Общие сведения
Описание изделия
Универсальные шлюзы безопасности серии RTT-M300 – программно-аппаратные комплексы, реализующие широкий набор функций для защиты периметра ИТ-инфраструктуры от несанкционированного доступа, атак, вторжений и других киберугроз.
Аппаратная часть программно-аппаратного комплекса реализована на базе процессора Baikal-M.
Программная часть программно-аппаратного комплекса реализована на ОС REFOS.
ОС REFOS создана на базе ядра Linux и является неотъемлимой частью программно-аппаратного комплекса.
RTT-M300 реализует следующие базовые функции:
Межсетевое экранирование (Firewall)
Журналирование событий и трафика (Logging)
Проксирование трафика (Proxy)
Трансляция сетевых адресов (NAT)
Статическая и динамическая маршрутизация (BGP, OSPF, RIP)
Обнаружение и предотвращение вторжений (IDS/IPS)
Эвристический анализ сетевой активности
Авторизация пользователей и контроль доступа к сетевым ресурсам (Captive portal)
Объединение нескольких устройств в целях повышения отказоустойчивости (Кластеризация)
Мониторинг устройства (SNMP)
Функциональные возможности
Система и управление
Изделие обеспечивает выполнение следующих функций системы и управления:
Полное управление через Web-интерфейс
Управление через CLI по SSH
Управление через CLI по Serial порту
Мониторинг служб
Мониторинг аппаратной платформы
Резервные копии системы и сервисов
Обновление из доверенного репозитория
Журналирование системы
Резервирование (CARP и IP-alias)
Экспорт/импорт настроек
Оповещение об обнаруженных ошибках
Доверенная загрузка системы
Автоматическое восстановление после сбоев
Сетевые службы (DHCP, DNS, SNTP)
Поддержка QoS и Профилирование трафика
Функции безопасности
Изделие обеспечивает выполнение следующих функций безопасности:
Фильтрация трафика L2-L4 с контролем состояний (Statefull firewall)
Фильтрация пакетов на основе смещения (Lite DPI)
Проксирование трафика (Proxy)
Трансляция адресов (xNAT)
Горячее резервирование сервисов
Межсетевой экран
Изделие обеспечивает выполнение следующих функций межсетевого экрана:
Режим Stateful Firewall (фильтрация с учётом состояния сессий)
Режим Stateless Firewall (фильтрация без учёта состояния сессий)
- Параметры фильтрации:
Операции Drop, Accept, Reject
Направления Input, Output, Forward
Фильтрация по IP отправителя, получателя
Фильтрация по L4 протоколу
Фильтрация по номеру порта
Фильтрация по MAC-адресу
Фильтрация по DSCP метке
- Расширенные настройки фильтрации:
Маркировка пакета или соединения и его отслеживание
Проверка контрольной суммы пакета
Отслеживание состояния соединения
Отслеживание направления пакета
Отслеживание статуса соединения
Отслеживание времени истечения срока действия подключения
Ограничение по объёму трафика в соединении
Ограничение по количеству пакетов в соединении
Отслеживание среднего размера пакета
Отслеживание флагов (FIN, SYN, RST, PSH, ACK, URG)
Отслеживание по флагам фрагментации
Фильтрация трафика по географическому признаку (GeoIP)
Политики фильтрации (правила по умолчанию для трафика, не попавшего под условия обычных правил)
Псевдонимы (Alias)
Журналирование пакетов
Перенаправление и зеркалирование трафика
Фильтрация только в определённое время (по расписанию)
Lite DPI
Изделие обеспечивает выполнение следующих функций Lite DPI:
- Контроль данных промышленных протоколов
Поддержка MODBUS/TCP
Поддержка MQTT 3.1.1
Поддержка IEC 60870-5-104
Проверка корректности структуры пакетов
Фильтрация «по смещению»
Трансляция сетевых адресов (NAT)
- DNAT (Prerouting)
Фильтрация по IP-адресу отправителя, получателя
Фильтрация по L4 протоколу
Фильтрация по номеру порта
Фильтрация по MAC-адресу
Возможность перенаправления как на единичный хост, так и на пул хостов
- SNAT (Postrouting)
Фильтрация по IP-адресу отправителя, получателя
Фильтрация по L4 протоколу
Фильтрация по номеру порта
Фильтрация по MAC-адресу
Поддержка типов маскарадинга: Persistent, Random.
Обнаружение и предотвращение вторжений
Выбор режима работы, только предупреждение (IDS) или блокировка трафика (IPS)
Загрузка групп сигнатур известных уязвимостей
- Создание пользовательских сигнатур
Фильтрация с учётом направления
Фильтрация с учётом L4 протокола
Фильтрация с учётом IP адресов
Фильтрация с учётом L4 портов
Настройка порога оповещений
Логирование полезной нагрузки пакетов
Сбор и графическое отображение статистики
Оповещение в режиме реального времени
Эвристический анализ сетевой активности
Детектирование аномалий трафика на основании количественного анализа проходящего трафика за определенные промежутки времени
Учёт интервалов с привязкой к суточному и недельному временному циклу
Конфигурация режима работы эвристической модели и коэффициента детектирования аномалий
Журналирование аномалий
Сетевые сервисы
Изделие обеспечивает работу сетевых сервисов:
- NTP/SNTP
Назначение нескольких источников сетевого времени
Выбор приоритетного источника сетевого времени
- DHCP-сервер/клиент
Поддержка DHCP для IPv4 и IPv6
Возможность создания статической таблицы аренды
Режим блокировки неизвестных клиентов
Поддержка DHCP-опции 82 (DHCP-relay)
- DNS-сервер
Настройка разрешённых интерфейсов
Настройка переопределения
Работа в соответствии с чёрным или белым списком доменов
Маршрутизация
Изделие поддерживает ряд протоколов маршрутизации:
Статическая маршрутизация
Протокол динамической маршрутизации RIP
Протокол динамической маршрутизации OSPF
Протокол динамической маршрутизации BGP
Поддержка BFD (Bidirectional Forwarding Detection)
Веб-прокси
Изделие обеспечивает выполнение следующих функций Веб-прокси:
- Проксирование Веб-протоколов
Поддержка HTTP-proxy
Поддержка HTTPS-proxy
Поддержка FTP-proxy
- Поддержка разных режимов работы
Прозрачный режим
Режим с авторизацией по логину/паролю
SSL инспекция
- Настройки фильтрации передаваемых данных
Фильтрация URL
Фильтрация мобильного кода
Фильтрация по методу HTTP-запроса (GET/PUT)
Фильтрация по методу FTP-запроса (GET/PUT)
Фильтрация по browser/user-agent строке
Фильтрация по MIME-типу
Фильтрация по номеру L4 порта
Возможность интеграции с внешним потоковым антивирусом
- Возможность настройки локального кэша
Настройка размера файлов локального кэша
Кэширование пакетов Linux
Кэширование Центра обновления Windows
Использование родительского прокси
Сбор статистических данных по каждому клиенту
Мониторинг
Изделие обеспечивает выполнение следующих функций мониторинга:
Мониторинг аппаратных ресурсов
Мониторинг системы и сервисов
Задание пороговых значений для сигнализации о проблеме
Журналы и отчеты
Изделие обеспечивает следующие возможности журналирования:
Журнал межсетевого экрана
Журнал событий, отчет состояния трафика
Отчеты о состоянии системы
Поддержка QoS и Профилирование трафика
Изделие обеспечивает шейпинг и приоритезацию:
Приоритезация потоков (QoS)
Профилирование трафика
Управление буфером исходящего трафика на интерфейсе
- Поддержка различных алгоритмов шейпинга трафика:
FIFO
FIFO with priority
Stochastic Fairness Queueing
FlowQueue-CoDel
Token bucket filter
Hierarchical Token Bucket
Выделение разной полосы пропускания для разного типа трафика
Управление приоритетом исходя из поля DSCP, параметров в L3, L4 заголовке
Управление приоритетом исходя из метки, установленной на стадии фильтрации
Отображение статистики по распределению трафика на разные классы
Кластеризация
Система предоставляет возможность объединять несколько устройств в единую логическую единицу для повышения надёжности:
- Объединение в режиме Active/Passive
Поддержка Virtual MAC
Поддержка Virtual IP
Объединение в режиме Active/Active с внешним балансировщиком трафика
Объединение в режиме Active/Active с ARP-балансировкой трафика
Синхронизация настроек между нодами кластера
Синхронизация отслеживания TCP-соединений между нодами кластера
Основные технические характеристики
Аппаратные, технические характеристики и климатическое исполнение универсальных шлюзов безопасности серии RTT-M300 приведены в таблице.
Характеристика |
RTT-M300 |
RTT-M300E |
RTT-M300F |
|---|---|---|---|
Исполнение/форм-фактор |
1U (19” rack) |
||
Центральный процессор |
BE-M1000 (Baikal-M) |
||
Количество ядер |
8 |
||
Архитектура процессора |
ARM Cortex-A57 |
||
Частота процессора |
1500 МГц |
||
ОЗУ |
До 32 Гбайт (до 4 модулей DIMM) 2400МГц DDR4 |
||
ПЗУ |
2xSATA 3.0, до 2 TB |
||
Сетевые интерфейсы / Скорость передачи данных |
4xGE LAN / 10/100/1000 Мбит/с 2xGE Combo WAN/ 100/1000 Мбит/с |
||
Карты расширения сетевых портов |
8xGE (RJ45), 4xGE Switch, 2x10GE (SFP+) |
||
Количество разъёмов расширения |
1 |
2 |
1 |
Выделенный (out-of-band) порт управления/ Скорость передачи данных |
1xFE (RJ45) / 10/100 Мбит/с |
||
Степень защиты от пыли и влаги |
IP20 |
IP30 |
|
Охлаждение (вентиляция) |
Активное |
Пассивное |
|
Диапазон рабочих температур |
-5 °С … +45 °С |
-10 °С … +60 °С |
|
Диапазон температур хранения |
-20 °С … +70 °С |
||
Электропитание |
115 – 240 В, 50 Гц, не более 1 А, 1 встроенный БП |
115 – 240 В, 50 Гц До 2х БП с возможностью горячей замены (Hot Swap) |
AC/DC: (85… 264 В) ~ 47 63Гц / (120… 264 В) AC: (85… 264 В) ~ 47 63Гц DC: (36… 72 В) До 2х встроенных БП |
Потребляемая мощность |
Не более 70Вт |
||
Подключение промышленной периферии |
CAN, RS-232/422/485, Аналоговый вход/выход, Цифровой вход/выход 12V, «Сухие контакты» |
||
Габаритные размеры (Ш х Г х В) |
430 × 334 × 44 мм |
430 × 507 × 44 мм |
430 × 360 × 44 мм |
Вес |
Не более 5 кг |
Не более 6 кг |
Не более 7 кг |
Производительность
Производительность универсальных шлюзов безопасности серии RTT-M300 указана ниже.
Параметр |
Значение |
Условия, при которых производились замеры |
|---|---|---|
Пропускная способность межсетевого экрана, UDP, Mбит/с |
1700 |
Размер пакета 1500, интервал между отправкой 0.001 c, кол-во пакетов за интервал 700, клиентов 100 |
Макс. Пакетов в секунду, UDP |
140000 |
Размер пакета 64, интервал между отправкой 0.001 c, кол-во пакетов за интервал 700, клиентов 100 |
Количество конкурентных TCP-сессий |
200000 |
1000 cps |
Количество новых TCP-сессий в секунду |
2000 |
2000 cps, 1KB ответ |
EMIX, Мбит/с |
870 |
1500 cps (без журналирования пакетов) |
Межсетевой экран (1000 правил), трафик EMIX, Мбит/с |
680 |
Правила фильтрации L3, L4, журналирование, счетчики, 1200 cps |
Межсетевой экран (1000 правил) СОВ (IDS 50к сигнатур), трафик EMIX, Мбит/с |
440 |
Правила фильтрации L3, L4, журналирование, счетчики, 600 cps |
Межсетевой экран (1000 правил) СОВ (IPS 50к сигнатур), трафик EMIX, Мбит/с |
75 |
Правила фильтрации L3, L4, журналирование, счетчики, 0.1 cps (5 минут тест) |
Варианты исполнения
Шлюзы безопасности имеют форм-фактор 1U 19” и выпускаются в различных исполнениях:
Решение для малого и среднего бизнеса, а также государственных структур;
Решение для промышленных сетей, которое имеет пассивное охлаждение и блоки питания, адаптированные под промышленные стандарты;
Внешний вид и описание передней панели устройств серии RTT-M300
Внешний вид передней панели RTT-M300 показан на рисунке:
В таблице приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на передней панели шлюза безопасности.
Внешний вид задней панели устройства серии RTT-M300 приведен на рисунке:
В таблице приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на задней панели шлюза безопасности.
Внешний вид боковой панели устройства:
Внешний вид передней панели RTT-M300E показан на рисунке:
В таблице приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на передней панели шлюза безопасности.
Внешний вид задней панели устройства серии RTT-M300Е приведен на рисунке:
В таблице приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на задней панели шлюза безопасности.
Внешний вид боковой панели устройства:
Внешний вид передней панели RTT-M300F показан на рисунке:
В таблице приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на передней панели шлюза безопасности.
Внешний вид задней панели устройства серии RTT-M300F приведен на рисунке:
В таблице приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на задней панели шлюза безопасности.
Внешний вид боковой панели устройства:
На боковой панели расположен радиатор пассивной системы охлаждения устройства.
Световая индикация
Состояние интерфейсов Ethernet индицируется двумя светодиодными индикаторами, LINK зеленого цвета и ACT оранжевого цвета, расположенными возле каждого интерфейсного разъема.
Индикатор |
Состояние |
Описание |
|---|---|---|
LINK |
Выключен |
Порт выключен или соединение не установлено |
Горит зелёным |
Установлено соединение |
|
ACT |
Выключен |
Передача данных не происходит |
Моргает жёлтым |
Идет передача данных |
Системные индикаторы (Питание, Авария, Статус, Резерв) служат для определения состояния работы узлов шлюзов безопасности серии RTT-M300.
Комплект поставки
В базовый комплект поставки входят:
Шлюз безопасности серии RTT-M300;
Шнур питания;
Консольный кабель;
Комплект крепежа в стойку;
Документация.
Примечание
По желанию заказчика в комплект поставки могут входить, например, платы расширения или SFP-модули производства RTT.
Карты расширения сетевых портов
Карты расширения сетевых портов бывают следующих типов:
Карта с управляемыми L3 портами - 8xGE (RJ45);
Карта с управляемыми L3 портами - 2x10GE (SFP+);
Карта с неуправляемыми L2 портами - 4xGE Switch (RJ45).
Сценарии применения
Универсальный шлюз безопасности для распределенной корпоративной сети
Высокая скорость обработки трафика и мультифункциональность универсальных шлюзов безопасности серии RTT-M300 позволяет организовывать многоступенчатую защиту периметра каждого территориально распределенного офиса организации. В данном случае чаще всего RTT-M300 используются на границе сети, где необходимо производить фильтрацию поступающего трафика. Огромный набор атрибутов фильтрации позволяет гибко настраивать конфигурацию фильтра и учитывать большое количество параметров поступающего трафика. Система обнаружения вторжений RTT-M300 позволяет контролировать и блокировать поступающий трафик с вредоносным содержимым. Для организации безопасного взаимодействия между офисами возможно использование VPN-туннелей, которые позволяют шифровать трафик, передаваемый между филиалами организации. Схема организации территориально распределенной корпоративной сети с использованием решений RTT-M300 представлена ниже на рисунке:
Универсальный шлюз безопасности для распределенной корпоративной сети
Универсальный шлюз безопасности для промышленной сети
Организация защиты периметра промышленной сети является сложной задачей. В данном случае важным является обработка и фильтрация трафика с промышленно ориентированными протоколами - Modbus, MQTT, IEC 60870-5-104. RTT-M300 позволяет контролировать передачу и распределение промышленно ориентированного трафика. Профили фильтрации промышленного трафика имеют большое количество атрибутов, которые позволяют очень гибко настроить фильтрацию проходящего трафика.
Схема организации промышленной сети с использованием решений RTT-M300 представлена ниже на рисунке:
Техническая поддержка
Для получения технической консультации по вопросам эксплуатации оборудования ООО «РТТ» вы можете обратиться в Сервисный центр компании:
E-mail: support@rusteletech.ru
Телефон: +7(495) 234-9777
ServiceDesk: https://support.rusteletech.ru/
На официальном сайте компании вы можете найти техническую документацию и программное обеспечение для продукции ООО «РТТ».
Официальный сайт компании: https://ртт.рф/