Барьер 139-ФЗ

Программно-аппаратный комплекс «Барьер 139-ФЗ» предназначен для фильтрации интернет-трафика, блокировки доступа к доменам, страницам сайтов и адресам сети Интернет. Решение разработано в соответствии с Федеральным законом от 28 июля 2012 г. № 139-ФЗ («закон о черных списках») и автоматизирует блокировку доступа к запрещенным сайтам и страницам как по IP, так и по URL-адресу.

В отличие от комплексных дорогостоящих систем глубокого анализа пакетов (DPI) с избыточной функциональностью, комплекс «Барьер 139-ФЗ» был разработан исключительно для соответствия требованиям закона о «черных списках». Система выполняет только необходимую работу, обладает облегченной структурой, простотой настройки и эксплуатации, не нагружает сеть, что в итоге очень положительно сказалось на его стоимости и сделало доступным для Интернет-провайдеров любого масштаба.

Определяющими преимуществами нашего комплекса являются:

  • Автоматическое блокирование сайта по URL или IP-адресу;
  • Работа комплекса на уровне драйвера сетевой карты.
  • Автоматическое обновление списков РосКомНадзора.
  • Высокая производительность при минимальной нагрузке на сеть.
  • Поддержка виртуальной локальной сети (VLAN).
  • Простота внедрения и эксплуатации

Схема работы при зеркалировании трафика

Запросы от клиентов к web-серверам направляются без изменений через систему роутеров. От роутеров на систему фильтрации направляется зеркалированный трафик. Данный трафик анализируется и при обнаружении запрещенного запроса производится разрыв сессий на клиенте и на сервере, что инициирует механизм выдачи пользователю информации о запрете доступа к сайту, находящемуся в Едином реестре Роскомнадзора.

Схема работы при подключении BGP анонсера

Запросы от клиентов к web-серверам направляются без изменений через систему роутеров. На роутер 1 отправляется «анонс» адресов запрещенных ресурсов от решения «Барьер 139-ФЗ», когда роутер видит подозрительный адрес, он ответвляет этот трафик на «Барьер 139-ФЗ». Трафик анализируется и при обнаружении запрещенного запроса, блокируется доступ к сайту, находящемуся в Едином реестре Роскомнадзора.

Технические особенности комплекса

  • Весь комплекс реализован отдельным приложением, что более производительно, чем дополнительные модули для ядра;
  • Программный комплекс работает на уровне драйвера сетевой карты и не требует специальной настройки или конфигурирования;
  • Система автоматического обновления, включающая в себя OpenSSL, собранный с поддержкой алгоритмов шифрования соответствующих действующим ГОСТам;
  • Набор python-скриптов, позволяющих обновлять список Роскомнадзора в автоматическом режиме;
  • Настройка посредством командой строки (запуск, выключение, добавление сайтов в список);
  • Автоматический запуск/остановка комплекса;
  • Автоматическое перенаправление пользователей на специальную страницу с сообщением о блокировке;
  • Фильтрация производится на сетевом (IP) уровне (L3) и уровне приложений (HTTP) (L7) модели OSI;
  • При подключении системы в разрыв канала, разрыв TCP-сессий по протоколу как на клиенте, так и на сервере (на сервере не остается открытого подключения);
  • Программный комплекс не использует сетевого стека системы и устойчив к SYN-флуд атакам.

Возможности «Барьер 139-ФЗ»

  • Работа системы у оператора связи возможна по двум схемам;
  • Синхронизация с Единой Автоматизированной Информационной Системой (ЕАИС) Единого реестра сайтов содержащих запрещённую информацию в автоматическом режиме.
  • Фильтрация клиентских запросов к сайтам по IP или URL-адресам;
  • Возможность заблокировать соединение через HTTPS-протокол, используя либо указанный в реестре IP-адрес, либо динамически получая список IP-адресов для доменного имени от указанного DNS-сервера.
  • Загрузка дополнительных списков для блокировки;
  • Реализована поддержка больших списков. Комплекс позволяет загрузить в память список до 1 000 000 адресов без потерь производительности;
  • Возможность автоматически направлять пользователей на специальную страницу с сообщением о блокировке, указав URL в настройках меню.

Дополнительные преимущества «Барьер 139-ФЗ»

  • Бессрочная лицензия на программный комплекс;
  • Год бесплатной технической поддержки;
  • Помощь в инсталляции и настройке;
  • Удобный интерфейс для настройки и управления фильтрацией;
  • Единый функционал в web-интерфейсе для всех версий;
  • Возможность установки дополнительных модулей (личные кабинеты для клиентов, логирование);
  • Масштабирование решения при увеличении объема трафика;
  • Обработка большого объема списков блокировки при минимальном времени обработки;
  • Наличие собственных списков блокировки в базовой версии;
  • Возможность индивидуальной доработки;
  • Доступ к базе знаний;
  • Не облагается НДС.

При необходимости можно приобрести услугу технической поддержки.

Требования к оборудованию

Ширина канала Аппаратные требования
до 1 Гбит/с* Сервер 4 ядра (8 – ми поточный) с частотой не менее 3 ГГц на ядро c двумя сетевыми картами по 1Гбит/с.
Входная карта Зеркало Intel® I350-T2.
Выходная - любая.
ОЗУ не менее 8Гб.
от 1 Гбит/с* 8-ми ядерный процессор с частотой не менее 3 ГГц на ядро, сетевая карта на 10 Гбит/с Intel® Ethernet Adapter X520-SR2.
ОЗУ не менее 16Гб.
от 3 Гбит/с* 16-ти ядерный процессор с частотой не менее 3 ГГц на ядро, сетевая карта на 10 Гбит/с Intel® Ethernet Adapter X520-SR2.
ОЗУ не менее 16Гб.
Более 5 Гбит/с* 24-х ядерный процессор с частотой не менее 3 ГГц на ядро, сетевые карты на 10 Гбит/с.
ОЗУ не менее 16Гб.

* ожидаемая скорость при средней длине пакета 1,5 кБайт

Пример типового оборудования на канал до 1 Гбит/с*

HP DL320eGen8v2 E3-1220v3 (3.1GHz-8MB) 4-Core / 2x4GB / Intel i350-T2

Или

HP DL320eGen8v2 E3-1220v3 (3.1GHz-8MB) 4-Core / 2x4GB / Intel X520 10Gb

Рекомендуемые сетевые карты

Intel® Ethernet Adapter X520-SR2;

Intel® Ethernet Adapter X540-T2;

Intel® I350-T2 (Т4)

Процесс внедрения программного комплекса

  1. Установка полнофункциональной демо-версии. (демо-версия работает в течение 10 дней);
  2. Настройка автоматического обновления списков Единого реестра;
  3. Настройка зеркалирования трафика;
  4. Приобретение лицензии.

Варианты поставки

В виде Программного обеспечения:

  • Система поставляется в виде архива zip, предназначенного для установки на операционную систему Ubuntu 14.04 x86_64.
  • защитный HASP-Ключ с лицензией

Установка производится самостоятельно, но Вы всегда может обратиться к нашим специалистам за помощью в инсталляции.

В виде аппаратно-программного комплекса.

В соответствии с Вашими предпочтениями мы соберем сервер необходимой производительности

Установка "Барьер 139-ФЗ"

для работы HASP ключей необходимы 32-разрядные библиотеки

  • dpkg --add-architecture i386
  • apt-get update
  • apt-get install libc6:i386
  • apt-get install ia32-libs

установка пакета для работы hasp-ключа

  • dpkg -i aksusbd_2.4-1_i386.deb

Установка mysql сервера

  • apt-get install mysql-server

Программа для конфигурации сетевых интерфейсов

  • apt-get install ethtool

Установка основного пакета программы

  • dpkg -i barrier139.deb
  • после установки необходимо запустить скрипт для создания базы данных(Root логин и пароль базы данных, необходимый для создания пользователей и таблиц)
  • /usr/bin/barrier139/barrier139installdb.sh mysql_user mysql_password

в файле /etc/barrier139/barrier139.conf необходимо заполнить поля NIC1_NAME и NIC2_NAME(интерфейсы для входного и выходного трафика соответственно).

  • NIC1_NAME = eth4
  • NIC2_NAME = eth7

запуск и остановка осуществляются коммандами

  • service barrier139 start
  • service barrier139 stop

управление системой осуществляется командой

  • /usr/bin/barrier139/barrier139ctrl.x

ВНИМАНИЕ! Продукт без защитного HASP-Ключа не функционирует.

Закажите бесплатное тестирование системы, заполнив форму ниже. Мы свяжемся с Вами и обсудим все подробности инсталляции: удобный период тестирования, конфигурацию оборудования, функциональные особенности, схему подключения, адрес и время для отправки HASP-Ключа.

Закажите бесплатный тест-драйв системы "Барьер 139-ФЗ"