Высокоскоростной шифратор Ethernet L2 начального уровня с криптоалгоритмами AES, гнездами для приемопередатчиков формата SFP и пропускной способностью до 1 Гбит/с. Устройство выпускается в компактном настольном корпусе, но с помощью монтажного комплекта, поставляемого вместе с шифратором, его также можно установить в 19-дюймовую стойку. Эта модель предназначена для защиты каналов между центральной площадкой (штаб-квартирой, управляющей компанией) и филиалами (дочерними компаниями), для подключения офиса компании к ее приложениям и данным в коммерческих ЦОДах. а также для специальных применений (например, шифрования видеопотоков или трафика АСУТП). Модули SFP обеспечивают подключение шифратора к портам Ethernet по медным, многомодовым и одномодовым оптоволоконным линиям. Модель CN4020 совместима со всеми другими моделями высокоскоростных шифраторов Thales.

Шифратор обеспечивает полнодуплексное шифрование без потерь кадров с накладными расходами пропускной способности не более 8 байт на кадр и типичной вносимой задержкой меньше 10 мкс. Для увеличения пропускной способности путем балансировки трафика через несколько каналов и обеспечения отказоустойчивости шифраторы можно использовать в агрегированных каналах Ethernet. Обеспечивается сквозное шифрование трафика в линейном («точка-точка») и многоточечном режимах соединения между шифраторами для всех типов адресации: одноадресного, многоадресного, широковещательного.

Высокоскоростные шифраторы Thales работают по принципу «узел на проводе», то есть прозрачны для трафика передачи данных и управления сетью, и для их установки и настройки не требуется вносить никаких изменений в конфигурацию сети. Помимо сплошного шифрования обеспечивается и выборочное, причем в качестве критерия для шифрования можно использовать MAC-адреса или VLAN ID назначения в сочетании номером протокола (EtherType) и типом адресации. Для совместимости с разными протоколами в сети между шифраторами реализованы поддержка сверхдлинных кадров (jumbo frames), мутация (временная подмена) EtherType, отступ начала шифрования перед заголовками и пропуск без шифрования кадров с особыми MAC-адресами, EtherType или VLAN ID.

Каждый шифратор Thales может одновременно поддерживать соединения с одним (линейный режим) или несколькими (многоточечный режим) шифраторами, позволяя реализовать различные логические топологии защищенной сети: «точка-точка», «дерево», полносвязную. Благодаря этому достаточно всего одного или двух (если нужно резервирование) устройств на каждый доверенный сегмент сети. Устройство способно автоматически обнаруживать другие шифраторы Thales и устанавливать с ними защищенные соединения, а также обнаруживать отказ шифраторов на другой стороне соединения.

Простой процесс установки обеспечивает очень быстрое развертывание и минимальные требования к обслуживанию по принципу «поставил и забыл». Средства управления позволяют легко настраивать и контролировать политики безопасности для аудита и проверки соответствия нормативам. Управление групповыми ключами и разделение обязанностей соответствует общепринятым правилам информационной безопасности, поэтому работу с шифраторами можно полностью поручить службе ИБ.