Высокопроизводительное программное обеспечение и аппаратные платформы

В межсетевых экранах данной серии применяются современные 64-разрядные многоядерные процессоры и кэш-память.

Высокая доступность операторского класса

Строятся на собственных аппаратно-программных платформах Axon высокой доступности, успешно применяемых многими операторами связи, а также малыми и средними предприятиями.

Поддерживают технологию Axon SCF, которая позволяет виртуализировать несколько устройств в одно устройство для резервирования служб и повышения производительности системы.

Расширенный функционал безопасности

Защита от атак – обнаруживают и предотвращают различные атаки, такие как Land, Smurf, Fraggle, ping of death, Tear Drop, подделка IP-адресов, фрагментирование IP-пакетов, подделка ответов ARP, поиск с использованием обратного ARP, недействительные флаги TCP, большие пакеты ICMP, сканирование IP-адресов/портов, а также распространенные виды распределенных атак, направленных на отказ в обслуживании (DDoS), таких как атаки с лавинным распространением SYN flood, UDP flood, DNS flood и ICMP flood.

Виртуализация SOP по схеме N:1 – использование контейнерных технологий виртуализации. Межсетевой экран S5000 может быть виртуализирован в виде нескольких логических межсетевых экранов, которые обладают тем же функционалом, что и физический межсетевой экран. Для каждого из виртуальных межсетевых экранов может быть определена собственная политика безопасности, причем управлять ими можно независимо друг от друга.

Зоны безопасности – возможность настраивать зоны безопасности на основе интерфейсов и виртуальных локальных сетей VLAN.

Фильтрация пакетов – возможность применять стандартные или расширенные списки контроля доступа ACL между зонами безопасности для осуществления фильтрации пакетов в зависимости от информации, содержащейся в пакетах, такой как номера портов UDP и TCP. Кроме того, имеется возможность настроить временные интервалы, в течение которых будет применяться фильтрация пакетов.

ASPF – динамическое принятие решений о пересылке или отбрасывании пакета по результатам проверки информации и состояния протокола прикладного уровня. ASPF поддерживает анализ протоколов FTP, HTTP, SMTP, RTSP и других протоколов прикладного уровня на основе TCP/UDP.

Аутентификация, авторизация и учет (AAA) – поддержка аутентификации с использованием RADIUS/HWTACACS+, CHAP, PAP и LDAP.

Черные списки – поддержка статических и динамических черных списков.

Трансляция сетевых адресов (NAT) и NAT с поддержкой VRF.

Виртуальные частные сети (VPN) – поддержка виртуальных частных сетей на основе L2TP, IPsec/IKE, GRE и SSL. Возможность подключения к виртуальным частным сетям смарт-устройс

Маршрутизация – поддержка статической маршрутизации, RIP, OSPF, BGP, политик маршрутизации и маршрутизации на основе политик в зависимости от приложений и адресов URL.

Журналы безопасности – поддержка операционных журналов, журналов сопоставления политик в парных зонах, журналов предотвращения атак, журналов DS-LITE и журналов NAT444.

Мониторинг трафика, сбор статистики и управление.

Гибкие и расширяемые интегрированные, современные средства безопасности

Интегрированная платформа обработки для служб обеспечения безопасности – тесная интеграция базовых и расширенных функций обеспечения безопасности в виде платформы обеспечения безопасности.

Идентификация и управление трафиком прикладного уровня.

Использование технологий конечных автоматов и инспекции обмена трафиком для обнаружения трафика пиринговых сетей (P2P), систем мгновенной передачи сообщений (IM), сетевых игр, биржевых систем, сетевого видео и сетевых мультимедийных приложений, таких как Thunder, Web Thunder, BitTorrent, eMule, eDonkey, WeChat, Weibo, QQ, MSN и PPLive.

Использование технологии глубокого анализа пакетов для точной идентификации трафика P2P и возможность применения различных политик для гибкого контроля и управления трафиком P2P.

Точнейший и эффективнейший механизм контроля вторжений – использование проприетарного модуля полного анализа со строгой проверкой состояния от Axon (Full Inspection with Rigorous State Test, FIRST) и различных технологий контроля вторжений для точной идентификации вторжений на основе состояния приложений. Модуль FIRST поддерживает также одновременный контроль программного и аппаратного обеспечения для повышения эффективности проверки.

Защита от вирусов в реальном времени – в межсетевом экране применяется потоковый модуль антивируса для предотвращения, обнаружения и удаления вредоносного кода из сетевого трафика.

Фильтрация по категориям большого числа URL-адресов – использование гибридного локального и облачного режима, предоставляющего 139 категорий библиотек адресов URL и поддерживающего свыше 20 миллионов правил фильтрации адресов URL, наличие простых средств фильтрации URL-адресов по черным спискам и возможность направления запросов в режиме онлайн к серверу фильтрации для определенной категории URL-адресов.

Полная и обновляемая база данных сигнатур для системы обеспечения безопасности – в Axon работает команда ведущих специалистов по базам данных сигнатур и имеется профессиональная лаборатория защиты от атак, вместе они способны обеспечить точность и актуальность базы данных сигнатур

Лучшие в отрасли функциональные возможности IPv6

Межсетевой экран с контролем состояния соединений для IPv6.

Защита от атак, ориентированных на IPv6.

Пересылка данных IPv6, статическая и динамическая маршрутизация IPv6, многоадресная рассылка IPv6.

Технологии перехода с IPv4 на IPv6, включая NAT-PT, IPv6 поверх IPv4 с использованием туннелей GRE, ручные туннели, туннели IPv6 в IPv4, автоматическое туннелирование IPv6 для совместимости с IPv4, туннели ISATAP, NAT444 и DS-Lite.

Списки контроля доступа и функции RADIUS для IPv6.

Мультисервисный функционал нового поколения

Встроенные функции балансировки загрузки каналов: используют технологии анализа состояния каналов и обнаружения загруженности каналов, обеспечивая при применении к исходящему трафику балансировку нагрузки.

Встроенная поддержка SSL VPN: данная функция поддерживает использование USB-ключей, SMS-сообщений и существующей на предприятии системы аутентификации для проверки подлинности пользователей и реализации защищенного доступа большого числа пользователей к корпоративной сети.

Система защиты от утечек данных (DLP): межсетевой экран поддерживает фильтрацию электронной почты по адресам SMTP, теме, вложениям и содержимому, фильтрации URL-адресов и контента для HTTP, фильтрации передачи файлов через FTP, а также фильтрации на уровне приложений (включая блокировку Java/ActiveX и защиту от атак в виде инъекции кода SQL).

Система предотвращения вторжений (IPS): поддержка обнаружения и предотвращения атак через Web, включая межсайтовое выполнение сценариев (XSS) и инъекцию SQL (SQLi).

Антивирус (AV): в межсетевом экране предусмотрен высокопроизводительный модуль антивируса, обеспечивающий защиту от более чем 5 миллионов различных вирусов и троянов. База данных вирусных сигнатур автоматически обновляется каждый день.

Защита от неизвестных угроз: использование платформы ситуационной осведомленности для быстрого обнаружения и локализации угроз. Благодаря этому межсетевой экран способен активировать глобальные меры обеспечения безопасности сразу же при обнаружении атаки на любой отдельный узел.

Интеллектуальное управление

Интеллектуальное и унифицированное управление политиками безопасности позволяет обнаруживать дублирующиеся политики, оптимизировать правила сопоставления в политиках, обнаруживать и динамически предоставлять рекомендации по политикам обеспечения безопасности во внутренней сети.

SNMPv3, совместимость с SNMPv1 и SNMPv2.

Настройка и управление через интерфейс командной строки (CLI).

Управление через простой и удобный графический Web-интерфейс.

Унифицированное управление с использованием Axon IMC SSM – сбор и анализ информации по обеспечению безопасности, а также наглядное отображение ситуации в сети и системе безопасности, что снижает трудозатраты и повышает эффективность управления.

Централизованное управление журналами с использованием передовых механизмов отслеживания и анализа данных – возможность направления запросов и получения информации для генерирования контрольных журналов, преобразование журналов различных форматов (включая syslog и журналов в виде двоичного потока) в общий формат, а также сжатие и хранение объемных журналов. Сохраненные журналы можно шифровать и экспортировать на внешние устройства хранения, такие как непосредственно подключаемые системы хранения данных (DAS), сетевые накопители (NAS) и сети хранения данных (SAN) во избежание утраты важных журналов безопасности.

Широкий набор отчетов, включая отчеты по приложениям и отчеты по анализу потоков.

Экспорт отчетов в различных форматах, таких как PDF, HTML, Word и txt.

Настройка отчетов через Web-интерфейс. Для настройки содержимого отчетов можно указывать диапазоны времени, устройства-источики данных, период составления и формат экспорта.

Цепочка сервисов

Цепочка сервисов представляет собой технологию пересылки, используемую для направления сетевого трафика через сервисные узлы. В ее основе лежит оверлейная технология, соединенная с идеей централизованного управления программно-определяемых сетей (SDN). Цепочки сервисов можно настраивать с использованием виртуального конвергентного контроллера инфраструктуры (VCFC).

Цепочки сервисов реализуют следующие функции:

Отделение логической сети арендатора от физической сети, а также отделение плоскости управления от плоскости передачи трафика.

Выделение сервисных ресурсов и развертывание по запросу без ограничений со стороны физической топологии.

Динамичекое создание и автоматическое развертывание пулов ресурсов механизма виртуализации сетевых функций (NFV).

Организация и изменение услуг для конкретного арендатора без влияния на физическую топологию и других арендаторов.