чі, забезпечує гарантований захист від можливості дешифрування перехоплених даних.
Для захисту від проникнення з боку мереж загального користування комплекс «Континент» 3.6 забезпечує фільтрацію прийнятих і переданих пакетів за різними критеріями (адресами відправника і одержувача, протоколам, номерах портів, додатковим полях пакетів і т.д. ). Здійснює підтримку VoIP, відеоконференцій, ADSL, Dial-Up і супутникових каналів зв'язку, технології NAT/PAT для приховування структури мережі.
Рис. 8
Ключові можливості і характеристики АПКШ «Континент» 3.6:
. Криптографічний захист переданих даних відповідно до ГОСТ 28147-89
У АПКШ «Континент» 3.6 застосовується сучасна ключова схема, реалізує шифрування кожного пакета на унікальному ключі. Це забезпечує високий ступінь захисту даних від розшифровки в разі їх перехоплення.
Шифрування даних проводиться відповідно до ГОСТ 28147-89 в режимі гамування зі зворотним зв'язком. Захист даних від спотворення здійснюється по ГОСТ 28147-89 в режимі имитовставки. Управління криптографічними ключами ведеться централізовано з ЦУС.
. Межсетевое екранування - захист внутрішніх сегментів мережі від несанкціонованого доступу
Кріптошлюз «Континент» 3.6 забезпечує фільтрацію прийнятих і переданих пакетів за різними критеріями (адресами відправника і одержувача, протоколам, номерах портів, додатковим полях пакетів і т.д.). Це дозволяє захистити внутрішні сегменти мережі від проникнення з мереж загального користування.
. Безпечний доступ віддалених користувачів до ресурсів VPN-мережі
Спеціальне програмне забезпечення «Континент АП», що входить до складу АПКШ «Континент» 3.6, дозволяє організувати захищений доступ з віддалених комп'ютерів до корпоративної VPN-мережі.
. Створення інформаційних підсистем з поділом доступу на фізичному рівні
У АПКШ «Континент» 3.6 можна підключати 1 зовнішній і 3-9 внутрішніх інтерфейсів на кожному кріптошлюзе. Це значно розширює можливості користувача при налаштуванні мережі відповідно до корпоративної політикою безпеки. Зокрема, наявність декількох внутрішніх інтерфейсів дозволяє розділяти на рівні мережевих карт підмережі відділів організації та встановлювати необхідний ступінь взаємодії між ними.
. Підтримка поширених каналів зв'язку
Робота через Dial-Up з'єднання, обладнання ADSL, підключене безпосередньо до кріптошлюзу, а також через супутникові канали зв'язку.
. «Прозорість» для будь-яких додатків і мережевих сервісів
Кріптошлюзи «Континент» 3.6 «прозорі» для будь-яких додатків і мережевих сервісів, що працюють по протоколу TCP/IP, включаючи такі мультимедіа-сервіси, як IP-телефонія і відеоконференції.
. Робота з високопріоритетним трафіком
Реалізований в АПКШ «Континент» 3.6 механізм пріоритезації трафіку дозволяє захищати голосової (VoIP) трафік і відеоконференції без втрати якості зв'язку.
. Резервування гарантованої смуги пропускання за певними послугами
Резервування гарантованої смуги пропускання за певними послугами забезпечує проходження трафіку електронної пошти, систем документообігу тощо навіть при активному використанні IP-телефонії на низькошвидкісних каналах зв'язку.
. Підтримка VLAN
Підтримка VLAN гарантує просте вбудовування АПКШ в мережеву інфраструктуру, розбиту на віртуальні сегменти.
. Приховування внутрішньої мережі. Підтримка технологій NAT/PAT
Підтримка технології NAT/PAT дозволяє приховувати внутрішню структуру захищаються сегментів мережі при передачі відкритого трафіку, а так само організовувати демілітаризовані зони і сегментувати захищаються мережі.
Приховування внутрішньої структури захищаються сегментів корпоративної мережі здійснюється:
методом інкапсуляції переданих пакетів (при шифруванні трафіка);
за допомогою технології трансляції мережевих адрес (NAT) при роботі з загальнодоступними ресурсами.
11. Можливість інтеграції з системами виявлення атак
На кожному кріптошлюзе існує можливість спеціально виділити один з інтерфейсів для перевірки трафіку, що проходить через КШ, на наявність спроб неавторизованого доступу (мережевих атак). Для цього необхідно визначити такий інтерфейс як «SPAN-порт» і підключити до нього комп'ютер з встановленою системою виявлення атак (наприклад, RealSecure). Після цього на даний інтерфейс починають ретранслюватись всі пакет...
