С-Терра Шлюз обеспечивает создание виртуальных защищенных сетей (VPN), защиту транзитного трафика между различными узлами сети, защиту трафика самого шлюза безопасности, а также stateless фильтрацию IP-трафика и stateful фильтрацию для протоколов TCP и FTP.
Защиту трафика С-Терра Шлюз осуществляет в рамках международных стандартов IKE/IPsec:
· Security Architecture for the Internet Protocol – RFC2401
· IP Authentication Header (AH) – RFC2402
· IP Encapsulating Security Payload (ESP) – RFC2406
· Internet Security Association and Key Management Protocol (ISAKMP) – RFC2408
· The Internet Key Exchange (IKE) – RFC2409
· The Internet IP Security Domain of Interpretation for ISAKMP (DOI) – RFC2407.
С-Терра Шлюз обеспечивает:
· защиту трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP;
· пакетную фильтрацию трафика;
· контекстную фильтрацию для протоколов TCP и FTP;
· работу по расписанию для правил пакетной фильтрации;
· классификацию и маркирование трафика;
· различные наборы правил обработки трафика на различных интерфейсах;
· возможность задания независимых правил для входящего и исходящего трафиков на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика;
· получение сертификатов открытых ключей по протоколу LDAP;
· событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования;
· сбор статистики для мониторинга;
· реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию;
· регулируемую стойкость защиты трафика;
· маскировку топологии защищаемого сегмента сети (туннелирование трафика);
· возможность задания дополнительной аутентификации партнера на основе запросов на RADIUS сервер;
· загрузку политики из внешнего файла.
Управление С-Терра Шлюз осуществляется:
· централизованно-удаленно посредством «Программного продукта С-Терра КП. Версия 4.1»;
· централизованно-удаленно посредством графического интерфейса Cisco Security Manager версии 4.3;
· локально и удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems;
· при помощи конфигурационного текстового файла, описывающего политику безопасности, и последующей загрузки этого файла на шлюз.
С-Терра Шлюз может использовать криптографические библиотеки:
· в качестве внешней криптографической библиотеки СКЗИ «КриптоПро CSP», разработанное компанией «Крипто-Про»;
· встроенную криптобиблиотеку, разработанную компанией «С-Терра СиЭсПи».
СКЗИ «КриптоПро CSP» и криптобиблиотека, разработанная компанией «С-Терра СиЭсПи» реализуют российские криптографические алгоритмы:
· ГОСТ 28147-89 – шифрование/расшифрование данных,
· ГОСТ Р 34.11-94 – алгоритм хэширования,
· ГОСТ Р 34.10-2001– формирование и проверка электронно-цифровой подписи (ЭЦП),
· VKO GOST R 34.10-2001 (RFC 4357) – выработка общего сессионного ключа,
· а также генерацию случайных чисел.
Криптобиблиотека, разработанная компанией «С-Терра СиЭсПи» позволяет использовать также криптографические алгоритмы ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 и VKO GOST R 34.10-2012.
С-Терра Шлюз работает не только с криптоалгоритмами ГОСТ, но и с международными криптоалгоритмами.