alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Документы по NGFW

Browse Source
This commit is contained in:
Александр Анисин
2026-04-24 13:41:06 +03:00
committed by Aleksandr Anisin
parent d921225b30
commit bdab867205
27 changed files with 776 additions and 26 deletions
Download Patch File Download Diff File Expand all files Collapse all files
src/.vitepress/config.mts
+38
View File
@@ -226,6 +226,44 @@ export default defineConfig({
}, },
], ],
}, },
{
text: 'Cloud NGFW', link: '/security/Cloud-NGFW/NGFW-index.md',
collapsed: true,
items: [
{ text: 'Обзор сервиса', link: '/security/Cloud-NGFW/about.md'},
{ text: 'Основные возможности', link: '/security/Cloud-NGFW/possibilities.md' },
{ text: 'Спецификация сервиса', link: '/security/Cloud-NGFW/specification.md' },
{ text: 'Состав сервиса', link: '/security/Cloud-NGFW/compound.md' },
{ text: 'Сроки и условия предоставления сервиса. Зоны ответственности', link: '/security/Cloud-NGFW/provision.md' },
{ text: 'Структура платежей', link: '/security/Cloud-NGFW/payment-structure.md' },
]
},
{
text: 'Cloud NGFW F', link: '/security/Cloud-NGFW-F/NGFW-F-index.md',
collapsed: true,
items: [
{ text: 'Обзор сервиса', link: '/security/Cloud-NGFW-F/about.md'},
{ text: 'Порядок подключения сервиса', link: '/security/Cloud-NGFW-F/connection.md' },
{ text: 'Варианты предоставления', link: '/security/Cloud-NGFW-F/delivery-options.md' },
{ text: 'Состав сервиса', link: '/security/Cloud-NGFW-F/compound.md' },
{ text: 'Функциональные возможности', link: '/security/Cloud-NGFW-F/functional-capabilities.md' },
{ text: 'Структура платежей', link: '/security/Cloud-NGFW-F/payment-structure.md' },
{ text: 'Тестирование сервиса', link: '/security/Cloud-NGFW-F/testing.md' },
]
},
{
text: 'Cloud NGFW Pro', link: '/security/Cloud-NGFW-Pro/NGFW-Pro-index.md',
collapsed: true,
items: [
{ text: 'Обзор сервиса', link: '/security/Cloud-NGFW-Pro/about.md'},
{ text: 'Основные возможности', link: '/security/Cloud-NGFW-Pro/possibilities.md' },
{ text: 'Спецификация сервиса', link: '/security/Cloud-NGFW-Pro/specification.md' },
{ text: 'Состав сервиса', link: '/security/Cloud-NGFW-Pro/compound.md' },
{ text: 'Сроки и условия предоставления сервиса', link: '/security/Cloud-NGFW-Pro/provision.md' },
{ text: 'Демодоступ к сервису', link: '/security/Cloud-NGFW-Pro/demo-access.md' },
{ text: 'Структура платежей', link: '/security/Cloud-NGFW-Pro/payment-structure.md' },
]
},
], ],
'/start/': [ '/start/': [
{ {
src/index.md
+12 -3
View File
@@ -109,10 +109,19 @@ services:
- title: Визуализация и анализ данных - title: Визуализация и анализ данных
description: В работе description: В работе
icon: graph_up icon: graph_up
- title: Информационная безопасность - title: Безопасность
articles: articles:
- title: Межсетевой экран (NGFW) - title: Cloud NGFW
description: В работе link: /security/Cloud-NGFW/NGFW-index.md
description: Межсетевой экран для инспекции и фильтрации трафика на уровне приложений
icon: security
- title: Cloud NGFW F
link: /security/Cloud-NGFW-F/NGFW-F-index.md
description: Виртуальный аплаенс межсетевого экрана для исследования и фильтрации сетевого трафика
icon: security
- title: Cloud NGFW Pro
link: /security/Cloud-NGFW-Pro/NGFW-Pro-index.md
description: Межсетевой экран с IDS и потоковым антивирусом на базе отказоустойчивой инфраструктуры
icon: security icon: security
- title: Защита веб-приложений (WAF) - title: Защита веб-приложений (WAF)
description: В работе description: В работе
src/security/Cloud-NGFW-F/NGFW-F-index.md
+29
View File
@@ -0,0 +1,29 @@
---
section_links:
- title: Обзор сервиса
link: /security/Cloud-NGFW-F/about.md
description:
- title: Состав сервиса
link: /security/Cloud-NGFW-F/compound.md
description:
- title: Структура платежей
link: /security/Cloud-NGFW-F/payment-structure.md
description:
- title: Порядок подключения сервиса
link: /security/Cloud-NGFW-F/connection.md
description:
- title: Варианты предоставления
link: /security/Cloud-NGFW-F/delivery-options.md
description:
- title: Функциональные возможности
link: /security/Cloud-NGFW-F/functional-capabilities.md
description:
- title: Тестирование сервиса
link: /security/Cloud-NGFW-F/testing.md
description:
---
# Сервис Cloud NGFW F
Межсетевой экран для исследования и фильтрации трафика. Включает IPS/IDS и потоковый антивирус.
src/security/Cloud-NGFW-F/about.md
+7
View File
@@ -0,0 +1,7 @@
# Cloud NGFW F
## Назначение сервиса
**Cloud NGFW F** (Next-Generation Firewall) — межсетевой экран (МСЭ), который предоставляется в виде виртуального аплаенса для исследования и фильтрации сетевого трафика.
МСЭ поддерживает функции IPS/IDS и потоковый антивирус, а также контролирует и блокирует трафик на уровне приложений.
src/security/Cloud-NGFW-F/compound.md
+25
View File
@@ -0,0 +1,25 @@
# Состав сервиса
Сервис состоит из следующих компонентов:
- виртуальный аплаенс Межсетевого экрана (VMXX);
- виртуальная инфраструктура в облаке Beeline Cloud, на которой размещается виртуальный аплаенс;
- консоль управления виртуальным аплаенсом:
- Клиент управляет самостоятельно (Self Service);
- Beeline Cloud управляет от имени Клиента (Managed Service).
## Варианты сервиса
| VMXX | VM01 | VM02 | VM04 | VM08 |
| ---------------------------------------------------------------- | ----------------------- | ----------------------- | ----------------------- | ----------------------- |
| **Защищаемая полоса пропускания**<br>Threat Protection Throughput (Enterprise Mix) | 400 Мбит/с | 900 Мбит/с | 1,8 Гбит/с | 3,4 Гбит/с |
| **Производительность межсетевого экрана**<br>Firewall Throughput (UDP Packets, 1518 Byte) | 12 Гбит/с | 17 Гбит/с | 25 Гбит/с | 44 Гбит/с |
| **Производительность межсетевого экрана**<br>Firewall Throughput (UDP Packets, 512 Byte) | 6 Гбит/с | 7 Гбит/с | 10,8 Гбит/с | 14 Гбит/с |
| **Производительность межсетевого экрана**<br>Firewall Throughput (UDP Packets, 64 Byte) | 1 Гбит/с | 1,1 Гбит/с | 2 Гбит/с | 3 Гбит/с |
| **Одновременные сессии (TCP)**<br>Concurrent Sessions (TCP) | 1,5 млн. | 3,5 млн. | 6 млн. | 13 млн. |
| **Новых сессий в секунду (TCP)**<br> New Sessions / Second (TCP) | 106 тыс. | 151 тыс. | 123 тыс. | 392 тыс. |
| **Пропускная способность IPsec VPN**<br>IPSec VPN UDP Throughput-1360 (AES256GCM) | 0,5 Гбит/с | 1,0 Гбит/с | 2,1 Гбит/с | 4,0 Гбит/с |
| **Пропускная способность SSL-VPN**<br>SSL-VPN Throughput | 1,5 Гбит/с | 1,6 Гбит/с | 3,9 Гбит/с | 8,1 Гбит/с |
| **Одновременные пользователи SSL-VPN (Рекомендуемый максимум)**<br>Concurrent SSL-VPN Users (Recommended Maximum) | ~70 | ~200 | ~350 | ~600 |
| **Производительность системы предотвращения вторжений (HTTP / Смешанный)**<br>IPS Throughput (HTTP / Enterprise Mix) | 1,1 Гбит/с / 0,8 Гбит/с | 1,9 Гбит/с / 1,7 Гбит/с | 3,5 Гбит/с / 3,3 Гбит/с | 6,8 Гбит/с / 4,2 Гбит/с |
|**Производительность при включенном контроле приложений**<br>Application Control Throughput (HTTP 64K) | 1,4 Гбит/с | 2,3 Гбит/с | 5,3 Гбит/с | 9,1 Гбит/с|
src/security/Cloud-NGFW-F/connection.md
+34
View File
@@ -0,0 +1,34 @@
# Порядок подключения сервиса и работа с изменениями
## Подключение сервиса
### Заказчик
1. Заполните опросный лист и подпишите бланк заказа (БЗ) на предоставление сервиса.
2. Отправьте отсканированную копию подписанного БЗ на e-mail `presales@datafort.ru` и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе.
3. Направьте оригинал БЗ в Beeline Cloud в порядке, установленном договором.
### Beeline Cloud
1. Составляет БЗ, проверяет корректность заполнения опросного листа и регистрирует заказ.
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
3. Подключает сервис и высылает заказчику на e-mail инструкцию по доступу, логин и пароль, а также иные данные, необходимые для работы **Cloud NGFW F** в зависимости от выбранного варианта.
### Консультации
При необходимости Beeline Cloud консультирует заказчика по настройке сервиса.
## Работа с изменениями
Beeline Cloud принимает запросы на изменение конфигурации и инциденты только от уполномоченных лиц. Список уполномоченных лиц должен быть указан в БЗ.
При обращении в службу поддержки Beeline Cloud обращайтесь через уполномоченных лиц.
## Дополнительные работы
Стоимость определяется по фактическим трудозатратам.
| Наименование работ | Трудозатраты специалиста, ч |
| -------------------------------------------- | --------------------------- |
| Разработка и применение политик безопасности | От 4 |
| Изменение параметров политик безопасности | От 1 |
src/security/Cloud-NGFW-F/delivery-options.md
+63
View File
@@ -0,0 +1,63 @@
# Варианты предоставления
Сервис доступен в двух вариантах:
1. **Self Service**
2. **Managed Service**
## Состав работ и зоны ответственности
| Состав работ | Self Service | Managed Service |
| ------------------------------------------------- | --------------- | --------------- |
| Подготовка и настройка виртуальной инфраструктуры | Beeline Cloud | Beeline Cloud |
| Подготовка виртуальных машин (ВМ) | Beeline Cloud | Beeline Cloud |
| Подготовка лицензии | Beeline Cloud | Beeline Cloud |
| Поддержание актуальных версий лицензий | Beeline Cloud | Beeline Cloud |
| Первичная настройка МСЭ | Beeline Cloud\* | Beeline Cloud\* |
| Настройка сети | Заказчик | Beeline Cloud |
| Настройка параметров информационной безопасности | Заказчик | Beeline Cloud |
| Настройка оповещений | Заказчик | Beeline Cloud |
| Изменение настроек сервиса | Заказчик\*\* | Beeline Cloud |
::: warning Пояснения к таблице:
<sup>\*</sup> **\*Первичная настройка МСЭ** — описание см. в разделе Self Service или Managed Service соответственно.\*
<sup>**</sup> \***Изменение настроек сервиса (Self Service)\*_ — подробности см. в разделе Изменение настроек сервиса._
:::
### 1. Self Service
Первичная настройка МСЭ:
- настройка доступа Заказчику (через интернет или через стык с его инфраструктурой);
- настройка кластера — при наличии запроса и предоставленной схемы;
- настройка согласно ТЗ Заказчика.
Если ТЗ не представлено, по умолчанию из локальной сети Заказчика открывается доступ в интернет без ограничений.
#### Изменение настроек сервиса
Если Заказчик самостоятельно меняет настройки так, что Beeline Cloud теряет доступ к виртуальному апплаенсу, Beeline Cloud не несет ответственности за соблюдение SLA.
### 2. Managed Service
Первичная настройка МСЭ:
- настройка согласно ТЗ и/или архитектурному решению, согласованному с Заказчиком;
- настройка мониторинга;
- настройка резервного копирования.
#### Настройки по умолчанию (при отсутствии ТЗ)
Если Клиент не предоставил ТЗ, Beeline Cloud настраивает следующие параметры виртуального апплаенса:
- интерфейсы управления и маршрутизации для доступа Beeline Cloud к консоли управления;
- виртуальная машина или кластер (по отдельному требованию Клиента);
- DNS (публичные серверы Beeline Cloud);
- ежедневное резервное копирование конфигурации на FTP Beeline Cloud;
- локальная учетная запись для доступа к консоли виртуального апплаенса с правами на чтение;
- мониторинг состояния виртуального апплаенса;
- модуль обнаружения вторжений для исходящего интернет-трафика в режиме мониторинга;
- модуль потокового антивируса для исходящего интернет-трафика в режиме блокировки.
src/security/Cloud-NGFW-F/functional-capabilities.md
+32
View File
@@ -0,0 +1,32 @@
# Функциональные возможности
## Базовые функциональные возможности МСЭ VMXX
|Функционал МСЭ| Описание|
|------|------|
|**Базовый межсетевой экран (L3 / L4)** | - **маршрутизация** – статичная и динамическая маршрутизация о протоколам RIP, OSPF, BGP;<br>- **NAT (Трансляция сетевых адресов)** – статический NAT и PAT (Port forwarding, переадресация портов);<br>- **ACL (Access Lists)** – списки, в которых определяется разрешение и блокировка трафика по IP, портам, интерфейсам;<br>- **Stateful inspection** – cтандартная проверка состояния сетевых соединений, анализ заголовков пакетов и динамическое обновление таблицы состояний по заданным политикам безопасности, определяющим разрешенные и запрещенные соединения;<br>- **Базовый контроль приложений (Application Control)** – базовая видимость трафика по приложениям (идентификация);<br>- **Обнаружение устройств и операционных систем (ОС)** – возможность видеть, какие типы устройств и ОС работают в сети;<br>- **Геолокация IP** – базовые возможности фильтрации по странам;<br>- **Базовая веб-фильтрация** – использование встроенных категорий и репутации интернет-доменов (Internet Services Database);
|**Виртуальные сети, интерфейсы, VLAN** | - поддержка множества виртуальных интерфейсов (виртуальных сетевых адаптеров);<br>- VLAN-тегирование на интерфейсах;|
|**VPN-туннели** | - шифрованные IPsec VPN-туннели (сеть-сеть) для соединения филиалов или сетей;<br>- SSL VPN-туннели. Создание безопасных удаленных доступов для отдельных пользователей через веб-браузер или SSL VPN клиент;|
|**Маршрутизация и обмен трафиком** |- статические маршруты;<br>- динамические маршрутизаторы (OSPF, BGP, RIP);|
|**Администрирование и управление** |- веб-интерфейс для настройки и управления МСЭ;<br>- CLI – командная строка для настройки и управления МСЭ;<br>- ведение базовых логов, статистика трафика;|
|**Сетевые сервисы и функции инфраструктуры** |- DHCP-сервер;<br>-DNS-прокси, DNS-форвардинг;<br>-балансировка нагрузки;|
|**Высокая доступность (High availability, HA)** |- настройка резервирования между двумя виртуальными машинами для обеспечения отказоустойчивости кластера МСЭ. Настраивается по требованию Клиента. По умолчанию не используется.|
## Функциональные возможности МСЭ по защите сетевого трафика
| Расширенный функционал МСЭ | Описание |
| ----------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------ |
| **Application Control** | Управление доступом приложений, контроль и фильтрация приложений и сервисов |
| **Intrusion Prevention System (IPS)** | Обнаружение и блокировка попыток вторжений и сетевых атак на основе известных сигнатур и аномалий |
| **Antivirus (антивирус)** | Защита от вредоносных программ (вирусов, троянов, червей и др.) |
| **Botnet Domains (anti-botnet & anti-C2 communication services)** | Блокировка связи с командными центрами ботнетов |
| **Malicious/Botnet URLs (Вредоносные/Ботнет URL-адреса)** | Блокировка доступа к вредоносным веб‑сайтам и ресурсам, связанным с ботнетами |
| **Advanced Malware Protection (AMP)** | Расширенная комплексная защита от вредоносного ПО |
| **Mobile Malware** | Защита от угроз, нацеленных на мобильные устройства |
| **Virus Outbreak Protection** | Защита от вирусных вспышек на основе актуальной информации о новых угрозах |
| **Content Disarm and Reconstruct (CDR)** | Обезвреживание контента путем пересборки (очистки) файлов с удалением потенциально опасных компонентов |
| **AI-based Heuristic AV** | Обнаружение неизвестных угроз с помощью эвристических алгоритмов на основе искусственного интеллекта |
| **URL & Web Filtering** | Фильтрация веб‑контента по URL, управление доступом к сайтам на основе категорий |
| **DNS Filtering** | Блокировка доступа к вредоносным и нежелательным доменам на уровне DNS‑запросов |
| **Video Filtering** | Фильтрация видеоконтента, управление потоковым видеотрафиком, блокировка нежелательных видеоресурсов |
| **Malicious Certificate** | Блокировка SSL‑сертификатов, связанных с мошенническими или вредоносными сайтами |
src/security/Cloud-NGFW-F/payment-structure.md
+7
View File
@@ -0,0 +1,7 @@
# Структура платежей
**Cloud NGFW F** тарифицируется по модели **фиксированного ежемесячного платежа**. Плата начисляется в день подключения сервиса, далее — первого числа каждого месяца.
Beeline Cloud может изменять тарифы в одностороннем порядке, в том числе при изменении цен со стороны поставщиков. Об изменениях Beeline Cloud уведомляет заказчика не менее чем за 30 дней до их введения.
Использование сервиса начинается с даты подписания акта приема-передачи.
src/security/Cloud-NGFW-F/testing.md
+10
View File
@@ -0,0 +1,10 @@
# Тестирование сервиса
**Cloud NGFW F** можно протестировать бесплатно.
Для организации тестирования сообщите аккаунт-менеджеру Beeline Cloud:
- о намерении протестировать сервис;
- о желаемой дате начала тестирования.
Тестовый период по умолчанию составляет **14 календарных дней**. По запросу его можно продлить до 30 календарных дней.
src/security/Cloud-NGFW-Pro/NGFW-Pro-index.md
+28
View File
@@ -0,0 +1,28 @@
---
section_links:
- title: Обзор сервиса
link: /security/Cloud-NGFW-Pro/about.md
description:
- title: Состав сервиса
link: /security/Cloud-NGFW-Pro/compound.md
description:
- title: Структура платежей
link: /security/Cloud-NGFW-Pro/payment-structure.md
description:
- title: Основные возможности
link: /security/Cloud-NGFW-Pro/possibilities.md
description:
- title: Сроки и условия предоставления сервиса. Зоны ответственности
link: /security/Cloud-NGFW-Pro/provision.md
description:
- title: Спецификация сервиса
link: /security/Cloud-NGFW-Pro/specification.md
description:
- title: Демодоступ к сервису
link: /security/Cloud-NGFW-Pro/demo-access.md
description:
---
# Сервис Cloud NGFW Pro
Межсетевой экран для исследования и фильтрации трафика. Экран интегрирован с функцией IDS и потоковым антивирусом.
src/security/Cloud-NGFW-Pro/about.md
+18
View File
@@ -0,0 +1,18 @@
# Cloud NGFW Pro
## Назначение сервиса
Сервис **Cloud NGFW Pro** (Next-Generation Firewall) — межсетевой экран (МСЭ) для исследования и фильтрации трафика. Экран интегрирован с функцией IDS и потоковым антивирусом. Сервис построен на базе решения компании Sangfor NGAF и размещен на базе четырех дата-центров Beeline Cloud в отказоустойчивой конфигурации.
Доступен выбор одного или нескольких вариантов предоставления сервиса, отличающихся по:
- производительности:
- vmAF02;
- vmAF04;
- vmAF08.
- типу подписки:
- Essential Bundle;
- Premium Bundle.
- вариантам администрирования:
- Self Service;
- Managed Service.
src/security/Cloud-NGFW-Pro/compound.md
+36
View File
@@ -0,0 +1,36 @@
# Состав сервиса
Сервис **Cloud NGFW Pro** — виртуальная инфраструктура, размещенная на базе мощностей облака Beeline Cloud с предоставлением доступа к консоли администратора Cloud NGFW Pro заказчику. Beeline Cloud отвечает за работоспособность инфраструктуры и слой виртуализации.
Сервис доступен в двух вариантах:
- Managed Service;
- Self Service.
Отличия зон ответственности в зависимости от варианта предоставления сервиса:
| | Self Service | Managed Service |
|----------------------------------------------------------|--------------------|--------------------|
|Подготовка и настройка виртуальной инфраструктуры | :heavy_check_mark: | :heavy_check_mark: |
|Подготовка кластера виртуальных машин (ВМ) | :heavy_check_mark: | :heavy_check_mark: |
|Подготовка лицензии **Cloud NGFW Pro** | :heavy_check_mark: | :heavy_check_mark: |
|Поддержание актуальных версий лицензий **Cloud NGFW Pro** | :heavy_check_mark: | :heavy_check_mark: |
|Первичная настройка **Cloud NGFW Pro** | - | :heavy_check_mark: |
|Настройка сети | - | :heavy_check_mark: |
|Настройка параметров информационной безопасности | - | :heavy_check_mark: |
|Настройка оповещений | - | :heavy_check_mark: |
|Изменение настроек сервиса | - | :heavy_check_mark: |
## Обеспечение безопасности
Для обеспечения безопасности сервис использует следующие технологии и программно-аппаратные комплексы:
- Контроль доступа:
- межсетевые экраны;
- контроль и журналирование действий администраторов Beeline Cloud;
- защита от несанкционированного доступа к:
- пропускной системе;
- круглосуточному видеонаблюдению;
- круглосуточной охране.
- Сохранность данных и отказоустойчивость:
- отказоустойчивые инфраструктурные решения с дублированием компонентов.
src/security/Cloud-NGFW-Pro/demo-access.md
+61
View File
@@ -0,0 +1,61 @@
# Демодоступ к сервису
## Назначение демодоступа
В **Cloud NGFW Pro** предусмотрен демодоступ для:
- демонстрации работы;
- оценки и тестирования;
- принятия решения об использовании сервиса.
Сообщите аккаунт-менеджеру Beeline Cloud:
- о желании получить демодоступ;
- о предпочтительном варианте предоставления;
- о желаемой дате начала.
## Период предоставления демодоступа
Тестовый период — 14 календарных дней. Доступно продление до 30 календарных дней.
## Варианты предоставления демодоступа
Предусмотрено два варианта:
1. **Демостраница сервиса для ознакомления** с:
- интерфейсом;
- возможностями платформы;
- базовым и расширенным функционалом.
::: warning Примечание
На демостенде нет эмуляции продуктивной среды.
:::
Демостраница находится в публичном доступе.
1. **Подключение сервиса заказчику** на:
- площадке заказчика в формате On Premise;
- мощностях сторонних облачных провайдеров;
- облаке Beeline Cloud.
::: warning Примечание
Предусмотрена эмуляция продуктивной среды. Продуктивную инсталляцию можно перевести в коммерческое использование без повторного развертывания и запуска сервиса.
:::
## Обратная связь по итогам демодоступа
По окончании демодоступа вы можете передать Beeline Cloud обратную связь:
- результаты оценки и тестирования;
- выводы, замечания и пожелания по работе сервиса.
::: warning Важно
- Предоставленная обратная связь является конфиденциальной.
- Передача третьим лицам без согласия Beeline Cloud не допускается.
:::
src/security/Cloud-NGFW-Pro/payment-structure.md
+7
View File
@@ -0,0 +1,7 @@
# Структура платежей
**Cloud NGFW Pro** тарифицируется по модели **фиксированного ежемесячного платежа**. Плата начисляется в день подключения сервиса, далее — первого числа каждого месяца.
Beeline Cloud вправе изменять тарифы в одностороннем порядке, в том числе при изменении цен со стороны поставщиков. Об изменениях Beeline Cloud уведомляет заказчика не менее чем за 30 дней до вступления их в силу.
Использование сервиса начинается с даты подписания акта приема-передачи.
src/security/Cloud-NGFW-Pro/possibilities.md
+62
View File
@@ -0,0 +1,62 @@
# Основные возможности
**Cloud NGFW Pro** поддерживает функциональные особенности классического NGFW, а также:
- статическую и динамическую маршрутизацию:
- OSPF;
- BGP;
- Policy-Based Routing.
- VPN Server:
- 30 SSL VPN пользователей. Дополнительные пользователи оплачиваются отдельно.
- NAT;
- FW;
- DNS server;
- NTP Server;
- IPSec policy-based;
- IPSec routed-based gre.
## Типы подписок на сервис
Доступно два типа подписки:
1. Essential Bundle.
2. Premium Bundle.
## Функциональные возможности Essential Bundle
| Возможность | Описание |
| ------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Система обнаружения вторжений (IPS) | Защитное решение для обнаружения потенциально опасных активностей в сети или на отдельном устройстве. Уведомляет специалистов информационной безопасности об угрозах. |
| Firewall | Межсетевое экранирование между различными зонами и сегментами сети (ACL). |
| URL фильтрация | Ограничивает доступ пользователей к определенным URL-адресам или веб-сайтам, которые могут быть потенциально опасными. Используются:<br>- черные и белые списки;<br>- фильтрация по ключевым словам. |
| Доступ к внутренним ресурсам через SSL VPN Portal | Веб-портал предоставляет доступ к:<br>- внутренним веб-ресурсам;<br>- терминальным и SSH-серверам компании для удаленных или мобильных пользователей.<br>**Портал использует только протокол HTTPS.** |
| Risk Assessment (Оценка рисков) | - Сканирование открытых портов, системных уязвимостей и слабых паролей;<br>- Обнаружение уязвимостей в режиме реального времени;<br>- Защита от атак нулевого дня. |
| Центр отчетов (Security Visibility and Reporting) | - Полная видимость сети, конечных точек и бизнес-серверов с анализом рисков, уязвимостей, атак, угроз и поведения;<br>- Анализ угроз по конкретной атаке — по описанию, цели и решению;<br>- Поддержка визуализации cyber kill chain;<br>- Автоматическая отправка отчетов ежедневно, еженедельно и ежемесячно. |
| Идентификация пользователей | - Идентификация по имени и паролю, IP-адресу, MAC-адресу, привязке IP/MAC, имени хоста;<br>- Интеграция единого входа с доменом AD, прокси-сервером, POP3 и WEB;<br>- Возможность подключения MFA. |
| WAF (Web Application Firewall) | - Предотвращение веб-атак:<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;- Поддержка механизма семантического обнаружения на основе SNORT для защиты от 10 основных веб-атак OWASP;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;- Выделенная веб-база данных сигнатур атак (не смешанная с IP-адресами);<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;- Поддержка пользовательских правил WAF.<br>- Проактивная защита с автоматическим изучением параметров;<br>- Сокрытие конфиденциальной информации приложений для защиты от целевых атак;<br>- Защита паролем от атак методом перебора;<br>- Ограничение загрузки файлов из черного списка;<br>- Защита от атак переполнения буфера;<br>- Анализ аномалий полей протокола HTTP;<br>- Вторичная аутентификация для доступа к серверу. |
| Виртуальная частная сеть (VPN) | **Cloud NGFW Pro** позволяет использовать VPN для удаленного подключения устройств и создания защищенных туннелей между серверами. Функционал объединяет географически распределенные офисы в единую логическую сеть и упрощает применение единых настроек безопасности в сети филиалов. |
## Функциональные возможности Premium Bundle
|Возможность |Комментарий |
|-----------------------------------------|-------------------------------------------------------------------------------------------------------------------------------------|
|Engine Zero |Механизм обнаружения вредоносных программ на основе технологий искусственного интеллекта. |
|Deep Learning |Защита от DoS-атак, в том числе ограничение максимального числа соединений на одного пользователя. |
|ZSand |Технология для обнаружения ранее неизвестных вредоносных программ:<br>- исследует подозрительные программы в безопасной и контролируемой среде;<br>- отслеживает поведение подозрительных программ для будущего распознавания и предотвращения. |
|Botnet Detection<br>(Отслеживание ботов) |Технология на основе расширенного анализа потока, визуальных вычислений и deep learning для выявления ботнетов. |
|Аналитика угроз |Систематизированная, проанализированная и уточненная информация, которая позволяет организациям понимать, оценивать и предотвращать киберриски из внешних источников. |
## Подключение удаленных пользователей SSL VPN
Подписки Essential Bundle и Premium Bundle включают возможность подключения 30 удаленных пользователей. Для подключения дополнительных пользователей приобретите отдельные лицензии.
::: warning Примечание
Минимальное количество докупаемых лицензий — 25.
:::
Стоимость одной лицензии зависит от количества приобретаемых. Ценовые диапазоны по количеству пользователей:
- 2549;
- 5099;
- 100199;
- 200399.
src/security/Cloud-NGFW-Pro/provision.md
+41
View File
@@ -0,0 +1,41 @@
# Сроки и условия предоставления сервиса. Зоны ответственности
## Порядок подключения сервиса
### Заказчик
1. Заполните опросный лист и подпишите бланк заказа (БЗ) на предоставление сервиса **Cloud NGFW Pro**.
2. Отправьте отсканированную копию подписанного БЗ на e-mail `presales@datafort.ru` и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе.
3. Оригинал БЗ направьте в Beeline Cloud в установленном договором порядке.
### Beeline Cloud
1. Составляет БЗ, проверяет корректность заполнения опросного листа и регистрирует БЗ.
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
3. Подключает сервис и высылает на e-mail заказчика инструкцию по доступу к сервису, идентификатор (login) и пароль (password) и/или иную информацию, необходимую для работы **Cloud NGFW Pro** в зависимости от выбранного варианта.
## Консультации
При необходимости Beeline Cloud консультирует заказчика по настройке сервиса.
## Прием запросов от заказчика
Для обеспечения информационной безопасности Beeline Cloud принимает запросы на изменение конфигурации и инциденты по работоспособности сервиса только от уполномоченных лиц заказчика. Список таких лиц должен быть передан в БЗ (или иной канал взаимодействия, установленный договором). Если конечный пользователь обращается в службу поддержки напрямую, он получает рекомендацию направить запрос через уполномоченное лицо.
## Зона ответственности заказчика
Заказчик:
- Настройте сервис в соответствии с вариантом, указанным в БЗ, и инструкцией Beeline Cloud.
- В случае выбора варианта **Managed Service**:
- сообщите Beeline Cloud конфигурацию установленного **Firewall** при наличии и получите сетевые параметры для настройки VPN;
- укажите параметры на сетевом оборудовании;
- запросите доступ на чтение конфигурации **Cloud NGFW Pro**.
Beeline Cloud меняет конфигурацию **Cloud NGFW Pro**, если выбран вариант **Managed Service**. Для изменений направьте письмо на адрес `servicedesk@datafort.ru` с описанием изменений.
Заказчик самостоятельно обеспечивает сохранность своих данных, в том числе при отказе от сервиса или изменении его параметров. После окончания периода предоставления **Cloud NGFW Pro** доступ к ресурсам прекращается. В течение **трех рабочих дней** данные удаляются без возможности восстановления.
## Зона ответственности Beeline Cloud
Beeline Cloud обеспечивает работоспособность сервиса в соответствии с условиями договора.
src/security/Cloud-NGFW-Pro/specification.md
+16
View File
@@ -0,0 +1,16 @@
# Спецификация сервиса
Сервис **Cloud NGFW Pro** доступен в нескольких версиях:
- vmAF02;
- vmAF04;
- vmAF08.
| Параметр | vmAF02 | vmAF04 | vmAF08 |
| ----------------------------------------------------- | ---------- | ----------- | ---------- |
| Firewall при базовых функциях межсетевого экрана | 7,7 Гбит/с | 14,7 Гбит/с | 25 Гбит/с |
| NGFW при включенных расширенных настройках фильтрации | 1,6 Гбит/с | 3 Гбит/с | 5,8 Гбит/с |
| NGFW с включенной защитой от угроз | 1,2 Гбит/с | 2,3 Гбит/с | 4,8 Гбит/с |
| Количество одновременных TCP-сессий | 810 000 | 1 500 000 | 2 750 000 |
| Количество новых TCP-сессий в секунду | 35 000 | 70 000 | 130 000 |
| Максимальное количество SSL-VPN туннелей | 75 | 210 | 400 |
src/security/Cloud-NGFW/NGFW-index.md
+25
View File
@@ -0,0 +1,25 @@
---
section_links:
- title: Обзор сервиса
link: /security/Cloud-NGFW/about.md
description:
- title: Состав сервиса
link: /security/Cloud-NGFW/compound.md
description:
- title: Структура платежей
link: /security/Cloud-NGFW/payment-structure.md
description:
- title: Основные возможности
link: /security/Cloud-NGFW/possibilities.md
description:
- title: Спецификация сервиса
link: /security/Cloud-NGFW/specification.md
description:
- title: Сроки и условия предоставления сервиса. Зоны ответственности
link: /security/Cloud-NGFW/provision.md
description:
---
# Cloud NGFW
Межсетевой экран для исследования и фильтрации трафика. Экран интегрирован с функцией IDS, контролирует и блокирует трафик на уровне приложений.
src/security/Cloud-NGFW/about.md
+16
View File
@@ -0,0 +1,16 @@
# Cloud NGFW
## Назначение сервиса
Сервис **Cloud NGWF** (Next-Generation Firewall, межсетевой экран следующего поколения) — межсетевой экран для исследования и фильтрации трафика. Экран интегрирован с функцией IDS (системой обнаружения вторжений), контролирует и блокирует трафик на уровне приложений. Сервис построен на базе сертифицированного ФСТЭК России решения российской компании UserGate, включенного в реестр Российского ПО (№1194), в отказоустойчивой конфигурации.
Доступен выбор нескольких вариантов сервиса, отличающихся по:
- Рекомендованному количеству пользователей (устройств/уникальных IP-адресов), размещённых за firewall заказчика и производительности в соответствии с таблицей
- Функциональному набору:
- базовому;
- базовому и ATP;
- базовому, ATP и потоковому антивирусу.
- Вариантам сервиса:
- Managed Service;
- Self Service.
src/security/Cloud-NGFW/compound.md
+42
View File
@@ -0,0 +1,42 @@
# Состав сервиса
## Варианты сервиса
Сервис **Cloud NGFW** — работающая в кластере виртуальная инфраструктура. Инфраструктура размещена на базе мощностей облака Beeline Cloud с предоставлением заказчику доступа к консоли управления **Cloud NGFW**. Beeline Cloud отвечает за работоспособность инфраструктуры и слой виртуализации.
Сервис доступен в двух вариантах:
- **Managed Servise**;
- **Self Service**.
Варианты предоставления сервисов:
| Зона ответсвенности | Self Service | Managed Service |
|------------------------------------------------------|--------------------|--------------------|
|Подготовка и настройка виртуальной инфраструктуры | :heavy_check_mark: | :heavy_check_mark: |
|Подготовка кластера виртуальных машин (ВМ) | :heavy_check_mark: | :heavy_check_mark: |
|Подготовка лицензии **Cloud NGFW** | :heavy_check_mark: | :heavy_check_mark: |
|Поддержание актуальных версий лицензий **Cloud NGFW** | :heavy_check_mark: | :heavy_check_mark: |
|Первичная настройка **Cloud NGFW** | :heavy_check_mark: | :heavy_check_mark: |
|Настройка сети | - | :heavy_check_mark: |
|Настройка параметров информационной безопасности | - | :heavy_check_mark: |
|Настройка оповещений | - | :heavy_check_mark: |
|Изменение настроек сервиса | - | :heavy_check_mark: |
## Настройки по умолчанию варианта Managed Service
Если техническое задание от заказчика не предоставлено, Билайн Клауд выполняет настройку самостоятельно. В этом случае устанавливаются следующие параметры сетевого устройства, на котором развёрнут сервис.
- MGMT-интерфейсы и маршрутизация для доступа beeline cloud к веб-интерфейсу;
- настройка кластера active-passive из двух нод;
- DNS (публичные серверы beeline cloud);
- ежедневное резервное копирование конфигурации на FTP beeline cloud;
- локальная учётная запись с правами на чтение для заказчика;
- мониторинг состояния устройства по SNMP;
- модель средства обнаружения вторжений для входящего трафика в режиме мониторинга;
- модуль потокового антивируса для входящего и исходящего трафика в режиме мониторинга при наличии необходимой лицензии.
## Отказоустойчивость
Отказоустойчивость сервиса достигается средствами платформы виртуализации. Система делает ежедневное резервное копирование виртуального аплаенса с глубиной хранения семь дней.
Компоненты сервиса предоставляются в отказоустойчивой конфигурации **active-passive**.
src/security/Cloud-NGFW/payment-structure.md
+5
View File
@@ -0,0 +1,5 @@
# Структура платежей
**Cloud NGFW** — тарифицируется по модели **фиксированного ежемесячного платежа**. Плата начисляется в день подключения сервиса, далее — первого числа каждого месяца.
Beeline Cloud вправе изменять тарифы в одностороннем порядке, в том числе при изменении цен со стороны поставщиков. Об изменениях Beeline cloud уведомляет заказчика не менее чем за 30 дней до вступления их в силу. Использование сервиса начинается с даты подписания акта приёма-передачи.
src/security/Cloud-NGFW/possibilities.md
+52
View File
@@ -0,0 +1,52 @@
# Основные возможности
## Возможности сервиса
Сервис **Cloud NGWF** поддерживает:
- статическую и динамическую маршрутизацию;
- NAT;
- балансировку нагрузки на L4 и L7 уровнях модели OSI;
- DNS server;
- WEB Proxy (только **Self Service**);
- IPSec policy-based;
- IPSec routed-based gre.
## Базовые функциональные возможности
Beeline cloud поддерживает:
- межсетевое экранирование между зонами/сегментами сети (ACL);
- систему обнаружения и предотвращения вторжений (IPS/IDS);
- SSL-инспекцию;
- SSH-инспекцию;
- контроль приложений L7;
- контроль доступа в интернет;
- идентификацию пользователей;
- виртуальную частную сеть (VPN);
- публикацию внутренних ресурсов и сервисов.
**NGFW Usergate**, на базе которого предоставляется сервис, сертифицирован ФСТЭК России по:
- требованиям к межсетевым экранам (четвертый класс, профили А и Б);
- требованиям к системам обнаружения вторжений (четвертый класс);
- четвертому уровню доверия.
::: warning Важно
По запросу заказчика Beeline Cloud предоставляет подписанный ЭЦП формуляр NGFW Usergate.
:::
## Базовые функциональные возможности и ATP
Beeline Cloud предоставляет функционал ATP:
- защита от DoS-атак;
- блокировка рекламы и анализ загружаемого контент с учетом знания известных рекламных сетей и используемых скриптов;
- разбор и анализ трафика по категориям (URL Filtering 3.0);
- морфологический анализ содержимого веб-страниц на наличие определенных слов и словосочетаний (Web 2.0).
## Базовые функциональные возможности, ATP и AV (Antivirus)
Beeline Cloud также предоставляет **потоковый антивирус**. Потоковый антивирус анализирует веб-трафик и HTTPS-трафик только при задействованном функционале SSL-инспекции.
src/security/Cloud-NGFW/provision.md
+51
View File
@@ -0,0 +1,51 @@
# Сроки и условия предоставления сервиса. Зоны ответственности
## Порядок подключения сервиса
### Заказчик
1. Заполните опросный лист и подпишите бланк заказа (БЗ) на предоставление сервиса **Cloud NGWF**.
2. Отправьте отсканированную копию подписанного БЗ на e-mail presales@datafort.ru и корпоративный e-mail адрес менеджера по продажам Beeline Cloud, указанный в заказе.
3. Оригинал БЗ направьте в Beeline Cloud в установленном договором порядке.
### Beeline cloud
1. Составляет БЗ, проверяет корректность заполнения опросного листа и регистрирует БЗ.
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
3. Подключает сервис и высылает на e-mail заказчика инструкцию по доступу к сервису, идентификатор (login) и пароль (password) и/или иную информацию, необходимую для работы **Cloud NGFW** в зависимости от выбранного варианта.
## Консультации
При необходимости Beeline Cloud консультирует заказчика по настройке сервиса.
## Прием запросов от заказчика
Для обеспечения информационной безопасности Beeline Cloud принимает запросы на изменение конфигурации и инциденты по работоспособности сервиса только от уполномоченных лиц заказчика. Список таких лиц должен быть передан в Б3 (или иной канал взаимодействия, установленный договором). Если конечный пользователь обращается в службу поддержки напрямую, он получает рекомендацию направить запрос через уполномоченное лицо.
## Зона ответственности заказчика
Заказчик:
- Настройте у себя сервис в соответствии с указанным в БЗ вариантом и предоставленной Beeline Cloud инструкцией.
- В случае выбора варианта **Managed Service**:
- сообщите Beeline Cloud конфигурацию установленного **Firewall** при наличии и получите сетевые параметры для настройки VPN;
- уажите параметры на сетевом оборудовании;
- запрасите доступ на чтение конфигурации **Cloud NGFW**.
Beeline cloud меняет конфигурацию **Cloud NGFW**, если выбран вариант **Managed Service**. Заказчику необходимо направить письмо на адрес servicedesk@datafort.ru с описанием изменений.
Заказчик самостоятельно обеспечивает сохранность своих данных, в том числе при отказе от сервиса или изменении его параметров. После окончания периода предоставления **Cloud NGFW** доступ к ресурсам прекращается. В течение **трёх рабочих дней** данные удаляются без возможности восстановления.
## Зона ответственности beeline cloud
Beeline Cloud обеспечивает работоспособность сервиса в соответствии с условиями договора.
## За что не отвечает beeline cloud?
Beeline Cloud не несёт ответственности за:
- обеспечение защиты от угроз информационной безопасности;
- ошибки, сбои или недостаточную производительность программного обеспечения, разработанного сторонним вендором;
- непрерывность и надёжность работы такого ПО.
При выявлении ошибок в программном обеспечении, на котором развёрнут сервис, Beeline Cloud регистрирует инцидент в технической поддержке вендора и содействует его устранению.
src/security/Cloud-NGFW/specification.md
+29
View File
@@ -0,0 +1,29 @@
# 2. Спецификация сервиса
Спецификация **Cloud NGFW** в зависимости от выбранной версии сервиса:
- Cloud NGFW VE100;
- Cloud NGFW VE250;
- Cloud NGFW VE500;
- Cloud NGFW VE1000;
- Cloud NGFW VE2000;
- Cloud NGFW VE4000.
|Параметр | Cloud NGFW VE100 | Cloud NGFW VE250 | Cloud NGFW VE500 | Cloud NGFW VE1000 | Cloud NGFW VE2000 | Cloud NGFW VE4000 |
|-----------------------------------------|---------------|-----------|-----------|------------|------------|--------------|
|Межсетевой экран, UDP пакеты (1518байт) | До 800 Мбит/с | До 8 Гб/c | До 9 Гб/c | До 10 Гб/c | До 11 Гб/c | До 11,5 Гб/c |
|IDS | До 600 Мбит/с | До 1,3 Гб/с | До 1,35 Гб/с | До 1,4 Гб/с | До 1,8 Гб/с | До 2,1 Гб/с |
Инспектирование SSL | До 50 Мбит/с | До 300 Мбит/с | До 320 Мбит/с | До 350 Мбит/с | До 600 Мбит/с | До 650 Мбит/с |
|ATP | До 150 Мбит/с | До 1,3 Гб/с | До 1,5 Гб/c | До 1,8 Гб/с | До 2,5 Гб/с | До 2,8 Гб/с |
|Потоковый антивирус | До 150 Мбит/с | До 1,3 Гб/с | До 1,5 Гб/c | До 1,7 Гб/с | До 2 Гб/с | До 2,4 Гб/с |
|Контроль приложений L7 | До 700 Мб/c | До 1,5 Гб/c | До 1,7 Гб/c | До 1,8 Гб/с | До 2,5 Гб/c | До 2,8 Гб/c |
|Рекомендованное количество пользователей | До 100 | До 250 | До 500 | До 1000 | До 2000 | До 4000 |
::: warning Важно
Рекомендованное количество пользователей определяется по усредненному профилю сотрудника. Значение варьируется в зависимости от:
- характера работы сотрудников компании;
- настройками журналирования сервера **Cloud NGFW**.
:::
src/security/glossary.md
+4
View File
@@ -0,0 +1,4 @@
# Глоссарий
В данном разделе приведены определения основных терминов и сокращений, используемых в документации.
src/security/index.md
+21 -18
View File
@@ -1,46 +1,49 @@
--- ---
section_links: section_links:
- title: Сервис Cloud Security Awareness (SA) - title: Cloud NGFW
link: /security/Cloud-NGFW/NGFW-index
description:
- title: Cloud NGFW F
link: /security/Cloud-NGFW-F/NGFW-F-index
description:
- title: Cloud NGFW Pro
link: /security/Cloud-NGFW-Pro/NGFW-Pro-index
description:
- title: Cloud Security Awareness (SA)
link: /security/Cloud-SA/SA-index link: /security/Cloud-SA/SA-index
description: description:
- title: Сервис Cloud Vulnerability Scanner (VS) - title: Cloud Vulnerability Scanner (VS)
link: /security/Cloud-VS/VS-index link: /security/Cloud-VS/VS-index
description: description:
- title: Сервис Cloud Mobile Device Management (MDM) - title: Cloud Mobile Device Management (MDM)
link: /security/Cloud-MDM/MDM-index link: /security/Cloud-MDM/MDM-index
description: description:
- title: Сервис Cloud NGFW F - title: Cloud Multifactor Authentication (MFA)
#link: /security/Cloud-NGFW-F
description: В работе
- title:
#link: /security/Cloud-NGFW/NGFW-index
description: Сервис Cloud NGFW
- title: Сервис Cloud Multifactor Authentication (MFA)
#link: /security/Cloud-MFA #link: /security/Cloud-MFA
description: В работе description: В работе
- title: Сервис Cloud Security Assistance (включая Security Manager) - title: Cloud Security Assistance (включая Security Manager)
#link: /security/Cloud-SA-SM #link: /security/Cloud-SA-SM
description: В работе description: В работе
- title: Сервис Cloud Endpoint Protection Platform (EPP) - title: Cloud Endpoint Protection Platform (EPP)
#link: /security/Cloud-EPP #link: /security/Cloud-EPP
description: В работе description: В работе
- title: Сервис Cloud Secure Email Gateway (SEG) - title: Cloud Secure Email Gateway (SEG)
#link: /security/Cloud-SEG #link: /security/Cloud-SEG
description: В работе description: В работе
- title: Сервис Cloud Web Application Firewall (Cloud WAF) - title: Cloud Web Application Firewall (WAF)
#link: /security/Cloud-WAF #link: /security/Cloud-WAF
description: В работе description: В работе
- title: Сервис Cloud Web Application Firewall (WAF) Pro - title: Cloud Web Application Firewall (WAF) Pro
#link: /security/Cloud-WAF-PRO #link: /security/Cloud-WAF-PRO
description: В работе description: В работе
- title: Сервис Шифрование каналов связи (ГОСТ VPN) - title: Шифрование каналов связи (ГОСТ VPN)
#link: /security/Cloud-VPN #link: /security/Cloud-VPN
description: В работе description: В работе
- title: Сервис Cloud DDoS Protection - title: Cloud DDoS Protection
#link: /security/Cloud-DDoS #link: /security/Cloud-DDoS
description: В работе description: В работе
--- ---
# Сервисы информационной безопасности в Beeline Cloud # Сервисы информационной безопасности в Beeline Cloud
Beeline cloud предлагает следующие сервисы информационной безопасности: Beeline Cloud предлагает следующие сервисы информационной безопасности: