Check-Point-解決方案及案例---電信行業(yè)

CheckPoint解決方案及案例—電信行業(yè)2009-10-1320:19出處：中國IT實驗室作者：佚名【網(wǎng)友評論0條發(fā)言】0點擊分享中國的電信業(yè)正處于不斷變革的時期，市場正由中國電信獨家經(jīng)營的壟斷格局走向多家競爭。目前，國內(nèi)的電信市場主要由中國電信、中國聯(lián)通以及中國網(wǎng)通、中國吉通等擁有電信業(yè)務(wù)經(jīng)營權(quán)的運營商共同經(jīng)營，他們主要從事基礎(chǔ)網(wǎng)絡(luò)的建設(shè)和基本業(yè)務(wù)經(jīng)營，同時紛紛對以數(shù)據(jù)業(yè)務(wù)為代表的新業(yè)務(wù)、電信增值業(yè)務(wù)投入了大量的人力和物力，在這些領(lǐng)域展開角逐。行業(yè)需求中國的電信業(yè)正處于不斷變革的時期，市場正由中國電信獨家經(jīng)營的壟斷格局走向多家競爭。目前，國內(nèi)的電信市場主要由中國電信、中國聯(lián)通以及中國網(wǎng)通、中國吉通等擁有電信業(yè)務(wù)經(jīng)營權(quán)的運營商共同經(jīng)營，他們主要從事基礎(chǔ)網(wǎng)絡(luò)的建設(shè)和基本業(yè)務(wù)經(jīng)營，同時紛紛對以數(shù)據(jù)業(yè)務(wù)為代表的新業(yè)務(wù)、電信增值業(yè)務(wù)投入了大量的人力和物力，在這些領(lǐng)域展開角逐。隨著WTO的加入、國外電信運營商的逐步進入中國市場，電信政策將越來越寬松，中國電信業(yè)的格局將發(fā)生急劇的變化。在這種劇烈的變化下，誰為用戶提供了更安全、更快捷的服務(wù)，誰就將在巨大的中國電信市場抓住先機。電信企業(yè)是以提供網(wǎng)絡(luò)和數(shù)據(jù)通信服務(wù)為主要經(jīng)營業(yè)務(wù)的企業(yè)。通過在電信企業(yè)實施全面、有效、合理的安全措施將達到以下目標(biāo)：1、保護電信企業(yè)電信運營網(wǎng)的安全。包括構(gòu)成電信網(wǎng)絡(luò)的所有設(shè)施、系統(tǒng)以及系統(tǒng)所處理的數(shù)據(jù)和信息的安全保護。2、在保證安全的前提下，滿足較高的網(wǎng)絡(luò)吞吐性能和高可用性需求。3、中央安全管理，以高效的管理模式盡量減少昂貴的人力和物力資源的投入。4、以有限的代價，提高電信企業(yè)為其客戶提供優(yōu)于競爭對手的服務(wù)的能力，以獲得競爭優(yōu)勢。CheckPoint針對電信客戶解決方案CheckPoint軟件技術(shù)有限公司是因特網(wǎng)安全領(lǐng)域的全球領(lǐng)先企業(yè)。CheckPoint軟件技術(shù)有限公司的安全虛擬網(wǎng)絡(luò)(SVN)體系結(jié)構(gòu)可提供支持安全、可靠的因特網(wǎng)通信的基礎(chǔ)設(shè)施。通過因特網(wǎng)、Intranet和Extranet，SVN可確保網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和用戶之間的安全通信。在公司的“NextGeneration”產(chǎn)品系列中發(fā)布的SVN解決方案，進一步加強了公司網(wǎng)絡(luò)、遠程員工、辦事處以及合作伙伴外部網(wǎng)的業(yè)務(wù)通信和資源的安全。CheckPoint公司的安全性開放式平臺(OPSEC)可提供一個先進的框架，借此可以與300多個業(yè)界領(lǐng)先合作伙伴的優(yōu)秀解決方案進行集成、并實現(xiàn)高度的互操作性。安全第一—專利技術(shù)的“StatefulInspection”由CHECKPOINT軟件技術(shù)公司推出并持有專利的狀態(tài)監(jiān)測技術(shù)是網(wǎng)絡(luò)安全性技術(shù)的事實標(biāo)準(zhǔn)。狀態(tài)監(jiān)測可提供準(zhǔn)確而高效的業(yè)務(wù)量監(jiān)測，并可對應(yīng)用層信息進行檢查，從而提供最高水平的安全性和性能。由于狀態(tài)監(jiān)測無須單獨的代理來保證每一項服務(wù)的提供，所以客戶能夠獲得更高的性能、可伸縮性和業(yè)務(wù)能力，從而可以比原有的體系結(jié)構(gòu)更為迅速地支持新的客戶化應(yīng)用。狀態(tài)監(jiān)測--代表了新一代安全的先進技術(shù)，它監(jiān)視每一個有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過防火墻。它在協(xié)議棧低層(網(wǎng)絡(luò)第二層和第三層之間，數(shù)據(jù)包到達操作系統(tǒng)之前)截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當(dāng)前數(shù)據(jù)包和狀態(tài)信息與前一時刻的數(shù)據(jù)包和狀態(tài)信息進行比較，并根據(jù)用戶制定的安全規(guī)則，從而得到該數(shù)據(jù)包的控制信息，來達到保護網(wǎng)絡(luò)安全的目的。CheckPointVPN-1/FireWall-1NG將這一核心進行了擴展和優(yōu)化。新的體系結(jié)構(gòu)將更能滿足未來產(chǎn)品和用戶的需要，它提供了集成度和模塊化程度更高的、更開放的和更易擴展的新一代安全平臺標(biāo)準(zhǔn)。用戶能夠感覺到的是它使用起來更容易;管理起來更方便;系統(tǒng)性能更高;系統(tǒng)可靠性更高等方面的優(yōu)勢?？梢赃@樣說，只有CheckPoint的狀態(tài)監(jiān)測才能真正實現(xiàn)：數(shù)據(jù)包序列跟蹤、StatefulVoIP、StatefulICMP、StatefulIPSEC、StatefulDNS……高性能—SecureXL加速技術(shù)CheckPointNG產(chǎn)品采用開放的方法，利用先進的技術(shù)和良好的合作關(guān)系來滿足高性能安全解決方案的需要。CheckPointNG新的狀態(tài)監(jiān)測技術(shù)整合優(yōu)化了通信狀態(tài)表，使之查詢和修改效率更高。另外，新的狀態(tài)監(jiān)測技術(shù)進行了模塊化設(shè)計，這樣，多種安全功能就可以集成到硬件上，以實現(xiàn)最大可能的性能。CheckPoint提出的SecureXL是一種用于集成硬件或軟件安全加速器的新型加速接口，該接口提供各種安全功能包括防火墻、VPN、NAT和公鑰操作的加速。CheckPointNG產(chǎn)品有著優(yōu)異的性能價格比，用戶選擇一臺4萬人民幣左右的PC工作站能夠獲得的防火墻吞吐量為3.1Gbps，該性能足以滿足電信用戶對網(wǎng)絡(luò)性能的需求。高可用性—ClusterXLCheckPoint的ClusterXL可以幫助電信用戶在關(guān)鍵網(wǎng)絡(luò)處實現(xiàn)兩種功能：雙機熱備/負載均衡。該解決方案通過使用冗余網(wǎng)關(guān)集群，從而使關(guān)鍵業(yè)務(wù)及應(yīng)用無縫地保持連接服務(wù)。如果主網(wǎng)關(guān)出現(xiàn)故障，則所有連接無縫地重定向到另外一臺網(wǎng)關(guān)。ClusterXL利用集群成員間的狀態(tài)表同步方式，確保在故障修復(fù)過程中保持所有連接，甚至是加密的IKE連接。另外，網(wǎng)關(guān)可被更換并加入到一個新的集群系統(tǒng)中，而無需重新設(shè)置或重新啟動該集群。例如，在因操作系統(tǒng)故障而出現(xiàn)切換時，出現(xiàn)故障的設(shè)備可以自動重新啟動(條件是其操作系統(tǒng)被事先設(shè)置成自動重啟)并在無管理人員干涉的條件下重新進入集群中。這種特點使得集群系統(tǒng)在正常運行時間里可以進行在線維護，而維護過程并不中斷服務(wù)。ClusterXL采用一種可編程的狀態(tài)診斷技術(shù)，它可不間斷地監(jiān)視網(wǎng)關(guān)進程，診斷出潛在的故障。除能夠檢測VPN-1/FireWall-1故障之外，它還能通過與第三方應(yīng)用程序通信，確定系統(tǒng)的健康程度。例如，當(dāng)有效磁盤空間達到一個預(yù)先設(shè)定的最低值時，磁盤空間代理(Agent)將此信息通知“診斷”程序，這時，系統(tǒng)可強行切換到備用網(wǎng)關(guān)，避免在主網(wǎng)關(guān)上由于資源耗盡而出現(xiàn)問題?！盃顟B(tài)監(jiān)視器”可對一系列雖然不會造成災(zāi)難性故障，卻對整個系統(tǒng)性能和可靠性造成影響的一些問題作出主動的響應(yīng)。簡單的管理—SMART(SecurityManagementArchitecture)CheckPoint一直倡導(dǎo)著SMART(SecurityManagementArchitecture)管理概念。從中央實現(xiàn)用戶更加簡單、更加安全地管理企業(yè)中所有安全執(zhí)行點。CheckPoint直觀的管理控制臺為定義和管理安全虛擬網(wǎng)絡(luò)的多種組件提供了單一的圖形用戶界面：防火墻安全、VPN、網(wǎng)絡(luò)地址翻譯、服務(wù)質(zhì)量和VPN客戶端安全。為了有效創(chuàng)建策略和安全管理，所有對象定義(用戶、主機、網(wǎng)絡(luò)、服務(wù)等等)在所有應(yīng)用程序中都是共享的。管理員也可使用SecureUpdate?集中實現(xiàn)CheckPoint及合作伙伴產(chǎn)品的軟件分發(fā)，以此減少分支機構(gòu)所需的IT支持。該解決方案跟蹤產(chǎn)品版本信息，并自動向執(zhí)行點進行主版本更新、服務(wù)軟件包安裝以及對第三方OPSEC產(chǎn)品的安裝，這使管理員可以更加輕松地控制他們的安全環(huán)境。開放的體系結(jié)構(gòu)—OPSEC安全性開放式平臺(OPSEC)是CheckPoint軟件技術(shù)有限公司的開放式體系結(jié)構(gòu)解決方案，可提供業(yè)界唯一的企業(yè)級策略管理和策略執(zhí)行框架(詳細信息可查看：)。構(gòu)成OPSEC聯(lián)盟的300多家公司采用OPSEC框架，為客戶提供了企業(yè)級網(wǎng)絡(luò)安全各方面的解決方案。這些合作伙伴通過提供經(jīng)認證的產(chǎn)品和解決方案，從而與SVN體系結(jié)構(gòu)全面集成，同時擴展了CheckPoint公司的系列解決方案，使OPSEC成為業(yè)界最成功的聯(lián)盟。用戶得到的是業(yè)界最優(yōu)秀的解決方案(BestofBreed)和最大的投資回報。CheckPoint針對電信服務(wù)提供商和IDC解決方案：VPN-1/FireWall-1VSX從員工人數(shù)到硬件成本，服務(wù)提供商和大型企業(yè)都在尋求降低從數(shù)據(jù)中心傳遞安全服務(wù)的成本。保護數(shù)據(jù)的一般做法是在每個服務(wù)器前端設(shè)置專用的防火墻或VPN設(shè)備。但是，為每個用戶或應(yīng)用部署專用硬件的成本非常昂貴，并且使機柜空間的利用率降低。供應(yīng)并維護幾百臺專用設(shè)備也增加了保護用戶資產(chǎn)安全的成本。VPN-1?/FireWall-1?VSX是一種為數(shù)據(jù)中心環(huán)境設(shè)計的高速、多策略安全解決方案。它在市場領(lǐng)先的FireWall-1中增加了相同的、已獲專利的StatefulInspection技術(shù)。通過在單一平臺上集合100個用戶安全域，VPN-1/FireWall-1VSX將硬件投資降到最低并可有效利用空間。其簡單、直觀的供應(yīng)過程可以快速部署用戶安全，從而降低從數(shù)據(jù)中心傳送安全服務(wù)的成本。用戶可以在群集服務(wù)器中部署多用戶網(wǎng)關(guān)，每個網(wǎng)關(guān)最多支持100個虛擬防火墻模塊(VM)。每個VM通過虛擬LAN(VLAN)與多用戶網(wǎng)關(guān)的一個內(nèi)部接口相連。VLAN是基于軟件的網(wǎng)絡(luò)節(jié)點的邏輯群組，它們使網(wǎng)絡(luò)分段成為可能。另外，用戶可以利用CheckPoint的狀態(tài)同步技術(shù)和最優(yōu)、高效的