Traffic Inspector Next Generation
Решение может защитить от разных типов угроз, и по классификации Gartner относится к классу решений Unified Threat Management (UTM).
Инспекция и фильтрация пакетов позволяют считать Traffic Inspector Next Generation «межсетевым экраном следующего поколения» (Next Generation Firewall).
Traffic Inspector Next Generation — программно-аппаратный сетевой шлюз нового поколения, включающий межсетевой экран, для организации контролируемого доступа к интернету корпоративных компьютерных сетей и их защиты от внешних угроз. Относится к классу Unified Threat Management (UTM). Сделан на открытом коде проекта OPNsense.
Traffic Inspector Next Generation обеспечивает фильтрацию на разных уровнях модели OSI и управление через веб-интерфейс по защищенному HTTPS-подключению, а также по протоколу SSH с использованием терминальной программы. Решение разворачивается в роли шлюза на границе корпоративной сети и позволяет контролировать информационные потоки между локальной сетью и интернетом.
Модели в линейке:
- S 100: для небольших домашних и офисных сетей. В качестве аппаратной платформы используются компьютеры x86-64 малого форм-фактора (152,4 x 152,4 мм).
- M 1000: для среднего бизнеса, учреждений госсектора, образования и здравоохранения. Аппаратная платформа: стоечные серверы DEPO, Lenovo, D-Link форм-фактора 1U.
- L 1000+: топовая модель для крупных коммерческих, государственных, образовательных организаций и учреждений здравоохранения. Использует мощные стоечные серверы DEPO, Lenovo, D-Link форм-фактора 1U.
Технические характеристики Traffic Inspector Next Generation:
- сетевой экран (Packet Filter) защищает шлюз и компьютеры пользователей от несанкционированного доступа извне, раздает интернет на пользователей, обеспечивает доступ к внутренним серверам из интернета;
- мониторинг сетевой активности и отчеты (NetFlow: отчет по сетевой активности, по наиболее популярным сетевым службам, по наиболее популярным IP-адресам. Веб-прокси: Domains (по посещенным доменам), URLs (по посещенным URL), Users (по пользователям, генерировавшим запросы на прокси), User IPs (по компьютерам, генерировавшим запросы на прокси). Утилиты RRDtool: отчет по состоянию интернет-канала, по использованию процессора, по использованию оперативной памяти, по количеству состояний трассировщика соединений сетевого экрана. Мониторинг загрузки сетевых интерфейсов в реальном времени. Журнал сетевого экрана. Системный журнал и syslog-ng);
- управление пропускной способностью интернет-доступа динамическим шейпером и приоритизацией трафика (ограничение максимальной скорости работы пользователя,
- резервирование выделенной полосы для трафика, распределение пропускной способности интернет-канала поровну между пользователями внутренней сети,
- приоритизация трафика приложения с помощью очередей для трафика, критичного к задержкам);
- различные виды VPN (OpenVPN, IPsec в туннельном режиме, L2TP/IPsec (IPSec в транспортном режиме), Tinc VPN, PPTP, PPPoE);
- кластеризация (использует протоколы CARP (VRRP), PFSYNC (синхронизация состояния межсетевых экранов), XMLRPC Sync (синхронизация прочих настроек шлюза);
- Connection Failover (в данном режиме шлюз переключается на запасные каналы доступа в интернет при выходе из строя основных, обеспечивая тем самым непрерывность доступа);
- система централизованного управления (Central Management System) распределенной инфраструктурой сетевых шлюзов (шлюз может быть мастер-узлом (master node) в центральном офисе и подчиненным узлом (slave node) в удаленном офисе);
- Captive Portal (в том числе с поддержкой SMS-идентификации);
- гибкая маршрутизация;
- прокси-сервер (Squid) поддерживает: HTTP, HTTPS, FTP, прозрачное проксирование, перехват и дешифрование SSL/TLS-соединений, кеширование веб-контента;
- фильтрация: по IP-адресам клиентов и сетям, по портам назначения, по типу браузера (User Agent), по типу контента (по MIME-типам), по общим белым и черным URL-спискам, по индивидуальным URL-спискам, назначаемым на доменного или локального пользователя или группу, по скачиваемым URL-спискам (SquidGuard), по категориям с помощью модуля NetPolice (в URL-списках допускается использование синтаксиса регулярных выражений);
- различные методы аутентификации (аутентификация по локальной базе, LDAP, RADIUS, Kerberos, привязка по IP- и MAC-адресам, двухфакторная аутентификация, ваучеры);
- Layer 7 — фильтрация (интеллектуальное распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа, используется для блокировки приложений вроде Skype и BitTorrent);
- шлюзовый антивирус (HTTP Antivirus Proxy + ClamAV) не требует установки на каждом клиентском компьютере, вместо этого устанавливается один раз на шлюзе и проверяет веб-трафик всех пользователей;
- среда: операционная система FreeBSD 11.
Срок действия лицензии — 5 лет, включает 1 год доступа к обновлениям и расширенной технической поддержке.
Traffic Inspector Next Generation FSTEC
Программно-аппаратный сетевой шлюз нового поколения, включающий брандмауэр, для организации контролируемого доступа к интернету корпоративных компьютерных сетей и их защиты от внешних угроз. Относится к классу Unified Threat Management (UTM). Сделан на открытом коде проекта OPNsense. Соответствует новым требованиям ФСТЭК от 2016 года. Может использоваться в государственных организациях: школах, вузах, медицинских центрах и др. (имеет соответствующий сертификат ФСТЭК России).
Модели в линейке:
- S 100: для небольших домашних и офисных сетей. В качестве аппаратной платформы используются компьютеры x86-64 малого форм-фактора (152,4 x 152,4 мм).
- M 1000: для среднего бизнеса, учреждений госсектора, образования и здравоохранения. Аппаратная платформа: стоечные серверы DEPO, Lenovo, D-Link форм-фактора 1U.
- L 1000+: топовая модель для крупных коммерческих, государственных, образовательных организаций и учреждений здравоохранения. Использует мощные стоечные серверы DEPO, Lenovo, D-Link форм-фактора 1U.
Traffic Inspector Next Generation FSTEC обеспечивает фильтрацию на разных уровнях модели OSI и управление через веб-интерфейс по защищенному HTTPS-подключению, а также по протоколу SSH с использованием терминальной программы. Решение разворачивается в роли шлюза на границе корпоративной сети и позволяет контролировать информационные потоки между локальной сетью и интернетом.
Технические характеристики Traffic Inspector Next Generation FSTEC:
- сетевой экран (Packet Filter) защищает шлюз и компьютеры пользователей от несанкционированного доступа извне, раздает интернет на пользователей, обеспечивает доступ к внутренним серверам из интернета;
- управление пропускной способностью интернет-доступа динамическим шейпером и приоритизацией трафика (ограничение максимальной скорости работы пользователя,
- резервирование выделенной полосы для трафика, распределение пропускной способности интернет-канала поровну между пользователями внутренней сети,
- приоритизация трафика приложения с помощью очередей для трафика, критичного к задержкам);
- различные виды VPN (OpenVPN, IPsec в туннельном режиме, L2TP/IPsec (IPSec в транспортном режиме), Tinc VPN, PPTP, PPPoE);
- кластеризация (использует протоколы CARP (VRRP), PFSYNC (синхронизация состояния межсетевых экранов), XMLRPC Sync (синхронизация прочих настроек шлюза);
- Connection Failover (в данном режиме шлюз переключается на запасные каналы доступа в интернет при выходе из строя основных, обеспечивая тем самым непрерывность доступа);
- система централизованного управления (Central Management System) распределенной инфраструктурой сетевых шлюзов (шлюз может быть мастер-узлом (master node) в центральном офисе и подчиненным узлом (slave node) в удаленном офисе);
- Captive Portal (в том числе с поддержкой SMS-идентификации);
- гибкая маршрутизация;
- прокси-сервер (Squid) поддерживает: HTTP, HTTPS, FTP, прозрачное проксирование, перехват и дешифрование SSL/TLS-соединений, кеширование веб-контента, фильтрацию;
- фильтрация: по IP-адресам клиентов и сетям, по портам назначения, по типу браузера (User Agent), по типу контента (по MIME-типам), по общим белым и черным URL-спискам, по индивидуальным URL-спискам, назначаемым на доменного или локального пользователя или группу, по скачиваемым URL-спискам (SquidGuard), по категориям с помощью модуля NetPolice (в URL-списках допускается использование синтаксиса регулярных выражений);
- различные методы аутентификации (аутентификация по локальной базе, LDAP, RADIUS, Kerberos, привязка по IP- и MAC-адресам, двухфакторная аутентификация, ваучеры);
- Layer 7 — фильтрация (интеллектуальное распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа, используется для блокировки приложений вроде Skype и BitTorrent);
- шлюзовый антивирус (HTTP Antivirus Proxy + ClamAV) не требует установки на каждом клиентском компьютере, вместо этого устанавливается один раз на шлюзе и проверяет веб-трафик всех пользователей;
- мониторинг сетевой активности и отчеты (NetFlow: отчет по сетевой активности, по наиболее популярным сетевым службам, по наиболее популярным IP-адресам. Веб-прокси: Domains (по посещенным доменам), URLs (по посещенным URL), Users (по пользователям, генерировавшим запросы на прокси), User IPs (по компьютерам, генерировавшим запросы на прокси). Утилиты RRDtool: отчет по состоянию интернет-канала, по использованию процессора, по использованию оперативной памяти, по количеству состояний трассировщика соединений сетевого экрана. Мониторинг загрузки сетевых интерфейсов в реальном времени. Журнал сетевого экрана. Системный журнал и syslog-ng);
- среда: операционная система FreeBSD 11.
Срок действия лицензии — 5 лет, включает 1 год доступа к обновлениям и расширенной технической поддержке.
NetPolice для Traffic Inspector Next Generation
Модуль контентной фильтрации на основе категорий веб-ресурсов. Создан для межсетевого экрана Traffic Inspector.
Модуль NetPolice незаменим в школах, где использует рекомендованные Министерством образования РФ списки фильтрации и актуальную базу запрещенных ресурсов. Запрещает доступ к интернет-ресурсам, несовместимым с задачами воспитания и образования обучающихся (система СИД, внедренная ЦАИР в 2006–2008 годах в рамках приоритетного национального проекта «Образование» более чем в 60 000 российских школ).
База NetPolice включает 100+ категорий (в том числе по спискам категорий, рекомендованным Минобрнауки РФ). По запросу «Лиги безопасного интернета» специально для учебных учреждений были добавлены категории «Белый список» и «Безопасные для детей».
NetPolice применяется и в офисах для запрета нецелевого использования интернета сотрудниками.
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
Антивирусная защита трафика для Traffic Inspector Next Generation. Модуль разработан по технологии Kaspersky Lab. Лечит зараженные файлы, блокирует вредоносные программы, запрещает потенциально опасное содержимое.
Модуль сканирует HTTP- и FTP-трафик, проходящий через прокси-сервер, а также почтовый трафик, передаваемый через SMTP-шлюз. Зараженные объекты лечит, неизлечимые и вредоносные программы удаляет и блокирует. С помощью механизмов эвристического анализа обнаруживает и запрещает получение файлов, которые могут нанести ущерб пользователям.
Высокая скорость проверки обеспечивает незаметное для пользователей сканирование всего проходящего трафика. Автоматическое и ручное обновление антивирусных баз. Отчет по обнаруженным вирусам.