250 likes | 531 Views
Отечественные межсетевые экраны корпоративного и провайдерского уровня повышенной стойкости ССПТ-1М. Сертификат ГТК № 2 26 от 2 апреля 1999 года Сертификат ГТК № 25 6 от 2 8 июля 1999 года Сертификат ГТК № 442 от 19 марта 2001 года
E N D
Отечественные межсетевые экраныкорпоративного и провайдерского уровняповышенной стойкости ССПТ-1М Сертификат ГТК № 226 от 2 апреля 1999 года Сертификат ГТК № 256 от 28 июля 1999 года Сертификат ГТК № 442 от 19 марта 2001 года Сертификат ГТК № 702 от 14 января 2003 года Санкт-Петербург 2003
Межсетевой экран: - программное или аппаратно-программное средство, предназначенное для разделения компьютерной сети на сегменты с различными правами доступа и обеспечивающее защиту разделяемых сегментов от несанкционированного доступа посредством фильтрации информации между ними по установленным администратором правилам.
Основные особенности ССПТ-1М • Аппаратно-программная реализация • Уникальная защищенность (стелс-технология, электронная пломба) • Многопротокольная фильтрация • Расширенный набор критериев фильтрации • Управление по доверенному каналу • Многопортовая реализация
Функциональная схема МЭ с 2 портами Console COM EthC SSH-сервер Аутентификация Модуль пользовательского интерфейса Управление доступом НТТР-сервер Файлы правил Модуль управления Политика безопасности Журналы, сигналы тревоги Модуль фильтрации Порт 0 Порт 1
IP и MAC адреса IP и MAC адреса МЭ трафик SRC SRC SRC DST DST DST SRC DST Невидимый режим работы ССПТ-1М Стандартная архитектура МЭ ССПТ-1М Отсутствие адресов Отсутствие адресов МЭ трафик
Многопротокольная фильтрация • Ethernet II, Ethernet 802.2 LCC • TCP/IP • IPX/SPX • Поддержка туннелей
Приход пакета Пакет соответствует правилу? ДА НЕТ Есть еще правила? Правило «Пропустить»? НЕТ ДА НЕТ ДА Глобальное правило «пропустить»? НЕТ ДА Пропуск пакета Удаление пакета Обобщенный алгоритм фильтрации
… Прил. … … Прил. Прил. Прил. Прил. Прил. … TCP UDP IP IPX ICMP IP IPX RARP ARP • Регулярные правила • Глобальные правила ARP Ethernet II Ethernet 802.2 Ethernet 802.3 Ethernet SNAP MAC Входящий кадр Типы правил фильтрации
Управляющие интерфейсы:WEB-интерфейс
Управляющие интерфейсы: интерфейс командной строки (CLI)
Физические интерфейсы управления • Консоль • СОМ-порт • Ethernet-порт Протоколы доступа • PPP, Ethernet • HTTPS • SSH Интерфейсы управления Console COM Eth С ССПТ-1М Фильтрующие интерфейсы
Консоль Терминал УК УК Консоль УК МДМ МДМ МСЭ МСЭ МСЭ МСЭ МСЭ МСЭ МДМ МДМ Типы доступа к управлению МЭ 1. Непосредственное подключение консоли Интерфейс: CLI 4. Подключение УК через COM-порт (PPP, IP) Интерфейс: CLI + WEB 5. Подключение УК через доверенную ЛВС Интерфейс: CLI + WEB 2. Подключение консоли через COM-порт Интерфейс: CLI 6. Удаленное подключение УК через COM-порт (PPP, IP) Интерфейс: CLI + WEB 3. Удаленное подключение консоли Интерфейс: CLI
Задание правил фильтрации в CLI Формат: set rule <синтаксис правила > set rule тип:номер:действие:регистрация:вход:выход:параметры set rule mac:0:accept:nolog set rule ip:5:drop:log:01:10:0:tcp:0.0.0.0/255.255.255.255:any:194.85.4.3 /255.255.255.240:ftp:any:any:any:65535:0-255:any:active:запрет ftp set rule time:5:111111111111:1:31:1111111:08-00-00:21-59-59
Многопортовые МСЭ ЛВСсегмент 2 ЛВСсегмент N От 2 до 8 фильтрующих интерфейсов . . . Eth0 EthN Eth1 ЛВСсегмент 1 ССПТ-1М Eth C C ons COM EthС
ЛВСсегмент 2 ЛВСсегмент 3 Eth0 Eth1 Eth2 Eth3 ЛВСсегмент 4 ЛВСсегмент 1 ССПТ-1М COM Eth C ssh, https- соединение управляющий компьютер Схема подключения МСЭ с 4 портами
Дополнительная функциональность • Регистрация действий администратора и нештатных ситуаций • Регистрация пакетов • Сохранение нескольких наборов правил • Откат, деактивация правила, переименование интерфейсов • Сохранение регистрационных файлов • Возможность коллективной работы нескольких МЭ
ЛВСсегмент 2 ЛВСсегмент 3 Eth0 Eth1 Eth2 Eth3 ЛВСсегмент 4 ЛВСсегмент 1 ССПТ-1М COM Eth C mac:0:accept:log arp:0:accept:nolog ip:0:accept:log ipx:0:accept:nolog ssh, https- соединение управляющий компьютер Загрузка/выгрузка конфигурационного файла правил
Выгрузка на внешний сервер файлов регистрации ЛВСсегмент 2 ЛВСсегмент 3 Eth0 Eth2 Eth3 Eth1 ЛВСсегмент 4 ЛВСсегмент 1 ССПТ-1М COM Eth C Концентратор/ коммутатор управляющий компьютер Сервер удаленного хранения (FTP- или NFS-сервер)
Сегмент ЛВС Сегмент ЛВС Сегмент ЛВС Eth0 Eth1 Eth2 Eth3 Eth0 Сегмент ЛВС Eth1 Eth2 Eth3 ССПТ-1М Eth0 Eth1 Eth2 Eth3 ССПТ-1М Сегмент ЛВС Eth0 Eth1 Eth2 Eth3 ССПТ-1М COM Сегмент ЛВС Eth C ССПТ-1М COM Eth C Eth C Eth C COM управляющий компьютер Концентратор/ коммутатор Управляющий сегмент Ethernet физически отделен от защищаемых сегментов Коллективная работа нескольких МЭ
Техническая поддержка и обучение 194064, Санкт-Петербург, Тихорецкий пр., 21, НПО РТК Горячая линия +7 (812) 552–0660, Факс +7 (812) 552–4512 Emailinfo@rtc.ru http://www.rtc.ru http://www.frac-tel.com Учебный центр РТК Курс “Применение межсетевого экрана ССПТ-1М – 5 дней.
Наши партнеры • РКК “Энергия” • Государственныйтаможенныйкомитет РФ • Министерство Образования РФ