Aktualne wersje:

Informator dla:

phion netfence edge - ochrona mikrooddziałów w dużych organizacjach
phion netfence edge jest rozwiązaniem sprzętowym, które zostało zaprojektowane w celu zapewnienia ochrony zasobów i komunikacji dla bardzo małych oddziałów lub biur terenowych. Takie lokalizacje mogą być łatwo i przy niskim koszcie inwestycji zintegrowane z istniejącą infrastrukturą sieciową, zapewniając ten sam wysoki poziom ochrony dla całej sieci rozproszonej w organizacji.

Koncepcja systemu

Budowa rozwiązania
Struktura logiczna rozwiązań phion netfence edge zbudowana jest z trzech warstw, z których każda ma swoje ściśle zdefiniowane zadania. Podział na logiczne warstwy ma bezpośrednie przełożenie na jego wydajność, funkcjonalność, możliwości administracyjne oraz bezpieczeństwo.
Pierwszą, podstawową warstwę stanowi tzw. BOX, na który składają się:
  • dedykowane urządzenie sieciowe,
  • dedykowany system operacyjny (opisany w sekcji phionOS)
  • jeden adres IP wykorzystywany do administracji
Kolejną warstwą jest SERVER zapewniający infrastrukturę sieciową dla pracujących na nim usług. Ostatnią, trzecią warstwę stanowią usługi (SERVICES), czyli firewall, serwer VPN, Mail Gateway, HTTP Proxy, DNS i inne.

phionOS
Firma phion AG dokonała modyfikacji jądra systemu linuksowego i zoptymalizowała go pod kątem jego pełnej zarządzalności oraz wymogów pod dodatkowe usługi, takie jak autorski silnik firewalla netfence, serwer VPN dla protokołów IPSec oraz autorskiego oprogramowania klienckiego phion entegra, HTTP Proxy, itd.
System operacyjny phionOS jest podstawą dla całej rodziny produktów netfence. W ten sposób każda brama na brzegu sieci firmowej staje się tzw. software appliance. Użytkownicy określają liczbę lub rodzaj dostępnych interfejsów sieciowych oraz wydajność i koszt platformy sprzętowej bazującej na architekturze Intel x86, na której zainstalowany zostanie phionOS ze swymi usługami. Instalacja rozwiązania netfence trwa poniżej 5 minut. Równie krótki jest czas przywrócenia pracy zapory sieciowej netfence po awarii samego urządzenia. Posiadając zachowany wcześniej plik konfiguracji, można przywrócić zaporę sieciową netfence do stanu sprzed awarii.

Firewall
Podstawową usługą rozwiązania phion netfence edge jest zapora sieciowa (tzw. firewall), której zadaniem jest blokowanie niepożądanego ruchu w sieci oraz zarządzanie ruchem. W zależności od reguł zdefiniowanych przez administratora na firewallu ruch sieciowy z określonych adresów lub podsieci może być w całości przepuszczany, w całości blokowany, blokowany tylko w określonych przedziałach czasowych lub też przekierowywany na inne adresy lub podsieci.
Firma phion zastosowała w swoim firewallu innowacyjną technologię Transparent Application Awareness, będącą kombinacją metody filtrowania pakietów (stateful packet filtering) oraz filtrowania aplikacji (application gateway).  W zależności od potrzeb phion netfence edge może pracować w trybie Application Controlled Packet Forwarding (ACPF) lub Transparent Application Proxy (tylko dla protokołu TCP).

VPN
Technologia prywatnych sieci wirtualnych (VPN) opracowana przez firmę phion AG pozwala przedsiębiorstwom zbudować efektywną infrastrukturę sieciową, zapewnić bezpieczeństwo sieciom bezprzewodowym (WLAN) przy wykorzystaniu technologii IPsec oraz zapewnić niezawodną komunikację z mobilnymi pracownikami.
Mechanizmy zintegrowane w systemie operacyjnym phionOS gwarantują, że ruch danych poprzez VPN jest także filtrowany po rozszyfrowaniu lub przed zaszyfrowaniem dla wszystkich połączeń przechodzących przez firewall. Pozwala to zaporze sieciowej phion netfence edge na wysoki poziom kontroli dostępu na końcach tunelu VPN oraz na wdrożenie jednolitej polityki bezpieczeństwa w całej sieci rozległej.
Elastyczne, godne zaufania i efektywne kosztowo globalne architektury VPN są dziś możliwe do stworzenia poprzez technologię tunelowania w systemie phion netfence edge w połączeniu z mechanizmami inteligentnego sterowania ruchem.

Traffic Inteligence (TI)
Traffic Inteligence pozwala na obsługę nadmiarowych łączy dostępowych do Internetu i mechanizmu zrównoważonego obciążenia (load balancing) na bazie protokołu IP poprzez więcej niż jednego dostawcę dostępu do Internetu. W połączeniu z funkcjonalnością serwera VPN i możliwościami zarządzania szerokością pasma, także wewnątrz tuneli VPN przez rozwiązanie phion netfence edge, przedsiębiorstwa mogą osiągnąć wysoki poziom bezpieczeństwa i oszczędności dla kosztów utrzymania infrastruktury sieciowej.

Branch Office Box (BOB)
Branch Office Box jest połączeniem funkcji ochrony zasobów i komunikacji (firewall/VPN), inteligentnego sterowania ruchem (Traffic Inteligence), technik przyśpieszenia działania aplikacji i optymalizacji ruchu w sieciach rozległych (WAN optimization). Dzięki temu technologie takie jak kompresja danych, sprzętowe wsparcie szyfrowania i optymalizacja działania aplikacji są teraz zintegrowane w jednym urządzeniu. Od wersji 4.2.6 moduł BOB jest integralną częścią zapory sieciowej phion netfence edge.

Secure Disaster Recovery (SDR)
System bezpiecznego przywracania zapory phion netfence do pracy po awarii sprzętu. Jest to system niezależny od oprogramowania phion netfence i posiada własny system operacyjny DOMOS-SDR, który zainstalowany jest na dedykowanym chipsecie. Dzięki temu nawet w przypadku awarii dysku twardego i jego wymiany możliwe jest bardzo szybkie uruchomienie zapory sieciowej phion netfence z pełną konfiguracją sprzed awarii. Wymogiem koniecznym jest posiadanie zapisanego pliku konfiguracji (backup konfiguracji może być tworzony automatycznie).
Funkcja SDR jest dostępna jedynie dla rozwiązań sprzętowych phion netfence edge, sintegra i urządzeń sieciowych phion (S, SR, E, L, XL). Urządzenia wyposażone w system SDR wymagają specjalnej pamięci USB SDR Stick (dostarczanej wraz urządzeniem), na której zachowywana jest jedna lub wiele konfiguracji, które pozwalają na szybką instalację lub zmianę oprogramowania phion netfence (upgrade lub zmiana licencji oprogramowania).

Funkcje

  • rozwiązanie sprzętowe z zainstalowanym systemem zapory sieciowej phion netfence,
  • przepustowość firewalla wynosi 136 Mbps,
  • rozwiązanie łączy w sobie zaporę sieciową z inspekcją stanu pakietów (stateful inspection firewall), serwer VPN (ograniczenie do 5 jednoczesnych tuneli VPN), system zapobiegania włamaniom (Intrusion Prevention System) i serwer DHCP,
  • kompleksowa ochrona przed atakami typu DoS, DDoS, IP spoofing, SYN flooding, flood ping i innymi oraz przed skanowaniem portów i adresów,
  • zapobieganie włamaniom poprzez bazującą na wzorcach analizę pakietów możliwą do zastosowania dla każdej reguły firewalla,
  • możliwość pracy w pełni monitorowanym trybie bridge (transparentnym) lub routingu,
  • obsługa NAT, PAT, proxy arp i sieci wirtualnych (VLAN) dla bezpiecznej integracji w ramach istniejącej infrastruktury sieciowej,
  • obsługa protokołów VoIP – H.323, SIP, SCCP (skinny),
  • możliwość pełnego zdalnego zarządzania firewallem, serwerem VPN oraz pozostałymi usługami z jednej graficznej konsoli administracyjnej (phion.a) pracującej pod systemem MS Windows,
  • możliwość podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe połączenia,
  • możliwość definiowania tzw. reguł dynamicznych na firewallu, automatycznie wyłączających się po ustalonym czasie,
  • wbudowany analizator pakietów (sniffer), dający szczegółową możliwość śledzenia ruchu przechodzącego przez firewall,
  • wbudowany tester reguł pozwalający na sprawdzenie poprawności i wyników działania tworzonych reguł przed ich aktywacją na firewallu,
  • możliwość integracji z filtrem aplikacji P2P i komunikatorów internetowych firmy ipoque,
  • możliwość budowy tuneli VPN w strukturze gwiaździstej z jednoczesnym zapewnieniem komunikacji pomiędzy wszystkimi lokalizacjami (wymaga phion netfence Management Centre),
  • możliwość nawiązywania połączeń VPN przechodzących przez serwer proxy HTTPS,
  • możliwość zarządzania pasmem w ramach tunelu VPN i na każdym tunelu VPN z osobna,
  • automatyczna zmiana trasowania ruchu VPN w przypadku awarii tunelu VPN,
  • dostępne centrum autoryzacji na lokalnym serwerze VPN,
  • możliwość uwierzytelniania użytkowników za pomocą certyfikatów cyfrowych i/lub logowania,
  • możliwość kontroli dostępu do sieci firmowej (implementacja NAP/NAC), która pozwala na zabezpieczenie końcówek klienckich (netfence entegra Office) – ograniczenie do 5 klientów,
  • nowatorska technologia Traffic Inteligence (TI):
    • obsługa kilku łączy internetowych równocześnie, w tym policy i multipath routing,
    • automatyczne przekierowanie ruchu na łącze zapasowe w przypadku awarii łącza głównego,
    • możliwość zaprogramowania zapory sieciowej netfence tak, aby mechanizm TI wybierał konkretnego dostawcę dla konkretnych usług systemu netfence, grup użytkowników lub wybierał połączenie najkorzystniejsze ze względu na koszty,
  • możliwość podziału łącza w oparciu o wirtualne drzewa decyzyjne dla każdego z użytkowników z osobna lub dla grup użytkowników oraz możliwość ustawiania priorytetów (Traffic Shapping),
  • zarządzanie za pośrednictwem systemu centralnego zarządzania phion netfence Management Centre,
  • możliwość zarządzania systemem przez większa liczbę administratorów o określonych uprawnieniach,
  • czas pełnej instalacji lub odtworzenia systemu netfence po awarii sprzętu wynosi do 5 minut,
  • wbudowane 4 interfejsy 10/100 Mbps;
  • certyfikacja ISO 15408/Common Criteria na poziomie EAL 4+ dla firewalla phion netfence przeprowadzona przez Federalne Biuro ds. Bezpieczeństwa Informacji (BSI) w Niemczech,
  • certyfikacja zgodności ze standardem IPSec (VPNC Basic & AES Interop certified) przeprowadzona przez konsorcjum dostawców rozwiązań VPN,
  • pomoc techniczna oraz opcjonalne szkolenia z produktu, prowadzone przez certyfikowanego przez producenta trenera. Usługi te są świadczone w języku polskim.

Modele

phion netfence edge dostępny jest w jednym modelu, który posiada licencję na nieograniczoną liczbę adresów IP.

Szczegóły funkcjonalności i parametry techniczne urządzenia netfence edge przedstawia poniższa tabela.

Moduł netfence edge rev.B
Ochrona sieci firmowej Firewall nieograniczona liczba adresów IP
System IPS tak
DHCP relay tak
VPN server tak *
Ochrona treści HTTP proxy
Filtr adresów URL
Bramka pocztowa
Filtr antyspamowy
Bramka FTP
SSH proxy
Skaner antywirusowy
Filtr P2P, Skype, IM opcjonalnie **
Secure Web Proxy
Ochrona końcówek klienckich Serwer polityk bezpieczeństwa *** tak
Liczba obsługiwanych klientów VPN (max) 0
Liczba obsługiwanych klientów entegra office (max) ****
 10
Ochrona infrastruktury DNS server
DHCP server tak
Ochrona systemu
operacyjnego		 phionOS tak
Monitorowanie w
czasie rzeczywistym
SNMP tak
OSPF / RIP
Centralne zarządzanie opcjonalnie
Przepustowość firewalla 136 Mbps
Przepustowość bramy VPN (AES-128) 80 Mbps
Procesor VIA Eden 400 MHz
Pamięć RAM 256 MB
Dysk twardy brak, karta CF 4 GB
Interfejsy 4 x 10/100 RJ45, USB, port konsoli RJ45
Obudowa desktop
Zasilanie zewnętrzne 40W
Certyfikaty, normy CE,FCC Class B, RoHS,
CC EAL4+ (ISO 15048) *****
Gwarancja 1 rok, z możliwością rozszerzenia do 5 lat

opcjonalnie – istnieje możliwość dokupienia danej funkcjonalności/modułu

* tunele site-to-site z technologią Traffic Inteligence, brak obsługi tuneli client-to-site
** maksymalnie dla 10 użytkowników
*** pełna funkcjonalność dostępna jedynie z klientami entegra office
**** klienty entegra są opcjonalne do dokupienia
***** certyfikacja CC EAL 4+ dotyczy oprogramowania netfence firewall