Koncepcja systemu

Budowa rozwiązania
Struktura logiczna rozwiązań phion netfence sintegra zbudowana jest z trzech warstw, z których każda ma swoje ściśle zdefiniowane zadania. Podział na logiczne warstwy ma bezpośrednie przełożenie na jego wydajność, funkcjonalność, możliwości administracyjne oraz bezpieczeństwo.
Pierwszą, podstawową warstwę stanowi tzw. BOX, na który składają się:

• dedykowane urządzenie sieciowe w 2 modelach o różnej wydajności,
• dedykowany system operacyjny (opisany w sekcji phionOS)
• jeden adres IP wykorzystywany do administracji

Kolejną warstwą jest SERVER zapewniający infrastrukturę sieciową dla pracujących na nim usług. Ostatnią, trzecią warstwę stanowią usługi (SERVICES), czyli firewall, serwer VPN, Mail Gateway, HTTP Proxy, DNS i inne.

phionOS
Firma phion AG dokonała modyfikacji jądra systemu linuksowego i zoptymalizowała go pod kątem jego pełnej zarządzalności oraz wymogów pod dodatkowe usługi, takie jak autorski silnik firewalla netfence, serwer VPN dla protokołów IPSec oraz autorskiego oprogramowania klienckiego phion entegra, HTTP Proxy, itd.
System operacyjny phionOS jest podstawą dla całej rodziny produktów netfence. W ten sposób każda brama na brzegu sieci firmowej staje się tzw. software appliance. Użytkownicy określają liczbę lub rodzaj dostępnych interfejsów sieciowych oraz wydajność i koszt platformy sprzętowej bazującej na architekturze Intel x86, na której zainstalowany zostanie phionOS ze swymi usługami. Instalacja rozwiązania netfence trwa poniżej 5 minut. Równie krótki jest czas przywrócenia pracy zapory sieciowej netfence po awarii samego urządzenia. Posiadając zachowany wcześniej plik konfiguracji, można przywrócić zaporę sieciową netfence do stanu sprzed awarii.

Firewall
Podstawową usługą rozwiązania phion netfence sintegra jest zapora sieciowa (tzw. firewall), której zadaniem jest blokowanie niepożądanego ruchu w sieci oraz zarządzanie ruchem. W zależności od reguł zdefiniowanych przez administratora na firewallu ruch sieciowy z określonych adresów lub podsieci może być w całości przepuszczany, w całości blokowany, blokowany tylko w określonych przedziałach czasowych lub też przekierowywany na inne adresy lub podsieci.
Firma phion zastosowała w swoim firewallu innowacyjną technologię Transparent Application Awareness, będącą kombinacją metody filtrowania pakietów (stateful packet filtering) oraz filtrowania aplikacji (application gateway).  W zależności od potrzeb phion netfence sintegra może pracować w trybie Application Controlled Packet Forwarding (ACPF) lub Transparent Application Proxy (tylko dla protokołu TCP).

VPN
Technologia prywatnych sieci wirtualnych (VPN) opracowana przez firmę phion AG pozwala przedsiębiorstwom zbudować efektywną infrastrukturę sieciową, zapewnić bezpieczeństwo sieciom bezprzewodowym (WLAN) przy wykorzystaniu technologii IPsec oraz zapewnić niezawodną komunikację z mobilnymi pracownikami.
Mechanizmy zintegrowane w systemie operacyjnym phionOS gwarantują, że ruch danych poprzez VPN jest także filtrowany po rozszyfrowaniu lub przed zaszyfrowaniem dla wszystkich połączeń przechodzących przez firewall. Pozwala to zaporom sieciowym phion netfence sintegra na wysoki poziom kontroli dostępu na końcach tunelu VPN oraz na wdrożenie jednolitej polityki bezpieczeństwa w całej sieci rozległej.
Elastyczne, godne zaufania i efektywne kosztowo globalne architektury VPN są dziś możliwe do stworzenia poprzez technologię tunelowania w systemach phion netfence sintegra w połączeniu z mechanizmami inteligentnego sterowania ruchem.

Traffic Inteligence (TI)
Traffic Inteligence pozwala na obsługę nadmiarowych łączy dostępowych do Internetu i mechanizmu zrównoważonego obciążenia (load balancing) na bazie protokołu IP poprzez więcej niż jednego dostawcę dostępu do Internetu. W połączeniu z funkcjonalnością serwera VPN i możliwościami zarządzania szerokością pasma, także wewnątrz tuneli VPN przez rozwiązanie phion netfence sintegra, przedsiębiorstwa mogą osiągnąć wysoki poziom bezpieczeństwa i oszczędności dla kosztów utrzymania infrastruktury sieciowej.

Branch Office Box (BOB)
Branch Office Box jest połączeniem funkcji ochrony zasobów i komunikacji (firewall/VPN), inteligentnego sterowania ruchem (Traffic Inteligence), technik przyśpieszenia działania aplikacji i optymalizacji ruchu w sieciach rozległych (WAN optimization). Dzięki temu technologie takie jak kompresja danych, sprzętowe wsparcie szyfrowania i optymalizacja działania aplikacji są teraz zintegrowane w jednym urządzeniu. Od wersji 4.2.6 moduł BOB jest integralną częścią zapory sieciowej phion netfence sintegra.

• rozwiązanie sprzętowe z zainstalowanym systemem zapory sieciowej phion netfence,
• przepustowość firewalla wynosi: 128 Mbps dla urządzeń sintegra XS oraz 172 Mbps dla urządzeń sintegra S,
• rozwiązanie łączy w sobie zaporę sieciową z inspekcją stanu pakietów (stateful inspection firewall), serwer VPN, system zapobiegania włamaniom (Intrusion Prevention System) oraz usługi dodatkowe, takie jak: serwer HTTP Proxy, serwer DHCP, serwer polityk bezpieczeństwa i Mail Gateway (dotyczy jedynie sintegra S),
• kompleksowa ochrona przed atakami typu DoS, DDoS, IP spoofing, SYN flooding, flood ping i innymi oraz przed skanowaniem portów i adresów,
• zapobieganie włamaniom poprzez bazującą na wzorcach analizę pakietów możliwą do zastosowania dla każdej reguły firewalla,
• możliwość pracy w pełni monitorowanym trybie bridge (transparentnym) lub routingu,
• obsługa NAT, PAT, proxy arp i sieci wirtualnych (VLAN) dla bezpiecznej integracji w ramach istniejącej infrastruktury sieciowej,
• obsługa protokołów VoIP – H.323, SIP, SCCP (skinny),
• możliwość pełnego zdalnego zarządzania firewallem, serwerem VPN oraz pozostałymi usługami z jednej graficznej konsoli administracyjnej (phion.a) pracującej pod systemem MS Windows,
• wbudowany analizator pakietów (sniffer), dający szczegółową możliwość śledzenia ruchu przechodzącego przez firewall,
• wbudowany tester reguł pozwalający na sprawdzenie poprawności i wyników działania tworzonych reguł przed ich aktywacją na firewallu,
• wbudowany w bramkę pocztową skaner antyspamowy (dotyczy jedynie sintegra S),
• możliwość integracji z systemem antywirusowym AVIRA AntiVir (lub innym poprzez ICAP) pozwalającym na skanowanie poczty przechodzącej przez bramkę pocztową (SMTP/POP3) oraz ruchu po protokołach HTTP i FTP (dotyczy jedynie sintegra S),
• możliwość integracji z klasyfikatorem stron internetowych ISS Proventia korzystającym z katalogu ponad 100 mln adresów URL pogrupowanych w ponad 60 kategoriach tematycznych,
• możliwość integracji z filtrem aplikacji P2P i komunikatorów internetowych firmy ipoque,
• generowanie lokalnych statystyk w czasie rzeczywistym netfence (z odświeżaniem co 10 sekund) dla usług systemu phion netfence (dotyczy jedynie sintegra S),
• możliwość budowy tuneli VPN w strukturze gwiaździstej z jednoczesnym zapewnieniem komunikacji pomiędzy wszystkimi lokalizacjami,
• obsługa mechanizmu multitransport VPN pozwalającego na tworzenie do 24 tuneli VPN pomiędzy tymi samymi lokalizacjami korzystających z różnych łączy, z opcją Master-Slave,
• możliwość nawiązywania połączeń VPN przechodzących przez serwer proxy HTTPS,
• możliwość zarządzania pasmem w ramach tunelu VPN i na każdym tunelu VPN  z osobna,
• możliwość kompresji danych przesyłanych w tunelach VPN site-2-site między firewallami netfence i w tunelach VPN client-2-site (tylko dla klienta phion netfence entegra Global) – Branch Office Box,
• możliwość sprzętowego wspomagania szyfrowania w tunelach VPN (dotyczy jedynie sintegra S) - Branch Office Box,
• automatyczna zmiana trasowania ruchu VPN w przypadku awarii tunelu VPN,
• dostępne centrum autoryzacji na lokalnym serwerze VPN,
• możliwość uwierzytelniania użytkowników za pomocą certyfikatów cyfrowych i/lub logowania,
• możliwość podłączenia zdalnych klientów poprzez tunele VPN client-server za pośrednictwem klienta VPN wyposażonego w personal firewall, którego ustawienia są kontrolowane centralnie przez administratora firewalla korporacyjnego (phion netfence entegra Global),
• możliwość kontroli dostępu do sieci firmowej (implementacja NAP/NAC), która pozwala na zabezpieczenie końcówek klienckich zarówno w granicach sieci firmowej, jak i poza nią (phion netfence entegra),
• możliwość scentralizowanego zarządzania politykami bezpieczeństwa i ich dystrybucją do końcówek klienckich,
• nowatorska technologia Traffic Inteligence (TI):
  • obsługa kilku łączy internetowych równocześnie, w tym policy i multipath routing,
  • automatyczne przekierowanie ruchu na łącze zapasowe w przypadku awarii łącza głównego,
  • możliwość zaprogramowania zapory sieciowej netfence tak, aby mechanizm TI wybierał konkretnego dostawcę dla konkretnych usług systemu netfence, grup użytkowników lub wybierał połączenie najkorzystniejsze ze względu na koszty,
• możliwość podziału łącza w oparciu o wirtualne drzewa decyzyjne dla każdego z użytkowników z osobna lub dla grup użytkowników oraz możliwość ustawiania priorytetów (Traffic Shapping),
• możliwość integracji z opcjonalnym modulem systemu centralnego zarządzania (Management Centre),
• możliwość zarządzania systemem przez większa liczbę administratorów o określonych uprawnieniach,
• możliwość integracji z opcjonalnym modułem routera SAP – PPsapRIS,
• możliwość obsługi wybranych kart UMTS/EDGE/HSDPA,
• możliwość obsługi klastra High Availability z możliwością pracy w trybie Active-Pasive (Master-Slave),
• wbudowany system przywracania systemu – Secure Disaster Recovery,
• czas pełnej instalacji lub odtworzenia systemu netfence po awarii sprzętu wynosi do 5 minut,
• wbudowane 4 interfejsy 10/100 Mbps;
• certyfikacja ISO 15408/Common Criteria na poziomie EAL 4+ dla firewalla phion netfence przeprowadzona przez Federalne Biuro ds. Bezpieczeństwa Informacji (BSI) w Niemczech,
• certyfikacja zgodności ze standardem IPSec (VPNC Basic & AES Interop certified) przeprowadzona przez konsorcjum dostawców rozwiązań VPN,
• pomoc techniczna oraz opcjonalne szkolenia z produktu, prowadzone przez certyfikowanego przez producenta trenera. Usługi te są świadczone w języku polskim.

Modele

Urządzenia phion netfence sintegra dostępne są w 3 modelach. Urządzenie netfence sintegra XS posiadają niższą wydajność i ograniczoną funkcjonalność w porównaniu do urządzeń netfence sintegra S. Ponadto rozwiązanie sintegra XS dostępne jest jedynie w obudowie wolnostojącej (desktop), natomiast rozwiązanie sintegra S dostępne jest w 2 rodzajach obudów: wolnostojącej i stelażowej (do zabudowy w szafie 19”). Szczegóły przedstawia poniższa tabela.

opcjonalnie – istnieje możliwość dokupienia danej funkcjonalności/modułu

* korzystanie z proxy i modułów ochrony treści w modelu sintegra XS wymaga zakupu urządzenia z 1 GB pamięci RAM
** przy zakupie skanera antywirusowego dodawane bezpłatnie (dotyczy sintegra S)
*** klienty VPN/entegra są opcjonalne do dokupienia, ich dopuszczalną ilość ogranicza jedynie wydajność urządzeń
**** certyfikacja CC EAL 4+ dotyczy oprogramowania phion netfence firewall