Возможности программно-аппаратных комплексов «Фортикс»

ПАК “Фортикс” предоставляет функциональные возможности маршрутизатора, СКЗИ и средства межсетевого экранирования, реализованные в программном обеспечении (далее по тексту – ПО) ПАК “Фортикс”.

Маршрутизатор
Зонный межсетевой экран
Основной межсетевой экран
Прозрачный межсетевой экран
Трансляция пакетов SNAT, DNAT
Фильтрация WEB-контента (WCF)
Криптографическая защита
Обеспечение высокой доступности сервиса
Обеспечение качества сервиса (QoS)
Обеспечение мониторинга
Сетевые сервисы
Управление

Маршрутизатор

ПАК “Фортикс” поддерживает следующие типы сетевых интерфейсов:

ether:
- Ethernet интерфейсы;
- USB-модемы 3G/4G/LTE;
vlan:
- 802.1Q;
- IEEE 802.1ad (QinQ);
bond – интерфейс для агрегирования сетевых интерфейсов в следующих режимах:
- поочерёдное циклическое использование (round robin);
- резервирование (active-backup);
- распределение по хэш-функции (balance-xor);
- одновременная передача (broadcast);
- по стандарту IEEE 802.3ad (LACP);
- адаптивная балансировка передачи (balance-tlb);
- адаптивная балансировка, в том числе на приёме (balance-alb);
- контроль состояния несущей сетевого порта (MII);
- контроль доступности заданного хоста (ARP);
bridge – интерфейс для работы в режиме сетевого моста с поддержкой протоколов STP, IGMP-snooping и IGMP-routing;
fortun – туннельный интерфейс с обеспечением криптозащиты трафика по алгоритмам ГОСТ, поддержкой ICMP-проб, автоопределением параметров (работа через NAT), инкапсуляцией трафика в UDP, работающий в режимах L3VPN (IP over IP) и L2VPN (Ethernet over IP);
gre – туннельный интерфейс, работающий по протоколу GRE;
loopback – интерфейс-петля;
dummy – интерфейс-заглушка;
ifb – виртуальный интерфейс для обеспечения QoS на приёме для всего трафика, проходящего через ПАК “Фортикс”;
wireguard – интерфейс для клиентской и серверной поддержки Wireguard VPN.

Перечисленные интерфейсы поддерживают:

произвольный набор адресов IPv4 (в т.ч. по DHCP) и IPv6;
режим link-detect;
L2 адрес;
mtu/multicast/arp и другие свойства.

В ПАК “Фортикс” поддерживаются следующие типы маршрутизации:

статическая маршрутизация IPv4 и IPv6 с метриками и управлением маршрутами в зависимости от состояния интерфейса (link-detect);
маршрутизация на основе политик (PBR) со следующими критериями выборки:
- адрес источника и/или адрес назначения;
- порты назначения и/или источника;
- интерфейс, на который принят сетевой пакет;
динамическая маршрутизация по протоколам:
- OSPFv2/v3;
- BGPv4, v4+, v4-;
- ISIS;
- RIP/RIP2/RIPNG;
маршрутизация мультикаст-трафика:
- статическая;
- по протоколу IGMP;
- по протоколу PIM SM.

Маршрутизация PBR поддерживает механизм использования ping-проб (keepalive) для обнаружения недоступности шлюза и механизм контроля SLA для обнаружения недоступности шлюза по следующим критериям:

процент потерь;
значение задержки;
значение джиттера.

Поддерживается протокол BFD, реализующий быстрое обнаружение сбоев для статической, PBR и динамической маршрутизации.

Поддерживается технология VRF.

Зонный межсетевой экран

Для обеспечения функциональных возможностей зонного межсетевого экрана ПАК “Фортикс” поддерживает:

фильтрацию с контролем состояния соединений (Stateful);
зоны, объединяющие интерфейсы;
политику блокировки трафика для зоны;
политику блокировки трафика между зонами при помощи фильтров;
фильтры, содержащие правила фильтрации;
следующие критерии отбора трафика для фильтрации:
- IP-адрес;
- TCP/UDP-порт;
- тип ICMP сообщений;
- тип сетевого интерфейса (принимающий/отправляющий);
- номер протокола;
следующие действия для отобранного трафика:
- пропустить;
- заблокировать с уведомлением;
- заблокировать без уведомления;
вложенные списки TCP/UDP-портов;
вложенные списки IP-адресов;
счётчики и журналирование срабатывания правил.

Основной межсетевой экран

Для обеспечения функциональных возможностей основного межсетевого экрана ПАК “Фортикс” поддерживает:

фильтрацию каждого пакета (Stateless);
фильтрацию с контролем состояния соединений (Stateful);
фильтры, содержащие правила фильтрации и модификации трафика;
фильтры по определённому приложению (DPI);
фильтры по расписанию;
следующие критерии отбора трафика:
- IP-адрес;
- TCP/UDP-порт;
- тип ICMP сообщений;
- тип сетевого интерфейса (принимающий/отправляющий);
- номер протокола;
- количество байт/пакетов за единицу времени;
- состояние соединения;
- значения определённых байт в пакете;
следующие действия для отобранного трафика:
- пропустить;
- заблокировать с уведомлением;
- заблокировать без уведомления;
модификацию трафика:
- установка MSS;
- установка TTL;
- установка DSCP;
вложенные списки TCP/UDP-портов;
вложенные списки IP-адресов;
следующие цепочки обработки трафика для применения фильтров:
- prerouting;
- local-in;
- forward;
- local-out;
- postrouting;
следующие области в цепочках обработки трафика для применения фильтров:
- fragged;
- raw;
- mangle;
- after-nat;
- after-zone;
счётчики и журналирование срабатывания правил.

Прозрачный межсетевой экран

Для обеспечения функциональных возможностей прозрачного межсетевого экрана ПАК “Фортикс” поддерживает:

фильтрацию каждого пакета (Stateless);
фильтры, содержащие правила фильтрации и модификации трафика;
фильтры по расписанию;
следующие критерии отбора трафика:
- MAC-адрес;
- ARP пакет;
- VLAN-тег;
- IP-адрес;
- TCP/UDP-порт;
- тип ICMP сообщений;
- имя принимающего/отправляющего интерфейса;
- номер протокола;
- количество байт/пакетов за единицу времени;
- значения определённых байт в пакете;
следующие действия для отобранного трафика:
- пропустить;
- заблокировать с уведомлением;
- заблокировать без уведомления;
модификацию трафика:
- установка MAC-адресов отправителя/получателя;
вложенные списки TCP/UDP-портов;
счётчики и журналирование срабатывания правил.

Трансляция пакетов SNAT, DNAT

Для обеспечения трансляции пакетов SNAT, DNAT ПАК “Фортикс” поддерживает:

трансляцию следующих типов:
- адресов и портов входящих пакетов, DNAT;
- адресов и портов исходящих пакетов, SNAT;
- в статический адрес;
- подсеть в подсеть;
- в адрес выходного интерфейса;
следующие критерии отбора трафика:
- IP-адрес;
- TCP/UDP-порт;
- тип сетевого интерфейса (принимающий/отправляющий);
- ICMP по типу сообщения;
- тип зоны межсетевого экрана (входная/выходная);
- списки сетей и сервисов межсетевого экрана;
счётчики и журналирование срабатывания правил;
перенаправление трафика на адрес или порт (redirect);
отслеживание и трансляция зависимых соединений по следующим протоколам: SIP, Н.323 (Н.245, Q.931, RAS), AMANDA, IRC, NETBIOS, PPTP, SANE, SNMP, FTP, TFTP.

Фильтрация WEB-контента (WCF)

Для обеспечения фильтрации WEB-контента ПАК “Фортикс” поддерживает:

следующие типы списков фильтрации:
- белый (пропустить);
- чёрный (блокировать);
- полусерый (проверить контент и чёрный список);
- серый (проверить контент и пропустить);
следующие области применения фильтрация:
URL;
заголовок WEB-страницы;
содержимое WEB-страницы;
следующие критерии фильтрации:
слова;
регулярные выражения;
команды протокола HTTP;
MIME-типы микрокода;
расширения файлов;
проксирование HTTP/HTTPS, в том числе прозрачное;
SSL инспекция HTTPS-трафика.

Криптографическая защита

Для обеспечения криптографической защиты ПАК “Фортикс” поддерживает:

средства криптографической защиты информации по ГОСТ Р 34.12-2018, 34.13-2018 для VPN-туннелей Fortun;
два варианта ключей: симметричные ключи и ключевые пары (открытый и закрытый ключи Диффи-Хелманна);
использование физического датчика случайных чисел на устройстве “Фортикс-стена” для выработки ключей.

Обеспечение высокой доступности сервиса

Для обеспечения высокой доступности сервиса ПАК “Фортикс” поддерживает:

организацию отказоустойчивого кластера из нескольких изделий по протоколу VRRP в режимах активный/резервный и активный/активный;
выделенный интерфейс для работы кластера;
виртуальный MAC-адрес;
технологию синхронизации состояния соединений между нодами VRRP-кластера.

Обеспечение качества сервиса (QoS)

Для обеспечения качества сервиса ПАК “Фортикс” поддерживает:

классификацию трафика по следующим критериям:
- IP-адреса;
- TCP/UDP-порты;
- ToS/DSCP;
- номер протокола;
следующие дисциплины обработки трафика:
- noqueue;
- pfifo_fast;
- fqcodel;
- RED;
- SFQ;
- HTB;
шейпер HTB со следующими возможностями:
- использование иерархической структуры управления полосами пропускания;
- установка гарантированной полосы;
- установка предельной полосы;
- установка дисциплины для полосы;
политики отбора классифицированного трафика в полосы шейпера HTB;
установку дисциплин на интерфейсы;
виртуальный интерфейс IFB, позволяющий обработать весь трафик системы с использованием шейпера HTB;
перенаправление/зеркалирование трафика на любой интерфейс (в том числе IFB);
наследование поля ToS/DSCP для туннельного трафика;
SLA-контроль в PBR.

Обеспечение мониторинга

Для обеспечения мониторинга ПАК “Фортикс” поддерживает:

протокол SNMP v2/v3;
трапы SNMP:
- неуспешная попытка получения информации по snmp;
- изменение статуса сетевого интерфейса;
протокол NetFlow v5/v9/ipfix;
протокол Syslog;
запись дампов пакетов (tcpdump).

Сетевые сервисы

Для обеспечения функциональных возможностей сетевых сервисов ПАК “Фортикс” поддерживает:

утилиты для диагностики сети (ping, arping, traceroute);
утилиты для работы с DNS;
DHCP-сервер/клиент;
DHCP Relay;
DNS-сервер;
DNS resolver;
DNS redirect;
SSH-сервер/клиент;
NTP-сервер/клиент;
IPERF-сервер/клиент;
TELNET-сервер/клиент;
CURL-клиент (протоколы FTP,HTTP(s), TFTP и др.).

Управление

Для управления ПАК “Фортикс” предусмотрены:

интерфейс командной строки;
технология применения конфигурации (точки возврата к предыдущей успешно применённой конфигурации);
импорт/экспорт и копирование конфигураций в виде файлов;
доступ к командной строке по протоколу SSH;
приём/отправка файлов по протоколу SCP;
работа с конфигурацией по протоколу Netconf;
ролевая модель (NACM);
аутентификация учётных записей администраторов ПАК “Фортикс” по протоколу Radius;
обновление системы средствами командной строки;
установка нескольких версий ПО на одном ПАК;
пробная загрузка при обновлении с возможностью автоматического возврата на резервную копию ПО;
возврат на стабильную конфигурацию (временный коммит).