alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

NGFW-F

Browse Source
This commit is contained in:
Aleksandr Anisin
2026-04-08 15:54:59 +03:00
parent d921225b30
commit f0c94a6587
12 changed files with 342 additions and 218 deletions
Download Patch File Download Diff File Expand all files Collapse all files
src/security/Cloud-NGFW-F/NGFW-F-index.md
+29
View File
@@ -0,0 +1,29 @@
---
section_links:
- title:
link: /security/Cloud-NGFW-F/about.md
description: Обзор сервиса
- title:
link: /security/Cloud-NGFW-F/compound.md
description: Состав сервиса
- title:
link: /security/Cloud-NGFW-F/payment-structure.md
description: Структура платежей
- title:
link: /security/Cloud-NGFW-F/connection.md
description: Порядок подключения сервиса
- title:
link: /security/Cloud-NGFW-F/delivery-options.md
description: Варианты предоставления
- title:
link: /security/Cloud-NGFW-F/functional-capabilities.md
description: Функциональные возможности
- title:
link: /security/Cloud-NGFW-F/testing.md
description: Тестирование сервиса
---
# Сервис Cloud NGFW F
Межсетевой экран для исследования и фильтрации трафика. Включает IPS/IDS и потоковый антивирус.
src/security/Cloud-NGFW-F/about.md
+7
View File
@@ -0,0 +1,7 @@
# Cloud NGFW F
## Назначение сервиса
**Cloud NGFW F** (Next-Generation Firewall) — межсетевой экран (МСЭ), который предоставляется в виде виртуального аплаенса для исследования и фильтрации сетевого трафика.
МСЭ поддерживает функции IPS/IDS и потоковый антивирус, а также контролирует и блокирует трафик на уровне приложений.
src/security/Cloud-NGFW-F/compound.md
+25
View File
@@ -0,0 +1,25 @@
# Состав сервиса
Сервис состоит из следующих компонентов:
- виртуальный аплаенс Межсетевого экрана (VMXX);
- виртуальная инфраструктура в облаке Beeline Cloud, на которой размещается виртуальный аплаенс;
- консоль управления виртуальным аплаенсом:
- Клиент управляет самостоятельно (Self Service);
- Beeline Cloud управляет от имени Клиента (Managed Service).
## Варианты сервиса
| VMXX | VM01 | VM02 | VM04 | VM08 |
| ---------------------------------------------------------------- | ----------------------- | ----------------------- | ----------------------- | ----------------------- |
| **Защищаемая полоса пропускания**<br>Threat Protection Throughput (Enterprise Mix) | 400 Мбит/с | 900 Мбит/с | 1,8 Гбит/с | 3,4 Гбит/с |
| **Производительность межсетевого экрана**<br>Firewall Throughput (UDP Packets, 1518 Byte) | 12 Гбит/с | 17 Гбит/с | 25 Гбит/с | 44 Гбит/с |
| **Производительность межсетевого экрана**<br>Firewall Throughput (UDP Packets, 512 Byte) | 6 Гбит/с | 7 Гбит/с | 10,8 Гбит/с | 14 Гбит/с |
| **Производительность межсетевого экрана**<br>Firewall Throughput (UDP Packets, 64 Byte) | 1 Гбит/с | 1,1 Гбит/с | 2 Гбит/с | 3 Гбит/с |
| **Одновременные сессии (TCP)**<br>Concurrent Sessions (TCP) | 1,5 млн. | 3,5 млн. | 6 млн. | 13 млн. |
| **Новых сессий в секунду (TCP)**<br> New Sessions / Second (TCP) | 106 тыс. | 151 тыс. | 123 тыс. | 392 тыс. |
| **Пропускная способность IPsec VPN**<br>IPSec VPN UDP Throughput-1360 (AES256GCM) | 0,5 Гбит/с | 1,0 Гбит/с | 2,1 Гбит/с | 4,0 Гбит/с |
| **Пропускная способность SSL-VPN**<br>SSL-VPN Throughput | 1,5 Гбит/с | 1,6 Гбит/с | 3,9 Гбит/с | 8,1 Гбит/с |
| **Одновременные пользователи SSL-VPN (Рекомендуемый максимум)**<br>Concurrent SSL-VPN Users (Recommended Maximum) | ~70 | ~200 | ~350 | ~600 |
| **Производительность системы предотвращения вторжений (HTTP / Смешанный)**<br>IPS Throughput (HTTP / Enterprise Mix) | 1,1 Гбит/с / 0,8 Гбит/с | 1,9 Гбит/с / 1,7 Гбит/с | 3,5 Гбит/с / 3,3 Гбит/с | 6,8 Гбит/с / 4,2 Гбит/с |
|**Производительность при включенном контроле приложений**<br>Application Control Throughput (HTTP 64K) | 1,4 Гбит/с | 2,3 Гбит/с | 5,3 Гбит/с | 9,1 Гбит/с|
src/security/Cloud-NGFW-F/connection.md
+34
View File
@@ -0,0 +1,34 @@
# Порядок подключения сервиса и работа с изменениями
## Подключение сервиса
### Заказчик
1. Заполните опросный лист и подпишите бланк заказа (БЗ) на предоставление сервиса.
2. Отправьте отсканированную копию подписанного БЗ на e-mail `presales@datafort.ru` и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе.
3. Направьте оригинал БЗ в Beeline Cloud в порядке, установленном договором.
### Beeline Cloud
1. Составляет БЗ, проверяет корректность заполнения опросного листа и регистрирует заказ.
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
3. Подключает сервис и высылает заказчику на e-mail инструкцию по доступу, логин и пароль, а также иные данные, необходимые для работы **Cloud NGFW F** в зависимости от выбранного варианта.
### Консультации
При необходимости Beeline Cloud консультирует заказчика по настройке сервиса.
## Работа с изменениями
Beeline Cloud принимает запросы на изменение конфигурации и инциденты только от уполномоченных лиц. Список уполномоченных лиц должен быть указан в БЗ.
При обращении в службу поддержки Beeline Cloud обращайтесь через уполномоченных лиц.
## Дополнительные работы
Стоимость определяется по фактическим трудозатратам.
| Наименование работ | Трудозатраты специалиста, ч |
| -------------------------------------------- | --------------------------- |
| Разработка и применение политик безопасности | От 4 |
| Изменение параметров политик безопасности | От 1 |
src/security/Cloud-NGFW-F/delivery-options.md
+63
View File
@@ -0,0 +1,63 @@
# Варианты предоставления
Сервис доступен в двух вариантах:
1. **Self Service**
2. **Managed Service**
## Состав работ и зоны ответственности
| Состав работ | Self Service | Managed Service |
| ------------------------------------------------- | --------------- | --------------- |
| Подготовка и настройка виртуальной инфраструктуры | Beeline Cloud | Beeline Cloud |
| Подготовка виртуальных машин (ВМ) | Beeline Cloud | Beeline Cloud |
| Подготовка лицензии | Beeline Cloud | Beeline Cloud |
| Поддержание актуальных версий лицензий | Beeline Cloud | Beeline Cloud |
| Первичная настройка МСЭ | Beeline Cloud\* | Beeline Cloud\* |
| Настройка сети | Заказчик | Beeline Cloud |
| Настройка параметров информационной безопасности | Заказчик | Beeline Cloud |
| Настройка оповещений | Заказчик | Beeline Cloud |
| Изменение настроек сервиса | Заказчик\*\* | Beeline Cloud |
::: warning Пояснения к таблице:
<sup>\*</sup> **\*Первичная настройка МСЭ** — описание см. в разделе Self Service или Managed Service соответственно.\*
<sup>**</sup> \***Изменение настроек сервиса (Self Service)\*_ — подробности см. в разделе Изменение настроек сервиса._
:::
### 1. Self Service
Первичная настройка МСЭ:
- настройка доступа Заказчику (через интернет или через стык с его инфраструктурой);
- настройка кластера — при наличии запроса и предоставленной схемы;
- настройка согласно ТЗ Заказчика.
Если ТЗ не представлено, по умолчанию из локальной сети Заказчика открывается доступ в интернет без ограничений.
#### Изменение настроек сервиса
Если Заказчик самостоятельно меняет настройки так, что Beeline Cloud теряет доступ к виртуальному апплаенсу, Beeline Cloud не несет ответственности за соблюдение SLA.
### 2. Managed Service
Первичная настройка МСЭ:
- настройка согласно ТЗ и/или архитектурному решению, согласованному с Заказчиком;
- настройка мониторинга;
- настройка резервного копирования.
#### Настройки по умолчанию (при отсутствии ТЗ)
Если Клиент не предоставил ТЗ, Beeline Cloud настраивает следующие параметры виртуального апплаенса:
- интерфейсы управления и маршрутизации для доступа Beeline Cloud к консоли управления;
- виртуальная машина или кластер (по отдельному требованию Клиента);
- DNS (публичные серверы Beeline Cloud);
- ежедневное резервное копирование конфигурации на FTP Beeline Cloud;
- локальная учетная запись для доступа к консоли виртуального апплаенса с правами на чтение;
- мониторинг состояния виртуального апплаенса;
- модуль обнаружения вторжений для исходящего интернет-трафика в режиме мониторинга;
- модуль потокового антивируса для исходящего интернет-трафика в режиме блокировки.
src/security/Cloud-NGFW-F/functional-capabilities.md
+33
View File
@@ -0,0 +1,33 @@
# Функциональные возможности
## Базовые функциональные возможности МСЭ VMXX
|Функционал МСЭ| Описание|
|------|------|
|**Базовый межсетевой экран (L3 / L4)** | - **маршрутизация** – статичная и динамическая маршрутизация о протоколам RIP, OSPF, BGP;<br>- **NAT (Трансляция сетевых адресов)** – статический NAT и PAT (Port forwarding, переадресация портов);<br>- **ACL (Access Lists)** – списки, в которых определяется разрешение и блокировка трафика по IP, портам, интерфейсам;<br>- **Stateful inspection** – cтандартная проверка состояния сетевых соединений, анализ заголовков пакетов и динамическое обновление таблицы состояний по заданным политикам безопасности, определяющим разрешенные и запрещенные соединения;<br>- **Базовый контроль приложений (Application Control)** – базовая видимость трафика по приложениям (идентификация);<br>- **Обнаружение устройств и операционных систем (ОС)** – возможность видеть, какие типы устройств и ОС работают в сети;<br>- **Геолокация IP** – базовые возможности фильтрации по странам;<br>- **Базовая веб-фильтрация** – использование встроенных категорий и репутации интернет-доменов (Internet Services Database);
|**Виртуальные сети, интерфейсы, VLAN** | - поддержка множества виртуальных интерфейсов (виртуальных сетевых адаптеров);<br>- VLAN-тегирование на интерфейсах;|
|**VPN-туннели** | - шифрованные IPsec VPN-туннели (сеть-сеть) для соединения филиалов или сетей;<br>- SSL VPN-туннели. Создание безопасных удаленных доступов для отдельных пользователей через веб-браузер или SSL VPN клиент;|
|**Маршрутизация и обмен трафиком** |- статические маршруты;<br>- динамические маршрутизаторы (OSPF, BGP, RIP);|
|**Администрирование и управление** |- веб-интерфейс для настройки и управления МСЭ;<br>- CLI – командная строка для настройки и управления МСЭ;<br>- ведение базовых логов, статистика трафика;|
|**Сетевые сервисы и функции инфраструктуры** |- DHCP-сервер;<br>-DNS-прокси, DNS-форвардинг;<br>-балансировка нагрузки;|
|**Высокая доступность (High availability, HA)** |- настройка резервирования между двумя виртуальными машинами для обеспечения отказоустойчивости кластера МСЭ. Настраивается по требованию Клиента. По умолчанию не используется.|
## Функциональные возможности МСЭ по защите сетевого трафика
| Расширенный функционал МСЭ | Описание |
| ----------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------ |
| **Application Control** | Управление доступом приложений, контроль и фильтрация приложений и сервисов |
| **Intrusion Prevention System (IPS)** | Обнаружение и блокировка попыток вторжений и сетевых атак на основе известных сигнатур и аномалий |
| **Antivirus (антивирус)** | Защита от вредоносных программ (вирусов, троянов, червей и др.) |
| **Botnet Domains (anti-botnet & anti-C2 communication services)** | Блокировка связи с командными центрами ботнетов |
| **Malicious/Botnet URLs (Вредоносные/Ботнет URL-адреса)** | Блокировка доступа к вредоносным веб‑сайтам и ресурсам, связанным с ботнетами |
| **Advanced Malware Protection (AMP)** | Расширенная комплексная защита от вредоносного ПО |
| **Mobile Malware** | Защита от угроз, нацеленных на мобильные устройства |
| **Virus Outbreak Protection** | Защита от вирусных вспышек на основе актуальной информации о новых угрозах |
| **Content Disarm and Reconstruct (CDR)** | Обезвреживание контента путем пересборки (очистки) файлов с удалением потенциально опасных компонентов |
| **AI-based Heuristic AV** | Обнаружение неизвестных угроз с помощью эвристических алгоритмов на основе искусственного интеллекта |
| **URL & Web Filtering** | Фильтрация веб‑контента по URL, управление доступом к сайтам на основе категорий |
| **DNS Filtering** | Блокировка доступа к вредоносным и нежелательным доменам на уровне DNS‑запросов |
| **Video Filtering** | Фильтрация видеоконтента, управление потоковым видеотрафиком, блокировка нежелательных видеоресурсов |
| **Malicious Certificate** | Блокировка SSL‑сертификатов, связанных с мошенническими или вредоносными сайтами |
src/security/Cloud-NGFW-F/payment-structure.md
+7
View File
@@ -0,0 +1,7 @@
# Структура платежей
**Cloud NGFW F** тарифицируется по модели **фиксированного ежемесячного платежа**. Плата начисляется в день подключения сервиса, далее — первого числа каждого месяца.
Beeline Cloud может изменять тарифы в одностороннем порядке, в том числе при изменении цен со стороны поставщиков. Об изменениях Beeline Cloud уведомляет заказчика не менее чем за 30 дней до их введения.
Использование сервиса начинается с даты подписания акта приема-передачи.
src/security/Cloud-NGFW-F/testing.md
+10
View File
@@ -0,0 +1,10 @@
# Тестирование сервиса
**Cloud NGFW F** можно протестировать бесплатно.
Для организации тестирования сообщите аккаунт-менеджеру Beeline Cloud:
- о намерении протестировать сервис;
- о желаемой дате начала тестирования.
Тестовый период по умолчанию составляет **14 календарных дней**. По запросу его можно продлить до 30 календарных дней.
src/security/glossary.md
+4
View File
@@ -0,0 +1,4 @@
# Глоссарий
В данном разделе приведены определения основных терминов и сокращений, используемых в документации.
src/security/index.md
+42 -38
View File
@@ -1,46 +1,50 @@
---
section_links:
- title: Сервис Cloud Security Awareness (SA)
link: /security/Cloud-SA/SA-index
description:
- title: Сервис Cloud Vulnerability Scanner (VS)
link: /security/Cloud-VS/VS-index
description:
- title: Сервис Cloud Mobile Device Management (MDM)
link: /security/Cloud-MDM/MDM-index
description:
- title: Сервис Cloud NGFW F
#link: /security/Cloud-NGFW-F
description: В работе
- title:
#link: /security/Cloud-NGFW/NGFW-index
link: /security/Cloud-SA
description: Сервис Cloud Security Awareness (SA)
- title:
link: /security/Cloud-VS
description: Сервис Cloud Vulnerability Scanner (VS)
- title:
link: /security/Cloud-MDM
description: Сервис Cloud Mobile Device Management (MDM)
- title:
link: /security/Cloud-NGFW-F
description: Сервис Cloud NGFW F
- title:
link: /security/Cloud-NGFW
description: Сервис Cloud NGFW
- title: Сервис Cloud Multifactor Authentication (MFA)
#link: /security/Cloud-MFA
description: В работе
- title: Сервис Cloud Security Assistance (включая Security Manager)
#link: /security/Cloud-SA-SM
description: В работе
- title: Сервис Cloud Endpoint Protection Platform (EPP)
#link: /security/Cloud-EPP
description: В работе
- title: Сервис Cloud Secure Email Gateway (SEG)
#link: /security/Cloud-SEG
description: В работе
- title: Сервис Cloud Web Application Firewall (Cloud WAF)
#link: /security/Cloud-WAF
description: В работе
- title: Сервис Cloud Web Application Firewall (WAF) Pro
#link: /security/Cloud-WAF-PRO
description: В работе
- title: Сервис Шифрование каналов связи (ГОСТ VPN)
#link: /security/Cloud-VPN
description: В работе
- title: Сервис Cloud DDoS Protection
#link: /security/Cloud-DDoS
description: В работе
- title:
link: /security/Cloud-MFA
description: Сервис Cloud Multifactor Authentication (MFA)
- title:
link: /security/Cloud-SA-SM
description: Сервис Cloud Security Assistance (включая Security Manager)
- title:
link: /security/Cloud-EPP
description: Сервис Cloud Endpoint Protection Platform (EPP)
- title:
link: /security/Cloud-SEG
description: Сервис Cloud Secure Email Gateway (SEG)
- title:
link: /security/Cloud-WAF
description: Сервис Cloud Web Application Firewall (Cloud WAF)
- title:
link: /security/Cloud-WAF-PRO
description: Сервис Cloud Web Application Firewall (WAF) Pro
- title:
link: /security/Cloud-VPN
description: Сервис Шифрование каналов связи (ГОСТ VPN)
- title:
link: /security/Cloud-DDoS
description: Сервис Cloud DDoS Protection
- title:
link: /security/glossary
description: Глоссарий для сервиса информационной безопасности
---
# Сервисы информационной безопасности в Beeline Cloud
Beeline cloud предлагает следующие сервисы информационной безопасности:
Beeline Cloud предлагает следующие сервисы информационной безопасности: