Обзор апкш «континент» 3.9
Содержание:
Инструкции и разъяснения
Создание запроса на сертификат:
— Инструкция подачи запроса на сертификат без использования ЭП
— Инструкция по смене сертификата с использованием ЭП
Установка СКЗИ «КриптоПро»:
— Установка (обучающее видео)
— Памятка по настройке считывателя и носителя ключа электронной подписи
Установка СКЗИ «Континент-АП»:
— Для обеспечения работоспособности СКЗИ «Континент-АП» Клиент использует защищенный выделенный канал связи ОСПД. Перед подключением проверить работоспособность канала связи ОСПД при помощи Тестирования канала.zip
— Открыть доступ с АРМ СЭДФК по порту UDP 7500 (можно изменять в настройках СКЗИ «Континент-АП») на сервер доступа Управления Федерального казначейства по Омской области с внешним IP-адресом 94.25.22.158 и по порту UDP 4433 в обратную сторону
— Установка СКЗИ «Континент-АП»
— Создание запроса на получение сертификата Континент-АП и установка личного и корневого сертификатов
— Шаблон печати «Континента — АП»
— Корневой сертификат сервера доступа Континент
— Правила пользователя СКЗИ «Континент-АП»
Получение СКЗИ «Континент-АП» версии 3.7.7:
— Заявка на получение средств криптографической зашиты информации (образец)
— Акт уничтожения средства криптографической защиты информации «Континент-АП» (предоставляется в случае уничтожения установленной более ранней версии СКЗИ «Континент-АП») (образец)
— Заключение о возможности эксплуатации средств криптографической защиты информации (СКЗИ) (образец)
— Доверенность на получение сертификата ключа аутентификации и шифрования СКЗИ «Континент-АП» (образец)
Получение СКЗИ «КриптоПро CSP» версии 4.0.9944:
— Заявка на получение средств криптографической зашиты информации (образец)
— Акт уничтожения средства криптографической защиты информации «КриптоПро CSP» (предоставляется в случае уничтожения установленной более ранней версии СКЗИ « КриптоПро CSP») (образец)
— Заключение о возможности эксплуатации средств криптографической защиты информации (СКЗИ) (образец)
Получение СКЗИ «Континент TLS VPN клиент» и ПАК КЭП«Jinn-Client»
— Заявка на получение средств криптографической защиты информации (образец)
— Доверенность на получение (образец)
— Акт уничтожения средства криптографической защиты информации (предоставляется в случае уничтожения установленных более ранних версий ПАК КЭП «JINN-CLIENT» v 1.0.1130, «Континент TLS VPN Клиент» v1.0.902.0 (образец)
— Заключение о возможности эксплуатации средств криптографической защиты информации (образец)
АРМ ГИИС «Электронный бюджет»:
— Руководство по настройке АРМ пользователя
— Требования к АРМ пользователя
— Требования по обеспечению информационной безопасности АРМ пользователя
Информационные письма УФК по Омской области
Информационное письмо о предоставлении организациями письменного подтверждения готовности к взаимодействию с УФК по Омской области с учетом требований новой версии Регламента УЦ ФК (письмо, приложение)
В случае расторжения Договора присоединения (Соглашения) к Регламенту Удостоверяющего центра Федерального казначейства Заявитель возвращает вУФК по Омской области средство ЭП и эксплуатационную документацию к нему, производит стирание средства ЭП с оформлением акта уничтожения (образец).
УФК по Омской области информирует организации, с которыми заключен Договор присоединения (Соглашение) к Регламенту Удостоверяющего центра Федерального казначейства, об изменении адреса места нахождения Федерального казначейства (101000, г. Москва, Большой Златоустинский пер., д. 6, стр. 1). Данные изменения внесены в форму согласия на обработку персональных данных. Заключение Дополнительного соглашения к Договору присоединения (Соглашение) к Регламенту Удостоверяющего центра Федерального казначейства не требуется.
Исполнения ФСБ и ФСТЭК¶
АПКШ Континент сертифицирован по требования ФСБ к СКЗИ и МЭ, так и по требованиям ФСТЭК к МЭ и СОВ (НДВ сейчас входит в МЭ/СОВ).
Примечание
АПКШ Континент, один из немногих продуктов на рынке, сертификационный в рамках одного билда по требованиям ФСБ и по требованиям ФСТЭК!
Исторически «исполнения» — термин ФСБ. Используется для поэтапной сертификации компонентов комплекса и служат для разделения на классы СКЗИ.
* КС2 — исполнение 4 (пример артикула — HSEC-3.7-IPC10-CM-KC2-SP1Y)
* КС2 — исполнение 5, СД с КриптоПро CSP 4.0 (пример артикула — HSEC-3.7-IPC100-CM-ACS-CSP4.0-KC2-SP1Y )
* КС3 — исполнение 6 (пример артикула — HSEC-3.7-IPC100-CM-ACS-KC3-SP1Y)
Когда мы говорим об исполнениях ФСТЭК, речь идет двух исполнениях:
* Первое исполнение по ФСТЭК — классический Континент 3.7, который мы все знаем, основанный на FreeBSD.
* Второе исполнение по ФСТЭК — Континент СОВ, пу сути это уже версия 4, но только с функциями СОВ, без VPN и MЭ.
Подсказка
Определить исполнение можно просто, для этого надо узнать индекс исполнения в регистрационном номере ФСБ данного образца СКЗИ.
Регистрационный номер указан в паспорте АПКШ Континент и имеет вид №351Д6-000001, где Д6 это исполнение 6.
Таблица исполнений приведена в формуляре на комплекс, но мы же не звери, чтобы отправлять тебя туда и покажем ее тут:
|
Исп. |
Класс |
Обяз-ные |
Необяз-ные |
СКЗИ |
СКЗИ |
Сборка |
|---|---|---|---|---|---|---|
|
1 |
КС3 |
ЦУС |
КШ |
+ | — |
3.7.3.536 |
|
2 |
КС2 |
ЦУС |
КШ |
— | — |
3.7.3.536 |
|
3 |
КС3 |
ЦУС |
КШ |
+ | — |
3.7.3.536 |
|
4 |
КС2 |
ЦУС |
КШ |
— | — |
3.7.5.426 |
|
5 |
КС2 |
ЦУС |
КШ |
— | + |
3.7.5.493 |
|
6 |
КС3 |
ЦУС |
КШ |
+ | — |
3.7.5.493 |
|
7 |
КС2 |
ЦУС |
КШ |
— | — |
3.7.7.671 |
|
8 |
КС3 |
ЦУС |
КШ |
+ | — |
3.7.7.671 |
На данный момент производителем отгружаются исполнения 4,5,6,7 и 8.
Возможности АПКШ «Континент» 3.7
Обнаружение сетевых вторжений:
- Сочетание сигнатурного и эвристического методов анализа сетевого трафика
- Регистрация информации об атаке
- Субъект/объект атаки, IP-адрес, номер порта
- Время и дата события
- Тип атаки
- Обновление базы решающих правил (БРП)
- Автоматически
- Вручную
- Поддержка широкого списка протоколов
- Сетевого уровня: ICMPv4, ICMPv6, IPv4, IPv6
- Транспортного уровня: TCP, UDP, SCTP
- Канального уровня: PPPoE, PPP
- Прикладного уровня: FTP, HTTP, SMB, SSH, SMTP
- Сеансового уровня: SSL, DCE/RPC
- Оперативное уведомление об атаках
- Оповещение в консоли ЦУС
- Оповещение по электронной почте
- Интеграция в существующую сетевую инфраструктуру
Управление и мониторинг:
- Централизованная система управления:
- Узлами сети
- Настройками маршрутизации
- Правилами фильтрации трафика
- VPN-связями
- Криптографическими ключами
- Графическая консоль управления
- Мониторинг состояния сети и событий НСД в реальном времени
- Поддержка SNMP-trap
- Централизованное обновление версии ПО всех узлов сети
- Централизованный сбор и хранение журналов во внешней СУБД
- Возможность регистрации каждого пакета
- Интеграция с SIEM HP ArcSight
- Синхронизация системного времени
- Синхронизация системного времени ЦУС с NTP-серверами
Межсетевое экранирование:
- Контроль состояния сетевых соединений
- Защита от DoS-атак
- Фильтрация трафика по:
- IP-адресу, группам IP-адресов или диапазону IP-адресов источника и назначения
- Номерам портов
- Типам протоколов
- Типам и кодам сообщений ICMP
- Направлению пакетов
- Клиенту или серверу в TCP-соединении
- В соответствии с расписанием
- Идентификация и аутентификация пользователей МЭ
Сетевые возможности:
- Поддержка IPv6
- Резервирование WAN-канала
- Резервирование VPN-канала
- Поддержка протоколов динамической маршрутизации
- RIP
- OSPF
- BGP
- Поддержка Multicast-маршрутизации
- Приоритизация трафика (QoS)
- Защита от перегрузок
- Управление очередями
- Перенос полей ToS
- Резервирование и ограничение полосы пропускания трафика
- Поддержка технологии VLAN (IEEE802.1Q)
- Поддержка технологии NAT
- Source NAT
- Destination NAT
- Bidirectional NAT
- Возможность работы КШ за NAT
- Встроенный сервер IP-адресов
- DHCP-сервер
- DHCP-relay
- NAT-трансляция внутри VPN. Позволяет создавать VPN между сетями с пересекающимися диапазонами IP-адресов
Шифрование:
- Поддерживаемые криптоалгоритмы:
- Шифрование данных производится в соответствии с ГОСТ 28147-89 в режиме гаммирования с обратной связью
- Защита данных от искажения осуществляется по ГОСТ 28147-89 в режиме имитовставки
- Ключевая схема:
- Site-to-site VPN – симметричное распределение ключей
- Remote Access VPN – открытое распределение ключей
- Управление криптографическими ключами производится централизованно
- Протокол туннелирования
- Шифрование и инкапсуляция IP-трафика в UDP (L3 VPN)
- Шифрование и инкапсуляция Ethernet-кадров в UDP (L2 VPN)
Отказоустойчивость:
- Использование модулей твердотельной памяти DOM и SSD
- Режим автоматического переключения на резервный канал связи
- Режим кластера высокой доступности с автоматической синхронизацией конфигураций элементов кластера
- Работа в необслуживаемом режиме 24х7х365
- Среднее время наработки на отказ – 40 000 часов
Варианты использования АПКШ «Континент» 3.7
- Создание защищенной корпоративной сети связи на базе интернета
- Защита ИТ-инфраструктуры предприятия от сетевых угроз
- Защита трафика систем видео-конференц-связи и IP-телефонии
- Защита сетей банкоматов и платежных терминалов
- Подключение к системе межведомственного электронного взаимодействия (СМЭВ)
- Защищенный удаленный доступ, в том числе с мобильных устройств
- Защита систем виртуализации рабочих мест (VDI)
- Защита информационных систем персональных данных (ИСПДн)
- Защита государственных информационных систем (ГИС)
- Объединение распределенных сетей без изменения адресного пространства
- Защита канала между ЦОД
- Внедрение технических мер для приведения ИТ-систем в соответствие требованиям приказов ФСТЭК России №17, 21 и 3
2) Основные характеристики и возможности
Работа через Dial-Up соединения, оборудование ADSL, подключенное непосредственно к криптошлюзу, а также через спутниковые каналы связи.
«Прозрачность» для любых приложений и сетевых сервисов
Криптошлюзы «Континент» «прозрачны» для любых приложений и сетевых сервисов, работающих по протоколу TCP/IP, включая такие мультимедиа-сервисы, как IP-телефония и видеоконференции.
Работа с высокоприоритетным трафиком
Реализованный в АПКШ «Континент» механизм приоритезации трафика позволяет защищать голосовой (VoIP) трафик и видеоконференции без потери качества связи.
Резервирование гарантированной полосы пропускания за определенными сервисами
Резервирование гарантированной полосы пропускания за определенными сервисами обеспечивает прохождение трафика электронной почты, систем документооборота и т.д. даже при активном использовании IP-телефонии на низкоскоростных каналах связи
Поддержка VLAN
Поддержка VLAN гарантирует простое встраивание АПКШ в сетевую инфраструктуру, разбитую на виртуальные сегменты
Скрытие внутренней сети. Поддержка технологий NAT/PAT
Поддержка технологии NAT/PAT позволяет скрывать внутреннюю структуру защищаемых сегментов сети при передаче открытого трафика, а так же организовывать демилитаризованные зоны и сегментировать защищаемые сети.Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется: методом инкапсуляции передаваемых пакетов (при шифровании трафика); при помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами.
Возможность интеграции с системами обнаружения атак
На каждом криптошлюзе существует возможность специально выделить один из интерфейсов для проверки трафика, проходящего через КШ, на наличие попыток неавторизованного доступа (сетевых атак). Для этого необходимо определить такой интерфейс как «SPAN-порт» и подключить к нему компьютер с установленной системой обнаружения атак (например, RealSecure). После этого на данный интерфейс начинают ретранслироваться все пакеты, поступающие на вход пакетного фильтра криптошлюза.
Состав комплекса¶
В состав комплекса входят несколько компонентов:
ПУ ЦУС — программа управления ЦУС. Основной инструмент администратор Континента для управления и мониторинга устройств комплекса.
ПУ ЦУС позволяет производить следующие действия:
- создание устройств комплекса
- конфигурация системных параметров устройств
- формирование топологии и параметров VPN
- управление политикой межсетевого экранирования и трансляции адресов
- управление учетными записями администраторов
- оперативный мониторинг устройств комплекта
- управление ключевой информацией
- дистанционное обновление ПО устройств комплекса
ЦУС — Центр управления сетью. Сердце сети АПКШ Континент. Без ЦУСа не бывает сети, даже если в сети одно устройство это всегда будет ЦУС.
ЦУС реализуется в виде отдельно устройства, по сути своей это КШ с дополнительным модулем (netcenter).
Дополнительно может содержать модуль СД (Сервер доступа)
Подсказка
Достаточно запомнить следующую мантру и повторять ее время от времени:
Любой ЦУС это КШ, но не любой КШ это ЦУС
ЦУС выполняет следующие функции:
- оперативное управление устройствами комплекса
- создание, изменение, удаление конфигураций и ключей устройств комплекса
- хранение конфигурации комплекса
- сбор журналов с устройств и передача их агенту журналов для записи в БД
- дистанционное обновление ПО устройств комплекса
- мониторинг устройств комплекса
КШ — Криптошлюз. Основное устройство комплекса. Дополнительно может содержать модуль СД (Сервер доступа)
КШ выполняет следующие функции:
- шифрование трафика (VPN)
- межсетевое экранирование (FW + NAT)
- маршрутизация (статическая, динамическая, Multi-WAN)
- аутентификация пользователей (агентский способ)
СД — Сервер доступа. Является дополнительным модулем, устанавливаем на КШ или же на ЦУС (который такой же КЩ, просто с модулем ЦУСа).
СД имеет свою собственную базу конфигурации и управляется при помощи отдельного компонента ПУ (ПУ СД)
СД выполняет следующие функции:
- управление внутренним корневым центром сертификации
- интеграция с КриптоПро УЦ
- управление учетными записями пользователей Континент АП (аутентификация, авторизация)
КК — Криптокоммутатор. Отдельное устройство комплекса, позволяющее организовать L2 VPN.
Удобен для организации схем с использованием роутеров и динамической маршрутизации между ними.
Может пробрасывать транки, а так же служебные кадры LACP.
Транзитный трафик подвержен фрагментации, так как не позволяет туннелируемым устройствам использовать Path MTU Discovery.
ДА — Детектор атак. Отдельное устройство комплекса, в версии 3.7 работает в режиме IDS. Поддерживает как вендорские сигнатуры, так и сигнатуры, созданные администратором.
Вендорские сигнатуры обновляются дистанционно с сервера обновлений БРП производителя.
Поддерживает интеграцию с КШ, при назначении на КШ SPAN-интерфейса.
АРМ ГК — Автоматизированные рабочее место генерации ключей. Используется для генерации ключей, сроком жизни три года.
Сертифицирован ФСБ, сложен в эксплуатации.
3) Обслуживание и управление
АПКШ «Континент» не требует постоянного локального администрирования и может работать в необслуживаемом режиме 24*7х365. Промышленные компьютеры, используемые в производстве комплекса, в совокупности с возможностью горячего и холодного резервирования гарантируют бесперебойную работу комплекса.Комплекс осуществляет оперативное оповещение администраторов о событиях, требующих оперативного вмешательства, в режиме реального времени.
Удаленное обновление ПО криптошлюзов
В комплексе решена проблема обновления программного обеспечения КШ в территориально-распределенных системах. Обновление ПО загружается в комплекс централизованно, рассылается на все криптошлюзы, входящие в состав комплекса, и автоматически устанавливается.
Горячее и холодное резервирование криптошлюзов
Для построения сетей с высокой доступностью реализована возможность «горячего» резервирования криптошлюзов. В случае выхода из строя одного из криптошлюзов переключение на резервный производится автоматически без вмешательства администратора и без разрыва установленных соединений.Продуманная схема «холодного» резервного копирования и восстановления конфигурации компонентов комплекса обеспечивает быстрое восстановление работы сети в случае выхода аппаратуры из строя.
Централизованное управление сетью
Централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет в диалоговом режиме изменять настройки всех криптошлюзов сети и вести оперативный мониторинг их текущего состояния.Отображение состояния всех устройств на рабочем месте администратора в масштабе реального времени позволяет своевременно выявлять отклонения от нормального процесса функционирования и оперативно на них реагировать.
Ролевое управление — разделения полномочий на администрирование комплекса
Реализована возможность разделения полномочий на администрирование комплекса, например, на управление ключевой информацией, на назначение прав доступа к защищаемым ресурсам, на добавление новых компонент, на аудит действий пользователей (в том числе и других администраторов).
Взаимодействие с системами управления сетью
Позволяет контролировать состояние АПКШ «Континент» по протоколу SNMPv2 из систем глобального управления сетью (Hewlett-Packard, Cisco и др.).
Аппаратные платформы¶
АПКШ Континент поставляется как предустановленное ПО на собственных аппаратных платформах.
|
Модель |
Шасси |
Поддерживаемые |
|---|---|---|
| IPC10 | S088 | 3.7, 3.9 |
| IPC10 | LN010A | 3.7, 3.9, 4 |
| IPC10 | S185 | 3.9, 4 |
| IPC25 | GA630 | 3.5, 3.6 |
| IPC25 | 9830 | 3.5, 3.6 |
| IPC25 | 92D9 | 3.6, 3.7, 3.9 |
| IPC25 | S115 | 3.7, 3.9, 4* |
| IPC50 | LN010C | 3.9, 4 |
| IPC100 | G560 | 3.5, 3.6 |
| IPC100 | 92E3 | 3.6, 3.7, 3.9 |
| IPC100 | S102 | 3.6, 3.7, 3.9, 4* |
| IPC400 | IBM9297 | 3.6, 3.7, 3.9 |
| IPC400 | S021 | 3.6, 3.7, 3.9, 4* |
| IPC500 | LN015B | 3.7, 3.9, 4 |
| IPC500F | LN015C | 3.9, 4 |
| IPC600 | DV030A | 3.9, 4 |
| IPC800F | DV030B | 3.9, 4 |
| IPC1000 | IBM9297 | 3.6, 3.7 |
| IPC1000F | IBM9297 | 3.6, 3.7 |
| IPC1000F2 | IBM9297 | 3.6, 3.7 |
| IPC1010 | IBM9297 | 3.6, 3.7 |
| IPC1000 | S021 | 3.6, 3.7, 3.9, 4* |
| IPC1000F | S021 | 3.6, 3.7, 3.9, 4* |
| IPC1000F2 | S021 | 3.6, 3.7, 3.9, 4* |
| IPC1000 | DV031A | 3.9, 4 |
| IPC1000F | DV031B | 3.9, 4 |
| IPC1000F2 | DV031C | 3.9, 4 |
| IPC3000F | S021 | 3.6, 3.7, 3.9, 4* |
| IPC3034 | S021 | 3.6, 3.7, 3.9, 4* |
| IPC3034F | S021 | 3.6, 3.7, 3.9, 4* |
| IPC3000F | LN021 | 3.9, 4 |
| IPC3000FC | LN021A | 3.9, 4 |
| IPC3000NF2 | LN021E | 3.9, 4 |
| IPC3034F | LN021C | 3.9, 4 |
| IPC3000 | LN021D | 3.9, 4 |
| IPC5000FC | S145 | 3.9, 4 |
Внимание
* — требуется приобретение комплекта модернизации RAM и HDD, подробности уточнять у производителя
Сравнение характеристик аппаратных платформ
| МОДЕЛЬ | IPC-10 | IPC-25 | IPC-100 | IPC-400 |
|---|---|---|---|---|
| Форм-фактор | Mini-ITX | 1U | 2U | |
| ПРОИЗВОДИТЕЛЬНОСТЬ | ||||
| Пропускная способность VPN, мбит/с | до 10 | до 50 | до 300 | до 500 |
| Пропускная способность L2VPN (для крипто- коммутатора), мбит/с | до 10 | до 50 | до 300 | до 500 |
| Пропускная способность МЭ, мбит/с | до 100 | до 100 | до 400 | до 1000 |
| Максимальное количество конкурирующих keep-state сессий | 5 000 | 10 000 | 250 000 | 350 000 |
| Пропускная способность детектора атак на 1 интерфейс, мбит/с | до 10 | до 25 | до 260 | до 500 |
| Производительность Сервера Доступа (количество одновременных подключений Континент АП) | не поддерживается | до 25 | до 500 | до 1000 |
| Производительность ЦУС (количество КШ под управлением ЦУС) | не поддерживается | до 10 | до 500 | до 1000 |
| КОНФИГУРАЦИЯ СЕТЕВЫХ ИНТЕРФЕЙСОВ | ||||
| Общее количество сетевых интерфейсов | 3x Ethernet | 5x Gigabit Ethernet | 8x Gigabit Ethernet | 6x Gigabit Ethernet |
| Интерфейсы RJ-45 (медь UTP) | 3x Ethernet 10/100 | 4x Ethernet 10/100/1000 | 6x Ethernet 10/100/1000 | 6x Ethernet 10/100/1000 |
| Интерфейсы оптические | нет | 1x 1000BASE-X SFP | 2x 1000BASE-X SFP | нет |
| Подключение внешнего 3G USB модема | да | да | нет | нет |
| Порт RS232 для подключения Dial-UP модема | да | да | да | нет |
| ОТКАЗОУСТОЙЧИВОСТЬ И НАДЕЖНОСТЬ | ||||
| Режим кластера высокой доступности (горячее резервирование) | Нет | Да | ||
| Блок питания Внешний адаптер | 19V 40W | 1 х 270W | 1 x 680W |
| МОДЕЛЬ | IPC-1000 | IPC-1000F | IPC-1000F2 | IPC-3000F | IPC-3034 | IPC-3034F |
|---|---|---|---|---|---|---|
| Форм-фактор | 2U | |||||
| ПРОИЗВОДИТЕЛЬНОСТЬ | ||||||
| Пропускная способность VPN, мбит/с | до 950 | до 950 | до 950 | до 2500 | до 2500 | до 2500 |
| Пропускная способность L2VPN (для крипто- коммутатора), мбит/с | до 950 | до 950 | до 950 | до 3000 | до 3000 | до 3000 |
| Пропускная способность МЭ, мбит/с | до 1000 | до 1000 | до 1000 | до 3500 | до 3500 | до 3500 |
| Максимальное количество конкурирующих keep-state сессий | 1 000 000 | 1 000 000 | 1 000 000 | 3 000 000 | 3 000 000 | 3 000 000 |
| Пропускная способность детектора атак на 1 интерфейс, мбит/с | до 600 | до 600 | до 600 | до 660 | до 660 | до 660 |
| Производительность Сервера Доступа (количество одновременных подключений Континент АП) | до 1000 | до 1000 | до 1000 | до 3000 | до 3000 | до 3000 |
| Производительность ЦУС (количество КШ под управлением ЦУС) | до 3000 | до 3000 | до 3000 | до 3000 | до 3000 | до 3000 |
| КОНФИГУРАЦИЯ СЕТЕВЫХ ИНТЕРФЕЙСОВ | ||||||
| Общее количество сетевых интерфейсов | 10x Gigabit Ethernet | 10x Gigabit Ethernet | 18x Gigabit Ethernet | 14x Gigabit Ethernet | 34x Gigabit Ethernet | 34x Gigabit Ethernet |
| Интерфейсы RJ-45 (медь UTP) | 10x Ethernet 10/100/1000 | 6x Ethernet 10/100/1000 | 10x Ethernet 10/100/1000 | 10x Ethernet 10/100/1000 | 34х Ethernet 10/100/1000 | 2х Ethernet 10/100/1000 |
| Интерфейсы оптические | нет | 4x 1000BASE-X SFP | 8x 1000BASE-X SFP | 4x 10 Gigabit SFP+ | нет | 32x 1000BASE-X SFP |
| Подключение внешнего 3G USB модема | нет | нет | нет | нет | нет | нет |
| Порт RS232 для подключения Dial-UP модема | нет | нет | нет | нет | нет | нет |
| ОТКАЗОУСТОЙЧИВОСТЬ И НАДЕЖНОСТЬ | ||||||
| Режим кластера высокой доступности (горячее резервирование) | Да | |||||
| Блок питания | 2 х 680W с горячей заменой |
Выводы
АПКШ «Континент» 3.9 — гибкое средство, способное покрыть широкий спектр задач, начиная от межсетевого экранирования и обнаружения вторжений и заканчивая шифрованием каналов связи с применением отечественных криптоалгоритмов по ГОСТ.
Что касается конкурентоспособности на рынке, однозначно можно сказать о высоком качестве продукта, учитывая обновленную аппаратную платформу, доработку программного обеспечения с учетом пожеланий заказчика и большого практического опыта вендора.
Стоит также обратить внимание на планы развития и перспективы АПКШ «Континент» 3.9 — данная версия является финальной в третьем поколении продуктов «Континент». Следующее поколение — Континент 4 — будет обладать еще большим набором функций, что соответствует концепции UTM (универсальное устройство корпоративного уровня, обеспечивающее мощную комплексную защиту от сетевых угроз)
В числе новых возможностей можно выделить следующие:
- полноценный межсетевой экран корпоративного уровня;
- принципиально новая система управления;
- расширенный контроль сетевых приложений;
- значительное увеличение производительности.
Подробнее о Континенте 4 Anti-Malware.ru расскажет в отдельном обзоре, выпуск которого запланирован на начало 2019 года.
Преимущества:
- продукт российской разработки;
- простота развертывания и возможность централизованного управления структурой защищенной сети;
- возможность резервирования центра управления сетью;
- доступ к АПКШ «Континент» по SSH;
- возможность создавать централизовано учетную запись локального администратора;
- высокая производительность устройств, что обеспечивает высокую пропускную способность межсетевого экрана и скорость шифрования;
- низкие задержки при шифровании трафика с помощью аппаратного криптоускорителя.
Недостатки:
