海关远程报关vpn解决方案建议v11

1、海关远程报关 VPN 解决方案建议（简要）Check Point目录1 前言 32 设计目标和设计原则 42.1 设计目标 42.2 设计原则 53 客户需求分析 73.1 海关远程报关系统简介（略） 73.2 目前需求分析 73.3 采用IPSec VPN的好处 74 方案设计 114.1 网络拓扑 114.2 方案说明 114.3 安全管理建议 135 推荐产品介绍 145.1 推荐产品 145.2 Check Point VPN-1 Power介绍 155.3 Crossbeam X40 介绍 235.4 Check Point SmartCenter Power 介绍 285.5 Ch

2、eck Point VPN-1 SecureClient 介绍 366 产品目录价 436.1 VPN-1 网关 436.2 中央管理服务器软件 436.3 VPN-1 客户端软件 436.4 标准折扣 44/、八1 前言随着 Internet/Intranet 技术的飞速发展和广泛应用，网络安全问 题愈来愈突出，已成为当前一大热点。黑客技术的公开和有组织化， 以及网络的开放性使得网络受到攻击的威胁越来越大。 而人们对这一 问题的严重性的认识和所具备的应付能力还远远不够。 通常人们对内 部网络的安全程度不了解， 而实际情况是网络中的隐患到处都是； 网 络的环境在不断变化，加上管理不当，应用人员

3、水平参差不齐，没有 有效的方式控制网络的安全状况， 我们理想中的安全与实际的安全程 度存在巨大的安全缝隙。随着业务的拓展，网络不断的扩展和日趋复杂，对外服务不断增 多，因此保障网络的安全运行是非常重要的。 如果网络在安全方面稍 微有点漏洞，就有可能被黑客抓住，捣毁数据及网络，这样就会影响 网络业务正常运行，直接带来无法估量的经济损失。 在这种情况下，面对动态的、复杂的网络环境，市场上出现了众多不 同种类的安全产品， 可以说良莠不齐， 怎样在众多产品中选择一款性 价比最高的产品是我们的首要考虑和解决的问题。2设计目标和设计原则2.1设计目标系统设计的目标就是要建立一个具有高可靠性、 高安全性、可

4、扩展 性、先进性和高性能的计算机网络应用系统， 满足目前以及未来业务 的发展需求。网络的可靠性：是指系统的冗错性，系统在部分组件出现故障时能 启用备用组件，以使系统能继续运行，防止出现中 断。网络的安全性：包括五个基本要素：机密性、完整性、可用性、可 控性与可审查性。机蜜性:确保信息不暴露给未授权的实体或进程。完整性：只有得到允许的人才能修改数据，并且能够判别出数据是 否已被篡改。可用性:得到授权的实体在需要时可访问数据，即攻击者不能占用 所有的资源而阻碍授权者的工作。可控性：可以控制授权范围内的信息流向及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。网络的可扩展性：是指网络随

5、着应用的增加仍能满足需求。这要求网络在设计时要求充分考虑未来的应用发展趋势，保证系 统在应用不断增加的情况下仍能可用。网络的先进性和高性能:是指系统设计是尽量选用成熟先进的技术，以避免刚建好的网络因不适用先进的网络技术或不适合与 以后运用新的先进技术建立的网络互连而面临尴尬的局 面。网络的先进性和高性能也是保证网络可扩展性的一个 重要方面。2.2设计原则在进行网络安全设计、规划时，应遵循以下原则：需求、风险、代价平衡分析的原则 ：对任一网络来说，绝对安全难以达到，也不一定必要。对一个网 络要进行实际分析，对网络面临的威胁及可能承担的风险进行定 性与定量相结合的分析，然后制定规范和措施，确定本系

6、统的安 全策略。保护成本、被保护信息的价值必须平衡。综合性、整体性原则 ：运用系统工程的观点、方法，分析网络的安全问题，并制定具体 措施。一个较好的安全措施往往是多种方法适当综合的应用结果。 一个计算机网络包括个人、设备、软件、数据等环节。它们在网 络安全中的地位和影响作用，只有从系统综合的整体角度去看待 和分析，才可能获得有效、可行的措施。一致性原则：这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。易操作性原则 ：安全措施要由人来完成

7、，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。适应性、灵活性原则：安全措施必须能随着网络性能及安全需求的变化而变化，要容易 适应、容易修改。多重保护原则：任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。体系化设计原则通过分析信息网络的层次关系，提出科学的安全体系和安全框架，确定需要划分的安全子系统；根据安全体系框架分析各个安全子系统存在的各种安全风险，从而米取针对性的安全措施，解决可能存在的安全问题。全局性、均衡性、综合性设计原则在不同安全子系统中，从全

8、局出发，综合考虑各种安全风险，米取相应的安全措施，并根据风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。3 客户需求分析3.1 海关远程报关系统简介（略）3.2 目前需求分析目前企业远程报关采用拨号方式， 费用高且缺乏安全保障。 故此项目 希望采用当前技术最为成熟的 IPSec VPN 解决方案。3.3 采用 IPSec VPN 的好处对于企业用户来说， VPN 提供了安全、可靠的 Internet 访问通道， 为企业进一步发展提供了可靠的技术保障。而且 VPN 能提供专用线 路类型服务，是方便快捷的企业私有网络。由于 VPN 的出现，用户 可以从以下几方面获益：1

9、）实现网络通信安全 具有高度的安全性，对于现在的网络是极其重要的。远程报关需 要绝对的安全，而 VPN 以多种方式增强了网络的智能和安全性。首 先，它在隧道的起点，在权威的认证服务器上，提供对分布用户的身 份认证。另外， VPN 支持安全和加密协议，如 IPsec ，从而保证数据 传递的安全。2）简化网络设计企业用户可以使用 VPN 替代租用线路来实现分支机构的连接。 这 样可以将对远程链路进行安装、 配置和管理的任务减少到最小， 仅此 一点就可以极大地简化企业广域网的设计。另外， VPN 远程用户通 过拨号访问当地 ISP 与企业总部建立 VPN ，减少了在企业总部 Modem Pool 的

10、配置，简化了所需的接口，同时简化了与远程用户认 证、授权和记账相关的设备和处理。3）降低成本，投资回报VPN 可以立即且显著地降低成本。当使用 Internet 时，实际上 只需付本地电话费， 却收到了长途通信的效果。 因此，借助 ISP 来建 立 VPN ，就可以节省大量的通信费用。此外， VPN 还使企业不必投 入大量的人力和物力去安装和维护昂贵的 WAN 设备和远程访问设 备，这些工作都可以交给ISP。VPN使用户降低以下的成本: 移动用户的通信成本。VPN可以通过减少长途费或800费用来节省 移动用户的花费。租用线路成本。 VPN 可以以每条连接的 40%到 60%的成本对租用 线路进

11、行控制和管理。 对于租用国际线路的企业来说， 这种节约是更 为显著。对于话音数据，节约金额会进一步增加。 对国内的用户来说， VPN 最大的吸引力在哪里？是价格。据估算，如果企业放弃租用专 线而采用VPN，其整个网络的成本可节约21%-45%，至于那些以电 话拨号方式联网存取数据的公司，采用 VPN 则可以节约通讯成本 50%-80% 。主要设备成本。 VPN 通过支持拨号访问资源 ,使企业可以减少不断 增长的调制解调器费用。另外，用户可以在单一的 WAN 接口中实现 多种服务，从分支机构网络互联、商业伙伴的外联网终端，本地提供 高带宽的线路连接到访问服务提供者，因此，只需要极少的 WAN 接

12、 口和设备。由于 VPN 可以实现完全管理，并且能够从中央进行基于 策略的控制， 因此可以大幅度地减少在安装配置远端网络接口所需设 备上的开销。另外，由于 VPN 独立于初始协议，这就使得远程的接 入用户可以继续使用原有设备， 保护了用户在现有硬件和软件系统上 的投资。4）容易扩展如果企业想扩大 VPN 的容量和覆盖范围。 企业需做的事情很少， 而且能及时实现。 不需要为等待搭建专线耗费宝贵的时间。 在远程办 公室增加 VPN 能力也很简单：通过远程访问方式或通过性能价格比 非常好的 VPN 专用设备即可与总部实现 VPN 通信5）可随意与合作伙伴实现 Extranet在过去， 企业如果想与合

13、作伙伴连网， 双方的信息技术部门就必 须协商如何在双方之间建立租用线路或帧中继线路。 有了 VPN 之后， 这种协商变得非常简单： 在业务上授权对方进行资源共享， 通过权威 的认证机构实现双方严格的身份认证即可。 真正达到了要连就连， 要 断就断。6）完全控制主动权借助 VPN ，企业可以利用 ISP 的设施和服务，同时又完全掌握 着自己网络的控制权。 例如，企业可以把拨号访问交给 ISP 去做，由 自己负责用户的身份查验、 访问权限、 安全性和网络变化管理等重要 工作。7）支持更多新兴应用许多专用网对许多新兴应用准备不足， 如那些要求高带宽的多媒 体和协作交互式应用。 VPN 则可以支持各种

14、高级的应用， 如 IP 语音， IP 传真等。4方案设计根据用户需求，我们设计在报关用户的PC上安装VPN客户端，在报关服务器前部署VPN网关，实现远程访问IPSec VPN。4.1网络拓扑海关远程报关V P N解决方案InternetVPM-1等贰I叩仟门谛Kt3嘶感顿翅P叶VPN-1 Pgwbi 一/VPIMADSL 尸t VPN-I PowerVPH 14.2方案说明（1 ）在报关服务器群前部署 Check Point VPN-1 Power网关。VPN-1Power网关不仅具有强大的IPSec site-to-site VPN 和 client-to-site VPN 能力，而且内置

15、Check Point 全球市场占有率 第一的防火墙功能， 同时还具有入侵防范和安全加速技术， 可以 满足连接和保护双重需求。在 IPSec VPN 技术中，通常采用预 共享密钥和数字证书两种认证方式。 预共享密钥使用方便， 但安 全性较差。故本方案建议采用数字证书。在 Check Point 中央管 理服务器中已内置CA，可以发放证书供VPN使用。本方案中由 于用户已有 CA 系统，故 Check Point VPN 网关和客户端均采用 已有 CA 颁发的证书。 Check Point VPN 网关可以兼容全球各大 主流厂商 CA，女口 Entrust,Verisign,微软，Netscap

16、e 等等。VPN 网关的硬件平台采用 Check Point 硬件合作伙伴 Crossbeam 的 电信级平台 X40。 X40 拥有单机高可用性特点，在一个机框内， 可以实现电源冗余，风扇冗余，控制模块冗余，网络模块冗余和 应用模块冗余。单台 X40 可以支持 10 万并发 VPN 隧道，如需 支持到 30 万并发 VPN 隧道， 3 台可以基本满足要求。2）在远程需要报关的 PC 上安装 Check Point VPN-1 SecureClientVPN 客户端软件，并申请数字证书。在申请报关业务前，首先 需要进行 VPN 连接。 VPN 客户端和网关首先通过数字证书进行 相互认证，如认证

17、成功，则建立 VPN 隧道；如失败，则无法建 立 VPN ，也就无法进行报关业务。 VPN-1 SecureClient 不仅具 有全部 IPSec VPN 功能，同时还具有中央管理的个人防火墙功 能。管理员可以在中央管理服务器上为远程客户端配置防火墙策 略，远程客户端建立 VPN 连接到网关后，可以自动将属于他的 安全策略下载到本地， 从而对客户端本身进行防护。 客户端的安 全性，也可以进一步保证其所连接报关服务器的安全。 VPN-1 SecureClient 还可以支持在 VPN 隧道建立后，路由所有流量到 VPN 网关，从而使 VPN 客户端在建立 VPN 后，仅能与报关服 务器通信，进

18、一步避免外部的攻击。（ 3）在总部部署中央管理服务器，对 VPN 网关和 VPN 客户端进行 集中统一管理。4.3 安全管理建议安全管理也是非常重要的环节， 包括了对安全设备的管理， 对网 络的管理以及对人员的管理等。 其中，对安全设备的管理更是重中之 重，我们认为应从如下两方面入手。（1）安全管理中心应该建立统一的安全管理中心， 全面负责信息网络系统的安全管 理工作，其主要职责如下：监控信息系统运行状况安全技术的支持 各项安全管理制度的落实 各种安全事件、紧急事件的响应联络、沟通安全厂商等2）安全管理制度必须建立完善的安全管理制度，具体包括如下几方面：信息系统运行管理制度信息系统使用管理制度

19、数据管理制度人员管理制度物理安全管理制度安全培训制度。安全是一个动态的过程， 绝对的安全是不存在的， 任何安全体系 都应具备更新、完善和扩展的能力。安全体系应具备对任何突发、破 坏性事件的实时反应能力。 任何完善的安全体系都是全方面努力的结 果，是技术、管理、服务共同努力的结果，忽视任何一方都将带来不 可预料的结果。5 推荐产品介绍5.1 推荐产品VPN 网关产品： Check Point VPN-1 PowerCrossbeam X40 （硬件平台）中央管理服务器： Check Point SmartCenter PowerVPN 远程客户端产品： Check Point VPN-1 Sec

20、ureClient5.2 Check Point VPN-1 Power 介绍VPN-1 Power为最苛刻的环境提供全面安全保护您遇到的挑战 互联网可以到达世界的每个角落，因此，它提供了一种灵活、成本效 益高的基础架构来扩展公司的网络以覆盖所有的雇员和关键的商业 合作伙伴。但是，互联网也将不断变化的威胁隐藏到了公司的资源中。 黑客不断玩出新花样来攻击企业应用程序。 与此同时， 应用程序需求 正变得越来越复杂， 而且对性能要求也越来越高。 为了充分利用互联 网的优势， 企业必须解决关键业务应用程序在可用性、 性能和可扩展 性方面所面临的挑战， 与此同时， 企业还必须确保商业通信和企业的 内部资

21、源的安全。我们的解决方案Check Point公司的VPN-1 ? Power TM为今天苛刻的环境提供了综合、 更快的安全保护。该解决方案利用紧密集成的防火墙、VPN和入侵防 范技术为公司应用程序和网络资源提供综合安全保护和远程连接支 持。它加快了业内最智能化的安全检测技术， Stateful Inspection （状 态监测）和 Application Intelligence TM （应用智能）的运行速度。它 还提供主动的攻击防范措施来帮助抵御网络层和应用层的各种攻击， 从而确保网络的高性能。 VPN-1 Power 解决方案适用于业内最广泛的 开放平台和安全专用设备可以满足任何规模的

22、企业的性价比需求。全面网络和应用程序安全保护VPN-1 Power 集成了访问控制、认证和加密功能以确保网络连接的安 全、本地和远程用户的真实性以及数据通讯的隐私和完整性。 除此以 外，它还与入侵防范功能紧密集成，提供高级应用程序保护功能。 VPN-1 Power 还包括了一种可选的 Web 应用程序防火墙，为 Web 环 境提供无与伦比的安全保护。FireWall-1 集成为了实现有效的企业边界、内部和 Web 安全保护和高效管理， VPN 必须包括集成的防火墙功能。 VPN-1 Power 包括了市场上领先的 FireWall-1 ?软件，并通过 Check Point 公司获得专利的状态

23、监测技术 来确保所有流行的互联网服务的安全。 VPN-1 Power 内置功能支持 150多种预定义应用程序、 服务和协议，包括即时消息、 多媒体服务、Oracle SQL、P2P应用程序、RealAudio和Web应用程序。Remote SiteIntegrityIntegrityWN-1 UTMRemote SiteInternetIntegritySecure VoIPVPN-1 SecuRemoteVPN-1 Powervpn-1 rUTM EdgeSSL Ntw&rk Exlrldr with Integrity Clierrtless SecurityCorporate Netwo

24、rkTeleworker/Integrity Mobile WorkerS&cureClienSMART ManagementVPN-1 Power是针对扩展的企业、经过最充分证明的安全和连接解决 方案。确保应用程序的安全VPN-1集成了由一系列高级功能组成的应用智能， 可以检测和阻止应 用层攻击。它将VPN-1发展成为一种高级安全网关解决方案， 集成了 网络层和应用层进行综合攻击防范的功能， 从而改变了网络安全的现 状。企业将从这些高级入侵防范功能中受益， 而且不用再担心管理其 它设备的繁琐。为Web应用程序提供安全保护Web Intelligenee TM（ Web智能）是一种可选的Web

25、应用程序防火墙, 它被紧密集成的VPN-1中，可以提供高级的Web应用程序安全保护。Web智能保护Web应用程序免受常见黑客技术的攻击，如命令行植入 (command injection) 、跨站点脚本( cross-site scripting )、目录遍 历(directory traversal )、LDAP植入和SQL植入攻击等。Web智能 还包括防止缓冲溢出攻击的正在申请的专利技术， Malicious Code Protector TM (恶意代码保护器)。恶意代码保护器采用独特的检测 机制来分析恶意代码的行为， 无需签名支持即可捕获攻击并拦截已知 和未知的各种攻击。为VoIP提供

26、安全保护VPN-1 Power为VoIP应用程序提供综合的安全保护，包括对 H.323、 MGCP、SCCP(Skinny )和SIP协议的有状态检测。除此以外，VPN-1 还能够解决复杂的VoIP部署，比如将网守(gatekeeper )隐藏到网 络地址转换(NAT)设备之后。除此以外，ClusterXL ?、FloodGate-1 ? 和SecureXL TM还可以帮助企业创建高性能、容错和划分优先级的语 音网络。带安全保护的连接VPN-1 Power 包括针对远程接入、 内网和外网 VPN 的最综合的产品 和技术集。 Check Point 公司提供广泛的 VPN 产品，企业可以在这 些

27、产品中进行选择来设计最符合它们要求的配置。One-Click VPN 通过One-Click VPN，企业通过一个单一操作就可以创建大型 VPN。 通过定义VPN团体(community)，企业可以为整个VPN设置安全参 数，比如只需一步即可实现内网、外网或者远程接入的部署。安全管 理员只需要定义一个团体内所有的 VPN-1端点，VPN就可以在所有网 关中或者网关与远程用户间自动启动。 当新站点被添加到团体后， 它 们就自动继承相应属性并能立即与该 VPN团体的其它站点建立安全 的IPSec会话。先进的站点到站点 VPN 功能无论环境有多么复杂， VPN-1 Power 都可以将公司的资源扩展

28、到远程站点。VPN-1支持VPN域一一通过一组静态IP地址定义VPN范围的传 统方法。除此以外，VPN-1支持基于路由的VPN，其中，VPN拓扑代 表的是网络路由决策。 这种灵活性为企业提供了强大的机制来提供复 杂和动态网络中的连接。基于路由的VPN使管理员能够利用VPN通道 将动态路由协议从企业总部扩展到远程地点， 从而改进大型网络的网 络和VPN的管理效率。基于路由的VPN还支持定向的VPN，使管理 员在没有静态IP地址的情况下，通过VPN通道执行安全策略。对于经 常变化的网络而言，基于路由的VPN正是一种理想的解决方案。企业 可以经常更改网络拓扑， 如添加内部网络， 而无需反复配置静态

29、VPN 域。灵活的认证 由Check Point公司提供安全保护的VPN解决方案提供了多种认证方 法，包括 RADIUS 、TACACS/TACACS 和令牌卡。除此以外，OpenPKI还确保由Check Point公司提供安全保护的VPN解决方案与 市面上销售的领先PKI解决方案（如巴尔的摩技术、Entrust和Verisign 等公司的技术方案） 兼容，从而支持企业管理很大规模的 IPSec VPN 部署。VPN-1 Power具有独特的混合模式认证功能，允许企业在利用 现有认证架构（如 SecureID 令牌）的同时部署 IPSec VPN 。希望实施可直接调用的强大认证的企业可以采用C

30、heck Point公司的One-Click Certificates 解决方案。通过VPN-1 Power 中包括的 InternalCertificate Authority （内部证书授权）解决方案， X.509 数字证书可以颁发给VPN-1网关和VPN-1 SecureClient TM用户。在不需要复杂 和昂贵的PKI系统的情况下，One-Click Certificates解决方案就能提 供符合行业标准的双重认证。支持多种远程访问技术 每个企业对远程访问都有自己独特的需求， 这依赖于用户类型、 要访 问的应用程序组合、 端点安全级别和需要的管理控制。 VPN-1 Power 具有灵

31、活性，可以支持多种客户端选项。 SecuRemote TM 提供基本 连接，方便了偶尔需要远程访问 IP 应用程序的用户。 SecureClient 通过增加集中管理的个人防火墙，提供了更高级别的安全保护。Check Point 公司的 Integrity TM SecureClient 通过使用集成的 VPN 客户端和充分管理的端点安全来提供全面的远程访问保护。SSLNetwork Extender TM是一个基于Web浏览器的控件，它支持从任何 互联网设备对基于IP应用程序的完全访问，从而为用户带来方便。VPN-1 Power还支持微软的L2TP和Symbian公司的VPN客户端。智能管理

32、VPN-1 Power中包括的SmartCenter TM是建立在目前业界最一致、最强大的管理架构，安全管理架构（SMART ）的基础上的。SmartCenter 支持企业集中定义边界、内部和Web的安全策略；对安全事件进行关 联并划分优先级；实施高级的监视和报表功能这一切都通过一个 控制台来实现。这种统一的架构使在所有网关分配安全策略升级变得 很简单，从而确保策略实施保持一致并提咼运营效率。SmartCenter提供功能强大的安全保护和VPN策略管理，降低了 管理的成本和复杂性。高性能和可用性 当防火墙和 VPN 部署变得越来越大并且对业务也越来越关键时， 其性 能就成了主要的关注点。 VP

33、N-1 Power 可以提供更快的安全保护， 在 开放服务器上， 其速度可超过 5Gpbs ，从而在不破坏安全的情况下确 保信息的可用性。 VPN-1 Power 还采用了先进的流技术， 该技术允许 在核心层处理数据包， 大大加强了应用层的检测， 它通常是计算密集 型的任务。将 SecureXL 框架和流技术与 Check Point 公司对开放式系 统的承诺相结合，可以以最低的成本提供行业领先的性能。 集成的 VPN 服务质量 (QoS)如果VPN部署的性能非常重要，但互联网连接可能会产生拥堵，这样 的VPN部署就需要服务质量。FloodGate-1确保了关键业务VPN-1通 信流量的最佳性

34、能， 使客户能够将关键的业务通信从私有的广域网迁 移到互联网。高可用性和负载均衡ClusterXL 将所有类型的通信流量分配到一个 VPN-1 Power 网关集群 中。如果某个网关无法被访问了， 所有的连接可以被无缝重定向到其 它的集群成员网关。 当更多的集群成员被加入后， 集群网关可以获得 近线性的性能。不间断转发通过结合动态路由协议，如BGP或者OSPF，ClusterXL为业界提供了唯一一种可以“平稳重启”的高可用性执行点。因此， VPN-1 Power 明显提高了关键业务应用程序的可用性，消除了不必要的“波纹效应” 当 VPN-1 Power 网关变得不可用，路由表中就会发生变化，从

35、 而产生波纹效应并且可能导致通信转发中断长达几十分钟，。VPN负载分配VPN负载分配是针对远程访问VPN连接的一种高可用性和负载均衡 解决方案。输入VPN连接是跨多个VPN-1网关进行分布，这些网关可 以在地理位置上完全分开。如果网关无法访问，VPN客户端将会通过 另一个网关成员自动获取连接。多个接入点如果存在多个数据中心， 远程用户可以通过多个接入点功能来确保对 数据中心的连续访问。如果VPN-1主网关变得不可用，位于其它地点 的VPN-1网关就会自动建立到该公司的 VPN连接。5.3 Crossbeam X40 介绍Crossbeam X40 产品介绍X40是Crossbeam为实现完整的

36、网络、邮件和Web安全性而开发的安全交换机。X40具有Crossbeam X系列产品的所有特性 和优点，包括集成的负载平衡和流排序功能（使用Crossbeam正在申请专利的 X-Stream ?技术）；来自 Check Point等公司的多种最 先进安全引擎。该产品在一个14插槽机柜中提供，适合大中型企业 和服务供应商。X40最多可以提供16个千兆以太网端口或32个快速以太网端 口及8Gbps的全双工防火墙吞吐量。该平台设计用于提供 高可用性 和卓越的性能，同时运行多个先进的 安全引擎来支持防火墙、加速虚 拟专用网（VPN ）、入侵检测和防护、防病毒和员工互联网内容管理（URL过滤）。X40为

37、企业提供了一种 更安全、更简单的解决方案 来保护网络安全性 -从而实现独立产品所不可能实现的运营和投 资利用高效率。加固的最佳周边安全防护措施目前，仅靠周边防火墙来保护公司的信息安全资产已远远不够。 相反，企业需要一种更先进的分层安全保护方法。但是，构建分层安 全基础设施的传统方法需要多个不同的设备， 因此成本非常高而且很 烦琐，因为每种设备都需要自己的维护（补丁、升级） 、管理基础设 施和连接。试想一下，通过独立的安全技术配置正确的数据流需要掌 握路由、端口镜像方面的丰富知识。 扩展性能意味着需要添加额外的 负载平衡器，而这会进一步增加复杂性。总之，每一个单元都会增加 复杂性并留下看不见的安

38、全漏洞。通过在一种易于实施的多技术安全解决方案中集成深层防护技 术， X40 可以从根本上改进安全保护的经济性并提高强度。所有安 全技术都通过一种先进的机柜式系统和安全操作系统结合在一起。 这 种操作系统消除了对外部交换机、负载平衡器、端口镜像的需要。通 过多种安全技术配置流路径的工作可以从一个能为用户带来全面灵 活性的图形用户界面（GUI）上轻松完成。这种合并是目前业界最简 单、安全而又经济的安全防护模式。Crossbeam X40 安全业务交换机是： 一种高性能多重安全解决方案 一个灵活的平台最多可以支持 8 Gbps 的全面状态式防火墙处理吞吐量。该平台可以通过 X-Stream 安全流

39、处理技术支持非常复杂的高性能安全配置。 一种多重安全引擎平台，可以提供很高的安全处理性能，包括防 火墙、VPN、入侵检测、防病毒扫描、URL过滤、内容过滤和反垃圾邮件Crossbeam 公司X系列产品的成员之一。该系列是目前市场上唯一完整的高可用性（HA）安全解决方案系列 -可以提供全面的冗余（无单点故障）、多级故障容错（即无中断的运行）和全面 热交换、便于维护的功能。X40由以下先进的组件组成：机柜、背板、电源和风扇X40安装有6个风扇的风扇托架网络处理模块（NPM） NPM 支持高速流分类并集成了 Crossbeam正在申请专利的负载平衡算法以实 现平均的流量分配。流定义可以由用户进行全面

40、 配置。? 一台X40中最多可以配置2个NPM。它们既可以互相独立,也可以成对配置以实现主动/主动或主动/备用冗余。提供有2个版本的NPM?NPM 8200有8个千兆以太网（SX、LX或铜线）接口?NPM 8210 有16个快速以太网（10/100 Mbps ）接口应用处理模块（APM）?APM使用最先进的安全引擎来处理来自NPM的信息流。?每个APM运行一个或多个安全引擎。APM可以分组形成负载平衡组以实现高可用性和更高的处理性能。您可以创建多个 APM组，从而创建一种完全包含在单一 X40中的深层防护安全模式。APM选项?APM 8400标准配置带有一个 Xeon处理器和512 MB的内存

41、。用户也可以订购额外的内存（最高可达4GB）和处理器（最多2个）。用户可以为每个 APM订购一个可选的硬盘或 VPN加速引擎。我们建议为IDS和防病毒等磁盘密集型安全引擎订购硬盘，VPN加 速引擎一般用于加速 VPN应用的3DES流量。控制处理模块（CPM）?CPM通过连续监控所有模块来管理系统的主要征兆，及时发现故 障并执行适当的切换操作。CPM还可以为用户提供专用的管理接 口来连接到管理工作站或日志服务器。?两个CPM可以作为冗余的主动/备用对运行，使用RAID-1镜像 硬盘。X系列操作系统（xos）XOS是一种安全的操作系统，结合了嵌入式实时操作系统的强 大功能、高速度和Linux操作系

42、统的应用灵活性及安全性。NPM运行来自VxWorks?的一种实时操作系统。这是大多数 高端联网产品的首选操作系统。APM和CPM运行一种经过强化的 Linux核心和专门优化用于 X40的操作系统。这种操作系统叫作 Crossbeam Linux，可以兼容为 Linux编写的大多数安全应用。5.4 Check Point SmartCenter Power 介绍SmartCe nter Power统一安全管理的最明智的选择您遇到的挑战过去，在您的边界上安装防火墙并且为您的台式机安装防病毒软件被 认为是最先进的安全防范措施。但现在，情况已经发生变化。随着互 联网蠕虫的出现和复杂的攻击手段不断增多，

43、如今的网络安全情况远比过去复杂得多。这样的新环境，以及新的安全规定和为远程用户以 及商业合作伙伴提供远程访问的需要，都要求一个更全面彻底的安全 实施。多层次的保护将从带防火墙的外网开始并逐渐深入到网络内 部，从而保护敏感的部门、服务器、应用程序，甚至用户的个人电脑 和笔记本。但不幸的是，这样的多层安全防范又导致了管理上的复杂。对于资源有限的IT部门而言，在多个站点和多个平台上确保其安全防 范措施能保持更新就成了一项艰巨的任务。如果没有有效的管理， 即便是最复杂的安全部署， 其所能提供的安全 保障也只将受限于自身最弱的环节。 安全管理解决方案必须让企业能 跟踪自己安全部署的效率， 为安全法律调查

44、提供详细的信息， 支持在 整个企业执行一致的安全策略和主动式升级。我们的解决方案Check Point 公司的 SmartCenter TM 是基于目前业界最一致、最强大 的管理架构，安全管理架构（SMART ）的基础之上。它支持企业集 中定义边界、内部和Web的安全策略；关联和优化安全事件；实施高 级的监视和报告功能这一切都通过一个控制台来实现。 在所有网 关分配安全策略升级变得很简单， 从而确保一致的策略实施并提高运 营效率。这样，企业能保护对业务关键的资产并实现它们在安全方面 投资的最大化。综合的安全管理Check Point 公司通过 SmartCenter 和 Smartcenter

45、 power 提供各种层 次的管理功能，从而提供综合、可节约成本的解决方案，以支持通过 单个管理控制台来实现最高级的控制和安全。SmartCenter 是 Check Point 公司旗舰级企业管理解决方案。 它具有以 下组件： SmartDashboard是一种能支持管理员集中定义安全和 VPN策略 的界面。 SmartView Tracker 可以对所有日志记录的连接和管理员活动提 供实时的可视化跟踪。除了提供 SmartCenter 的所有功能，Smartcenter power TM还可以为最复杂的环境提供以下增加的管理功 能： SmartPortal为SmartCenter增添了基于

46、浏览器的访问功能。 SmartMap TM支持对安全策略的可视化管理。 SmartView Monitor TM支持对网络、VPN和用户进行实时监视。 SmartUpdate TM 集中对软件和证书的分配和存储。 SmartLSM TM支持大规模的管理。 SmartDirectory 提供对基于 LDAP 的目录的集成。 Management High Availability （管理高可用性）为所有管理操作 提供容错功能。除此以外，Eventia Reporter TM能提供综合、易于理解的图形化报告，而Eventia Analyzer能提供对来自Check Point网关以及多个安全和网络

47、设备的日志数据的实时事件关联。Eventia Reporter和EventiaAnalyzer 是SmartCenter 的附加软件。基于策略的VPN/防火墙管理作为SmartCenter的一部分，SmartDashboard虽然复杂，但在使用上仍然很方便。管理员可以集中定义一个安全策略的各个方面：VPN、 网络地址转换(NAT)、服务质量(QoS )、Web访问以及台式机和终 端的安全。被定义为安全策略一部分的“对象”，比如网络、主机、用 户、服务、资源和活动，都可以被图形化展示并能在SmartDashboard 中直接进行处理。比如，对象可以被包含到 SmartGroup中，或者网 络对象

48、可以被轻松克隆以简化对策略的定义。因为SMART架构的组件紧密集成，相同的对象可以在执行点和应用程序间被共享，节省管理时间并确保整个网络策略配置的一致性。除了集成的仪表盘工具，SmartCenter解决方案还提供了很多种策略 管理工具来改进策略的创建。预定义的全局策略支持利用各种服务来 在执行点之间实现合适连接。SmartCenter可以管理策略的多种版本，允许管理员采用策略的老版本通过SmartDashboard实现策略集中管理和可视化。综合的边界、内部和 Web 安全SmartCenter 为 Check Point VPN-1 ? 边界安全网关、 InterSpect TM 内部安全网关

49、以及 Connectra TM Web 安全网关提供集中管理。通过 SmartDashboard ，管理员可以对 InterSpect 和 Connectra 的网关采用 与VPN-1网关相同的管理方法来定义和执行策略、跟踪日志，监视VPN和防火墙活动以及集中分布安全和软件的升级。通过SmartDashboard和SmartDefense服务，管理员只需一个简单操作就 可以同时为多个设备进行实时的安全升级部署， 从而降低管理负担并 避免出错。通过这些唾手可得的功能，管理员可以更清楚、直观的了 解整个网络的安全状况。集成的端到端的安全保护Integrity SecureClient TM提供全面

50、访问保护(Total AccessProtection )，它可以通过个人防火墙确保连接到公司网络的所有台式机和笔记本电脑的安全。 个人防火墙策略可以根据从客户端系统发 送或者接收的网络传输的源、目标和类型在 SmartDashboard 中进行 定义。用户或者用户群可以自己定制规则， 支持企业对远程用户系统 进行充分控制。简单的VPN部署SmartDashboard 支持管理员通过一个简单的操作来定义 VPN 团体， 并为整个 VPN 拓扑（包括内网、外网和远程访问部署） 设定安全参数。 安全管理员只需要将所有 VPN-1 网关组成一个团体， VPN 就能在所有 网关间或者远程用户和网关间自

51、动启动。 当新站点或者用户被加入团 体时，它们能自动继承相应的属性并能立刻与其余的 VPN 团体成员建 立安全的会话。安全管理员可以不用再做像设计和定义加密规则之类 的重复性工作。 SmartCenter 支持各种网络拓扑结构，包括全网状拓 扑、星型拓扑、 集中星型拓扑和混合拓扑。 VPN 对象和团体能被轻松 集成到安全规则库中。实时排错SmartView Tracker 可以对所有有日志记录的连接和管理员活动提供 实时的可视化跟踪。 管理员可以过滤或者搜寻感兴趣的事件， 如果出 现攻击事件或者发现可疑活动， 他们可以立即禁止或者终止与某个 IP 地址的连接。这些特点大大减少了排除配置错误所需

52、要的时间。SMARTCENTER POWER为复杂的环境提供高级的安全管理SmartCenter 为企业提供了能集中定义和监视其安全策略的功能Smartcenter power 和诸如 Eventia Reporter 以及 Eventia Analyzer 等 管理附加模块使企业能更好地理解和控制其安全环境， 并为企业提供 了许多高级的集成功能。通过 Web 访问 SmartCe nter通过SmartPortal，安全小组可以让外部团体，如技术支持或者审核 员访问基于浏览器的 SmartCenter ，但同时又继续保持对策略执行的集中控制。SmartPortal用户可以查看安全策略和Che

53、ck Point产品的 状态，以及管理员的审核跟踪( audit trail )。高级用户可以获得管理 员管理权限。这个扩展功能促进了在减少攻击或者排除网络错误和安 全问题时的团队合作。 SmartPortal 允许安全管理员根据自己的判断 将对安全策略的访问扩展到其它小组， 从而在企业内部提高了对安全 的可视化。安全可视化大多数企业都有着复杂的拓扑结构，包括网关、主机、服务器以及由 许多台不同机器组成的网络，同时还执行着许多不同的规则和规则 库。 SmartMap 对安全策略进行图形化显示，从而使对该策略的理解 和排错更轻松。 它还支持安全管理员在部署前校验其安全策略的一致 性。灯Al* m

54、Web管理门户可以让企业多个用户查看安全信息显示实时监视SmartView Monitor对安全、网络、VPN通道和用户活动进行实时监视。这个解决方案为管理员提供统计数据的图形化显示，比如带宽、数据往返时间以及丢包值和 VPN通道状态。在SmartView Monitor所提供信息的帮助下，管理员可以将它们的网络性能实现最大化并控制住成本。软件和许可证的自动分配SmartUpdate向Check Point和OPSEC认证过的产品自动分配软件 应用程序和升级并且管理产品许可证。它采用集中的方法来确保整个 网络的安全总是保持最新更新。除此以外，它减少了其分支机构对IT员工的需要。大规模的VPN和

55、安全管理SmartLSM为大规模VPN/安全安装引入了一种新的管理范例。利用SmartLSM ，管理员可以规定一个单一安全策略称为配置文档 ( Profile )，并将其应用到成百上千的网关中。除此之外，策略安装 和升级的自动化过程可以支持快速部署， 并使管理需求最小化。 这减 少了为成百上千个网关部署和管理安全所需要的成本和时间。基于LDAP的用户管理 简化了安全管理过程，特别是大规模部署时的安全管理。它支持Check Point执行点从OPSEC认证过的LDAP目录服务器为网络用户 获取身份和安全信息。管理基础架构冗余Management High Availability (管理高可用性

56、)为 Check Point 执行 点提供不间断的连接。 多台管理服务器可以互联， 并自动同步客户和 管理员数据。这可以消除部署专门的、冗余的硬件和软件的需要。5.5 Check Point VPN-1 SecureClient 介绍VPN-1 SecureClient安全的远程访问您面临的挑战 当雇员越来越多地以移动方式参与工作， 而企业也持续不断地采用远 程访问 VPN 时，安全和网络管理员将面临严重的安全挑战。 这些挑 战包括需为访问企业资源设置恰当的级别、 保护远程桌面和其它客户 端系统不受威胁、 以及为各种远程访问端点的安全和策略升级进行有 效管理。我们的解决方案Check Poin

57、t VPN 网关将 VPN 扩展到远程用户，使他们能安全地 相互交流， 安全地访问企业网络。 所有数据从远程个人电脑或移动设 备中传出时，均经 VPN-1 ? SecuRemote ? 进行过加密，因此连接 十分安全。 VPN 客户端透明地对关键数据进行了加密和认证， 确保 其不被窃听或恶意篡改。VPN-1 SecureClientTM 是一种增强型应用。它不仅具有 VPN-1SecuRemote 的功能，还为客户端安全和软件管理提供了一些附加 特征。VPN-1 SecureClient 允许安全管理员为远程用户设置桌面安全策 略，从而将安全延伸到桌面。这一功能非常关键，它使非法访问者无 法通过先获取远程用户电脑访问权的方法入侵企业网络。产品描述VPN-1 ? SecureClientTM 将 VPN 扩展到远程用户，使他们能安全 地访问网络和相互交流， 也使管理员能设置桌面策略， 提供更多安全 措施。VPN-1 SECUREMOTE 和 VPN-1 SECURECLIENT