегмент сети или из него на основе заданной политики доступа. Пакетная фильтрация осуществляется на различных уровнях сетевого взаимодействия по полям заголовков сетевых пакетов следующих типов:

• кадры Ethernet форматов Ethernet II, IEEE 802.2/LLC, IEEE-802.2/SNAP, IEEE 802.3-raw;

• пакеты IPv4 и IPv6;

• пакеты ICMPv4 и ICMPv6;

• дейтаграммы UDP;

• сегменты TCP.

В режиме управления сессиями дополнительно к перечисленномы выше реализуются процедуры выявления виртуальных соединений между парами адресов клиент–сервер и контроля корректности последовательностей пакетов в пределах данного виртуального соединения. Управление сессиями поддерживается для следующих протоколов/утилит: ICMPv4, ICMPv6, UDP, TCP, GRE, traceroute и других. Дополнительно обеспечивается контроль и фильтрация данных, передаваемых на прикладном уровне стека протоколов TCP/IP, для следующих прикладных протоколов:  HTTP,  FTP,  SMTP,  DNS, а также протоколов передачи SQL-запросов.

В режиме трансляция сетевых адресов (NAT) обеспечивается обратимое преобразование сетевых адресов, переадресация внешних сетевых запросов к сервисам, расположенным в сегментах внутренней сети, аутентификация сетевых запросов, поддержка динамического ARP и статических маршрутов для IPv4. Используемые на сетевых интерфейсах ССПТ-4 IP-адреса являются виртуальными, т.к. не привязаны к физическим интерфейсам устройства. Таким образом, сохраняется одно из свойств технологии скрытной фильтрации - отсутствие IP-адресов на фильтрующих интерфейсах межсетевого экрана.

Дополнительно обеспечиваются следующие функциональные возможности:

• HTTP-посредник (proxy-сервер);

• приоритетная обработка трафика.

• регистрация событий, трафика и системных сообщений;

• идентификация, аутентификация и разграничение доступа для администраторов МЭ;

• контроль целостности программных компонентов;

• горячее резервирование (для ССПТ-4А1);

• агрегирование портов управляющего интерфейса (для ССПТ-4А1).