一.SVN 概述
用户若要充分利用因特网的强大功能和广泛应用,必须保证与自己相关的所有网络资源和数据的安全(Internet,Intranet,Extranet)。这就要求用户必须配备全面的安全解决方案,来保护用户网络中所有要素:网络、系统、应用程序和用户等资源。Check Point 的安全虚拟网络(SVN)体系结构独创了这种端到端的网络安全机制,让用户得以保护重要的因特网、企业内部网和企业外部网的安全。
由 Check Point 公司提供的安全虚拟网络(SVN)构架是为全新的电子商务世界带来的安全、可管理、可伸缩的开放式解决方案。SVN 提供在整个网络环境中(Internet,Intranet,Extranet)的网络、系统、应用程序和用户间的安全及互通性。Check Point 所有的 VPN、安全性、性能和管理解决方案,都已通过 SVN 结构实现集成,从而确保安全、可靠和可伸缩的企业网络
二.SVN 基础架构
VPN/安全性方面:
VPN-1/Firewall-1 Gateway (防火墙产品)
VPN-1/Firewall-1 Appliance (防火墙硬件产品)
Firewall-1 SmallOffice (针对小型企业防火墙产品)
VPN-1/Firewall-1 SecureServer (保护单个服务器)
SecuRemote (远程 VPN 访问)
SecureClient (远程 VPN 访问/ Client 端安全)
性能/可用性方面:
FloodGate-1 (流量管理)
ConnectControl (负载平衡)
High Availibility (高可用性模块)
Accelerator Card (VPN 加速卡)
管理方面:
Enterprise Console (企业级管理模块)
Report Module (报表工具模块)
Account Management Module (帐户管理模块)
Visual Policy Editor (可视化安全策略管理)
Open Security Extension (第三方路由器管理模块)
Meda IP (企业级 IP 地址管理)
Provider-1 (大型企业安全策略管理)
三.产品简介
VPN-1 Appliance 系列产品
VPN-1 Appliance 是全方位的硬件和软件安全解决方案,为企业和远程办公提供安全的因特网访问。这些高性能的设备包括提供完整的企业安全的 Firewall-1、VPN-1 以及高可用性和集成 IP 路由,所有这些都集成在一个硬件设备中、可以迅速配置并从中央管理控制台实现远程管理, Appliance 合作厂商包括:Nokia、Intrusion.COM 公司硬件产品。
VPN-1 Gateway
VPN-1 Gateway 是一个集成紧密的软件解决方案,包括 Firewall-1 企业安全套件和高级 VPN 技术。它支持工业标准算法和协议(IPSec、IKE、DES、3DES),既有单个网关,又提供多站点 VPN。VPN-1 Gateway 的高可用性能和对 PKI 技术的广泛支持,可用于执行关键任务。
VPN-1 SecuRemote
SecuRemote 可使远程和本地用户创建到企业网络资源的安全 VPN 会话。无论是内部部署还是用于因特网远程访问,VPN 客户均透明的加密和验证关键数据,以防窃听和恶意篡改数据。
VPN-1 SecureClient
VPN-1 SecureClient 利用个人防火墙功能和客户安全配置管理,扩展了 SecuRemote 的功能。它确保 VPN 客户端安全并无法作为企业网络后门,从而增强了企业安全性。VPN-1 SecureClient 成为利用共享宽带服务(Modem、DSL)实现连接的远程用户的理想之选。
VPN-1/Firewall-1 SecureServer
VPN-1 SecureServer 通过保护企业网络内或因特网上的各个关键应用服务器,并提供 Client/Server 之间 VPN 连接,从而提高了企业的安全性。企业可确保各客户机与运行敏感应用程序(Oracle、SAP 等)以及基于因特网的应用程序(E-Mail,FTP)的服务器之间通信安全。同时,它也提供 Firewall-1 所有功能,并可在中央策略管理和分布式部署框架中管理。
Firewall-1
Firewall-1 是一种基于 Check Point 专利技术(Stateful Inspection)的综合安全性套件。它将访问控制、验证、网络地址翻译、内容安全性、审计和企业策略管理集成在一起。Firewall-1 作为当今使用最为广泛的安全套件,已通过 ICSA、NSA 和 E3 认证。
FloodGate-1
FLOODGATE-1 是一种基于策略的企业带宽管理解决方案,可用于 VPN、专用 WAN 和因特网链接。通过在各带宽上对关键业务通信(VPN、ERP、电子商务和电话系统)划分优先次序,从而确保可靠的网络性能。而带宽是按照加权优先权、保证和限制的直观组合来加以控制的。FLOODGATE-1 可与 VPN-1 集成,也可作为单独的解决方案购买。
FLOODGATE-1 基于策略的带宽管理解决方案精确的控制着 WAN 和因特网链接的出入口数据流量。为企业提供了最先进的通信检验和带宽控制技术。
FLOODGATE-1 可以在所有通信进入网关计算机的操作系统之前截取、分析并采取行动,确保网络的绝对安全与完整。来自通信和应用的累积数据表明,网络配置和安全规则可以加强企业的安全策略。FLOODGATE-1 能够提供多于100种的网络服务和应用程序,在带宽管理中提供极大弹性。
ConnectControl
ConnectControl 让 VPN-1/Firewall-1 模块平衡应用程序服务器的负荷。使用ConnectControl 可在各应用程序服务器间智能地分发转入连接请求,从而改善用户响应时间、提供容错能力并增强网络连通性能。
High Availibility
高可用性模块是 Check Point 网关产品的一种可选附件。该模块通过使用冗余网关集群,从而使关键业务及应用无缝地保持联接服务。如果主网关出现故障,则所有联接无缝地重定向到指定的备份网关。高可用性模块利用集群成员间的状态表同步方式,确保在故障修复过程中保持所有联接,甚至是加密的 IKE 连接。
VPN-1加速卡
用于 Sun Solaris 和 Windows NT 平台的即插即用式硬件 PCI 卡,通过加速 DES 和 3DES 加密,从而提高 VPN 性能。VPN-1 加速卡的性能是软件解决方案的10倍,同时它能扩展 VPN-1 Gateway 的吞吐能力,支持 T3/E3。
Account Management Module
使用该可选模块,VPN-1/Firewall-1 可无缝地集成到 LDAP 服务器中,并获取1个或多个 LDAP 目录服务器的用户安全信息。这些用户信息可用于加强企业安全策略,如用户验证、数据加密和访问控制。
Meta IP
Meta IP 是企业级管理 IP 寻址和命名的一种自动化解决方案。 Meta IP 将企业级范围内 DHCP、DNS、Radius 服务器进行集中统一管理。它的模块化结构可实现多级容错和跨平台兼容。通过其独有的用户到地址映射 User-to-Address Mapping(UAM)技术,Meta IP 将 IP 地址与用户登录名关联在一起。与 VPN-1/Firewall-1 紧密集成后,可以在 DHCP 环境中实现综合审核和用户安全策略管理。
Open Security Extension
使用该可选模块,可以集中定义、分发和管理路由器和其他第三方安全设备的安全策略。用户无须进行点对点连接和手工定义访问控制表(ACL)。支持的设备包括:Cisco, Nortel 和 3Com 路由器以及 Cisco PIX 防火墙和 Windows NT 路由(RRAS)
Report Module
报表模块是 VPN-1/Firewall-1 的可选模块,具备强大的日志整合和报表功能。它包括大约20个预定义报表,另外,用户可按照表格或图形方式设计报表,用于安全审计、网络活动预测及记帐。设计好的报表可以通过打印或电子邮件方式发送或在网站上发布。
Provider-1
Provider-1 是专为满足服务提供商、数据中心和大型企业的独特要求而设计的安全性管理解决方案。对于服务提供商和数据中心来说,它可以将客户安全策略合并到一个集中的策略管理构架中,在减少硬件和人力资源的同时,可以伸缩自如地支持成千上万名客户。对于大型企业来说,Provider-1 通过将复杂的安全策略分为管理更方便的子策略,与地理、功能或其他逻辑分组相符,从而简化了安全策略的管理。
四.中小企业解决方案
VPN-1/Firewall-1 Single Gateway (25,50,100,250用户许可)
SmallOffice (5,10,25,50用户许可)
FloodGate-1 (25,50,100,250用户许可)
可选:VPN-1 SecuRemote,VPN-1 SecureClient
五.企业级解决方案
Enterprise Center (无限用户许可 VPN-1/Firewall-1)
FloodGate-1 (无限用户许可)
High Availibility Module
SecureServer/SecureClient
Meta IP (100节点~4000节点)
Report Module
可选:Appliance,Account Management Module,Open Security Extension, ConnectControl,VPN-1 加速卡
六.超大性企业级解决方案
除了以上企业级解决方案外,
Provider-1
