VPN-1-Power-VSX-NGX-虚拟防火墙课件

VPN-1PowerVSXNGX虚拟防火墙系统Agenda产品概述技术原理功能介绍在运营商的应用分析综述VSX虚拟防火墙一个VSX网关上运行多个单独的防火墙，每个防火墙保护一个不同的网络（客户）进入VSX网关的包根据进入接口，源地址或目的地址被路由到相关的防火墙VSX功能Firewall功能VPN功能入侵防护功能伸缩自如的管理Provider-1和SmartCenter管理一个VSX网关支持250个虚系统千兆性能VSX应用示例市场领先的VPN-1/FireWall-1技术最多支持250个客户简单实施与现有的CheckPoint集成分层服务客户C客户B客户ADataCenterCust.AServers

Cust.BServers

Cust.CServersInternetVirtualSystemsSwitchHardwareCostSavingsBetteravailability

andscalabilityConsolidatingHardwareConsolidatingSecurity!HardwareCostSavingsBetteravailability

andscalabilitySimplifiedSecurity

ManagementSimplifiedSecurity

Provisioning支持的第三方硬件平台Agenda产品概述技术原理功能介绍在运营商的应用分析综述VSX的基本元素VPN-1VSXNGX建立了包括多个虚拟设备的虚拟网络环境虚拟系统(VS)虚拟电缆（Warp链接）虚拟路由器(VR)虚拟交换机(V-SW)虚拟系统（VirtualSystem）一个虚拟系统是一个唯一的路由和安全域，提供一般的CheckPoint网关绝大部分防火墙和VPN功能存在于相同的物理机器时，每个虚拟系统拥有自己单独的:状态表安全和VPN策略配置参数安全内部通信证书每个虚系统都拥有一个虚拟IP堆栈虚拟路由器一个虚拟路由器允许:共享物理接口内部虚拟系统通信VS1VS2JInternet虚拟交换机虚拟交换机设施在多个VS之间共享物理接口内部VS通讯降低跳的数量无需IP分配流程802.1q虚拟交换机不需要IP地址便于内外部连接Internet54接口支持的接口Vlan物理Warp链接支持的接口数量多达60个虚拟接口VLAN(802.1q)接口通常用于连接虚系统到被保护的网络InternetSwitchVS1VS2J管理模型Provider-1支持每个或多个虚系统单独的管理域,允许:多个管理员细致的权限划分单独数据库SmartCenter支持一个管理域：一个管理员一个目标库多策略三级分域管理模型:Provider-1支持VSXGatewayMulti-DomainGUI(MDG)CustomerManagementAdd-On(CMA)CustomerManagementAdd-On(CMA)CustomerManagementAdd-On(CMA)CustomerBCustomerACustomerCCustomerManagementAdd-On(“MainCMA”)P-1多级分域管理模型三级集中管理模型:SmartCenter

SmartDashboardCustomerBCustomerACustomerCSmartCenterVSXGateway议程产品概述技术原理功能介绍在运营商的应用分析综述重叠的IP地址范围支持CustomerAInternetCustomerBCustomerC单独的VSX网关可以支持保护拥有重叠IP地址范围的网络；每一个网络由一个单独的虚拟系统保护SwitchUnnumbered接口虚拟系统的Un-numbered接口降低虚拟系统所需的IP数量唯一的IP地址外部VS接口的IP作为VR的下一跳Warp链接P2P连接内部接口Unnumbered接口从VS的其中一个接口借用一个IP地址降低系统的总体IP地址桥接模式的虚拟系统“桥接模式的虚拟系统”透明地提供了安全服务

为基础构架添加一个安全层促进了核心处的安全性桥接模式的VS与传统的VS的相同模型相对应每个桥接模式的VS保持一个专有的桥接表

与体系结构协议集成支持所有

xSTP

协议、PVST+和管理协议(VTP)路由核心Vlan200Vlan210Vlan240Vlan320802.1q802.1q虚拟网络环境

动态路由虚拟网络环境扩展了对动态路由协议的支持单播路由—RIPv1/2、OSPFv2和BGP-4多播路由—IGMPv2、PIM-DM和PIM-SM每个虚拟设备保持对所有路由协议的支持协议便于以下之间的连接：虚拟设备到虚拟设备虚拟设备到外部路由器802.1q802.1q虚拟交换机虚拟路由器OSPFOSPFPIM-SM市场营销IGMPv2BGP-4OSPFVPN-1VSXNGX集群VSX提供了从一个VSX集群成员到另一个VSX集群成员无缝的连接和路由故障恢复状态和路由同步恢复故障模块向现有集群中添加成员/从现有集群中删除成员升级集群成员单个虚拟系统故障恢复更多集群成员VSX集群现在支持多达

12个成员每个成员的接口配置主要好处

在弹性和可扩展性上增强粒度控制VSXNGX配置模板示例统一的图形用户界面通过SmartDashboard

进行所有配置和管理工作虚拟系统创建向导新的向导简化了虚拟系统的创建虚拟系统创建模板选择预定义或者定制的模板根据模板显示虚拟系统创建向导页面向后兼容性支持来自

NGX版本创建和管理的

VSX2.0.1和VSX_NG_AI对象主要好处

显著地降低了部署和管理VSX的时间。

用于简化和快速配置的简化VSXGUI模板1—桥接模式的虚拟系统创建虚拟系统创建虚拟系统就这样—虚拟系统创建完毕！模板—路由模式的虚拟系统创建虚拟系统为虚拟系统提供名称，并将其分配给以前所创建的VSX集群创建虚拟系统创建虚拟系统就这样—虚拟系统创建完毕！周边设备VPN-1VSXNGX与CheckPoint产品集成EventiaReporterEventiaAnalyzerWebPortal议程产品概述技术原理功能介绍在运营商的应用分析综述议程产品概述技术原理和功能介绍技术特点和优势应用分析综述HowVSXSecuresLargeNetworksCompletesegmentationandsecurityacrossthenetworkProvidesgranularityyetiseasytomanageSupportVendorsDMZ-2PrivateFTP

SiteInternetVPNaccessRemoteSitesPartnersDMZ-1Mail-Relay,PublicFTPSite&ProxiesServiceAreaWebServersTheperimeterVPN-1VPNVSX

企业企业网络—

管理挑战企业网络包括多个安全网关、冗长的规则库和大型对象数据库

这些对管理提出了挑战：隐含的配置错误可能是至关重要的复杂的问题解决难于监控大量记录数据使用VPN-1VSX

的企业安全确保周边的安全将安全策略的规模降至更小和更加可管理的部分模块化体系结构基于角色的管理—对变化的紧密控制

具有最小的人工故障

降低故障的机率和不相关服务的影响

VPN-1VSX提供支持任何企业网络场景所需的部分使用VPN-1VSX

的企业安全确保内部网络的安全集中管理的VLAN安全从核心交换机中删除冗长的ACL列表通过构造许可结构尽可能降低人工故障

使用更少的硬件引入更多的安全性对体系结构协议透明

VPN-1VSX提供支持任何企业网络场景所需的部分使用VSX获得全面的企业安全分布路由核心底层L-2访问交换机Vlan100Vlan200SAPVlan300保卫Vlan301开发服务器Vlan101财务Vlan102采购Vlan400Vlan1000Lab1Vlan1001Lab2Vlan1002QAVlan304业务开发VSX集群支持供应商DMZ-2专有FTP

站点InternetVPN访问远程站点合作伙