面向未来的网络安全解决方案

1、 Check Point 面向未来网络安全处理方案 Mar 30, 第1页Agenda我们需要什么样“防火墙”面向未来安全处理方案概览Check Point 安全网关技术特点附录：Check Point 网关安全产品线介绍第2页NAT路由WEB管理吞吐量连接数VPN我们需要什么样“防火墙”？这么防火墙，还能够满足企业现在安全需求吗？第3页我们需要什么样“防火墙” （1）传统防火墙已经无法为服务器提供全方面安全保护Video 演示（1）第4页我们需要什么样“防火墙” （2）传统防火墙已经无法为客户端提供全方面安全保护Video 演示（2）第5页我们需要什么样“防火墙” （3）用户实际网络流量永远

2、不会是1，64B2，UDP防火墙测试工具和方法也在改变1，SmartBit（34层测试）；2，Avalanche（应用层混合数据流测试）第6页我们需要什么样“防火墙” （4）WEB管理界面确实很简单假如仅仅是限于配置“1台防火墙”“访问控制规则”话 但“配置规则”就意味着安全吗？“配置规则”就是防火墙管理关键内容吗？第7页可管理安全防火墙管理，不但仅是登陆WEB界面去配置规则怎样方便、快速监控企业安全情况，分析事故，处理问题，才是安全管理关键应用级性能企业网络流量永远不可能都是UDP 64B，而是混合业务流应用级安全我们需要什么样“防火墙”？企业关注是WEB、DNS、邮件安全而不是简单TCP/

3、UDP 端口开/闭“可管理”“应用级安全”，是防火墙发展必定方向第8页Check Point处理方案概览 第9页Check Point Total Security 应对日益复杂企业应用安全环境和威胁FirewallVPNWeb SecurityData LeakageIDSIPSSPAMReportsLoggingEvent ManagementPolicy DefinitionProvisioningEndpoint ManagementData EncryptionMalwareVirusesWormsRemovable MediaApplication FirewallUnified

4、GatewaySingleMANAGEMENTConsoleSingleAgent for Endpoint & Data Security第10页Check Point 防火墙管理架构 管理客户端管理服务器(SmartCenter）硬件处理方案：SMART-1软件处理方案：SmartCenter + PC ServerPower-1UTM-1IP系列Check Point防火墙采取三层管理架构UTM-1内置管理服务器；Power-1和IP系列必须要配置管理服务器才能够布署SMART-1硬件是Check Point硬件处理方案防火墙网关第11页Check Point网关产品线概览-防火墙网关P

5、re- defined system5 bladesPower-1平台Power-1 平台: 高性能&UTM*适合用于高端用户9Gbps25GbpsIP*平台IP 平台: 模块化&扩展性高性能&高可靠性适合用于中、高端用户1.5Gbps29GbpsUTM-1平台: UTM*&内置管理适合用于中低端用户400M4.5GbpsUTM-1平台UTM-1 和Power-1 是Check Point 原有防火墙产品线IP 防火墙起源于收购整合NOKIA IP系列防火墙产品线第12页Check Point网关产品线概览-管理平台UTM-1IPPower-1IPS-1VSX-1Endpoint Securi

6、tyAbraSmart-1管理平台型号Smart-1 5Smart-1 25Smart-1 50Smart-1 150管理防火墙数量5 -25*25-5050-150150-U第13页UTM-1 / IP / Power-1系列产品定位UTM-1IPPower-1市场层面区分目标用户中小企业, 高端企业客户分支机构中高端企业高端企业适用价格敏感度高低中用户功效需求功效需求复杂*高性能，高端口密度功效需求相对简单*性能要求高功效需求复杂金融机构 大型企业电信运行商教育机构能源行业医疗机构餐饮连锁交通运行寻求市场定位 专业制造分支机构第14页怎样客观评价一款防火墙产品应用安全安全性能安全管理传统功

7、效（防火墙/VPN）第15页传统功效（防火墙/VPN）第16页链路负载均衡。Inbond/outbond链路复杂均衡，支持DNS Proxy强大认证功效。能够实现基于Session用户认证认证集成功效。和Microsoft AD集成实现用户认证单点登录深入协议检测。Eg，防火墙引擎可控制FTP命令为50+预定义300+协议，对网络应用及协议全方面支持传统功效（1） 状态检测引擎创造者到当前为止，Check Point 防火墙引擎依然含有独特优势传统功效（1）第17页怎样在DHCP环境中对用户网络行为进行审计分析？怎样在多用户环境中对用户网络行为进行审计分析？经过防火墙日志怎样快速定位事件责任人

8、和主机？实现上述功效，是否需要复杂配置和额外主机？Identity Logging*传统功效（2）传统功效（2） 基于用户日志审计分析第18页传统功效（3）传统功效（3） 灵活VPN一键式VPN，智能管理SSL VPNMobile VPN专用 VPN客户端无偿数字证书VPN接入终端健康检验VPN in Pocket双原因认证第19页传统功效（4） 高可用性专有安全网关集群处理方案不需第三方负载均衡设备本身动态负载均衡 Firewall/VPN/IPSIntranetApplication ServersProxy CachesInternet传统功效（4）第20页应用安全第21页应用安全(1)

9、Check Point 软件刀片是什么？软件刀片Check Point基于防火墙应用安全发展方向提出新一代安全架构 ；各种安全功效软件刀片实质上是防火墙设备上独立软件模块；第22页应用安全(2)集中管理高性价比Check Point 为何要研发软件刀片？企业面临安全威胁日益复杂，传统堆叠式处理方案为企业带来了严重经济负担，且管理负载、技术支持接口繁杂Check Point 软件刀片架构，在确保性能可用前提实现了全方面防护使用简单第23页应用安全(3)Check Point 软件刀片怎样保障性能Check Point CoreXL 开放性能架构保障软件刀片高性能关键技术基础充分利用CPU多核架构

10、，应用级性能成倍提升Check Point是和Intel合作最为紧密安全厂商网络安全CPU多核技术是下一代防火墙发展未来应用安全数据安全第24页CoreXL 2*4Core CPU 数据处理示例fw5conn tableQueueFifth CoreSixth CoreDispatcherDispatcher tablePKTPKTPKTfw6conn tableQueuefw7conn tableQueueSeventh CoreEighth Corefw1conn tableQueueFirst CoreSecond Corefw2conn tableQueuefw3conn tableQ

11、ueueThird CoreFourth Corefw4conn tableQueuePKTPKTPKTPKTUp to 501% Performance Increase!第25页应用安全 IPS刀片第26页应用安全-IPS刀片(1)Check Point IPS软件刀片概述全部Check Point安全网关*预置IPS软件刀片，含有相同功效和统一管理界面，只是性能不一样；第27页应用安全-IPS刀片(2)IPS软件 刀片特点（1）-全方面防护能力连续2年，微软漏洞防护能力最正确；微软漏洞几乎已成为企业安全威胁最主要起源强大应用控制能力阻断MSN/QQ/迅雷/Skype等WEB防火墙模块保护

12、WEB服务器免受攻击保护邮件服务器FTP服务器DNS服务器IP电话系统.第28页应用安全-IPS刀片(3)强大IPS性能，最高可到15GbpsIPS防护能力IPS软件 刀片特点（2）-强大性能Check Point 桌面型设备：UTM-1 130防火墙吞吐量 400Mbps，IPS吞吐量 300Mbps应用安全未来是：基于CPU多核架构得益于Check Point CoreXL多核技术，充分利用多核CPU强劲威力2*4核CPU =15GbpsIPS吞吐量2*48核CPU= ?第29页IPS 软件刀片特点（3）统一管理经过单一界面管理Check Point IPS、防火墙、VPN、SSL VPN

13、应用安全-IPS刀片(4)第30页IPS 事件可视化 实时时间线 事件分类挖掘 基于用户判别客户端状态查询 地理信息管理第31页IPS 软件刀片特点（4）高性价比IPS软件刀片1年费用$7500（包含了产品和升级费用）Check Point网关标准配置*，包含了1年IPSUTM-1 132，272，572标准价格不包含IPS刀片IPS 软件刀片 仅仅 $7,500* Opex only 年费应用安全-IPS刀片(5)第32页IPS软件 刀片特点（5）IPS布署（安装）方便布署方便在防火墙上单击鼠标即可开启IPS软件刀片您不用熬夜割接系统啦应用安全-IPS刀片(6)第33页Check Point

14、软件刀片概览安全网关刀片安全管理刀片第34页重复使用您安全架构经过软件刀片架构是应用安全未来软件刀片无额外硬件无额外电耗无额外机架空间无额外维修第35页安全管理第36页管理问题管理架构安全策略监控状态分析故障处理问题数据汇报合规性审计流程管理超负荷运行后果！第37页了解安全设备运行状态运行状态模块状态CPU状态内存状态存放状态并发连接新建连接双机状态第38页监控网络运行状态第39页分析网络异常流量异常流量起源分析异常服务端口分析网络健康状态分析第40页定位异常主机活动 集中存放分类查询150+字段灵活架构第41页提供事件依据用户带宽和网络连接资源占用汇报网络服务带宽占用汇报报表自动化第42页提

15、升安全事件管理效率报警事件收敛分析报警事件数据挖掘第43页合规性审计分析第44页更新安全防护状态一键式更新覆盖全网安全设备第45页防火墙安全管理面临下一个挑战Check Point SmartWorkflow 流程管理刀片怎样降低人为错误引发防火墙宕机怎样审计防火墙管理员行为怎样安全管理合规性，符适用户安全要求怎样实现防火墙管理流程自动化和可视化第46页流程管理-Smartwork flow 单一管理控制台提升安全性和效率，同时降低运行费用可见变更追踪降低人为策略配置错误风险灵活授权和已经有同意流程一致综合审计和报表经过策略变更追踪加强合规性自动策略变更管理第47页安全管理流程化 安全策略变更

16、流程化流程可定制配置选项：基于角色同意自同意紧急绕过第48页策略变更可视化高亮显示策略变更对比策略变更前策略变更后所见即所得第49页审计Who?审计What?When?How?Why?Review and Approve ChangesChanges Highlighted in SmartDashboard审计策略变更和全部合规性调整需要细节第50页您选择来自 Check Point “刀片式”软件多点处理方案 / 供给商多个项目专用硬件设备专用管理平台一个项目各种配置单一管理降低投资降低TCO第51页Check Point网关安全产品线介绍第52页网关设备产品线介绍Pre- defined

17、 system5 bladesPower-1平台Power-1 平台: 高性能&UTM*适合用于高端用户9Gbps25GbpsIP平台IP 平台: 模块化&扩展性高性能&高可靠性适合用于中、高端用户1.5Gbps29GbpsUTM-1平台: UTM*&内置管理适合用于中低端用户400M4.5GbpsUTM-1平台第53页Check Point IP系列：灵活硬件平台和软件模块Full appliance range模块化和可扩展刀片架构firewall bladeIPSec VPN bladeIPS bladeAdvanced Networking bladeAcceleration/Clus

18、tering blade 硬件加速 AC/DC 电源 NEBS认证 Fiber NICs 模块化网络端口web security bladevoice over IP blade可选l第54页Check Point IP系列安全平台技术参数IP AppliancesIP295IP395IP565IP695IP1285IP245510/100/1000端口 6/84/84/124/164/284/3210 GbE 端口-61010防火墙吞吐量1.5 Gbps 3.0 Gbps 6.3 Gbps 7.2 Gbps10.3 Gbps10.3 Gbps11.7 Gbps115.4 Gbps129Gbp

19、s1VPN吞吐量1.0 Gbps677 Mbps1.7 Gbps1.4 Gbps1.9 Gbps1.9 Gbps3.3 Gbps18.3 Gbps18.3 Gbps1IPS 吞吐量1.4Gbps2.9Gbps2.9Gbps4Gbps7 Gbps9 Gbps并发连接数110万 110万 110万 110万 110万 110万 VLANS102410241024102410241024ADP 模块-OptionalOptionalOptionalVPN 加速OptionalIncludedIncludedIncludedIncludedIncluded硬盘或FlashDisk or FlashDi

20、sk or FlashDisk or FlashDisk or FlashDisk or FlashDisk or Flash外观1U/half rack 1U1U1U2U2U1，Performance without ADP and with ADP 第55页Check Point UTM-1 完整中小企业处理方案适合用于中小型企业介于 190Mbps4.5 Gbps性能综合安全防御能力内置安全管理模块UTM-1 272/276UTM-1 572/576UTM-1 3073/3076UTM-1 1073/1076UTM-1 2073/2076UTM-1 132/136FW BladeVPN

21、BladeIPS BladeURL Filtering BladeAnti virus & anti malware BladeAnti spam & messaging security BladeUTM-1 Edge第56页UTM-1 设备技术指标UTM-1 132/6UTM-1 272/6UTM-1 572/6UTM-1 1073/6UTM-1 2073/6UTM-1 3073/6SW editionR65, R70R65, R70R65, R70R65, R70R65, R70R65, R7010/100 Ports1-10/100/1000 Ports4468810Firewall

22、Throughput400 Mbps600 Mbps1.1 Gbps2 Gbps3 Gbps4.5 GbpsVPN Throughput100 Mbps100 Mbps250 Mbps250 Mbps280 Mbps1.1 GbpsIPS Throughput300Mbps380Mbps700Mbps900Mbps1Gbps4GbpsConcurrent Sessions300,000600,000800,0001.1 Million1.1 Million1.1 MillionVLANs102410241024102410241024Storage Capacity80 Gbps160 Gbp

23、s160 Gbps160 Gbps160 Gbps160 GbpsIntegrated Multigatway MgmtStandaloneYesYesYesYesYesRecommended sizingUp to 75 usersUp to 125 usersUp to 250 usersUp to 500 usersUp to 1000 usersUp to 1500 users - IPS Throughput Test based on real-world traffic blend using the default profile第57页Power-1 同一硬件，软件Licen

24、se提升性能，节约早期投资第58页Power-1 设备技术指标Power-1 5075Power-1 9075Power-1 11000 Series110651107511085Software EditionR65, R70R65, R70R70R70R70Software BladesFirewall, IPSec VPN, IPS, Advanced Networking, Acceleration, and Clustering10/100/1000 Ports10/1414/1814/1814/1814/1810GE Ports2*4*4*4*4*Firewall Throughput9 Gbps16 Gbps*15 Gbps20 Gbps25 GbpsVPN Throughput2.4 Gbps3.7 Gbps3.7 Gbps4.0 Gbps4.5 GbpsIPS Throughput7.5 Gbps10 Gbps10 Gbps12 Gbps15 GbpsConcurrent S