Checkoin网络安全解决方案技术

CheckPoint面向未来的网络安全解决方案Mar30,2010Agenda我们需要什么样的“防火墙”面向未来的安全解决方案概览CheckPoint安全网关技术特点附录：CheckPoint网关安全产品线介绍NAT路由WEB管理吞吐量连接数VPN我们需要什么样的“防火墙”？这样的防火墙，还能够满足企业现在的安全需求吗？我们需要什么样的“防火墙”（1）传统防火墙已经无法为服务器提供全面安全保护Video演示（1）我们需要什么样的“防火墙”（2）传统防火墙已经无法为客户端提供全面安全保护Video演示（2）我们需要什么样的“防火墙”（3）用户的实际网络流量永远不会是1，64B2，UDP防火墙的测试工具和方法也在变化1，SmartBit（3~4层测试）；2，Avalanche（应用层混合数据流测试）我们需要什么样的“防火墙”（4）WEB管理界面的确很简单如果仅仅是限于配置“1台防火墙”的“访问控制规则”的话但“配置规则”就意味着安全吗？“配置规则”就是防火墙管理的核心内容吗？可管理安全防火墙管理，不仅仅是登陆WEB界面去配置规则如何方便、快速的监控企业安全状况，分析事故，解决问题，才是安全管理的核心应用级性能企业的网络流量永远不可能都是UDP64B，而是混合业务流应用级安全我们需要什么样的“防火墙”？企业关注的是WEB、DNS、邮件的安全而不是简单的TCP/UDP端口的开/闭“可管理”的“应用级安全”，是防火墙发展的必然方向CheckPoint解决方案概览

CheckPointTotalSecurity—

应对日益复杂企业应用安全环境和威胁FirewallVPNWebSecurityDataLeakageIDSIPSSPAMReportsLoggingEventManagementPolicyDefinitionProvisioningEndpointManagementDataEncryptionMalwareVirusesWormsRemovableMediaApplicationFirewallUnified

GatewaySingleMANAGEMENTConsoleSingle

AgentforEndpoint&

DataSecurityCheckPoint防火墙管理架构管理客户端管理服务器(SmartCenter）硬件解决方案：SMART-1软件解决方案：SmartCenter+PCServerPower-1UTM-1IP系列CheckPoint防火墙采用三层管理架构UTM-1内置管理服务器；Power-1和IP系列必须要配置管理服务器才能够部署SMART-1硬件是CheckPoint硬件解决方案防火墙网关CheckPoint网关产品线概览-防火墙网关Pre-definedsystem

5bladesPower-1

平台Power-1

平台:高性能&UTM*适用于高端用户9Gbps~25GbpsIP*平台IP

平台:模块化&扩展性高性能&高可靠性适用于中、高端用户1.5Gbps~29GbpsUTM-1平台:UTM*&内置管理适用于中低端用户400M~4.5GbpsUTM-1

平台UTM-1和Power-1是CheckPoint原有防火墙产品线IP防火墙来源于2008年收购整合的NOKIAIP系列防火墙产品线CheckPoint网关产品线概览-管理平台UTM-1IPPower-1IPS-1VSX-1EndpointSecurityAbraSmart-1管理平台型号Smart-15Smart-125Smart-150Smart-1150管理防火墙数量5-25*25-5050-150150-UUTM-1/IP/Power-1系列的产品定位UTM-1IPPower-1市场层面区别目标用户中小企业,高端企业客户分支机构中高端企业高端企业适用价格敏感度高低中用户功能需求功能需求复杂*高性能，高端口密度功能需求相对简单**性能要求高功能需求复杂金融机构大型企业电信运营商教育机构能源行业医疗机构餐饮连锁交通运营寻求市场定位

专业制造分支机构如何客观的评价一款防火墙产品应用安全安全性能安全管理传统功能（防火墙/VPN）传统功能（防火墙/VPN）链路负载均衡。Inbond/outbond链路复杂均衡，支持DNSProxy强大的认证功能。可以实现基于Session的用户认证认证集成功能。和MicrosoftAD集成实现用户认证单点登录深入的协议检测。Eg，防火墙引擎可控制的FTP命令为50+预定义300+协议，对网络应用及协议的全面支持传统功能（1）—状态检测引擎的发明者到目前为止，CheckPoint防火墙引擎依然具有独特的优势传统功能（1）如何在DHCP环境中对用户网络行为进行审计分析？如何在多用户环境中对用户网络行为进行审计分析？通过防火墙日志如何快速定位事件的责任人和主机？实现上述功能，是否需要复杂的配置和额外的主机？IdentityLogging*传统功能（2）传统功能（2）—基于用户的日志审计分析传统功能（3）传统功能（3）—灵活的VPN一键式VPN，智能管理SSLVPNMobileVPN专用VPN客户端免费数字证书VPN接入终端健康检查VPNinPocket双因素认证传统功能（4）—高可用性专有的安全网关集群解决方案不需第三方负载均衡设备自身动态负载均衡

Firewall/VPN/IPSIntranetApplicationServersProxyCachesInternet传统功能（4）应用安全应用安搅全(1)Che太ck居Poi警nt软件刀片屿是什么？软件刀晋片Che蔽ck职Poi菠nt基于防火喝墙应用安酱全的发展西方向提出势的新一代护安全架构鲜；各种安英全功能射软件刀认片实质阶上是防世火墙设绩备上的渡独立的祸软件模糕块；应用安全(2)集中管忘理高性价比Chec粉kPo丝式int为什么要舒研发软件表刀片？企业面临上的安全威挖胁日益复烦杂，传统匪堆叠式解培决方案为珠企业带来平了严重的探经济负担粉，且管理芝负载、技确术支持接剥口繁杂Chec却kPo讨int软件刀霜片架构粱，在保拨证性能袭可用的夸前提实调现了全面防护使用简问单应用安全(3)Chec捉kPo咬int软件刀呢片如何锣保障性厕能Chec浓kPo蓄int栏Core迅XL开放性责能架构保障软山件刀片梳高性能误的核心匪技术基验础充分利格用CPU多核架席构，应尤用级性林能成倍猜提升Chec协kPo愿int是和Int混el合作最悬为紧密稀的安全尽厂商网络安宜全CPU多核技耗术是下忽一代防功火墙的乏发展的旱未来应用安全数据安悟全Core仍XL喉2*4C惠ore攻CPU数据处馅理示例fw5conn必tab踏leQueu暂eFift箭hCo微reSixt朋hCo蚀reDis丘pat蜘che嚼rDisp趣atch概ert耽ablePKTPKTPKTfw6conn追tab灭leQueu泊efw7conn膀tab慎leQue尺ueSeve贺nth泻CoreEig子hth逃Co柱refw1con妨nt句abl撑eQueu邻eFirs竖tCo鸦reSeco究ndC睛orefw2con牵nt悦abl心eQueu咬efw3con谜nt供abl素eQue象ueThir症dCo黑reFou穗rth亲Co抛refw4con母nt鬼abl乖eQueu线ePKTPKTPKTPKTUpto501%Per沙for乱man袍ce颤Inc冈rea鸭se!佣!!应用安乏全—I波PS刀片应用安全-IP慎S刀片(1)Che螺ck登Poi炊nt絮IPS软件刀片绪概述所有Chec共kPo侄int安全网起关*预逢置IPS软件刀片捡，具有相讽同的功能顷和统一的消管理界面眉，只是性烫能不同；应用安狭全-IP先S刀片(2)IPS软件淹刀片的读特点（1）-全面的防孙护能力连续2年，微肠软漏洞馅防护能岩力最佳兵；微软漏明洞几乎狠已成为双企业安拆全威胁占最主要邀的来源强大的像应用控凉制能力阻断MSN爽/QQ姿/迅雷/Sky构pe等WEB防火墙斗模块保护WEB服务器免受攻击保护邮咸件服务汪器FTP服务器DNS服务器IP电话系棵统…..应用安症全-IPS刀片(3)强大的IPS性能，贿最高可棍到15G筑bps的IPS防护能杯力IPS软件刀火片的特点泳（2）-强大的况性能Chec温kPo依int桌面型设发备：UTM-舒113侮0防火墙吞此吐量400摸Mbp孟s，IPS吞吐量300消Mbp腊s应用安喷全未来百是：基却于CPU的多核说架构得益于Che聚ck桨Poi役nt吐Cor菌eXL多核技溜术，充愈分利用绣多核CPU的强劲渣威力2*4核CPU窝=15G广bps的IPS吞吐量2*48核CPU=昏?IPS软件刀雨片的特慢点（3）—统一管例理通过单一阳界面管理Chec筋kPo急int齿IPS、防火振墙、VPN、SSL圆VP锁N…应用安全-IP渔S刀片(4)IPS事件可视顷化实时时饺间线事件分衰类挖掘基于用涂户鉴别客户端即状态查全询地理信息每管理IPS软件刀翠片的特誓点（4）—高性价比IPS软件刀片1年费用$75偿00（包含了俭产品和升死级费用）Che掘ck含Poi疮nt网关标阶准配置耍*，包细含了1年的IPSUTM-唇113齐2，272，572标准价格掉不包含IPS刀片IPS软件刀钥片敬仅仅$7,5榴00**O接pex宣on减ly袋–年费应用安全-IPS刀片(5)IPS软件换刀片的煮特点（5）—IP浇S部署（安祖装）方便部署方茂便在防火墙想上单击鼠梁标即可启燥动IPS软件刀片您不用痛熬夜割虫接系统德啦应用安挑全-IP浪S刀片(6)Chec酷kPo谣int软件刀尽片概览安全网关防刀片安全管婆理刀片重复使崇用您的安全架构通过软件刀片机架构是应鬼用安全的瓶未来软件刀片无额外的硬件无额外的电耗无额外的机架空间无额外的维修安全管捷理管理的问屿题管理架构安全策练略监控状贺态分析故障解决问题数据汇报合规性审寺计流程管舱理超负荷渡运行的气后果！了解安虫全设备温运行状庄态运行状策态模块状态CPU状态内存状态存储状害态并发连批接新建连胳接双机状态……监控网旅络运行刺状态分析网络诊异常流量异常流量扰来源分析异常服务故端口分析网络健康阵状态分析……定位异愚常主机仍的活动集中存储分类查鄙询150踏+字段灵活架构提供事件恐依据用户带宽彼和网络连殖接资源占竭用报告网络服费务带宽馋占用报贷告报表自累动化提高安杠全事件剃的管理引效率报警事件泥收敛分析报警事名件数据甲挖掘合规性缓审计分芽析更新安全葱防护状态一键式主更新覆盖全拖网安全羊设备防火墙袖安全管菊理面临柄的下一品个挑战Che复ck箩Poi什ntSma忆rtW歇ork拍flo仿w流程管理佩刀片如何降低钱人为错误夕引起的防洪火墙宕机如何审计既防火墙管饺理员的行复为如何安艇全管理翁的合规货性，符隆合用户辅安全要赴求如何实府现防火孕墙管理抬流程的工自动化谎和可视置化流程管理-Sma还rtwo议rkf团low单一管爬理控制予台提高安辛全性和能效率，梦同时降低运行俭费用可见的废变更追绪踪降低人为代的策略配余置错误风丙险灵活的授齿权和已有批蹈准的流程胀一致综合的审心计和报表通过策略塌变更的追泳踪加强合她规性自动的傲策略变膛更管理安全管盈理流程亚化安全策略享变更流程照化流程可定初制配置选项叶：基于角上色批准自批准紧急绕筑过策略变更屠可视化高亮显迅示策略声变更对阳比策略变更邮前策略变让更后所见即所岁得审计Who?审计What?When?How?Why?Revi遗ewa澡ndA止ppro讯veC欠hang盼esChan躁ges外High刃ligh耀ted苹inS场mart劫Dash感boar管d审计策略变更和所有合规性调整需要的细节您的选胳择来自Chec劈燕kPo韵int的“刀疮片式”籍软件多点解秋决方案/供应商多个项叨目专用的硬翅件设备专用的管轿理平台一个项峰目多种配置单一管理降低投先资降低TCOChe妄ck票Poi档nt网关安狐全产品鼠线介绍网关设袭备产品类线介绍Pre-definedsystem

5bladesPower-1

平台Power-1

平台:高性能&UTM*适用于高端用户9Gbps~25GbpsIP平台IP

平台:模块化&扩展性高性能&高可靠性适用于中、高端用户1.5Gbps~29GbpsUTM-1平台:UTM*&内置管理适用于中低端用户400M~4.5GbpsUTM-1

平台Che梅ck众Poi鸟nt很IP系列：灵造活的硬件届平台和软革件模块Ful幼la焰ppl私ian巴ce族ran傍ge模块化驰和可扩者展的刀涨片架构fire牲wallblad信eIPSe约cVP毛Nbla逝deIPSbla森deAdv乓anc城ed单Net屠wor犬kin城gblad诊eAcc缓ele巴rat絮ion我/Cl乱ust斜eri缴ngblad断e硬件加速AC/D卵C电源NEBS认证Fib川er剩NIC矩s模块化参网络端顷口websecuritybladevoiceoverIPblade可选lChe将ck妄Poi肆nt愈IP系列安宴全平台贤技术参恋数IPAppliancesIP295IP395IP565IP695IP1285IP245510/100/1000端口6/84/84/124/164/284/3210GbE端口---61010防火墙吞吐量1.5Gbps3.0Gbps6.3Gbps7.2Gbps10.3Gbps10.3Gbps11.7Gbps115.4Gbps129

Gbps1VPN吞吐量1.0Gbps677Mbps1.7Gbps1.4Gbps1.9Gbps1.9Gbps3.3Gbps18.3Gbps18.3Gbps1IPS吞吐量1.4Gbps2.9Gbps2.9Gbps4Gbps7Gbps9Gbps并发连接数

110万

110万

110万

110万

110万

110万

VLANS102410241024102410241024ADP模块---OptionalOptionalOptionalVPN加速OptionalIncludedIncludedIncludedIncludedIncluded硬盘或FlashDiskorFlashDiskorFlashDiskorFlashDiskorFlashDiskorFlashDiskorFlash外观1U/halfrack1U1U1U2U2U1，Perf巨orma事nce滤with屠out挪ADP抚and琴with思ADPChec狸kPo稠int眼UTM-数1完整的中娘小企业解抵决方案适用于缸中小型肆企业介于190M己bps–勾4.5费Gbps的性能综合安自全防御投能力内置安全质管理模块UTM-利127钞2/27桥6UTM门-1馒572刻/57罩6UTM滑-1逃307隶3/3痒076UTM闻-1芦107联3/1屈076UTM-躁120声73/2交076UTM-极113割2/13续6FW舌Bla城deVPN钟Blad摆eIPS醒Bl留adeURL口Fi倦lte法rin栽gB刑lad微eAnti混vir鞠us&滤ant降ima钻lwar含eBl碍adeAnti歌spa号m&沃mess剪agin破gse谎curi寇tyB话ladeUTM-成1Ed辅geUTM留-1设备技术票指标UTM-1132/6UTM-1272/6UTM-1572/6UTM-11073/6UTM-12073/6UTM-13073/6SWeditionR65,R70R65,R70R65,R70R65,R70R65,R70R65,R7010/100Ports1-----10/100/1000Ports4468810FirewallThroughput400Mbps600Mbps1.1Gbps2Gbps3Gbps4.5GbpsVPNThroughput100Mbps100Mbps250Mbps250Mbps280Mbps1.1GbpsIPSThroughput300Mbps380Mbps700Mbps900Mbps1Gbps4GbpsConcurrentSessions300,000600,000800,0001.1Million1.1Million1.1MillionVLANs102410241024102410241024StorageCapacity80Gbps160Gbps160Gbps160Gbps160Gbps160GbpsIntegratedMultigatwayMgmtStandaloneYesYesYesYesYesRecommendedsizingUpto75usersUpto125usersUpto250usersUpto500usersUpto1000usersUpto1500users-I封PS妻Thr考oug门hpu颠tT近est伶ba择sed勿on薄re茄al-塞wor凳ld桃tra抗ffi熔cb答len拨du性sin踢gt屑he示def传aul毛tp俩rof嗓ilePowe德r-1同一硬坡件，软校件Lic录ens威e提升性迁能，节尾省初期晚投资Pow己er-马1设备技术底指标Power-15075Power-19075Power-111000Series110651107511085SoftwareEditionR65,R70R65,R70R70R70R70SoftwareBladesFirewall,IPSecVPN,IPS,AdvancedNetworking,Acceleration,andClustering10/100/1000Ports10/1414/1814/1814/1814/1810GEPorts2*4*4*4*4*FirewallThroughput9Gbps16Gbps*15Gbps20Gbps25GbpsVPNThroughput2.4Gbps3.7Gbps3.7Gbps4.0Gbps4.5GbpsIPSThroughput7.5Gbps10Gbps10Gbps12Gbps15GbpsConcurrentSessions1.2Million1.2Million1.2Million1.2Million1.2MillionVLANs10241024102410241024StorageCapacity160GB2X160GB2X250GB2X250GB2X250GBSecurityAccelerationYesYesYesYesYes*Opt障ion舅al预定义排系统Smar糊t-1平台Sma袋rt-为15Smar示t-1骆150可选刀纺片网络策略症管理刀片端点策略管理刀片日志和状态刀片支配刀片监控刀片网络策吨略管理刀片端点策略敬管理刀片日志和米状态刀片Smar壁t-1平台及软祸件刀片支配刀片Smar婶t-1蹈50Smar裹t-1驻25用户目宇录刀片IPS事件分析刀片管理门户刀片报表刀片事件关联刀片监控刀片用户目录刀片IPS事件分析刀片管理门户刀片Sma掉rt-决1产品技缘瑞术指标Smart-15Smart-125Smart-150Smart-1150管理网关数量5-2525-5050-150150-U分级管理(Provider-1)--1upto3/5/103upto5/10/50每秒接收日志7,50014,00030,00030,000存储能力Upto0.5TBUpto2TBUpto4TBupto12TB冗余功能ManagementHAManagementHA,DualPowerSupply,RAID10ManagementHA,DualPowerSupply,RAID10andSAN(optional)ManagementHA,DualPowerSupply,RAID10andSAN(optional)带外管理-includedincludedincluded谢谢!9、静夜四管无邻，荒矛居旧业贫朱。。4月-2中34月-倘23Tues蔑day,组Apr较il2铜5,2荒02310、雨中零黄叶树墨，灯下新白头人批。。23:4击5:0923:去45:诱0923:鬼454/2彩5/2娱023午11洋:45组:09途PM11、以我独置沈久，愧阶君相见频中。。4月-天2323:4迎5:1023:4开5Apr酒-2325-A拢pr-2卧312、故人迅江海别伤，几度售隔山川龄。。23:荒45:烘1023:4课5:1023:4益5Tue馒sda毙y,点Apr特il挣25,释20洲2313、乍见猴翻疑梦怪，相悲咐各问年抽。。4月-在234月-2店323:悲45:穿1023:拖45:拳10Apr愉il鸦25,寨20磁2314、他乡啄生白发辣，旧国蜜见青山迁。。25四沿月20武2311:4剃5:10快下午23:4派5:104月-2冤315、比不了布得就不比慢，得不到辽的就不要怖。。。四月2百311:扫45础下午4月-胃2323:4肺5Apri部l25膨,20位2316、行动唇出成果规，工作紫出财富垃。。202鹊3/4奴/25膀23煤:45绳:1023:哭45:擦1025览Apr诸il意202博317、做前，吉能够环视留四周；做围时，你只弃能或者最马好沿着以婶脚为起点稀的射线向速前。。11:异45:性10微下午11:4鸟5下午23:4快5:104月-2股39、没有失渡败，只有估暂时停止挥成功！。4月-2众34月-2消3Tues冲day,坛Apr惠il2鹅5,2聋02310、很多殃事情努森力了未俩必有结佩果，但伤是不努岩力却什攀么改变阿也没有斤。。23:4副5:1023:4彻5:1123:僵454/2迅5/2弯023短11奔:45骨:11嫌PM11、成功猎就是日钞复一日混那一点辰点小小绸努力的剥积累。霜。4月-乱2323:4牺5:1123:4业5Apr迁-2325-A敲pr-2葛312、世间售成事，胀不求其仰绝对圆纽奉满，留携一份不街足，可勒得无限木完美。米。23:4踩5:1123:4申5:1123:喜45Tue载sda世y,厨Apr孕il羞25,配20的2313、不知香椅积寺，数剩里入云峰皮。。4月-2托34月-2扫323:4社5:1123:赔45:携11Apri苗l25狗,20街2314、意志坚盆强的人能暴把世界放载在手中像悔泥块一样含任意揉捏胀。25四伍月20剪2311:4缎5:11树