1. Введение

Программно-аппаратный комплекс (далее по тексту – ПАК) “Фортикс” представляет собой программно-техническое средство, реализующее функции контроля и фильтрации в соответствии с заданными правилами проходящих через него информационных потоков и используемое в целях обеспечения защиты информации ограниченного доступа, в том числе криптографическими методами.

В ПАК “Фортикс” встроено программно-аппаратное средство криптографической защиты информации (далее по тексту – СКЗИ) “Фортикс”.

1.1. Область применения

ПАК “Фортикс” может использоваться в государственных и коммерческих структурах для обработки и обмена персональными данными, конфиденциальной, служебной, коммерческой и другой информацией, не содержащей сведений, составляющих государственную тайну.

1.2. Краткое описание возможностей

ПАК “Фортикс” предоставляет функциональные возможности маршрутизатора, СКЗИ и средства межсетевого экранирования, реализованные в программном обеспечении (далее по тексту – ПО) ПАК “Фортикс”.

1.2.1. Маршрутизатор

ПАК “Фортикс” поддерживает следующие типы сетевых интерфейсов:

• ether:

  • Ethernet интерфейсы;

  • USB-модемы 3G/4G/LTE;

• vlan:

  • 802.1Q;

  • IEEE 802.1ad (QinQ);

• bond – интерфейс для агрегирования сетевых интерфейсов в следующих режимах:

  • поочерёдное циклическое использование (round robin);

  • резервирование (active-backup);

  • распределение по хэш-функции (balance-xor);

  • одновременная передача (broadcast);

  • по стандарту IEEE 802.3ad (LACP);

  • адаптивная балансировка передачи (balance-tlb);

  • адаптивная балансировка, в том числе на приёме (balance-alb);

  • контроль состояния несущей сетевого порта (MII);

  • контроль доступности заданного хоста (ARP);

• bridge – интерфейс для работы в режиме сетевого моста с поддержкой протоколов STP, IGMP-snooping и IGMP-routing;

• fortun – туннельный интерфейс с обеспечением криптозащиты трафика по алгоритмам ГОСТ, поддержкой ICMP-проб, автоопределением параметров (работа через NAT), инкапсуляцией трафика в UDP, работающий в режимах L3VPN (IP over IP) и L2VPN (Ethernet over IP);

• gre – туннельный интерфейс, работающий по протоколу GRE;

• loopback – интерфейс-петля;

• dummy – интерфейс-заглушка;

• ifb – виртуальный интерфейс для обеспечения QoS на приёме для всего трафика, проходящего через ПАК “Фортикс”;

• wireguard – интерфейс для клиентской и серверной поддержки Wireguard VPN.

Перечисленные интерфейсы поддерживают:

• произвольный набор адресов IPv4 (в т.ч. по DHCP) и IPv6;

• режим link-detect;

• L2 адрес;

• mtu/multicast/arp и другие свойства.

В ПАК “Фортикс” поддерживаются следующие типы маршрутизации:

• статическая маршрутизация IPv4 и IPv6 с метриками и управлением маршрутами в зависимости от состояния интерфейса (link-detect);

• маршрутизация на основе политик (PBR) со следующими критериями выборки:

  • адрес источника и/или адрес назначения;

  • порты назначения и/или источника;

  • интерфейс, на который принят сетевой пакет;

• динамическая маршрутизация по протоколам:

  • OSPFv2/v3;

  • BGPv4, v4+, v4-;

  • ISIS;

  • RIP/RIP2/RIPNG;

• маршрутизация мультикаст-трафика:

  • статическая;

  • по протоколу IGMP;

  • по протоколу PIM SM.

Маршрутизация PBR поддерживает механизм использования ping-проб (keepalive) для обнаружения недоступности шлюза и механизм контроля SLA для обнаружения недоступности шлюза по следующим критериям:

• процент потерь;

• значение задержки;

• значение джиттера.

Поддерживается протокол BFD, реализующий быстрое обнаружение сбоев для статической, PBR и динамической маршрутизации.

Поддерживается технология VRF.

1.2.2. Зонный межсетевой экран

Для обеспечения функциональных возможностей зонного межсетевого экрана ПАК “Фортикс” поддерживает:

• фильтрацию с контролем состояния соединений (Stateful);

• зоны, объединяющие интерфейсы;

• политику блокировки трафика для зоны;

• политику блокировки трафика между зонами при помощи фильтров;

• фильтры, содержащие правила фильтрации;

• следующие критерии отбора трафика для фильтрации:

  • IP-адрес;

  • TCP/UDP-порт;

  • тип ICMP сообщений;

  • тип сетевого интерфейса (принимающий/отправляющий);

  • номер протокола;

• следующие действия для отобранного трафика:

  • пропустить;

  • заблокировать с уведомлением;

  • заблокировать без уведомления;

• вложенные списки TCP/UDP-портов;

• вложенные списки IP-адресов;

• счётчики и журналирование срабатывания правил.

1.2.3. Основной межсетевой экран

Для обеспечения функциональных возможностей основного межсетевого экрана ПАК “Фортикс” поддерживает:

• фильтрацию каждого пакета (Stateless);

• фильтрацию с контролем состояния соединений (Stateful);

• фильтры, содержащие правила фильтрации и модификации трафика;

• фильтры по определённому приложению (DPI);

• фильтры по расписанию;

• следующие критерии отбора трафика:

  • IP-адрес;

  • TCP/UDP-порт;

  • тип ICMP сообщений;

  • тип сетевого интерфейса (принимающий/отправляющий);

  • номер протокола;

  • количество байт/пакетов за единицу времени;

  • состояние соединения;

  • значения определённых байт в пакете;

• следующие действия для отобранного трафика:

  • пропустить;

  • заблокировать с уведомлением;

  • заблокировать без уведомления;

• модификацию трафика:

  • установка MSS;

  • установка TTL;

  • установка DSCP;

• вложенные списки TCP/UDP-портов;

• вложенные списки IP-адресов;

• следующие цепочки обработки трафика для применения фильтров:

  • prerouting;

  • local-in;

  • forward;

  • local-out;

  • postrouting;

• следующие области в цепочках обработки трафика для применения фильтров:

  • fragged;

  • raw;

  • mangle;

  • after-nat;

  • after-zone;

• счётчики и журналирование срабатывания правил.

1.2.4. Прозрачный межсетевой экран

Для обеспечения функциональных возможностей прозрачного межсетевого экрана ПАК “Фортикс” поддерживает:

• фильтрацию каждого пакета (Stateless);

• фильтры, содержащие правила фильтрации и модификации трафика;

• фильтры по расписанию;

• следующие критерии отбора трафика:

  • MAC-адрес;

  • ARP пакет;

  • VLAN-тег;

  • IP-адрес;

  • TCP/UDP-порт;

  • тип ICMP сообщений;

  • имя принимающего/отправляющего интерфейса;

  • номер протокола;

  • количество байт/пакетов за единицу времени;

  • значения определённых байт в пакете;

• следующие действия для отобранного трафика:

  • пропустить;

  • заблокировать с уведомлением;

  • заблокировать без уведомления;

• модификацию трафика:

  • установка MAC-адресов отправителя/получателя;

• вложенные списки TCP/UDP-портов;

• счётчики и журналирование срабатывания правил.

1.2.5. Трансляция пакетов SNAT, DNAT

Для обеспечения трансляции пакетов SNAT, DNAT ПАК “Фортикс” поддерживает:

• трансляцию следующих типов:

  • адресов и портов входящих пакетов, DNAT;

  • адресов и портов исходящих пакетов, SNAT;

  • в статический адрес;

  • подсеть в подсеть;

  • в адрес выходного интерфейса;

• следующие критерии отбора трафика:

  • IP-адрес;

  • TCP/UDP-порт;

  • тип сетевого интерфейса (принимающий/отправляющий);

  • ICMP по типу сообщения;

  • тип зоны межсетевого экрана (входная/выходная);

  • списки сетей и сервисов межсетевого экрана;

• счётчики и журналирование срабатывания правил;

• перенаправление трафика на адрес или порт (redirect);

• отслеживание и трансляция зависимых соединений по следующим протоколам: SIP, Н.323 (Н.245, Q.931, RAS), AMANDA, IRC, NETBIOS, PPTP, SANE, SNMP, FTP, TFTP.

1.2.6. Фильтрация WEB-контента (WCF)

Для обеспечения фильтрации WEB-контента ПАК “Фортикс” поддерживает:

• следующие типы списков фильтрации:

  • белый (пропустить);

  • чёрный (блокировать);

  • полусерый (проверить контент и чёрный список);

  • серый (проверить контент и пропустить);

• следующие области применения фильтрация:

  • URL;

  • заголовок WEB-страницы;

  • содержимое WEB-страницы;

• следующие критерии фильтрации:

  • слова;

  • регулярные выражения;

  • команды протокола HTTP;

  • MIME-типы микрокода;

  • расширения файлов;

• проксирование HTTP/HTTPS, в том числе прозрачное;

• SSL инспекция HTTPS-трафика.

1.2.7. Криптографическая защита

Для обеспечения криптографической защиты ПАК “Фортикс” поддерживает:

• средства криптографической защиты информации по ГОСТ Р 34.12-2018, 34.13-2018 для VPN-туннелей Fortun;

• два варианта ключей: симметричные ключи и ключевые пары (открытый и закрытый ключи Диффи-Хелманна);

• использование физического датчика случайных чисел на устройстве “Фортикс-стена” для выработки ключей.

1.2.8. Обеспечение высокой доступности сервиса

Для обеспечения высокой доступности сервиса ПАК “Фортикс” поддерживает:

• организацию отказоустойчивого кластера из нескольких изделий по протоколу VRRP в режимах активный/резервный и активный/активный;

• выделенный интерфейс для работы кластера;

• виртуальный MAC-адрес;

• технологию синхронизации состояния соединений между нодами VRRP-кластера.

1.2.9. Обеспечение качества сервиса (QoS)

Для обеспечения качества сервиса ПАК “Фортикс” поддерживает:

• классификацию трафика по следующим критериям:

  • IP-адреса;

  • TCP/UDP-порты;

  • ToS/DSCP;

  • номер протокола;

• следующие дисциплины обработки трафика:

  • noqueue;

  • pfifo_fast;

  • fqcodel;

  • RED;

  • SFQ;

  • HTB;

• шейпер HTB со следующими возможностями:

  • использование иерархической структуры управления полосами пропускания;

  • установка гарантированной полосы;

  • установка предельной полосы;

  • установка дисциплины для полосы;

• политики отбора классифицированного трафика в полосы шейпера HTB;

• установку дисциплин на интерфейсы;

• виртуальный интерфейс IFB, позволяющий обработать весь трафик системы с использованием шейпера HTB;

• перенаправление/зеркалирование трафика на любой интерфейс (в том числе IFB);

• наследование поля ToS/DSCP для туннельного трафика;

• SLA-контроль в PBR.

1.2.10. Обеспечение мониторинга

Для обеспечения мониторинга ПАК “Фортикс” поддерживает:

• протокол SNMP v2/v3;

• трапы SNMP:

  • неуспешная попытка получения информации по snmp;

  • изменение статуса сетевого интерфейса;

• протокол NetFlow v5/v9/ipfix;

• протокол Syslog;

• запись дампов пакетов (tcpdump).

1.2.11. Сетевые сервисы

Для обеспечения функциональных возможностей сетевых сервисов ПАК “Фортикс” поддерживает:

• утилиты для диагностики сети (ping, arping, traceroute);

• утилиты для работы с DNS;

• DHCP-сервер/клиент;

• DHCP Relay;

• DNS-сервер;

• DNS resolver;

• DNS redirect;

• SSH-сервер/клиент;

• NTP-сервер/клиент;

• IPERF-сервер/клиент;

• TELNET-сервер/клиент;

• CURL-клиент (протоколы FTP,HTTP(s), TFTP и др.).

1.2.12. Управление

Для управления ПАК “Фортикс” предусмотрены:

• интерфейс командной строки;

• технология применения конфигурации (точки возврата к предыдущей успешно применённой конфигурации);

• импорт/экспорт и копирование конфигураций в виде файлов;

• доступ к командной строке по протоколу SSH;

• приём/отправка файлов по протоколу SCP;

• работа с конфигурацией по протоколу Netconf;

• ролевая модель (NACM);

• аутентификация учётных записей администраторов ПАК “Фортикс” по протоколу Radius;

• обновление системы средствами командной строки;

• установка нескольких версий ПО на одном ПАК;

• пробная загрузка при обновлении с возможностью автоматического возврата на резервную копию ПО;

• возврат на стабильную конфигурацию (временный коммит).

1.3. Уровень подготовки администратора

К администрированию ПАК “Фортикс” рекомендуется допуск лиц, прошедших специализированное обучение по его безопасной эксплуатации.

1.4. Перечень эксплуатационной документации, с которой необходимо ознакомиться администратору

Для обеспечения безопасной установки, настройки и работы ПАК “Фортикс” администратору необходимо ознакомиться с эксплуатационной документацией согласно следующему перечню:

• ПАК “Фортикс” Руководство администратора НВЦС.465651.001И3 (настоящий документ) (далее по тексту – руководство, руководство администратора);

• ПАК “Фортикс” Формуляр НВЦС.465651.001ФО (далее по тексту – формуляр);

• ПАК “Фортикс” Формуляр. Приложение А Спецификация поставки НВЦС.465651.001ФО1 (далее по тексту – спецификация поставки);

• СКЗИ “Фортикс” Формуляр ПБЦР.468269.003ФО (далее по тексту – формуляр СКЗИ);

• СКЗИ “Фортикс” Правила пользования ПБЦР.468269.003ПП (далее по тексту – правила пользования СКЗИ).