# 1. Введение и общая архитектура АСБИ [← Оглавление](README.md) --- ## 1.1. Что такое АСБИ **АСБИ** (Автоматизированная система обеспечения безопасности интернета) — это государственная система, создаваемая в рамках реализации закона о суверенном интернете. Её основная задача — обеспечить возможность анализа, фильтрации и управления интернет-трафиком на уровне операторов связи на всей территории Российской Федерации. АСБИ представляет собой распределённую иерархическую систему, состоящую из: - **ТСПУ** (технические средства противодействия угрозам) — комплексы оборудования, устанавливаемые непосредственно у операторов связи; - **Центральная система управления (ЦСУ)** — централизованная платформа для управления всеми ТСПУ, развёрнутая на двух физически независимых площадках с резервированием. Все ТСПУ связаны с ЦСУ и управляются через неё. Именно через центральную систему управления выполняются основные операции по конфигурированию, мониторингу и обновлению оборудования ТСПУ. ## 1.2. Закон о суверенном интернете и участники проекта Проект АСБИ реализуется в рамках **закона о суверенном интернете** (Федеральный закон № 90-ФЗ). В реализации проекта участвуют несколько ключевых организаций: | Роль | Организация | Описание | | -------------------------- | --------------------------------------- | --------------------------------------------------------------------------------------------------------------- | | **Заказчик** | ГУП ГРЧЦ (Главный радиочастотный центр) | Представляет интересы государства | | **Генеральный подрядчик** | АО «ДЦА» | Осуществляет общее руководство проектом | | **Поставщик оборудования** | RDP.ru | Поставляет два типа устройств: **балансировщики** и **фильтры**, а также разрабатывает часть системы управления | Проект развивался поэтапно: - **Пилотный проект** — развёрнут на Урале, включает ограниченное количество площадок. Использует байпасы GL Sun и раннюю версию ЦСУ; - **Федеральный проект** — масштабное развёртывание по всей стране. Включает байпасы Silicom, новое оборудование фильтров (модели 2020 года), новую версию ЦСУ и эшелонированную систему фильтрации. На данном этапе предполагается порядка **350 площадок** и суммарно около **5 000 устройств**. ## 1.3. Что такое ТСПУ — комплекс оборудования у операторов связи **ТСПУ** (Технические средства противодействия угрозам) — это комплекс оборудования, который устанавливается **в разрыв каналов связи оператора**. ТСПУ перехватывает проходящий трафик, анализирует его и при необходимости выполняет блокировку или деградацию определённых типов соединений. Ключевой принцип работы ТСПУ — **прозрачность для оператора**. С точки зрения сетевой топологии оператора, ТСПУ представляет собой «прозрачный провод»: трафик, вошедший через определённый канал связи, обязательно возвращается в тот же канал. Оператор не должен вносить изменения в свою маршрутизацию при установке ТСПУ. ТСПУ может устанавливаться в нескольких различных местах сети оператора (подробнее — в [разделе 6](06-placement.md)), и на одной площадке оператора может быть развёрнуто различное количество оборудования в зависимости от объёма трафика и количества каналов связи. Существует два типа ТСПУ: - **ТСПУ тип А** (первый эшелон) — основной тип, устанавливается у большинства операторов. Когда говорят просто «ТСПУ» без уточнения, подразумевают именно тип А; - **ТСПУ тип Б** (второй эшелон, эшелонированная система) — устанавливается на уровне ядра сети крупных операторов для обработки трафика, который не прошёл через ТСПУ тип А (подробнее — в [разделе 7](07-echelon.md)). ## 1.4. Общая схема: байпасы, балансировщики, фильтры, сегмент управления ТСПУ состоит из следующих подсистем (устройств): ```text Оборудование оператора │ ┌───────┴───────┐ │ Байпасы │ ← защита каналов оператора └───────┬───────┘ │ ┌───────┴───────┐ │Балансировщики │ ← распределение трафика └───────┬───────┘ │ ┌─────────────┼─────────────┐ │ │ │ ┌───┴───┐ ┌───┴───┐ ┌───┴───┐ │Фильтр │ │Фильтр │ │Фильтр │ ← анализ и фильтрация └───────┘ └───────┘ └───────┘ ────────────────────────────────────────── Сегмент управления (VPN → ЦСУ) ``` ### Байпасы Байпасы — это устройства, обеспечивающие **физическую защиту каналов связи оператора**. Каналы связи оператора разрываются и заворачиваются на байпас. Количество байпасов на площадке определяется количеством линков оператора, в разрыв которых устанавливается ТСПУ. Байпасы работают на скоростях **10–100 Гбит/с** (в отдельных случаях — 1 Гбит/с). В случае аварии (например, обесточивания) байпас замыкает каналы напрямую, минуя остальное оборудование ТСПУ, чтобы не нарушить связность сети оператора. ### Балансировщики Балансировщики — это **высокопроизводительные программируемые коммутаторы**, принимающие трафик от байпасов и распределяющие его по подключенным фильтрам. Основные характеристики: - 32-портовые, одноюнитовые (1U); - пропускная способность — **3,2 Тбит/с** (на полной скорости при размере пакета более 160 байт); - количество балансировщиков зависит от количества каналов связи и объёма трафика оператора. Все порты балансировщика разделяются на две группы: - **LAN-порты** — в сторону оборудования оператора (через байпасы), где находятся абоненты; - **WAN-порты** — в сторону интернета. Эта идеология LAN/WAN прослеживается через всё оборудование ТСПУ — от байпасов до фильтров. ### Фильтры Фильтры — это **основные устройства ТСПУ**, занимающиеся непосредственно анализом и обработкой трафика (DPI — Deep Packet Inspection). Именно на фильтрах выполняется распознавание протоколов, фильтрация по реестру Роскомнадзора, блокировка и деградация трафика. Количество фильтров зависит **исключительно от объёма трафика**, который необходимо обрабатывать: - У оператора с большим количеством каналов, но небольшим объёмом трафика — может быть мало фильтров; - У оператора с малым количеством высокоскоростных каналов и большим трафиком — потребуется много фильтров. Фильтры подключаются к балансировщикам преимущественно интерфейсами **10 Гбит/с Ethernet** (в отдельных случаях — 1 Гбит/с). Количество интерфейсов между балансировщиком и фильтрами может значительно превышать количество каналов в сторону оператора. ### Сегмент управления Сегмент управления — это набор коммутаторов, VPN-шлюзов и вспомогательных серверов, обеспечивающих связь оборудования ТСПУ с центральной системой управления. Через VPN-канал все устройства площадки подключаются к ЦСУ, что позволяет удалённо управлять каждым компонентом ТСПУ. В состав сегмента управления также входят: - **SPFS** (сервер предварительного формирования списков) — собирает протокольные логи с фильтров и передаёт их в ЦСУ для формирования списков блокировки; - **СПХД** (сервер предварительного хранения данных) — используется для хранения системных логов с устройств площадки. ### Простейший вариант ТСПУ В минимальной конфигурации ТСПУ может состоять из: - **1 байпас** — для одного-двух каналов связи; - **1 фильтр** — для обработки всего трафика оператора; - **Сегмент управления** — SPFS, СПХД, коммутатор, VPN-шлюз. В таком варианте балансировщик не требуется, так как весь трафик обрабатывается одним фильтром. Однако могут быть подключены только каналы 1 или 10 Гбит/с Ethernet, поскольку фильтры текущего проекта не поддерживают интерфейсы 100 Гбит/с — только 1G и 10G в зависимости от модели. ### Типовая схема ТСПУ В типовой конфигурации присутствуют все компоненты: несколько байпасов (по количеству каналов оператора), один или несколько балансировщиков и множество фильтров. Балансировщик принимает трафик от всех байпасов, распределяет его по фильтрам для обработки, после чего обработанный трафик возвращается через балансировщик и байпас обратно в сеть оператора. --- [← Оглавление](README.md) · [Раздел 2: Прохождение трафика через ТСПУ →](02-traffic-path.md)