CheckPoint网络安全解决方案-技术版.ppt

CheckPoint面向未来的网络安全解决方案 Mar30 2010 Agenda 我们需要什么样的 防火墙 面向未来的安全解决方案概览CheckPoint安全网关技术特点附录 CheckPoint网关安全产品线介绍 NAT 路由 WEB管理 吞吐量 连接数 VPN 我们需要什么样的 防火墙 这样的防火墙 还能够满足企业现在的安全需求吗 我们需要什么样的 防火墙 1 传统防火墙已经无法为服务器提供全面安全保护 Video演示 1 我们需要什么样的 防火墙 2 传统防火墙已经无法为客户端提供全面安全保护 Video演示 2 我们需要什么样的 防火墙 3 用户的实际网络流量永远不会是1 64B2 UDP 防火墙的测试工具和方法也在变化1 SmartBit 3 4层测试 2 Avalanche 应用层混合数据流测试 我们需要什么样的 防火墙 4 WEB管理界面的确很简单如果仅仅是限于配置 1台防火墙 的 访问控制规则 的话 但 配置规则 就意味着安全吗 配置规则 就是防火墙管理的核心内容吗 可管理安全 防火墙管理 不仅仅是登陆WEB界面去配置规则如何方便 快速的监控企业安全状况 分析事故 解决问题 才是安全管理的核心 应用级性能 企业的网络流量永远不可能都是UDP64B 而是混合业务流 应用级安全 我们需要什么样的 防火墙 企业关注的是WEB DNS 邮件的安全而不是简单的TCP UDP端口的开 闭 可管理 的 应用级安全 是防火墙发展的必然方向 CheckPoint解决方案概览 CheckPointTotalSecurity 应对日益复杂企业应用安全环境和威胁 Firewall VPN WebSecurity DataLeakage IDS IPS SPAM Reports Logging EventManagement PolicyDefinition Provisioning EndpointManagement DataEncryption Malware Viruses Worms RemovableMedia ApplicationFirewall UnifiedGateway SingleMANAGEMENTConsole SingleAgentforEndpoint DataSecurity CheckPoint防火墙管理架构 管理客户端 管理服务器 SmartCenter 硬件解决方案 SMART 1软件解决方案 SmartCenter PCServer Power 1 UTM 1 IP系列 CheckPoint防火墙采用三层管理架构 UTM 1内置管理服务器 Power 1和IP系列必须要配置管理服务器才能够部署 SMART 1硬件是CheckPoint硬件解决方案 防火墙网关 CheckPoint网关产品线概览 防火墙网关 UTM 1和Power 1是CheckPoint原有防火墙产品线IP防火墙来源于2008年收购整合的NOKIAIP系列防火墙产品线 CheckPoint网关产品线概览 管理平台 UTM 1 IP Power 1 IPS 1 VSX 1 Abra Smart 1 UTM 1 IP Power 1系列的产品定位 金融机构 大型企业 电信运营商 教育机构 能源行业 医疗机构 餐饮连锁 交通运营 寻求市场定位 专业制造 分支机构 如何客观的评价一款防火墙产品 应用安全 安全性能 安全管理 传统功能 防火墙 VPN 传统功能 防火墙 VPN 链路负载均衡 Inbond outbond链路复杂均衡 支持DNSProxy 强大的认证功能 可以实现基于Session的用户认证 认证集成功能 和MicrosoftAD集成实现用户认证单点登录 深入的协议检测 Eg 防火墙引擎可控制的FTP命令为50 预定义300 协议 对网络应用及协议的全面支持 传统功能 1 状态检测引擎的发明者 到目前为止 CheckPoint防火墙引擎依然具有独特的优势 传统功能 1 如何在DHCP环境中对用户网络行为进行审计分析 如何在多用户环境中对用户网络行为进行审计分析 通过防火墙日志如何快速定位事件的责任人和主机 实现上述功能 是否需要复杂的配置和额外的主机 IdentityLogging 传统功能 2 传统功能 2 基于用户的日志审计分析 传统功能 3 传统功能 3 灵活的VPN 一键式VPN 智能管理 SSLVPN MobileVPN 专用VPN客户端 免费数字证书 终端健康检查 VPNinPocket 双因素认证 传统功能 4 高可用性 专有的安全网关集群解决方案不需第三方负载均衡设备自身动态负载均衡 传统功能 4 应用安全 应用安全 1 CheckPoint软件刀片是什么 软件刀片CheckPoint基于防火墙应用安全的发展方向提出的新一代安全架构 各种安全功能软件刀片实质上是防火墙设备上的独立的软件模块 应用安全 2 集中管理 高性价比 CheckPoint为什么要研发软件刀片 企业面临的安全威胁日益复杂 传统堆叠式解决方案为企业带来了严重的经济负担 且管理负载 技术支持接口繁杂 CheckPoint软件刀片架构 在保证性能可用的前提实现了 全面防护 使用简单 应用安全 3 CheckPoint软件刀片如何保障性能 CheckPointCoreXL开放性能架构保障软件刀片高性能的核心技术基础 充分利用CPU多核架构 应用级性能成倍提升 CheckPoint是和Intel合作最为紧密的安全厂商 网络安全 CPU多核技术是下一代防火墙的发展的未来 应用安全 数据安全 CoreXL2 4CoreCPU数据处理示例 fw5 conntable Queue FifthCore SixthCore Dispatcher Dispatchertable PKT PKT PKT fw6 conntable Queue fw7 conntable Queue SeventhCore EighthCore fw1 conntable Queue FirstCore SecondCore fw2 conntable Queue fw3 conntable Queue ThirdCore FourthCore fw4 conntable Queue PKT PKT PKT PKT Upto501 PerformanceIncrease 应用安全 IPS刀片 应用安全 IPS刀片 1 CheckPointIPS软件刀片概述 所有CheckPoint安全网关 预置IPS软件刀片 具有相同的功能和统一的管理界面 只是性能不同 应用安全 IPS刀片 2 IPS软件刀片的特点 1 全面的防护能力 连续2年 微软漏洞防护能力最佳 微软漏洞几乎已成为企业安全威胁最主要的来源 强大的应用控制能力阻断MSN QQ 迅雷 Skype等 WEB防火墙模块保护WEB服务器免受攻击 保护邮件服务器FTP服务器DNS服务器IP电话系统 应用安全 IPS刀片 3 强大的IPS性能 最高可到15Gbps的IPS防护能力 IPS软件刀片的特点 2 强大的性能 CheckPoint桌面型设备 UTM 1130防火墙吞吐量400Mbps IPS吞吐量300Mbps 应用安全未来是 基于CPU的多核架构 得益于CheckPointCoreXL多核技术 充分利用多核CPU的强劲威力 2 4核CPU 15Gbps的IPS吞吐量2 48核CPU IPS软件刀片的特点 3 统一管理 通过单一界面管理CheckPointIPS 防火墙 VPN SSLVPN 应用安全 IPS刀片 4 IPS事件可视化 实时时间线事件分类挖掘基于用户鉴别客户端状态查询地理信息管理 IPS软件刀片的特点 4 高性价比 IPS软件刀片1年费用 7500 包含了产品和升级费用 CheckPoint网关标准配置 包含了1年的IPSUTM 1132 272 572标准价格不包含IPS刀片 IPS软件刀片仅仅 7 500 Opexonly 年费 应用安全 IPS刀片 5 IPS软件刀片的特点 5 IPS部署 安装 方便 部署方便在防火墙上单击鼠标即可启动IPS软件刀片您不用熬夜割接系统啦 应用安全 IPS刀片 6 CheckPoint软件刀片概览 安全网关刀片 安全管理刀片 重复使用 您的 安全架构 通过 软件刀片架构是应用安全的未来 软件刀片 安全管理 管理的问题 管理架构安全策略监控状态分析故障解决问题数据汇报合规性审计流程管理 超负荷运行的后果 了解安全设备运行状态 运行状态模块状态CPU状态内存状态存储状态并发连接新建连接双机状态 监控网络运行状态 分析网络异常流量 异常流量来源分析异常服务端口分析网络健康状态分析 定位异常主机的活动 集中存储分类查询150 字段灵活架构 提供事件依据 用户带宽和网络连接资源占用报告网络服务带宽占用报告报表自动化 提高安全事件的管理效率 报警事件收敛分析报警事件数据挖掘 合规性审计分析 更新安全防护状态 一键式更新覆盖全网安全设备 防火墙安全管理面临的下一个挑战 CheckPointSmartWorkflow流程管理刀片 如何降低人为错误引起的防火墙宕机 如何审计防火墙管理员的行为 如何安全管理的合规性 符合用户安全要求 如何实现防火墙管理流程的自动化和可视化 流程管理 Smartworkflow 单一管理控制台 提高安全性和效率 同时降低运行费用 可见的变更追踪 降低人为的策略配置错误风险 灵活的授权 和已有批准的流程一致 综合的审计和报表 通过策略变更的追踪加强合规性 自动的策略变更管理 安全管理流程化 安全策略变更流程化 流程可定制 配置选项 基于角色批准自批准紧急绕过 策略变更可视化 高亮显示策略变更对比 策略变更前 策略变更后 所见即所得 审计 审计 ReviewandApproveChanges ChangesHighlightedinSmartDashboard 审计策略变更和所有合规性调整需要的细节 您的选择 来自CheckPoint的 刀片式 软件 多点解决方案 供应商 多个项目专用的硬件设备专用的管理平台 一个项目多种配置单一管理 降低投资降低TCO CheckPoint网关安全产品线介绍 网关设备产品线介绍 CheckPointIP系列 灵活的硬件平台和软件模块 Fullappliancerange 模块化和可扩展的刀片架构 firewallblade IPSecVPNblade IPSblade AdvancedNetworkingblade Acceleration Clusteringblade 硬件加速AC DC电源NEBS认证FiberNICs模块化网络端口 可选l CheckPointIP系列安全平台技术参数 1 PerformancewithoutADPandwithADP CheckPointUTM 1完整的中小企业解决方案 适用于中小型企业介于190Mbps 4 5Gbps的性能综合安全防御能力内置安全管理模块 UTM 1272 276 UTM 1572 576 UTM 13073 3076 UTM 11073 1076 UTM 12073 2076 UTM 1132 136 FWBladeVPNBladeIPSBladeURLFilteringBladeAntivirus antimalwareBladeAntispam messagingsecurityBlade UTM 1Edge UTM 1设备技术指标 IPSThroughputTestbase