Check Point防火墙安全解决方案

网络安全项目解决方案建议书XXXX公司网络安全项目解决方案建议书目录一、项目需求分析31.1项目背景31.2网络拓扑结构41.3网络安全需求分析51.4 网络安全设计原则5二、网络安全设计建议72.1 方案一（各区域分散部署）72.2 方案二（虚拟化部署）9三、产品选型113.1从产品特性分析113.1.1 Check Point IP系列产品113.1.2 Check Point VSX系列产品143.2从软件技术分析193.3 从安全管理分析（Smart-1）203.3.1日志和状态软件刀片233.3.2监控243.3.3 IPS事件分析263.3.4 报告30四、产品资料33一、 项目需求分析 1.1 项目背景XXXXXXXXXXXXXXXXXXXXXX1.2 网络拓扑结构XXXX公司数据中心内网计划分为四个区域：1) 核心业务区；2) 高性能计算区；3) 生产网终端区；4) 管理维护区。外部接入分为两个区域：1) 办公访问区，设计公司各分公司专线连接到新数据中心，访问新数据中心资源；新数据中心专线接入到集团网，访问集团网资源。2) 合作伙伴访问区，新数据中心Internet接入主要用于翻译公司、各分包商等合作伙伴的VPN接入，访问新数据中心内网资源。1.3 网络安全需求分析目前XXXX公司对新数据中心安全系统有以下几点需求：a) Internet接入部分安全防护，提供合作伙伴访问区的VPN接入；b) 数据中心内网安全防护，要求内网各区域间通过防火墙隔离；c) 新数据中心与集团网以及设计公司各分支机构之间的安全防护；d) 安全加固方案的设计必须充分考虑到安全和可用性的结合。安全措施不应形成网络瓶颈，不过分增加其复杂性而加大管理人员的工作量。1.4 网络安全设计原则基于前面对需求的分析，我们针对每个区域设计不同的安全措施。在对XXXX公司网络进行安全系统设计、规划时，主要遵循以下原则： 1) 需求、风险、代价平衡分析的原则：对任何网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。 2) 综合性、整体性原则：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 3) 一致性原则：这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。 4) 易操作性原则：安全措施要由人来完成，如果措施过于复杂，对人的技能的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。 5) 适应性、灵活性原则：安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。 二、网络安全设计建议 本方案的设计本着XXXX公司一贯的务实原则，根据XXXX公司的实际情况和具体的应用需求及XXX行业的特点，结合上级监管机构对网络系统安全的各项要求，尽量做到“全面、安全、先进、实用”。以下提出两种方案建议：2.1 方案一（各区域分散部署）根据前面对XXXX公司的安全需求分析，结合安全设计的原则，提出网络安全设计的方案。以下分别对各区域进行安全设计描述：新数据中心机房作为XXXX公司核心业务区，集中了数据库、核心业务、办公、网站等服务器，有侧重的分类保证其安全是整个方案设计的重点。设计中采取了以下措施：1) Internet接入安全防护，配置两台CheckPoint IP 295防火墙，配置VRRP+Cluster，实现Internet接入安全防护、VPN链路安全防护。2) 数据中心内网四个区域分别配置两台CheckPoint IP 395防火墙，配置VRRP+Cluster，实现内网四个区域间的安全隔离。集团网及分支机构接入安全防护，配置两台CheckPoint IP 565，配置VRRP+Cluster，实现与集团网以及各分支机构之间的安全防护。3) 各区域汇聚路由器与交换机接口都需要通过防火墙，实现基于应用业务的安全策略，阻挡来自内部的攻击。4) 部署一台SMART-1 25管理服务器设备在管理维护区，对所有防火墙统一平台管理。方案一的部署方式，使得整个网络结构清晰，各区域独立且互不影响，但由于此方案要求各区域单独部署防火墙，防火墙数量较多，使得运营成本大幅上升。2.2 方案二（虚拟化部署）根据前面对XXXX公司的安全需求分析，结合安全设计的原则，提出网络安全设计的方案。以下分别对各区域进行安全设计描述：1) Internet接入安全防护，配置两台CheckPoint IP 295防火墙，配置VRRP+Cluster，实现Internet接入安全防护、VPN链路安全防护。2) 数据中心内网四个区域配置两台CheckPoint VSX-1 9070防火墙，将两台VSX-1设备各虚拟成四台防火墙，配置Cluster，实现内网四个区域的安全防护。3) 集团网及分支机构接入安全防护，配置两台CheckPoint VSX-1 9070，并分别将两台VSX-1设备虚拟成多台防火墙，实现与集团网以及各分支机构之间的安全防护。4) 各区域汇聚路由器与交换机接口都需要通过防火墙，实现基于应用业务的安全策略，阻挡来自内部的攻击。5) 部署一台SMART-1 25管理服务器设备在管理维护区，对所有防火墙统一平台管理。方案二的部署方式，易于管理和维护，将一台防火墙虚拟成多台，用一台物理硬件设备来虚拟多个防火墙实现各个区域的安全防护，大大降低了运营成本。三、产品选型根据XXXX公司的具体需求和技术分析，对于防火墙设备方面的选型，方案一中我们推荐使用CheckPoint IP 565和CheckPoint IP 395设备配合CheckPoint R70防火墙软件，SMART-1 25管理服务器统一平台管理。方案二中我们推荐使用CheckPoint VSX-1 9070和CheckPoint IP 395设备配合CheckPoint R70防火墙软件，SMART-1 25管理服务器统一平台管理。具体选型理由如下：3.1从产品特性分析3.1.1 Check Point IP系列产品多年来，Check Point IP已经经受住了在复杂网络与性能要求苛刻环境下使用的检验网络，它可为客户提供齐备的安全功能，如各种型号设备上的防火墙, VPN（虚拟专用设备） 和入侵防御（IPS）等。IP设备现在作为一个解决方案，集成了Check Point最新的软件刀片，并在其标准配置中IPS软件刀片 进行了优化。IP设备提供无可比拟的可扩展性、高性能、可靠性和高端口密度，以降低运营成本，并在严格的任务关键安全环境下运行。主要优势 集成了Check Point硬件和最新软件刀片的安全设备 高度模块化和可扩展性，在大范围流量条件下实现高性能 运营商级的耐用性和冗余，减少了平均维护时间和确保了可靠性产品特点 软件刀片架构 防火墙 IPsec VPN IPS 加速与集群 高级网络 具有可选软件刀片的可扩展性 加速数据路径（ADP）服务模块 高级路由与网络 高性能与高可用性集群 Voyager基于Web的配置、监控与管理 转多接口选项组合 运营商级的耐用性和冗余 灵活的软件刀片架构Check Point IP设备基于Check Point的软件刀片架构。Check Point软件刀片架构是第一个和唯一一个可为任何规模的企业提供全面、灵活和可管理安全性的架构。Check Point软件刀片具有前所未有的灵活性和可扩展性，可以提供较低的拥有成本和经济高效的保护，以满足当前和未来的任何需求。IP设备包括下列软件刀片： 防火墙 软件刀片 IPsec VPN软件刀片 IPS软件刀片 加速与集群软件刀片 高级网络软件刀片 具有附加Check Point软件刀片的可扩展性：快速满足新的安全威胁IP设备提供预先配置的软件刀片集。可以快速和轻松地扩展IP设备，以通过附加Check Point软件刀片满足新的和不断发展的安全要求，例如Web安全 与VoIP。加速数据路径（ADP）模块Check Point加速数据（ADP） 模块是可以插入IP设备中，以提高流量性能和扩展设备利用率的硬件选项。可以通过ADP在主处理器与ADP模块处理器之间共享CPU工作负荷，以在不必完全更换现有硬件情况下提高性能。高级路由与网络IP设备结合了支持广泛流量类型的高级路由协议，包括PIM、RIP、OSFP和BGP。IP设备也支持流量监控和错误处理，以便实现远程故障排除、容量规划和配置管理。高性能和高可用性集群为了帮助确保业务连续性和平衡性能，IP设备可用多个高可用性解决方案。虚拟路由器冗余协议(VRRP)和获得专利的IP设备集群技术提供强健和可扩展的IP设备高可用性。这些技术允许多台独立的IP设备相结合，实现单台虚拟机的公共安全目标。网络 VoyagerCheck Point 网络 Voyager提供基于Web的配置、监控和管理，以便网络管理员通过功能丰富的GUI远程管理IP设备。管理员可以从网络Voyager界面轻松地管理硬件、操作系统和应用程序开发、组网和路由，排除系统故障或者优化配置，管理高可用性，设计基于角色的管理和监控流量与IP设备状况。接口选项Check Point IP设备配有大型的接口选项组合，包括具有广泛端口密度的铜缆和光纤以太网以及高达10Gbps和T1 WAN的性能选项。这些设备也配有HDD、闪存或者混合存储等存储选项。运营商级的耐用性和冗余备选的IP网络安全设备集群使得通过工作负荷重新分配进行维护更新成为可能。管理员可进行透明的“滚动更新”，在这个过程中，节点从集群中被删除，进行更新，然后重新插入，所有这一切都不会中断终端用户的操作。其他特点包括： 某些型号上的热插拔硬件驱动器、风扇和电源 简单存取设计（滑出式托盘和滑入卡） 更新ADP模块以提高设备的性能 某些型号上的DC电源3.1.2 Check Point VSX系列产品VSX安全操作平台是一个虚拟化的安全网关，能够将5到数百个安全系统集成在一个单一的硬件平台，大大节省成本。在VPN-1 Power提供的成熟安全技术基础上，VSX为多个网络系统提供同类最佳的防火墙、VPN（虚拟专用网络）、URL过滤和入侵防御技术，使它们彼此安全地连接和共享资源，如互联网和DMZs区。所有安全系统，无论是虚拟还是实体，都通过Check Point SmartCenter或者Provider-1管理控制台进行集中管理。功能强大的VSX-1设备可以进一步降低部署成本，同时提供电信运营商级的可靠性和可扩展性。VSX通过运行一个由数百个路由器、开关和VPN-1网关组成的虚拟网络来优化空间和成本。对于MSPs，VSX是一个理想平台，可以通过简单高效地提供新的安全服务提供增加收入的机会。这些包括增值虚拟内容过滤、VPN、网络划分和防火墙服务，利用VSX的虚拟系统向导（Virtual System Wizard）以尽可能低的成本即刻提供这些服务。优点 独特、全面、虚拟化的安全解决方案包含了防火墙、VPN、IPS和URL过滤。 将5 到数百个安全网关合并到单一装置中，提高了装置的利用率，降低了电力消耗和空间占用。 性能具有线性可扩展性，最大可达27Gbps。 灵活的部署方案，包含软件和全套的交钥匙设备。 单一的、成熟安全管理架构。灵活的部署方案 设备 包含广泛内容、功能强大和高可扩展性的VSX-1设备能够符合任何网络安全要求。 软件 VPN-Power VSX软件可以安装到经过Check Point认证的多种开放服务平台上，运行SecurePlatformTM。产品特点 可扩展的虚拟环境 灵活的虚拟连接 高性能安全 全面的安全服务 成熟、可靠的安全管理架构 方便服务提供商可扩展的虚拟环境随着VSX作为软件或者VSX-1设备的部署，网络管理员可以对传统的物理布局和设计进行虚拟化实施，包括中央和远程DMZs。VSX平台可以在一个单一或集群的硬件平台创建和管理最多250个完全独立的安全系统。这在具有可扩展性的同时，大大减少了硬件投资、空间要求和维护成本。灵活的虚拟连接虚拟路由器和交换机可以用来在虚拟系统背后的网络之间进行通讯传输，跟在实体网络完全一样。VSX支持多种路由方案，可以进行灵活的网络连接。 桥接模式中的虚拟系统VSX有能力接纳以路由器或者桥接模式运行的虚拟系统。在桥接模式下部署虚拟系统的能力使管理员能够实施本地2层桥接，而不是通过IP路由，从而无需对网络设置和布局进行重新配置即可将一个虚拟系统明显地添加到网络上。 路由传播当一个虚拟系统连接到虚拟路由器或者虚拟交换机时，管理员可以选择将路由信息传播到临近的虚拟设备。这一功能使临近虚拟系统背后的网络节点进行通讯，无需手动配置。 重叠IP地址空间当多个网段公用相同的IP地址区间时，VSX可以便利连接。这种情况出现在当单一的VSX网关对几个从同一个IP地址池将IP地址分配到各个端点的独立网络进行保护时。因此，在VSX环境中，一个以上的端点共享同一个IP地址，而每一个位于不同的虚拟系统之后。在VSX环境中重叠IP地址空间是有可能的，因为每个虚拟系统维持自己独特的状态和路由表。这些表可以包含相同的条目，但这些条目存在于不同的、彼此隔离的环境中。 源基路由源基路由使管理员能够确定优先于普通的基于目的的路由决定的路由定义。这样，管理员可以根据他们的源IP地址或者源IP地址与目的地IP地址的结合发送信息包。如果没有VLAN标签的单一的实体接口连接数个受保护的客户网络，在部署时可以用到源基路由。每个虚拟系统连接到内部的虚拟路由器。虚拟路由器根据源基路由表定义的源IP地址，将通行流量路由到相应的虚拟系统。 动态路由虚拟设备彼此之间利用动态路由可以进行通讯和分配路线。VSX为虚拟系统和虚拟路由器提供完整的3层动态路由。支持的单播和多播动态路由协议有OSPF、RIP-V1/2、BGP-V4、IGMP、PIM-SM、PIM-DM。高性能安全高带宽网络要求高性能的网关才能支持数千个用户和应用程序。VSX采用Check Point获得专利的SecureXLTM安全加速技术，使它能够从开放的服务器和设备获得最高的性能，即使是在DoS（拒绝服务）攻击期间也是如此。要提供线速安全，利用Check Point的高性能技术可以将VSX部署到多个电信运营级的平台之上，确保安全、有弹性、数千兆的吞吐量。要使性能、容量和系统可扩展性实现最大化，VSX提供以下功能和技术： 虚拟系统负荷分担（VSLS）能够在集群成员之间分配虚拟系统，从而能够在集群内有效地分配流量负荷。 VSX资源控制使管理员能够管理负荷处理，保证每个虚拟系统将得到最起码的CPU分配资源。某个虚拟系统不需要的资源自动分配给其它虚拟系统。管理员还可以限制低优先级虚拟系统的CPU的时间，给担负重要任务的虚拟系统分配更多容量。 VSX QoS（服务质量）执行通过支持差异化服务协议和将不同的传输特征分配给不同级别的服务，能够控制VSX网络环境中的网络服务质量。这有助于在资源负荷过重时，对通行流量的处理进行优先排序。 ClusterXL具有高可用性和负荷分担功能，以保持企业运行。它在集群冗余网关之间分配流量，这样可以将多台机器的计算能力结合起来增加总吞吐量。如果单独的网关无法获取，所有连接就会被重定向到指定的备份，而不受干扰。 全面的安全服务基于FireWall-1 和 SmartDefense 入侵预防技术，VSX为复杂基础设备内的多重网络或者VLANs提供全面的保护，使他们安全地与互联网和DMZs等共享资源连接。VSX网关基于Check Point获得专利的Stateful Inspection，这也是互联网安全的实际标准。VSX对超过150个的预定义应用程序、服务和协议，开箱即可使用，确保企业使用的大多数应用程序进入网络时免遭安全威胁。例如： URL过滤 保护用户或者限制访问一系列不断更新的预定义内容。 网络电话（VoIP） 随着许多公司纷纷采纳网络电话降低通讯费用，VSX提供全面的VoIP应用协议支持，确保重要的业务通讯。V其支持的VoIP应用协议包括H.323、SIP、MGCP和Skinny（SCCP）。 即时通讯和点到点（P2P）应用 这些是这些是网络蠕虫、病毒和间谍软件共同的攻击目标。VSX通过检查这些应用程序的内容或者预防他们进入企业网络，从而确保这些应用程序的安全。VSX得到SmartDefense Services, 的支持，它为Check Point安全基础设备提供最先进的先发保护。VSX还具有灵活性，确保远程访问，支持最全面的客户端访问方案（IPSec、SSL、VPN、移动访问）。成熟、可靠的安全管理架构VSX通过Check Points SmartCenter 和 Provider-1 管理解决方案。两者构成强大的工具，可以集中配置、管理和监控多重VSX安全操作平台、虚拟系统和vpn-1物理网关。在Check Point的安全管理架构（SMART）基础上，这些解决方案可以根据网络要求灵活地选择适当的管理解决方案，Check Point的One-Click VPN技术还可以使虚拟系统无缝添加到VPN当中。新的虚拟系统自动继承适当的功能，能够与企业网络中的所有其它VPN家族成员立即建立安全时段。其它工具与虚拟系统创建向导和模板有助于实施服务器形象标准化，并进一步简化部署和配置VSX的流程。如果将VSX与Provider-1结合使用，企业可以对不同的业务小组或者客户划分，按照功能或者网段对网络进行分级。因此，管理员可以为不同的网段保留单独的策略，可以将大的规则基础分成几个小的规则基础，以便于管理和更好地控制网络安全。方便服务提供商利用VSX，只需点击按钮即可提供安全服务，使服务提供商以尽可能低的成本从虚拟安全服务中获利。功能包括新的URL过滤功能，它可以保护用户，或者限制访问内容。这对已经存在的业内最佳的安全服务是一个补充。3.2从软件技术分析Check Point对IT安全变革并不陌生。最近15年以来，Check Point创建了状态检测技术，该技术至今仍然是行业内最强健防火墙的基础。通过单一控制台的SmartCenter安全管理，统一了安全网关，并针对端点安全引入了第一个也是唯一的单点代理。而最新推出的整体安全，在提供可靠的安全性的同时，大幅降低复杂度和提高整体效率。2009年，Check Point继续创新，引入了 软件刀片架构。Check Point软件刀片架构是第一个且唯一的可为所有规模的公司提供全面、灵活和可管理的安全解决方案的安全架构。软件刀片架构可为客户提供自定义配置安全解决方案以满足其特定需求的能力。由于企业总是要跟上最新的威胁保护，大中小型企业的安全环境变得更复杂。由于每个保护将成为一个新的安全方案，一个新的硬件平台，一个管理控制台和一组新的日常监控事件。Check Point的软件刀片架构通过允许客户选择可满足其需要的安全应用程序，以及定制为集中管理的模块化安全解决方案，为客户带来了灵活性和更大的简化度。便于在不需要采购新硬件的情况下，通过附加的软件刀片，以较低的总体拥有成本提供扩展现有安全基础架构的能力。软件刀片是一个独立的、模块化和集中管理的安全模块。软件刀片不是物理刀片，而是逻辑刀片，您可以根据当前特定的需求，使用该刀片选择和自定义配置形成解决方案。由于这些需求不断发展，您可以通过添加和启动相同基础架构上的新刀片，扩展安全解决方案。 Check Point安全网关R70 Check Point软件刀片安全架构的主要优点： 灵活性 以最正确的投资提供最正确的保护。 可管理性 便于快速地部署安全功能，并通过集中管理软件刀片提高生产率。 整体安全性 在所有执行点和全部网络层提供适当的安全等级。 较低的总体拥有成本 - 通过强化和利用现有的基础架构，以提供投资保护。 性能保证 针对刀片启用性能设置，以确保提供性能保证。w Check Point安全网关软件刀片（R70）包含防火墙、IPsec VPN、IPS、Web安全、网址过滤、防病毒和防恶意软件、防垃圾邮件和电子邮件安全、高级网络（高级路由、QOS）、加速和集群、网络电话VOIP 等功能刀片。3.3 从安全管理分析Smart-1设备预装有Check Point在市场领先的安全管理软件刀片，安装在为大中型企业安全网络设计的专用硬件平台上。基于Check Point的软件刀片架构，4种Smart-1系列设备是同行业首个为网络、IPS和端点安全提供统一管理解决方案的，具有无人超越的可扩展性。主要优势 通过4个齐备的安全管理设备，提供一整套齐备的安全管理软件刀片； 实现效率最大化，从单一的统一管理控制台管理网络和端点安全； 降低成本，节省资源，具有最大12TB的内置存储能力； 确保最苛刻环境下连续运行不中断； 简化大规模安全策略，提供多域管理（Provider-1）；产品特点: 集成网络、IPS和端点安全管理； 内置支持SANs和最大12TB的机载RAID存储能力； 高可靠性和适用性，配有冗余热交换部件和集成的Lights-Out管理（LOM）； 灵活管理多个安全策略，基于角色的粒度管理和多域管理（Provider-1）； 安全管理软件刀片。 集成网络、IPS和端点安全管理Smart-1设备提供集中管理所有Check Point产品。从SmartDashboard，管理员可以定义和执行防火墙、VPN、IPS、端点和其它策略，跟踪日志，监控安全和网络活动，查看网络报告和安全活动趋势，集中分配安全和软件更新。内置支持SANs和最大12TB的机载RAID存储能力Smart-1设备具有最大12TB的内置存储能力和高性能光线通道连接SANs进行备份、运作复原和符合策略。高可靠性和适用性，配有冗余热交换部件和集成的Lights-Out管理（LOM）Smart-1设备支持Lights-out管理（带外管理），用户能够远程监控设备，包括设备维护和管理。它还提供了几个添加选项，包括光线通道SAN模块、冗余、热交换电源和硬盘。1. 冗余热交换硬盘； 2. LCD显示器； 3. USB端口； 4. LOM端口； 5. 控制台端口； 6. 4个1GbE端口； 7. 光线通道SAN卡； 8. 添加模块的插槽；灵活管理多个安全策略，基于角色的粒度管理和多域管理（Provider-1）；Provider-1多域集中安全管理功能的设计是为了满足大型企业和服务供应商环境下的独特要求。Provider-1可轻松扩展支持数千个用户，同时最大化降低硬件成本和提高运行效率。安全管理软件刀片Smart-1设备基于Check Point软件刀片架构： 网络策略管理 端点策略管理 日志和状态 规则 监控 用户目录 IPS事件分析 管理端口 报告 事件关联分析3.3.1日志和状态软件刀片日志和状态软件刀片以网关、通道、远程用户和安全活动变化的日志和完整视觉图片形式，提供有关安全活动的全面信息。日志概述Check Point产品为您提供以日志形式收集有关网络活动全面信息的能力。您可以分析流量模式，排除网络故障和安全问题，收集有关的法律或者审计信息，并产生分析网络流量模式的报告。SmartCenter服务器可通过SmartView Tracker检查这些日志，SmartView Tracker是一个全面的审计解决方案，可用于集中管理所有Check Point产品的有效和旧日志。您可以方便的自定义搜索，以满足特定跟踪需要，将日志与Check Point报告软件刀片或者事件相关性软件刀片相集成，将其导出到文本文件或者外部数据库，或者使用OPSEC认证的第三方解决方案。主要优势 实时视觉跟踪所有日志链接和管理员互动。 预定义产品日志查询提供重要内容的集中搜索。 自动日志维护，以轻松地管理数据容量。 确保安全地管理敏感数据。实时可见性和排除故障SmartView Tracker提供所有记录的连接和管理员活动的实时视觉跟踪。管理员可以过滤或者搜索感兴趣的事件。这些功能显著降低了排除配置错误所需的时间。部署灵活性可将日志存储到本地防火墙软件刀片上，或者更常见的配置是将其存储在远程日志和状态软件刀片上。模块将日志发送到手机和存储日志的日志和状态软件刀片上。部署灵活性意味着客户可以完全控制敏感数据，并可确定预期特殊日志能力要求相匹配的系统大小。自动日志维护达到可配置大小时，自动切换日志，并且管理员可以完全管理切换到日志文件，以确保不超出磁盘空间限制。紧密集成 客户有多种选择可以确保安全地管理其敏感数据，并有多种选择可以管理防火墙、端点或者其他实施点产生的数据容量。其中包括使用安全OPSEC LEA API检索检查点日志的Check Point和第三方解决方案。3.3.2监控了解网络和安全性能的全部信息，以便对流量模式或者安全事件的变化做出快速响应。目前，管理网络和安全性能可能是一种难以处理的局面。安全团队必须处理许多网络和VPN网关，大量具有不同需求的用户，以及可快速使网络发生拥塞的快速增长安全威胁阵容。监控软件刀片显示网络和安全性能的完整图片，以便对流量模式或者安全活动做出快速响应。监控软件刀片集中监控Check Point和OPSEC设备，提供网关、通道、远程用户和安全活动变化的完整视觉图片。这使得管理员能立即确定可能显示恶意活动的网络流量变化。主要优势 维持网络的高可用性 提高带宽使用效率 跟踪SLA遵循性 提高安全投资回报 对网络和安全变更做出快速响应监控网关监控软件刀片提供有关组织机构内Check Point网关、OPSEC网关和网络对象的实时信息。自定义和预定义的查询使得管理员可以查看有关特定网关的深度信息，例如系统数据、网络活动、策略和许可证状态。监控网络流量也提供全面的网络使用视图。监控软件刀片可以产生有关网络流量模式分析的详细或者汇总图形和图表，审计和估计网络使用成本，确定产生最多流量的部门和用户，并检测和监控可疑的活动。监控可以的活动和警示监控软件刀片结合Check Point可疑活动监控协议，以在检测到任何可疑的网络活动时修改访问权限，例如试图进行未经授权的访问。也可将警示自动发送到特定预定义系统事件的管理员，例如当自由磁盘空间低于可接受的阈值或者安全策略发生变更时。这些警示指向潜在的系统安全威胁，并提供信息帮助避免和减少损失，或者从损害中恢复。监控VPN通道系统管理员可以使用监控软件刀片监控网关之间的连接。可以在无中断连接对于组织机构业务非常关键的Check Point网关之间建立永久隧道。通过持续监控VPN隧道的状态（包括入站和出站隧道流量），管理员可以使用监控软件刀片跟踪正常的隧道功能，以便可以快速地访问和解决故障和连接问题。监控远程用户监控远程用户可提供有价值的信息，以确定和排除远程连接问题。监控软件刀片提供有关远程用户流量各方面的全面信息，例如当前打开的会话、重叠会话、路由流量和连接时间。合作实施监控合作实施监控功能利用集成服务器遵循能力验证跨网络从内部和远程主机的连接情况。可以通过监控软件刀片监控为授权和未授权主机产生的日志。灵活的图形化报告管理员可以使用自定义或者预定义的查询，向下钻取特定的流量段或者特定的网关，以隔离可以影响网络性能的因素。可在相同的窗口内显示多个视图和并排视图，以便轻松地诊断流量或者安全问题。与Check Point产品紧密集成监控软件刀片是Check PointSmartCenter管理解决方案的一部分，这是一组强大的应用程序，用于集中配置、管理和监控Check Point周边、内部、Web和端点安全网关、这种集成导致复杂度和总体拥有成本的降低。3.3.3 IPS事件分析IPS事件分析软件刀片是一个完善的IPS事件管理系统，可提供情景可视性、易于使用的取证工具及报告工具。IPS事件按照时间顺序逐一显示，这样管理员可以立刻把注意力集中到更重要的系统设备上，并迅速发现这些系统和设备所面临的威胁及其脆弱状态。管理员可以迅速从监测运行图进入取证环节，发现和管理威胁信息。IPS事件分析软件刀片使管理员能迅速、全面地掌握总体攻击趋势，了解当前IPS策略的有效性。主要优势 克服数据过载 容易发现重要系统发生的重大威胁事件 跟踪和报告运行问题及IPS策略有效性 情景可视性情景可视性功能借助“时间图”把发生在重要系统内的重大威胁事件按照时间顺序逐一显示，使管理员实时掌握发生的重大安全事件的信息。安全管理员能够迅速、轻松地配置时间图，用以显示企业设定的高优先级系统和重大事件。例如，在某一网络中，一些服务器和服务比其他服务器和服务更重要。对某些系统，安全管理员可能只希望监测重大的攻击行动，或现行安全策略不阻止的严重攻击行动。配置时间图的情景可视性功能使管理员能够立刻把注意力集中到高优先级的系统设备上，并且迅速发现这些系统设备所面临的威胁及其脆弱状态。克服数据过载可以轻松定制时间表，显示您认为很重要的系统和事件。IPS事件相关性把单独的但具有潜在相关性的IPS事件归入单独的组，从而能够更好地理解并应对安全威胁。能够归入单独一组事件的活动包括：1. 预设定时间期限之内的攻击，其攻击名称相同，具有相同来源，攻击目标也相同。 2. 分散的IPS攻击，具有相同名称，来源不同，统计目标相同。 3. 在一定时间期限内来自同一来源的不同类型攻击。 通过采用可定制且易于使用的工具，许多其他事件也可能具有相关性。超出预先设定参数的相关活动就会触发安全事件。可以根据安全策略对事件进行分析，并确定其严重级别。可以根据严重级别定义自动行动，一旦触发，就可以迅速停止有害活动。当新的信息进入时，可以调整严重级别和保护行动，以反映新的运行情况。报告趋势分析和IPS策略有效性IPS事件分析软件刀片可以提供大量工具，发现和分析攻击趋势及当前IPS策略的有效性。此外，可以自动创建基于时间的分布图形，显示最重大的一些事件，并且可以对这些安全事件进行分组、分类和过滤。满足运行及管理信息需求从多个预定义报告中选择，或迅速创建您自己的报告。取证工具易于使用按照来源、攻击目标、采用的攻击方法和其他方面对攻击事件进行分组，这样，管理员能够轻松、迅速地对网络攻击进行分解和分析。详细信息可以通过包捕获功能获得。管理员可以轻松地从记录的事件转到保护装置，获得关于攻击的更多详细情况，并修改保护，或创建网络异常记录。从管理界面，管理员可以迅速创建一个任务，对攻击事件进行跟踪。此外，“一般性IPS事件”可以自动与常见攻击准确名称和详细情况建立关联。管理员迅速轻松地从运行图情况深入到详细取证环节3.3.4 报告报告软件刀片把从安全和网络设备获得的大量数据转换为可理解的信息，有关机构可以利用这些信息验证安全策略和规程的有效性，规划网络容量，实现安全投资效益最大化。报告软件刀片集中提供关于网络、安全和用户活动的报告，并把数据纳入简洁、预定义的定制报告中。报告易于生成，并自动分发，可以节省时间和费用。 主要优势 证明安全方面投资的重大价值 减少管理时间，降低管理费用 增加了安全威胁的可视性 提供有关合规方面的报告 拥有预定义的报告模板集中式报告该功能提供大量的预定义报告，无需管理员自行创建定制报告，可以节省很多时间和费用。为了便于使用，这些报告按照以下标准归类：跨产品安全与网络活动、防火墙安全与网络活动、端点安全、杀毒及具体产品报告。每份报告进一步细分为不同小类，每一小类报告可以提供关于网络上某一特定通信流量或活动的详细信息。此外，可以对报告进行特别定制，以满足不同用户的信息需求。如果生成的预定义报告不能满足用户的具体需求，安全管理员通过调整报告过滤器，获取相关数据，生成用户