Межсетевой экран • Фильтрация по: - Адресу источника - Адресу назначения - Протоколам - Портам - Операционной системе (фингерпринтинг ОС) • Каждое правило может задавать свои настройки ограничения одновременных соединений • Каждое правило может определять свои настройки журналирования трафика • Нормализация пакетов • Возможность выключить фильтрацию пакетов и работать в режиме чистого маршрутизатора • Сбор и отображение статистики для всех правил межсетевого экрана • Отображение автоматических правил межсетевого экрана в веб-интерфейсе Организация политик • Поддержка псевдонимов / алиасов - Для IP-адресов - Диапазонов портов - Доменных имен (полностью определенное доменное имя) • Интерфейсные группы - Возможность создания зон безопасности с помощью правил, ссылающихся на интерфейсные группы • Категории правил - Легкий доступ к наборам правил • Поддержка GeoIP (определение страны) Гибкий контроль таблицы состояний • Настраиваемый размер таблицы состояний • Каждое правило может задавать свои настройки - Ограничения одновременных подключений от клиента - Ограничения состояний для конкретного хоста - Ограничения на количество новых соединений в секунду - Таймаута для состояний соединения - Режима работы с соединениями • Режимы работы с соединениями - Keep (режим отслеживания состояния соединения) - Sloppy (менее строгий режим отслеживания состояния соединения) - Modulate (генерация высококачественных Initial Sequence Number) - Synproxy (режим защиты от атаки типа TCP YSN Flood) - None (режим работы без отслеживания состояния соединения) • Оптимизация работы с соединениями - Normal (нормальный режим подходит для большинства сетей) - High latency (режим высокой задержки – подходит для спутниковых каналов связи) - Aggressive (агрессивный режим – соединения истекают быстрее, тратится меньше памяти) - Conservative (консервативный режим - соединения истекают медленнее, тратится больше памяти) Обзор функциональных возможностей Traffic Inspector Next Generation (версия 1.5.0 на базе OPNsense 19.7.3.) Аутентификация • Удаленные серверы - LDAP - RADIUS - Kerberos (только для прокси-сервера) - NTLM (только для прокси-сервера) • Встроенные возможности - Локальный менеджер пользователей - Ваучеры / карты - FreeRadius (плагин) Авторизация • Веб-интерфейс - Локальный менеджер пользователей Аккаунтинг - FreeRadius - Ваучеры / карты Двухфакторная аутентификация • Поддержка TOTP (одноразовых паролей с ограничением по времени) • Поддержка Google Authenticator • Поддержка 2FA-аутентификации в: - Captive Portal - Веб-прокси - VPN - Веб-интерфейсе - SSH / консоль Сертификаты • Удостоверяющий центр - Создание или импортирование удостоверяющего центра - Создание или импортирование сертификатов • Плагин Let’s Encrypt - Автоматически разворачиваемый доверенный удостоверяющий центр Поддержка 802.1Q VLAN • Максимальное поддерживаемое число VLAN-сетей – 4096 Агрегирование каналов и переключение при сбое • Переключение при сбое • Балансировка нагрузки • Циклический алгоритм (Round Robin) • Технология Ether Channel (FEC) от Cisco • Протокол LACP из стандарта IEEE 802.3AD Поддержка других типов интерфейсов • Мостовые интерфейсы • Generic Tunnel Interface / GIF (различные виды туннелирования IPv4/6 в IPv4/6) • GRE (универсальные протокол инкапсулирования от Cisco) • Двойное тегирование 802.1ad QinQ Трансляция сетевых адресов (NAT) • Поддержка NAT Reflection (обращение к серверам из внутренней сети по публичным IP-адресам) • Логирование правил NAT • Исходящий NAT Шейпер трафика • Ограничение пропускной способности • Разделение пропускной способности • Приоритезация трафика • Критерии совпадения правил - Протокол - Адрес источник - Адрес назначения - Порт - Направление 7 IGMP-прокси • Функция, используемая совместно с функцией маршрутизации мультикастового трафика Полная поддержка технологии Universal Plug & Play Dynamic DNS • Выбор сервиса Dynamic DNS из списка • Произвольно настраиваемый сервис • Поддержка RFC 2136 DNS Форвардер • Переопределения для хостов • Переопределения для доменов DNS Сервер • Переопределения для хостов - Для ресурсных записей типа A - Для ресурсных записей типа MX • Списки доступа • Поддержка DNSSEC DNS Фильтрация Поддержка OpenDNS DHCP Сервер • Поддержка IPv4 и IPv6 • Поддержка режима ретрансляции • Поддержка BOOTP-опций MultiWAN • Балансировка нагрузки • Переключение на запасной канал при сбое основного канала • Псевдонимы / алиасы Балансировка нагрузки • Распределение входящей сетевой нагрузки между несколькими обслуживающими серверами во внутренней сети (HAProxy) Network Time Server • Поддержка Pulse Per Second источника • Поддержка GPS-источника Система обнаружения / предотвращения вторжений • Работа в режиме inline (устройство, выполняющее функцию, находится на пути трафика, а не в стороне) • Предопределенные правила - Черные списки SSL-сертификатов - Feodoro Tracker - Geolite2 Country IP - Emerging Threats ETOpen • Блокировка сайтов по цифровым отпечаткам SSL сертификатов • Автообновление правил с помощью планировщика cron Captive Portal • Сценарии использования - Гостевая сеть - BYOD (Мобильное рабочее место) - Wi-Fi-доступ в отелях и кемпингах - Управление шаблонами - Поддержка нескольких зон • Аутентификаторы - Работает со всеми поддерживаемыми в системе аутентификаторами - Без аутентификации (только экран приветствия) - Аутентификация с помощью SMS с поддержкой групп пользователей. - Отчётность по траффику пользователей на прокси. • Менеджер ваучеров - Поддержка нескольких баз данных ваучеров - Экспортирование ваучеров в формат CSV • Таймауты и распознавание зарегистрированных пользователей • Управление пропускной способностью - Доступно с помощью шейпера • Обход портала - По белым спискам IP- и MAC-адресов • Отчеты в реальном времени - Топ-лист по IP-адресам с наибольшим использованием пропускной способности канала - Активные сессии - Оставшееся время - Интерфейс программирования REST Виртуальные частные сети • IPsec - В режиме «сеть - сеть» - В режиме «узел - сеть» (подключение удаленных сотрудников) • OpenVPN - В режиме «сеть - сеть» - В режиме «узел - сеть» (подключение удаленных сотрудников) - Экспорт конфигурации для легкой настройки клиента - OpenVPN client export API для автоматизации процесса выдачи клиентских сертификатов для OpenVPN • Tinc - Маршрутизация в режиме полносвязной топологии • ZeroTier (плагин) - VPN, SDN и SD-WAN • PPTP (унаследованное ПО) • L2TP (унаследованное ПО) • Плагин ГОСТ-VPN на базе OpenVPN с использованием ГОСТ-шифрования • Поддержка WireGuard Высокая доступность • Переключение на запасной узел в кластере высокой доступности • Синхронизация таблицы состояния соединений между узлами кластера • Синхронизация настроек между узлами кластера Кеширующий прокси • Поддержка нескольких интерфейсов • Режим прозрачного проксирования • Перехват и дешифровка HTTPS-соединений (SSL Bump) • Блокировка SSL по домену / IP-адресу без дешифровки соединений • Списки контроля доступа • Черные списки ресурсов • Управление трафиком • Поддержка скачиваемых черных списков • ICAP (поддержка внешних антивирусов) • WPAD / PAC и поддержка родительского прокси на веб-прокси • SSO для доменов • Поддержка NTLM-аутентификации • Привязка пользователя к IP/MAC-адресу • Запись логов в БД, гибкая отчётность по доменам, URL, пользователям, IP-адресам и т.д. • Логирование трафика пользователей OpenVPN с привязкой к пользователю • Гибкая настройка правил пользователей и групп (приоритеты, чёрные/белые списки, исключения SSL Bump, правила ICAP, маршрутизация на разные интернет-каналы) • Фильтрация по категориям ресурсов NetPolice Антивирусная проверка • Поддержка интеграции с внешними антивирусами c помощью ICAP • ClamAV (встроенный антивирус, работающий со Squid через плагин C-ICAP) • Плагин антивируса Касперского 8 Обратный прокси • Распределение входящей сетевой нагрузки между несколькими обслуживающими серверами во внутренней сети (HAProxy) • Веб-сервер Nginx Анонимность в сети • Анонимизация исходящих подключений для приложений • Анонимизация входящих подключений для серверов (анонимные службы) • Tor Резервное копирование и восстановление • История изменений настроек • Резервное копирование файлов • Сохранение резервной копии в облако • API backup export – автоматизация работы с резервными копиями SNMP • Мониторинг и ловушки Диагностика • Статус перезагрузки фильтров • Информация по сетевому экрану • Топ по активным пользователям • Таблицы сетевого экрана - Псевдонимы / алиасы - Bogon-сети (немаршрутизируемые в Интернете адреса) • Текущие открытые сокеты • Просмотр состояний всех соединений • Сброс таблицы состояний • Общие данные по состояниям соединений • Технология Wake on LAN (пробуждение компьютера при получении пакета по сети) • ARP-таблица (кэш протокола преобразования адресов) • Просмотр данных в DNS • NDP-таблица (кэш протокола обнаружения соседей) • Утилита PING • Захват пакетов • Сканирование портов • Трассировка маршрутов Мониторинг • Агент Zabbix (плагин) • Monit (плагин) - Проактивный мониторинг системы Усовершенствованная система отчетов • Анализатор потоков Insight - Полностью интегрирован в решение - Детальная агрегация данных - Графическая репрезентация данных - Поддержка поиска и кликабельность - Экспорт в формат CSV • Здоровье системы - Работа с собираемыми данными по циклическому алгоритму - Возможность выбора и масштабирования - Возможность экспорта • Графики трафика - Мониторинг трафика в реальном времени • Hardware widget – предоставление сведений об аппаратной платформе Мониторинг сети • NetFlow Exporter - Версия 5 и 9 - Поставляет данные в Insight • Сканирование сети сканером безопасности • ntopng - мониторинг трафика и сбор потоков Система управления пакетами • Поддержка установки в виртуальную машину - VMware Tools - Утилиты Xen Guest • Легкий апгрейд - Предупреждение о перезагрузке при базовом апгрейде • Возможность выбора зеркала обновлений • Возможность переустановки пакета • Запрет на обновление конкретного пакета • Возможность аудита - Проверка установленных пакетов на наличие уязвимостей • Поддержка плагинов Интерфейс программирования REST • Поддержка списков контроля доступа Онлайн документация • Документация в свободном доступе на русском языке, с поддержкой поиска Поддержка русского языка • Полная поддержка русского языка в интерфейсе • Поддержка кириллических доменов во всех подсистемах • Документация на русском Central Management System • Централизованная панель управления несколькими узлами на головном узле