CheckPoint售前技术培训-Appliance-白菜版

CheckPointAppliance产品卖点Pre-definedsystem

5bladesCheckPoint硬件平台概览UTM-1

平台UTM-1平台:UTM&内置管理适用于中低端用户400M~4.5GbpsIP平台IP

平台:模块化&扩展性高性能&高可靠性适用于中、高端用户1.5Gbps~29GbpsPower-1

平台Power-1

平台:高性能&UTM适用于高端用户9Gbps~25GbpsUTM-1/IP/Power-1系列主要区别UTM-1IPPower-1OS平台SecurePlatformIPSOSecurePlatform含SmartCenter管理服务器YesNoNo双机负载均衡No*（缺省为HA)YesYesFULLHA**YesNONO动态路由No*YesYes光口支持NoYesYes扩展插槽NoYesYes双电源NoYes(IP695及以上)Yes直流电源支持NoYes(IP1285/2455)No*需添加额外的软件刀片License**FULLHA—不需要部署额外的SmartCenter管理服务器，两台UTM设备直接实现高可用性IP/UTM-1/Power-1—如何选择安全平台？中低端用户（3070除外）对安全功能要求多样化（UTM需求）客户不希望购买额外的管理服务器希望简单的双机部署（FULLHA)

中高端用户对性能要求高对设备可用性要求极高高端口密度，需要光口（特别是低端）特殊电源需求（直流电源）推荐选择IP平台推荐选择UTM-1推荐选择Power-1高端用户对性能要求高对安全功能需求多样化（UTM需求）对IPS功能要求极高CheckPointSMART集中管理架构管理客户端管理客户端管理服务器硬件方案：SMART-1软件方案：SmartCenter+PCServerPower-1IP系列UTM-1Smart-1产品技术指标Smart-15Smart-125Smart-150Smart-1150管理防火墙数量5-2525-5050-150150-U日志能力（条/秒）7,50014,00030,00030,000存储容量Upto0.5TBUpto2TBUpto4TBupto12TB冗余能力管理服务器冗余管理服务器冗余冗余电源RAID10管理服务器冗余冗余电源RAID10或SAN接口管理服务器冗余冗余电源RAID10或SAN接口带外管理-包含包含包含CheckPointAppliance产品卖点综述防火墙状态检测技术的发明者，防火墙引擎技术最成熟内置企业级IPS引擎，强大的应用安全保护能力基于图形化的集中管理，业界最优秀的管理架构特点一：最成熟的防火墙引擎技术状态检测引擎专利技术Stateful

InspectionIpatent

5,606,668Stateful

InspectionIIpatent

5,835,726特点二：内置企业级IPS引擎专业引擎（和防火墙紧密集成）IPS引擎来源于两个技术：CheckPointSmartDefense引擎和IPS-1（收购NFRIPS）引擎。CheckPoint用2年时间，进行了两个引擎的整合，所以是专业的引擎Microsoft漏洞防御能力业界第一高性能最高端IPS防御性能高达15Gbps即使开启全部IPS检测项，性能也高达2.2Gbps统一管理和防火墙采用同一管理界面，管理效率高对于原有CheckPoint防火墙管理员，10分钟就可以学会IPS的基本管理部署简单只需要点击一下鼠标就可以实现IPS引擎的部署和启动软件开关在网络流量超过设计容量时，IPS引擎自动旁路，保障网络连通性经济性好与传统的“专门IPS设备+防火墙”的模式相比，CheckPoint节省约50%投资特点三：业界最优秀的管理架构图形化管理界面，功能丰富支持详细的策略注释和策略分类功能VPN管理极其简单，大型VPN网络的最佳选择（一键式VPN）详细的日志功能支持150+日志字段，业界最详细支持详细的管理员升级功能（eg：添加策略、修改对象的IP）强大的集中监控功能状态监控：管理员可以再1分钟内，了解所有防火墙的运行状态流量监控：管理员在1分钟内，可以找出异常流量（eg：蠕虫）的来源强大的报表功能详细统计每一用户所占用的网络流量和连接数管理服务器冗余业界最成熟的管理服务器冗余功能管理服务器冗余对于大型企业来说，是必不可少的产品竞争分析对比概述对手推出的卖点CheckPoint回应高性能多种安全功能高可靠性ASA最高性能为10Gbpsvs.CheckPoint29GbpsASAIPS模块不适合高端型号Gartner(2009)报告揭示Cisco是业界安全漏洞最多的防火墙之一更多的灵活性提供灵活的远程接入更高的安全性基于ASIC的ISGs

系列安全更新并不灵活不提供SSLVPN只提供基本的IPS功能.特别是在微软漏洞防护上，CheckPoint是Juniper的2倍实时安全更新强大的性能强壮的安全性Fortinet安全更新需要更新firmware，造成网络中断IP系列的VPN性能是对手的2~3倍Fortinet只能做基本的4层防火墙检测，无法实现4~7层的全面检测Cisco竞争分析CiscoASA劣势ASA5550,5580不支持IPS模块ASA5510-5540只有一个扩展槽，只能支持一种内容安全功能CiscoIPS性能低，无法满足企业需求Cisco无法支持内置的集中管理功能Cisco无法提供统一的管理解决方案Cisco管理HA方案需外部支持（Veritas）Cisco没有基于硬件的集中管理方案企业级的IPS引擎，高性能，功能全面IPSfail-open开关，保障业务系统的持续运行单一管理界面，实现所有功能模块的集中管理成熟的管理冗余解决方案提供基于硬件的管理解决方案CheckPoint优势Juniper竞争分析Juniper缺点SSGs&Netscreen系列只有简单的IPS功能“DeepInspection”提供极少的防护，而且几乎无法提供任何针对WEB服务器的防护ISG系列实现完备的IPS功能需要添加专门的IDP模块，而且必须NSM进行IPS模块管理ISG系列不支持防病毒功能，NS系列不支持UTM功能Juniper不提供SSLVPN功能，必须专门的SSLVPN设备实现日志归档功能必须要通过命令行实现，而且需要停止服务后才能够进行不支持内置的集中管理功能CheckPoint优点企业级的IPS引擎，高性能，功能全面CheckPointIPS提供最佳的Microsoft漏洞防御能力集成的SSLVPN解决方案一键式VPN，VPN管理效率高强大日志管理和存储能力和本地日志存储能力单一管理界面，实现所有功能模块的集中管理Fortinet竞争分析Fortinet缺点Gartner–“WhereFortinetwasshortlistedbutnotselectedinenterprises,theIPSwasmostoftenlistedasthereason.”IPS引擎基于Snort开发，功能简单缺乏全面的WEB保护功能部分IPS升级需要对Firmware进行升级，造成连接中断缺乏有效的IPS管理工具

缺乏内置数字证书系统，VPN需要手工配置全面的管理功能需要通过命令行实现，操作复杂管理和报表需要购买两个设备才能实现FortiManager和FortiAnalyzer管理解决方案缺乏稳定性和向下兼容性企业级的IPS引擎，高性能，功能全面CheckPointIPS提供最佳的Microsoft漏洞防御能力IPS规则库更新不会造成业务连接中断一键式VPN，VPN管理效率高单一管理界面，实现所有功能模块的集中管理CheckPoint优点SecurityGatewayCompetitiveSummaryKeyFeaturesCheckPointCiscoJuniperFortinetCommentsFirewallMarket-leadingfirewallsecuresover200applicationsandprotocolsIntegratedmulti-gatewaymanagementSingleunifiedmanagementserverandone-clickVPNconfigurationWebAPfirewallWebsecurityFirewalltopreventSQLinjection…etc.IPSAutoFail-openManageableIPSeventmanagementExtensibleUTMAdditionalUTMoptionsareavailablewithoutaddingadditionalhardwaremodulesSSLVPNSSLVPNremoteaccessclientManagementFlowcontrolPolicychangemanagementcontrolRobustTrackingsystemGranularTrackingsystem,providesorting,searchinginunifiedmanagementIPSPolicyperformancesettingEnsurespredictabletotalsystemperformanceIPSprotectionFollow-upsettingGranularcontrolofIPSupd