Список функциональных возможностей Traffic Inspector Next Generation

Поддержка сетевых технологий

  • Поддержка IPv4 и IPv6
  • Поддержка сетей IEEE 802.3 (Ethernet)
  • Поддержка IEEE 802.1Q VLAN
  • Поддержка IEEE 802.1ad (QinQ)
  • Link aggregation Ethernet-интерфейсов за счет драйвера lagg (в том числе поддержка IEEE 802.1AX)
  • Поддержка бриджинга Ethernet-интерфейсов (программный коммутатор)

Сетевая защита

  • Межсетевой экран
  • Система обнаружения / предотвращения вторжений
  • Антивирусная проверка веб-трафика и почтового (SMTP) трафика
  • Сканер безопасности GoLismero
  • Tor-прокси и Tor-рилей
  • Поддержка интеграции с антивирусами по протоколу ICAP

Межсетевой экран

  • Поддержка TCP/IPv4 и TCP/IPv6
  • Фильтрация пакетов в соответствии с заданными правилами
  • Традиционная (stateless) фильтрация пакетов по значениям полей заголовков пакетов IP и пакетов протоколов транспортного уровней (TCP, UDP). Возможность блокировки протоколов прикладного уровня (HTTP, HTTPS, FTP, SMTP, POP3, SNMP, DNS, H.323, RTSP, SIP и т.п.)
  • Контекстная (stateful) фильтрация пакетов (межсетевой экран рассматривает последовательности пакетов как соединения, находящихся в одном из конечного числа состояний; пакеты, принадлежащие к существующим соединениям обрабатываются быстрее)
  • Поддержка NAT в режиме преобразований типа «один ко многим» (Pure NAT, NAPT) и «множество во множество» (с различными режимами выбора адресов из публичного пула), включая взаимно-однозначные преобразования (один к одному)
  • Публикация внутренних служб для доступа к ним со стороны Интернета (проброс портов)
  • Перехват и перенаправление пакетов
  • Преднастроенная система правил, обеспечивающая высокий уровень защиты
  • Контроль доступа пользователей к Интернет-хостам с помощью правил межсетевого экрана
  • Наборы правил для разных интерфейсов
  • Поддержка DMZ топологий
  • Возможность модификации передаваемого трафика (IP TTL, TCP MSS и т.п.)
  • Принудительная маршрутизация через выбранный интерфейс
  • Поддержка отказоустойчивого кластера из нескоьких экземпляров межсетевого экрана
  • Поддержка динамического добавления в черный список
  • Поддержка списков IP-адресов
  • Поддержка фильтрации в режиме моста
  • Нормализация аномального трафика
  • Журнал межсетевого экрана
  • Сертификат ФСТЭК по профилю защиты МЭ тип А класс 4

Антивирусная проверка

  • Встроенный антивирус СlamAV или внешний антивирус, подключаемый по ICAP
  • Проверка трафика на лету
  • Проверка HTTP- и HTTPS-трафика
  • Проверка почтового (SMTP) трафика
  • Настройка выборочного сканирования для типов файлов
  • Сканирование архивов
  • Обновление баз сигнатур по расписанию

Система обнаружения / предотвращения вторжений

  • Защита от уязвимостей в сетевых протоколах (DNS, FTP, ICMP, IMAP, POP3, HTTP, NetBIOS, DCERPC, SNMP, TFTP, VOIP-протоколах)
  • Защита от DOS-атак
  • Защита от сетевого сканирования
  • Защита от ботнетов
  • Защита от троянского ПО и сетевых червей
  • Защита от скомпрометированных SSL-сертификатов

Фильтрация

  • Декодирование и проверка HTTPS-трафика
  • Правила сетевого экрана pf
  • Черные/белые списки URL для веб-прокси, назначаемые на локальные / доменные группы и пользователей
  • Фильтрация с использованием скачивамых URL-списков для веб-прокси
  • Фильтрация по MIME-типам объектов
  • Контентная фильтрация по категориям URL c помощью NetPolice
  • Layer 7 фильтрация
  • Фильтрация спама

Управление трафиком

Шейпер

  • выделение полосы пропускания для приложения
  • ограничение скорости работы пользователя
  • справедливое разделение полосы пропускания между активными пользователями
  • приоритезация трафика критичного к задержкам

Балансировка трафика

  • распределение входящей сетевой нагрузки между несколькими обслуживающими серверами во внутренней сети (HAProxy)
  • балансировка исходящий нагрузки между несколькими WAN-подключениями

Отказоустойчивость

  • Переключение на запасные Интернет-каналы при выходе из строя основного канала (Connection Failover) и Multi-WAN
  • Кластер высокой доступности (СARP, PFSYNC, XMLRPC Sync)

Аутентификация

  • Аутентификация по базам: локальная база пользователей, каталог Active Directory, RADIUS-сервер.
  • Аутентификация c помощью: HTTP Basic, HTTP NTLM, Kerberos, LDAP, RADIUS.
  • Смешанная аутентификация (логин/пароль + привязка к IP/MAC-адресу)
  • Двухфакторная аутентификация по локальной базе в Captive Portal, на веб-прокси сервере и VPN-серверах
  • Идентификация пользователей по SMS в местах публичного доступа к Интернет в соответствии с законодательством РФ
  • Captive Portal с поддержкой различных режимов аутентификации

Веб-прокси

  • Поддержка HTTP/1.1 и проксирование HTTP
  • Проксирование SSL-соединений (метод HTTP CONNECT)
  • Поддержка FTP over HTTP
  • Прозрачное проксирование (transparent proxy)
  • Перехват и дешифровка HTTPS-соединений
  • Кеширование веб-контента
  • Фильтрация через списки контроля доступа

VPN

  • Поддержка OpenVPN
  • Поддержка IPsec
  • Поддержка L2TP/IPsec
  • Поддержка PPTP
  • Поддержка TincVPN
  • Поддержка site-to-site VPN
  • Поддержка node-to-site VPN
  • Поддержка VPN-клиентов Windows / Mac OS / Linux
  • Автоматическое создание ключей и сертификатов для OpenVPN при старте системы
  • Поддержка PPPoE
  • Поддержка туннелей (GIF, GRE)

Администрирование

  • Управлениме через веб-интерфейс, доступный по HTTPS-каналу
  • Управление через serial-консоль по COM-порту
  • Управлениме через SSH
  • Настраиваемые уровни прав администратора
  • Экспорт/импорт настроек
  • Сохранение конфигураций в облаке
  • Возможность отката до выбранной конфигурации
  • Централизованная система управления

Отчеты и журналы

  • Отчет по сетевой активности на базе технологий NetFlow
  • Отчеты по веб-прокси
  • Отчеты / графики RRDtool
  • Журнал сетевого экрана pf
  • Cистемный журнал

Дополнительные возможности

  • Базовая операционная система FreeBSD 11
  • Интеграция со службами каталогов (Microsoft AD, Novell eDirectory, OpenLDAP)
  • Интеграция с DLP-системами по ICAP
  • Поддежка захвата сетевых пакетов (на базе libpcap)
  • DHCP Server / DHCP Relay
  • DNS Forwarder / DNS Resolver
  • DNS Tools
  • Dynamic DNS
  • IGMP Proxy
  • SNMP Daemon
  • UPnP
  • Wake On LAN
  • Поддержка нескольких языков интерфейса
  • Планировщик Cron