Описание
Функциональные возможности DIONIS-NX
Средства криптографической защиты информации |
Крипто-туннели с изделиями «Dionis-NX» и программным VPN-клиентом «Disec» с шифрованием и имитозащитой IP-трафика по алгоритмам ГОСТ 28147‑89, ГОСТ Р 34.11‑94, ГОСТ Р 34.10‑2001, ГОСТ Р 34.11‑2012, ГОСТ Р 34.10‑2012, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015. Симметричные (Парно-выборочные ключи, Dikey) и не симметричные (IPSec, IKE) ключевые схемы. NAT-traversal. Шифратор имеет синхронный режим работы, исключающий перемешивание пакетов. |
Качество сервиса |
Классификация и маркировка трафика (CoS, ToS / DSCP), ограничение полосы пропускания (policing) и приоритизация трафика (shaping) по различным технологиям (HTB, Prio и PrioToS, codel / fqcodel, RED / GRED и SFQ). В политиках обеспечивается двухуровневая иерархия очередей. Path-mtu-discovery, adjust-mss, ECN. |
Мониторинг |
SNMP, RMON, NetFlow, Syslog, LLDP (CDP, FDP, EDP, SDP). Зеркалирование трафика (mirroring). |
Журналирование и отладка |
Регистрация и учёт всех событий, с поддержкой механизма «тревоги», в том числе журнал по всем действиям администратора. Запись протокола срабатывания фильтров. Утилита tcpdump с выгрузкой дампов в формате Wireshark. |
Слежение за системой и реакции на события |
Служба watcher позволяет следить за изменением состояния системы через журналы и обеспечивает выполнение определённых скриптов. Служба mailer позволяет отправлять сообщения на электронную почту при обнаружении службой watcher определенного события. |
Сетевые сервисы |
DHCP-сервер, DHCP-Relay, служба автоконфигурирования адресов IPv6 (NDP, SLAAC), DNS/EDNS (клиент/сервер), DNS Blackhole, DNSSEC, NTP-сервер, FTP-сервер (для обслуживания). |
Инструменты тестирования |
Измерительные утилиты Iperf и Netperf, UDP-ping и «отражатель» UDP-пакетов (SLAgent). |
Управление |
Интерфейс командной строки доступен локально через консольный порт RS232, удаленно через SSH или Telnet. Web-интерфейс. Централизованное управление через портал Dionis-SMP. |
Ролевая модель доступа |
Множество администраторов с назначаемыми правами доступа. Аутентификация и авторизация пользователей через Radius и TACACS+. |
Обновление и резервное копирование |
Предусмотрены механизмы обновления ПО (несколько версий на одном устройстве), резервного архивирования, восстановления и автоматического отката на резерв при неудачном обновлении. Предусмотрена процедура контроля целостности ПО. Обновление и резервное копирование по протоколам SSH и FTP. |
Маршрутизатор |
IPv4 и IPv6. |
Интерфейсы маршрутизатора |
Ethernet; VLAN (QinQ); VXLAN; HDLC для контроллеров E1; GRE/GRETAP; L2TP; PPTP; PPPoE; агрегированные интерфейсы Bond (balance-rr, active-backup, balance-xor, broadcast, IEEE 802.3ad (LACP), balance-tlb, balance-alb); Bridge (STP); OpenVPN; туннельные интерфейсы Ditun/Ditap (L3VPN/L2VPN) с поддержкой криптозащиты трафика по алгоритмам ГОСТ и контролем состояния туннеля. |
Протоколы маршрутизации |
Статические маршруты, протоколы динамической маршрутизации RIPv1/v2/RIPNG, OSPFv2/v3 и BGP (route-map, BFD) и маршрутизация на основе политик (PBR) с контролем состояния маршрута, IS-IS, NHRP, Multipoint GRE; |
Мультикаст |
Статические маршруты (mroute) и протоколы PIM, DVMRP и IGMP. |
MPLS |
Статическая и динамическая маршрутизация по меткам (LDP) и построение L2/L3 туннелей с использованием интерфейсов Ditap/Ditun с криптозащитой и без. |
VRF |
Статическая и динамическая маршрутизация. Работа совместно с MPLS и BGP для реализации потребностей провайдеров (MP-BGP, MPLS-L3VPN). |
Межсетевой экран с контролем состояния соединений |
Фильтрация пакетов при помощи списков доступа (ACL) по IP/MAC-адресам, портам, значениям отдельных байт, с контролем состояния соединений. Расписание работы правил фильтрации. Работа с мандатными метками в ОС «МСВС» и ОС «Astralinux». L2 фильтрация bridge, режим работы bridge только L2 (без conntrack), content фильтр, WCF – Веб контент фильтр. |
Трансляция пакетов |
NAT/PAT на каждом интерфейсе независимая трансляция (DNAT, SNAT, netmap, masquerade, redirect). |
Proxy-сервер |
Кэширующий Proxy-сервер для протоколов HTTP/HTTPS и FTP с поддержкой режима работы, «прозрачного» для пользователей. Возможна аутентификация пользователей (LDAP), управление полосой пропускания трафика, URL-фильтрация и модификация. - Proxy – прозрачный/не прозрачный режим, аутентификация AD, RADIUS, Kerberos, ICAP; |
Система обнаружения и предотвращения вторжений |
Система обнаружения и предотвращения сетевых атак на базе Snort. Поддержка создания собственных правил анализа трафика и возможность записи дампов трафика, распознанного как атака. |
Кластер и VRRP |
Активный/активный кластер по протоколу VRRP. Активный/резервный кластер, предусматривающий переключение на резерв с сохранением состояния сессий. v2/v3 + object tracking. |