Фильтрация трафика - основа построения периметра информационной безопасности

Сетевой фильтр (firewall) разрешает прохождение только разрешённого по определённым параметрам трафика (адреса, протоколы, порты для отправителя и получателя пакетов). Кроме того, разрешённый трафик учитывается системой статистики. Неразрешённый трафик учитывается системой статистики и блокируется

Модуль позволяет отсечь на начальном этапе определённую активность по несанкционированному проникновения как во внутреннюю сеть, так и в Интернет из локальной сети, а в совокупности с модулями статистики - обеспечивают законченное решение по организации граничного шлюза между локальной сетью и Интернет

Сетевая трансляция (SNAT) - механизм организации доступа многих пользователей (сотрудников) к Интернет через общую точку подключения

Подключение к Интернет обычно одно, но работать через него нужно множеству пользователей сразу. Для типовых сервисов правильнее использовать развернутые с локальной сети сервера - посредники, как почтовый сервер, прокси сервер и т.п. Однако сервера - посредники могут использоваться и предпочтительны только в части случаев

Универсальным решением является использование механизма "трансляции адреса отправителя", известного также как SNAT или маскарадинг, и позволяющего "спрятать" за одним видимым из Интернет адресом организации локальную сеть, и предоставить пользователям сети возможность одновременного доступа к ресурсам Интернет

Статистика IP трафика - механизм журналирования работы компоненты и построения статистических отчётов

Компонента сохраняет большой объём информации об обработанном трафике и производит многоуровневую обработку и агрегирование, обеспечивающие возможность хранения данных за большие временные промежутки и сохранением максимально возможной детализации

Доступ к статистическим данным может быть получен как посредством использования построителей типовых отчётов, наиболее часто востребованных пользователями, так и более гибким, но и более сложным, интерактивным построителем запросов к данным статистики

Статистические модули могут предоставить разнообразнейшую информацию о прошедшем через компоненту трафике, в т.ч. в разрезах по протоколам, портам, адресам и датам, с возможностями группировки и суммирования данных информационных разделов

Модуль конфигуратора - упрощает процедуру конфигурирования компоненты и упорядочивает процесс разработки правил сетевого фильтра

Управление настройками компоненты производится модулем конфигурирования, читающем данные из конфигурационного файла и проводящим конфигурирование сетевого фильтра netfilter и конфигурирование надстроек, в т.ч. модулей статистики и модулей предоставления данных через WEB консоль

Логика, положенная в основу работы конфигуратора фильтрующей функциональности, состоит в выделении подсетей, к каждой из которых применяются настройки дополнительной фильтрации отдельно для ролей "клиент" и "сервер" по параметрам протоколов, портов и адресов отправителя и получателя, а также ведётся раздельный статистический учет. Аналогична и логика организации конфигуратора сетевой трансляции SNAT, а также секций предварительных ограничений и фильтрации по "черным спискам"