ESR-3200 FSTEC | Межсетевой экран

Межсетевые экраны ESR FSTEC A4 сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК), что позволяет использовать ESR FSTEC в качестве межсетевых экранов типа “А” четвертого класса защиты в государственных организациях, ведомственных структурах, информационных системах персональных данных и других организациях с повышенными требованиями к передаче конфиденциальных данных.

Ключевыми элементами серии являются средства аппаратного ускорения обработки данных. За счет оптимального распределения функций обработки данных между частями устройства достигается максимальная производительность.

Ключевые преимущества:

• Маршрутизация данных
• Многопротокольная коммутация по меткам (MPLS)
• Построение защищенного периметра сети (NAT, Firewall)
• Мониторинг и предотвращение сетевых атак (IPS/IDS)
• Мониторинг качества обслуживания (SLA)
• Фильтрация сетевых данных по различным критериям (включая фильтрацию по приложениям)
• Организация защищенных сетевых туннелей между филиалами компаний
• Удаленное подключение сотрудников к офису
• Управление и распределение ширины Интернет-канала в офисе посредством QoS
• Соответствие требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК) в качестве межсетевых экранов
• Использование в качестве межсетевых экранов типа «А» четвертого класса защиты
• Модели устройств с повышенной надежностью и резервированием критических узлов

Функциональное назначение

• аутентификация пользователей
• контроль и фильтрация трафика
• сбор и хранение статистики событий
• аппаратное ускорение обработки данных
• взаимодействие с другими средствами защиты информации
• возможность сопряжения с оборудованием ведущих производителей

Противодействие угрозам:

• несанкционированный доступ к цифровой информации организации
• воздействие на межсетевой экран с целью нарушения его функционирования
• отказ в обслуживании информационной системы по причине неконтролируемых сетевых подключений (в том числе DDoS-атак), уязвимостей, недостатков настроек
• несанкционированная передача информации из внутренней системы организации во внешнюю среду, в том числе вследствие работы вредоносного программного обеспечения

Интерфейсы

• 12x1000BASE-X/10GBASE-R/25GBASE-R (LAN/WAN)
• 1xOOB
• 1xUSB 2.0
• Слот для microSD-карт

Производительность

• Производительность Firewall/NAT/маршрутизации (фреймы 1518B) — 46,25 Гбит/с; 3808k пакетов/с
• Производительность Firewall/NAT/маршрутизации (фреймы 70B) — 2,2 Гбит/с; 3724k пакетов/с
• Производительность Firewall/NAT/маршрутизации (IMIX) — 20,37 Гбит/с; 3738k пакетов/с
• Производительность IPsec VPN (фреймы 1456B) — 2,564 Гбит/с; 2202k пакетов/с
• Производительность IPsec VPN (IMIX) — 1, 259 Гбит/с; 2364k пакетов/с
• Производительность IPS/IDS 10k правил — 1,49 Гбит/с; 3226k пакетов/с
• Количество VPN туннелей — 500
• Статические маршруты — 11k
• Количество конкурентных сессий — 512k
• Поддержка VLAN — 4094
• Количество маршрутов BGP — 5M
• Количество BGP-соседей — 1k
• Количество маршрутов OSPF — 500k
• Количество маршрутов RIP — 10k
• Количество маршрутов ISIS — 500k
• Таблица MAC-адресов — 16k
• Размер базы FIB — 1,7M
• VRF — 32

Подключаемые интерфейсы

• USB 3G/4G/LTE-модем
• E1 TopGate SFP

Клиенты Remote Access VPN

• PPTP/PPPoE/L2TP/OpenVPN/IPsec XAUTH

Сервер Remote Access VPN

• L2TP/PPTP/OpenVPN/IPsec XAUTH

Site-to-site VPN

• IPsec: режимы «policy-based» и «route-based»
• DMVPN
• Алгоритмы шифрования DES, 3DES, AES, Blowfish, Camellia
• Аутентификация сообщений IKE MD5, SHA-1, SHA-2

Туннелирование

• IPoGRE, EoGRE
• IPIP
• L2TPv3
• LT (inter VRF routing)

Функции L2

• Коммутация пакетов (bridging)
• Агрегация интерфейсов LAG/LACP (802.3ad)
• Поддержка VLAN (802.1Q)
• Логические интерфейсы
• LLDP, LLDP MED
• VLAN на основе MAC

Функции L3 (IPv4/IPv6)

• Трансляция адресов NAT, Static NAT, ALG
• Статические маршруты
• Протоколы динамической маршрутизации RIPv2, OSPFv2/v3, IS-IS, BGP
• Фильтрация маршрутов (prefix list)
• VRF
• Policy Based Routing (PBR)
• BFD для BGP, OSPF, статических маршрутов

BRAS (IPoE)¹

• Терминация пользователей
• Белые/черные списки URL
• Квотирование по объёму трафика, по времени сессии, по сетевым приложениям
• HTTP/HTTPS Proxy
• HTTP/HTTPS Redirect
• Аккаунтинг сессий по протоколу Netflow
• Взаимодействие с серверами ААА, PCRF
• Управление полосой пропускания по офисам и SSID, сессиям пользователей
• Аутентификация пользователей по MAC- или IP-адресам

Функции сетевой защиты

• Система обнаружения и предотвращения вторжений (IPS/IDS)¹
• Взаимодействие с Eltex Distribution Manager для получения лицензируемого контента — наборы правил, предоставляемые Kaspersky SafeStream II¹
• Web-фильтрация по URL, по содержимому (cookies, ActiveX, JavaScript)
• Zone-based Firewall
• Фильтрация на базе L2/L3/L4-полей и по приложениям
• Поддержка списков контроля доступа (ACL) на базе L2/L3/L4-полей
• Защита от DoS/DDoS-атак и оповещение об атаках
• Логирование событий атак, событий срабатывания правил

Качество обслуживания (QoS)

• До 8 приоритетных или взвешанных очередей на порт
• L2- и L3-приоритизация трафика (802.1p (cos), DSCP, IP Precedence (tos))
• Предотвращение перегрузки очередей RED, GRED
• Средства перемаркирования приоритетов
• Применение политик (policy-map)
• Управление полосой пропускания (shaping)
• Иерархический QоS
• Маркировка сессий

Управление IP-адресацией (IPv4/IPv6)

• Статические IP-адреса
• DHCP-клиент
• DHCP Relay Option 82
• Встроенный сервер DHCP, поддержка опций 43, 60, 61, 150
• DNS resolver
• IP unnumbered

Средства обеспечения надежности сети

• VRRP v2,v3
• Tracking на основании VRRP- или SLA-теста
  • Управление параметрами VRRP
  • Управление параметрами PBR
  • Управление административным статусом интерфейса
  • Активация и деактивация статического маршрута
  • Управление атрибутом AS-PATH и preference в route-map
• Балансировка нагрузки на WAN-интерфейсах, перенаправление потоков данных, переключение при оценке качества канала
• Резервирование сессий firewall

Мониторинг и управление

• Поддержка стандартных и расширенных SNMP MIB, RMONv1
• Встроенный Zabbix agent
• Аутентификация пользователей по локальной базе средствами протоколов RADIUS, TACACS+, LDAP
• Защита от ошибок конфигурирования, автоматическое восстановление конфигурации. Возможность сброса конфигурации к заводским настройкам
• Интерфейсы управления CLI
• Поддержка Syslog
• Монитор использования системных ресурсов
• Ping, traceroute (IPv4/IPv6), вывод информации о пакетах в консоли
• Обновление ПО, загрузка и выгрузка конфигурации по TFTP, SCP, FTP, SFTP, HTTP(S)
• Поддержка NTP
• Netflow v5/v9/v10 (экспорт статистики URL для HTTP, host для HTTPS)
• Локальное управление через консольный порт RS-232 (RJ-45)
• Удаленное управление, протоколы Telnet, SSH (IPv4/IPv6)
• Вывод информации по сервисам/процессам
• Локальное/удаленное сохранение конфигураций маршрутизатора

Функции контроля SLA

• Eltex SLA
  Оценка параметров каналов связи:
  • Delay (one-way/two-way)
  • Jitter (one-way/two-way)
  • Packet loss (one-way/two-way)
  • Коэффициент ошибок в пакетах
  • Нарушение последовательности доставки пакетов

MPLS

• Поддержка протокола LDP
• Поддержка L2VPN VPWS
• Поддержка L2VPN VPLS Martini Mode
• Поддержка L2VPN VPLS Kompella Mode
• Поддержка L3VPN MP-BGP

Физические характеристики и условия окружающей среды

• Максимальная потребляемая мощность — 118 Вт
• Питание:
  • 100–240 В AC, 50–60 Гц
  • 36–72 В DC
  • до двух источников питания с возможностью горячей замены
• Максимальный уровень шума — 42 дБ
• Интервал рабочих температур — от -10 до +45 °С
• Интервал температуры хранения — от -40 до +70 °С
• Относительная влажность при эксплуатации — не более 80 %
• Относительная влажность при хранении — от 10 до 95 %
• Габариты (Ш×В×Г), мм — 430 × 44 × 330
• Масса — 5 кг
• Cрок службы — не менее 15 лет

Набор функций соответствует версии ПО 1.5.7

¹Активируется лицензией