Check-Point-UTM-1-企业安全方案

CheckPointUTM企业安全解决方案目录TOC\o"1-5"\h\z\u1. 现状及需求分析 31.1. InBound的安全需求 31.2. OutBound安全需求 41.3. Internet数据安全传输需求 41.4. 移动用户远程安全接入需求 42. 安全系统设计方案 52.1. 产品部署方案 52.2. 安全系统功能实现说明 52.3. 防火墙管理 62.3.1. UTM-1系统管理和故障恢复 82.4. 方案扩展性说明 93. CheckPointUTM-1解决方案的优势： 104. 附录一CheckPointUTM-1产品说明 12现状及需求分析对于用户企业网络来说，Internet数据流主要有两种类型：Outboud流量，主要是企业内部网络对外的访问，如OA客户端对Internet的访问；Inboud流量，主要包括Internet对用户企业内网的访问，如企业对外的WEB服务、邮件服务；因此，用户企业网络的边界安全需求主要包括以下几种类型：InBound的安全需求来自于Internet的非法访问，需要建立严格的网络访问控制策略，实现精细粒度的访问控制；来自于Internet的黑客攻击；黑客攻击包括多种类型，扫描探测、远程注射、远程溢出、碎片攻击等等。通常攻击者利用了两个方面的因素：一、开放的端口，由于系统开放了不必要的端口，造成不必要的信息泄漏；例如，扫描探测等。二、针对开发端口的主机及应用服务的自身漏洞；另外，还需要注意的是，由于攻击手段的进一步提升，通过开放协议封装攻击数据包的也成为一种常用的攻击方式，因此，需要边界安全设备具有强大的协议解析能力；来自于Internet的蠕虫，现在蠕虫已经越来越具有自动黑客攻击工具的特征。蠕虫造成的危害主要包含两种：一、蠕虫传播造成网络带宽的耗尽；二、蠕虫病毒本身对主机系统造成破坏。因此，蠕虫控制的手段是多层次的：网络级控制、主机级控制；对于Intenret边界来说，需要在网络级安全控制有所考虑；来自于Internet的病毒，通过HTTP/SMTP/POP/IMAP/FTP等协议，如网页浏览，文件下载；DOS攻击，拒绝服务攻击造成的影响主要有两种：一，耗尽网络带宽，造成网络拥塞；二，造成主机资源耗尽，内部服务器无法提供正常服务；跳跃性攻击，例如，以DMZ服务器为跳板，实现对DCN内网的跳跃，因此，在边界安全控制，需要预防这种攻击；针对Internet边界设备的攻击。例如，针对Internet边界的FW、网络设备的攻击；例如，针对路由器的DOS攻击，针对路由器的暴力破解，SNMP探测；OutBound安全需求内部员工对网络的非法访问，例如，访问非法的WEB站点；访问不安全的FTP站点；发送内容非法的邮件，给公司造成不好的影响；内部员工对网络资源的滥用，例如,利用公司Internet资源进行BT下载，影响正常业务对带宽的使用，降低了企业生产效率；Internet数据安全传输需求由于专线价格昂贵，因此，采用Internet链路，基于VPN的方式进行数据传输已经成为业务数据传输的重要方式。为了保障Internet传输数据安全，需要采用VPN方式来进行构建。目前IPSECVPN是一种主流的VPN构建方式。同时，还需要考虑到，VPN的管理方式，VPN的构建模式，是否易于实现，易于管理。移动用户远程安全接入需求移动办公已经成为越来越广泛的应用。对于远程接入来说，需要考虑几个方面的因素：接入终端自身的安全性；接入终端如果存在安全问题，很可能成为攻击跳板；可信的链路传输方式；例如，通过IPSECVPN或者SSLVPN实现数据传输的加密；可靠的接入用户认证；对于Internet接入来说，user/password的方式已经不能满足认证强度的需求。通常，采用数字证书或者动态口令的方式；安全系统设计方案产品部署方案建议在Internet边界部署部署两套CheckPointUTM-12050。两台设备以HA方式运行，以保障防火墙系统的高可用性；配置100用户SecureClient客户端，安装在移动用户主机上，实现VPN远程接入；配置1台PCServer用于安装防火墙管理服务器SmartCenter，实现所有防火墙的集中管理；安全系统功能实现说明通过上述防火墙设计方案的部署，可以帮助用户网络实现以下安全防御功能：网络访问控制。利用CheckPoint专利的状态检测防火墙引擎，实现精细化的Internet的网络访问控制。作为状态检测技术的发明者，CheckPoint拥有最广泛的预定义协议（300＋）,有助于用户实现严格的网络访问控制策略。网络入侵防御。UTM-1的SmartDefense模块，采用了CheckPoint的应用智能技术和WEB智能技术，可以帮助用户网络抵御来自于Internet的黑客攻击，确保业务系统的正常运行；终端用户的应用控制。通过CheckPoint状态引擎和应用智能技术的结合，企业可以对内网用户的应用进行精细化的控制，例如，控制P2P应用控制（BT/eMule/Kazza/Gnutella等），控制IM及时通讯应用（MSN/Skype/ICQ/YahooMessenger等）。以节约网络带宽，提高企业生产力；网关病毒、蠕虫和间谍软件防护。UTM-1将网关防病毒与SmartDefense（智能防御）技术结合起来，共同防御网关间谍软件、病毒和蠕虫。防病毒扫描具有实时扫描电子邮件（POP3和SMTP）、FTP和网络（HTTP）通信的能力，防止可能隐藏在合法内容中的潜在威胁；当然，企业病毒防护体系应该是层次式的，除了在网关接口，还需要采用应用级、主机级、终端级的防病毒系统相接的方式来实现；URL过滤。通过UTM-1的URLFilter模块，可以实现内部用户对WEB访问的精细化控制。管理员可以为企业定义可行的使用策略，使企业免受间谍软件、病毒和不健康网络内容入侵的威胁。URLFilter数据库包含了54个分类，1700万条网址和30亿个网页记录，可以有效的保障企业实现细化的URL过滤控制；Site-to-SiteVPN，保证多机构之间业务数据的安全传输。通过UTM-1450和UTM-11050，建立基于IPSEC的VPN隧道，保证北京研发中心和苏州工厂之间OA/ERP等业务数据的机密传输。UTM-1简化了站点到站点VPNs（虚拟专用网）及远程接入设置。不需要手动设置节点到节点的VPN通道，整个VPN的安全参数（包括站点到站点和远程接入）设置可一步完成。在网络上定义UTM-1后，所有站点和远程用户就自动创建了VPNs。当站点和用户增加时，他们继承了好的已有属性，能够立即建立与其它用户的IPSec通讯。RemoteAccessVPN，保证移动用户的远程安全访问。通过CheckPointSecureClient，保证移动用户能够通过IPSECVPN隧道，安全的连接到企业内网，进行业务操作。SecureClient拥有可集中管理的个人防火墙，防火墙管理员可以通过SmartCenter集中管理移动用户的个人防火墙策略，实现严格的访问控制，以免移动用户主机成为黑客攻击的跳板；此外，UTM-1还支持SSLVPN，对于没有安装SecureClient的移动用户，也可以采用SSLVPN的方式安全的连接到企业内网；防火墙管理CheckPoint采用三层管理架构。包括以下三部分模块：SmartDashboard，图形化的管理客户端。所有防火墙的管理操作，都可以通过同一SmartDashboard来完成；SmartCenter，管理服务器。负责防火墙的管理和防火墙数据的集中存储（安全策略、安全日志等），同时，SmartCenter内置数字证书系统ICA，为模块间内部通信、VPN、用户认证，提供免费的数字证书；GateWay，也就是防火墙；通过Smart三层管理架构，可以实现对用户网络中所有防火墙的集中管理。UTM-1具有集成的SmartCenter管理功能，可从一个控制台对多项应用工具和其它CheckPoint产品进行集中管理。它集中存储安全策略，并将其分配到所有基础设施，不再需要对每个站点和网关进行单独维护，减少了管理负荷及错误的发生，保证了整个网络的一致性。管理员通过直观的SmartDashboard，对安全策略各部分进行定义和管理，包括防火墙安全、网络地址解析、服务质量（QualityofService--QoS)、VPN客户安全和VPN。CheckPoint的SMART结构体系为提供了安全对象和策略版本管理，帮助你管理环境变化，便于检查或快速恢复历史版本。除了集中的配置和安全策略管理之外，CheckPoint还支持集中的日志审计管理、集中的状态监控管理、集中的报表管理，说明如下：集中日志管理CheckPointSmarViewTracker提供了强大的实时日志分析工具。通过SmartViewTracker，可以实现以下功能：网络日志分析，所有通过防火墙的网络活动的日志分析；活动连接分析，通过防火墙的当前活动连接的状态分析；审计日志分析，对防火墙管理员的活动进行安全审计；例如，管理员登陆、策略修改、策略安装等；另外，SmartViewTracker提供了丰富的查询和过滤功能，以便于管理员迅速获得特定的日志信息。SmartViewTracker提供了超过20类过滤条件。集中安全状态监控（可选）CheckPontSmartViewMonitor提供了丰富的防火墙状态监控功能。通过SmartViewMonitor的实施安全状态监控，可以保证DCN安全管理员达到以下目标：实施监控防火墙主机的运行状态，如CPU、内存、端口状态等关键指标；实时监控防火墙各模块的运行状态，如防火墙模块、VPN模块的运行状态参数；实时监控网络数据流的状态及协议分布状态；实时监控VPNTunnel运行状态及远程VPN用户运行状态；通过对这些状态指标的监控，对防火墙系统运行状况及网络安全状态进行判断。以保证在出现安全事件时，迅速响应。注：CheckPointUTM-1内置SmartViewStatus功能，可以对防火墙主机和应用模块的运行状态进行监控。集中报表管理（可选）CheckPointEventiaReporter提供了丰富的报表功能。EventiaReporter提供了两种类型的报表：ExpressReport和StandardReport。EventiaReporter提供了超过30种报表模版，基本可以满足用户的报表需求；当然也可以根据需求自定义报表模版；通过EventiaReporter，可以实现自动报表生成功能。用户可以选择在特定的时间周期生成报表，并通过Email发送到管理员邮箱；注：CheckPintUTM-1内置ExpressReport功能。URL过滤、防病毒、SmartDefense的集中更新为了保持先发制人的安全环境和保证网络安全不受到新的攻击，可选的SmartDefenseServices为防御、策略和其它安全要素提供不断的自动更新。更新可按预设间隔期间自动下载并分配到远程站点。UTM-1系统管理和故障恢复UTM-1安装配置非常简单，系统启动后，只需要作基本的配置（如IP地址、系统时间、防火墙主机名等），在10分钟之内，就可以进行配置使用。同时，UTM-1提供了多种简便的系统管理和恢复功能，说明如下：HA防火墙故障恢复。由于本方案中采用了HA配置，利用CheckPointClusterXL技术，可以实现防火墙故障的无缝切换。当某节点的一台主用防火墙出现故障，无法正常工作时，通过ClusterXL可以无缝切换到备份防火墙。该切换过程对于用户完全透明。系统快照，快速恢复。UTM-1提供了系统快照功能SnapShot，可以为防火墙主机提供完整的映象快照（包含了所有配置文件和系统文件），以保证系统的快速恢复。该功能对防火墙进行升级或者复杂的配置提供了强大的恢复保障；USBKEY，快速出厂恢复。UTM-1随即附带一个USBKEY。只需要把该USBKEY插入到UTM-1的USB接口，重启主机，就可以恢复到出厂设置。方案扩展性说明随着企业的业务的扩展，企业网络和与之相应的安全系统也需要随之进行扩展。CheckPointUTM解决方案提供了强大的扩展功能，以保障企业业务的安全增长。简要说明如下：新增分支结构当用户新增分支机构，建立Internet连接。一方面，需要和总部建立安全的VPN连接，进行业务数据传输；另一方面，需要安全措施，防御来自于Internet的安全威胁。在上述解决方案的基础上，只需要在分支机构的Internet接口部署一套CheckPointUTM-1（用户超过100人）或者CheckPointUTM-1Edge（用户少于100人）。通过SmartCenter,实现新增设备的集中管理。对于该分支架构来说，不需要专门的安全管理人员。终端安全建设（EPSEnforcement）终端安全时企业安全建设中的一个热点和难题。CheckPointIntegrity终端安全系统能够为终端主机提供基于集中管理的全面的安全防护，包括：防火墙、区域安全控制、入侵防御、间谍软件防护、应用程序控制、IM即时通讯控制、主机安全检查、策略符合性检查等功能。在现有解决方案的基础上，通过Integirty和CheckPointUTM-1配合，可以实现终端安全的网络级控制EPS(EndPointSecurity)Enforcement，实现了层次式的终端安全控制。当Integrity检测到终端主机不符合企业安全要求时，将通知防火墙不允许该主机通过防火墙访问外部网络（或者，通过防火墙监控该主机的网络行为）。基于OPSEC的安全体系的扩展 作为OPSEC组织（,目前业界最大的安全厂商组织）的发起者，CheckPoint能够和OPSEC成员的应用服务相结合，提供可保障的、经验证的、可扩展的安全解决方案。例如，CheckPoint可以和用户管理系统（如：MicrosoftAD,、NetscapeLDAP、NovellNDS、Radius等）集成，实现无缝的用户管理解决方案。CheckPointUTM-1解决方案的优势：ALL-in-ONE的安全解决方案，广泛的功能扩展。UTM-1对传统UTM产品的安全理念进行了扩展，除了具备传统的防火墙、入侵防御和网关防病毒三大功能之外，还增加了URL过滤、WEB防火墙、间谍软件防护、SSLVPN等功能，实现了全面的Internet边界的安全解决方案；久经验证的安全解决方案，强大的应用层安全。UTM-1采用了在业界久经验证的CheckPoint状态检测技术，结合业界首屈一指的应用智能（ApplicationIntelligence）和WEB智能技术（WEBIntelligence），实现了完善的应用层防护功能。例如，针对P2P应用的全面控管、针对IM应用的全面控管、全面的VOIP应用支持（H.323/SIP/MGCP/SCCP）、针对WEB注射攻击（InjectAttack）的全面防护；灵活的VPN解决方案。CheckPoint是业界唯一采用内置数字证书系统（ICA）的防火墙系统。通过ICA颁发的数字证书，可以实现最高级别的IKE密钥管理方案。同时，其独特的DomainBasedVPN配置模式，大大简化了VPN管理的难度；安全的移动用户VPN远程接入解决方案。CheckPointSecureClient在提供远程接入VPN功能的同时，还为接入终端提供了强大的安全保障，以免VPN接入客户端成为黑客攻击的跳板，主要包括三个方面：CheckPointICA为移动用户提供了免费的基于数字证书的认证方式，与用户名/口令模式相比，安全性大大提高；SecureClient提供了可集中管理的内置个人防火墙，管理员可以通过SmartDashboard集中配置所有接入终端个人防火墙的安全策略；SecureClient的SCV（securityconifigurationVerification）模块，在终端接入企业网时，将对终端主机的安全性进行检查（例如：是否安装系统补丁、防病毒软件是否升级到最新等）可以确保用户端主机的安全；强大的用户身份验证功能UserAuthority解决方案在当今商务环境中，公司需要提供员工、合作伙伴、以及客户有访问和工作的权限在不同的应用和服务环境中。值得我们深思的是，给予他们访问这些应用的权限是简单又容易的事，但与此同时，安全、可靠性、简单管理这些问题又迎面而来。Checkpoint的用户验证能够平衡安全与访问之间的需求，并且将现有的新环境提升至更高的安全级别。用户验证能够在企业内部通过VPN-1POWVER的安全网关增强基于身份验证对外连接的访问控制管理。UA的实现方法：按照网络级别，UA对于内外部资源能够提供相应的访问控制。通过VPN-1POWER网关，防火墙验证能够被配置成安全访问策略来提供client和session两种身份验证方式。两种身份验证区别在于是否有利于单点登陆对于这些验证，是否要排除重新验证的需要。通过启用UA的防火墙网关能够很清楚的识别用户的身份。多样化的移动用户远程接入解决方案。除了支持基于IPSEC的SecureClient客户端外，UTM-1还提供了SSLVPN远程接入模式（可供为安装SecureClient客户端的用户使用），为移动用户的远程接入提供了多样化的选择；强大的防火墙集中管理方案。CheckPoint采用的三层架构的SMART集中管理方案，通过单一的管理界面SmartDashboard，实现有企业内所有防火墙的管理配置、状态监控、日志审计、软件升级、模块升级，大大提高了防火墙的管理效率；附录一CheckPointUTM-1产品说明UTM-1

比你想象的更安全比你期待的更简单您面临的挑战不断变化的安全威胁和新的安全挑战使得维护网络安全愈加困难。为应对这一困境而实施的新的安全产品和安全策略不仅大大增加了复杂程度，更重要的是，增加了维护自己的网络和用户安全的成本。因此，你需要一个统一的安全解决方案，这个方案不仅能够简化操作，还能为你的公司提供高度安全。产品描述UTM-1具有高度集成、经实践检验的安全功能，包括防火墙、入侵防御、防病毒、防间谍软件、网络应用防病毒、VoIP安全、即时通讯（IM）、二层隔离网络安全（P2Pblocking）、URL过滤以及实现安全的站点到站点和远程接入连接。产品特点行业内最可靠的防火墙技术，保护数百种应用程序和协议；功能强劲的IPSecVPN，可实现安全的站点到站点和远程接入；灵活的SSL远程接入，无须添加硬件配置；集成的入侵防御功能；网关防病毒，适用于重要通讯协议，如FTP、HTTP、POP3和SMTP直观的硬件设置、诊断和恢复工具；网络应用防火墙和反间谍软件保护；包括策略、更新、监控和报告进行充分集中管理SmartDefenseTMService提供重要安全更新和建议；产品优势用我们可靠的、得到财富100强公司信赖的技术使你拥有平和的心境；保护网络、系统和用户免受各种类型的互联网安全威胁；保护远程接入和站点到站点通讯，确保机密安全；简化安全配置管理；通过SmartDefenseServices使用户免受新出现的威胁攻击。我们的解决方案UTM-1具有高度集成、经实践检验的安全性能，为你提供简约与安全的完美结合。UTM-1采用与保护财富100强企业相同CheckPoint技术，在简化配置和管理操作的同时，安全性也丝毫不打折扣。UTM-1提供全面的全面的安全功能；包括防火墙、入侵防御、防病毒、防间谍软件、网络应用防火墙、VoIP安全、即时通讯（IM）、二层隔离网络安全（Peer-to-peerblocking—P2P）、URL过滤以及实现安全的站点到站点和远程接入连接。而且，UTM-1的支持SmartDefenseTMServices，为CheckPoint基础架构的安全领先性提供了强大的保障。SmartDefenseServices提供实时更新服务，并提供防御和安全策略配置建议，助你始终走在威胁和攻击的前面。比你想象的更安全卓越的应用控制和防御攻击UTM-1内置业内性能最卓越的防火墙，可检查数百种预定义的应用程序、通讯协议和服务软件，使用非常简单，确保企业使用的众多程序免受来自网络的威胁，包括保护难度很大的新涌现的应用程序，例如：·VoiceoverIP–随着越来越多的企业采用VoIP（互联网语音通信）技术来降低通讯开支，UTM-1对VoIP提供全面的协议支持，保护企业重要业务通讯；网关防病毒和蠕虫保护网关防病毒依然是成功的UTM-1解决方案的核心组成部分，为桌面增加一层重要的反病毒保护。UTM-1将网关防病毒与SmartDefense（智能防御）技术结合起来，共同防御网关间谍软件、病毒和蠕虫。防病毒扫描具有实时扫描电子邮件（POP3和SMTP）、FTP和网络（HTTP）通信的能力，防止可能隐藏在合法内容中的潜在威胁。防间谍软件每套UTM-1提供了多层基于网关的保护来抗击与间谍软件相关的安全威胁。通过不断更新的防病毒签名，UTM-1大大增加了CheckPointIntegrityTM解决方案等端点安全产品的已有桌面防病毒保护能力。可选的URL网页过滤功能，通过阻挡已知的间谍软件站点来提供先发制人的保护。网络安全WebIntelligenceTM是UTM-1的可选组件。它是一种网络应用程序防火墙，可提供针对网络攻击的保护，如跨站点脚本（cross-sitescripting）、目录遍历(directorytraversal)。WEB过滤不当的网上冲浪会将安全威胁引入企业内部，同时还可能会增加法律责任、丧失生产力甚至违反相关规定。UTM-1在大量的数据库威胁种类和相关URLs的基础上，融合了经最佳优势组合的URL网页过滤功能。从而使你能够为企业定义可行的使用策略，使企业免受间谍软件、病毒和不健康网络内容入侵的威胁。简单的站点到站点连接UTM-1简化了站点到站点VPNs（虚拟专用网）及远程接入设置。从此不用再手动设置节点到节点的VPN通道，整个VPN的安全参数（包括站点到站点和远程接入）设置可一步完成。在网络上定义UTM-1后，所有站点和远程用户就自动创建了VPNs。当站点和用户增加时，他们继承了已有属性，能够立即建立与其它用户的IPSec通讯。安全灵活的远程接入UTM-1提供了灵活的IPSec和SSL（Securesocketlayer安全套接层）接入，并能够与不同的VPN客户进行无缝合作，从而为企业员工和业务伙伴连接可信赖网络提供了一种理想方式。每套UTM-1都提供了功能强劲、可打开即用的IPSec接入功能，通过简单license升级，就可以使用CheckPoint的SSLNetworkExtenderTM插件，实现SSLVPN功能。希望实施简单易用、功能强大的认证程序的企业可以使用CheckPointOne-Click证书。通过将集成的InternalCertificateAuthority纳入UTM-1，可以向UTM-1网关和远程接入用户颁发X.509数字证书。One-Click证书提供了工业标准的双重认证，省去了PKI的复杂和昂贵的费用。比你期待的更简单安装简单UTM-1可在10分钟内完成安装，为只拥有少量IT资源的企业提供真正简单的配置。使用UTM-1自带的安装向导，非技术人员可容易地进行UTM-1的初次安装和配置。打开UTM-1后，安装向导指导用户完成配置，并为SmartCenter管理做准备。一旦安装完装，就可以使用符合工业标准的CheckPoint管理工具对UTM-1进行远程管理和更新。集成SmartCenter管理UTM-1具有集成的SmartCenter管理功能，可从一个控制台对多项应用工具和其它CheckPoint产品进行集中管理。它集中存储安全策略，并将其分配到所有基础设施，不再需要对每个站点和网关进行单独维护，减少了管理负荷及错误的发生，保证了整个网络的一致性。管理员通过直观的SmartDashboardTM，对安全策略各部分进行定义和管理，包括防火墙安全、网络地址解析、服务质量（QualityofService--QoS)、VPN客户安全和VPN。CheckPoint的SMART结构体系为你提供了安全对象和策略版本管理，帮助你管理环境变化，便于检查或快速恢复历史版本。自动集中更