Кластер NGate из себя представляет объединение нескольких Шлюзов NGate для осуществления синхронизации конфигурации и активных сессий пользователей, что позволяет осуществлять бесшовный переход пользователей в случае падения Шлюза.
Все взаимодействия внутри кластера Шлюзов NGate и ЦУС происходят внутри PKI инфраструктуры с двусторонней аутентификацией и по протоколу ГОСТ TLS.

NGate поддерживает схему Георезервирования - Несколько самостоятельных Кластеров, без синхронизации между собой, разнесенных на несколько удаленных площадок.
NGate не поддерживает схему Георасрасределенного Кластера (разнесение нескольких Шлюзов NGate из одного кластера на удаленные друг от друга площадки).

Поддерживается полноценный Split-tunneling (include only), с отправлением в туннель лишь того трафика, который необходимо заворачивать в туннель.
В части Split-DNS осуществлена приоритезация DNS запросов на более приоритетные DNS-серверы.

Да, поддерживается функционал RADIUS Accounting.

Поддерживаются все L4 балансировщики, с балансировкой TCP пакетов и режимом балансировки - Least conn.

Отправка всех логов на внешний syslog-ресурс.
Отправка ответов на вызовы SNMP, в том числе SNMPv3.
Локальное логирование в течении 2-х недель на самих шлюзах.

Любые LDAPv3, по протоколам LDAP и LDAPS, без поддержки Kerberos.

Любые RADIUS-серверы по протоколу RADIUS.

Сакура, SafeMobile и Efros DefOps.

По умолчанию - нет, однако есть возможность такой конфигурации.

Работа с API описана в документации:
https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/09-api-service/concept-chapter-api.html
На данный момент по API доступен следующий функционал:

• Работа с черными и белыми списками:
  
  1. Создание и удаление списков.
  2. Добавление и удаление атрибутов пользователей в списки.
  3. Присвоение списков к порталам.
  4. Получение состава списков.
  5. Синхронизация списков между ЦУС и Шлюзами.
• Принудительное завершение сессии пользователя по атрибуту.
• Обновление сессии (изменение доступа пользователя в соответствии новым, присвоенным пользователю, группам).

1. VMWare Workstation (11 - 16).
2. VMWare ESXi (5.5 – 7.0), Hyper V (8 / 8.1 / 10/ 2008 / 2008R2 / 2012 / 2012R2 / 2016 / 2019).
3. Oracle VirtualBox 6.0/6.1.
4. KVM из состава поддерживаемых ОС (x64) совместно с Libvirt 6/7/8, QEMU 4.2/5.2/6.2/7 (x64).
5. Yandex KVM YC 5.10 (x64).
6. Yandex QEMU YC 5.0.1 (x64).
7. Xen (7.1 - 7.6).
8. Virtual Box (3.2 - 5.2).
9. Citrix Hypervisor (8.0/8.1/8.2).
10. Proxmox VE 7 (x64) в режиме администрирования ВМ).

Все современные операционные системы, включая:

• Windows 7 / 8 / 8.1 / 10 / Server 2003 / 2008 (x86, x64).
• Windows Server 2008 R2 / 2012 / 2012R2 / 2016 / 2019 (x64).
• Windows Server 2019 (x64) (только Исполнения 5 и 6).
• Android версии 9 / 10 / 11 / 12 (только Исполнение 5).
• iOS версии 9 / 10 / 11 /12 /13 /14 / 15 (только Исполнение 5).
• ОС «Аврора» 4.0.2/4.1 (ARM) Исполнения 5 и 6 (для Исполнения 6 необходимо использовать версию ОС «Аврора», сертифицированную ФСБ России).
• ОС семейства Linux (только Исполнения 5 и 6).
• CentOS 7 / 8 (x86, x64, ARM).
• Red OS (x86, x64, ARM).
• Fedora (x86, x64, ARM, MIPS).
• Oracle Linux 7 / 8 (x86, x64, ARM).
• SUSE Linux Enterprise Server 12 / 15, Desktop 12 / 15 (x86, x64, ARM).
• ОpenSUSE Leap 15 (x86, x64, ARM).
• Red Hat Enterprise Linux 7 / 8 (x86, x64, ARM).
• Ubuntu 14.04/16.04/18.04/20.04/22.04 (x86, x64, ARM).
• Linux Mint 18/19/20 (x86, x64, ARM).
• Debian 9/10/11 (x86, x64, ARM, MIPS).
• ОС Эльбрус (Эльбрус).
• Astra Linux Special Edition, Common Edition (MIPS, x86, x64, ARM).
• ALT Linux 7 (x86, x64, ARM).
• Альт Образование 8 / 9, Альт 8 СП Сервер, Альт 8 СП Рабочая станция, Альт.
• Сервер 9, Альт Рабочая станция 9 (x86, x64, ARM).
• ThinLinux 1/2 (x86, x64, ARM).
• Astra Linux Special Edition (x64) (только Исполнение 7) (Необходимо использовать версию, сертифицированную ФСБ России).
• MacOS X 10.9/10.10/10.11/10.12/10.13/10.14/12.0/12.1/12.2/12.3/12.4/12.5 (x64).

• WEB TLS - TLS-Шлюз доступа к веб-сайтам.
  Доступ пользователей к веб-ресурсам с защитой трафика (шифрованием трафика) и без дополнительного ПО VPN-клиента (TLS-клиента).
• WEB Portal TLS - Шлюз портального доступа.
  Доступ пользователей к веб-ресурсам через портал (доступ осуществляется с помощью браузера) с защитой трафика (шифрованием трафика) и без дополнительного ПО VPN-клиента (TLS-клиента).
• Point-to-Site TLS VPN - VPN-Шлюз удаленного доступа.
  Доступ пользователей к защищаемым информационным ресурсам с применением ПО VPN-клиента (TLS-клиента) на пользовательских устройствах (рабочих местах пользователей), с защитой трафика (шифрованием трафика).
• Site-to-Site IPsec VPN
  Обеспечение функциональности защиты передаваемых данных по открытым каналам связи между распределенными сегментами сети (площадками) посредством реализации набора протоколов IPsec.

Для подключения пользователь должен указать точное имя (URL) и порт, которые настраиваются в портале, к порталу привязывается один режим аутентификации.
В случае необходимости использования нескольких режимов аутентификации необходимо использовать несколько порталов - комбинаций URL+порт.

Ниже список всех полей сертификата, на основе которых можно осуществить фильтрацию:

• Subject.O/OU
• Subject.DN
• Subject.CN
• Subject.INNLE
• Subject.OGRNIP
• Subject.OGRN
• Subject.SNILS
• Subject.INN
• Subject.Surname
• Issuer.O/OU
• Issuer.DN
• Issuer.CN
• Issuer.INNLE
• Issuer.OGRNIP
• Issuer.OGRN
• Issuer.SNILS
• Issuer.INN
• Issuer.Surname
• EKU
• PublicKey
• PublicKeyALgo
• SAN.DNS
• SAN.DirectoryName
• SAN.IP
• SAN.RFC822Name
• SAN.RegisteredID
• SAN.UPN
• SHA1
• Serial
• SignatureAlgorithm

Виды двухфакторной аутентификации:

• Certificate (OIDs) + username/password (LDAP)
• Certificate (OIDs) + username/password (LDAP) + OTP
• Certificate (OIDs) + username/password (LDAP) + OTP + OTP PIN
• Certificate (OIDs) + username/password (LDAP) + OTP PIN
• username/password (LDAP) + OTP
• username/password (LDAP) + OTP + OTP PIN
• username/password (LDAP) + OTP PIN

ЦУС - Центр управления сетью, представляющий собой отдельную машину, выполняющую функции управления кластером.
https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/glossary/glossentry-management-center.html
https://cpdn.cryptopro.ru/content/ngate/admin-guide-next-version/source/01-configuration-type/topic-configuration-cluster-balancer-router.html
Из документации ЦУС – Центр управления сетью – Система управления NGate - это отдельная машина, предназначенная для осуществления централизованной конфигурации и синхронизации настроек кластера, а также централизованной работы с ключами NGate. Все взаимодействия внутри кластера Шлюзов NGate и ЦУС происходят внутри PKI инфраструктуры с двусторонней аутентификацией и по протоколу ГОСТ TLS.
https://cpdn.cryptopro.ru/content/ngate/admin-guide-next-version/source/04-ngate-installation-consol-setting/pki-infrasrtucture/task-pki-creation-internal-ca.html?hl=pki
ЦУС необходим для кластера, без ЦУС кластер не построится и не будет осуществлена синхронизация.

Возможно создание неограниченного количества любых сущностей, в том числе списков ограничения доступа, порталов и ресурсов.

Есть 2 режима публикации:

• Портальная публикация - публикация изменений сущностей, привязанных к порталу, таких как списков ограничения доступа и ресурсов, при этом существующие сессии не завершаются.
  Для обновления доступа пользователей в существующих сессиях необходимо либо обновить сессию, вызовом API, либо пересоздать сессию вручную.
• Полная публикация - публикация всей конфигурации на кластер, при этом существующие сессии завершаются.

Т.к. в NGate работает замкнутая программная среда, изменение состава ПО строго запрещено. Единственный выход - обращение в службу поддержки для осуществления доработки необходимого функционала.

Системы Compliance, при прохождении проверки агентом, добавляют пользователю AD определенную группу доступа, после чего вызовом API обновляют сессию пользователя на NGate для предоставления полного VPN-доступа к ресурсам. Также есть возможность интеграции по RADIUS VSA.

Для реализации VPN: на клиентских машинах необходимо установить ПО Криптопровайдер Крипто-Про CSP с введенной лицензией и ПО Крипто-Про NGate.

Для реализации WEB-TLS и аутентификации пользователей по сертификату: на клиентских машинах необходимо установить ПО Криптопровайдер Крипто-Про CSP с введенной лицензией.

Для реализации WEB-TLS и аутентификации пользователей без использования сертификата: на клиентских машинах необходимо установить ПО Криптопровайдер Крипто-Про CSP.

Для реализации VPN, на клиентских машинах необходимо установить ПО криптопровайдер КриптоПро CSP с введенной лицензией и не сертифицированный клиент ПО КриптоПро NGate.
Также для VPN необходимо создавать отдельный портал для ГОСТ и отельный портал для не ГОСТ шифрования.
Для WEB-TLS ГОСТ и не ГОСТ шифрования могут быть установлены на одном портале, при этом NGate сам будет определять поддерживаемый пользователем метод шифрования.

PKI-инфраструктура необходима, чтобы все компоненты системы взаимодействовали по протоколу ГОСТ TLS, для чего создаются определенные служебные сертификаты.
Раз в год и 3 месяца необходимо перевыпускать все сервисные сертификаты PKI инфраструктуры на всех компонентах кластера NGate.

ЭЛВИС-ПЛЮС, Криптонит, Фактор-ТС, Дионис.

Да, NGate поддерживает возможность смены пароля LDAP пользователем при VPN подключении.

Да, NGate обеспечивает изолированность пользователей по умолчанию, также есть возможность настроить обратное.

Да, пользователи могут использовать IP в URL для подключения к порталу, однако мобильные устройства не поддерживают данное подключение.

Да, в режиме WEB-TLS данные о пользователе, включая IP источника, могут передаваться защищаемому ресурсу в заголовке.

Да, NGate может шифровать данные между кластером NGate и защищаемым ресурсом, выстраивая новую TLS сессию между NGate и защищаемым ресурсом.

ПАК представляет из себя аппаратную платформу с заявленными и проверенными характеристиками производительности, также ПАК обладает как классом защиты КС1, так и КС3.

Обновлять пользовательские сертификаты необходимо каждый год и 3 месяца, как и сертификаты внутренней PKI-инфраструктуры и серверные сертификаты порталов NGate.

UDP 500 и UDP 4500 (при использовании NAT) и транспортный протокол ESP.

Пул адресов VPN-клиентов автоматически разделяется на равные пулы, для каждого Шлюза кластера NGate.

Есть возможность передачи RADIUS-серверу данных об IP-адресе пользователя, а также получить IP-адрес от RADIUS-сервера для конкретного пользователя.

Нет, не поддерживается.

Есть возможность статически настроить таймер автоматического скачивания CRL из заданных точек CDP.