石化科学研究院安全方案

1、石化科学研究院安全方案（简要）现状1安全风险2解决方案4相关产品5价格22标准折扣25现状1 internet出口使用单台运行于aix操作系统的check point firewall-1 4.1，硬件为 rs60002 dmz区部署ids系统3 主要服务器上安装授权和审计软件安全风险1 边界防火墙： 单机防火墙容易造成单点故障。一旦防火墙硬件或软件进程出现问题，与外界联络会立即中断，影响业务正常运转。 firewall-1 4.1是一个在市场上非常成功的产品，但从它推出以来，安全技术已经有了很大发展，现在check point的防火墙版本已经发展到ng ai，技术更加完善，同时功能也更强。老

2、版本无法抵御黑客最新的攻击行为。例如，现在黑客逐渐将攻击目标转向应用，通过企业的开放端口80或443，绕过防火墙的检查，直接到达目标服务器，盗取信息、安装木马或以其为跳板攻击企业内部其他服务器。另一个例子，现在企业员工非常喜欢使用p2p应用，比如qq或msn与外部人员聊天，共享文件。一方面这样做会消耗企业有限的带宽，比如多个人同时下载视频文件，会占用大量带宽，使企业正常业务受到影响。另一方面，由于p2p应用可以藏在http流量之中，所以可以旁路防火墙安全检查（一般会允许http通过），给黑客以可乘之机。应用层攻击的例子还有很多，这里不一一列举。所有这些有害行为，check point ng a

3、i 均可以进行防护，因为它可以检测和防范来自于应用层的攻击。ng ai是一个多层安全网关，可以保护从网络层到应用层的安全。2 员工出差在外，通过互联网要收发电子邮件或访问内部资源，均通过明文进行，面临信息泄露和会话劫持的风险。3 ids系统是一个被动系统，检测到攻击后不能直接采取行动，错失时机；根据攻击特征作出判断，没有特征就无法防范，因此滞后于攻击，对新攻击用户总会遭到损失；误报率高，影响企业业务正常运转。4 内网重要服务器除了授权审计和防毒外，没有安全防护，容易遭受来自于企业内部的攻击。防毒软件可以保护主机安全，无法防御网络攻击。如slammer蠕虫，仅存在于内存中，不写硬盘，防毒软件无法

4、处理。5 内网中其他部门，没有任何安全措施，无法避免非授权访问和来自于内部的攻击。如果一名员工出差在外使用笔记本电脑访问互联网，可能受到攻击，被种上木马或感染蠕虫。一旦他回到企业内部，连上内部网络，潜伏于他机器上的安全问题会成为企业的安全隐患。例如蠕虫爆发，瞬间会扩散到整个企业，所有机器均会受到影响。解决方案1 边界：部署check point最新版本防火墙r55，双机实现高可用性和负载均衡，避免单点故障。利用check point最新提供的应用智能技术，实现最高级别的安全防护。r55内置入侵防范功能，由于基于主动防御技术，可以在一定范围内防御未知攻击，可以为用户提供更好的保护。2 移动用户：

5、在其笔记本电脑或pda上部署vpn-1 secureclient，一方面让其利用vpn以加密的方式通过互联网，安全的访问内部资源；另一方面，secureclient具有中央管理的个人防火墙功能，可以保护端点免受非授权访问，同时管理员可以控制端点的访问行为；此外secureclient还可以为端点分配内网ip地址，从而加强内网资源的安全性，比如规定内网资源只接受来自于内部ip地址的访问。3 服务器群：在服务器群前面部署interspect内部安全网关，防范蠕虫传播，避免来自于内部的攻击。4 部门：（分为几种情况） 部门1：只有一台服务器需要保护，要求本部门员工才可以访问，同时避免线路窃听。最简单

6、的方式，无需改变网络结构，可以在此台服务器上直接安装vpn-1 secureserver。它是一个单机版防火墙 ，同时提供vpn功能。本部门其他机器安装vpn-1 secureclient，以加密的方式与服务器进行通信。同时在防火墙上设置策略，控制其他部门访问。 部门2：无需严格访问控制，但需要避免蠕虫感染和内部攻击。可以将interspect透明部署在部门交换机和核心交换机之间，起到防御作用。 部门3：需要严格访问控制，指定人员才可以访问相关资源。可以根据需要在部门网络之前部署单机或双机防火墙vpn-1 pro。5管理：可以通过业内最好的check point smart管理构架进行集中管理

7、。相关产品1 vpn-1 pro您面临的挑战：internet 可以到达全球任何一个角落，因此它为企业网络延伸到所有职员和主要业务合作伙伴提供了一种灵活的、高成本效益的基础架构。但是，一个企业要想充分利用 internet，它必须能够确保业务通信的安全性和对企业内部网络资源的保护。除了安全性，公司还要面对可用性、性能和可伸缩性的挑战。为使关键任务应用能够利用虚拟专用网络（vpn）技术，vpn 必须提供可靠的性能和无缝的容错性。总之，一个 vpn 的所有组件必须能够在整个企业安全基础架构内部简单地集成和管理。我们的解决方案：check point 的 vpn-1 pro 是一个紧密集成的软件解决

8、方案，它将市场领先的 firewall-1 安全性套件与最先进的 vpn 技术结合起来。作为 check point 的安全虚拟网络架构的基础，vpn-1 pro 可为企业网络、远程和移动用户、分支机构以及业务合作伙伴提供安全的连接，充分满足 internet、内部网、外部网 vpn 的严格要求。vpn-1 pro 解决方案可以在业界最广泛的开放式平台和安全设备上获得满足各种规模企业的价格性能比需求。产品特性： 提供与 firewall-1 的完全集成 通过 ipsec、l2tp、ssl 和强大身份认证来保护通信 支持集中的、集成的和基于策略的安全管理 支持范围广泛的开放式服务器和设备平台 通

9、过 securexl 提供市场领先的性能产品优点： 确保企业资源和 internet 通信的最大安全性 提供范围广泛的安全远程访问部署选项和用户认证 简化安全管理 以更卓越的价格性能比提供平台适应性 支持高度可伸缩的 vpn 和多千兆的安全性能vpn-1 解决方案为扩展的企业提供端到端的安全性。 checkpoint 的全面 securevpn 解决方案vpn-1 pro 是 check point securevpn 解决方案的基础，这是一个用于远程访问、内部网和外部网 vpn 的最全面的产品与技术集合。check point 提供了范围广泛的 vpn 产品，各种组织机构可以从中选择以设计出

10、满足自己需求的最佳配置。安全性check point vpn-1 pro 集成了访问控制、认证和加密以确保网络连接的安全性、本地和远程用户的可靠性以及数据通信的私有性和完整性。firewall-1 集成以获得最大保护为了提供有效的企业安全性和高效的管理，vpn 必须包含集成的防火墙功能。为此目的，vpn-1 pro 包含了市场领先的 firewall-1，利用 check point 的 stateful inspection 专利技术来保证所有通用 internet 服务的安全。vpn-1 pro 支持超过 150 个预定义应用、服务和现成的协议，包括 web 应用，即时消息发送、对等网络应

11、用、voip、oracle sql、realaudio 以及多媒体服务（如 h.323）。灵活的认证check point securevpn 解决方案提供了多种认证选项，包括令牌卡、radius 和 tacacs/tacacs。此外，vpn-1 的 openpki 确保了 securevpn 解决方案与 entrust、verisign 和 baltimore technologies 等厂商提供的主流 pki 解决方案兼容，这些解决方案使企业能够管理极大规模的 ipsec vpn 部署。check point 特有的混合模式认证允许企业在部署 ipsec vpn 时可以利用现有的认证方案，

12、如 secure id 令牌。希望实施“系统外”强大身份认证的企业可以使用 check point one-click 证书。利用 vpn-1 pro 中包含的内置认证授权，可以将 x.509 数字证书发布到 vpn-1 网关和 vpn-1 secureclient 用户。one-click 证书提供了行业标准的两因素认证，避免了 pki 的复杂性和昂贵成本。强大的加密除了确保网络访问的安全之外，vpn 解决方案还必须保护被传输数据的私密性。通过遵循 ipsec 标准，vpn-1 pro 可以自动协商通信各方之间可用的最强的加密和数据验证算法。这包括用于数据加密的高级加密标准（aes）和 tr

13、iple des 算法。smart 管理vpn-1 实现被集成到整体企业安全策略中，以获得最大的安全性。check point 的安全管理架构（smart）提供了一个企业范围的单一安全策略，可以对它进行集中管理并自动部署到无限数量的 vpn-1 pro 网关。smart 用户界面check point 的 smartdashboard 是一个先进但又简单的用户界面，用于定义和管理完整安全策略的多个元素：防火墙、vpn、网络地址转换、桌面安全和 qos 策略。smartdashboard 帮助用户轻松访问所有需要的信息，从而简化了 vpn 和安全管理。 one-click vpns利用 one-

14、click vpns，可以用单个操作创建大规模的 vpn。通过定义 vpn 分组，企业可以用一个步骤为整个 vpn（如内部网、外部网或远程访问部署）设置安全参数。通过简单地定义一个分组内的所有 vpn-1 端点，可以在所有网关之间或者在网关和远程用户之间自动建立 vpn。当新站点添加到分组时，它们会自动继承适当的属性，并且可以与 vpn 分组中的其他站点立即建立安全的 ipsec 会话。简单外部网 vpn 部署和管理外部 vpn 帮助公司连接业务合作伙伴，包括供应商和客户。check point 的 one-click extranets 提供了一个简单的结构和过程来定义和管理外部网 vpn。

15、one-click extranets 帮助合作伙伴轻松建立可信的交换网络对象，并通过一个称为外部网管理界面（emi）的直观用户界面来构建安全规则。线速 vpn随着 vpn 部署规模变得越来越大而且关键任务越来越多，性能成为一个关键的考虑因素。securexl 是一个接口、软件模块和行业标准的框架，它帮助 check point 合作伙伴和客户构建高成本效益的 vpn-1 解决方案，以满足最严格的性能要求。securexl 框架结合 check point 对开放系统的执着追求，以尽可能低的成本提供了行业领先的性能。securexl api 提供多千兆性能解决方案check point 的开放

16、式性能架构的关键是 securexl api一个减少第三方硬件或优化软件的密集安全操作的开放式接口。可以从多种构成因素中获得支持 securexl 的解决方案，包括软件模块、pci 插槽卡、ipsec 网络接口卡（nic）以及支持 securexl 的带网络处理器的硬盒子产品。利用 securexl api 的设备不是将客户局限于一个专有的加速器，而是通过提供多千兆性能级别、多种构成因素和一系列价格点来满足客户需求。集成的 vpn 服务质量（qos）对于性能非常重要以及可能发生 internet 链路拥挤的 vpn 部署来说，qos 是必须的。floodgate-1 确保了关键任务 vpn-1

17、 信息流的最佳性能，使客户可以将关键业务信息流从专用广域网移植到 internet 上。不间断的 vpnvpn-1 解决方案包括强大的功能，能够使 vpn-1 网关协同工作，不论这些网关是在同一个位置还是在不同位置。check point vpn-1 解决方案包括两种技术（clusterxl 和 vpn 负载分配），它们带来了无以伦比的性能和容错性。 clusterxl 是为通过 vpn 网关的所有信息流提供的一个高可用性和负载均分解决方案。各种类型的信息流通过一个 vpn-1 网关集群分发，随着集群成员的增加而使性能几乎成线性地增长。如果一个网关变为不可访问，则所有连接均被无缝地重定向到其他

18、的集群成员。 vpn 负载分配是为远程访问 vpn 连接提供的一个高可用性和负载均分解决方案。入站的 vpn 连接通过 vpn-1 网关的集群分配。如果网关出现故障，则新的 vpn 连接将自动连接到其他的集群成员。vpn manager 是 smartdashboard 的一部分，它使企业能够用单个步骤定义并部署内部网和外部网，以及远程访问 vpn。 对多远程访问技术的支持check point securevpn 技术使企业除了使用 vpn-1 secureclient 和 securemote 之外，还可以使用 l2tp 和基于 ssl 的或无客户端的 vpn 来为远程用户提供访问。合作伙

19、伴可以使用标准的 web 浏览器或者 microsoft windows l2tp vpn 客户端连接到 vpn-1 pro 网关。这使得各种规模的企业拥有了范围更广泛的安全远程访问选项。保护无线局域网与传统的“有线”网络相比，无线局域网为企业提供了一种可以减少部署成本的灵活的技术。check point 的 securevpn 解决方案能够帮助企业安全地向他们的网络框架添加无线局域网。check point 的 vpn-1 pro 和 vpn-1 secureclient 解决方案提供了集成的防火墙和 vpn，它们通过企业级别的访问控制、认证和加密保护所有层次（从客户端计算机到无线局域网到企

20、业网络）上的信息。2 vpn-1 secureclient您面临的挑战：远程访问 vpn 技术的广泛采用和部署很大程度上是由于它们具有巨大的成本优势。但是当企业部署了远程访问 vpn 后，网络安全管理员就面临着连接、保护和管理日益增加的大量客户端系统的众多挑战。首先，远程访问 vpn 客户端需要在任何网络上（包括拨号网络、宽带和无线网络）提供连通性，而且不能增加额外的管理开销。其次，当远程用户尝试通过无防护的 internet 连接到企业网络时，客户端必须能够保护远程用户机器免受攻击。最后，为了真正实现节约成本的承诺，vpn 客户端软件必须为部署和维护提供简单、透明的管理过程。我们的解决方案：

21、vpn-1 securemote 为远程和本地用户提供了灵活的 vpn 支持。利用 vpn-1 securemote，远程用户可以获得对关键企业资源的安全访问。vpn 客户端可以透明地加密和验证关键数据，使它们免遭窃听和恶意的数据篡改。vpn-1 secureclient 为基本的 vpn-1 securemote 功能增加了强大的客户端安全和管理特性。vpn-1 secureclient 包括一个集中式管理的个人防火墙，以防止对客户端系统的未授权访问，这样能确保入侵者无法侵入现有的 vpn 连接，从而加强整个企业的安全性。产品特性： 安全地将移动用户连接到 vpn-1 pro 网关 支持行业

22、标准 vpn 协议 提供了集中式管理的个人防火墙 软件分发和维护自动化产品优点： 允许本地和远程用户安全地访问企业网络中的资源 允许组织实施最满足它们需求的认证解决方案 保护客户端系统免受攻击 将桌面帮助支持成本降至最低vpn-1 securemote 和 vpn-1 secureclient 实现了最高水平的远程访问 vpn。 vpn-1 secureclient 和 vpn-1 securemote集中式控制的企业安全集成vpn-1 secureclient 和 vpn-1 securemote 可以无缝地与 check point 市场领先的 vpn-1 解决方案共同工作。可以轻松地将安

23、全远程访问合并为整体安全策略的一部分。而且因为 vpn-1 客户端直接与 vpn-1 pro 建立 vpn 隧道，所以企业安全策略中的所有元素（包括访问控制、用户验证和记录等）均会严格执行。易于部署的 one-click vpncheck point 的 one-click 技术将 vpn 的设置和管理简化为一个步骤，使部署远程访问 vpn 变得简单。只需要一个简单的操作就可以创建远程访问 vpn：将所有加入的 vpn-1 secureclient 和 vpn-1 securemote 用户放置在一个“vpn 社区”。vpn 社区使组织能够为整个远程访问用户组定义安全参数。当新的成员添加到社区

24、时，他们自动继承适当的属性，并且能够立刻建立到企业 vpn 网关的远程访问连接。多种模式部署可获得更大灵活性vpn-1 客户端为所有 internet 服务提供商（isp）服务（拨号、线缆调制解调器或数字用户线路（dsl）提供动态和固定 ip 寻址，使它们成为远程电信用户和移动通信工作人员的理想解决方案。此外，两种客户端均可与 isp 拨号器捆绑，这样，远程用户就无需分别安装两套软件并进行两次验证。vpn-1 secureclient 和 vpn-1 securemote 保留关于所有 vpn 站点的详细信息，从而实现无缝的用户体验。所有的 vpn 功能（包括密钥协商和数据加密）对用户来说都是

25、完全透明的。vpn-1 secureclient 和 vpn-1 securemote 都提供使用模式选项：透明模式每次用户尝试连接企业网络时，vpn-1 secureclient 和 vpn-1 securemote 都捕获该请求并自动要求用户进行正确的验证。一旦通过验证，vpn 连接即建立并且所有企业通信将受到保护。连接模式通过连接模式，用户可以手工建立和断开 vpn 会话。这一特性是为那些熟悉通过“拨号”模式连接 internet 的用户而设计的。为了增加灵活性，vpn-1 secureclient 的 officemode 特性使用户能够从 vpn-1 网关接收 ip 地址，以及 dn

26、s 和 wins 信息，使他们进行远程连接时就象“在办公室里”一样。vpn-1 secureclient 保护终端用户系统免遭攻击和滥用。 通用连接即使防火墙或 nat 设备驻留在 vpn 用户和企业 vpn 网关之间，vpn-1 secureclient 和 vpn-1 securemote 也能帮助用户从任何地方连接到企业网络。适合客户需求的灵活验证除了 ipsec 标准本身支持的预共享机密级和 x.509 数字证书之外，check point 独特的混合模式认证使得企业可以实施其它的用户认证技术。这些技术包括 securid 令牌、基于 radius 的解决方案以及更多。希望实施“现成的

27、”强大身份认证的企业可以使用 check point one-click 证书。利用 vpn-1 解决方案包含的内部证书权限，x.509 数字证书可以签发到 vpn-1 secureclient 用户和 vpn-1 网关。one-click 证书为用户提供了行业标准的二因素认证，而不需要复杂和昂贵的 pki 系统。远程访问的高可用性check point 的 vpn load distribution 特性是一个用于远程访问 vpn 连接的高可用性和负载均分解决方案。入站的 vpn 连接可以通过 vpn-1 网关的集群分配。如果一个网关出现故障，则新的 vpn 连接将自动连接到其他的集群成员。

28、vpn-1 secureclient 高级特性vpn-1 secureclient 是一个增强的应用程序，它提供 vpn-1 securemote 的所有功能，并添加了用于客户端安全性和软件管理的额外特性。个人防火墙功能vpn-1 secureclient 为远程访问用户提供了完善的安全性。利用与市场领先的 firewall-1 相同的 stateful inspection 专利技术，vpn-1 secureclient 防火墙策略提供了基于来源、目的地以及客户端系统收发的网络信息流类型的访问控制。它可以为用户或用户组定义安全规则，使具有不同类型远程访问 vpn 用户（例如，销售人员和 it

29、 工作人员）的企业，可以根据用户的不同需要来定制客户端安全策略。这些策略不仅可以保护客户端机器上的数据免遭未授权的访问，而且可以消除这些用户易受共享网络上同类用户攻击的弱点。未授权的访问企图既可以在本地记录，也可以作为告警发送到管理站。安全配置校验vpn-1 secureclient 加强了企业的安全性，因为它确保了客户端系统不能绕开企业安全策略进行配置。利用安全配置校验（scv），管理员可以指定 scv 校验定义安全地配置客户端系统的一组条件，例如个人防火墙策略的正确操作。这些安全性校验会定期执行，确保只有安全配置的系统可以连接到企业 vpn。除了已经预定义的校验之外，安全管理员还可以定义定

30、制的校验。例如，可以编写一个 scv 校验来确保 vpn-1 secureclient 用户运行的是杀毒软件的最新版本。vpn-1 secureclient 执行集中式管理个人防火墙策略。 校验 描述 process monitor 检查进程是否正在运行 group monitor 检查用户是否属于一个特定的组（域或本地机器） os monitor 检验操作系统版本，补丁包和屏幕保护配置 hotfix monitor 检查操作系统的安全补丁是否已经安装 browser monitor 检验 web 浏览器版本 version checker 检验 vpn-1 secureclient 版本 预

31、定义 scv 校验。 简化的软件分发和管理vpn-1 secureclient 包含了一些特性来简化客户端软件的初始分发和以后的维护。这些特性显著降低了与 vpn 有关的终端用户支持成本，并通过确保客户端软件的安装总是一致的和最新的来提高整体安全性。利用 vpn-1 secureclient 打包工具，安全管理员可以为他们的 vpn-1 secureclient 用户创建定制的、自解压的安装软件包。所有的 vpn-1 secureclient 选项都可以预先配置，无需终端用户配置任何设置。一旦用户（利用 web 下载、电子邮件或者物理介质分发）获得了软件包，他或她只需简单地运行可执行文件并重启

32、机器即可。在初始安装完成之后，vpn-1 secureclient 自动从驻留在 vpn-1 pro 网关上的 vpn-1 secureclient policy server 下载并更新安全策略。客户端机器上的策略更新是透明的。包括安全策略在内的所有组件都会进行定期检查，如果不是最新版本，则进行自动更新。vpn-1 secureclient 保证只有具有安全系统的用户才能进行连接。 移动设备的安全性为了获取方便的企业访问而部署移动设备的公司，需要可靠的安全性来保护驻留在这些设备上的企业数据，并防止它们变成侵入更大的企业网络的后门。“secured by check point” 的移动设备经

33、过认证，可以与 vpn-1 secureclient 和 vpn-1 securemote 结合，以提供集中式管理的集成 vpn 和个人防火墙功能。诊断工具为了帮助管理员对客户端连接和安全问题进行故障诊断，vpn-1 secureclient 包含了客户端日志浏览器、桌面策略浏览器和连接状态浏览器。这些工具能够提供关于远程访问客户端系统和连接的当前状态，以及任何未授权访问尝试的重要信息。3 interspectcheck point公司的interspect是一个内部安全网关，它能够阻止蠕虫病毒的传播，也能阻止来自内网中的攻击，并且能够提供网络分段技术。基于check point公司安全技术，

34、如inspect、状态监测（stateful inspection）和应用智能（application intelligencetm）, interspect是专为内部网络安全而生产的设备。选择interspect，组织机构能够使用全面内部安全解决方案来保护自己的内部网络。interspect设计灵活，应用到当前的网络环境中不需要改变现有的网络部署，并有适合内部安全的管理界面。特性智能蠕虫防御器智能蠕虫防御器通过应用check point公司的状态监测（stateful inspection）和应用智能（application intelligence）技术提供强有力的内网蠕虫防御。inter

35、spect安装在受保护的网络之间，通过检测网络通道防止蠕虫病毒在相互连接的网络设备间传播，并且能阻塞危险的网络流量。网络区域分段interspect将网络分为若干个管理员定义的安全区域，以防止区域间未授权的访问。这样可以防止内网中的用户或受感染的计算机访问没有授权的信息和系统。网络区域分段也防止子网内的病毒攻击。隔离interspect能够识别疑似或受感染的计算机，并把这些计算机隔离开来以防止网络内的其他计算机受到感染。在安全补丁发布期间，interspect允许对计算机进行隔离。这样网络管理员在确认、安装、测试安全补丁时能够减少网络受感染的危险。当终端计算机因为受到感染而被隔离时，该用户可以

36、通过定制的动态网页获知自己的计算机被感染了，这样用户知道为什么他们不能访问自己的资源了。这样的提示避免了用户花大量的时间来查找不能访问的原因，也使得网络管理员尽早地意识到发生的问题，减少用户宕机的时间。局域网协议保护interspect为多种类型的协议提供全面的保护，如微软的ms rpc、cifs、mssql和dcom，其他一些局域网协议如sun rpc、dce rpc和http。interspect使用inspect技术为安全领域提供了最适用的安全检测性能。随着inspect的不断升级换代，interspect的用户使得自己的内部网络架构在攻击和威胁常见的今天依然保持安全。预先攻击保护对于可

37、预见或不可预见的攻击，interspect提供了预先和动态的保护，在攻击被确认以前保护好组织内部网络安全。interspect包括专为内部网络安全而定制的一个智能防御版本。通过使用状态检测（stateful inspect）和应用智能（application intelligence）技术该版本的智能防御允许管理员配置、管理和升级所有网络和应用程序的防御系统。传统防火墙的应用层保护interspect为传统防火墙提供了附加的安全保护。为了与传统的边界防火墙无缝连接，interspect在不改变当前网络架构的情况下增加了应用智能（application intelligence）。为了保证与非标

38、准应用程序的连接，可以定义例外列表（exception list）来覆盖智能防御保护（smartdefense protections）适合内部安全的管理通过专为内网安全设计的管理界面使得管理interspect变得非常的简单。这种管理界面为配置和规则管理提供了强有力的功能和使用方便性。通常网络层的（network-level）防火墙配置安全规则标准是拒绝所有流量除非单独标明哪些允许通过。这对内部的部署来说是相当复杂的。但对于interspect来说，安全分段就像把interspect部署到网络并定义网络安全区域一样简单。interspect马上开始检测网络通道并截获一些恶意的网络信息。网络管

39、理员可以用易于使用的分段管理界面来阻隔一些特殊的通讯方式和配置内部安全区域。性能interspect是一个能满足内网安全性能要求的设备装置。interspect基于安全平台（secureplatform）、check point公司的固化安全操作系统。为了确保更高性能，interspect还包括了check point公司获得专利的 securexl安全加速技术。部署模式为支持各种部署，interspect 可以按三种在线操作模式(网桥、交换机和路由器模式)工作。监听功能适用于所有的模式。描述主要的部署场合网桥模式interspect 将一个或多个网段桥接到主干网，并且对ip网络而言是透明的透

40、明部署、蠕虫病毒防护及隔离功能交换机模式interspect 起到多端口网桥的作用，所有端口均被桥接，形成一个区域不需要完全划分网段时透明部署蠕虫病毒的防护及隔离功能路由器模式interspect 起到路由器的作用，每个活动端口均配置不同的ip 地址针对多个安全区域进行复杂的网络区域划分监听模式interspect 检查网络通信而不实施各项安全防护措施（可配合网桥、交换机或路由器模式使用）实际在线部署之前，进行前导性部署，帮助了解interspect 对原有应用程序的影响4 管理您面临的挑战：各种组织（例如您的公司）在保护其分布式网络时面临日益增长的挑战。随着您的网络规模的增长，在整个网络上不

41、断对多个执行点实行和维护最新的安全策略变成一项日益复杂和耗时的任务。对于您这样的安全管理员来说，分别管理每个防火墙或 vpn 网关不是一个合理使用时间的好办法，更重要的是，这将给您的网络安全带来风险。我们的解决方案：check point smartcenter 解决方案是集中配置、管理和监控多个 vpn-1 和 firewall-1 执行点的强大工具。利用 check point 革新的安全管理体系结构（smart），smartcenter 解决方案提供了一个独特的三层体系结构，包括一个集成的、直观的 gui，该 gui 能够从单个控制台定义综合安全策略的所有元素。高级的 one-click

42、 技术能够自动将策略分发到所有执行点，使您能够在所有安全执行点上轻松维护最新的安全策略。这些能力提供了前所未有的可升缩性和易用性，从而降低了管理开销并增强了您的网络安全。产品特性： 集中定义 vpn、防火墙、qos 和 web 访问策略 自动分发策略和软件 安全策略的可视化管理产品优点： 综合的，一站式安全管理 更好的控制、更高的网络安全性和增强的易用性 在部署之前进行安全策略验证，以获得更好的网络安全性smartcenter 解决方案使管理员能够从单个位置管理大量的 vpn-1 和 firewall-1 执行点。 smartcenter 解决方案概述check point 通过 smartc

43、enter 和 smartcenter pro 提供了各种级别的管理功能性，提供了集成的和高成本效益的解决方案，使您能够在单个管理控制台实现最高级别的控制和安全性。smartcenter 是 check point 企业管理解决方案中的旗舰产品，它由一个“操纵板”和一个管理服务器组成，前者使管理员能够集中定义 vpn、防火墙、qos 和 web 访问策略，后者用于存储和分发这些不同的策略。smartcenter pro 提供 smartcenter 的所有功能，以及： 网络安全的可视化管理 超大规模管理 集中管理、分发和列出软件清单的能力 实时安全和 vpn 性能监控 与基于 ldap 的目录

44、的强大集成 所有管理操作的容错可伸缩的集中式管理smartcenter 和 smartcenter pro 都是由用户界面和管理服务器组成，能够使管理员集中管理大量的 vpn-1 和 firewall-1 执行点。 smartdashboard 是一个先进而又简单易用的用户界面，用于定义和管理安全策略的多种元素：防火墙、vpn、网络地址转换、qos、web 访问以及 vpn 客户端安全性。为了有效创建策略和安全管理，所有对象定义（用户、主机、网络、服务等）在所有元素中都是共享的。 smartcenter server 是存储和分发使用 smartdashboard 定义的安全策略的管理服务器。

45、它也可以为任意数量的执行点存储通用 check point 数据库，包括网络对象定义、用户定义和日志文件。smartdashboard 是一个单独的图形用户界面，用来定义和管理企业的安全策略的多种元素。 综合的安全管理基于策略的 vpn/防火墙管理smartcenter 和 smartcenter pro 使管理员能够对大量的 vpn-1 和 firewall-1 执行点进行集中管理并部署单个策略。一旦定义了一个策略，它就能自动分发到所有的位置。这极大地提高了管理效率并增强了安全性，因为所有的安全执行点上的安全策略总是最新的。自动 nat 配置smartcenter 为管理员提供了自动生成 n

46、at 规则的能力，从而在节约了管理时间的同时增强了安全连通性。集成的客户端安全性check point vpn-1 secureclient 为远程访问的 vpn 用户提供了一个基于 check point 获得专利的 stateful inspection 技术的个人防火墙。个人防火墙的策略可以根据来源、目的地以及客户端系统接收或发送的网络信息流类型，在 desktop security 选项卡中的 smartdashboard 内定义。可以根据用户或用户组来定制规则，这使企业可以对远程用户系统实行更细致的控制。粒度用户授权以及认证管理随着基于 web 的应用程序日益广泛地使用，用户认证和授

47、权的集中式管理成为一个迫切的要求。smartcenter 管理集中并简化了企业 web 应用程序的用户管理。管理员可以使用 smartdashboard 中的 web access 选项卡，轻松地定义用于在基于 web 的应用程序环境中，进行用户认证、授权和审核的 web 访问策略。简单的 vpn 管理one-click vpn 部署smartdashboard 使管理员能够在单个操作中创建大规模的 vpn。使用 vpn manager，管理员能够定义 vpn 分组，并且只需一个步骤就能为整个 vpn（如内部网、外部网和远程访问部署）设置安全参数。通过将所有 vpn-1 网关分到一个分组，可以

48、在所有网关之间或者在远程用户和网关之间使用 vpn。当一个新站点或用户添加到分组时，它们会自动继承适当的属性，并且可以与 vpn 分组中的其他站点立即建立安全的 ipsec 会话。smartcenter 支持许多网络拓扑结构，包括全网格拓扑、星型拓扑、中心拓扑和轮辐拓扑以及它们相互结合的产物。这使得企业能够将它们昂贵的帧中继连接简单而高成本效益地移植到 internet vpn。vpn manager 使管理员能够在单个操作中创建 vpn。 系统外集成的、强大的身份认证check point 管理解决方案包含内置认证授权，它使企业能够在 ipsec vpn 中使用 x.509 数字证书来鉴别参

49、与者。one-click 证书自动发布到所有用于站点到站点 vpn 通信的 check point 管理和执行点，这使企业不需要再单独部署用于强大身份认证的 pki 产品。粒度远程用户 vpn 管理vpn-1 secureclient packaging tool 使得安全管理员能够为他们的 vpn-1 secureclient 用户创建自定义的和自解压缩的安装包。此外，管理员可以指定安全配置校验（scv）检查，svc 是定义安全地配置客户端系统的一组条件，例如防病毒软件的当前版本或个人防火墙策略的正确操作。这一功能强大的工具能够确保客户端软件安装始终是一致的和最新的，从而简化远程用户管理并提

50、高总体安全性。强大的记录与报表生成功能实时数据分析smartcenter server 从所有 vpn-1 和 firewall-1 网关以及许多经过 opsec 认证的安全应用程序收集详细的日志信息。此外，它还记录管理员的活动，这能够大大减少寻找配置错误所需的时间。图形化的 smartview tracker 使用服务器中的日志数据来为所有连接（包括远程 vpn 用户会话）提供实时的可视化跟踪、监控和核算信息。管理员可以执行搜索或过滤日志记录来快速定位和跟踪感兴趣的事件。一旦发生攻击或者其他可疑的网络活动，管理员可以使用 smartview tracker 临时或永久地终止特定 ip 地址的连接。smartview tracker 展示关于所有执行点的详细日志信息。 集成的报表生成基础设施smartview reporter 是一个可选模块，它将 vpn-1 和 firewall-1 执行点生成的未加工的日志数据转化成综合的预定义报表形式的可用信息。它与 smartcenter 集成，并在开发报表时使用存储在 smartcenter