CheckPoint网络安全解决方案-技术版

©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]ForeveryoneCheckPoint面向未来的网络安全解决方案Mar30,201022©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|Agenda我们需要什么样的“防火墙”面向未来的安全解决方案概览CheckPoint安全网关技术特点附录：CheckPoint网关安全产品线介绍33©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|NAT路由WEB管理吞吐量连接数VPN我们需要什么样的“防火墙”？这样的防火墙，还能够满足企业现在的安全需求吗？44©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|我们需要什么样的“防火墙”（1）传统防火墙已经无法为服务器提供全面安全保护Video演示（1）55©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|我们需要什么样的“防火墙”（2）传统防火墙已经无法为客户端提供全面安全保护Video演示（2）66©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|我们需要什么样的“防火墙”（3）用户的实际网络流量永远不会是1，64B2，UDP防火墙的测试工具和方法也在变化1，SmartBit（3~4层测试）；2，Avalanche（应用层混合数据流测试）77©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|我们需要什么样的“防火墙”（4）WEB管理界面的确很简单如果仅仅是限于配置“1台防火墙”的“访问控制规则”的话但“配置规则”就意味着安全吗？“配置规则”就是防火墙管理的核心内容吗？88©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|可管理安全•防火墙管理，不仅仅是登陆WEB界面去配置规则•如何方便、快速的监控企业安全状况，分析事故，解决问题，才是安全管理的核心应用级性能•企业的网络流量永远不可能都是UDP64B，而是混合业务流应用级安全我们需要什么样的“防火墙”？•企业关注的是WEB、DNS、邮件的安全•而不是简单的TCP/UDP端口的开/闭“可管理”的“应用级安全”，是防火墙发展的必然方向©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]ForeveryoneCheckPoint解决方案概览1010©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|CheckPointTotalSecurity—应对日益复杂企业应用安全环境和威胁FirewallVPNWebSecurityDataLeakageIDSIPSSPAMReportsLoggingEventManagementPolicyDefinitionProvisioningEndpointManagementDataEncryptionMalwareVirusesWormsRemovableMediaApplicationFirewallUnifiedGatewaySingleMANAGEMENTConsoleSingleAgentforEndpoint&DataSecurity1111©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|CheckPoint防火墙管理架构管理客户端管理服务器(SmartCenter）•硬件解决方案：SMART-1•软件解决方案：SmartCenter+PCServerPower-1UTM-1IP系列•CheckPoint防火墙采用三层管理架构•UTM-1内置管理服务器；Power-1和IP系列必须要配置管理服务器才能够部署•SMART-1硬件是CheckPoint硬件解决方案防火墙网关1212©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|CheckPoint网关产品线概览-防火墙网关Pre-definedsystem5bladesPower-1平台Power-1平台:高性能&UTM*适用于高端用户9Gbps~25GbpsIP*平台IP平台:模块化&扩展性高性能&高可靠性适用于中、高端用户1.5Gbps~29GbpsUTM-1平台:UTM*&内置管理适用于中低端用户400M~4.5GbpsUTM-1平台•UTM-1和Power-1是CheckPoint原有防火墙产品线•IP防火墙来源于2008年收购整合的NOKIAIP系列防火墙产品线1313©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|CheckPoint网关产品线概览-管理平台UTM-1IPPower-1IPS-1VSX-1EndpointSecurityAbraSmart-1管理平台型号Smart-15Smart-125Smart-150Smart-1150管理防火墙数量5-25*25-5050-150150-U1414©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|UTM-1/IP/Power-1系列的产品定位UTM-1IPPower-1市场层面区别目标用户中小企业,高端企业客户分支机构中高端企业高端企业适用价格敏感度高低中用户功能需求功能需求复杂*高性能，高端口密度功能需求相对简单**性能要求高功能需求复杂金融机构大型企业电信运营商教育机构能源行业医疗机构餐饮连锁交通运营寻求市场定位专业制造分支机构1515©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|如何客观的评价一款防火墙产品应用安全安全性能安全管理传统功能（防火墙/VPN）©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone传统功能（防火墙/VPN）1717©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|•链路负载均衡。Inbond/outbond链路复杂均衡，支持DNSProxy•强大的认证功能。可以实现基于Session的用户认证•认证集成功能。和MicrosoftAD集成实现用户认证单点登录•深入的协议检测。Eg，防火墙引擎可控制的FTP命令为50+•预定义300+协议，对网络应用及协议的全面支持传统功能（1）—状态检测引擎的发明者到目前为止，CheckPoint防火墙引擎依然具有独特的优势传统功能（1）1818©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|如何在DHCP环境中对用户网络行为进行审计分析？如何在多用户环境中对用户网络行为进行审计分析？通过防火墙日志如何快速定位事件的责任人和主机？实现上述功能，是否需要复杂的配置和额外的主机？IdentityLogging*传统功能（2）传统功能（2）—基于用户的日志审计分析1919©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|传统功能（3）传统功能（3）—灵活的VPN一键式VPN，智能管理SSLVPNMobileVPN专用VPN客户端免费数字证书VPN接入终端健康检查VPNinPocket双因素认证2020©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|传统功能（4）—高可用性专有的安全网关集群解决方案不需第三方负载均衡设备自身动态负载均衡Firewall/VPN/IPSIntranetApplicationServersProxyCachesInternetRouter传统功能（4）©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone应用安全2222©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|应用安全(1)CheckPoint软件刀片是什么？软件刀片CheckPoint基于防火墙应用安全的发展方向提出的新一代安全架构；各种安全功能软件刀片实质上是防火墙设备上的独立的软件模块；2323©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|应用安全(2)集中管理高性价比CheckPoint为什么要研发软件刀片？企业面临的安全威胁日益复杂，传统堆叠式解决方案为企业带来了严重的经济负担，且管理负载、技术支持接口繁杂CheckPoint软件刀片架构，在保证性能可用的前提实现了全面防护使用简单2424©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|应用安全(3)CheckPoint软件刀片如何保障性能CheckPointCoreXL开放性能架构保障软件刀片高性能的核心技术基础充分利用CPU多核架构，应用级性能成倍提升CheckPoint是和Intel合作最为紧密的安全厂商网络安全CPU多核技术是下一代防火墙的发展的未来应用安全数据安全2525©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|CoreXL2*4CoreCPU数据处理示例fw5conntableQueueFifthCoreSixthCoreDispatcherDispatchertablePKTPKTPKTfw6conntableQueuefw7conntableQueueSeventhCoreEighthCorefw1conntableQueueFirstCoreSecondCorefw2conntableQueuefw3conntableQueueThirdCoreFourthCorefw4conntableQueuePKTPKTPKTPKT©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone应用安全—IPS刀片2727©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|应用安全-IPS刀片(1)CheckPointIPS软件刀片概述所有CheckPoint安全网关*预置IPS软件刀片，具有相同的功能和统一的管理界面，只是性能不同；2828©2010CheckPointSoftwareTechnologiesLtd.|[Unrestricted]Foreveryone|应用安全-IPS刀片(2)IPS软件刀片的特点（1）-全面的