Сертификат ГТК № 2 26 от 2 апреля 1999 года
DESCRIPTION
Отечественные межсетевые экраны корпоративного и провайдерского уровня повышенной стойкости ССПТ-1М. Сертификат ГТК № 2 26 от 2 апреля 1999 года Сертификат ГТК № 25 6 от 2 8 июля 1999 года Сертификат ГТК № 442 от 19 марта 2001 года - PowerPoint PPT PresentationTRANSCRIPT
НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК
Отечественные Отечественные межсетевые экранымежсетевые экраны
корпоративного и корпоративного и провайдерского уровняпровайдерского уровняповышенной стойкости повышенной стойкости
ССПТ-1МССПТ-1М
Сертификат ГТК № 226 от 2 апреля 1999 года
Сертификат ГТК № 256 от 28 июля 1999 года
Сертификат ГТК № 442 от 19 марта 2001 года
Сертификат ГТК № 702 от 14 января 2003 года
Санкт-Петербург Санкт-Петербург 20032003
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
- программное или аппаратно-программное
средство, предназначенное для разделения
компьютерной сети на сегменты с различными
правами доступа и обеспечивающее защиту
разделяемых сегментов от
несанкционированного доступа посредством
фильтрации информации между ними по
установленным администратором правилам.
Межсетевой экран:Межсетевой экран:
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Основные особенности ССПТ-1МОсновные особенности ССПТ-1М
Аппаратно-программная реализация Уникальная защищенность
(стелс-технология, электронная пломба) Многопротокольная фильтрация Расширенный набор критериев
фильтрации Управление по доверенному каналу Многопортовая реализация
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Модуль фильтрации
Функциональная схема МЭ Функциональная схема МЭ с 2 портамис 2 портами
Console COM EthC
Порт 0 Порт 1
Модуль управления
Аутентификация
Управление доступом
Файлы правил
Модуль пользовательского интерфейса
SSH-сервер
НТТР-сервер
Политика безопасности
Журналы, сигналы тревоги
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Типовая схема включенияТиповая схема включения
ССПТ-1
Internet
открытыйсегмент сети
защищенныйсегмент сети
управляющийкомпьютер
RS232 илиEthernet
Ethernetпорт 1
Ethernetпорт 0
маршрутизатор
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Невидимый режим работы ССПТ-1МНевидимый режим работы ССПТ-1М
МЭ
IP и MAC адреса IP и MAC адреса
трафик
DSTSRC DSTSRC
МЭ
Отсутствие адресов Отсутствие адресов
трафик
DSTSRC
Стандартная архитектура МЭ
ССПТ-1М
DSTSRC
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Многопротокольная фильтрацияМногопротокольная фильтрация
Ethernet II, Ethernet 802.2 LCC
TCP/IP
IPX/SPX
Поддержка туннелей
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Обобщенный алгоритм фильтрацииОбобщенный алгоритм фильтрации
Пакет соответствует
правилу?
НЕТ
ДА
Приход пакета
Правило«Пропустить»?
Есть еще правила?
Глобальное правило
«пропустить»?
ДА
Пропускпакета
Удаление пакета
ДА
НЕТ
НЕТ
ДА
НЕТ
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Типы правил фильтрацииТипы правил фильтрации
Ethernet IIEthernet 802.2Ethernet 802.3Ethernet SNAP
…
… Прил.
RARP
IP IPX
IPX
Прил. …
TCP
IPICMP
UDP
Прил. Прил. Прил. Прил.
…
ARP
MAC
ARP •Регулярные правила
•Глобальные правила
Входящий кадр
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Управляющие интерфейсы:Управляющие интерфейсы:WEB-WEB-интерфейсинтерфейс
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Управляющие интерфейсы: Управляющие интерфейсы: интерфейс командной строки (интерфейс командной строки (CLI)CLI)
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Физические интерфейсы управленияФизические интерфейсы управления
Консоль СОМ-порт Ethernet-порт
Протоколы доступа PPP, Ethernet HTTPS SSH
Console COM Eth С
ССПТ-1М
Фильтрующие интерфейсы
Интерфейсы управления
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Типы доступа к управлению МЭТипы доступа к управлению МЭ
МСЭ
Консоль
МСЭ
Терминал
МСЭ
МДМ
МДМ
Консоль
МСЭ
МДМ
МДМ
УК
МСЭ
УК
МСЭ
УК
1. Непосредственное подключение консоли
Интерфейс: CLI
2. Подключение консоли через COM-порт
Интерфейс: CLI
3. Удаленное подключение консоли
Интерфейс: CLI
4. Подключение УК через COM-порт (PPP, IP)
Интерфейс: CLI + WEB
6. Удаленное подключение УК через COM-порт (PPP, IP)
Интерфейс: CLI + WEB
5. Подключение УК через доверенную ЛВС
Интерфейс: CLI + WEB
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Задание правил фильтрации в Задание правил фильтрации в WEBWEB
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Задание правил фильтрации в Задание правил фильтрации в CLICLI
Формат:
set rule <синтаксис правила >
set rule тип:номер:действие:регистрация:вход:выход:параметры
set rule mac:0:accept:nolog
set rule ip:5:drop:log:01:10:0:tcp:0.0.0.0/255.255.255.255:any:194.85.4.3 /255.255.255.240:ftp:any:any:any:65535:0-255:any:active:запрет ftp
set rule time:5:111111111111:1:31:1111111:08-00-00:21-59-59
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Многопортовые МСЭМногопортовые МСЭ
От 2 до 8
фильтрующих интерфейсов
Eth C
ЛВСсегмент 2
Eth0
ЛВСсегмент N
Eth1 EthNЛВС
сегмент 1ССПТ-1М
C ons COM
. . .
EthС
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Схема подключения МСЭ с 4 портами Схема подключения МСЭ с 4 портами
Eth C
ЛВСсегмент 2
Eth0
COM
управляющийкомпьютер
ЛВСсегмент 3
Eth1 Eth2 Eth3ЛВС
сегмент 4ЛВС
сегмент 1 ССПТ-1М
ssh, https-соединение
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Дополнительная функциональностьДополнительная функциональность
Регистрация действий администратора и нештатных ситуаций
Регистрация пакетов Сохранение нескольких наборов правил Откат, деактивация правила, переименование
интерфейсов Сохранение регистрационных файлов Возможность коллективной работы нескольких
МЭ
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Загрузка/выгрузка конфигурационного Загрузка/выгрузка конфигурационного файла правилфайла правил
Eth C
ЛВСсегмент 2
Eth0
COM
управляющийкомпьютер
ЛВСсегмент 3
Eth1 Eth2 Eth3ЛВС
сегмент 4ЛВС
сегмент 1 ССПТ-1М
mac:0:accept:log arp:0:accept:nolog ip:0:accept:log ipx:0:accept:nolog
ssh, https-соединение
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Выгрузка на внешний сервер файлов Выгрузка на внешний сервер файлов регистрациирегистрации
Eth C
ЛВСсегмент 2
Eth0
COM
управляющийкомпьютер
ЛВСсегмент 3
Eth1 Eth2 Eth3ЛВС
сегмент 4ЛВС
сегмент 1 ССПТ-1М
Концентратор/коммутатор
Сервер удаленного хранения (FTP- или NFS-
сервер)
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Коллективная работа нескольких МЭКоллективная работа нескольких МЭ
Eth C
Eth0
управляющийкомпьютер
Eth1 Eth2 Eth3
COM
ССПТ-1М
Eth C
Eth0 Eth1 Eth2 Eth3
ССПТ-1М
COM
Eth C
Eth0 Eth1 Eth2 Eth3
ССПТ-1М
Eth C
Eth0 Eth1 Eth2 Eth3
ССПТ-1М
COM
Концентратор/коммутатор
Сегмент ЛВС
Сегмент ЛВС
Сегмент ЛВС
Сегмент ЛВС
Сегмент ЛВС
Сегмент ЛВС
Управляющий сегмент Ethernetфизически отделен
от защищаемых сегментов
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Техническая поддержка и обучениеТехническая поддержка и обучение
194064, Санкт-Петербург, Тихорецкий пр., 21, НПО РТК
Горячая линия +7 (812) 552–0660,
Факс +7 (812) 552–4512
Email [email protected]
http://www.rtc.ru
http://www.frac-tel.com
Учебный центр РТК Курс “Применение межсетевого экрана ССПТ-1М – 5 дней.
НА
УЧ
НО
-ПР
ОИ
ЗВ
ОД
СТ
ВЕ
НН
ОЕ
ОБ
ЪЕ
ДИ
НЕ
НИ
Е Р
ТК
Наши партнерыНаши партнеры
РКК “Энергия”
Государственный таможенный комитет РФ
Министерство Образования РФ