Континент Web (TLS-шлюз + WAF)

Основные статьи:

• Межсетевой экран (Firewall)
• Криптография
• VPN-решения для корпоративных сетей

Континент WEB – сертифицированное решение защиты доступа удаленных пользователей к защищаемым ресурсам и защиты веб-приложений.

Состав

Континент WEB состоит из СЗКИ «Континент TLS VPN Сервер» и МЭ «Континент WAF» (на июль 2025 г.).

«Континент TLS VPN Сервер» обеспечивает конфиденциальность, целостность и имитозащиту передаваемой информации и такие выполняет функции, как:

• Аутентификация пользователей по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001);
• Проверка сертификата пользователя по списку отозванных CRL;
• Установление защищенных шифрованных соединений по протоколу HTTPS;
• Трансляция запросов к веб-серверам корпоративной сети и другие.

«Континент WAF» выполняет следующие функции:

• Фильтрация трафика на уровне приложений
• Защита веб-приложений от атак
• Анализ бизнес-логики приложений

2025

Совместимость «Континент Web» с DS Proxima

«Код Безопасности» и «Цифровые решения» 11 сентября 2025 года объявили о завершении испытаний по совместимости продуктов. Речь идет о системе комплексной защиты веб-приложений «Континент Web» и балансировщике нагрузки DS Proxima.

Интеграция решений позволяет создавать надежные и производительные комплексы для безопасного доступа к высоконагруженным веб-сервисам. DS Proxima выполняет функцию горизонтального масштабирования, распределяя входящий трафик между фермой из нескольких кластеров «Континент Web». Это обеспечивает отказоустойчивость и высокую доступность сервисов. ИИ против киберугроз: как избавиться от звонков мошенников, спама и утечек персональных данных 19.1 т

Шлюз безопасности «Континент Web» обеспечивает глубокий анализ трафика, защищая веб-приложения от киберугроз с помощью встроенного WAF (Web Application Firewall).

Успешная интеграция «Континент Web» с балансировщиком нагрузки DS Proxima открывает стратегическую возможность для построения высокопроизводительных систем защиты веб-приложений. Совместное решение позволяет нашим общим клиентам не только защищать высоконагруженные приложения от широкого спектра угроз, но и масштабировать инфраструктуру, обеспечивая бесперебойную работу бизнес-сервисов. Мы видим большой потенциал такого партнерства и планируем дальнейшее развитие совместных решений, – сказал ведущий эксперт отдела продвижения продуктов «Кода Безопасности» Дмитрий Лебедев.

Совместное решение предназначено для крупных компаний и государственных организаций, которые требуют от своих критически важных веб-сервисов максимального уровня безопасности без компромиссов в производительности.

Использование балансировщиков нагрузки – классический способ повышения производительности и надежности кластеров WAF. Подтверждение совместимости наших решений – важный шаг, позволяющий сформировать комплексное предложение по защите и масштабированию веб-серверов. Объединение возможностей «Континент Web» и аппаратного балансировщика DS Proxima дает российским заказчикам возможность приступить к импортозамещению зарубежных L7-балансировщиков, – отметил руководитель отдела продвижения продуктов «Цифровых решений» Алина Павлова.

Совместное решение уже доступно для коммерческого использования и предназначено для предприятий с высокими требованиями к безопасности.

«Континент TLS-сервер» версии 2.7

«Код Безопасности» 7 апреля 2025 года сообщил о выходе версии 2.7 программного-аппаратного комплекса «Континент TLS-сервер», в которой улучшены функции комплексной защиты веб-приложений.

В данную версию был интегрирован программный модуль WAF (Web Application Firewall), представляющий защиту от различных киберугроз.

Данные возможности включают функциональность WAF, в том числе машинное обучение для защиты от атак, собственный сигнатурный анализатор, защиту от ботов, GeoIP, предотвращение L7 DDoS-атак, валидацию JSON, XML, MultiPart, GraphQI, HTMLXsd, YAML и HTTP, а также логирование и аудит.

Мы добавили функционал WAF для защиты веб-приложений от профильных атак (OWASP Топ 10, DDoS, и др). Таким образом, у заказчиков появится возможность использовать комплексную платформу для всесторонней защиты веб-приложений из одного окна, – рассказал ведущий специалист отдела продвижения продуктов «Кода Безопасности» Дмитрий Лебедев.

Кроме того, версия 2.7 поддерживает HTTP/2 в настройках прокси и портала приложений, обеспечивая более быструю и эффективную работу веб-приложений.

Данная версия будет проходить сертификацию во ФСТЭК и ФСБ России: по профилю защиты межсетевых экранов типа «Г» 4 класса защиты и 4 уровню доверия – для функционала WAF, а также по требованиям к СКЗИ класса КС2/КС3 – для TLS-сервера.

2018: Выпуск «Континент TLS-сервера» версии 2.1

Континент TLS-сервер

18 июля 2018 года компания «Код безопасности» объявила о выпуске очередной версии продукта «Континент TLS-сервер», предназначенного для обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ. Основные отличия – увеличение производительности продукта на 30%, а также оптимизация схемы его лицензирования.

Одной из функций в «Континент TLS-сервер» 2.1 является возможность одновременной работы с пользовательскими сертификатами, поддерживающими алгоритмы электронной подписи и хэширования – как по ГОСТ 2001, так и по ГОСТ 2012 – стандарту, обладающему более высокой стойкостью.

При применении «Континент TLS-сервер» 2.1 переход к стандарту ГОСТ 2012 будет незаметным и не повлияет на использование защищенного удаленного доступа к веб-приложениям. Ранее при использовании различных сертификатов на клиентской и серверной стороне было невозможно установить соединение.

Важным дополнением стала возможность интеграции продукта «Континент TLS-сервер» 2.1 в единый контур мониторинга ИТ-инфраструктуры.

Заказчики «Континент TLS-сервер» 2.1 получили возможность централизованно обновлять клиентскую часть комплекса на компьютерах удаленных пользователей. Кроме того, в представленной версии была упрощена система лицензирования продукта: для кластера из нескольких устройств требуется только одна лицензия на максимальное число одновременных подключений. Также было принято решение объединить лицензии на подключение к прокси-серверу и лицензии на подключение через TLS-туннель. Все это упрощает эксплуатацию и выбор подходящей архитектуры решения.

На июль 2018 года «Континент TLS-сервер» 2.1 передан на сертификацию в ФСБ России. После прохождения испытаний продукт будет сертифицирован по классам КС1 и КС2.

Данная версия продукта «Континент TLS-сервер» призвана облегчить работу администраторов в период смены стандартов шифрования, предоставить возможность удобного мониторинга. Изменения в политике лицензирования и возможность выделения отдельного порта управления продуктом должны расширить область его применения. Поддержка широкого спектра TLS-клиентов позволит быстро построить систему защищенного доступа к веб-приложению там, где уже используются криптопровайдеры сторонних производителей. Теперь наш продукт поддерживает "КриптоПро", "Валидата" и доверенный браузер "Спутник". Александр Колыбельников, менеджер по продукту компании «Код безопасности»

2017: Выпуск межсетевого экрана «Континент WAF»

27 февраля 2017 года компания «Код безопасности» объявила о выпуске межсетевого экрана «Континент WAF». Продукт ориентирован на защиту веб-приложений и может быть востребован организациями, использующими сложные веб-приложения – порталы госуслуг, системы дистанционного банковского обслуживания, ERP- и CRM-системы с веб-интерфейсом.

Продукт семейства «Континент» фильтрует трафик на уровне приложений. Система «понимает», как работает веб-приложение, какая активность нормальна, какая аномальна. Такой подход сокращает сроки внедрения этого защитного средства и реализуется с помощью встроенных механизмов машинного обучения, которые позволяют продукту «постичь» логику защищаемого приложения и формировать позитивную модель его работы.

Архитектура Континент WAF, (2017)

«Континент WAF» помогает обнаружить активность злоумышленников. Для компаний, самостоятельно разрабатывающих веб-приложения, использование продукта поможет сократить цикл разработки при достижении требуемого уровня защиты.

В продукте используются защитные механизмы:

• проверка корректности команд протокола HTTP;
• синтаксический анализ запросов и ответов веб-сервера с поддержкой различных видов сжатия, кодирования и способов передачи данных (XML, JSON, BASE64, GZIP);
• анализ процесса идентификации, аутентификации, активности и контроль сессий пользователей;
• защита от bruteforce-атак;
• сигнатурный анализ с поддержкой формата правил ModSecurity.

В большинстве случаев внедрение и настройка сигнатурных средств защиты веб-приложений занимают длительное время. Такого не происходит с нашим продуктом: распознавая атаку, «Континент WAF» ориентируется в первую очередь не на сигнатуры, а на позитивную модель работы веб-приложения. Поэтому при инсталляции этого средства защиты нет необходимости перечислять виды атак, достаточно описать штатные процессы работы веб-приложения. В отличие от конкурирующих продуктов, «Континент WAF» объясняет, почему был заблокирован тот или иной запрос. Это способствует повышению прозрачности политик безопасности. В результате наша разработка может обеспечить интеллектуальную защиту веб-приложений. Александр Колыбельников, менеджер по продукту компании «Код безопасности»

В связи с широким использованием веб и мобильных технологий в нашей жизни (личные порталы ГИС, миграция приложений в веб и т.п.) возрастает значимость системы информационной безопасности веб-ресурсов. Ранее, выпустив продукт «Континент TLS VPN», мы решили вопросы криптографической аутентификации пользователя и защиты канала. С появлением в нашей линейке продукта «Континент WAF» мы даем средство защиты от атак на сами веб-приложения. Таким образом, мы предоставляем комплексное решение по защите веб-порталов (аутентификация, защита канала, разбор сетевого трафика на уровне приложений/протоколов). Андрей Голов, генеральный директор компании «Код безопасности»

Возможности приложения

• Анализ трафика
  • Гибкая настройка моделей работы приложений
    • Валидация протокола HTTP
    • Синтаксический анализ запросов и ответов
    • Определение бизнес-логики приложения
    • Идентификация, аутентификация пользователей и контроль сессий

  • Автоматическое построение модели работы приложения
  • Анализ отклонений поведения пользователя от стандартного сценария
  • Анализ данных в SSL-туннеле
  • Пакет преднастроенных сигнатур
  • Поддержка правил формата ModSecurity

• Обнаружение атак на веб-приложения
  • Обнаружение специфических для веб-приложений атак
    • OWASP TOP 10
    • SQL-инъекции
    • Cross Site Scripting
    • Cross Site Request Forgery

  • Обнаружение аномалий как в запросах, так и в ответах веб-сервера
  • Обнаружение аномалий на основе модели работы приложения
    • Совпадение с моделью
    • Отклонение от модели

  • Обнаружение аномалий внутри вложенных данных, передаваемых по протоколу HTTP/HTTPS
  • Обнаружение bruteforce-атак

• Управление и мониторинг

• • Графическое отображение модели разбора запросов и ответов веб-сервера
  • Мониторинг и управление защитой нескольких приложений из единой консоли
  • Графическое отображение и редактирование правил принятия решений
  • Вывод обобщенной статистики в режиме реального времени
  • Агрегирование и приоритизация данных о событиях ИБ
  • Автоматическое оповещение оператора о событиях ИБ
  • Ролевая модель доступа в консоль управления
  • Аудит действий оператора WAF в консоли управления
  • Интеграция в SIEM-систему по протоколу syslog

• Режимы работы
  • Работа в режиме зеркалирования
  • Работа «в разрыв»
  • Работа в режиме аудита
    • Анализ логов активности веб-сервера

Согласно заявлению компании, на 27 февраля 2017 года «Континент WAF» передан в ФСТЭК России для проведения сертификационных испытаний. При их успешном завершении продукт будет сертифицирован по 4-му классу защиты для межсетевых экранов уровня веб-сервера (тип «Г»).

2016

Высокую динамику продемонстрировали и относительно новые (выпущенные в 2015 году) продукты линейки «Континент» – «Континент TLS VPN» и криптокоммутатор «Континент». Объем их продаж составил 71 млн руб. и 62 млн руб. соответственно. Спрос на «Континент TLS VPN» был обусловлен растущим интересом заказчиков к применению российских алгоритмов шифрования для защиты доступа к госпорталам, а также к организации защищенного удаленного доступа с использованием алгоритмов ГОСТ. Фактором роста продаж криптокоммутаторов «Континент» стала необходимость защиты каналов связи в территориально распределенных центрах обработки данных.

Вышел технический релиз «Континент TLS VPN» 1.0.9 с порталом приложений

Компания «Код безопасности» объявила в апреле 2016 года о выходе технического релиза версии продукта «Континент TLS VPN», предназначенного для обеспечения безопасного удаленного доступа к информационным системам, осуществляющим обработку персональных данных (ИСПДн) и государственным информационным системам (ГИС). В продукте реализован ряд новых функций.

Одно из наиболее значимых изменений в «Континент TLS VPN» 1.0.9 – это создание портала приложений с возможностью аутентификации и авторизации с использованием учетных данных из Active Directory. Такая доработка значительно упрощает процесс управления доступом к корпоративным web-сервисам различным категориям пользователей. Например, с помощью портала можно обеспечить единую точку доступа для сотрудников компании и её подрядчиков. При этом набор доступных приложений будет зависеть от категории и прав пользователя.

Еще одно отличие – добавление возможности создания стартовой страницы сервера, доступной по открытому протоколу HTTP. Она позволяет значительно сократить затраты на поддержку защищенного web-приложения.

В версии 1.0.9 также добавлена возможность работы продукта в режиме TLS-туннеля, что позволяет снять с удаленного пользователя ограничения по взаимодействию через канал, зашифрованный по протоколу TLS. Подобное соединение позволяет обеспечить доступ не только к web-ресурсам, но и к другим типам приложений, например, терминальным серверам (по протоколу RDP) или «толстым клиентам» для корпоративных приложений (ERP, CRM и т.д.). Такой подход значительно увеличивает количество сценариев удаленного доступа, при которых может применяться «Континент TLS VPN».

«Код безопасности» оценил сроки перехода госорганов на российские средства шифрования

16 июля 2016 года на сайте Кремля было опубликовано^[1] поручение президента главе правительства о необходимости подготовить переход органов власти на использование российских криптографических алгоритмов и средств шифрования до 1 декабря 2017 года. В частности, правительство должно обеспечить разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода на использование российских криптографических алгоритмов и средств шифрования, а также предусмотреть безвозмездный доступ граждан РФ к использованию российских средств шифрования.

Опубликованный документ повлечет за собой определенные шаги по приведению ИТ-инфраструктур государственных органов в соответствие заявленным требованиям. В частности, в госструктурах ожидается массовая установка в дополнение к имеющимся решениям отечественных средств криптографической защиты информации (СКЗИ).

Подробнее:

• Закон Яровой (О внесении изменений в УК и УПК РФ в части установления дополнительных мер противодействия терроризму)
• Цензура (контроль) в интернете. Опыт России

Эксперты «Кода безопасности» отмечают, что нововведение коснется в первую очередь порталов государственных услуг федеральных и региональных ведомств. При этом реализация данной задачи затрагивает два аспекта: внедрение СКЗИ на стороне веб-сервера и на стороне пользователей. Если предположить, что на стороне пользователей будет реализовано встраивание сертифицированной криптобиблиотеки в браузер, то решить задачу на стороне веб-сервера можно двумя способами.

Один из них – это встраивание СКЗИ в веб-серверы, второй – внедрение программно-аппаратного комплекса (ПАК) с реализацией TLS VPN (одним из таких продуктов является «Континент TLS VPN Сервер», разработанный «Кодом безопасности»), который будет перехватывать HTTP/HTTPS-трафик и шифровать его в соответствии с алгоритмом шифрования по ГОСТ (28147-89). Каждый из вариантов имеет свои особенности – как с точки зрения технической реализации, так и с точки зрения сроков выполнения проекта.

По оценкам аналитиков «Кода безопасности», в первом случае (встраивание) этапы работ будут следующими:

• Разработка организационно-распорядительной документации (ОРД) - 2 мес.;
• Проведение открытого конкурса по 44-ФЗ - 2,5 мес.;
• Внедрение - 0,5 мес.;
• Контроль встраивания СКЗИ в ФСБ России - 7 мес.;

В результате такой проект можно будет осуществить в течение 1 года.

При выборе варианта установки ПАК проект будет разбит на следующие стадии:

• Разработка ОРД - 2 мес.;
• Проведение открытого конкурса по 44-ФЗ - 2,5 мес.;
• Поставка оборудования и ПО - 1,5 мес.;
• Внедрение - 0,5 мес.

Общая длительность проекта в таком случае составит около 7 месяцев.

Эксперты «Кода безопасности» отмечают, что, исходя из общепринятой практики, между выпуском поручения правительству и началом работ компаний по проектам (с учетом необходимости разработки и принятия подзаконных актов) проходит не менее трех месяцев. Соответственно, есть риск, что выбравшие вариант встраивания СКЗИ в веб-серверы организации с трудом уложатся в поставленные президентом сроки. А в случае задержки принятия подзаконных актов свыше трех месяцев возможны срывы сроков внедрения.

«Помимо сложностей со сроками первый путь - встраивание - сопряжен и с другими трудностями. Это дополнительные трудозатраты сначала на оформление и согласование пакета документов для испытательной лаборатории, а затем - на внесение изменений в код и отладку приложения по итогам анализа испытательной лаборатории. Но главное плюс второго варианта в том, что при выборе ПАК заказчик получает мощное высокопроизводительное промышленное решение, рассчитанное на крупные организации. Оно масштабируемо, удобно в управлении, совместимо с любыми интернет-браузерами, легко интегрируется с внешними SIEM-системами», - рассказал Коростелев Павел, менеджер по маркетингу продуктов компании «Код безопасности».

С учетом вышеизложенного «Код безопасности» рекомендует госзаказчикам выбрать оптимальный алгоритм исполнения требований законодательства и пойти по пути внедрения программно-аппаратного комплекса (ПАК) с реализацией TLS VPN. Для защищенного доступа удаленных пользователей к web-ресурсам применяется сертифицированный ФСБ России программно-аппаратный комплекс «Континент TLS VPN». Он легко развертывается, обладает бесплатным TLS-клиентом для конечных пользователей и может поддерживать свыше 100 тыс. одновременных подключений.

2015

Континент TLS VPN сертифицирован для организации защищенного удаленного доступа

06 августа 2015 года компания «Код Безопасности» сообщила о получении сертификатов ФСБ России на средство криптографической защиты информации (СКЗИ) «Континент TLS VPN» для организации защищенного удаленного доступа к ресурсам компании по протоколу TLS с поддержкой российского алгоритма шифрования ГОСТ 28147–89.

Сертификаты ФСБ России от 30.07.2015 СФ/124–2676 на СКЗИ «Континент TLS VPN Сервер» и СФ/525-2677, СФ/525-2678 на СКЗИ «Континент TLS VPN Клиент» (исполнение 1 и 2) подтверждают соответствие требованиям, предъявляемым ФСБ России к шифровальным (криптографическим) средствам класса КС2 и КС1. Сертификаты ФСБ России разрешают применение СКЗИ «Континент TLS VPN» для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.

Сертификат ФСТЭК России № 3286, выданный 02.12.2014 на СКЗИ «Континент TLS VPN Сервер», подтверждает соответствие продукта требованиям руководящих документов по 4-му уровню контроля на отсутствие НДВ и разрешает его использование при создании АС до класса защищенности 1Г включительно и для защиты информации в ИСПДн и ГИС до 1 класса включительно.

Назначение, архитектура, возможности и особенности продукта

Континент TLS VPN - сертифицированное решение защиты доступа удаленных пользователей к защищаемым ресурсам.

По информации на август 2015 года Континент TLS VPN имеет клиент-серверную архитектуру и состоит из СЗКИ «Континент TLS VPN Сервер», который устанавливается на границе периметра сети, и VPN-клиента СКЗИ «Континент TLS VPN Клиент», устанавливаемого на компьютеры удаленных пользователей.

«Континент TLS VPN Сервер» обеспечивает конфиденциальность, целостность и имитозащиту передаваемой информации и выполняет функции:

• аутентификацию пользователей по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001);
• проверку сертификата пользователя по списку отозванных CRL;
• установление защищенных шифрованных соединений по протоколу HTTPS;
• трансляцию запросов к веб-серверам корпоративной сети и другие.

Континент TLS VPN Сервер IPC-3000F (S021), 2014

СКЗИ «Континент TLS VPN Клиент» представляет собой локальный прозрачный прокси-сервис, который обеспечивает обоюдную аутентификацию с сервером, установку защищенного соединения, обмен зашифрованными данными с сервером. Он также совместим с большинством существующих интернет-браузеров. Кроме того, допускается возможность работы пользователей через «Континент TLS VPN Сервер» без установки клиентского ПО СКЗИ «Континент TLS VPN Клиент». В этом случае на компьютере пользователя должен использоваться браузер MS Internet Explorer c установленным криптосервис-провайдером «КриптоПро CSP» (версии 3.6 или 3.9), обеспечивающим поддержку криптоалгоритмов ГОСТ.

Продукт предназначен для:

• безопасного подключения пользователей к порталам государственных услуг, электронным торговым площадкам, системам интернет-банкинга или корпоративным приложениям через веб-браузер.
• криптографической защиты http-трафика при передаче данных по открытым каналам сетей общего пользования.

Основные возможности

• Криптографическая защита
  • Использование протокола TLS c шифрованием по ГОСТ 28147–89 обеспечивает надежную защиту HTTP-трафика на транспортном уровне

• Мониторинг и журналирование событий ИБ
  • Получение оперативной информации о статистике работы и текущих соединениях сервера «Континент TLS VPN»

• Идентификация и аутентификация пользователей
  • Идентификация и аутентификация пользователей по сертификатам открытых ключей стандарта x.509. Передача аутентификационных данных пользователя на веб-сервер.

• Работа с внешними удостоверяющими центрами (УЦ)
  • Для создания сертификатов x.509 «Континент TLS VPN» использует внешний УЦ «КриптоПро»

• Прозрачное проксирование HTTP-трафика
  • Для защищенного входа на веб-сервис пользователю достаточно указать ip-адрес или доменное имя в адресное строке браузера.

• Масштабируемость и отказоустойчивость
  • Поддержка режима работы в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды.

Особенности

• Высокая производительность – до 20 000 одновременных подключений на одну ноду (IPC-3000F).
• Совместимость с любыми веб-браузерами.
• Удобство управления – все настройки осуществляются администратором через веб-браузер.
• Неограниченная масштабируемость производительности – возможность объединения в высокопроизводительный кластер для достижения производительности свыше 100 тыс. одновременных соединений.
• Простота внедрения и эксплуатации – готовое решение избавляет от необходимости встраивания в веб-сервер криптографических модулей и прохождения процедуры контроля встраивания СКЗИ.
• Простая интеграция с внешними SIEM-системами.

Сертификаты

• Сертификат ФСТЭК России на соответствие требованиям на отсутствие НДВ по 4-му уровню контроля. Применяется для защиты АС до класса 1Г включительно, ИСПДн до УЗ 1 включительно и ГИС до 1 класса включительно.
• Сертификаты ФСБ России «Континент TLS VPN Сервер» на СКЗИ класса КС2 и «Континент TLS VPN Клиент» на СКЗИ класса КС2 и КС1.

Примечания