海关远程报关解决方案建议模板

海关远程报关VPN处理方案提议（简明）CheckPoint

目录1序言 32设计目标和设计标准 42.1设计目标 42.2设计标准 53用户需求分析 73.1海关远程报关系统介绍（略） 73.2现在需求分析 73.3采取IPSecVPN好处 74方案设计 104.1网络拓扑 114.2方案说明 114.3安全管理提议 135推荐产品介绍 145.1推荐产品 145.2CheckPointVPN-1Power介绍 145.3CrossbeamX40介绍 235.4CheckPointSmartCenterPower介绍 285.5CheckPointVPN-1SecureClient介绍 366产品目录价 436.1VPN-1网关 436.2中央管理服务器软件 436.3VPN-1用户端软件 436.4标准折扣 44

1序言伴随Internet/Intranet技术飞速发展和广泛应用，网络安全问题愈来愈突出，已成为目前一大热点。黑客技术公开和有组织化，和网络开放性使得网络受到攻击威胁越来越大。而大家对这一问题严重性认识和所含有应付能力还远远不够。通常大家对内部网络安全程度不了解，而实际情况是网络中隐患四处全部是；网络环境在不停改变，加上管理不妥，应用人员水平参差不齐，没有有效方法控制网络安全情况，我们理想中安全和实际安全程度存在巨大安全缝隙。伴随业务拓展，网络不停扩展和日趋复杂，对外服务不停增多，所以保障网络安全运行是很关键。假如网络在安全方面稍微有点漏洞，就有可能被黑客抓住，捣毁数据及网络，这么就会影响网络业务正常运行，直接带来无法估量经济损失。在这种情况下，面对动态、复杂网络环境，市场上出现了众多不一样种类安全产品，能够说良莠不齐，怎样在众多产品中选择一款性价比最高产品是我们首要考虑和处理问题。2设计目标和设计标准2.1设计目标系统设计目标就是要建立一个含有高可靠性、高安全性、可扩展性、优异性和高性能计算机网络应用系统，满足现在和未来业务发展需求。网络可靠性：是指系统冗错性，系统在部分组件出现故障时能启用备用组件，以使系统能继续运行，预防出现中止。网络安全性：包含五个基础要素：机密性、完整性、可用性、可控性和可审查性。机密性：确保信息不暴露给未授权实体或进程。完整性：只有得到许可人才能修改数据，而且能够判别出数据是否已被篡改。可用性：得到授权实体在需要时可访问数据，即攻击者不能占用全部资源而阻碍授权者工作。可控性：能够控制授权范围内信息流向及行为方法。可审查性：对出现网络安全问题提供调查依据和手段。网络可扩展性：是指网络伴随应用增加仍能满足需求。这要求网络在设计时要求充足考虑未来应用发展趋势，确保系统在应用不停增加情况下仍能可用。网络优异性和高性能：是指系统设计是尽可能选择成熟优异技术，以避免刚建好网络因不适用优异网络技术或不适合和以后利用新优异技术建立网络互连而面临尴尬局面。网络优异性和高性能也是确保网络可扩展性一个关键方面。2.2设计标准在进行网络安全设计、计划时，应遵照以下标准：需求、风险、代价平衡分析标准：对任一网络来说，绝对安全难以达成，也不一定必需。对一个网络要进行实际分析，对网络面临威胁及可能负担风险进行定性和定量相结合分析，然后制订规范和方法，确定本系统安全策略。保护成本、被保护信息价值必需平衡。综合性、整体性标准：利用系统工程见解、方法，分析网络安全问题，并制订具体方法。一个很好安全方法往往是多个方法合适综合应用结果。一个计算机网络包含个人、设备、软件、数据等步骤。它们在网络安全中地位和影响作用，只有从系统综合整体角度去看待和分析，才可能取得有效、可行方法。一致性标准：这关键是指网络安全问题应和整个网络工作周期（或生命周期）同时存在，制订安全体系结构必需和网络安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不仅轻易，而且花费也少得多。易操作性标准：安全方法要由人来完成，假如方法过于复杂，对人要求过高，本身就降低了安全性。其次，采取方法不能影响系统正常运行。适应性、灵活性标准：安全方法必需能伴随网络性能及安全需求改变而改变，要轻易适应、轻易修改。多重保护标准：任何安全保护方法全部不是绝对安全，全部可能被攻破。不过建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息安全。体系化设计标准经过分析信息网络层次关系，提出科学安全体系和安全框架，确定需要划分安全子系统；依据安全体系框架分析各个安全子系统存在多种安全风险，从而采取针对性安全方法，处理可能存在安全问题。全局性、均衡性、综合性设计标准在不一样安全子系统中，从全局出发，综合考虑多种安全风险，采取对应安全方法，并依据风险大小，采取不一样强度安全方法，提供含有最优性能价格比安全处理方案。3用户需求分析3.1海关远程报关系统介绍（略）3.2现在需求分析现在企业远程报关采取拨号方法，费用高且缺乏安全保障。故此项目期望采取目前技术最为成熟IPSecVPN处理方案。3.3采取IPSecVPN好处对于企业用户来说，VPN提供了安全、可靠Internet访问通道，为企业深入发展提供了可靠技术保障。而且VPN能提供专用线路类型服务，是方便快捷企业私有网络。因为VPN出现，用户能够从以下几方面获益：1)实现网络通信安全含有高度安全性，对于现在网络是极其关键。远程报关需要绝正确安全，而VPN以多个方法增强了网络智能和安全性。首先，它在隧道起点，在权威认证服务器上，提供对分布用户身份认证。另外，VPN支持安全和加密协议，如IPsec，从而确保数据传输安全。

2)简化网络设计企业用户能够使用VPN替换租用线路来实现分支机构连接。这么能够将对远程链路进行安装、配置和管理任务降低到最小，仅此一点就能够极大地简化企业广域网设计。另外，VPN远程用户经过拨号访问当地ISP和企业总部建立VPN，降低了在企业总部ModemPool配置，简化了所需接口，同时简化了和远程用户认证、授权和记账相关设备和处理。

3)降低成本，投资回报VPN能够立即且显著地降低成本。当使用Internet时，实际上只需付当地电话费，却收到了长途通信效果。所以，借助ISP来建立VPN，就能够节省大量通信费用。另外，VPN还使企业无须投入大量人力和物力去安装和维护昂贵WAN设备和远程访问设备，这些工作全部能够交给ISP。VPN使用户降低以下成本：

●移动用户通信成本。VPN能够经过降低长途费或800费用来节省移动用户花费。

●租用线路成本。VPN能够以每条连接40%到60%成本对租用线路进行控制和管理。对于租用国际线路企业来说，这种节省是更为显著。对于话音数据，节省金额会深入增加。对中国用户来说，VPN最大吸引力在哪里？是价格。据估算，假如企业放弃租用专线而采取VPN，其整个网络成本可节省21%-45%，至于那些以电话拨号方法联网存取数据企业，采取VPN则能够节省通讯成本50%-80%。

●关键设备成本。VPN经过支持拨号访问资源,使企业能够降低不停增加调制解调器费用。另外，用户能够在单一WAN接口中实现多个服务，从分支机构网络互联、商业伙伴外联网终端，当地提供高带宽线路连接到访问服务提供者，所以，只需要极少WAN接口和设备。因为VPN能够实现完全管理，而且能够从中央进行基于策略控制，所以能够大幅度地降低在安装配置远端网络接口所需设备上开销。另外，因为VPN独立于初始协议，这就使得远程接入用户能够继续使用原有设备，保护了用户在现有硬件和软件系统上投资。

4)轻易扩展假如企业想扩大VPN容量和覆盖范围。企业需做事情极少，而且能立即实现。不需要为等候搭建专线花费宝贵时间。在远程办公室增加VPN能力也很简单：经过远程访问方法或经过性能价格比很好VPN专用设备即可和总部实现VPN通信。

5)可随意和合作伙伴实现Extranet在过去，企业假如想和合作伙伴连网，双方信息技术部门就必需协商怎样在双方之间建立租用线路或帧中继线路。有了VPN以后，这种协商变得很简单：在业务上授权对方进行资源共享，经过权威认证机构实现双方严格身份认证即可。真正达成了要连就连，要断就断。

6)完全控制主动权借助VPN，企业能够利用ISP设施和服务，同时又完全掌握着自己网络控制权。比如，企业能够把拨号访问交给ISP去做，由自己负责用户身份查验、访问权限、安全性和网络改变管理等关键工作。

7)支持更多新兴应用很多专用网对很多新兴应用准备不足，如那些要求高带宽多媒体和协作交互式应用。VPN则能够支持多种高级应用，如IP语音，IP传真等。4方案设计依据用户需求，我们设计在报关用户PC上安装VPN用户端，在报关服务器前布署VPN网关，实现远程访问IPSecVPN。4.1网络拓扑4.2方案说明（1）在报关服务器群前布署CheckPointVPN-1Power网关。VPN-1Power网关不仅含有强大IPSecsite-to-siteVPN和client-to-siteVPN能力，而且内置CheckPoint全球市场拥有率第一防火墙功效，同时还含有入侵防范和安全加速技术，能够满足连接和保护双重需求。在IPSecVPN技术中，通常采取预共享密钥和数字证书两种认证方法。预共享密钥使用方便，但安全性较差。故本方案提议采取数字证书。在CheckPoint中央管理服务器中已内置CA，能够发放证书供VPN使用。本方案中因为用户已经有CA系统，故CheckPointVPN网关和用户端均采取已经有CA颁发证书。CheckPointVPN网关能够兼容全球各大主流厂商CA，如Entrust,Verisign,微软，Netscape等等。VPN网关硬件平台采取CheckPoint硬件合作伙伴Crossbeam电信级平台X40。X40拥有单机高可用性特点，在一个机框内，能够实现电源冗余，风扇冗余，控制模块冗余，网络模块冗余和应用模块冗余。单台X40能够支持10万并发VPN隧道，如需支持到30万并发VPN隧道，3台能够基础满足要求。（2）在远程需要报关PC上安装CheckPointVPN-1SecureClientVPN用户端软件，并申请数字证书。在申请报关业务前，首先需要进行VPN连接。VPN用户端和网关首先经过数字证书进行相互认证，如认证成功，则建立VPN隧道；如失败，则无法建立VPN，也就无法进行报关业务。VPN-1SecureClient不仅含有全部IPSecVPN功效，同时还含有中央管理个人防火墙功效。管理员能够在中央管理服务器上为远程用户端配置防火墙策略，远程用户端建立VPN连接到网关后，能够自动将属于她安全策略下载到当地，从而对用户端本身进行防护。用户端安全性，也能够深入确保其所连接报关服务器安全。VPN-1SecureClient还能够支持在VPN隧道建立后，路由全部流量到VPN网关，从而使VPN用户端在建立VPN后，仅能和报关服务器通信，深入避免外部攻击。（3）在总部布署中央管理服务器，对VPN网关和VPN用户端进行集中统一管理。4.3安全管理提议安全管理也是很关键步骤，包含了对安全设备管理，对网络管理和对人员管理等。其中，对安全设备管理更是重中之重，我们认为应从以下两方面入手。（1）安全管理中心应该建立统一安全管理中心，全方面负责信息网络系统安全管理工作，其关键职责以下：监控信息系统运行情况安全技术支持各项安全管理制度落实多种安全事件、紧急事件响应联络、沟通安全厂商等（2）安全管理制度必需建立完善安全管理制度，具体包含以下几方面：信息系统运行管理制度信息系统使用管理制度数据管理制度人员管理制度物理安全管理制度安全培训制度。安全是一个动态过程，绝正确安全是不存在，任何安全体系全部应含有更新、完善和扩展能力。安全体系应含有对任何突发、破坏性事件实时反应能力。任何完善安全体系全部是全方面努力结果，是技术、管理、服务共同努力结果，忽略任何一方全部将带来不可预料结果。5推荐产品介绍5.1推荐产品VPN网关产品：CheckPointVPN-1PowerCrossbeamX40（硬件平台）中央管理服务器：CheckPointSmartCenterPowerVPN远程用户端产品：CheckPointVPN-1SecureClient5.2CheckPointVPN-1Power介绍VPN-1Power为最苛刻环境提供全方面安全保护您碰到挑战互联网能够抵达世界每个角落，所以，它提供了一个灵活、成本效益高基础架构来扩展企业网络以覆盖全部雇员和关键商业合作伙伴。不过，互联网也将不停改变威胁隐藏到了企业资源中。黑客不停玩出新花样来攻击企业应用程序。和此同时，应用程序需求正变得越来越复杂，而且对性能要求也越来越高。为了充足利用互联网优势，企业必需处理关键业务应用程序在可用性、性能和可扩展性方面所面临挑战，和此同时，企业还必需确保商业通信和企业内部资源安全。我们处理方案CheckPoint企业VPN-1®PowerTM为今天苛刻环境提供了综合、愈加快安全保护。该处理方案利用紧密集成防火墙、VPN和入侵防范技术为企业应用程序和网络资源提供综合安全保护和远程连接支持。它加紧了业内最智能化安全检测技术，StatefulInspection（状态监测）和ApplicationIntelligenceTM（应用智能）运行速度。它还提供主动攻击防范方法来帮助抵御网络层和应用层多种攻击，从而确保网络高性能。VPN-1Power处理方案适适用于业内最广泛开放平台和安全专用设备——能够满足任何规模企业性价比需求。全方面网络和应用程序安全保护VPN-1Power集成了访问控制、认证和加密功效以确保网络连接安全、当地和远程用户真实性和数据通讯隐私和完整性。除此以外，它还和入侵防范功效紧密集成，提供高级应用程序保护功效。VPN-1Power还包含了一个可选Web应用程序防火墙，为Web环境提供无和伦比安全保护。FireWall-1集成为了实现有效企业边界、内部和Web安全保护和高效管理，VPN必需包含集成防火墙功效。VPN-1Power包含了市场上领先FireWall-1®软件，并经过CheckPoint企业取得专利状态监测技术来确保全部流行互联网服务安全。VPN-1Power内置功效支持150多个预定义应用程序、服务和协议，包含即时消息、多媒体服务、OracleSQL、P2P应用程序、RealAudio和Web应用程序。VPN-1Power是针对扩展企业、经过最充足证实安全和连接处理方案。确保应用程序安全VPN-1集成了由一系列高级功效组成应用智能，能够检测和阻止应用层攻击。它将VPN-1发展成为一个高级安全网关处理方案，集成了网络层和应用层进行综合攻击防范功效，从而改变了网络安全现实状况。企业将从这些高级入侵防范功效中受益，而且不用再担心管理其它设备繁琐。为Web应用程序提供安全保护WebIntelligenceTM（Web智能）是一个可选Web应用程序防火墙，它被紧密集成VPN-1中，能够提供高级Web应用程序安全保护。Web智能保护Web应用程序免受常见黑客技术攻击，如命令行植入(commandinjection)、跨站点脚本（cross-sitescripting）、目录遍历（directorytraversal）、LDAP植入和SQL植入攻击等。Web智能还包含预防缓冲溢出攻击正在申请专利技术，MaliciousCodeProtectorTM（恶意代码保护器）。恶意代码保护器采取独特检测机制来分析恶意代码行为，无需署名支持即可捕捉攻击并拦截已知和未知多种攻击。为VoIP提供安全保护VPN-1Power为VoIP应用程序提供综合安全保护，包含对H.323、MGCP、SCCP（Skinny）和SIP协议有状态检测。除此以外，VPN-1还能够处理复杂VoIP布署，比如将网守（gatekeeper）隐藏到网络地址转换（NAT）设备以后。除此以外，ClusterXL®、FloodGate-1®和SecureXLTM还能够帮助企业创建高性能、容错和划分优先级语音网络。带安全保护连接VPN-1Power包含针对远程接入、内网和外网VPN最综合产品和技术集。CheckPoint企业提供广泛VPN产品，企业能够在这些产品中进行选择来设计最符合它们要求配置。One-ClickVPN经过One-ClickVPN，企业经过一个单一操作就能够创建大型VPN。经过定义VPN团体(community)，企业能够为整个VPN设置安全参数，比如只需一步即可实现内网、外网或远程接入布署。安全管理员只需要定义一个团体内全部VPN-1端点，VPN就能够在全部网关中或网关和远程用户间自动开启。当新站点被添加到团体后，它们就自动继承对应属性并能立即和该VPN团体其它站点建立安全IPSec会话。优异站点到站点VPN功效不管环境有多么复杂，VPN-1Power全部能够将企业资源扩展到远程站点。VPN-1支持VPN域——经过一组静态IP地址定义VPN范围传统方法。除此以外，VPN-1支持基于路由VPN，其中，VPN拓扑代表是网络路由决议。这种灵活性为企业提供了强大机制来提供复杂和动态网络中连接。基于路由VPN使管理员能够利用VPN通道将动态路由协议从企业总部扩展到远程地点，从而改善大型网络网络和VPN管理效率。基于路由VPN还支持定向VPN，使管理员在没有静态IP地址情况下，经过VPN通道实施安全策略。对于常常改变网络而言，基于路由VPN正是一个理想处理方案。企业能够常常更改网络拓扑，如添加内部网络，而无需反复配置静态VPN域。灵活认证由CheckPoint企业提供安全保护VPN处理方案提供了多个认证方法，包含RADIUS、TACACS/TACACS＋和令牌卡。除此以外，OpenPKI还确保由CheckPoint企业提供安全保护VPN处理方案和市面上销售领先PKI处理方案（如巴尔摩技术、Entrust和Verisign等企业技术方案）兼容，从而支持企业管理很大规模IPSecVPN布署。VPN-1Power含有独特混合模式认证功效，许可企业在利用现有认证架构（如SecureID令牌）同时布署IPSecVPN。期望实施可直接调用强大认证企业能够采取CheckPoint企业One-ClickCertificates处理方案。经过VPN-1Power中包含InternalCertificateAuthority（内部证书授权）处理方案，X.509数字证书能够颁发给VPN-1网关和VPN-1SecureClientTM用户。在不需要复杂和昂贵PKI系统情况下，One-ClickCertificates处理方案就能提供符合行业标准双重认证。支持多个远程访问技术每个企业对远程访问全部有自己独特需求，这依靠于用户类型、要访问应用程序组合、端点安全等级和需要管理控制。VPN-1Power含有灵活性，能够支持多个用户端选项。SecuRemoteTM提供基础连接，方便了偶然需要远程访问IP应用程序用户。SecureClient经过增加集中管理个人防火墙，提供了更高等级安全保护。CheckPoint企业IntegrityTMSecureClient经过使用集成VPN用户端和充足管理端点安全来提供全方面远程访问保护。SSLNetworkExtenderTM是一个基于Web浏览器控件，它支持从任何互联网设备对基于IP应用程序完全访问，从而为用户带来方便。VPN-1Power还支持微软L2TP和Symbian企业VPN用户端。智能管理VPN-1Power中包含SmartCenterTM是建立在现在业界最一致、最强大管理架构，安全管理架构（SMART）基础上。SmartCenter支持企业集中定义边界、内部和Web安全策略；对安全事件进行关联并划分优先级；实施高级监视和报表功效——这一切全部经过一个控制台来实现。这种统一架构使在全部网关分配安全策略升级变得很简单，从而确保策略实施保持一致并提升运行效率。SmartCenter提供功效强大安全保护和VPN策略管理，降低了管理成本和复杂性。高性能和可用性当防火墙和VPN布署变得越来越大而且对业务也越来越关键时，其性能就成了关键关注点。VPN-1Power能够提供愈加快安全保护，在开放服务器上，其速度可超出5Gpbs，从而在不破坏安全情况下确保信息可用性。VPN-1Power还采取了优异流技术，该技术许可在关键层处理数据包，大大加强了应用层检测，它通常是计算密集型任务。将SecureXL框架和流技术和CheckPoint企业对开放式系统承诺相结合，能够以最低成本提供行业领先性能。集成VPN服务质量(QoS)假如VPN布署性能很关键，但互联网连接可能会产生拥堵，这么VPN布署就需要服务质量。FloodGate-1确保了关键业务VPN-1通信流量最好性能，使用户能够将关键业务通信从私有广域网迁移到互联网。高可用性和负载均衡ClusterXL将全部类型通信流量分配到一个VPN-1Power网关集群中。假如某个网关无法被访问了，全部连接能够被无缝重定向到其它集群组员网关。当更多集群组员被加入后，集群网关能够取得近线性性能。不间断转发经过结合动态路由协议，如BGP或OSPF，ClusterXL为业界提供了唯一一个能够“平稳重启”高可用性实施点。所以，VPN-1Power显著提升了关键业务应用程序可用性，消除了无须要“波纹效应”——当VPN-1Power网关变得不可用，路由表中就会发生改变，从而产生波纹效应而且可能造成通信转发中止长达几十分钟，。VPN负载分配VPN负载分配是针对远程访问VPN连接一个高可用性和负载均衡处理方案。输入VPN连接是跨多个VPN-1网关进行分布，这些网关能够在地理位置上完全分开。假如网关无法访问，VPN用户端将会经过另一个网关组员自动获取连接。多个接入点假如存在多个数据中心，远程用户能够经过多个接入点功效来确保对数据中心连续访问。假如VPN-1主网关变得不可用，在其它地点VPN-1网关就会自动建立到该企业VPN连接。5.3CrossbeamX40介绍CrossbeamX40产品介绍X40是Crossbeam为实现完整网络、邮件和Web安全性而开发安全交换机。X40含有CrossbeamX系列产品全部特征和优点，包含集成负载平衡和流排序功效（使用Crossbeam正在申请专利X-Stream™技术）；来自CheckPoint等企业多个最优异安全引擎。该产品在一个14插槽机柜中提供，适合大中型企业和服务供给商。X40最多能够提供16个千兆以太网端口或32个快速以太网端口及8Gbps全双工防火墙吞吐量。该平台设计用于提供高可用性和卓越性能，同时运行多个优异安全引擎来支持防火墙、加速虚拟专用网（VPN）、入侵检测和防护、防病毒和职员互联网内容管理（URL过滤）。X40为企业提供了一个更安全、更简单处理方案来保护网络安全性－从而实现独立产品所不可能实现运行和投资利用高效率。

加固最好周围安全防护方法现在，仅靠周围防火墙来保护企业信息安全资产已远远不够。相反，企业需要一个更优异分层安全保护方法。不过，构建分层安全基础设施传统方法需要多个不一样设备，所以成本很高而且很烦琐，因为每种设备全部需要自己维护（补丁、升级）、管理基础设施和连接。试想一下，经过独立安全技术配置正确数据流需要掌握路由、端口镜像方面丰富知识。扩展性能意味着需要添加额外负载平衡器，而这会深入增加复杂性。总而言之，每一个单元全部会增加复杂性并留下看不见安全漏洞。经过在一个易于实施多技术安全处理方案中集成深层防护技术，X40能够从根本上改善安全保护经济性并提升强度。全部安全技术全部经过一个优异机柜式系统和安全操作系统结合在一起。这种操作系统消除了对外部交换机、负载平衡器、端口镜像需要。经过多个安全技术配置流路径工作能够从一个能为用户带来全方面灵活性图形用户界面（GUI）上轻松完成。这种合并是现在业界最简单、安全而又经济安全防护模式。CrossbeamX40安全业务交换机是：一个高性能多重安全处理方案－一个灵活平台最多能够支持8Gbps全方面状态式防火墙处理吞吐量。该平台能够经过X-Stream安全流处理技术支持很复杂高性能安全配置。一个多重安全引擎平台，能够提供很高安全处理性能，包含防火墙、VPN、入侵检测、防病毒扫描、URL过滤、内容过滤和反垃圾邮件。Crossbeam企业X系列产品组员之一。该系列是现在市场上唯一完整高可用性（HA）安全处理方案系列－能够提供全方面冗余（无单点故障）、多级故障容错（即无中止运行）和全方面热交换、便于维护功效。X40由以下优异组件组成：机柜、背板、电源和风扇安装有6个风扇风扇托架CrossbeamX40CrossbeamX40• NPM支持高速流分类并集成了•一台X40中最多能够配置2个NPM。它们既能够相互独立，也能够成对配置以实现主动/主动或主动/备用冗余。提供有2个版本NPMNPM8210有16个快速以太网（10/100Mbps）接口应用处理模块（APM）APM使用最优异安全引擎来处理来自您能够创建多个APM组，从而创建一个完全包含在单一X40中深层防护安全模式。APM选项512MB内存。用户也能够订购额外内存（最高可达4GB）和处理器（最多2个）。控制处理模块（CPM）X系列操作系统（XOS）XOS是一个安全操作系统，结合了嵌入式实时操作系统强大功效、高速度和Linux操作系统应用灵活性及安全性。NPM运行来自VxWorks™一个实时操作系统。这是大多数高端联网产品首选操作系统。APM和CPM运行一个经过强化Linux关键和专门优化用于X40操作系统。这种操作系统叫作CrossbeamLinux，能够兼容为Linux编写大多数安全应用。5.4CheckPointSmartCenterPower介绍SmartCenterPower统一安全管理最明智选择您碰到挑战过去，在您边界上安装防火墙而且为您台式机安装防病毒软件被认为是最优异安全防范方法。但现在，情况已经发生改变。伴随互联网蠕虫出现和复杂攻击手段不停增多，现在网络安全情况远比过去复杂得多。这么新环境，和新安全要求和为远程用户和商业合作伙伴提供远程访问需要，全部要求一个更全方面根本安全实施。多层次保护将从带防火墙外网开始并逐步深入到网络内部，从而保护敏感部门、服务器、应用程序，甚至用户个人电脑和笔记本。但不幸是，这么多层安全防范又造成了管理上复杂。对于资源有限IT部门而言，在多个站点和多个平台上确保其安全防范方法能保持更新就成了一项艰巨任务。假如没有有效管理，即便是最复杂安全布署，其所能提供安全保障也只将受限于本身最弱步骤。安全管了处理方案必需让企业能跟踪自己安全布署效率，为安全法律调查提供具体信息，支持在整个企业实施一致安全策略和主动式升级。我们处理方案CheckPoint企业SmartCenterTM是基于现在业界最一致、最强大管理架构，安全管理架构（SMART）基础之上。它支持企业集中定义边界、内部和Web安全策略；关联和优化安全事件；实施高级监视和汇报功效——这一切全部经过一个控制台来实现。在全部网关分配安全策略升级变得很简单，从而确保一致策略实施并提升运行效率。这么，企业能保护对业务关键资产并实现它们在安全方面投资最大化。综合安全管理CheckPoint企业经过SmartCenter和Smartcenterpower提供多种层次管理功效，从而提供综合、可节省成本处理方案，以支持经过单个管理控制台来实现最高级控制和安全。SmartCenter是CheckPoint企业旗舰级企业管了处理方案。它含有以下组件：SmartDashboard是一个能支持管理员集中定义安全和VPN策略界面。SmartViewTracker能够对全部日志统计连接和管理员活动提供实时可视化跟踪。除了提供SmartCenter全部功效，SmartcenterpowerTM还能够为最复杂环境提供以下增加管理功效：SmartPortal为SmartCenter增添了基于浏览器访问功效。SmartMapTM支持对安全策略可视化管理。SmartViewMonitorTM支持对网络、VPN和用户进行实时监视。SmartUpdateTM集中对软件和证书分配和存放。SmartLSMTM支持大规模管理。SmartDirectory提供对基于LDAP目录集成。ManagementHighAvailability（管理高可用性）为全部管理操作提供容错功效。除此以外，EventiaReporterTM能提供综合、易于了解图形化汇报，而EventiaAnalyzer能提供对来自CheckPoint网关和多个安全和网络设备日志数据实时事件关联。EventiaReporter和EventiaAnalyzer是SmartCenter附加软件。基于策略VPN/防火墙管理作为SmartCenter一部分，SmartDashboard即使复杂，但在使用上仍然很方便。管理员能够集中定义一个安全策略各个方面：VPN、网络地址转换(NAT)、服务质量（QoS）、Web访问和台式机和终端安全。被定义为安全策略一部分“对象”，比如网络、主机、用户、服务、资源和活动，全部能够被图形化展示并能在SmartDashboard中直接进行处理。比如，对象能够被包含到SmartGroup中，或网络对象能够被轻松克隆以简化对策略定义。因为SMART架构组件紧密集成，相同对象能够在实施点和应用程序间被共享，节省管理时间并确保整个网络策略配置一致性。除了集成仪表盘工具，SmartCenter处理方案还提供了很多个策略管理工具来改善策略创建。预定义全局策略支持利用多种服务来在实施点之间实现适宜连接。SmartCenter能够管理策略多个版本，许可管理员采取策略老版本。经过SmartDashboard实现策略集中管理和可视化。综合边界、内部和Web安全SmartCenter为CheckPointVPN-1®边界安全网关、InterSpectTM内部安全网关和ConnectraTMWeb安全网关提供集中管理。经过SmartDashboard，管理员能够对InterSpect和Connectra网关采取和VPN-1网关相同管理方法来定义和实施策略、跟踪日志，监视VPN和防火墙活动和集中分布安全和软件升级。经过SmartDashboard和SmartDefense服务，管理员只需一个简单操作就能够同时为多个设备进行实时安全升级布署，从而降低管理负担并避免犯错。经过这些唾手可得功效，管理员能够更清楚、直观了解整个网络安全情况。集成端到端安全保护IntegritySecureClientTM提供全方面访问保护（TotalAccessProtection），它能够经过个人防火墙确保连接到企业网络全部台式机和笔记本电脑安全。个人防火墙策略能够依据从用户端系统发送或接收网络传输源、目标和类型在SmartDashboard中进行定义。用户或用户群能够自己定制规则，支持企业对远程用户系统进行充足控制。简单VPN布署SmartDashboard支持管理员经过一个简单操作来定义VPN团体，并为整个VPN拓扑（包含内网、外网和远程访问布署）设定安全参数。安全管理员只需要将全部VPN-1网关组成一个团体，VPN就能在全部网关间或远程用户和网关间自动开启。当新站点或用户被加入团体时，它们能自动继承对应属性并能立即和其它VPN团体组员建立安全会话。安全管理员能够不用再做像设计和定义加密规则之类反复性工作。SmartCenter支持多种网络拓扑结构，包含全网状拓扑、星型拓扑、集中星型拓扑和混合拓扑。VPN对象和团体能被轻松集成到安全规则库中。实时排错SmartViewTracker能够对全部有日志统计连接和管理员活动提供实时可视化跟踪。管理员能够过滤或搜寻感爱好事件，假如出现攻击事件或发觉可疑活动，她们能够立即严禁或终止和某个IP地址连接。这些特点大大降低了排除配置错误所需要时间。SMARTCENTERPOWER——为复杂环境提供高级安全管理SmartCenter为企业提供了能集中定义和监视其安全策略功效。Smartcenterpower和诸如EventiaReporter和EventiaAnalyzer等管理附加模块使企业能愈加好地了解和控制其安全环境，并为企业提供了很多高级集成功效。经过Web访问SmartCenter经过SmartPortal，安全小组能够让外部团体，如技术支持或审核员访问基于浏览器SmartCenter，但同时又继续保持对策略实施集中控制。SmartPortal用户能够查看安全策略和CheckPoint产品状态，和管理员审核跟踪（audittrail）。高级用户能够取得管理员管理权限。这个扩展功效促进了在降低攻击或排除网络错误和安全问题时团体合作。SmartPortal许可安全管理员依据自己判定将对安全策略访问扩展到其它小组，从而在企业内部提升了对安全可视化。安全可视化大多数企业全部有着复杂拓扑结构，包含网关、主机、服务器和由很多台不一样机器组成网络，同时还实施着很多不一样规则和规则库。SmartMap对安全策略进行图形化显示，从而使对该策略了解和排错更轻松。它还支持安全管理员在布署前校验其安全策略一致性。Web管理门户能够让企业多个用户查看安全信息显示。实时监视SmartViewMonitor对安全、网络、VPN通道和用户活动进行实时监视。这个处理方案为管理员提供统计数据图形化显示，比如带宽、数据往返时间和丢包值和VPN通道状态。在SmartViewMonitor所提供信息帮助下，管理员能够将它们网络性能实现最大化并控制住成本。软件和许可证自动分配SmartUpdate向CheckPoint和OPSEC认证过产品自动分配软件应用程序和升级而且管理产品许可证。它采取集中方法来确保整个网络安全总是保持最新更新。除此以外，它降低了其分支机构对IT职员需要。大规模VPN和安全管理SmartLSM为大规模VPN/安全安装引入了一个新管理范例。利用SmartLSM，管理员能够要求一个单一安全策略——称为配置文档（Profile），并将其应用到成百上千网关中。除此之外，策略安装和升级自动化过程能够支持快速布署，并使管理需求最小化。这降低了为成百上千个网关布署和管理安全所需要成本和时间。基于LDAP用户管理简化了安全管理过程，尤其是大规模布署时安全管理。它支持CheckPoint实施点从OPSEC认证过LDAP目录服务器为网络用户获取身份和安全信息。管理基础架构冗余ManagementHighAvailability（管理高可用性）为CheckPoint实施点提供不间断连接。多台管理服务器能够互联，并自动同时用户和管理员数据。这能够消除布署专门、冗余硬件和软件需要。5.5CheckPointVPN-1SecureClient介绍VPN-1SecureClient安全远程访问您面临挑战当雇员越来越多地以移动方法参与工作，而企业也连续不停地采取远程访问VPN时，安全和网络管理员将面临严重安全挑战。这些挑战包含需为访问企业资源设置合适等级、保护远程桌面和其它用户端系统不受威胁、和为多种远程访问端点安全和策略升级进行有效管理。我们处理方案CheckPointVPN网关将VPN扩展到远程用户，使她们能安全地相互交流，安全地访问企业网络。全部数据从远程个人电脑或移动设备中传出时，均经VPN-1®SecuRemote®进行过加密，所以连接十分安全。VPN用户端透明地对关键数据进行了加密和认证，确保其不被窃听或恶意篡改。VPN-1SecureClientTM是一个增强型应用。它不仅含有VPN-1SecuRemote功效，还为用户端安全和软件管理提供了部分附加特征。VPN-1SecureClient许可安全管理员为远程用户设置桌面安全策略，从而将安全延伸到桌面。这一功效很关键，它使非法访问者无法经过先获取远程用户电脑访问权方法入侵企业网络。产品描述VPN-1®SecureClientTM将VPN扩展到远程用户，使她们能安全地访问网络和相互交流，也使管理员能设置桌面策略，提供更多安全方法。VPN-1SECUREMOTE和VPN-1SECURECLIENTCheckPointVPN-1SecuRemote和VPN-1SecureClient含有以下特征，这些特征将有利于您管理资源，并保持远程系统完整性。灵活连接选项VPN-1SecuRemote和VPN-1SecureClient支持拨号、电缆/调制解调器或数字用户线路（DSL）等连接技术动态和固定IP寻址。对于需经过网络服务提供商（ISP）、无线访问点或酒店因特网接入访问企业网络远程上班族和移动工作者，这种灵活性使VPN用户端成为理想处理方案。易于布署VPN-1SecureClient和VPN-1SecuRemote和CheckPointVPN-1网关方案紧密集成，这使将安全远程访问融合进总体安全策略变得轻而易举。为便于布署远程访问VPN，CheckPointVPN-1提供了一个One-Click特征。经过将全部参与其中VPN-1SecureClient和VPN-1SecuRemote用户置入一个“VPN团体”，企业即可为整组远程用户定义安全参数，这么即可轻松地产生远程访问VPN。当新组员加入团体时，她们将自动继承适适用于她们属性，并可立即和企业网络建立安全远程访问连接。灵活身份认证除IPSec标准本身支持预共享密钥和X.509数字证书外，CheckPointVPN-1用户端支持多个认证机制，如SecurID令牌、用户名和口令、RADIUS、TACACS和生物特征认证等其它第三方认证方法。这种灵活性使企业有可能合理利用现有认证技术和构架进行选择和配置。如企业需要强认证，又不期望负担PKI设置费等高昂费用，能够选择CheckPointInternalCertificateAuthority(ICA)认证机制。该机制和VPN-1网关紧密集成，可向用户端用户和网关发送X.509数字证书，使其能够安全地相互沟通。高可用性CheckPointVPN负载分担（LoadDistribution）特征是VPN远程访问连接高可用性负载均衡处理方案。内连VPN连接可经过一个VPN-1网关簇进行分配。假如一个网关发生了故障，新VPN连接将自动连接到集群中其它组员。VPN-1SECURECLIENT高级特征VPN-1SecureClient为支