НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК

Отечественные Отечественные межсетевые экранымежсетевые экраны

корпоративного и корпоративного и провайдерского уровняпровайдерского уровняповышенной стойкости повышенной стойкости

ССПТ-1МССПТ-1М

Сертификат ГТК № 226 от 2 апреля 1999 года

Сертификат ГТК № 256 от 28 июля 1999 года

Сертификат ГТК № 442 от 19 марта 2001 года

Сертификат ГТК № 702 от 14 января 2003 года

Санкт-Петербург Санкт-Петербург 20032003

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

- программное или аппаратно-программное

средство, предназначенное для разделения

компьютерной сети на сегменты с различными

правами доступа и обеспечивающее защиту

разделяемых сегментов от

несанкционированного доступа посредством

фильтрации информации между ними по

установленным администратором правилам.

Межсетевой экран:Межсетевой экран:

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Основные особенности ССПТ-1МОсновные особенности ССПТ-1М

Аппаратно-программная реализация Уникальная защищенность

(стелс-технология, электронная пломба) Многопротокольная фильтрация Расширенный набор критериев

фильтрации Управление по доверенному каналу Многопортовая реализация

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Модуль фильтрации

Функциональная схема МЭ Функциональная схема МЭ с 2 портамис 2 портами

Console COM EthC

Порт 0 Порт 1

Модуль управления

Аутентификация

Управление доступом

Файлы правил

Модуль пользовательского интерфейса

SSH-сервер

НТТР-сервер

Политика безопасности

Журналы, сигналы тревоги

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Типовая схема включенияТиповая схема включения

ССПТ-1

Internet

открытыйсегмент сети

защищенныйсегмент сети

управляющийкомпьютер

RS232 илиEthernet

Ethernetпорт 1

Ethernetпорт 0

маршрутизатор

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Невидимый режим работы ССПТ-1МНевидимый режим работы ССПТ-1М

МЭ

IP и MAC адреса IP и MAC адреса

трафик

DSTSRC DSTSRC

МЭ

Отсутствие адресов Отсутствие адресов

трафик

DSTSRC

Стандартная архитектура МЭ

ССПТ-1М

DSTSRC

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Многопротокольная фильтрацияМногопротокольная фильтрация

Ethernet II, Ethernet 802.2 LCC

TCP/IP

IPX/SPX

Поддержка туннелей

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Обобщенный алгоритм фильтрацииОбобщенный алгоритм фильтрации

Пакет соответствует

правилу?

НЕТ

ДА

Приход пакета

Правило«Пропустить»?

Есть еще правила?

Глобальное правило

«пропустить»?

ДА

Пропускпакета

Удаление пакета

ДА

НЕТ

НЕТ

ДА

НЕТ

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Типы правил фильтрацииТипы правил фильтрации

Ethernet IIEthernet 802.2Ethernet 802.3Ethernet SNAP

…

… Прил.

RARP

IP IPX

IPX

Прил. …

TCP

IPICMP

UDP

Прил. Прил. Прил. Прил.

…

ARP

MAC

ARP •Регулярные правила

•Глобальные правила

Входящий кадр

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Управляющие интерфейсы:Управляющие интерфейсы:WEB-WEB-интерфейсинтерфейс

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Управляющие интерфейсы: Управляющие интерфейсы: интерфейс командной строки (интерфейс командной строки (CLI)CLI)

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Физические интерфейсы управленияФизические интерфейсы управления

Консоль СОМ-порт Ethernet-порт

Протоколы доступа PPP, Ethernet HTTPS SSH

Console COM Eth С

ССПТ-1М

Фильтрующие интерфейсы

Интерфейсы управления

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Типы доступа к управлению МЭТипы доступа к управлению МЭ

МСЭ

Консоль

МСЭ

Терминал

МСЭ

МДМ

МДМ

Консоль

МСЭ

МДМ

МДМ

УК

МСЭ

УК

МСЭ

УК

1. Непосредственное подключение консоли

Интерфейс: CLI

2. Подключение консоли через COM-порт

Интерфейс: CLI

3. Удаленное подключение консоли

Интерфейс: CLI

4. Подключение УК через COM-порт (PPP, IP)

Интерфейс: CLI + WEB

6. Удаленное подключение УК через COM-порт (PPP, IP)

Интерфейс: CLI + WEB

5. Подключение УК через доверенную ЛВС

Интерфейс: CLI + WEB

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Задание правил фильтрации в Задание правил фильтрации в WEBWEB

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Задание правил фильтрации в Задание правил фильтрации в CLICLI

Формат:

set rule <синтаксис правила >

set rule тип:номер:действие:регистрация:вход:выход:параметры

set rule mac:0:accept:nolog

set rule ip:5:drop:log:01:10:0:tcp:0.0.0.0/255.255.255.255:any:194.85.4.3 /255.255.255.240:ftp:any:any:any:65535:0-255:any:active:запрет ftp

set rule time:5:111111111111:1:31:1111111:08-00-00:21-59-59

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Многопортовые МСЭМногопортовые МСЭ

От 2 до 8

фильтрующих интерфейсов

Eth C

ЛВСсегмент 2

Eth0

ЛВСсегмент N

Eth1 EthNЛВС

сегмент 1ССПТ-1М

C ons COM

. . .

EthС

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Схема подключения МСЭ с 4 портами Схема подключения МСЭ с 4 портами

Eth C

ЛВСсегмент 2

Eth0

COM

управляющийкомпьютер

ЛВСсегмент 3

Eth1 Eth2 Eth3ЛВС

сегмент 4ЛВС

сегмент 1 ССПТ-1М

ssh, https-соединение

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Дополнительная функциональностьДополнительная функциональность

Регистрация действий администратора и нештатных ситуаций

Регистрация пакетов Сохранение нескольких наборов правил Откат, деактивация правила, переименование

интерфейсов Сохранение регистрационных файлов Возможность коллективной работы нескольких

МЭ

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Загрузка/выгрузка конфигурационного Загрузка/выгрузка конфигурационного файла правилфайла правил

Eth C

ЛВСсегмент 2

Eth0

COM

управляющийкомпьютер

ЛВСсегмент 3

Eth1 Eth2 Eth3ЛВС

сегмент 4ЛВС

сегмент 1 ССПТ-1М

mac:0:accept:log arp:0:accept:nolog ip:0:accept:log ipx:0:accept:nolog

ssh, https-соединение

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Выгрузка на внешний сервер файлов Выгрузка на внешний сервер файлов регистрациирегистрации

Eth C

ЛВСсегмент 2

Eth0

COM

управляющийкомпьютер

ЛВСсегмент 3

Eth1 Eth2 Eth3ЛВС

сегмент 4ЛВС

сегмент 1 ССПТ-1М

Концентратор/коммутатор

Сервер удаленного хранения (FTP- или NFS-

сервер)

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Коллективная работа нескольких МЭКоллективная работа нескольких МЭ

Eth C

Eth0

управляющийкомпьютер

Eth1 Eth2 Eth3

COM

ССПТ-1М

Eth C

Eth0 Eth1 Eth2 Eth3

ССПТ-1М

COM

Eth C

Eth0 Eth1 Eth2 Eth3

ССПТ-1М

Eth C

Eth0 Eth1 Eth2 Eth3

ССПТ-1М

COM

Концентратор/коммутатор

Сегмент ЛВС

Сегмент ЛВС

Сегмент ЛВС

Сегмент ЛВС

Сегмент ЛВС

Сегмент ЛВС

Управляющий сегмент Ethernetфизически отделен

от защищаемых сегментов

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Техническая поддержка и обучениеТехническая поддержка и обучение

194064, Санкт-Петербург, Тихорецкий пр., 21, НПО РТК

Горячая линия +7 (812) 552–0660,

Факс +7 (812) 552–4512

Email info@rtc.ru

http://www.rtc.ru

http://www.frac-tel.com

Учебный центр РТК Курс “Применение межсетевого экрана ССПТ-1М – 5 дней.

НА

УЧ

НО

-ПР

ОИ

ЗВ

ОД

СТ

ВЕ

НН

ОЕ

ОБ

ЪЕ

ДИ

НЕ

НИ

Е Р

ТК

Наши партнерыНаши партнеры

РКК “Энергия”

Государственный таможенный комитет РФ

Министерство Образования РФ