Структура комплекса «ФПСУ-IP» и взаимосвязь работы его подсистем

Структурная схема комплекса «ФПСУ-IP», отражающая взаимосвязь работы его подсистем, представлена ниже на рисунке:

В базовом варианте исполнения «ФПСУ-IP» состоит из следующих элементов:

1. Подсистемы фильтрации пакетов IP-протокола, осуществляющей:

•предварительную проверку корректности в зависимости от типа пропускаемого протокола;

•фильтрацию пакетов по устанавливаемым при настройке «ФПСУ-IP» правилам;

•аутентификацию абонентов при работе через два «ФПСУ-IP»;

•сокрытие субъектов и объектов передачи и используемых ими прикладных сервисов;

•коммутацию пакетов, прошедших вышеописанную обработку.

2. Подсистемы туннелирования, обеспечивающей построение виртуальных частных сетей за счёт создания межсетевых туннелей между двумя или более «ФПСУ-IP» и шифрование передаваемых в этих туннелях данных.

3. Подсистемы сжатия, осуществляющей сжатие передаваемых через межсетевые туннели данных с целью сокрытия трафика, уменьшения объёма передаваемых данных и уменьшения расходов на эксплуатацию сети.

4. Подсистемы разграничения доступа, которая:

•разграничивает доступ к «ФПСУ-IP» по зарегистрированным правам для различных классов администраторов;

•обеспечивает целостность программной и информационной частей «ФПСУ-IP», создавая собственную изолированную среду и защищая данные на внутреннем накопителе;

•организует дополнительную защиту доступа к подсистемам настройки «ФПСУ-IP» по паролю;

•обеспечивает возможность доступа к подсистемам конфигурирования «ФПСУ-IP»;

•обеспечивает возможность контроля целостности программных модулей «ФПСУ-IP».

5. Подсистемы аутентификации администраторов, обеспечивающей идентификацию и аутентификацию администраторов по предъявлению электронного идентификатора и (опционально) паролю условно-постоянного действия.

6. Подсистемы регистрации администраторов (TM-идентификаторов), обеспечивающей регистрацию и учёт электронных идентификаторов touch-memory.

7. Подсистемы конфигурирования «ФПСУ-IP», позволяющей:

•задавать общие параметры работы «ФПСУ-IP» (устанавливать время аварийного перезапуска комплекса в случае сбоя сетевых адаптеров, регулировать функции сокрытия работы «ФПСУ-IP» как фильтрующего средства, указывать способ обработки IP-опции Source Route и т.д.);

•задавать правила фильтрации IP-пакетов, способы контроля доступа и метод передачи данных независимо для различных групп абонентов;

•устанавливать параметры сетевых адаптеров;

•задавать правила формирования (разделения) потоков данных, отправляемых «ФПСУ‑IP» на транзитные маршрутизаторы;

•устанавливать с внешних носителей необходимое программное обеспечение «ФПСУ-IP» (драйверы сетевых плат, обновлённые версии ПО и опциональных подсистем);

•устанавливать с внешних носителей ключи парно-выборочной связи смежных «ФПСУ-IP», регистрационные параметры удалённых администраторов и системные ключи «ФПСУ-IP/Клиентов»;

•контролировать целостность программных модулей «ФПСУ-IP».

8. Подсистемы конфигурирования сетевых адаптеров, осуществляющей настройку сетевого оборудования для работы «ФПСУ-IP».

9. Подсистемы регистрации событий и состояний (статистики), которая:

•автоматически выполняет автономный сбор статистической информации о функционировании «ФПСУ-IP», в частности: регистрирует фильтруемый трафик и результаты фильтрации, а также действия локальных и удалённых администраторов;

•осуществляет динамический вывод на экран текущей информации о работе «ФПСУ-IP»;

•предоставляет возможность просмотра статистических данных и записи их на внешний носитель для хранения и/или последующей обработки специальной программой, обеспечивающей чтение, анализ/сортировку и преобразование в стандартный DBF-формат;

•сортирует информацию по типам и времени записи, что позволяет администратору просматривать только необходимую ему информацию и осуществлять быструю выборку и выдачу заказанной информации, не задерживая работу других подсистем «ФПСУ-IP» (в первую очередь, подсистемы фильтрации).

10. Подсистемы удаленного управления и контроля, состоящей из:

•Подсистемы регистрации удалённых администраторов, позволяющей регистрировать удалённых администраторов для последующей их идентификации и аутентификации с присвоением конкретных прав на доступ к подсистемам «ФПСУ-IP»;

•Подсистемы аутентификации удалённых администраторов, осуществляющей идентификацию и аутентификацию удалённого администратора при запросах на доступ, предоставляющей возможность дистанционного доступа к подсистемам «ФПСУ-IP» и контролирующей права удалённого администратора при запросах на доступ.

11. Подсистемы разделения IP-потоков на независимые туннели, позволяющей разделить выдаваемые в VPN-туннель данные на несколько (до 128) различных потоков, то есть поместить в заголовки IP-пакетов передаваемых данных необходимые признаки для поддержки соответствующих функций транзитных маршрутизаторов

12. Подсистемы автозапуска, которая обеспечивает автоматическое (без участия оператора) возобновление работы «ФПСУ-IP» после сбоев электропитания.

13. Подсистемы Syslog, позволяющей назначить для каждого «ФПСУ-IP» сервер, принимающий отправляемые «ФПСУ-IP» сообщения о происходящих на нем ошибках и событиях по протоколу Syslog.

14. Подсистемы поддержки сетевого протокола 802.1q (VLAN), позволяющей «ФПСУ-IP» принимать участие в построении сетей 802.1q (VLAN) поверх локальных и глобальных сетей, выполняя функции маршрутизатора VLAN. На портах «ФПСУ-IP» поддерживается до 4093 тегов VLAN.

Функциональные возможности базового варианта программного обеспечения «ФПСУ‑IP» могут быть расширены за счёт установки следующих дополнительных модулей:

1. Модуль-агент активации сервера доступа и обслуживания комплексов «ФПСУ-IP/Клиент», который:

•обеспечивает установку общесистемных ключей «ФПСУ-IP/Клиентов», применяемых для взаимной аутентификации «ФПСУ-IP» и «ФПСУ-IP/Клиента»;

•обеспечивает формирование правил работы и прав доступа «ФПСУ-IP/Клиентов»;

•выполняет идентификацию и аутентификацию «ФПСУ-IP/Клиентов» при обращении к «ФПСУ-IP»;

•организует защиту канала связи с идентифицированным и аутентифицированным «ФПСУ-IP/Клиентами» (организует VPN-туннель);

•блокирует доступ «ФПСУ-IP/Клиентов», подлинность которых не подтвердилась при аутентификации;

•устанавливает правила обработки «ФПСУ-IP/Клиентами» сторонних по отношению к туннелю пакетов на время взаимодействия с «ФПСУ-IP» в соответствии с заданными параметрами конфигурации «ФПСУ-IP»;

•производит фильтрацию запросов «ФПСУ-IP/Клиентов» на доступ к сетевым ресурсам защищаемой «ФПСУ-IP» локальной сети по установленным критериям;

•в зависимости от заданного в конфигурации «ФПСУ-IP» режима работы получателей отфильтрованного трафика, осуществляет необходимую дальнейшую обработку пакетов и передаёт их по адресу назначения;

•регистрирует попытки доступа «ФПСУ-IP/Клиентов» к портам «ФПСУ-IP»;

•позволяет использовать на данном «ФПСУ-IP» «Модуль-агент активации определённого количества (указывается количество) подключений комплексов «ФПСУ-IP/Клиент», который дает право единовременно подключиться определенному в указанной лицензии количеству комплексов «ФПСУ-IP/Клиент», не использующих специализированный аппаратный ключ «VPN-Key/Client».

2. Модуль-агент активации горячего резервирования, который обеспечивает:

•настройку системы «горячего» резервирования между двумя «ФПСУ-IP»;

•автоматическую передачу управления пассивному «ФПСУ-IP» в случае возникновения аппаратных неполадок на активном «ФПСУ-IP» или отсутствия в течение некоторого времени связи с ним;

•синхронизацию (в ручном или автоматическом режиме) программного обеспечения, а также конфигурационных и ключевых данных на обоих «ФПСУ-IP» системы «горячего» резерва.

3. Модуль-агент активации дополнительного вычислительного потока, позволяющий задействовать в работе программного обеспечения «ФПСУ-IP» указанное в лицензии количество вычислительных устройств (процессоров, ядер процессора, HT-устройств). Дополнительный поток увеличивает общую пропускную способность комплекса при активации всех режимов защиты (туннелирование, шифрование, имитозащита) на 70-80% от производительности главного потока.

4. Модуль-агент активации установки новых релизов программного обеспечения версии 3, который дает право на установку и использование на данном «ФПСУ-IP» новых версий/подверсий/релизов программного обеспечения версии 3. Срок действия права ограничен периодом, указанным в лицензии. Данный модуль-агент требуется только для тех «ФПСУ-IP», на которые закончился гарантийный срок обслуживания.

5. Модуль-агент активации криптопротокола FAST, которой активирует на «ФПСУ-IP» специальный режим работы криптографического протокола МАГМА 34.12-2015, обеспечивающий существенное увеличение производительности криптографической обработки данных по сравнению с алгоритмом ГОСТ 28147-89 и стандартной реализацией МАГМА 34.12-2015. Прирост производительности  по сравнению с ГОСТ 28147-89 составляет от 30% до 100%, а для МАГМА 34.12-2015 от 100% до 300%,  в зависимости от типа аппаратной платформы «ФПСУ-IP» и длины обрабатываемого сетевого пакета.