Функциональные возможности
Программно-аппаратный комплекс «Рубикон» выполняет функции межсетевого экрана, системы обнаружения вторжений (СОВ) и маршрутизатора. Комплекс сертифицирован ФСТЭК России и Министерством обороны РФ.

Межсетевой экран

Фильтрация пакетов

  • по IP/MAC-адресам, портам, значениям байтов в теле пакета;
  • фильтрация, учитывающая состояние соединения (Stateful Packet Inspection);
  • фильтрация по расписанию;
  • фильтрация сетевых пакетов в режиме маршрутизатора (при использовании в режиме L3 коммутатора) по основным заголовкам сетевых пакетов;
  • фильтрация сетевых пакетов в прозрачном режиме (при использовании в режиме L2 коммутатора) по основным заголовкам сетевых пакетов;
  • фильтрация по мандатным меткам отечественных защищенных операционных систем (Astra Linux и МСВС);
  • фильтрация пакетов на прикладных уровнях (L7-filter);
  • transparent firewall;
  • защита от вирусов (с использованием дополнительного ПО).

Трансляция пакетов

  • NAT/PAT (трансляция входящего (DNAT) и исходящего (SNAT) трафика;
  • трансляция всех адресов в один адрес (masquerade);
  • трансляция сеть-в-сеть (netmap);
  • перенаправление трафика (redirect);
  • IPv6 transition: NAT-PT.

Правила фильтрации

Правила фильтрации

Криптографическая защита информации

Криптографические туннели для защиты передачи данных

  • статические — с использованием симметричных ключей и на ключевых парах Dikey, c шифрованием и криптозащитой IP-трафика по алгоритму ГОСТ 28147-89;
  • возможность построение VPN туннелей с использованием протоколов IPSec, OpenVPN и GRE.

Работа через NAT

  • инкапсуляция трафика в протокол UDP;
  • поддержка механизма nat-traversal.

Система обнаружения и предотвращения вторжений

  • Наличие системы обнаружения вторжений (СОВ).
  • Наличие системы предотвращения вторжений.
  • Возможность анализировать средствами СОВ зеркалируемый трафик (посредством span-порта).
  • Возможность работы СОВ в прозрачном режиме.
  • Локальное и удаленное обновление базы правил СОВ.
  • Рубикон содержит систему обнаружения и предотвращения сетевых атак (IDS/IPS) на базе Snort. Работа системы возможна в режиме только обнаружения атаки или в режиме обнаружения и предотвращения атаки.
  • Анализ можно применять для маршрутизируемого трафика и для трафика, коммутируемого через сетевой мост.
  • Помимо стандартных широких возможностей системы Snort добавлена поддержка создания собственных правил анализа трафика и возможность записи дампов трафика, распознанного как атака. Управление системой и отображение статистики атак реализовано через портал управления безопасностью.

Единый центр управления

Функциональные возможности системы управления

Мониторинг (SNMP, Netflow, событий ИБ)

  • Отображение доступности сетевых устройств в реальном времени и статистика за предыдущие периоды.
  • Отображение статуса узлов на топологии сети.
  • Получение и отображение SNMP traps.
  • Отображение загрузки интерфейсов узлов.
  • Отображение загрузки памяти, процессора, дисковой подсистемы узлов и устройства в целом.
  • Отображение статистики по трафику в сети.
  • Отображение атак в виде списка с возможностью фильтрации.
  • Отображение атак в виде графика с возможностью фильтрации.
  • Вывод детальной информации по атаке (атакующий узел, атакуемый узел, CVE, pcap).
  • Формирование уведомление администратора об атаках с заданными критериями.
  • Формирование сводного дашборда мониторинга, его настройка.
  • Возможность построения собственных дашбордов.
  • Формирование оповещений по пороговым значениям на графиках.
  • Формирование оповещений о недоступности узлов.
  • Формирование оповещений о DoS-атаках.
  • Отображение возможных реакций на задание различных реакций на различные типы событий и срабатывание правил корреляции.
  • Отображение и редактирование списка правил корреляции.
Отчеты
  • Формирование отчета о доступности сетевого устройства за период, график и проценты.
  • Формирование отчета со списком и графиком атак за период.
  • Формирование отчета со статистикой атак за период с различными критериями.
  • Формирование отчета с наиболее популярными категориями угроз.
  • Формирование отчета с типами инцидентов.
  • Формирование отчета с наиболее популярными целями атак.
  • Формирование отчета с наиболее популярными категориями угроз.
  • Поиск событий с помощью фильтров и группировка событий в журнале средства обнаружения вторжений.

Управление устройствами

Общие функции

  • Добавление/изменение/удаление узла, настройки доступа и получаемых логов с узла.
  • Отображение списка узлов, группировка узлов.
  • Экспорт/импорт списка узлов
  • Включение и выключение СОВ(IPS/IDS) на Dionis-NX.
  • Загрузка правил СОВ и выгрузка (получение информации о загруженных на узел правилах).
  • Настройка правил СОВ, ввод пользовательских правил СОВ.
  • Настройки приоритетов правил СОВ.
  • Доступ к журналам работы СОВ.
  • Возможность подключиться к любому узлу по SSH.
  • Ролевое управление доступом к функциям системы.

Управление списками доступа (ACL, NAT)

  • Отображение для каждого узла созданных списков ACL, NAT.
  • Создание и редактирование списков, контроль синтаксиса.
  • Отображение всех интерфейсов узла.
  • Сканирование/проверка открытых адресов/портов.
  • Управление сетевыми объектами и группами сетевых объектов.
  • Управление ACL при помощи политик с использованием сетевых объектов или групп сетевых объектов.

Туннели

  • Отображение туннеля или туннельных интерфейсов парой (парой узлов) + связанные маршруты.
  • Создание туннелей типа Ditun.
  • Анализ и добавление конфигурации туннелей на основе полученной информации из конфигурации с возможностью редактирования.
  • Отображения счетчика пакетов, объема переданного трафика.
  • Изменение настроек (и ключей) в паре и индивидуально.
  • Включение и выключение туннелей индивидуально.
  • Отображение всех интерфейсов и маршрутов узла.
  • Отображение состояния туннелей (keepalive).
  • Замена номера серии для всех туннелей узлов.

Менеджер конфигураций

  • Отображение списка конфигураций по списку узлов с группировкой узлов.
  • Отображение последней загруженной конфигурации узла.
  • Хранение конфигураций узлов (истории изменений конфигураций).
  • Редактирование конфигурации узлов.
  • Получение конфигураций по расписанию для каждого узла.
  • Сравнение двух конфигураций в истории одного узла и между двумя узлами.
  • Отображение изменений при сравнении конфигураций узлов.
  • Формирование уведомления о нахождении различий полученной конфигурации с эталонной конфигурацией.
  • Отправка, применение конфигурации startup-config на узле с перезагрузкой.
  • Безопасное применение конфигурации с автоматическим откатом при проблемах.

Скрипты

  • Отображение и редактирование переменных и шаблонов переменных по списку узлов.
  • Отображение списка скриптов.
  • Выполнение скриптов на устройстве или группе устройств.

Политики

  • Задание сетевых объектов, группы сетевых объектов, сервисов.

Управление и мониторинг

Поддерживаются аутентификация и авторизация пользователей через серверы Radius и TACACS+.

Локальное управление (интерфейс командной строки):

  • локальная консоль (клавиатура и монитор, возможно подключение монитора по DisplayLink);
  • терминал через порт RS-232.

Удаленное управление:

  • интерфейс командной строки;
  • по протоколам SSH и telnet;
  • WEB-интерфейс управления по протоколу HTTP с ролевой моделью доступа.

Удобство управления:

  • групповые объекты ACL, NAT, PBR;
  • архиватор.

Ролевая модель управления:

  • возможность задания множества администраторов с назначаемыми правами управления и мониторинга.

Развитые механизмы обслуживания:

  • удаленное обновление программного обеспечения;
  • возможность установки нескольких версий на одну аппаратную платформу;
  • привязка слотов данных (настроек) к версиям программного обеспечения;
  • контроль целостности программного обеспечения;
  • резервное архивирование и восстановление, в том числе по сети;
  • назначение умалчиваемой, резервной и экспериментальной версий ПО;
  • автоматический переход на резервную версию ПО при неуспешном запуске.

Трассировка:

  • отслеживание приема, пути и отправки пакета в маршрутизаторе, его трансформаций, попадания в фильтры.

Ведение журналов:

  • регистрация в системных журналах различных событий функционирования и безопасности (в том числе протоколирование работы фильтров) и действий администраторов;
  • статистика по IP-адресам.

Мониторинг:

  • SNMP, NetFlow v1/v5/v9, Syslog;
  • LLDP;
  • отзеркаливание трафика (mirroring);
  • отслеживание сообщений в журналах по заданному шаблону с возможностью отправки на E-mail;
  • текущий мониторинг загрузки системы и интерфейсов на консоли.

Интерфейсы

  • Ethernet с возможностью задания нескольких IP-адресов на одном интерфейсе;
  • VLAN с поддержкой QinQ;
  • интерфейсы сетевой виртуализации VXLAN;
  • туннельные интерфейсы: GRE/GRETAP с контролем состояния туннеля, L2TP с возможностью упаковки в туннель IPSec, PPTP, PPPoE;
  • агрегированные интерфейсы Bond с различными алгоритмами балансировки:
    •  поочередное циклическое использование (balance-rr),
    • резервирование (active-backup),
    • распределение по хеш-функции (balance-xor),
    • одновременная передача (broadcast) по стандарту IEEE 802.3ad,
    • адаптивная балансировка передачи (balance-tlb),
    • адаптивная балансировка на приеме (balance-alb);
  • скоммутированные интерфейсы Bridge с поддержкой протокола STP;
  • интерфейсы беспроводных адаптеров Wi-Fi и модемов 3G/LTE;
  • E1 (HDLC);
  • VPN-интерфейсы OpenVPN (клиент/сервер);
  • туннельные интерфейсы Ditun/Ditap (L3 VPN/ L2 VPN) с поддержкой криптозащиты трафика по алгоритмам ГОСТ и контролем состояния туннеля.

Сетевые сервисы

Cлужбы:

  • DHCP, DHCP6, DHCP-Relay, DHCP-Relay6;
  • DNS/EDNS (клиент/сервер);
  • NTP (клиент/сервер);
  • HTTP-прокси;
  • FTP-сервер и FTP-прокси;
  • измерительные утилиты NetPerf и IPerf (клиент/сервер);
  • SLAgent: агент измерителя качества каналов.
  • возможность совместного использования HTTP-прокси с внешним антивирусом по протоколу ICAP;
  • возможность использования различных сетевых интерфейсов в различном количестве и комбинаций.

Оптимизация производительности

  • трансляция ARP (proxy-arp);
  • фильтрация ARP только для одного интерфейса (arp-filter);
  • управление размером TCP MSS (path-mtu-discovery, adjust-mss);
  • равномерное распределение входящих пакетов по очередям обработки (RSS);
  • использование аппаратных возможностей сетевого адаптера (offload);
  • уведомление о заторах без отброса пакетов (ECN);
  • управление перегрузками FIFO, PQ, CQ, WFQ, CBWFQ;
  • избежание перегрузок WRED/RED.

Качество сервиса (QoS)

  • классификация трафика по IP/MAC-адресам, портам и значениям байтов, битам поля CoS фрейма Ethernet и поля TOS/DSCP заголовка IP, наследование значения из заголовка Ethernet в заголовок IP и в заголовок туннеля IPoverIP. Предоставление политик обслуживания, в том числе гарантированной и максимальной полосы пропускания для различных классов трафика;
  • управление полосой пропускания и приоритизация могут быть реализованы с помощью различных политик (HTB, Prio и PrioToS) и различных алгоритмов приоритизации (codel/fqcodel, RED/GRED и SFQ). В политиках обеспечивается двухуровневая иерархия очередей.

Резервирование

Кластеры

  • отказоустойчивый аппаратный кластер с горячим резервированием (активный/пассивный, с передачей информации о текущих соединениях);
    • возможность резервирования на уровне устройств (по протоколу CARP);
    • возможность резервирования на уровне портов (bridge, VLAN, bonding);
    • возможность резервирования на уровне каналов связи посредством динамической маршрутизации с использованием протоколов OSPF, BGP;

Схема горячего резервирования

Схема горячего резервирования

Одно из устройств работает в активном режиме, второе - в режиме ожидания. Если первое устройство отключается, второе устройство переключается в активный режим. Сетевые настройки обоих устройств синхронизируются в автоматическом режиме.

Общение и связь

  • XMPP — протокол обмена сообщениями;
  • Tox — протокол для текстовой, голосовой и видеосвязи.

Маршрутизация

  • статическая маршрутизация TCP/IP (v4);
  • статическая маршрутизация TCP/IP (v6);
  • маршрутизация на основе политик (PBR) IPv4/IPv6 с учетом классификации трафика, с контролем состояния маршрута;
  • динамическая (протоколы OSPFv2/v3, BGPv4/v6, RIP, RIP-NG) с использованием карт маршрутов (route-map) и протокола быстрого обнаружения недоступности соседа (BFD);
  • маршрутизация мультикаст-трафика (статическая, динамическая по протоколам IGMP, DVMRP, PIM);
  • MPLS (многопротокольная коммутация по меткам) — c возможностью статической и динамической коммутации по меткам (LDP) и построением L2/L3-туннелей с использованием интерфейсов Ditap/Ditun с криптозащитой и без;
  • VRF — технология, позволяющая реализовывать на базе одного физического маршрутизатора несколько виртуальных, каждого со своей независимой таблицей маршрутизации. VRF в связке с технологией MPLS и BGP реализуют (MP-BGP, MPLS-L3 VPN).

Защищенное исполнение

Возможность применения изделия в кузовах на колесных и гусеничных шасси (исполнение НПЕШ.465614.002-37 и НПЕШ.465614.002-27).
Личный кабинет
Ваш логин
Ваш пароль
141734, МО, г. Лобня, Текстильная ул, д. 1, этаж 3, помещ. 70
Посмотреть на карте