alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

NGFW

Browse Source
This commit is contained in:
Aleksandr Anisin
2026-04-20 12:54:33 +03:00
parent ea42afac3e
commit 3c402cfa73
8 changed files with 93 additions and 90 deletions
Download Patch File Download Diff File Expand all files Collapse all files
src/security/Cloud-NGFW-Pro/NGFW-Pro-index.md
+14 -14
View File
@@ -1,26 +1,26 @@
---
section_links:
- title:
- title: Обзор сервиса
link: /security/Cloud-NGFW-Pro/about.md
description: Обзор сервиса
- title:
description:
- title: Состав сервиса
link: /security/Cloud-NGFW-Pro/compound.md
description: Состав сервиса
- title:
description:
- title: Структура платежей
link: /security/Cloud-NGFW-Pro/payment-structure.md
description: Структура платежей
- title:
description:
- title: Основные возможности
link: /security/Cloud-NGFW-Pro/possibilities.md
description: Основные возможности
- title:
description:
- title: Сроки и условия предоставления сервиса. Зоны ответственности
link: /security/Cloud-NGFW-Pro/provision.md
description: Сроки и условия предоставления сервиса. Зоны ответственности
- title:
description:
- title: Спецификация сервиса
link: /security/Cloud-NGFW-Pro/specification.md
description: Спецификация сервиса
- title:
description:
- title: Демодоступ к сервису
link: /security/Cloud-NGFW-Pro/demo-access.md
description: Демодоступ к сервису
description:
---
# Сервис Cloud NGFW Pro
src/security/Cloud-NGFW-Pro/about.md
+4 -4
View File
@@ -2,7 +2,7 @@
## Назначение сервиса
Сервис **Cloud NGWF Pro** (Next-Generation Firewall, межсетевой экран следующего поколения) — межсетевой экран для исследования и фильтрации трафика. Экран интегрирован с функцией IDS и потоковым антивирусом. Сервис построен на базе решения компании Sangfor NGAF. Сервис размещен на базе четырёх дата-центров Beeline Cloud в отказоустойчивой конфигурации.
Сервис **Cloud NGFW Pro** (Next-Generation Firewall) — межсетевой экран (МСЭ) для исследования и фильтрации трафика. Экран интегрирован с функцией IDS и потоковым антивирусом. Сервис построен на базе решения компании Sangfor NGAF и размещен на базе четырех дата-центров Beeline Cloud в отказоустойчивой конфигурации.
Доступен выбор одного или нескольких вариантов предоставления сервиса, отличающихся по:
@@ -12,7 +12,7 @@
- vmAF08.
- типу подписки:
- Essential Bundle;
- Premium Bundle;
- вариантам администрирования сервиса:
- Premium Bundle.
- вариантам администрирования:
- Self Service;
- Managed Service.
- Managed Service.
src/security/Cloud-NGFW-Pro/compound.md
+5 -5
View File
@@ -1,13 +1,13 @@
# Состав сервиса
Сервис **Cloud NGFW Pro** — виртуальная инфраструктура, размещённая на базе мощностей облака Beeline Cloud с предоставлением доступа к консоли администратора Cloud NGFW Pro заказчику. Beeline Cloud отвечает за работоспособность инфраструктуры и слой виртуализации.
Сервис **Cloud NGFW Pro** — виртуальная инфраструктура, размещенная на базе мощностей облака Beeline Cloud с предоставлением доступа к консоли администратора Cloud NGFW Pro заказчику. Beeline Cloud отвечает за работоспособность инфраструктуры и слой виртуализации.
Сервис доступен в двух вариантах:
- Managed Servise;
- Managed Service;
- Self Service.
Отличия зон ответственности в зависимости от вариантов предоставления сервиса:
Отличия зон ответственности в зависимости от варианта предоставления сервиса:
| | Self Service | Managed Service |
|----------------------------------------------------------|--------------------|--------------------|
@@ -23,7 +23,7 @@
## Обеспечение безопасности
Сервис для обеспечения безопасности использует следующие технологии и программно-аппаратные комплексы:
Для обеспечения безопасности сервис использует следующие технологии и программно-аппаратные комплексы:
- Контроль доступа:
- межсетевые экраны;
@@ -33,4 +33,4 @@
- круглосуточному видеонаблюдению;
- круглосуточной охране.
- Сохранность данных и отказоустойчивость:
- Отказоустойчивые инфраструктурные решения с дублированием компонентов.
- отказоустойчивые инфраструктурные решения с дублированием компонентов.
src/security/Cloud-NGFW-Pro/demo-access.md
+22 -21
View File
@@ -2,17 +2,17 @@
## Назначение демодоступа
В **Cloud NGFW Pro** предусмотрен демодоступ, который используется для:
В **Cloud NGFW Pro** предусмотрен демодоступ для:
- демонстрации работы,
- оценки и тестирования,
- демонстрации работы;
- оценки и тестирования;
- принятия решения об использовании сервиса.
Сообщите аккаунт-менеджеру Beeline Cloud о:
Сообщите аккаунт-менеджеру Beeline Cloud:
- желании получения,
- варианте предоставления,
- сроке начала предоставления доступа.
- о желании получить демодоступ;
- о предпочтительном варианте предоставления;
- о желаемой дате начала.
## Период предоставления демодоступа
@@ -20,41 +20,42 @@
## Варианты предоставления демодоступа
Предусмотрено несколько вариантов:
Предусмотрено два варианта:
1. **Демостраница сервиса для ознакомления** с:
- интерфейсом;
- возможностях платформы;
- базовом и расширенном функционале.
- интерфейсом;
- возможностями платформы;
- базовым и расширенным функционалом.
::: warning Примечание
На демостенде нет эмулирования продуктивной среды.
На демостенде нет эмуляции продуктивной среды.
:::
:::
Демостраница находится в публичном доступе.
2. **Подключение сервиса заказчику** на:
- площадке заказчика в формате On Premise;
- мощностях сторонних облачных провайдеров;
- облаке Beeline Cloud.
1. **Подключение сервиса заказчику** на:
- площадке заказчика в формате On Premise;
- мощностях сторонних облачных провайдеров;
- облаке Beeline Cloud.
::: warning Примечание
Предусмотрено эмулирование продуктивной среды. Продуктивную инсталляцию можно перевести в коммерческое использование без повторного развертывания и запуска сервиса
Предусмотрена эмуляция продуктивной среды. Продуктивную инсталляцию можно перевести в коммерческое использование без повторного развертывания и запуска сервиса.
:::
## Обратная связь по итогам демодоступа
По окончании демодоступа вы можете предоставить Beeline Cloud обратную связь, включающую:
По окончании демодоступа вы можете передать Beeline Cloud обратную связь:
- результаты оценки и тестирования;
- выводы, замечания и пожелания по работе сервиса.
::: warning Важно
- Предоставленная обратная связь является конфиденциальной;
- Предоставленная обратная связь является конфиденциальной.
- Передача третьим лицам без согласия Beeline Cloud не допускается.
:::
:::
src/security/Cloud-NGFW-Pro/payment-structure.md
+4 -2
View File
@@ -1,5 +1,7 @@
# Структура платежей
**Cloud NGFW Pro** тарифицируется по модели **фиксированного ежемесячного платежа**. Плата начисляется в день подключения сервиса, далее — первого числа каждого месяца.
**Cloud NGFW Pro** тарифицируется по модели **фиксированного ежемесячного платежа**. Плата начисляется в день подключения сервиса, далее — первого числа каждого месяца.
Beeline Cloud вправе изменять тарифы в одностороннем порядке, в том числе при изменении цен со стороны поставщиков. Об изменениях Beeline Cloud уведомляет заказчика не менее чем за 30 дней до вступления их в силу. Использование сервиса начинается с даты подписания акта приёма-передачи.
Beeline Cloud вправе изменять тарифы в одностороннем порядке, в том числе при изменении цен со стороны поставщиков. Об изменениях Beeline Cloud уведомляет заказчика не менее чем за 30 дней до вступления их в силу.
Использование сервиса начинается с даты подписания акта приема-передачи.
src/security/Cloud-NGFW-Pro/possibilities.md
+27 -27
View File
@@ -1,6 +1,6 @@
# Основные возможности
Сервис **Cloud NGFW Pro** имеет функциональные особенности классического NGFW. Также сервис поддерживает:
**Cloud NGFW Pro** поддерживает функциональные особенности классического NGFW, а также:
- статическую и динамическую маршрутизацию:
- OSPF;
@@ -17,46 +17,46 @@
## Типы подписок на сервис
Доступно два типа подписки на сервис:
Доступно два типа подписки:
1. Essential Bundle;
1. Essential Bundle.
2. Premium Bundle.
#### 1. Функциональные возможности Essential Bundle
## Функциональные возможности Essential Bundle
|Возможность | Описание |
|-------------------------------------------------|-------------------------------------------------------------------------------------------------------------------------------|
|Система обнаружения вторжений (IPS) | Защитное решение, предназначенное для обнаружения потенциально опасных активностей в сети или на отдельном устройстве. Решение уведомляет об угрозах специалистов информационной безопасности.|
|Firewall | Межсетевое экранирование между различными зонами и сегментами сети (ACL). |
|URL фильтрация | Технология URL-фильтрации ограничивает доступ пользователей к определенным URL-адресам или web-сайтам, которые могут быть потенциально опасными. Используются:<br>- чёрные и белые списки;<br>- фильтрация по ключевым словам.|
|Доступ к внутренним ресурсам через SSL VPN Portal| Веб-портал предоставляет доступ к:<br>- внутренним веб-ресурсам;<br>- терминальным и ssh-серверам компании для удаленных или мобильных пользователей.<br>**Портал использует только протокол HTTPS.**|
|Risk Assessment (Оценка рисков) | - Сканирование открытых портов, системных уязвимостей и слабых паролей в системе безопасности;<br>- Обнаружение уязвимостей в режиме реального времени;<br>- Защита от атак нулевого дня.|
|Центр отчетов (Security Visibility and Reporting)| - Полная видимость сети, конечных точек и бизнес-серверов с анализом рисков, уязвимостей, атак, угроз и поведения;<br>- Анализ угроз по от конкретной атаки по описанию, цели и решению;<br>- Поддержка визуализации cyber kill chain;<br>- Автоматическая отправка отчетов на ежедневной, еженедельной и ежемесячной основе.
|Идентификация пользователей | - Идентификация пользователей по имени и паролю, IP-адресу, MAC-адресу, привязке IP/MAC, имени хоста;<br>- Интеграция единого входа с доменом AD, прокси-сервером, POP3 и WEB;<br>- Возможность подключения сервиса MFA.|
|WAF (Web Application Firewall) | - Предотвращение веб-атак:<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;- Поддержка механизма семантического обнаружения на основе SNORT для защиты от 10 основных веб-атак, выявленных службой безопасности приложений OpenWeb (OWASP);<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;- Предоставление выделенной и не смешанной с IP-адресами веб-базы данных сигнатур атак;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;- Поддержка пользовательских правил WAF.<br>- Проактивная защита автоматического изучения параметров;<br>- Сокрытие конфиденциальной информации приложений для избежания целевых атак с использованием информации обратной связи от приложений;<br>- Защита паролем от атак методом перебора паролем;<br>- Ограничение загрузки файлов из чёрного списка;<br>- Защита от атак переполнения буфера обмена;<br>- Анализ аномалий полей протокола HTTP;<br>- Вторичная аутентификация для доступа к серверу.|
|Виртуальная частная сеть (VPN) | **Cloud NGFW Pro** позволяет использовать VPN для удаленного подключения устройств и создания защищенных туннелей между серверами. Функционал объединяет географически распределённые офисы в единую логическую сеть, сокращая и упрощая применение единых настроек безопасности в сети филиалов.|
| Возможность | Описание |
| ------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Система обнаружения вторжений (IPS) | Защитное решение для обнаружения потенциально опасных активностей в сети или на отдельном устройстве. Уведомляет специалистов информационной безопасности об угрозах. |
| Firewall | Межсетевое экранирование между различными зонами и сегментами сети (ACL). |
| URL фильтрация | Ограничивает доступ пользователей к определенным URL-адресам или веб-сайтам, которые могут быть потенциально опасными. Используются:<br>- черные и белые списки;<br>- фильтрация по ключевым словам. |
| Доступ к внутренним ресурсам через SSL VPN Portal | Веб-портал предоставляет доступ к:<br>- внутренним веб-ресурсам;<br>- терминальным и SSH-серверам компании для удаленных или мобильных пользователей.<br>**Портал использует только протокол HTTPS.** |
| Risk Assessment (Оценка рисков) | - Сканирование открытых портов, системных уязвимостей и слабых паролей;<br>- Обнаружение уязвимостей в режиме реального времени;<br>- Защита от атак нулевого дня. |
| Центр отчетов (Security Visibility and Reporting) | - Полная видимость сети, конечных точек и бизнес-серверов с анализом рисков, уязвимостей, атак, угроз и поведения;<br>- Анализ угроз по конкретной атаке по описанию, цели и решению;<br>- Поддержка визуализации cyber kill chain;<br>- Автоматическая отправка отчетов ежедневно, еженедельно и ежемесячно. |
| Идентификация пользователей | - Идентификация по имени и паролю, IP-адресу, MAC-адресу, привязке IP/MAC, имени хоста;<br>- Интеграция единого входа с доменом AD, прокси-сервером, POP3 и WEB;<br>- Возможность подключения MFA. |
| WAF (Web Application Firewall) | - Предотвращение веб-атак:<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;- Поддержка механизма семантического обнаружения на основе SNORT для защиты от 10 основных веб-атак OWASP;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;- Выделенная веб-база данных сигнатур атак (не смешанная с IP-адресами);<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;- Поддержка пользовательских правил WAF.<br>- Проактивная защита с автоматическим изучением параметров;<br>- Сокрытие конфиденциальной информации приложений для защиты от целевых атак;<br>- Защита паролем от атак методом перебора;<br>- Ограничение загрузки файлов из черного списка;<br>- Защита от атак переполнения буфера;<br>- Анализ аномалий полей протокола HTTP;<br>- Вторичная аутентификация для доступа к серверу. |
| Виртуальная частная сеть (VPN) | **Cloud NGFW Pro** позволяет использовать VPN для удаленного подключения устройств и создания защищенных туннелей между серверами. Функционал объединяет географически распределенные офисы в единую логическую сеть и упрощает применение единых настроек безопасности в сети филиалов. |
#### 2. Функциональные возможности Premium Bundle
## Функциональные возможности Premium Bundle
|Возможность |Комментарий |
|-----------------------------------------|-------------------------------------------------------------------------------------------------------------------------------------|
|Engine Zero |Механизм обнаружения вредоносных программ, основанный на наборе технологий искусственного интеллекта. |
|Deep Learning |Обеспечивает защиту от DoS-атак, в том числе ограничивая максимальное число соединений на одного пользователя. |
|ZSand |Технология, предназначенная для обнаружения ранее неизвестных вредоносных программ:<br>- исследует подозрительные программы в безопасной и контролируемой среде;<br>- отслеживает поведение подозрительных программ для будущего распознавания и предотвращения. |
|Botnet Detection<br>(Отслеживание ботов) |Технология, использующая расширенный анализ потока, визуальные вычисления и deep learning для выявления ботнетов. |
|Engine Zero |Механизм обнаружения вредоносных программ на основе технологий искусственного интеллекта. |
|Deep Learning |Защита от DoS-атак, в том числе ограничение максимального числа соединений на одного пользователя. |
|ZSand |Технология для обнаружения ранее неизвестных вредоносных программ:<br>- исследует подозрительные программы в безопасной и контролируемой среде;<br>- отслеживает поведение подозрительных программ для будущего распознавания и предотвращения. |
|Botnet Detection<br>(Отслеживание ботов) |Технология на основе расширенного анализа потока, визуальных вычислений и deep learning для выявления ботнетов. |
|Аналитика угроз |Систематизированная, проанализированная и уточненная информация, которая позволяет организациям понимать, оценивать и предотвращать киберриски из внешних источников. |
### Подключение удалённых пользователей SSL VPN
## Подключение удаленных пользователей SSL VPN
Подключение удалённых пользователей к корпоративным ресурсам компании использует технологию SSL VPN. Подписки Essential Bundle и Premium Bundle включают возможность подключения 30 удалённых пользователей. Для подключения дополнительных удалённых пользователей приобретите отдельные лицензии на подключение.
Подписки Essential Bundle и Premium Bundle включают возможность подключения 30 удаленных пользователей. Для подключения дополнительных пользователей приобретите отдельные лицензии.
::: warning Примечание
Минимальное количество докупаемых лицензий — 25.
:::
Стоимость одной лицензии зависит от количества приобретаемых. Зависимость стоимости лицензий SSL VPN от приобретаемого количества пользователей:
Стоимость одной лицензии зависит от количества приобретаемых. Ценовые диапазоны по количеству пользователей:
- 25-49;
- 50-99;
- 100-199;
- 200-399.
- 2549;
- 5099;
- 100199;
- 200399.
src/security/Cloud-NGFW-Pro/provision.md
+8 -8
View File
@@ -5,7 +5,7 @@
### Заказчик
1. Заполните опросный лист и подпишите бланк заказа (БЗ) на предоставление сервиса **Cloud NGFW Pro**.
2. Отправьте отсканированную копию подписанного БЗ на e-mail `presales@datafort.ru` и корпоративный e-mail адрес менеджера по продажам Beeline Cloud, указанный в заказе.
2. Отправьте отсканированную копию подписанного БЗ на e-mail `presales@datafort.ru` и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе.
3. Оригинал БЗ направьте в Beeline Cloud в установленном договором порядке.
### Beeline Cloud
@@ -20,22 +20,22 @@
## Прием запросов от заказчика
Для обеспечения информационной безопасности Beeline Cloud принимает запросы на изменение конфигурации и инциденты по работоспособности сервиса только от уполномоченных лиц заказчика. Список таких лиц должен быть передан в Б3 (или иной канал взаимодействия, установленный договором). Если конечный пользователь обращается в службу поддержки напрямую, он получает рекомендацию направить запрос через уполномоченное лицо.
Для обеспечения информационной безопасности Beeline Cloud принимает запросы на изменение конфигурации и инциденты по работоспособности сервиса только от уполномоченных лиц заказчика. Список таких лиц должен быть передан в БЗ (или иной канал взаимодействия, установленный договором). Если конечный пользователь обращается в службу поддержки напрямую, он получает рекомендацию направить запрос через уполномоченное лицо.
## Зона ответственности заказчика
Заказчик:
- Настройте у себя сервис в соответствии с указанным в БЗ вариантом и предоставленной Beeline Cloud инструкцией.
- Настройте сервис в соответствии с вариантом, указанным в БЗ, и инструкцией Beeline Cloud.
- В случае выбора варианта **Managed Service**:
- сообщите Beeline Cloud конфигурацию установленного **Firewall** при наличии и получите сетевые параметры для настройки VPN;
- уажите параметры на сетевом оборудовании;
- запрасите доступ на чтение конфигурации **Cloud NGFW Pro**.
- укажите параметры на сетевом оборудовании;
- запросите доступ на чтение конфигурации **Cloud NGFW Pro**.
Beeline Cloud меняет конфигурацию **Cloud NGFW Pro**, если выбран вариант **Managed Service**. Заказчику необходимо направить письмо на адрес `servicedesk@datafort.ru` с описанием изменений.
Beeline Cloud меняет конфигурацию **Cloud NGFW Pro**, если выбран вариант **Managed Service**. Для изменений направьте письмо на адрес `servicedesk@datafort.ru` с описанием изменений.
Заказчик самостоятельно обеспечивает сохранность своих данных, в том числе при отказе от сервиса или изменении его параметров. После окончания периода предоставления **Cloud NGFW Pro** доступ к ресурсам прекращается. В течение **трёх рабочих дней** данные удаляются без возможности восстановления.
Заказчик самостоятельно обеспечивает сохранность своих данных, в том числе при отказе от сервиса или изменении его параметров. После окончания периода предоставления **Cloud NGFW Pro** доступ к ресурсам прекращается. В течение **трех рабочих дней** данные удаляются без возможности восстановления.
## Зона ответственности Beeline Cloud
Beeline Cloud обеспечивает работоспособность сервиса в соответствии с условиями договора.
Beeline Cloud обеспечивает работоспособность сервиса в соответствии с условиями договора.
src/security/Cloud-NGFW-Pro/specification.md
+9 -9
View File
@@ -1,16 +1,16 @@
# Спецификация сервиса
Для сервиса **Cloud NGFW Pro** представляется в нескольких версиях:
Сервис **Cloud NGFW Pro** доступен в нескольких версиях:
- vmAF02;
- vmAF04;
- vmAF08.
| | vmAF02 | vmAF04 | vmAF08 |
|------------------------------------------------------|----------|-----------|-----------|
|Firewall при базовых функциях межсетевого экрана | 7,7 Gpps | 14,7 Gpps | 25 Gpps |
|NGFW при включенных расширенных настройках фильтрации | 1,6 Gpps | 3 Gpps | 5,8 Gpps |
|NGFW с включенной защитой от угроз | 1,2 Gpps | 2,3 Gpps | 4,8 Gpps |
|Количество одновременных TCP-сессий | 810 000 | 1 500 000 | 2 750 000 |
|Количество новых TCP-сессий в секунду | 35 000 | 70 000 | 130 000 |
|Максимальное количество SSL-VPN туннелей | 75 | 210 | 400 |
| Параметр | vmAF02 | vmAF04 | vmAF08 |
| ----------------------------------------------------- | ---------- | ----------- | ---------- |
| Firewall при базовых функциях межсетевого экрана | 7,7 Гбит/с | 14,7 Гбит/с | 25 Гбит/с |
| NGFW при включенных расширенных настройках фильтрации | 1,6 Гбит/с | 3 Гбит/с | 5,8 Гбит/с |
| NGFW с включенной защитой от угроз | 1,2 Гбит/с | 2,3 Гбит/с | 4,8 Гбит/с |
| Количество одновременных TCP-сессий | 810 000 | 1 500 000 | 2 750 000 |
| Количество новых TCP-сессий в секунду | 35 000 | 70 000 | 130 000 |
| Максимальное количество SSL-VPN туннелей | 75 | 210 | 400 |