CheckPoint安全解决方案.doc

CheckPoint安全解决方案 2010/6/22 目录 1 公司简介32 CheckPoint软件刀片架构32.1 什么是软件刀片架构？42.2 主要优点42.3 如何部署CheckPoint软件刀片?43 CheckPoint统一安全管理53.1 综合安全管理53.1.1 SmartCenter为所有CheckPoint应用程序提供集中的管理，他包括以下组件：63.1.2 基于策略的VPN/防火墙管理103.1.3 大规模VPN和安全管理113.2 Smart-1（CheckPoint管理控制设备）113.2.1 集成网络、IPS和端点安全管理113.2.2 内置支持SANs和最大12TB的机载RAID存储能力123.2.3 高可用性和适用性，配有冗余热交换部件和集成的Lights-Out管理（LOM）123.2.4 灵活管理多个安全策略，基于角色的粒度管理和多域管理(Provider-1)123.2.5 可靠的操作系统SecurePlatform124 CheckPoint Endpoint Security（端点安全）124.1 防病毒/防间谍软件134.2 全磁盘加密144.3 媒体加密和端口保护144.4 网络访问控制(NAC)154.5 程序控制与程序顾问164.6 集中管理16 1 公司简介CheckPoint软件技术有限公司是全球领先的Internet安全服务提供商，是唯一提供面向网络、数据和端点的整体安全性的供应商，而且所有功能都统一在一个管理框架下。CheckPoint为客户提供切实有效的保护，抵御各种类型的威胁，并且降低安全复杂性和总拥有成本。CheckPoint通过开发软件刀片架构继续创新。动态的软件刀片架构为您带来安全、灵活、简单的解决方案，完全可定制，从而满足各种组织或环境的安全需求。CheckPoint的客户包括成千上万各种规模的企业和组织（包括所有财富100强企业）。Check;Point荣获大奖的ZoneAlarm解决方案保护数百万消费者免受黑客、间谍软件和身份盗窃的危害。2 CheckPoint软件刀片架构CheckPoint软件刀片架构是CheckPoint公司新推出的全新理念的全新体系的安全架构，它第一个也是唯一一个能够为各种企业提供全面，灵活和易管理的安全架构。它使企业能够轻松高效地量身定制自己的网络安全基础架构，满足企业关键的、有针对性的业务安全需求。而且，随着新的威胁与需求的出现，CheckPoint软件刀片架构可快速灵活的响应，扩展安全服务，无须增加新的硬件或增添管理复杂程度。所有的解决方案都是通过单一的控制台进行集中管理，降低了复杂程度和运营管理成本。CheckPoint软件刀片架构可降低总拥有成本（TCO），加速投资回报（ROI），并且提供成本效益的保护，以满足当前和未来网络安全的任何需求。2.1 什么是软件刀片架构？ 软件刀片是一种独立、模块化和集中管理的安全架构。它使企业能够自定义安全配置，针对企业需求，配置适合企业的保护与投资组合。只需轻击鼠标，软件刀片即可在任何网关或管理系统上快速启动和配置，无须硬件、固件或驱动升级。随着需求的变化，还可以轻松地激活其他软件刀片，从而在相同的安全硬件上将安全方案扩展到现有配置上。2.2 主要优点 灵活性 以最适宜的投资提供最佳的保护，并可以随着业务发展不断扩展。 易管理 实现安全服务的快速部署，通过集中的刀片管理提高生产力。 全面安全在所有执行点和所有网络层提供最佳安全。 降低拥有成本（TCO） 通过安全合并与现有硬件基础设备的扩展性，保护您的投资。 性能保障 提供下一代数千兆的安全性能。预留资源保障应有的服务水平。 减少碳足迹 提供绿色IT技术。通过减少机架占用空间、冷却、布线和电力需求，减少能源消 耗。2.3 如何部署CheckPoint软件刀片? 软件刀片可以部署在CheckPoint UTM-1、Power-1和IP设备以及开放式的服务器上。只需在CheckPoint集中管理、易于使用的管理控制台上“开启”新的软件刀片的功能，就可以轻松地将它们添加到现有的硬件平台上，无须添加新的硬件、固件或驱动，这样，企业就能够以降低的总部部署的成本根据需要部署安全。 CheckPoint安全网关R70防火墙软件刀片包含了覆获殊荣的CheckPoint Firewall-1技术-只需轻松鼠标即可扩展你的安全解决方案。3 CheckPoint统一安全管理 随着互联网蠕虫的出现加上不断出现的安全规则和为远程用户以及商业合作伙伴提供远程访问的需求，迫切需要一种更全面彻底的安全方案。多层次的防护将从带防火墙网络边界开始，并逐步深入到了网络内部，目的是为了保护敏感部门、服务器、应用乃至是用户电脑和笔记本。很遗憾，这种多层次的安全增加了管理的复杂性。对于资源有限的IT部门而言， 在多站点、多平台上确保其安全防范措施能保持更新就成了一项艰巨的任务。 如果没有有效地管理，即便是最复杂的安全部署，其所能提供的安全保障也只将受限于自身最弱的环节。安全管理解决方案必须让企业能跟踪自己安全部署的效率，为安全法律调查提供详细的信息，支持在整个企业执行一致的安全策略和主动式升级。CheckPoint安全管理解决方案提供了统一的策略管理、监控和分析能力。集成边界、内部、终端的安全管理；实现安全策略的可视化；自动的策略和软件分发；通过Web门户或者管理控制台访问安全策略；高可用性和可扩展性；实现持续的策略执行，增强对整个网络的控制。 3.1 综合安全管理 基于CheckPoint统一安全架构的SmartCenter让企业能够集中定义边界、内部、Web和端点安全（Eedpoint）策略；关联和区分安全事件；实施高级监控和报告，这一切都通过单个控制台实现。使所有网关分配安全策略升级变得很简单，确保持续的策略执行和对最新威胁的更新保护，这样，企业能够保护对业务关键的资产，能够使其安全投资最大化。 3.1.1 SmartCenter为所有CheckPoint应用程序提供集中的管理，他包括以下组件： Smartdashboard是一种能够支持管理员集中定义安全和VPN策略的界面。 Smartview Tracker可以对所有日记记录的连接和管理员活动提供实时的可视化跟踪。管理员可以过滤或者搜寻感兴趣的事件，如果出现攻击事件或者发现可疑活动，他们可以立即禁止或终止于某个IP地址的连接。这些功能打打减少了排除配置错误所需要的时间。 Smartview Monitor支持对网络、VPN和用户实时监视，这样能让您对网络-通讯-流程模式或安全行为中的变化作出快速有效地反应。它监控功能包括：监控网关、监控网络流量、监控可疑行为并报警、监控VPN通道、监控远程用户、灵活的图形化报告。 SmartWorkFlow（流程管理）SmartWorkFlow是CheckPoint软刀片推出后，在SmartDashboard安全控制界面上增加一个安全策略变更的过程流控制，使得安全管理员的日常策略变更更加规范。在安全策略下发到到防火墙模块之前，控制对安全配置的更改。主动去识别、分析、批复网络安全策略的变更。通过新的安全配置管理工具，极大地增强了对管理员日常操作的审计能力。 配置变更流程：（Edit policy Review Changes Approve Changes Audit Trails） Eventia Analyzer和Eventia Reporter（事件关联和报表刀片）企业网内防火墙、服务器、路由器、交换机、IDS、防病毒等每天产生大量日记，面对连篇累牍的各种格式的海量日志，管理员很难直接通过浏览日志的方式来分析出可疑的安全风险，几条关键的高危险级别的安全日记往往被淹没在众多普通日记中。Eventia Analyzer和Eventia Reporter能为管理员排忧解难。 Eventia Analyzer提供有大量的预定义事件和快速自定义事件向导。对待定事件追踪到底的能力使其能够探测到其他解决方案无法发现的安全威胁。事件集中关联分析: Eventia Analyzer为所有CheckPoint产品以及第三方设备（例如防火墙、路由器、开关、操作系统、邮件服务器、网络服务器、入侵探测系统和反病毒应用程序）提供事件集中关联分析和管理。通过CheckPoint和第三方设备的安全连接，Eventia Analyzer关联设备将安全原数据日记进行汇聚整理、标准化处理和关联分析。事件然后被进一步分析和确定危害严重程度。根据危害严重程度，此时可能会自动采取行动，将有害活动阻隔在网关。随着新信息的涌入，严重程度可以调整以适应不断变化的条件。 Eventia ReporterEventia Reporter是一个分析报告系统，能够使安全经理对从CheckPoint网关收集的大量日记数据进行过滤。使安全管理员能够制定定期报告计划，无须经常手动干预。它还可以非常灵活地维持多个报告计划，满足最苛刻的报告需求。Eventia Reporter可以自动生成报告，使企业能够随时有效捕捉安全和网络信息。安全管理员可以生成发给上级管理层的报告，用于进行全面的安全性能分析或审核。3.1.2 基于策略的VPN/防火墙管理作为SmartCenter的一部分，SmartDashboard虽然复杂，但在使用上仍然很方便。管理员可以集中定义一个安全策略的各个方面：VPN、网络地址转换（NAT）、服务质量（QOS）、Web访问以及台式机和终端的安全、防病毒保护、 IPS升级。被定义为安全策略一部分的“对象”，比如网络、主机、用户、服务、资源和活动，都可以在SmartDashboard中被图形化显示并能被直接处理。比如，对象可以被包含到SmartGroup中，或者网络对象可以被轻松克隆以简化对策略的定义。因为统一安全架构的组件紧密集成，相同的对象可以在执行点和应用程序间被共享，从而节省管理时间并确保整个网络策略配置的一致性。3.1.3 大规模VPN和安全管理SmartLSM给大规模VPN/安全安装提供了一种新的管理范例。使用SmartLSM，管理员可以规定单一的安全策略-被称为Profile 并将它应用于成百上千个网关。另外，策略安全和升级的自动化过程可以支持快速部署，减少管理需求。这减少了为成百上千个网关部署和管理安全所需的成本和时间。 3.2 Smart-1（CheckPoint管理控制设备）Smart-1是CheckPoint软刀片架构推出后，新出的硬件架构的管理平台。设备本身安装了有CheckPoint在市场领先的安全管理软件刀片，安装在为大中型企业安全网络设计的专用硬件平台上。基于CheckPoint的软件刀片架构。Smart-1设备是同行业首个为网络、IPS和端点安全提供统一管理解决方案的，具有无人超越的可扩展性。 实现效率最大化，从单一的统一管理控制台管理网络和端点安全 降低成本，节省资源，具有最大12TB的内置存储能力 简化大规模安全策略，提供多域管理（Provider-1）3.2.1 集成网络、IPS和端点安全管理Smart-1设备提供集中管理所有CheckPoint产品。从SmartDashboard，管理 员可以定义和执行防火墙、VPN、IPS、端点和其它策略，跟踪日志，监控安全和网络活动，查看网络报告和安全活动趋势，集中分配安全和软件更新。3.2.2 内置支持SANs和最大12TB的机载RAID存储能力Smart-1设备具有最大12TB的内置存储能力和高性能光线通道连接SANs进行 备份运作复原和符合策略。3.2.3 高可用性和适用性，配有冗余热交换部件和集成的Lights-Out管理（LOM）Smart-1设备支持Lights-Out管理（带外管理），用户能够远程监控设备，包 括设备维护和管理。它还提供了几个添加选项，包括光线通道SAN模块、冗余、热交换电源和硬盘。3.2.4 灵活管理多个安全策略，基于角色的粒度管理和多域管理(Provider-1)Provider-1多域集中安全管理功能的设计师为了满足大型企业和服务供应商环境下的独特要求。Provider-1可轻松扩展支持数千个用户，同时最大化降低硬件成本和提高运行效率。3.2.5 可靠的操作系统SecurePlatform 4 CheckPoint Endpoint Security（端点安全）CheckPoint Endpoint Security是行业内第一个也是唯一一个将所有关键组件组合在一 起的单个装置，可为端点提供整体安全。CheckPoint产品在提供高水平安全的同时，为终端用户带去透明的使用体验，为用户带来独一无二的桌面安全保护，防止端点遭受日益增多的网络安全威胁。 CheckPoint Endpoint Security所包含的端点安全组件：防病毒/防间谍软件、磁盘加密/介质加密/端口控制、NAC/策略检查/自动修复、VPN客户端 4.1 防病毒/防间谍软件 防病毒/防间谍软件可检测并删除病毒、间谍软件、击记录器、特洛伊木马、隐蔽软件（rootkits）和其他具有签名、行为拦截器和启发式分析特点的恶意软件，改软件重在提供最高的病毒检测率和每小时一次的签名更新。4.2 全磁盘加密 笔记本电脑的急速增长意味着您的移动员工每天在办公室之外的地方暴露了大量的公司数据。通过无人看管的计算机，外部人员就能轻易访问您的机密计划、授权客户信息和其他敏感数据。为此需要一种简单可行的解决方案，而且这种解决方案能够全面保护您公司的数据，无论这些数据流向哪里。CheckPoint公司的端点安全整盘加密解决方案已经为全球企业、公司和政府机构所验证，它既适用于PC也适用于笔记本电脑的强加密，提供最高级别的数据安全。端点安全整盘加密正是CheckPoint提供的多平台解决方案之一,同时也适用于手持无线设备和便携式存储媒介。 4.3 媒体加密和端口保护通过对可移动媒体进行加密（如USB存储设备、CD和DVD）和控制端口和设备上的活动（读、写和执行），媒体加密可保护公司敏感数据的安全，使它们避免遭受入侵的恶意软件的攻击。CheckPoint端点安全媒介加密通过有效结合端口管理、内容过滤、集中审核和管理存储设备及可选媒介加密，致力于处理内部威胁。这些威胁来源于未经授权就将企业数据复制到个人存储设备。CheckPoint端点安全媒介加密可以堵住这些潜在的泄露点，同时具有能够全面审核-报告数据文件如何进出这些设备，让企业实现对其安全策略的完全控制。 完整的灵活性CheckPoint端点安全媒介加密具有全面灵活性，可用来管理USB、即插即用设备 和可移动媒介。通过完全集成到Windows2000/2003 Active Directory活动目录 或Novell EDirectory，使漫游用户安全策略与现有用户和组织相结合，实现整 个组织基于角色的访问. 独特的白名单和黑名单功能CheckPoint端点安全媒介加密的独特设计具有管理USB可移动媒介和可移动媒介白名单和黑名单的功能。这种功能让组织能够在企业内使用授权媒介。同时，也可以灵活使用未经批准的设备而无需引入不必要的或恶意的文件，减少数据丢失的风险。 全面的审核能力CheckPoint端点安全媒介加密具有独特的审核功能，这种功能已经拓展到工作站控制之外了。这种独树一帜的立体审核跟踪，无论即插即用设备和CD/DVD刻录机 设备在哪里使用，网络管理员都能够跟踪进出可移动媒介的数据动向。 4.4 网络访问控制(NAC)网络访问控制执行全面的NAC策略，控制网络访问，确保每个端点都保持最新的反病毒软件、关键补丁、服务包和游览器、虚拟专用网络（VPN）代理等应用程序。4.5 程序控制与程序顾问Program Control可确保只有合法、经过认可的程序才可以在端点上运行。Program Advisor相当于一个实时的CheckPoint知识库，它包含了100万个可信赖的应用程序和可疑恶意软件的资料，可用于自动进行Program Control配置。4.6 集中管理CheckPoint Endpoint Security管理控制台（SmartCenter）提供集中配置、策略管理、报告和端点安全分析功能。 4.7 DLP技术Check Point通过将技术与流程相结合对DLP进行了彻底变革，从而使企业由被动检测转变为主动的数据丢失防御。创新的MultiSpectTM数据分类将用户、内容和处理信息相结合，从而做出精确的决策，同时，全新的UserCheckTM技术能够使用户对事件进行实时修复。Check Point基于网络的DLP自学解决方案将IT/安全人员从事件处理中解放出来，并且能够对用户进行适当的数据处理策略培训，从而保护敏感的企业信息免于故意的和无意的丢失。Check Point UserCheckCheck Point UserCheck能够使用户对事件进行实时修复。该创新技术能够发现可疑破坏并向用户发出警告，支持立刻采取修复措施，并且能够快速批准合法的通信。UserCheck支持用户自我管理事件处理，可对问题进行发送、丢弃或审查，通过提高对数据使用策略的知晓度来改善安全性。支持以来自瘦代理的弹出信息或通过专门的电子邮件向终端用户发送实时的通知（无需安装代理）。组织能够从以下几种方式受益： 全面防御 支持从检测到防御的实际步骤 自学系统 IT /安全人员无需在处理事件的同时，对用户进行适当的数据共享策略培训Check Point MultiSpect Check Point创新的MultiSpect数据分类引擎将用户、内容和流程相结合，以作出精确的决策。Check Point DLP在确定敏感数据的精确度极高，包括个人身份信息（PII），与合规性相关的数据（HIPAA、SOX、PCI数据等），以及机密的企业数据。这是通过MultiSpect这个强大的3层检测引擎来实现的： 多参数数据分类与关联 多协议检测与实施，对内容流进行监测，并在普遍使用的TCP协议中实施策略，其中包括SMTP、FTP、HTTP，以及网页邮件、模式匹配和文件分类，无论文件经过扩展还是压缩都可以确定内容类型 识别并保护敏感形式 文件/格式匹配（以预定义的模板为基础） 确定非常规的企业通信行为 开箱即用的最佳实践策略另外，一种开放式的脚本语言可用于创建自定义数据类型。这种独特的灵活性为保护敏感数据提供了无限的支持。网络范围的保护覆盖Check Point的DLP解决方案以新型的基于网络的内置软件刀片为基础，运行在任何现有的Check Point网关上。Check Point DLP软件刀片是一种先进的数据丢失防御解决方案，通过广泛的流量传输类型（包括SMTP、HTTP、FTP）在网络上进行数据传输。DLP策略的创建可对防御的内容、防御方式、每种策略、每个网络段、每个网关和每个用户组进行定义。集中策略管理Check Point Security Management通过一个用户友好的界面对DLP刀片进行集中管理。集中管理可对安全策略进行充分的利用和控制，并且支持组织跨越整个安全基础架构对用户和组定义、网络目标、