CheckPoint網(wǎng)絡(luò)安全解決方案-技術(shù)版

CheckPoint面向未來的網(wǎng)絡(luò)安全解決方案Mar30,2010Agenda我們需要什么樣的“防火墻”面向未來的安全解決方案概覽CheckPoint安全網(wǎng)關(guān)技術(shù)特點(diǎn)附錄：CheckPoint網(wǎng)關(guān)安全產(chǎn)品線介紹NAT路由WEB管理吞吐量連接數(shù)VPN我們需要什么樣的“防火墻”？這樣的防火墻，還能夠滿足企業(yè)現(xiàn)在的安全需求嗎？我們需要什么樣的“防火墻”（1）傳統(tǒng)防火墻已經(jīng)無法為服務(wù)器提供全面安全保護(hù)Video演示（1）我們需要什么樣的“防火墻”（2）傳統(tǒng)防火墻已經(jīng)無法為客戶端提供全面安全保護(hù)Video演示（2）我們需要什么樣的“防火墻”（3）用戶的實(shí)際網(wǎng)絡(luò)流量永遠(yuǎn)不會(huì)是1，64B2，UDP防火墻的測試工具和方法也在變化1，SmartBit（3~4層測試）；2，Avalanche（應(yīng)用層混合數(shù)據(jù)流測試）我們需要什么樣的“防火墻”（4）WEB管理界面的確很簡單如果僅僅是限于配置“1臺(tái)防火墻”的“訪問控制規(guī)則”的話但“配置規(guī)則”就意味著安全嗎？“配置規(guī)則”就是防火墻管理的核心內(nèi)容嗎？可管理安全防火墻管理，不僅僅是登陸WEB界面去配置規(guī)則如何方便、快速的監(jiān)控企業(yè)安全狀況，分析事故，解決問題，才是安全管理的核心應(yīng)用級性能企業(yè)的網(wǎng)絡(luò)流量永遠(yuǎn)不可能都是UDP64B，而是混合業(yè)務(wù)流應(yīng)用級安全我們需要什么樣的“防火墻”？企業(yè)關(guān)注的是WEB、DNS、郵件的安全而不是簡單的TCP/UDP端口的開/閉“可管理”的“應(yīng)用級安全”，是防火墻發(fā)展的必然方向CheckPoint解決方案概覽

CheckPointTotalSecurity—

應(yīng)對日益復(fù)雜企業(yè)應(yīng)用安全環(huán)境和威脅FirewallVPNWebSecurityDataLeakageIDSIPSSPAMReportsLoggingEventManagementPolicyDefinitionProvisioningEndpointManagementDataEncryptionMalwareVirusesWormsRemovableMediaApplicationFirewallUnified

GatewaySingleMANAGEMENTConsoleSingle

AgentforEndpoint&

DataSecurityCheckPoint防火墻管理架構(gòu)管理客戶端管理服務(wù)器(SmartCenter）硬件解決方案：SMART-1軟件解決方案：SmartCenter+PCServerPower-1UTM-1IP系列CheckPoint防火墻采用三層管理架構(gòu)UTM-1內(nèi)置管理服務(wù)器；Power-1和IP系列必須要配置管理服務(wù)器才能夠部署SMART-1硬件是CheckPoint硬件解決方案防火墻網(wǎng)關(guān)CheckPoint網(wǎng)關(guān)產(chǎn)品線概覽-防火墻網(wǎng)關(guān)Pre-definedsystem

5bladesPower-1

平臺(tái)Power-1

平臺(tái):高性能&UTM*適用于高端用戶9Gbps~25GbpsIP*平臺(tái)IP

平臺(tái):模塊化&擴(kuò)展性高性能&高可靠性適用于中、高端用戶1.5Gbps~29GbpsUTM-1平臺(tái):UTM*&內(nèi)置管理適用于中低端用戶400M~4.5GbpsUTM-1

平臺(tái)UTM-1和Power-1是CheckPoint原有防火墻產(chǎn)品線IP防火墻來源于2008年收購整合的NOKIAIP系列防火墻產(chǎn)品線CheckPoint網(wǎng)關(guān)產(chǎn)品線概覽-管理平臺(tái)UTM-1IPPower-1IPS-1VSX-1EndpointSecurityAbraSmart-1管理平臺(tái)型號Smart-15Smart-125Smart-150Smart-1150管理防火墻數(shù)量5-25*25-5050-150150-UUTM-1/IP/Power-1系列的產(chǎn)品定位UTM-1IPPower-1市場層面區(qū)別目標(biāo)用戶中小企業(yè),高端企業(yè)客戶分支機(jī)構(gòu)中高端企業(yè)高端企業(yè)適用價(jià)格敏感度高低中用戶功能需求功能需求復(fù)雜*高性能，高端口密度功能需求相對簡單**性能要求高功能需求復(fù)雜金融機(jī)構(gòu)大型企業(yè)電信運(yùn)營商教育機(jī)構(gòu)能源行業(yè)醫(yī)療機(jī)構(gòu)餐飲連鎖交通運(yùn)營尋求市場定位

專業(yè)制造分支機(jī)構(gòu)如何客觀的評價(jià)一款防火墻產(chǎn)品應(yīng)用安全安全性能安全管理傳統(tǒng)功能（防火墻/VPN）傳統(tǒng)功能（防火墻/VPN）鏈路負(fù)載均衡。Inbond/outbond鏈路復(fù)雜均衡，支持DNSProxy強(qiáng)大的認(rèn)證功能。可以實(shí)現(xiàn)基于Session的用戶認(rèn)證認(rèn)證集成功能。和MicrosoftAD集成實(shí)現(xiàn)用戶認(rèn)證單點(diǎn)登錄深入的協(xié)議檢測。Eg，防火墻引擎可控制的FTP命令為50+預(yù)定義300+協(xié)議，對網(wǎng)絡(luò)應(yīng)用及協(xié)議的全面支持傳統(tǒng)功能（1）—狀態(tài)檢測引擎的發(fā)明者到目前為止，CheckPoint防火墻引擎依然具有獨(dú)特的優(yōu)勢傳統(tǒng)功能（1）如何在DHCP環(huán)境中對用戶網(wǎng)絡(luò)行為進(jìn)行審計(jì)分析？如何在多用戶環(huán)境中對用戶網(wǎng)絡(luò)行為進(jìn)行審計(jì)分析？通過防火墻日志如何快速定位事件的責(zé)任人和主機(jī)？實(shí)現(xiàn)上述功能，是否需要復(fù)雜的配置和額外的主機(jī)？IdentityLogging*傳統(tǒng)功能（2）傳統(tǒng)功能（2）—基于用戶的日志審計(jì)分析傳統(tǒng)功能（3）傳統(tǒng)功能（3）—靈活的VPN一鍵式VPN，智能管理SSLVPNMobileVPN專用VPN客戶端免費(fèi)數(shù)字證書VPN接入終端健康檢查VPNinPocket雙因素認(rèn)證傳統(tǒng)功能（4）—高可用性專有的安全網(wǎng)關(guān)集群解決方案不需第三方負(fù)載均衡設(shè)備自身動(dòng)態(tài)負(fù)載均衡

Firewall/VPN/IPSIntranetApplicationServersProxyCachesInternet傳統(tǒng)功能（4）應(yīng)用安全應(yīng)用安全(1)CheckPoint軟件刀片是什么？軟件刀片CheckPoint基于防火墻應(yīng)用安全的發(fā)展方向提出的新一代安全架構(gòu)；各種安全功能軟件刀片實(shí)質(zhì)上是防火墻設(shè)備上的獨(dú)立的軟件模塊；應(yīng)用安全(2)集中管理高性價(jià)比CheckPoint為什么要研發(fā)軟件刀片？企業(yè)面臨的安全威脅日益復(fù)雜，傳統(tǒng)堆疊式解決方案為企業(yè)帶來了嚴(yán)重的經(jīng)濟(jì)負(fù)擔(dān)，且管理負(fù)載、技術(shù)支持接口繁雜CheckPoint軟件刀片架構(gòu)，在保證性能可用的前提實(shí)現(xiàn)了全面防護(hù)使用簡單應(yīng)用安全(3)CheckPoint軟件刀片如何保障性能CheckPointCoreXL開放性能架構(gòu)保障軟件刀片高性能的核心技術(shù)基礎(chǔ)充分利用CPU多核架構(gòu)，應(yīng)用級性能成倍提升CheckPoint是和Intel合作最為緊密的安全廠商網(wǎng)絡(luò)安全CPU多核技術(shù)是下一代防火墻的發(fā)展的未來應(yīng)用安全數(shù)據(jù)安全CoreXL2*4CoreCPU數(shù)據(jù)處理示例fw5conntableQueueFifthCoreSixthCoreDispatcherDispatchertablePKTPKTPKTfw6conntableQueuefw7conntableQueueSeventhCoreEighthCorefw1conntableQueueFirstCoreSecondCorefw2conntableQueuefw3conntableQueueThirdCoreFourthCorefw4conntableQueuePKTPKTPKTPKTUpto501%PerformanceIncrease!!!應(yīng)用安全—IPS刀片應(yīng)用安全-IPS刀片(1)CheckPointIPS軟件刀片概述所有CheckPoint安全網(wǎng)關(guān)*預(yù)置IPS軟件刀片，具有相同的功能和統(tǒng)一的管理界面，只是性能不同；應(yīng)用安全-IPS刀片(2)IPS軟件刀片的特點(diǎn)（1）-全面的防護(hù)能力連續(xù)2年，微軟漏洞防護(hù)能力最佳；微軟漏洞幾乎已成為企業(yè)安全威脅最主要的來源強(qiáng)大的應(yīng)用控制能力阻斷MSN/QQ/迅雷/Skype等WEB防火墻模塊保護(hù)WEB服務(wù)器免受攻擊保護(hù)郵件服務(wù)器FTP服務(wù)器DNS服務(wù)器IP電話系統(tǒng)…..應(yīng)用安全-IPS刀片(3)強(qiáng)大的IPS性能，最高可到15Gbps的IPS防護(hù)能力IPS軟件刀片的特點(diǎn)（2）-強(qiáng)大的性能CheckPoint桌面型設(shè)備：UTM-1130防火墻吞吐量400Mbps，IPS吞吐量300Mbps應(yīng)用安全未來是：基于CPU的多核架構(gòu)得益于CheckPointCoreXL多核技術(shù)，充分利用多核CPU的強(qiáng)勁威力2*4核CPU=15Gbps的IPS吞吐量2*48核CPU=?IPS軟件刀片的特點(diǎn)（3）—統(tǒng)一管理通過單一界面管理CheckPointIPS、防火墻、VPN、SSLVPN…應(yīng)用安全-IPS刀片(4)IPS事件可視化

實(shí)時(shí)時(shí)間線事件分類挖掘基于用戶鑒別客戶端狀態(tài)查詢地理信息管理IPS軟件刀片的特點(diǎn)（4）—高性價(jià)比IPS軟件刀片1年費(fèi)用$7500（包含了產(chǎn)品和升級費(fèi)用）CheckPoint網(wǎng)關(guān)標(biāo)準(zhǔn)配置*，包含了1年的IPSUTM-1132，272，572標(biāo)準(zhǔn)價(jià)格不包含IPS刀片IPS軟件刀片

僅僅$7,500**Opexonly–年費(fèi)應(yīng)用安全-IPS刀片(5)IPS軟件刀片的特點(diǎn)（5）—IPS部署（安裝）方便部署方便在防火墻上單擊鼠標(biāo)即可啟動(dòng)IPS軟件刀片您不用熬夜割接系統(tǒng)啦應(yīng)用安全-IPS刀片(6)CheckPoint軟件刀片概覽安全網(wǎng)關(guān)刀片安全管理刀片重復(fù)使用您的安全架構(gòu)通過軟件刀片架構(gòu)是應(yīng)用安全的未來軟件刀片無額外的硬件無額外的電耗無額外的機(jī)架空間無額外的維修安全管理管理的問題管理架構(gòu)安全策略監(jiān)控狀態(tài)分析故障解決問題數(shù)據(jù)匯報(bào)合規(guī)性審計(jì)流程管理超負(fù)荷運(yùn)行的后果！了解安全設(shè)備運(yùn)行狀態(tài)運(yùn)行狀態(tài)模塊狀態(tài)CPU狀態(tài)內(nèi)存狀態(tài)存儲(chǔ)狀態(tài)并發(fā)連接新建連接雙機(jī)狀態(tài)……監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)分析網(wǎng)絡(luò)異常流量異常流量來源分析異常服務(wù)端口分析網(wǎng)絡(luò)健康狀態(tài)分析……定位異常主機(jī)的活動(dòng)

集中存儲(chǔ)分類查詢150+字段靈活架構(gòu)提供事件依據(jù)用戶帶寬和網(wǎng)絡(luò)連接資源占用報(bào)告網(wǎng)絡(luò)服務(wù)帶寬占用報(bào)告報(bào)表自動(dòng)化提高安全事件的管理效率報(bào)警事件收斂分析報(bào)警事件數(shù)據(jù)挖掘合規(guī)性審計(jì)分析更新安全防護(hù)狀態(tài)一鍵式更新覆蓋全網(wǎng)安全設(shè)備防火墻安全管理面臨的下一個(gè)挑戰(zhàn)CheckPoint

SmartWorkflow流程管理刀片如何降低人為錯(cuò)誤引起的防火墻宕機(jī)如何審計(jì)防火墻管理員的行為如何安全管理的合規(guī)性，符合用戶安全要求如何實(shí)現(xiàn)防火墻管理流程的自動(dòng)化和可視化流程管理-Smartworkflow單一管理控制臺(tái)提高安全性和效率，同時(shí)降低運(yùn)行費(fèi)用可見的變更追蹤降低人為的策略配置錯(cuò)誤風(fēng)險(xiǎn)靈活的授權(quán)和已有批準(zhǔn)的流程一致綜合的審計(jì)和報(bào)表通過策略變更的追蹤加強(qiáng)合規(guī)性自動(dòng)的策略變更管理安全管理流程化

安全策略變更流程化流程可定制配置選項(xiàng)： 基于角色批準(zhǔn) 自批準(zhǔn) 緊急繞過策略變更可視化高亮顯示策略變更對比策略變更前策略變更后所見即所得審計(jì)Who?審計(jì)What?When?How?Why?ReviewandApproveChangesChangesHighlightedinSmartDashboard審計(jì)策略變更和所有合規(guī)性調(diào)整需要的細(xì)節(jié)您的選擇來自CheckPoint的“刀片式”軟件多點(diǎn)解決方案/供應(yīng)商多個(gè)項(xiàng)目專用的硬件設(shè)備專用的管理平臺(tái)一個(gè)項(xiàng)目多種配置單一管理降低投資降低TCOCheckPoint網(wǎng)關(guān)安全產(chǎn)品線介紹網(wǎng)關(guān)設(shè)備產(chǎn)品線介紹Pre-definedsystem

5bladesPower-1

平臺(tái)Power-1

平臺(tái):高性能&UTM*適用于高端用戶9Gbps~25GbpsIP平臺(tái)IP

平臺(tái):模塊化&擴(kuò)展性高性能&高可靠性適用于中、高端用戶1.5Gbps~29GbpsUTM-1平臺(tái):UTM*&內(nèi)置管理適用于中低端用戶400M~4.5GbpsUTM-1

平臺(tái)CheckPointIP系列：靈活的硬件平臺(tái)和軟件模塊Fullappliancerange模塊化和可擴(kuò)展的刀片架構(gòu)firewallbladeIPSecVPNbladeIPSbladeAdvancedNetworkingbladeAcceleration/Clusteringblade硬件加速AC/DC電源

NEBS認(rèn)證FiberNICs

模塊化網(wǎng)絡(luò)端口websecuritybladevoiceoverIPblade可選lCheckPointIP系列安全平臺(tái)技術(shù)參數(shù)IPAppliancesIP295IP395IP565IP695IP1285IP245510/100/1000端口6/84/84/124/164/284/3210GbE端口---61010防火墻吞吐量1.5Gbps3.0Gbps6.3Gbps7.2Gbps10.3Gbps10.3Gbps11.7Gbps115.4Gbps129

Gbps1VPN吞吐量1.0Gbps677Mbps1.7Gbps1.4Gbps1.9Gbps1.9Gbps3.3Gbps18.3Gbps18.3Gbps1IPS吞吐量1.4Gbps2.9Gbps2.9Gbps4Gbps7Gbps9Gbps并發(fā)連接數(shù)

110萬

110萬

110萬

110萬

110萬

110萬

VLANS102410241024102410241024ADP模塊---OptionalOptionalOptionalVPN加速OptionalIncludedIncludedIncludedIncludedIncluded硬盤或FlashDiskorFlashDiskorFlashDiskorFlashDiskorFlashDiskorFlashDiskorFlash外觀1U/halfrack1U1U1U2U2U1，PerformancewithoutADPandwithADPCheckPointUTM-1完整的中小企業(yè)解決方案適用于中小型企業(yè)介于190Mbps–4.5Gbps的性能綜合安全防御能力內(nèi)置安全管理模塊UTM-1272/276UTM-1572/576UTM-13073/3076UTM-11073/1076UTM-12073/2076UTM-1132/136FWBladeVPNBladeIPSBladeURLFilteringBladeAntivirus&antimalwareBladeAntispam&messagingsecurityBladeUTM-1EdgeUTM-1設(shè)備技術(shù)指標(biāo)UTM-1132/6UTM-1272/6UTM-1572/6UTM-11073/6UTM-12073/6UTM-13073/6SWeditionR65,R70R65,R70R65,R70R65,R70R65,R70R65,R7010/100Ports1-----10/100/1000Ports4468810FirewallThroughput400Mbps600Mbps1.1Gbps2Gbps3Gbps4.5GbpsVPNThroughput100Mbps100Mbps250Mbps250Mbps280Mbps1.1GbpsIPSThroughput300Mbps380Mbps700Mbps900Mbps1Gbps4GbpsConcurrentSessions300,000600,000800,0001.1Million1.1Million1.1MillionVLANs102410241024102410241024StorageCapacity80Gbps160Gbps160Gbps160Gbps160Gbps160GbpsIntegratedMultigatwayMgmtStandaloneYesYesYesYesYesRecommendedsizingUpto75usersUpto125usersUpto250usersUpto500usersUpto1000usersUpto1500users-IPSThroughputTestbasedonreal-worldtrafficblendusingthedefaultprofilePower-1同一硬件，軟件License提升性能，節(jié)省初期投資Power-1設(shè)備技術(shù)指標(biāo)Power-15075Power-19075Power-111000Series110651107511085SoftwareEditionR65,R70R65,R70R70R70R70SoftwareBladesFirewall,IPSecVPN,IPS,AdvancedNetworking,Acceleration,andClustering10/100/1000Ports10/1414/1814/1814/1814/1810GEPorts2*4*4*4*4*FirewallThroughput9Gbps16Gbps*15Gbps20Gbps25GbpsVPNThroughput2.4Gbps3.7Gbps3.7Gbps4.0Gbps4.5GbpsIPSThroughput7.5Gbps10Gbps10Gbps12Gbps15Gb