太多的FWVPNIPS产品厂商推荐，如何选择？

1[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.选择适合自己的安全之路！太多的FW/VPN/IPS产品厂商推荐，如何选择？2[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.Pre-definedsystem5blades基于软件刀片技术的硬件安全网关UTM-1平台UTM-1平台:UTM&内置管理机适用于中低端用户400M~4.5GbpsIP平台IP平台:（电信级别）模块化&扩展性高性能&高可靠性适用于中、高端用户1.5Gbps~29GbpsPower-1平台Power-1平台:高性能&UTM适用于高端用户9Gbps~25Gbps3[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.UTM-1/IP/Power-1系列的产品定位UTM-1IPPower-1市场层面区别目标用户中小企业,高端企业客户分支机构中高端企业（电信行业）高端企业适用价格敏感度高低中用户功能需求功能需求复杂*高性能，高端口密度功能需求相对简单**性能要求高功能需求复杂金融机构大型企业电信运营商教育机构能源行业医疗机构餐饮连锁交通运营寻求市场定位专业制造分支机构4[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.CheckPoint安全检测的技术特点状态检测技术的发起者，领导者CheckPoint的技术方向正在引领下一代安全技术的发展深层检测技术使用同一协议端口tcp80，如何区分控制新一代基于用户的安全检测IP？MAC?伪装者？基于用户的安全检测5[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.CheckPointVPN的技术特点一键式VPN，智能管理SSLVPNMobileVPN专用VPN客户端免费数字证书VPN接入终端健康检查VPNinPocket双因素认证6[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.CheckPoint专有的Cluster集群技术特点Firewall/VPN/IPSIntranetApplicationServersProxyCachesInternetRouter专有的安全网关集群解决方案多机集群技术，性能线性增长不需第三方负载均衡设备自身动态负载均衡7[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.下一代安全网关技术–软件刀片架构新增服务，直接选中生效，不需断网停服务安全灵活简单量体裁衣更加体贴您的安全需求！8[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.IPS软件刀片的技术特点直接选中启用，无断网，无割接迅雷QQMSNBT电驴SkypeICQ与MS紧密合作，防止“零日攻击”防护门户网站邮件服务器9[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.CheckPoint提供真实环境下的性能能力反映64byte小包HTTPFTPDNSSMTPVoIPQQMSNBTeMule…FireWallIPS700M900M1G4G7.4G10G12G15G混合流量10[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.同一硬件，软件License提升性能，节省初期投资11[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.整体网络安全：安全网关+终端+网络传输Tagging全面的安全网关终端健康检查数据传输标签，防篡改12[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.产品竞争分析：CheckPointvsJunipervsCisco产品名称CheckPointSecureGateway系列JuniperSRX系列CiscoASA系列生命周期技术发展与延续专业的安全厂商，安全网关产品系列技术延续发展，得到市场时间验证。新设计，抛弃了经营多年的NetscreenOS系统和ASIC芯片架构，改变为全新的基于交换路由的JUNOS系统和交换架构，推出时间太短，缺乏市场验证。产品以网络为主，安全产品无延续规划CiscoASA系列是在传统的PIX系列停产，而FWSM卡板交换机系列备受客户争议的时候，匆忙推出的；Cisco的产品以交换路由为主，其防火墙是弱项技术能力分析CheckPoint防火墙是最早的状态检测防火墙-1993年，拥有状态监测技术专利；支持300多种预订义协议，支持深层检测深层检测能力缺乏，是SPF状态包过滤+应用代理方式；一旦开启相关的深层代理机制，其性能则显著下降；Cisco在安全产品并不专业，更接近路由设备；在状态检测，特别是深层检测，应用检测技术方面远低于其他专业厂商；集中管理能力基于图形化的管理，用户可以轻易进行网络对象托拽挪动;一键式VPN设置，智能管理；支持真正的统一管理，一张Policy策略表中可管理所有安全网关设备上，这将意味着大大减少企业管理员的工作量。Juniper的防火墙采用标准的Web管理方式，在集中控管方面有缺陷，实现不了真正的集中管理，对于企业用户而言，随着网络的扩大，安全网关设备的增多，集中管理将成为一个难题Cisco的管理则是命令行最为强大，虽然其也宣称有ADSM集中管理软件，但无论是功能/智能化/集中程度/实时监控能力/日志审计等方面，都无法与专业厂商相比。HA高可用性能力分析CheckPoint的防火墙支持强大的Active–Active模式的HA功能，其专有的cluster集群技术可以支持多个节点的同时运行，实现全状态同步，动态负载均衡，而且这一功能由产品自身实现，不依赖第三方设备，外联设备只需要基本的2层交换机即可，是真正的双A。Juniper的防火墙过去一直宣称其“三明治“架构的双A模式，采用两组active–standby模式，两侧网络用负载均衡交换机来实现流量的分担，这意味着企业客户在选购防火墙的同时，还要购买额外的负载均衡交换机，成本的增加。Cisco的双机如果要实现双A架构，则必须依赖第三方的负载均衡设备，采购成本直线增加。同时额外增加的设备使网络更加复杂，增加了故障点的可能性13[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.产品型号对应选择：CheckPointvsJunipervsCisco1G10G20G2G4G6GIP295IP2455IP1285Power-15075UTM-11073/1076UTM-13073/307610.3/29G10.3/15.4G9G4.5G2G1.5GISG2000ISG1000SRX240SRX650SRX3400SRX360010/20/30G10/20G7G4G2G1.5GASA5550ASA5580-4010GASA5580-205G1.2GPower-11100015/20/25G14[Unrestricted]—Foreveryone©2009CheckPointSoftwareTechnologiesLtd.Allrightsreserved.用户经常会问到的问题(1)性能真的能达到要求吗？（砖家说ASIC芯片性能才好呢）？–CP的专利CoreXL技术，充分利用多核CPU架构，每个CPU核上都可以启用一个IPS/防火墙引擎，所以性能倍增。相同的硬件平台，用CoreXL技术和不用CoreXL技术，IPS性能相差4倍；–多核CPU架构，才是性能的未来，您没看到，业界著名的Juxxx不是也改用Intel至强芯片了吗。真的需要这么多的“软件刀片”吗？（砖家说应该每种功能一台设备分层次防护的）？–首先，当前需要防护的数据流量是复杂的混合流量，含有从网络层访问限制到应用层深层检测防护到P2P协议管理等多方面的功能需求，单从FW/VPN/IPS/QoS/P2P管理等单方面管理是不完善的–采用多“软件刀片”防护技术，可以压缩安全防护的层次，减少设备故障点，不成为“糖葫芦串”的网络设计。–节省投资，合并功用，灵活选择集中管理真的有这么必要吗？（砖家说单台设备Web管理很简单的）？–集中管理是今后业务扩展，对多台设备管理的必然需求；通过集中管理，节省你的时间，减少人为配置错误。–集中管理采用一张Policy配置表，不同策略可以生效在不同安全网关上，管理维护简单，工作量小。–针对事件日志的收集和报告，集中管理可以有效对全网事件统一了解，统一监控，生成统一的分析报告。深层检测有必要吗？不是性能参数最重要吗？（砖家说网络厂商的设备提供更高性能）？–深层检测是安全检测的必要因素，针对当前日益复杂的业务应用，深层检测能更好的防护你的网络应用。–安全产品不是网络产品，安全是首要的；只有专业的安全厂商，才能提供安全和性能完美结合的产品，而不是“交换路由设备”