Программные модули

Межсетевой экран (FW)

Базовый модуль

Позволяет осуществлять коммутацию и агрегирование, статическую и динамическую маршрутизацию, фильтрацию трафика с учетом обширного набора критериев, в том числе, по мандатным меткам.
Встроенные функции безопасности и создание кластеров Active-Passive (Standby) гарантируют бесперебойную работу решения.

Сертификат №4199 от 26.12.2019 подтверждает соответствие программно-технических межсетевых экранов Numa Edge «Требованиям к межсетевым экранам» (ФСТЭК России, 2016) и Профилям защиты ИТ.МЭ.А4.ПЗ и ИТ.МЭ.Б4.ПЗ, а также заданию по безопасности АМБН.465689.001ЗБ.

Базовые функции

Управление через консоль или web-интерфейс;

Локальное и удаленное журналирование событий;

Безопасные обновления;

Балансировка нагрузки;

Ролевая модель доступа;

Встроенные функции безопасности;

Удаленное управление Telnet/SSH, HTTP/HTTPS;

Поддержка IPMI (в старших моделях).

Коммутация

Поддержка сетевых мостов;

Поддержка VLAN;

Агрегирование каналов Ethernet;

Виртуальные интерфейсы Ethernet (псевдо-Ethernet).

Маршрутизация

Статическая маршрутизация;

Маршрутизация многоадресного трафика (multicast): DVMRP, IGMP;

Балансировка нагрузки между несколькими внешними каналами;

Клонирование и модификация трафика;

Поддержка ICAP;

Динамическая маршрутизация: OSPF, BGP, RIP;

Маршрутизация на основе политик (Policy base routing IPv4, IPv6);

Туннелирование IP

Туннели GRE (Generic Routing Encapsulation);

Туннели SIT (Simple Internet Transition);

Туннели IP-IP;

Межсетевое экранирование

Межсетевой экран сеансового уровня (Stateful firewall) IPv4, IPv6;

Фильтрация по адресам и портам получателя и отправителя;

Возможность задания адресов отправителя и получателя в виде DNS-имен;

Возможность фильтрации по типу адреса unicast, local, broadcast, multicast и иные;

Фильтрация трафика с учетом заданного контекста состояния соединений, даты, времени, зоны, имен пользователей;

Фильтрация по принадлежности IP адреса определенной стране;

Фильтрация ARP трафика;

Фильтрация протокола FTP;

Фильтрация кадров на L2 уровне;

Фильтрация по мандатным меткам (AstraLinux, MLS/MCS RFC 1108);

Фильтрация протоколов прикладного уровня L7 (более 100 протоколов);

Отладка, журналирование правил и действий правил.

Сервисы

Преобразование сетевых адресов NAT (SNAT/DNAT);

DNS-сервер с поддержкой DNSSec;

DHCP-сервер, агент ретрансляции;

NTP сервер;

Иерархический QoS;

Мониторинг SNMP;

Учет трафика: NetFlow и sFlow.

Сервисы

Кластер Active-Passive (Standby);

Переключение между узлами кластера без разрыва клиентских соединений;

Контроль целостности файлов устройства;

Резервное копирование и восстановление конфигураций;

Изолированная среда исполнения ПО;

Резервирование WAN-канала (WAN-failover).

Инфраструктура PKI

Встроенные механизмы удостоверяющего центра;

Поддержка российских криптографических алгоритмов;

Изданные сертификаты могут использоваться в модуле «Криптопровайдер ГОСТ (СКЗИ)» для идентификации и аутентификации.

Прокси

«Прозрачный» и «непрозрачный» режимы работы веб-прокси;

Проксирование соединений SSL;

Создание собственных списков блокировок;

Авторизация пользователей на AD, LDAP или через NTLM;

SOCKS proxy;

Блокировка доступа по 25 категориям адресов;

Блокировка по точному URL;

Гибкие политики доступа по времени, адресу, имени пользователя, группе;

Встроенный L3/L4 балансировщик.

Система криптографической защиты информации (FW + VPN ГОСТ)

Дополнительный модуль

Позволяет решить задачу построения защищенных каналов передачи данных.

Поддержка российских криптографических алгоритмов и различных способов построения VPN позволяет создавать надежные межфилиальные соединения и осуществлять клиент-серверные подключения мобильных пользователей, соблюдая требования российского законодательства.

Используется встроенное сертифицированное ФСБ России СКЗИ «МагПро КриптоПакет» в. 4.0 исполнение «OpenVPN-ГОСТ» (Сертификат ФСБ России №СФ/114-4205 от 21.01.2022) (КС1/КС2).

VPN на основе политик (Policy-based VPN)

На базе набора протоколов IPSec;

IKEv1, ESP, AH;

Поддержка российских криптографических алгоритмов;

Неограниченное количество туннелей;

Туннельный и транспортный режим IPSec;

Туннели IP-IP, GRE (в том числе L2 over GRE, EoGRE), SIT поверх IPSec;

"Межфилиальный" режим VPN ("site-to-site" VPN);

Удаленный доступ (Remote Access VPN) – L2TP с IPSec;

Авторизация сторон в межфилиальном режиме по предварительно распределенным ключам (PSK) или X.509 сертификатам.

VPN на основе маршрутов (Route-based VPN)

На базе протокола OpenVPN;

СКЗИ «МагПро КриптоПакет» в. 4.0 исполнение «OpenVPN-ГОСТ» (Сертификат ФСБ СФ/114-4205 от 21.01.2022) (ФСБ КС1).

Возможность работы протоколов динамической маршрутизации внутри VPN (RIP, OSPF, BGP);

Возможность анонсирования и маршрутизации защищаемых подсетей через протоколы динамической маршрутизации;

Создание туннелей канального уровня;

"Межфилиальный" режим VPN («site-to-site» VPN);

Удаленный доступ (Remote Access VPN) – клиент OpenVPN для пользовательских ОС (ОС семейств Linux, MacOS, Microsoft Windows) с поддержкой шифрования ГОСТ;

Авторизация пользователей на основе сертификатов X.509, с возможностью назначения для отдельных пользователей различных параметров (например, статичных IP-адресов, для использования в правилах фильтрации);

Возможность трансляции сетевых адресов (NAT) внутри VPN.

Дополнительные возможности

Поддержка протокола PPTP для удаленного доступа пользователей;

Аутентификация на сервере LDAP: PPTP, L2TP;

Применение правил межсетевого экрана на основе данных пользователя из LDAP (LDAP, PPTP).