Межсетевой экран – это возможность защитить корпоративную сетевую инфраструктуру от несанкционированного доступа. Брандмауэр с помощью настроенных администратором политик и правил фильтрует входящий и исходящий трафик, а также контролирует развертывание сервисов и приложений во внутренней среде. Кроме этого, устройство позволяет выполнять мониторинг пользовательской активности внутри локальной сети и тем самым допускается запрещать сотрудникам выполнять те или иные действия, которые могут угрожать безопасности корпоративных данных. В материале рассмотрим аппаратную платформу нового поколения UserGate D500.
Описание
UserGate D500 – это многофункциональное решение, которое позволяет комплексно защитить корпоративную сеть от киберугроз любого уровня. Аппаратная платформа предусматривает несколько режимов фильтрации трафика, а также помогает администратору обнаружить вредоносное программное обеспечение до достижения им условной границы локальной сети предприятия.
Внешний вид UserGate D500
Межсетевой экран UserGate D500 – это компактное устройство, которое является полноценным сервером, созданным для обеспечения высокоэффективной сетевой безопасности предприятия.
Характеристика лицевой стороны:
- F1 – индикация состояния работы устройства;
- F2 – дисплей с кнопками управления и навигации;
- F3 – порт RJ-45 для подключения консоли;
- F4 – порты USB Type-A0 для подключения внешнего оборудования;
- F5 – порты интерфейса для автономного управления функциями;
- F6 – порты передачи данных;
- F7 – SFP-порты передачи данных;
- F8 – слот для установки сетевых модулей и карт.
Характеристика оборотной стороны:
- R1 – VGA-порт;
- R2 – система активного охлаждения;
- R3 – питание;
- R4 – подключение блока питания.
Наличие сертификата ФСТЭК
UserGate D500 – сертифицированное устройство, которое соответствует требованиям законодательства Российской Федерации:
Тип | Описание |
Сертификат ФСТЭК №3905 | Устройство соответствует требованиям к межсетевым экранам и профилям защиты «А» и «Б» 4 класса. Кроме этого, аппаратная платформа соответствует 4 классу систем обнаружения вторжений и 4 классу уровня доверия. |
Функции и возможности
Возможности аппаратной платформы UserGate D500:
Межсетевой экран нового поколения | Устройство обеспечивает совершенно новый уровень безопасности сетевой инфраструктуры, благодаря возможности построения многоуровневой защиты и обнаружения угроз на любом направлении |
Видимость событий безопасности | Аппаратная платформа может обнаружить скрытые атаки на сетевые узлы и вовремя предотвратить запуск вредоносного программного обеспечения во внутренней среде локальной сети |
Множество инструментов защиты | Используя устройство, администратор может одновременно задействовать несколько инструментов защиты: потоковый антивирус, фильтрация контента, развертывание программ в изолированной области |
Несколько режимов управления | Администратор может выбрать, в каком режиме осуществлять управление безопасностью, допускается задать параметры и порядок запуска служб, а также корпоративных политик |
Выбор способа интеграции | Наличие нескольких портов передачи данных дает возможность выбрать способ интеграции аппаратной платформы в корпоративную инфраструктуру предприятия |
Функции UserGate D500:
- система раннего обнаружения и предотвращения вторжения IPS/IDS;
- аутентификация пользовательского доступа к внутренним ресурсам SSL VPN Portal;
- анализ и выгрузка данных об инцидентах безопасности (SIEM);
- настройка правил для автоматизации реакций на киберугрозы (SOAR);
- ретрансляция запросов клиентов из внешней сети (Reverse Proxy);
- контроль доступа пользователей в интернет в соответствие с заданными инструкциями;
- контроль приложений на уровне L7 на основе обновляемых баз сигнатур;
- перехват и дешифровка HTTPS-соединений (SSL Bump);
- настройка параметров доступа для гостевого пользователя (Captive Portal);
- безопасная публикация ресурсов и сервисов внутри корпоративной сети;
- антивирус с проактивной защитой (эвристический анализ и эмуляция кода);
- фильтрация почтового трафика с анализом содержимого;
- идентификация и аутентификация внутренних пользователей;
- использование сотрудниками собственных устройств для работы с ресурсами (BYOD);
- виртуальная частная сеть (VPN);
- удаленное администрирование корпоративной сети;
- поддержка автоматизации управления техническими процессами (АСУ ТП);
- формирование группы сетевых устройств (кластеризация);
- высокая отказоустойчивость (High Availability);
- расширенная защита от угроз на основе поведенческого анализа, оценке репутации ресурса и доступ к обновляемым базам сигнатур (Advanced Threat Protection).
Спецификация
Производительность
Пропускная способность смешанного корпоративного трафика (EMIX) | до 20 Гбит/сек |
Пропускная способность контроля приложений на уровне L7 (EMIX) | до 18,7 Гбит/сек |
Количество одновременных сессий по протоколу TCP | до 16 млн. |
Количество новых сессий в секунду | до 75 тыс. |
Пропускная способность системы IDS/IPS | до 2 Мбит/сек |
Фильтрация трафика по EMIX | до 9,5 Мбит/сек |
Инспектирование и дешифрование SSL | до 4,4 Мбит/сек |
Фильтрация трафика и антивирус | до 8 Мбит/сек |
Одновременное использование фильтрации, антивируса, L7 (EMIX) | до 2 Мбит/сек |
Аппаратное оборудование
Порты 10, 100, 1000Base-T | 5+2 SFP 1Gbps +8 с использованием плат |
Порты 10Gbps SFP+ | 4 при подключении плат расширений |
Количество плат расширений | 1 |
Intelligent Platform Management Interface | да |
Ядра процессора | 8 |
Память | 32 Гб DDR4 |
Накопитель | 1×1000 Гб |
Габариты
Размеры | 438 мм, 321 мм, 44 мм |
Вес | 7,5 кг |
Крепление | стойка + кронштейн |
Питание
Сетевое электропитание | 140-220 Вольт |
Максимальная мощность | 220 Ватт |
Преимущества
UserGate D500 имеет следующие преимущества:
- комплексная защиты от интернет угроз – устройство содержит полный спектр возможностей для раннего обнаружения и предотвращения несанкционированного доступа к корпоративной информации и надежно защищает сетевую инфраструктуру предприятия;
- контроль пользователей – высокий уровень безопасности обеспечивается с помощью настройки корпоративных политик для отдельных групп пользователей, а концепция BYOD позволяет сотрудникам работать с внутренними ресурсами и сервисами через собственные устройства – смартфоны и планшеты;
- наличие сертификата ФСТЭК – использовать UserGate D500 допускается на объектах критической информационной инфраструктуры, в составе автоматизированных систем, ГИС и ИСПДн, а кроме этого, аппаратную платформу можно внедрить для защиты корпоративной сети образовательного или медицинского учреждения;
- централизованное управление сетевой инфраструктурой – аппаратная платформа позволяет создать единый центр контроля за безопасностью корпоративной сети, если предприятие имеет несколько разрозненных филиалов, при этом, с помощью UserGate D500 создается защищенный канал администрирования.
Лицензирование
Пользователям доступны лицензируемые модули UserGate D500. Стандартная лицензия – базовая, которая включает в себя управление основными опциями безопасности. Таким образом, лицензируемые модули, которые допускается подключить по специальной подписке следующие:
Тип | Описание |
Security Update | Данный плагин дает возможность получать постоянные обновления для: программного обеспечения UserGate, сигнатур для системы раннего обнаружения и предотвращения вторжений, сигнатур контроля приложений на уровне L7. Также будет доступна круглосуточная техническая поддержка. Модуль предоставляется на 1 год. После этого, нужно выполнить продление. |
Advanced Threat Protection | Дополнительный плагин включает в себя следующий функционал: подписка на специальную базу ссылок URL Filtering, подписка на обновляемые списки заблокированных ресурсов Роскомнадзора, включая фишинг-URL. Кроме этого, предоставляет подписка на морфологические базы сигнатур и модуль для блокирования рекламного контента, включая таргет-рекламу. Подписка предоставляется для использования на 1 год. |
Mail Security | Предоставляется годовая лицензия на использование модуля фильтрации почтового контента и анализа содержимого. Кроме этого, администратор может назначить определенные правила открытия писем. |
Антивирус | Антивирус UserGate позволяет производить эвристический анализ подозрительного программного обеспечения, а запущенные вредоносные программы помещать в специальную изолированную область. Также заказчик сможет получать обновление баз вирусных сигнатур. Подписка на антивирус предоставляется на 1 год. |
Cluster | C помощью модуля можно выполнить объединение нескольких устройств в одну группу (кластер). В таком случае, кластер будет рассматриваться как одна самостоятельная аппаратная платформа. Лицензия доступна на 1 год. |
Важно! Дополнительную информацию о лицензируемых модулях можно найти в документации, размещенной на официальном сайте.
Вопросы и ответы
Рассмотрим ваши вопросы о межсетевом экране UserGate D500.
Да, UserGate лицензируется по количеству одновременно подключаемых пользователей. Например, если вы купили лицензию на 100 пользователей, то подключиться к межсетевому экрану 101 и последующий юзер уже не сможет. Также стоит отметить, что общее количество учетных записей не ограничено.
Чтобы приобрести оборудование и узнать цену, вам требуется обратиться к партнеру, который занимается интеграцией средств защиты информации в корпоративные сети предприятий. Ознакомиться с конкретной стоимостью можно несколькими способами – отправить запрос по электронной почте или получить соответствующие разъяснения по телефону. Ваша задача определиться с тем, какое решение вы хотите приобрести и нужны ли вам дополнительные модули.
Оборудование можно использовать не только в компаниях малого и среднего бизнеса, но и в образовательных организациях, медицинских центрах и предприятиях, относящихся к государственному сектору.
UserGate D500 функционирует на специально разработанной операционной системе – UG OS. Ее разработала IT-компания Entensys. Главное преимущество ОС – в ней отсутствует сторонний исходный код и не интегрированы различные службы и сервисы. Она может задействовать все ядра центрального процессора, что и позволяет межсетевому экрану фильтровать трафик с наибольшей эффективностью и обеспечивает максимальную пропускную способность.
Вместе с устройством вы можете использовать следующие типы сетевых карт: 8*1 (1 Гб/сек), 4*1 (Гб/сек), 4*10 (Гб/сек F0/F0 2 bypass).
Оборудование монтируется на серверную стойку с помощью специальных кронштейнов. Кроме этого, вы можете использовать серверное шасси, если хотите выполнить кластеризацию брандмауэра – объединение нескольких устройств в одну самостоятельную группу.
Согласно рекомендациям разработчиков, требуется минимум 8 Гб оперативной памяти и 2 ядерный виртуальный процессор. Также для хранения журналов и настроек на 100-500 пользователей нужно от 300 Гб до 1 Тб свободного пространства на жестком диске.