buttons

НОВОСТИ

Показать еще >>>


ОБЗОРЫ

Показать еще >>>


Челябинский государственный университет - поставка программно-аппаратного межсетевого экрана

ООО «Радиотелекоммуникации» выполнило требования Челябинского государственного университета на поставку программно-аппаратного межсетевого экрана.

Технические требования к межсетевому экрану:

Межсетевой экран должен осуществляет контроль взаимодействия двух или более сетей, и содержать функции противодействия несанкционированному межсетевому доступу на сетевом уровне. На этом уровне субъектом доступа должен является узел, а сервис, который ему требуется, определяется на уровне протоколов транспортного и прикладного уровня.

Устройства, реализующие функции межсетевого экранирования, должны устанавливаться в "разрыв" между сетями и обязаны поддерживать безопасность межсетевого взаимодействия на различных уровнях эталонной модели OSI. На сетевом и транспортном уровнях межсетевого экранирования должно устройство должно выполнять роль пакетного фильтра. Оно должно анализировать заголовки пакетов сетевого и транспортного уровней по полям: адреса отправителя и получателя, тип пакета (протокол TCP, UDP, ICMP), флаг фрагментации пакета, номера TCP-портов отправителя и получателя, опции протокола IP.

На сеансовом уровне межсетевой экран должен реализовавыть функции шлюза-посредника при установлении и контроле соединений (сеансов), а также осуществлять сетевую трансляцию IP-адресов (NAT). При превышении определенного порога переданной информации или при нарушении правильной последовательности в нумерации должен происходить разрыв соединения.

Механизм трансляции адресов защищаемой сети (Network Adress Translation, NAT) должен позволять скрывать структуру и адресацию сети от пользователей, находящихся в другой, менее доверенной сети. Использование NAT должно также позволять иметь в защищаемой сети собственную систему адресации и тем самым решать возможную проблему расширения ее адресного пространства.

На представительском и прикладном уровнях межсетевой экран должен выполнять роль шлюза-посредника, на котором функционируют экранирующие агенты-посредники. Каждый из них должен интерпретировать конкретные протоколы прикладного уровня (HTTP, FTP, SMTP, TELNET, SNMP, DNS и т.д.) в той степени, которая необходима для обеспечения безопасности. Кроме того, эти устройства должны выполнять такие функции, как:

  • аутентификация и авторизация пользователей при попытке доступа к командному интерфейсу самого устройства;
  • возможность задания ролевого доступа к командному интерфейсу устройства, с возможностью задания списка доступных команд и их параметров для каждой роли;
  • шифрование информации, как на сетевом, так и прикладном уровне;
  • поддержка виртуальных сетей на основе протокола 802.1q;
  • контроль протоколов и приложений (HTTP, SMTP, FTP, голос и мультимедиа, СУБД, операционные системы, GTP/GPRS, ICQ, P2P и т. п.);
  • защищать от атак “переполнение буфера”, нарушений RFC, сетевых аномалий, защищать от атак, основанных на подмене адресов;
  • возможность отражения вирусов, червей и вредоносных программ в протоколах HTTP, FTP, SMTP и POP3;
  • поддержка протокола маршрутизации многоадресных рассылок PIM для передачи видеоинформации;
  • поддержка протоколов динамической маршрутизации OSPF и RIP v2;
  • Обеспечение политик качества обслуживания;
  • Определение и блокирование маскировки протоколов внутри протокола HTTP;
  • Обеспечение функциональной совместимости с инфраструктурным сетевым оборудованием;
  • Функции прозрачного межсетевого экрана;
  • Функции виртуализации- наличие виртуальных межсетевых экранов и механизмов контроля их ресурсов;
  • Аутентификация и авторизация транзитный пользователей по протоколам HTTP, HTTPS, Telnet, FTP;
  • Поддержка протокола IP следующего поколения – IP v6;
  • поддержка функций высокой доступности ­­­­- резервирование устройств по типу активное - пассивное и активное – активное;
  • Наличие и графического и командного интерфейса, а также опциональной системы централизованного управления;
  • регистрация событий, как локально, так и с возможностью передачи их на внешний сервер для последующего анализа по протоколу syslog;
  • реагирование на задаваемые при настройке события, а также анализ зарегистрированной информации и генерация отчетов

При обнаружении нарушений политики безопасности устройство межсетевого экранирования должно посылать уведомления обслуживающему персоналу (на экран консоли и на внешний сервер по протоколу syslog), регистрирует нарушения политики безопасности, а также должно принудительно завершить "враждебное" соединение и произвести автоматическое изменение настроек с целью блокирования всех дальнейших попыток установления соединений с подозрительного хоста (осуществлять shunning).

Межсетевой экран должен работать под управлением операционной системы реального времени и контролировать установление соединения на уровне приложения. После успешного прохождения пользователем авторизации доступа в соответствии с принятыми политиками безопасности межсетевой экран должен обеспечивать контроль потока данных между абонентами на уровне сессии.

Межсетевой экран должен обеспечивать безопасность на уровне соединения на основе контроля информации об адресах отправителя и получателя, последовательности нумерации TCP-пакетов, номерах портов и добавочных флагах протокола TCP. Эта информация сохраняется в таблице, проверку на соответствие с записями которой проходят все входящие пакеты. Доступ через межсетевой экран должен предоставляться только в том случае, если соединение успешно прошло идентификацию.

В качестве решения предложено оборудование Cisco - «ASA 5520-BUN-К9»

РТК авторизовано производителем и обеспечивает техническую поддержку.


О компании Реализованные проекты Решения Каталог радиосвязи Оборудование для речного флота Телефония, сети передачи данных, СКС Видеонаблюдение, контроль доступа, безопасность Проектирование, сервисный центр