一、Check Point 企业概况
Check Point 软件技术有限公司是因特网安全领域的全球领先企业。Check Point 软件技术有限公司的安全虚拟网络(SVN)体系结构可提供支持安全、可靠的因特网通信的基础设施。通过因特网、Intranet 和 Extranet,SVN 可确保网络、系统、应用和用户之间的安全通信。在公司的“Next Generation”产品系列中发布的 SVN 解决方案,进一步加强了公司网络、远程员工、办事处以及合作伙伴外部网的业务通信和资源的安全。Check Point 公司的安全性开放式平台(OPSEC)可提供一个先进的框架,借此可以与 300 多个业界领先合作伙伴的优秀解决方案进行集成、并实现高度的互操作性。
二、Check Point 企业级 FireWall-1 解决方案
作为 Check Point 软件技术有限公司网络安全性产品线中最为重要的产品, CHECK POINT™ VPN-1/FireWall-1® 是业界领先的企业级安全性套件,它集成了访问控制、认证、加密、网络地址翻译、内容安全性和日志审核等特性。
由 CHECK POINT 软件技术公司推出并持有专利的状态监测技术是网络安全性技术的事实标准。状态监测可提供准确而高效的业务量监测,并可对应用层信息进行检查,从而提供最高水平的安全性和性能。由于状态监测无须单独的代理来保证每一项服务的提供,所以客户能够获得更高的性能、可伸缩性和业务能力,从而可以比原有的体系结构更为迅速地支持新的客户化应用。
Check Point 直观的管理控制台为定义和管理安全虚拟网络的多种组件提供了单一的图形用户界面:防火墙安全、VPN、网络地址翻译、服务质量和 VPN 客户端安全。为了有效创建策略和安全管理,所有对象定义(用户、主机、网络、服务等等)在所有应用程序中都是共享的。
管理员也可使用 SecureUpdate™ 集中管理 FireWall-1 软件分发,以此减少分支机构所需的 IT 支持。该可选模块跟踪产品版本信息,并自动向执行点进行主版本更新、服务软件包安装以及对第三方 OPSEC 产品的安装,这使管理员可以更加轻松地控制他们的安全环境。
案例:某移动通信公司
我们的安全需求:
● 省公司管理着下属近二十个地市。省公司中心及各地市机构的内部网络均需要提供很好的安全保障。在该网络环境中建立起一个安全屏障,它允许正常业务数据的通过,支持多种用户认证手段,并有效地监视和阻止外来侵犯和恶意攻击。
● 考虑到中心及其中几个地市的重要地位,设计应充分体现网络运行的高可用性。
● 中心集中的网络安全管理,保证管理的灵活、易扩展和安全。在尽量减少人力和物力资源的情况下,充分提高中央管理的高效性。
方案简述:
公司网络分布于全省各个地区,我们在近二十个地区都使用了 Check Point FireWall-1 防火墙来保护各地区内网安全。在其中较为重要的五个地区采用了 Check Point 高可用性解决方案充分保证网络运营的连续性,当一台防火墙出现故障或网络出现问题时,另外一台防火墙能够无缝的将所有的会话连接接替过来。
所有防火墙上的安全策略管理、制定和下发均通过放置在省公司的 Check Point 中央管理服务器来实现,安全策略制定完毕后,只需一键即可将所有地市的防火墙安全策略更新,其中包括对所有高可用性防火墙的管理和配置;另外,所有地市的防火墙许可证管理和软件升级均通过中央管理服务器来实现,大大提高了管理的效率,并降低了在各地市安全管理员的管理工作量。
网络拓扑:
方案优势:
1)Check Point 状态监测防火墙充分保证公司网络的安全需求。
2)Check Point 高可用性解决方案通过使用冗余网关构成集群环境,从而使关键业务及应用无缝地保持连接服务。如果主网关出现故障,则所有连接无缝地重定向到指定的备份网关。高可用性模块利用集群成员间的状态表同步方式,确保在故障修复过程中保持所有连接,甚至是加密的 VPN 连接。
3)Check Point NG 中央管理架构及用户界面为公司安全带来强大的管理能力。新的 GUI 界面为安全管理员提供安全性系统(即:防火墙、VPN、服务器、网络等)中各种对象的详细图形及网络拓扑,更加直观和容易理解安全策略在网络中的实施。GUI 界面通过将众多的安全因素紧密集成在一起,为客户提供了高效的管理手段,这些安全因素包括:各种安全对象的制定、VPN 和防火墙安全策略、地址转换、流量管理和控制策略、VPN 客户端安全策略和 OPSEC 第三方产品集成管理。用户通过一个集中的管理构架就能轻松地管理全局的安全策略。
4)Check Point NG 提供的 SecureUpdate 工具能够从中央管理控制台自动向分布式安全执行点进行软件(包括新的补丁程序、新版本软件等)和许可证更新。这样保证了企业全局安全设置总是处于最新状态。SecureUpdate 提供了更出色的控制能力和效率,而维护成本却大大降低。
三、Check Point VPN-1 解决方案
Internet 可以到达全球任何一个角落,因此它为企业网络延伸到所有职员和主要业务合作伙伴提供了一种灵活的、高成本效益的基础架构。但是,一个企业要想充分利用 Internet,它必须能够确保业务通信的安全性和对企业内部网络资源的保护。
除安全性之外,企业网络的延伸还面临着可用性、性能和可扩展性的挑战。为使关键任务应用能够利用 VPN(虚拟专用网络)技术,VPN 必须确保可靠的性能和无缝的容错性。外部网 VPN 还造成了另外一个挑战:要确保不同供应商提供的解决方案之间的互操作性。总之,一个 VPN 的所有组件必须能够在整个企业安全基础架构内部简单地集成和管理。
VPN-1 Pro 是一个紧密集成的软件解决方案,它将市场领先的 FireWall-1® 安全性套件与先进的 VPN 技术结合起来。作为 Check Point 的安全虚拟网络架构的基础,VPN-1 Pro 可为企业网络、远程和移动用户、分支机构和主要的合作伙伴提供安全的连接,充分满足 Internet、内部网、外部网 VPN 的严格要求。
案例:某外企(中国)有限公司
我们的安全需求:
● 公司在中国共二十多个分支机构,需要通过 VPN 实现各个分支机构之间安全的信息传递,尤其是保证数据私密性。公司移动员工需要实现与网关的 VPN 建立和数据安全沟通,并实现 VPN 移动用户客户端自身的安全保护。
● 公司需要与国外总部实现数据安全传递。
● 中心集中的网络安全管理,保证管理的灵活、易扩展和安全。在尽量减少人力和物力资源的情况下,充分提高中央管理的高效性。
方案简述:
公司网络分布于全国各个地区,我们在近二十个地区都使用了 Check Point VPN-1/FireWall-1 来实现各分支机构的 VPN 建立,实现对公司内部数据传输私密性的保护,同时也通过集成的防火墙保护各地区内网安全。另外,中国公司同样通过工业标准的 IPSEC 协议实现与国外总部之间 VPN 的建立和数据安全地传输。在中国各分公司中经常出差的员工配备了 Check Point SecureClient VPN 客户端,在与各分支机构网关实现 VPN 隧道建立安全传递数据的同时,通过 SecureClient 集成的个人防火墙实现对客户端的保护,避免了客户端连接 Internet 时遭受外来网络攻击。
所有 VPN 网关及 VPN 客户端上的 VPN 配置、安全策略管理、制定和下发均通过放置在总公司的 Check Point 中央管理服务器来实现,安全策略制定完毕后,只需一键即可将所有地市的 VPN 配置及相关防火墙安全策略更新。
网络拓扑:
方案优势:
1)通过行业标准的加密、验证和密钥管理方案等为数据通信提供保护。
2)通过 FireWall-1 确保企业重要资源的安全性。
3)对整个企业安全性进行集中化、集成化和基于策略的管理。包括对先进的 OpenPKI 支持和成熟的高可用性解决方案。
4)VPN 客户端集成了个人防火墙,保证了移动员工在享受 VPN 带来的数据保护的同时,使自身的安全性及公司网络资源安全得以保证。
四、Check Point 带宽流量管理解决方案:FloodGate-1
FloodGate-1 是网络带宽管理工具,它使网络管理员能够设置带宽策略,减轻网络访问点的带宽冲突。通过管理所有类型流量的带宽,所有的混合流量可以被动态地控制。可以使管理员按照合适的比率把带宽定向到应用及用户,从而与企业级的策略一致。FloodGate-1 还包括流量分析工具,管理员可以用来诊断网络冲突的根源,并定义合适的带宽策略。从而保证网络的关键应用拥有足够的通信带宽。
产品特性
● 具有加权优先级、限制和担保的灵活的 QoS 策略
● 集成在一个设备中的 VPN/防火墙/QoS
● 企业策略管理服务器
● 集成的 DiffServ 支持
● 支持对时间敏感的流量进行更详细的配置
产品优点
● 为 VPN 和未加密的业务通信优化网络性能
● 无须部署单独的 VPN、防火墙和 QoS 设备
● 简化管理,而无须重新配置每个执行点
● 为 IP 网络提供端到端的 QoS 支持
案例:某 IDC 数据服务公司
我们的安全需求:
● 公司在北京共4个分支机构,需要通过 VPN 实现各个分支机构之间安全的信息传递,保证数据私密性。公司移动员工需要实现与网关的 VPN 建立和数据安全
