Введение ======== Программно-аппаратный комплекс (далее по тексту – ПАК) “Фортикс” представляет собой программно-техническое средство, реализующее функции контроля и фильтрации в соответствии с заданными правилами проходящих через него информационных потоков и используемое в целях обеспечения защиты информации ограниченного доступа, в том числе криптографическими методами. В ПАК “Фортикс” встроено программно-аппаратное средство криптографической защиты информации (далее по тексту – СКЗИ) “Фортикс”. Область применения ------------------ ПАК “Фортикс” может использоваться в государственных и коммерческих структурах для обработки и обмена персональными данными, конфиденциальной, служебной, коммерческой и другой информацией, не содержащей сведений, составляющих государственную тайну. Краткое описание возможностей ----------------------------- ПАК “Фортикс” предоставляет функциональные возможности маршрутизатора, СКЗИ и средства межсетевого экранирования, реализованные в программном обеспечении (далее по тексту – ПО) ПАК “Фортикс”. Маршрутизатор ~~~~~~~~~~~~~ ПАК “Фортикс” поддерживает следующие типы сетевых интерфейсов: - ether: - Ethernet интерфейсы; - USB-модемы 3G/4G/LTE; - vlan: - 802.1Q; - IEEE 802.1ad (QinQ); - bond – интерфейс для агрегирования сетевых интерфейсов в следующих режимах: - поочерёдное циклическое использование (round robin); - резервирование (active-backup); - распределение по хэш-функции (balance-xor); - одновременная передача (broadcast); - по стандарту IEEE 802.3ad (LACP); - адаптивная балансировка передачи (balance-tlb); - адаптивная балансировка, в том числе на приёме (balance-alb); - контроль состояния несущей сетевого порта (MII); - контроль доступности заданного хоста (ARP); - bridge – интерфейс для работы в режиме сетевого моста с поддержкой протоколов STP, IGMP-snooping и IGMP-routing; - fortun – туннельный интерфейс с обеспечением криптозащиты трафика по алгоритмам ГОСТ, поддержкой ICMP-проб, автоопределением параметров (работа через NAT), инкапсуляцией трафика в UDP, работающий в режимах L3VPN (IP over IP) и L2VPN (Ethernet over IP); - gre – туннельный интерфейс, работающий по протоколу GRE; - loopback – интерфейс-петля; - dummy – интерфейс-заглушка; - ifb – виртуальный интерфейс для обеспечения QoS на приёме для всего трафика, проходящего через ПАК “Фортикс”; - wireguard – интерфейс для клиентской и серверной поддержки Wireguard VPN. Перечисленные интерфейсы поддерживают: - произвольный набор адресов IPv4 (в т.ч. по DHCP) и IPv6; - режим link-detect; - L2 адрес; - mtu/multicast/arp и другие свойства. В ПАК “Фортикс” поддерживаются следующие типы маршрутизации: - статическая маршрутизация IPv4 и IPv6 с метриками и управлением маршрутами в зависимости от состояния интерфейса (link-detect); - маршрутизация на основе политик (PBR) со следующими критериями выборки: - адрес источника и/или адрес назначения; - порты назначения и/или источника; - интерфейс, на который принят сетевой пакет; - динамическая маршрутизация по протоколам: - OSPFv2/v3; - BGPv4, v4+, v4-; - ISIS; - RIP/RIP2/RIPNG; - маршрутизация мультикаст-трафика: - статическая; - по протоколу IGMP; - по протоколу PIM SM. Маршрутизация PBR поддерживает механизм использования ping-проб (keepalive) для обнаружения недоступности шлюза и механизм контроля SLA для обнаружения недоступности шлюза по следующим критериям: - процент потерь; - значение задержки; - значение джиттера. Поддерживается протокол BFD, реализующий быстрое обнаружение сбоев для статической, PBR и динамической маршрутизации. Поддерживается технология VRF. Зонный межсетевой экран ~~~~~~~~~~~~~~~~~~~~~~~ Для обеспечения функциональных возможностей зонного межсетевого экрана ПАК “Фортикс” поддерживает: - фильтрацию с контролем состояния соединений (Stateful); - зоны, объединяющие интерфейсы; - политику блокировки трафика для зоны; - политику блокировки трафика между зонами при помощи фильтров; - фильтры, содержащие правила фильтрации; - следующие критерии отбора трафика для фильтрации: - IP-адрес; - TCP/UDP-порт; - тип ICMP сообщений; - тип сетевого интерфейса (принимающий/отправляющий); - номер протокола; - следующие действия для отобранного трафика: - пропустить; - заблокировать с уведомлением; - заблокировать без уведомления; - вложенные списки TCP/UDP-портов; - вложенные списки IP-адресов; - счётчики и журналирование срабатывания правил. Основной межсетевой экран ~~~~~~~~~~~~~~~~~~~~~~~~~ Для обеспечения функциональных возможностей основного межсетевого экрана ПАК “Фортикс” поддерживает: - фильтрацию каждого пакета (Stateless); - фильтрацию с контролем состояния соединений (Stateful); - фильтры, содержащие правила фильтрации и модификации трафика; - фильтры по определённому приложению (DPI); - фильтры по расписанию; - следующие критерии отбора трафика: - IP-адрес; - TCP/UDP-порт; - тип ICMP сообщений; - тип сетевого интерфейса (принимающий/отправляющий); - номер протокола; - количество байт/пакетов за единицу времени; - состояние соединения; - значения определённых байт в пакете; - следующие действия для отобранного трафика: - пропустить; - заблокировать с уведомлением; - заблокировать без уведомления; - модификацию трафика: - установка MSS; - установка TTL; - установка DSCP; - вложенные списки TCP/UDP-портов; - вложенные списки IP-адресов; - следующие цепочки обработки трафика для применения фильтров: - prerouting; - local-in; - forward; - local-out; - postrouting; - следующие области в цепочках обработки трафика для применения фильтров: - fragged; - raw; - mangle; - after-nat; - after-zone; - счётчики и журналирование срабатывания правил. Прозрачный межсетевой экран ~~~~~~~~~~~~~~~~~~~~~~~~~~~ Для обеспечения функциональных возможностей прозрачного межсетевого экрана ПАК “Фортикс” поддерживает: - фильтрацию каждого пакета (Stateless); - фильтры, содержащие правила фильтрации и модификации трафика; - фильтры по расписанию; - следующие критерии отбора трафика: - MAC-адрес; - ARP пакет; - VLAN-тег; - IP-адрес; - TCP/UDP-порт; - тип ICMP сообщений; - имя принимающего/отправляющего интерфейса; - номер протокола; - количество байт/пакетов за единицу времени; - значения определённых байт в пакете; - следующие действия для отобранного трафика: - пропустить; - заблокировать с уведомлением; - заблокировать без уведомления; - модификацию трафика: - установка MAC-адресов отправителя/получателя; - вложенные списки TCP/UDP-портов; - счётчики и журналирование срабатывания правил. Трансляция пакетов SNAT, DNAT ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Для обеспечения трансляции пакетов SNAT, DNAT ПАК “Фортикс” поддерживает: - трансляцию следующих типов: - адресов и портов входящих пакетов, DNAT; - адресов и портов исходящих пакетов, SNAT; - в статический адрес; - подсеть в подсеть; - в адрес выходного интерфейса; - следующие критерии отбора трафика: - IP-адрес; - TCP/UDP-порт; - тип сетевого интерфейса (принимающий/отправляющий); - ICMP по типу сообщения; - тип зоны межсетевого экрана (входная/выходная); - списки сетей и сервисов межсетевого экрана; - счётчики и журналирование срабатывания правил; - перенаправление трафика на адрес или порт (redirect); - отслеживание и трансляция зависимых соединений по следующим протоколам: SIP, Н.323 (Н.245, Q.931, RAS), AMANDA, IRC, NETBIOS, PPTP, SANE, SNMP, FTP, TFTP. Фильтрация WEB-контента (WCF) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Для обеспечения фильтрации WEB-контента ПАК “Фортикс” поддерживает: - следующие типы списков фильтрации: - белый (пропустить); - чёрный (блокировать); - полусерый (проверить контент и чёрный список); - серый (проверить контент и пропустить); - следующие области применения фильтрация: - URL; - заголовок WEB-страницы; - содержимое WEB-страницы; - следующие критерии фильтрации: - слова; - регулярные выражения; - команды протокола HTTP; - MIME-типы микрокода; - расширения файлов; - проксирование HTTP/HTTPS, в том числе прозрачное; - SSL инспекция HTTPS-трафика. Криптографическая защита ~~~~~~~~~~~~~~~~~~~~~~~~ Для обеспечения криптографической защиты ПАК “Фортикс” поддерживает: - средства криптографической защиты информации по ГОСТ Р 34.12-2018, 34.13-2018 для VPN-туннелей Fortun; - два варианта ключей: симметричные ключи и ключевые пары (открытый и закрытый ключи Диффи-Хелманна); - использование физического датчика случайных чисел на устройстве “Фортикс-стена” для выработки ключей. Обеспечение высокой доступности сервиса ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Для обеспечения высокой доступности сервиса ПАК “Фортикс” поддерживает: - организацию отказоустойчивого кластера из нескольких изделий по протоколу VRRP в режимах активный/резервный и активный/активный; - выделенный интерфейс для работы кластера; - виртуальный MAC-адрес; - технологию синхронизации состояния соединений между нодами VRRP-кластера. Обеспечение качества сервиса (QoS) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Для обеспечения качества сервиса ПАК “Фортикс” поддерживает: - классификацию трафика по следующим критериям: - IP-адреса; - TCP/UDP-порты; - ToS/DSCP; - номер протокола; - следующие дисциплины обработки трафика: - noqueue; - pfifo_fast; - fqcodel; - RED; - SFQ; - HTB; - шейпер HTB со следующими возможностями: - использование иерархической структуры управления полосами пропускания; - установка гарантированной полосы; - установка предельной полосы; - установка дисциплины для полосы; - политики отбора классифицированного трафика в полосы шейпера HTB; - установку дисциплин на интерфейсы; - виртуальный интерфейс IFB, позволяющий обработать весь трафик системы с использованием шейпера HTB; - перенаправление/зеркалирование трафика на любой интерфейс (в том числе IFB); - наследование поля ToS/DSCP для туннельного трафика; - SLA-контроль в PBR. Обеспечение мониторинга ~~~~~~~~~~~~~~~~~~~~~~~ Для обеспечения мониторинга ПАК “Фортикс” поддерживает: - протокол SNMP v2/v3; - трапы SNMP: - неуспешная попытка получения информации по snmp; - изменение статуса сетевого интерфейса; - протокол NetFlow v5/v9/ipfix; - протокол Syslog; - запись дампов пакетов (tcpdump). Сетевые сервисы ~~~~~~~~~~~~~~~ Для обеспечения функциональных возможностей сетевых сервисов ПАК “Фортикс” поддерживает: - утилиты для диагностики сети (ping, arping, traceroute); - утилиты для работы с DNS; - DHCP-сервер/клиент; - DHCP Relay; - DNS-сервер; - DNS resolver; - DNS redirect; - SSH-сервер/клиент; - NTP-сервер/клиент; - IPERF-сервер/клиент; - TELNET-сервер/клиент; - CURL-клиент (протоколы FTP,HTTP(s), TFTP и др.). Управление ~~~~~~~~~~ Для управления ПАК “Фортикс” предусмотрены: - интерфейс командной строки; - технология применения конфигурации (точки возврата к предыдущей успешно применённой конфигурации); - импорт/экспорт и копирование конфигураций в виде файлов; - доступ к командной строке по протоколу SSH; - приём/отправка файлов по протоколу SCP; - работа с конфигурацией по протоколу Netconf; - ролевая модель (NACM); - аутентификация учётных записей администраторов ПАК “Фортикс” по протоколу Radius; - обновление системы средствами командной строки; - установка нескольких версий ПО на одном ПАК; - пробная загрузка при обновлении с возможностью автоматического возврата на резервную копию ПО; - возврат на стабильную конфигурацию (временный коммит). Уровень подготовки администратора --------------------------------- К администрированию ПАК “Фортикс” рекомендуется допуск лиц, прошедших специализированное обучение по его безопасной эксплуатации. Перечень эксплуатационной документации, с которой необходимо ознакомиться администратору ---------------------------------------------------------------------------------------- Для обеспечения безопасной установки, настройки и работы ПАК “Фортикс” администратору необходимо ознакомиться с эксплуатационной документацией согласно следующему перечню: - ПАК “Фортикс” Руководство администратора НВЦС.465651.001И3 (настоящий документ) (далее по тексту – руководство, руководство администратора); - ПАК “Фортикс” Формуляр НВЦС.465651.001ФО (далее по тексту – формуляр); - ПАК “Фортикс” Формуляр. Приложение А Спецификация поставки НВЦС.465651.001ФО1 (далее по тексту – спецификация поставки); - СКЗИ “Фортикс” Формуляр ПБЦР.468269.003ФО (далее по тексту – формуляр СКЗИ); - СКЗИ “Фортикс” Правила пользования ПБЦР.468269.003ПП (далее по тексту – правила пользования СКЗИ).