Cyberoam
Produktová řada UTM firewallů Cyberoam poskytuje sofistikovanou ochranu vstupu do sítě díky konsolidaci veškerých druhů ochran v rámci jedné hardwarové platformy. Na jednom místě jsou integrovány bezpečnostní funkce, síťové funkce i nástroje pro analýzu provozu v reálném čase a propracovaný reportovací nástroj. Důležitou součástí je rovněž podpora VPN, a to včetně SSL VPN. Přestože je svou cenou dostupný opravdu i pro tu nejmenší síť (je doporučován pro malé organizace od 5 uživatelů až po střední společnosti), je postaven na komerčním základě (vlastní vývoj + OEM komerční produkty, které dlouhodobě prokazují vysoký výkon a jistotu budoucího vývoje: antivirus Kaspersky, antispam CommTouch).
Zásadním přínosem je unikátní systém definice bezpečnostních politik na základě identity uživatelů. Tento princip je implementován do tvorby a správy veškerých relevantních politik a nastavení a zpětně je použit při analýze provozu i reportingu. Bezpečnostní politiky tak lze tvořit na míru uživatelům, či skupinám uživatelů, což navíc přináší úsporu času při běžné administraci i řešení incidentů v síti.
Hlavní funkce a vlastnosti
Firewall se stavovou inspekcí
- Multizónová bezpečnost s různými přístupovými pravidly pro každou zónu
- Pravidla založena na kombinaci uživatel / zdroj&destinace / IP adresa&služba
- Akce zahrnují kontrolu dle politik pro IPS, Obsahový filtr, A-Virus, A-Spam a řízení šířky pásma
- Rozvrhování času pro přístupy
- Source & Destination NAT dle politik
- H.323 NAT Traversal
- Podpora 802.1q VLAN
- Ochrana proti DoS&DDoS útokům
- Certifikace: ICSA Firewall; Checkmark UTM level 5, VPNC – Basic a AES součinnost
Anti-Virus&Spyware na bráně
- Integrován AV Kaspersky, kontroluje HTTP/FTP/SMTP/POP3/IMAP/VPN tunely
- Detekuje a odstraňuje viry, červy a trojany
- Ochrana proti Spywaru/Malwaru/Phishingu
- Automatické aktualizace databáze signatur
- Kontrolu lze přizpůsobit uživateli/skupině
- Karanténa na zařízení s možností uživatelského přístupu
- Kontrola a doručování dle velikosti souboru
- Blokování dle typu souboru
- Vkládání „disclaimeru“/podpisu
Anti-Spam na bráně
- Integrován systém Commtouch s Recurrent Pattern Detection technologií
- Filtrace dle hlavičky/velikosti/odesílatele/ příjemce
- Real-time Blacklist, kontrola MIME hlavičky
- Karanténa na zařízení s možností uživatelského přístupu
- Označování předmětu zprávy
- Blacklist/Whitelist pro IP adresy
- Přesměrování spamu na jinou email adresu
- Filtr obrázkového spamu RPD technologií
- Antivirová ochrana v čase nula
IPS – prevence narušení
- Signatury: Default (3000+) / uživatelské
- IPS Politiky: kolektivní / uživatelské
- Vytváření politik pro jednotlivé uživatele
- Automatické aktualizace v reálném čase
- Detekce anomálií v provozu
- Blokuje P2P aplikace (např. Skype) externí proxy a anonymizéry (např. Ultra Surf), aktivity typu „volání domů“, zloděje hesel
- Obsahová a aplikační filtrace
- Vestavěná databáze web kategorií
- Blokuje URL, klíčová slova, typy souborů
- Kategorie: Default(82+) / uživatelské
- Podporované protokoly: HTTP, HTTPS
- Blokuje Malware/Phishing/Pharming URL
- Nastavitelné upozornění pro každou kategorii
- Blokuje JavaApplety, Cookies, Active X
- Shoda s CIPA
- Prevence úniku dat přes http upload
Řízení šířky pásma a QoS
- Management založen na identitách
- Garance minima/sdílení nevyuž. pásma
- Průzkum provozu dle aplikací/identity
- Reportování i pro více WAN připojení
VPN brána
- IPSec, L2TP, PPTP, SSL VPN*
- Šifrování – 3DES, DES, AES, Twofish, Blowfish, Serpent
- Hash algoritmus – MD5, SHA-1
- Autentizace: Preshared Key, dig. certifikáty
- IPSec NAT Traversal
- Detekce mrtvých připojení a podpora PFS
- Diffie Hellman skupiny – 1,2,5,14,15,16
- Podpora externích certifikačních autorit
- Export nastavení VPN připojení mob. klienta
- Podpora doménových jmen pro tunely a koncové body
- Redundance VPN připojení
- Podpora překrývání sítí
- Podpora „Hub & Spoke VPN“
VPN klient
- Vyhovuje IPSec, kompatibilní se všemi hlavními IPSec VPN branami
- Podpora Win 98/Me/NT4/2000/XP/Vista/7
- Import konfigurace připojení
Networking
- Podpora připojení k více ISP
- Distribuce datového toku přes více ISP
- Směrování (routing) dle aplikace/uživatele
- DDNS/PPPoE klient
- Podpora konfigurace TCP MSS
- Podpora pro nasazení jako HTTP Proxy
- Podpora „Parent Proxy“ s FQDN
- Dynamické směrování: RIP v1&v2/OSPF/ BGP/Multicast Forwarding Identita uživatelů a kontroly založené na skupinách
- Omezení času přístupu, časové kvóty
- Garantovaná/prolomitelná šířka pásma
- Omezení množství stahovaných dat
- P2P a IM kontrola dle rozvrhu
Autentizace uživatele
- Lokální databáze
- Integrace s Active Directory & Windows Domain Controller
- Automatický Single sign-on pomocí ntlm nebo login scriptu v AD, nebo pomocí http (pro http provoz)
- Integrace s externí LDAP/RADIUS databází
- Vazba na uživatele/MAC adresu
Administrace a řízení systému
- Konfigurace skrze webového průvodce
- Admin role, více administrátorských a uživatelských úrovní
- Upgrady & změny via Web UI (HTTPS)
- Příkazová řádka (Serial, SSH, Telnet)
- SNMP (v1, v2c, v3)
- Cyberoam Central Console (volitelné)
- Možnost návratu ke starší verzi
- Podpora NTP serveru
Logování / Monitorování
- Interní HDD*
- Monitorování v reálném čase i historii s grafickým výstupem
- Upozorňování mailem na reporty, útoky, ...
- Podpora Syslogu
Reportování přímo na zařízení **
- Reporty o narušení/nedodržení politik
- Reporty dle web kategorií dle uživatele/typu obsahu
- Reporty o útocích/přenosu dat dle uživatele/skupiny/IP adresy
- 45+ přednastavených reportů
- Vyhledávání klíčových slov
Vysoká dostupnost (HA)*
- Active/Active
- Active/Passive se synchronizací stavu
- Stateful Failover
- Výstrahy pří změně stavu zařízení
* není k dispozici u CR15i
** u CR15i pouze do předchozího dne (lze exportovat)