石化科學(xué)研究院安全方案

《石化科學(xué)研究院安全方案》由會(huì)員分享，可在線閱讀，更多相關(guān)《石化科學(xué)研究院安全方案（25頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 石化科學(xué)研究院安全方案（簡(jiǎn)要） 現(xiàn)狀 1 安全風(fēng)險(xiǎn) 2 解決方案 4 相關(guān)產(chǎn)品 5 價(jià)格 22 標(biāo)準(zhǔn)折扣 25 現(xiàn)狀 1． Internet出口使用單臺(tái)運(yùn)行于AIX操作系統(tǒng)的Check Point Firewall-1 4.1，硬件為 RS6000 2． DMZ區(qū)部署IDS系統(tǒng) 3． 主要服務(wù)器上安裝授權(quán)和審計(jì)軟件 安全風(fēng)險(xiǎn) 1． 邊界防火墻： ? 單機(jī)防火墻容易造成單點(diǎn)故障。一旦防火墻硬件或軟件進(jìn)程出現(xiàn)問(wèn)題，與外界聯(lián)絡(luò)會(huì)立即中斷，影響業(yè)務(wù)正常運(yùn)轉(zhuǎn)。 ? Firewall-1 4.1是一個(gè)在市場(chǎng)上非常成功的產(chǎn)品，但從它推出以來(lái)

2、，安全技術(shù)已經(jīng)有了很大發(fā)展，現(xiàn)在Check Point的防火墻版本已經(jīng)發(fā)展到NG AI，技術(shù)更加完善，同時(shí)功能也更強(qiáng)。老版本無(wú)法抵御黑客最新的攻擊行為。例如，現(xiàn)在黑客逐漸將攻擊目標(biāo)轉(zhuǎn)向應(yīng)用，通過(guò)企業(yè)的開(kāi)放端口80或443，繞過(guò)防火墻的檢查，直接到達(dá)目標(biāo)服務(wù)器，盜取信息、安裝木馬或以其為跳板攻擊企業(yè)內(nèi)部其他服務(wù)器。另一個(gè)例子，現(xiàn)在企業(yè)員工非常喜歡使用P2P應(yīng)用，比如QQ或MSN與外部人員聊天，共享文件。一方面這樣做會(huì)消耗企業(yè)有限的帶寬，比如多個(gè)人同時(shí)下載視頻文件，會(huì)占用大量帶寬，使企業(yè)正常業(yè)務(wù)受到影響。另一方面，由于P2P應(yīng)用可以藏在HTTP流量之中，所以可以旁路防火墻安全檢查（一般會(huì)允許Htt

3、p通過(guò)），給黑客以可乘之機(jī)。應(yīng)用層攻擊的例子還有很多，這里不一一列舉。所有這些有害行為，Check Point NG AI 均可以進(jìn)行防護(hù)，因?yàn)樗梢詸z測(cè)和防范來(lái)自于應(yīng)用層的攻擊。NG AI是一個(gè)多層安全網(wǎng)關(guān)，可以保護(hù)從網(wǎng)絡(luò)層到應(yīng)用層的安全。 2． 員工出差在外，通過(guò)互聯(lián)網(wǎng)要收發(fā)電子郵件或訪問(wèn)內(nèi)部資源，均通過(guò)明文進(jìn)行，面臨信息泄露和會(huì)話劫持的風(fēng)險(xiǎn)。 3． IDS系統(tǒng)是一個(gè)被動(dòng)系統(tǒng)，檢測(cè)到攻擊后不能直接采取行動(dòng)，錯(cuò)失時(shí)機(jī)；根據(jù)攻擊特征作出判斷，沒(méi)有特征就無(wú)法防范，因此滯后于攻擊，對(duì)新攻擊用戶總會(huì)遭到損失；誤報(bào)率高，影響企業(yè)業(yè)務(wù)正常運(yùn)轉(zhuǎn)。 4． 內(nèi)網(wǎng)重要服務(wù)器除了授權(quán)審計(jì)和防毒外，沒(méi)有安全防

4、護(hù)，容易遭受來(lái)自于企業(yè)內(nèi)部的攻擊。防毒軟件可以保護(hù)主機(jī)安全，無(wú)法防御網(wǎng)絡(luò)攻擊。如Slammer蠕蟲，僅存在于內(nèi)存中，不寫硬盤，防毒軟件無(wú)法處理。 5． 內(nèi)網(wǎng)中其他部門，沒(méi)有任何安全措施，無(wú)法避免非授權(quán)訪問(wèn)和來(lái)自于內(nèi)部的攻擊。如果一名員工出差在外使用筆記本電腦訪問(wèn)互聯(lián)網(wǎng)，可能受到攻擊，被種上木馬或感染蠕蟲。一旦他回到企業(yè)內(nèi)部，連上內(nèi)部網(wǎng)絡(luò)，潛伏于他機(jī)器上的安全問(wèn)題會(huì)成為企業(yè)的安全隱患。例如蠕蟲爆發(fā)，瞬間會(huì)擴(kuò)散到整個(gè)企業(yè)，所有機(jī)器均會(huì)受到影響。 解決方案 1． 邊界：部署Check Point最新版本防火墻R55，雙機(jī)實(shí)現(xiàn)高可用性和負(fù)載均衡，避免單點(diǎn)故障。利用Check Point最

5、新提供的應(yīng)用智能技術(shù)，實(shí)現(xiàn)最高級(jí)別的安全防護(hù)。R55內(nèi)置入侵防范功能，由于基于主動(dòng)防御技術(shù)，可以在一定范圍內(nèi)防御未知攻擊，可以為用戶提供更好的保護(hù)。 2． 移動(dòng)用戶：在其筆記本電腦或PDA上部署VPN-1 SecureClient，一方面讓其利用VPN以加密的方式通過(guò)互聯(lián)網(wǎng)，安全的訪問(wèn)內(nèi)部資源；另一方面，SecureClient具有中央管理的個(gè)人防火墻功能，可以保護(hù)端點(diǎn)免受非授權(quán)訪問(wèn)，同時(shí)管理員可以控制端點(diǎn)的訪問(wèn)行為；此外SecureClient還可以為端點(diǎn)分配內(nèi)網(wǎng)IP地址，從而加強(qiáng)內(nèi)網(wǎng)資源的安全性，比如規(guī)定內(nèi)網(wǎng)資源只接受來(lái)自于內(nèi)部IP地址的訪問(wèn)。 3． 服務(wù)器群：在服務(wù)器群前面部署Int

6、erSpect內(nèi)部安全網(wǎng)關(guān)，防范蠕蟲傳播，避免來(lái)自于內(nèi)部的攻擊。 4． 部門：（分為幾種情況） ? 部門1：只有一臺(tái)服務(wù)器需要保護(hù)，要求本部門員工才可以訪問(wèn)，同時(shí)避免線路竊聽(tīng)。最簡(jiǎn)單的方式，無(wú)需改變網(wǎng)絡(luò)結(jié)構(gòu)，可以在此臺(tái)服務(wù)器上直接安裝VPN-1 SecureServer。它是一個(gè)單機(jī)版防火墻 ，同時(shí)提供VPN功能。本部門其他機(jī)器安裝VPN-1 SecureClient，以加密的方式與服務(wù)器進(jìn)行通信。同時(shí)在防火墻上設(shè)置策略，控制其他部門訪問(wèn)。 ? 部門2：無(wú)需嚴(yán)格訪問(wèn)控制，但需要避免蠕蟲感染和內(nèi)部攻擊?？梢詫nterSpect透明部署在部門交換機(jī)和核心交換機(jī)之間，起到防御作用。 ? 部

7、門3：需要嚴(yán)格訪問(wèn)控制，指定人員才可以訪問(wèn)相關(guān)資源?？梢愿鶕?jù)需要在部門網(wǎng)絡(luò)之前部署單機(jī)或雙機(jī)防火墻VPN-1 Pro。 5．管理：可以通過(guò)業(yè)內(nèi)最好的Check Point Smart管理構(gòu)架進(jìn)行集中管理。 相關(guān)產(chǎn)品 1． VPN-1 Pro 您面臨的挑戰(zhàn)： Internet 可以到達(dá)全球任何一個(gè)角落，因此它為企業(yè)網(wǎng)絡(luò)延伸到所有職員和主要業(yè)務(wù)合作伙伴提供了一種靈活的、高成本效益的基礎(chǔ)架構(gòu)。但是，一個(gè)企業(yè)要想充分利用 Internet，它必須能夠確保業(yè)務(wù)通信的安全性和對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)資源的保護(hù)。除了安全性，公司還要面對(duì)可用性、性能和可伸縮性的挑戰(zhàn)。為使關(guān)鍵任務(wù)應(yīng)用能夠利用虛擬專用網(wǎng)絡(luò)（

8、VPN）技術(shù)，VPN 必須提供可靠的性能和無(wú)縫的容錯(cuò)性。總之，一個(gè) VPN 的所有組件必須能夠在整個(gè)企業(yè)安全基礎(chǔ)架構(gòu)內(nèi)部簡(jiǎn)單地集成和管理。 我們的解決方案： Check Point 的 VPN-1 Pro? 是一個(gè)緊密集成的軟件解決方案，它將市場(chǎng)領(lǐng)先的 FireWall-1 安全性套件與最先進(jìn)的 VPN 技術(shù)結(jié)合起來(lái)。作為 Check Point 的安全虛擬網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)，VPN-1 Pro 可為企業(yè)網(wǎng)絡(luò)、遠(yuǎn)程和移動(dòng)用戶、分支機(jī)構(gòu)以及業(yè)務(wù)合作伙伴提供安全的連接，充分滿足 Internet、內(nèi)部網(wǎng)、外部網(wǎng) VPN 的嚴(yán)格要求。VPN-1 Pro 解決方案可以在業(yè)界最廣泛的開(kāi)放式平臺(tái)和安全

9、設(shè)備上獲得——滿足各種規(guī)模企業(yè)的價(jià)格性能比需求。 產(chǎn)品特性： ● 提供與 FireWall-1 的完全集成 ● 通過(guò) IPSec、L2TP、SSL 和強(qiáng)大身份認(rèn)證來(lái)保護(hù)通信 ● 支持集中的、集成的和基于策略的安全管理 ● 支持范圍廣泛的開(kāi)放式服務(wù)器和設(shè)備平臺(tái) ● 通過(guò) SecureXL 提供市場(chǎng)領(lǐng)先的性能 產(chǎn)品優(yōu)點(diǎn)： ● 確保企業(yè)資源和 Internet 通信的最大安全性 ● 提供范圍廣泛的安全遠(yuǎn)程訪問(wèn)部署選項(xiàng)和用戶認(rèn)證 ● 簡(jiǎn)化安全管理 ● 以更卓越的價(jià)格性能比提供平臺(tái)適應(yīng)性 ● 支持高度可伸縮的 VPN 和多千兆的安全性能 VPN-1 解決方案為擴(kuò)展的企業(yè)提供

10、端到端的安全性。 CHECKPOINT 的全面 SecureVPN 解決方案 VPN-1 Pro 是 Check Point SecureVPN 解決方案的基礎(chǔ)，這是一個(gè)用于遠(yuǎn)程訪問(wèn)、內(nèi)部網(wǎng)和外部網(wǎng) VPN 的最全面的產(chǎn)品與技術(shù)集合。Check Point 提供了范圍廣泛的 VPN 產(chǎn)品，各種組織機(jī)構(gòu)可以從中選擇以設(shè)計(jì)出滿足自己需求的最佳配置。 安全性 Check Point VPN-1 Pro 集成了訪問(wèn)控制、認(rèn)證和加密以確保網(wǎng)絡(luò)連接的安全性、本地和遠(yuǎn)程用戶的可靠性以及數(shù)據(jù)通信的私有性和完整性。 FireWall-1 集成以獲得最大保護(hù) 為了提供有效的企業(yè)安全性和高效的管理，V

11、PN 必須包含集成的防火墻功能。為此目的，VPN-1 Pro 包含了市場(chǎng)領(lǐng)先的 FireWall-1，利用 Check Point 的 Stateful Inspection 專利技術(shù)來(lái)保證所有通用 Internet 服務(wù)的安全。VPN-1 Pro 支持超過(guò) 150 個(gè)預(yù)定義應(yīng)用、服務(wù)和現(xiàn)成的協(xié)議，包括 Web 應(yīng)用，即時(shí)消息發(fā)送、對(duì)等網(wǎng)絡(luò)應(yīng)用、VoIP、Oracle SQL、RealAudio 以及多媒體服務(wù)（如 H.323）。 靈活的認(rèn)證 Check Point SecureVPN 解決方案提供了多種認(rèn)證選項(xiàng)，包括令牌卡、RADIUS 和 TACACS/TACACS。此外，VPN-

12、1 的 OpenPKI 確保了 SecureVPN 解決方案與 Entrust、Verisign 和 Baltimore Technologies 等廠商提供的主流 PKI 解決方案兼容，這些解決方案使企業(yè)能夠管理極大規(guī)模的 IPSec VPN 部署。Check Point 特有的混合模式認(rèn)證允許企業(yè)在部署 IPSec VPN 時(shí)可以利用現(xiàn)有的認(rèn)證方案，如 Secure ID 令牌。 希望實(shí)施“系統(tǒng)外”強(qiáng)大身份認(rèn)證的企業(yè)可以使用 Check Point One-Click 證書。利用 VPN-1 Pro 中包含的內(nèi)置認(rèn)證授權(quán)，可以將 X.509 數(shù)字證書發(fā)布到 VPN-1 網(wǎng)關(guān)和 VPN

13、-1 SecureClient? 用戶。One-Click 證書提供了行業(yè)標(biāo)準(zhǔn)的兩因素認(rèn)證，避免了 PKI 的復(fù)雜性和昂貴成本。 強(qiáng)大的加密 除了確保網(wǎng)絡(luò)訪問(wèn)的安全之外，VPN 解決方案還必須保護(hù)被傳輸數(shù)據(jù)的私密性。通過(guò)遵循 IPSec 標(biāo)準(zhǔn)，VPN-1 Pro 可以自動(dòng)協(xié)商通信各方之間可用的最強(qiáng)的加密和數(shù)據(jù)驗(yàn)證算法。這包括用于數(shù)據(jù)加密的高級(jí)加密標(biāo)準(zhǔn)（AES）和 Triple DES 算法。 SMART 管理 VPN-1 實(shí)現(xiàn)被集成到整體企業(yè)安全策略中，以獲得最大的安全性。Check Point 的安全管理架構(gòu)（SMART）提供了一個(gè)企業(yè)范圍的單一安全策略，可以對(duì)它進(jìn)行集中管理并自動(dòng)部

14、署到無(wú)限數(shù)量的 VPN-1 Pro 網(wǎng)關(guān)。 SMART 用戶界面 Check Point 的 SmartDashboard? 是一個(gè)先進(jìn)但又簡(jiǎn)單的用戶界面，用于定義和管理完整安全策略的多個(gè)元素：防火墻、VPN、網(wǎng)絡(luò)地址轉(zhuǎn)換、桌面安全和 QoS 策略。 SmartDashboard 幫助用戶輕松訪問(wèn)所有需要的信息，從而簡(jiǎn)化了 VPN 和安全管理。 One-Click VPNs 利用 One-Click VPNs，可以用單個(gè)操作創(chuàng)建大規(guī)模的 VPN。通過(guò)定義 VPN 分組，企業(yè)可以用一個(gè)步驟為整個(gè) VPN（如內(nèi)部網(wǎng)、外部網(wǎng)或遠(yuǎn)程訪問(wèn)部署）設(shè)置安全參數(shù)。通過(guò)簡(jiǎn)單地定義一個(gè)分組內(nèi)的所有

15、 VPN-1 端點(diǎn)，可以在所有網(wǎng)關(guān)之間或者在網(wǎng)關(guān)和遠(yuǎn)程用戶之間自動(dòng)建立 VPN。當(dāng)新站點(diǎn)添加到分組時(shí)，它們會(huì)自動(dòng)繼承適當(dāng)?shù)膶傩裕⑶铱梢耘c VPN 分組中的其他站點(diǎn)立即建立安全的 IPSec 會(huì)話。 簡(jiǎn)單外部網(wǎng) VPN 部署和管理 外部 VPN 幫助公司連接業(yè)務(wù)合作伙伴，包括供應(yīng)商和客戶。Check Point 的 One-Click Extranets 提供了一個(gè)簡(jiǎn)單的結(jié)構(gòu)和過(guò)程來(lái)定義和管理外部網(wǎng) VPN。One-Click Extranets 幫助合作伙伴輕松建立可信的交換網(wǎng)絡(luò)對(duì)象，并通過(guò)一個(gè)稱為外部網(wǎng)管理界面（EMI）的直觀用戶界面來(lái)構(gòu)建安全規(guī)則。 線速 VPN 隨著 V

16、PN 部署規(guī)模變得越來(lái)越大而且關(guān)鍵任務(wù)越來(lái)越多，性能成為一個(gè)關(guān)鍵的考慮因素。SecureXL 是一個(gè)接口、軟件模塊和行業(yè)標(biāo)準(zhǔn)的框架，它幫助 Check Point 合作伙伴和客戶構(gòu)建高成本效益的 VPN-1 解決方案，以滿足最嚴(yán)格的性能要求。SecureXL 框架結(jié)合 Check Point 對(duì)開(kāi)放系統(tǒng)的執(zhí)著追求，以盡可能低的成本提供了行業(yè)領(lǐng)先的性能。 SecureXL API 提供多千兆性能解決方案 Check Point 的開(kāi)放式性能架構(gòu)的關(guān)鍵是 SecureXL API——一個(gè)減少第三方硬件或優(yōu)化軟件的密集安全操作的開(kāi)放式接口?？梢詮亩喾N構(gòu)成因素中獲得支持 SecureXL 的解

17、決方案，包括軟件模塊、PCI 插槽卡、IPSec 網(wǎng)絡(luò)接口卡（NIC）以及支持 SecureXL 的帶網(wǎng)絡(luò)處理器的硬盒子產(chǎn)品。利用 SecureXL API 的設(shè)備不是將客戶局限于一個(gè)專有的加速器，而是通過(guò)提供多千兆性能級(jí)別、多種構(gòu)成因素和一系列價(jià)格點(diǎn)來(lái)滿足客戶需求。 集成的 VPN 服務(wù)質(zhì)量（QoS） 對(duì)于性能非常重要以及可能發(fā)生 Internet 鏈路擁擠的 VPN 部署來(lái)說(shuō)，QoS 是必須的。FloodGate-1 確保了關(guān)鍵任務(wù) VPN-1 信息流的最佳性能，使客戶可以將關(guān)鍵業(yè)務(wù)信息流從專用廣域網(wǎng)移植到 Internet 上。 不間斷的 VPN VPN-1 解決方案包括

18、強(qiáng)大的功能，能夠使 VPN-1 網(wǎng)關(guān)協(xié)同工作，不論這些網(wǎng)關(guān)是在同一個(gè)位置還是在不同位置。Check Point VPN-1 解決方案包括兩種技術(shù)（ClusterXL? 和 VPN 負(fù)載分配），它們帶來(lái)了無(wú)以倫比的性能和容錯(cuò)性。 ClusterXL 是為通過(guò) VPN 網(wǎng)關(guān)的所有信息流提供的一個(gè)高可用性和負(fù)載均分解決方案。各種類型的信息流通過(guò)一個(gè) VPN-1 網(wǎng)關(guān)集群分發(fā)，隨著集群成員的增加而使性能幾乎成線性地增長(zhǎng)。如果一個(gè)網(wǎng)關(guān)變?yōu)椴豢稍L問(wèn)，則所有連接均被無(wú)縫地重定向到其他的集群成員。 VPN 負(fù)載分配是為遠(yuǎn)程訪問(wèn) VPN 連接提供的一個(gè)高可用性和負(fù)載均分解決方案。入站的 VPN 連接通過(guò)

19、 VPN-1 網(wǎng)關(guān)的集群分配。如果網(wǎng)關(guān)出現(xiàn)故障，則新的 VPN 連接將自動(dòng)連接到其他的集群成員。 VPN Manager 是 SmartDashboard 的一部分，它使企業(yè)能夠用單個(gè)步驟定義并部署內(nèi)部網(wǎng)和外部網(wǎng)，以及遠(yuǎn)程訪問(wèn) VPN。 對(duì)多遠(yuǎn)程訪問(wèn)技術(shù)的支持 Check Point SecureVPN 技術(shù)使企業(yè)除了使用 VPN-1 SecureClient 和 SecuRemote? 之外，還可以使用 L2TP 和基于 SSL 的或無(wú)客戶端的 VPN 來(lái)為遠(yuǎn)程用戶提供訪問(wèn)。合作伙伴可以使用標(biāo)準(zhǔn)的 Web 瀏覽器或者 Microsoft Windows L2TP VPN 客戶端連

20、接到 VPN-1 Pro 網(wǎng)關(guān)。這使得各種規(guī)模的企業(yè)擁有了范圍更廣泛的安全遠(yuǎn)程訪問(wèn)選項(xiàng)。 保護(hù)無(wú)線局域網(wǎng) 與傳統(tǒng)的“有線”網(wǎng)絡(luò)相比，無(wú)線局域網(wǎng)為企業(yè)提供了一種可以減少部署成本的靈活的技術(shù)。Check Point 的 SecureVPN 解決方案能夠幫助企業(yè)安全地向他們的網(wǎng)絡(luò)框架添加無(wú)線局域網(wǎng)。Check Point 的 VPN-1 Pro 和 VPN-1 SecureClient 解決方案提供了集成的防火墻和 VPN，它們通過(guò)企業(yè)級(jí)別的訪問(wèn)控制、認(rèn)證和加密保護(hù)所有層次（從客戶端計(jì)算機(jī)到無(wú)線局域網(wǎng)到企業(yè)網(wǎng)絡(luò)）上的信息。 2． VPN-1 SecureClient 您面臨的挑戰(zhàn)： 遠(yuǎn)程訪

21、問(wèn) VPN 技術(shù)的廣泛采用和部署很大程度上是由于它們具有巨大的成本優(yōu)勢(shì)。但是當(dāng)企業(yè)部署了遠(yuǎn)程訪問(wèn) VPN 后，網(wǎng)絡(luò)安全管理員就面臨著連接、保護(hù)和管理日益增加的大量客戶端系統(tǒng)的眾多挑戰(zhàn)。首先，遠(yuǎn)程訪問(wèn) VPN 客戶端需要在任何網(wǎng)絡(luò)上（包括撥號(hào)網(wǎng)絡(luò)、寬帶和無(wú)線網(wǎng)絡(luò)）提供連通性，而且不能增加額外的管理開(kāi)銷。其次，當(dāng)遠(yuǎn)程用戶嘗試通過(guò)無(wú)防護(hù)的 Internet 連接到企業(yè)網(wǎng)絡(luò)時(shí)，客戶端必須能夠保護(hù)遠(yuǎn)程用戶機(jī)器免受攻擊。最后，為了真正實(shí)現(xiàn)節(jié)約成本的承諾，VPN 客戶端軟件必須為部署和維護(hù)提供簡(jiǎn)單、透明的管理過(guò)程。 我們的解決方案： VPN-1 SecuRemote? 為遠(yuǎn)程和本地用戶提供了靈活的 VP

22、N 支持。利用 VPN-1 SecuRemote，遠(yuǎn)程用戶可以獲得對(duì)關(guān)鍵企業(yè)資源的安全訪問(wèn)。VPN 客戶端可以透明地加密和驗(yàn)證關(guān)鍵數(shù)據(jù)，使它們免遭竊聽(tīng)和惡意的數(shù)據(jù)篡改。 VPN-1 SecureClient? 為基本的 VPN-1 SecuRemote 功能增加了強(qiáng)大的客戶端安全和管理特性。VPN-1 SecureClient 包括一個(gè)集中式管理的個(gè)人防火墻，以防止對(duì)客戶端系統(tǒng)的未授權(quán)訪問(wèn)，這樣能確保入侵者無(wú)法侵入現(xiàn)有的 VPN 連接，從而加強(qiáng)整個(gè)企業(yè)的安全性。 產(chǎn)品特性： ● 安全地將移動(dòng)用戶連接到 VPN-1 Pro 網(wǎng)關(guān) ● 支持行業(yè)標(biāo)準(zhǔn) VPN 協(xié)議 ● 提供了集中式管理

23、的個(gè)人防火墻 ● 軟件分發(fā)和維護(hù)自動(dòng)化 產(chǎn)品優(yōu)點(diǎn)： ● 允許本地和遠(yuǎn)程用戶安全地訪問(wèn)企業(yè)網(wǎng)絡(luò)中的資源 ● 允許組織實(shí)施最滿足它們需求的認(rèn)證解決方案 ● 保護(hù)客戶端系統(tǒng)免受攻擊 ● 將桌面幫助支持成本降至最低 VPN-1 SecuRemote 和 VPN-1 SecureClient 實(shí)現(xiàn)了最高水平的遠(yuǎn)程訪問(wèn) VPN。 VPN-1 SECURECLIENT 和 VPN-1 SECUREMOTE 集中式控制的企業(yè)安全集成 VPN-1 SecureClient 和 VPN-1 SecuRemote 可以無(wú)縫地與 Check Point 市場(chǎng)領(lǐng)先的 VPN-1 解決方案共同工

24、作?？梢暂p松地將安全遠(yuǎn)程訪問(wèn)合并為整體安全策略的一部分。而且因?yàn)?VPN-1 客戶端直接與 VPN-1 Pro? 建立 VPN 隧道，所以企業(yè)安全策略中的所有元素（包括訪問(wèn)控制、用戶驗(yàn)證和記錄等）均會(huì)嚴(yán)格執(zhí)行。 易于部署的 One-Click VPN Check Point 的 One-Click 技術(shù)將 VPN 的設(shè)置和管理簡(jiǎn)化為一個(gè)步驟，使部署遠(yuǎn)程訪問(wèn) VPN 變得簡(jiǎn)單。只需要一個(gè)簡(jiǎn)單的操作就可以創(chuàng)建遠(yuǎn)程訪問(wèn) VPN：將所有加入的 VPN-1 SecureClient 和 VPN-1 SecuRemote 用戶放置在一個(gè)“VPN 社區(qū)”。VPN 社區(qū)使組織能夠?yàn)檎麄€(gè)遠(yuǎn)程訪問(wèn)用戶組定義安

25、全參數(shù)。當(dāng)新的成員添加到社區(qū)時(shí)，他們自動(dòng)繼承適當(dāng)?shù)膶傩?，并且能夠立刻建立到企業(yè) VPN 網(wǎng)關(guān)的遠(yuǎn)程訪問(wèn)連接。 多種模式部署可獲得更大靈活性 VPN-1 客戶端為所有 Internet 服務(wù)提供商（ISP）服務(wù)（撥號(hào)、線纜調(diào)制解調(diào)器或數(shù)字用戶線路（DSL））提供動(dòng)態(tài)和固定 IP 尋址，使它們成為遠(yuǎn)程電信用戶和移動(dòng)通信工作人員的理想解決方案。此外，兩種客戶端均可與 ISP 撥號(hào)器捆綁，這樣，遠(yuǎn)程用戶就無(wú)需分別安裝兩套軟件并進(jìn)行兩次驗(yàn)證。VPN-1 SecureClient 和 VPN-1 SecuRemote 保留關(guān)于所有 VPN 站點(diǎn)的詳細(xì)信息，從而實(shí)現(xiàn)無(wú)縫的用戶體驗(yàn)。所有的 VPN 功能（

26、包括密鑰協(xié)商和數(shù)據(jù)加密）對(duì)用戶來(lái)說(shuō)都是完全透明的。VPN-1 SecureClient 和 VPN-1 SecuRemote 都提供使用模式選項(xiàng)： 透明模式 每次用戶嘗試連接企業(yè)網(wǎng)絡(luò)時(shí)，VPN-1 SecureClient 和 VPN-1 SecuRemote 都捕獲該請(qǐng)求并自動(dòng)要求用戶進(jìn)行正確的驗(yàn)證。一旦通過(guò)驗(yàn)證，VPN 連接即建立并且所有企業(yè)通信將受到保護(hù)。 連接模式 通過(guò)連接模式，用戶可以手工建立和斷開(kāi) VPN 會(huì)話。這一特性是為那些熟悉通過(guò)“撥號(hào)”模式連接 Internet 的用戶而設(shè)計(jì)的。為了增加靈活性，VPN-1 SecureClient 的 OfficeMode 特性使用

27、戶能夠從 VPN-1 網(wǎng)關(guān)接收 IP 地址，以及 DNS 和 WINS 信息，使他們進(jìn)行遠(yuǎn)程連接時(shí)就象“在辦公室里”一樣。 VPN-1 SecureClient 保護(hù)終端用戶系統(tǒng)免遭攻擊和濫用。 通用連接 即使防火墻或 NAT 設(shè)備駐留在 VPN 用戶和企業(yè) VPN 網(wǎng)關(guān)之間，VPN-1 SecureClient 和 VPN-1 SecuRemote 也能幫助用戶從任何地方連接到企業(yè)網(wǎng)絡(luò)。 適合客戶需求的靈活驗(yàn)證 除了 IPSec 標(biāo)準(zhǔn)本身支持的預(yù)共享機(jī)密級(jí)和 X.509 數(shù)字證書之外，Check Point 獨(dú)特的混合模式認(rèn)證使得企業(yè)可以實(shí)施其它的用戶認(rèn)證技術(shù)。這些技術(shù)包括

28、SecurID 令牌、基于 RADIUS 的解決方案以及更多。希望實(shí)施“現(xiàn)成的”強(qiáng)大身份認(rèn)證的企業(yè)可以使用 Check Point One-Click 證書。利用 VPN-1 解決方案包含的內(nèi)部證書權(quán)限，X.509 數(shù)字證書可以簽發(fā)到 VPN-1 SecureClient 用戶和 VPN-1 網(wǎng)關(guān)。One-Click 證書為用戶提供了行業(yè)標(biāo)準(zhǔn)的二因素認(rèn)證，而不需要復(fù)雜和昂貴的 PKI 系統(tǒng)。 遠(yuǎn)程訪問(wèn)的高可用性 Check Point 的 VPN Load Distribution 特性是一個(gè)用于遠(yuǎn)程訪問(wèn) VPN 連接的高可用性和負(fù)載均分解決方案。入站的 VPN 連接可以通過(guò) VPN-1

29、網(wǎng)關(guān)的集群分配。如果一個(gè)網(wǎng)關(guān)出現(xiàn)故障，則新的 VPN 連接將自動(dòng)連接到其他的集群成員。 VPN-1 SECURECLIENT 高級(jí)特性 VPN-1 SecureClient 是一個(gè)增強(qiáng)的應(yīng)用程序，它提供 VPN-1 SecuRemote 的所有功能，并添加了用于客戶端安全性和軟件管理的額外特性。 個(gè)人防火墻功能 VPN-1 SecureClient 為遠(yuǎn)程訪問(wèn)用戶提供了完善的安全性。利用與市場(chǎng)領(lǐng)先的 FireWall-1 相同的 Stateful Inspection 專利技術(shù)，VPN-1 SecureClient 防火墻策略提供了基于來(lái)源、目的地以及客戶端系統(tǒng)收發(fā)的網(wǎng)絡(luò)信息流類型的訪

30、問(wèn)控制。它可以為用戶或用戶組定義安全規(guī)則，使具有不同類型遠(yuǎn)程訪問(wèn) VPN 用戶（例如，銷售人員和 IT 工作人員）的企業(yè)，可以根據(jù)用戶的不同需要來(lái)定制客戶端安全策略。這些策略不僅可以保護(hù)客戶端機(jī)器上的數(shù)據(jù)免遭未授權(quán)的訪問(wèn)，而且可以消除這些用戶易受共享網(wǎng)絡(luò)上同類用戶攻擊的弱點(diǎn)。未授權(quán)的訪問(wèn)企圖既可以在本地記錄，也可以作為告警發(fā)送到管理站。 安全配置校驗(yàn) VPN-1 SecureClient 加強(qiáng)了企業(yè)的安全性，因?yàn)樗_保了客戶端系統(tǒng)不能繞開(kāi)企業(yè)安全策略進(jìn)行配置。利用安全配置校驗(yàn)（SCV），管理員可以指定 SCV 校驗(yàn)——定義安全地配置客戶端系統(tǒng)的一組條件，例如個(gè)人防火墻策略的正確操作。這些安

31、全性校驗(yàn)會(huì)定期執(zhí)行，確保只有安全配置的系統(tǒng)可以連接到企業(yè) VPN。除了已經(jīng)預(yù)定義的校驗(yàn)之外，安全管理員還可以定義定制的校驗(yàn)。例如，可以編寫一個(gè) SCV 校驗(yàn)來(lái)確保 VPN-1 SecureClient 用戶運(yùn)行的是殺毒軟件的最新版本。 VPN-1 SecureClient 執(zhí)行集中式管理個(gè)人防火墻策略。 校驗(yàn) 描述 　Process Monitor 　檢查進(jìn)程是否正在運(yùn)行 　Group Monitor 　檢查用戶是否屬于一個(gè)特定的組（域或本地機(jī)器） 　OS Monitor 　檢驗(yàn)操作系統(tǒng)版本，補(bǔ)丁包和屏幕保護(hù)配置 　HotFix Monitor

32、 　檢查操作系統(tǒng)的安全補(bǔ)丁是否已經(jīng)安裝 　Browser Monitor 　檢驗(yàn) Web 瀏覽器版本 　Version Checker 　檢驗(yàn) VPN-1 SecureClient 版本 預(yù)定義 SCV 校驗(yàn)。 簡(jiǎn)化的軟件分發(fā)和管理 VPN-1 SecureClient 包含了一些特性來(lái)簡(jiǎn)化客戶端軟件的初始分發(fā)和以后的維護(hù)。這些特性顯著降低了與 VPN 有關(guān)的終端用戶支持成本，并通過(guò)確?？蛻舳塑浖陌惭b總是一致的和最新的來(lái)提高整體安全性。利用 VPN-1 SecureClient 打包工具，安全管理員可以為他們的 VPN-1 SecureClient 用戶創(chuàng)建定制的、

33、自解壓的安裝軟件包。 所有的 VPN-1 SecureClient 選項(xiàng)都可以預(yù)先配置，無(wú)需終端用戶配置任何設(shè)置。一旦用戶（利用 Web 下載、電子郵件或者物理介質(zhì)分發(fā)）獲得了軟件包，他或她只需簡(jiǎn)單地運(yùn)行可執(zhí)行文件并重啟機(jī)器即可。在初始安裝完成之后，VPN-1 SecureClient 自動(dòng)從駐留在 VPN-1 Pro 網(wǎng)關(guān)上的 VPN-1 SecureClient Policy Server 下載并更新安全策略。客戶端機(jī)器上的策略更新是透明的。包括安全策略在內(nèi)的所有組件都會(huì)進(jìn)行定期檢查，如果不是最新版本，則進(jìn)行自動(dòng)更新。 VPN-1 SecureClient 保證只有具有安全系統(tǒng)

34、的用戶才能進(jìn)行連接。 移動(dòng)設(shè)備的安全性 為了獲取方便的企業(yè)訪問(wèn)而部署移動(dòng)設(shè)備的公司，需要可靠的安全性來(lái)保護(hù)駐留在這些設(shè)備上的企業(yè)數(shù)據(jù)，并防止它們變成侵入更大的企業(yè)網(wǎng)絡(luò)的后門?！癝ecured by Check Point” 的移動(dòng)設(shè)備經(jīng)過(guò)認(rèn)證，可以與 VPN-1 SecureClient 和 VPN-1 SecuRemote 結(jié)合，以提供集中式管理的集成 VPN 和個(gè)人防火墻功能。 診斷工具 為了幫助管理員對(duì)客戶端連接和安全問(wèn)題進(jìn)行故障診斷，VPN-1 SecureClient 包含了客戶端日志瀏覽器、桌面策略瀏覽器和連接狀態(tài)瀏覽器。這些工具能夠提供關(guān)于遠(yuǎn)程訪問(wèn)客戶端系統(tǒng)和連接的當(dāng)前

35、狀態(tài)，以及任何未授權(quán)訪問(wèn)嘗試的重要信息。 3． InterSpect Check Point公司的InterSpect是一個(gè)內(nèi)部安全網(wǎng)關(guān)，它能夠阻止蠕蟲病毒的傳播，也能阻止來(lái)自內(nèi)網(wǎng)中的攻擊，并且能夠提供網(wǎng)絡(luò)分段技術(shù)?；贑heck Point公司安全技術(shù)，如INSPECT、狀態(tài)監(jiān)測(cè)（Stateful Inspection）和應(yīng)用智能（Application IntelligenceTM）, InterSpect是專為內(nèi)部網(wǎng)絡(luò)安全而生產(chǎn)的設(shè)備。選擇InterSpect，組織機(jī)構(gòu)能夠使用全面內(nèi)部安全解決方案來(lái)保護(hù)自己的內(nèi)部網(wǎng)絡(luò)。 InterSpect設(shè)計(jì)靈活，應(yīng)用到當(dāng)前的網(wǎng)絡(luò)環(huán)境中不需要改變

36、現(xiàn)有的網(wǎng)絡(luò)部署，并有適合內(nèi)部安全的管理界面。 特　　　性 智能蠕蟲防御器 智能蠕蟲防御器通過(guò)應(yīng)用Check Point公司的狀態(tài)監(jiān)測(cè)（Stateful Inspection）和應(yīng)用智能（Application Intelligence）技術(shù)提供強(qiáng)有力的內(nèi)網(wǎng)蠕蟲防御。InterSpect安裝在受保護(hù)的網(wǎng)絡(luò)之間，通過(guò)檢測(cè)網(wǎng)絡(luò)通道防止蠕蟲病毒在相互連接的網(wǎng)絡(luò)設(shè)備間傳播，并且能阻塞危險(xiǎn)的網(wǎng)絡(luò)流量。 網(wǎng)絡(luò)區(qū)域分段 InterSpect將網(wǎng)絡(luò)分為若干個(gè)管理員定義的安全區(qū)域，以防止區(qū)域間未授權(quán)的訪問(wèn)。這樣可以防止內(nèi)網(wǎng)中的用戶或受感染的計(jì)算機(jī)訪問(wèn)沒(méi)有授權(quán)的信息和系統(tǒng)。網(wǎng)絡(luò)區(qū)域分段也防止子

37、網(wǎng)內(nèi)的病毒攻擊。 隔離 InterSpect能夠識(shí)別疑似或受感染的計(jì)算機(jī)，并把這些計(jì)算機(jī)隔離開(kāi)來(lái)以防止網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)受到感染。 在安全補(bǔ)丁發(fā)布期間，InterSpect允許對(duì)計(jì)算機(jī)進(jìn)行隔離。這樣網(wǎng)絡(luò)管理員在確認(rèn)、安裝、測(cè)試安全補(bǔ)丁時(shí)能夠減少網(wǎng)絡(luò)受感染的危險(xiǎn)。 當(dāng)終端計(jì)算機(jī)因?yàn)槭艿礁腥径桓綦x時(shí)，該用戶可以通過(guò)定制的動(dòng)態(tài)網(wǎng)頁(yè)獲知自己的計(jì)算機(jī)被感染了，這樣用戶知道為什么他們不能訪問(wèn)自己的資源了。這樣的提示避免了用戶花大量的時(shí)間來(lái)查找不能訪問(wèn)的原因，也使得網(wǎng)絡(luò)管理員盡早地意識(shí)到發(fā)生的問(wèn)題，減少用戶宕機(jī)的時(shí)間。 局域網(wǎng)協(xié)議保護(hù) InterSpect為多種類型的協(xié)議提供全面的保護(hù)

38、，如微軟的MS RPC、CIFS、MS　SQL和DCOM，其他一些局域網(wǎng)協(xié)議如Sun RPC、DCE RPC和HTTP。InterSpect使用INSPECT技術(shù)為安全領(lǐng)域提供了最適用的安全檢測(cè)性能。隨著INSPECT的不斷升級(jí)換代，InterSpect的用戶使得自己的內(nèi)部網(wǎng)絡(luò)架構(gòu)在攻擊和威脅常見(jiàn)的今天依然保持安全。 預(yù)先攻擊保護(hù) 對(duì)于可預(yù)見(jiàn)或不可預(yù)見(jiàn)的攻擊，InterSpect提供了預(yù)先和動(dòng)態(tài)的保護(hù)，在攻擊被確認(rèn)以前保護(hù)好組織內(nèi)部網(wǎng)絡(luò)安全。InterSpect包括專為內(nèi)部網(wǎng)絡(luò)安全而定制的一個(gè)智能防御版本。通過(guò)使用狀態(tài)檢測(cè)（Stateful Inspect）和應(yīng)用智能（Applicat

39、ion Intelligence）技術(shù)該版本的智能防御允許管理員配置、管理和升級(jí)所有網(wǎng)絡(luò)和應(yīng)用程序的防御系統(tǒng)。 傳統(tǒng)防火墻的應(yīng)用層保護(hù) InterSpect為傳統(tǒng)防火墻提供了附加的安全保護(hù)。為了與傳統(tǒng)的邊界防火墻無(wú)縫連接，InterSpect在不改變當(dāng)前網(wǎng)絡(luò)架構(gòu)的情況下增加了應(yīng)用智能（Application Intelligence）。為了保證與非標(biāo)準(zhǔn)應(yīng)用程序的連接，可以定義例外列表（Exception List）來(lái)覆蓋智能防御保護(hù)（SmartDefense protections） 適合內(nèi)部安全的管理 通過(guò)專為內(nèi)網(wǎng)安全設(shè)計(jì)的管理界面使得管理InterSpect變得非常的簡(jiǎn)單。

40、這種管理界面為配置和規(guī)則管理提供了強(qiáng)有力的功能和使用方便性。 通常網(wǎng)絡(luò)層的（network-level）防火墻配置安全規(guī)則標(biāo)準(zhǔn)是拒絕所有流量除非單獨(dú)標(biāo)明哪些允許通過(guò)。這對(duì)內(nèi)部的部署來(lái)說(shuō)是相當(dāng)復(fù)雜的。但對(duì)于InterSpect來(lái)說(shuō)，安全分段就像把InterSpect部署到網(wǎng)絡(luò)并定義網(wǎng)絡(luò)安全區(qū)域一樣簡(jiǎn)單。InterSpect馬上開(kāi)始檢測(cè)網(wǎng)絡(luò)通道并截獲一些惡意的網(wǎng)絡(luò)信息。網(wǎng)絡(luò)管理員可以用易于使用的分段管理界面來(lái)阻隔一些特殊的通訊方式和配置內(nèi)部安全區(qū)域。 性能 InterSpect是一個(gè)能滿足內(nèi)網(wǎng)安全性能要求的設(shè)備裝置。InterSpect基于安全平臺(tái)（SecurePlatform）、Che

41、ck Point公司的固化安全操作系統(tǒng)。為了確保更高性能，InterSpect還包括了Check Point公司獲得專利的 SecureXL安全加速技術(shù)。 部署模式 為支持各種部署，InterSpect 可以按三種在線操作模式(網(wǎng)橋、交換機(jī)和路由器模式)工作。監(jiān)聽(tīng)功能適用于所有的模式。 描述 主要的部署場(chǎng)合 網(wǎng)橋模式 InterSpect 將一個(gè)或多個(gè)網(wǎng)段橋接到主干網(wǎng)，并且對(duì)IP 網(wǎng)絡(luò)而言是透明的 透明部署、蠕蟲病毒防護(hù)及隔離功能 交換機(jī)模式 InterSpect 起到多端口網(wǎng)橋的作用，所有端口均被橋接， 形成一個(gè)區(qū)域 不需要完全劃分網(wǎng)段時(shí)透明部署蠕

42、蟲病毒的防護(hù)及隔離 功能 路由器模式 InterSpect 起到路由器的作用，每個(gè)活動(dòng)端口均配置不 同的IP 地址 針對(duì)多個(gè)安全區(qū)域進(jìn)行復(fù)雜的網(wǎng)絡(luò)區(qū)域劃分 監(jiān)聽(tīng)模式 InterSpect 檢查網(wǎng)絡(luò)通信而不實(shí)施各項(xiàng)安全防護(hù)措施 （可配合網(wǎng)橋、交換機(jī)或路由器模式使用） 實(shí)際在線部署之前，進(jìn)行前導(dǎo)性部署，幫助了解 InterSpect 對(duì)原有應(yīng)用程序的影響 4． 管理 您面臨的挑戰(zhàn)： 各種組織（例如您的公司）在保護(hù)其分布式網(wǎng)絡(luò)時(shí)面臨日益增長(zhǎng)的挑戰(zhàn)。隨著您的網(wǎng)絡(luò)規(guī)模的增長(zhǎng)，在整個(gè)網(wǎng)絡(luò)上不斷對(duì)多個(gè)執(zhí)行點(diǎn)實(shí)行和維護(hù)最新的安全策略變成一項(xiàng)日益復(fù)雜和耗時(shí)的

43、任務(wù)。對(duì)于您這樣的安全管理員來(lái)說(shuō)，分別管理每個(gè)防火墻或 VPN 網(wǎng)關(guān)不是一個(gè)合理使用時(shí)間的好辦法，更重要的是，這將給您的網(wǎng)絡(luò)安全帶來(lái)風(fēng)險(xiǎn)。 我們的解決方案： Check Point SmartCenter? 解決方案是集中配置、管理和監(jiān)控多個(gè) VPN-1 和 FireWall-1 執(zhí)行點(diǎn)的強(qiáng)大工具。利用 Check Point 革新的安全管理體系結(jié)構(gòu)（SMART），SmartCenter 解決方案提供了一個(gè)獨(dú)特的三層體系結(jié)構(gòu)，包括一個(gè)集成的、直觀的 GUI，該 GUI 能夠從單個(gè)控制臺(tái)定義綜合安全策略的所有元素。高級(jí)的 One-Click 技術(shù)能夠自動(dòng)將策略分發(fā)到所有執(zhí)行點(diǎn)，使您能夠在

44、所有安全執(zhí)行點(diǎn)上輕松維護(hù)最新的安全策略。這些能力提供了前所未有的可升縮性和易用性，從而降低了管理開(kāi)銷并增強(qiáng)了您的網(wǎng)絡(luò)安全。 產(chǎn)品特性： ● 集中定義 VPN、防火墻、QoS 和 Web 訪問(wèn)策略 ● 自動(dòng)分發(fā)策略和軟件 ● 安全策略的可視化管理 產(chǎn)品優(yōu)點(diǎn)： ● 綜合的，一站式安全管理 ● 更好的控制、更高的網(wǎng)絡(luò)安全性和增強(qiáng)的易用性 ● 在部署之前進(jìn)行安全策略驗(yàn)證，以獲得更好的網(wǎng)絡(luò)安全性 SmartCenter 解決方案使管理員能夠從單個(gè)位置管理大量的 VPN-1 和 FireWall-1 執(zhí)行點(diǎn)。 SMARTCENTER 解決方案概述 Check Point

45、 通過(guò) SmartCenter 和 SmartCenter Pro? 提供了各種級(jí)別的管理功能性，提供了集成的和高成本效益的解決方案，使您能夠在單個(gè)管理控制臺(tái)實(shí)現(xiàn)最高級(jí)別的控制和安全性。 SmartCenter 是 Check Point 企業(yè)管理解決方案中的旗艦產(chǎn)品，它由一個(gè)“操縱板”和一個(gè)管理服務(wù)器組成，前者使管理員能夠集中定義 VPN、防火墻、QoS 和 Web 訪問(wèn)策略，后者用于存儲(chǔ)和分發(fā)這些不同的策略。 SmartCenter Pro 提供 SmartCenter 的所有功能，以及： ● 網(wǎng)絡(luò)安全的可視化管理 ● 超大規(guī)模管理 ● 集中管理、分發(fā)和列出軟件清單的能力 ●

46、實(shí)時(shí)安全和 VPN 性能監(jiān)控 ● 與基于 LDAP 的目錄的強(qiáng)大集成 ● 所有管理操作的容錯(cuò) 可伸縮的集中式管理 SmartCenter 和 SmartCenter Pro 都是由用戶界面和管理服務(wù)器組成，能夠使管理員集中管理大量的 VPN-1 和 FireWall-1 執(zhí)行點(diǎn)。 SmartDashboard? 是一個(gè)先進(jìn)而又簡(jiǎn)單易用的用戶界面，用于定義和管理安全策略的多種元素：防火墻、VPN、網(wǎng)絡(luò)地址轉(zhuǎn)換、QoS、Web 訪問(wèn)以及 VPN 客戶端安全性。為了有效創(chuàng)建策略和安全管理，所有對(duì)象定義（用戶、主機(jī)、網(wǎng)絡(luò)、服務(wù)等）在所有元素中都是共享的。 SmartCenter Ser

47、ver 是存儲(chǔ)和分發(fā)使用 SmartDashboard 定義的安全策略的管理服務(wù)器。它也可以為任意數(shù)量的執(zhí)行點(diǎn)存儲(chǔ)通用 Check Point 數(shù)據(jù)庫(kù)，包括網(wǎng)絡(luò)對(duì)象定義、用戶定義和日志文件。 SmartDashboard 是一個(gè)單獨(dú)的圖形用戶界面，用來(lái)定義和管理企業(yè)的安全策略的多種元素。 綜合的安全管理 基于策略的 VPN/防火墻管理 SmartCenter 和 SmartCenter Pro 使管理員能夠?qū)Υ罅康?VPN-1 和 FireWall-1 執(zhí)行點(diǎn)進(jìn)行集中管理并部署單個(gè)策略。一旦定義了一個(gè)策略，它就能自動(dòng)分發(fā)到所有的位置。這極大地提高了管理效率并增強(qiáng)了安全性，因?yàn)樗?/p>

48、的安全執(zhí)行點(diǎn)上的安全策略總是最新的。 自動(dòng) NAT 配置 SmartCenter 為管理員提供了自動(dòng)生成 NAT 規(guī)則的能力，從而在節(jié)約了管理時(shí)間的同時(shí)增強(qiáng)了安全連通性。 集成的客戶端安全性 Check Point VPN-1 SecureClient? 為遠(yuǎn)程訪問(wèn)的 VPN 用戶提供了一個(gè)基于 Check Point 獲得專利的 Stateful Inspection 技術(shù)的個(gè)人防火墻。個(gè)人防火墻的策略可以根據(jù)來(lái)源、目的地以及客戶端系統(tǒng)接收或發(fā)送的網(wǎng)絡(luò)信息流類型，在 Desktop Security 選項(xiàng)卡中的 SmartDashboard 內(nèi)定義?？梢愿鶕?jù)用戶或用戶組來(lái)定制規(guī)則，這

49、使企業(yè)可以對(duì)遠(yuǎn)程用戶系統(tǒng)實(shí)行更細(xì)致的控制。 粒度用戶授權(quán)以及認(rèn)證管理 隨著基于 Web 的應(yīng)用程序日益廣泛地使用，用戶認(rèn)證和授權(quán)的集中式管理成為一個(gè)迫切的要求。SmartCenter 管理集中并簡(jiǎn)化了企業(yè) Web 應(yīng)用程序的用戶管理。管理員可以使用 SmartDashboard 中的 Web Access 選項(xiàng)卡，輕松地定義用于在基于 Web 的應(yīng)用程序環(huán)境中，進(jìn)行用戶認(rèn)證、授權(quán)和審核的 Web 訪問(wèn)策略。 簡(jiǎn)單的 VPN 管理 One-Click VPN 部署 SmartDashboard 使管理員能夠在單個(gè)操作中創(chuàng)建大規(guī)模的 VPN。使用 VPN Manager，管理員能夠定義

50、VPN 分組，并且只需一個(gè)步驟就能為整個(gè) VPN（如內(nèi)部網(wǎng)、外部網(wǎng)和遠(yuǎn)程訪問(wèn)部署）設(shè)置安全參數(shù)。通過(guò)將所有 VPN-1 網(wǎng)關(guān)分到一個(gè)分組，可以在所有網(wǎng)關(guān)之間或者在遠(yuǎn)程用戶和網(wǎng)關(guān)之間使用 VPN。當(dāng)一個(gè)新站點(diǎn)或用戶添加到分組時(shí)，它們會(huì)自動(dòng)繼承適當(dāng)?shù)膶傩?，并且可以與 VPN 分組中的其他站點(diǎn)立即建立安全的 IPSec 會(huì)話。SmartCenter 支持許多網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，包括全網(wǎng)格拓?fù)?、星型拓?fù)?、中心拓?fù)浜洼嗇椡負(fù)湟约八鼈兿嗷ソY(jié)合的產(chǎn)物。這使得企業(yè)能夠?qū)⑺鼈儼嘿F的幀中繼連接簡(jiǎn)單而高成本效益地移植到 Internet VPN。 VPN Manager 使管理員能夠在單個(gè)操作中創(chuàng)建 VPN。

51、系統(tǒng)外集成的、強(qiáng)大的身份認(rèn)證 Check Point 管理解決方案包含內(nèi)置認(rèn)證授權(quán)，它使企業(yè)能夠在 IPSec VPN 中使用 X.509 數(shù)字證書來(lái)鑒別參與者。One-Click 證書自動(dòng)發(fā)布到所有用于站點(diǎn)到站點(diǎn) VPN 通信的 Check Point 管理和執(zhí)行點(diǎn)，這使企業(yè)不需要再單獨(dú)部署用于強(qiáng)大身份認(rèn)證的 PKI 產(chǎn)品。 粒度遠(yuǎn)程用戶 VPN 管理 VPN-1 SecureClient Packaging Tool 使得安全管理員能夠?yàn)樗麄兊?VPN-1 SecureClient 用戶創(chuàng)建自定義的和自解壓縮的安裝包。此外，管理員可以指定安全配置校驗(yàn)（SCV）檢查，SVC 是定義安全

52、地配置客戶端系統(tǒng)的一組條件，例如防病毒軟件的當(dāng)前版本或個(gè)人防火墻策略的正確操作。這一功能強(qiáng)大的工具能夠確?？蛻舳塑浖惭b始終是一致的和最新的，從而簡(jiǎn)化遠(yuǎn)程用戶管理并提高總體安全性。 強(qiáng)大的記錄與報(bào)表生成功能 實(shí)時(shí)數(shù)據(jù)分析 SmartCenter Server 從所有 VPN-1 和 FireWall-1 網(wǎng)關(guān)以及許多經(jīng)過(guò) OPSEC 認(rèn)證的安全應(yīng)用程序收集詳細(xì)的日志信息。此外，它還記錄管理員的活動(dòng)，這能夠大大減少尋找配置錯(cuò)誤所需的時(shí)間。圖形化的 SmartView Tracker? 使用服務(wù)器中的日志數(shù)據(jù)來(lái)為所有連接（包括遠(yuǎn)程 VPN 用戶會(huì)話）提供實(shí)時(shí)的可視化跟蹤、監(jiān)控和核算信息。管理

53、員可以執(zhí)行搜索或過(guò)濾日志記錄來(lái)快速定位和跟蹤感興趣的事件。一旦發(fā)生攻擊或者其他可疑的網(wǎng)絡(luò)活動(dòng)，管理員可以使用 SmartView Tracker 臨時(shí)或永久地終止特定 IP 地址的連接。 SmartView Tracker 展示關(guān)于所有執(zhí)行點(diǎn)的詳細(xì)日志信息。 集成的報(bào)表生成基礎(chǔ)設(shè)施 SmartView Reporter? 是一個(gè)可選模塊，它將 VPN-1 和 FireWall-1 執(zhí)行點(diǎn)生成的未加工的日志數(shù)據(jù)轉(zhuǎn)化成綜合的預(yù)定義報(bào)表形式的可用信息。它與 SmartCenter 集成，并在開(kāi)發(fā)報(bào)表時(shí)使用存儲(chǔ)在 SmartCenter Server 中的相同用戶和對(duì)象定義。這使管理員不再

54、需要復(fù)制安全管理基礎(chǔ)設(shè)施的多種元素的信息，從而減少了錯(cuò)誤和管理開(kāi)銷。 利用高級(jí) SMARTCENTER PRO 特性對(duì)安全環(huán)境的更好控制 雖然 SmartCenter 為企業(yè)提供了集中定義和監(jiān)控它的安全策略的功能，但 SmartCenter Pro 除了具備 SmartCenter 的所有功能之外，還擁有一些高級(jí)集成功能，因此能夠?qū)W(wǎng)絡(luò)安全環(huán)境提供更好的理解和控制。 安全可視化 SmartMap? 是一個(gè)安全策略可視化工具，它可以提供一個(gè)企業(yè)的安全部署的圖形化映象。它允許安全管理員在進(jìn)行部署之前驗(yàn)證其安全策略的完整性，從而提供了更好的控制、更高的安全性和無(wú)與倫比的易用性。 大規(guī)模 V

55、PN 和安全管理 SmartLSM? 為大規(guī)模 VPN/安全安裝引入了一種新的管理范例。使用 SmartLSM，管理員能夠提供一個(gè)單一的安全策略——稱為配置文件（Profile），并將它應(yīng)用到數(shù)以百計(jì)的網(wǎng)關(guān)。另外，策略安裝和更新的自動(dòng)處理，使快速部署和管理需求最小化成為可能。這降低了為上百個(gè)網(wǎng)關(guān)部署和管理安全性所需的成本和時(shí)間。 自動(dòng)分發(fā)軟件和許可 SmartUpdate? 是一種 One-Click 技術(shù)，它能夠自動(dòng)分發(fā)軟件應(yīng)用程序，并更新到 Check Point 和經(jīng) OPSEC 認(rèn)證的產(chǎn)品，以及能夠管理產(chǎn)品許可。它提供了一種集中式的方法來(lái)保證整個(gè)網(wǎng)絡(luò)內(nèi)的安全性總是最新的。而且，它

56、還減少了分支機(jī)構(gòu)對(duì) IT 職員的需求。 實(shí)時(shí)性能監(jiān)控 SmartView Monitor? 是一個(gè)安全性和 VPN 性能分析解決方案，它向用戶提供關(guān)于帶寬、往返時(shí)間和數(shù)據(jù)包丟失率等衡量標(biāo)準(zhǔn)的圖形化視圖。利用 SmartView Monitor 提供的信息，企業(yè)可以采取正確措施將安全投資收益最大化、提高性能以及管理網(wǎng)絡(luò)成本。 基于 LDAP 的用戶管理 賬號(hào)管理模塊簡(jiǎn)化了安全管理過(guò)程，特別是在大規(guī)模的部署中。它使 VPN-1 和 FireWall-1 執(zhí)行點(diǎn)能夠從經(jīng) OPSEC 認(rèn)證的 LDAP 目錄服務(wù)器獲取網(wǎng)絡(luò)用戶的身份標(biāo)識(shí)和安全信息。 價(jià)格 1． 邊界： 軟件： 產(chǎn)品編號(hào)

57、 描述 目錄價(jià) CPVP-VCT-U-NG 包含一個(gè)可管理無(wú)限數(shù)量防火墻的管理服務(wù)器和一個(gè)無(wú)限用戶的VPN-1 Pro執(zhí)行點(diǎn) ￥315,000 CPMP-HVPG-U-NG 作高可用性的第二執(zhí)行點(diǎn) ￥126,000 CPMP-CXLS-U-NG 高可用性和負(fù)載均衡模塊 ￥90,000 硬件： 需三臺(tái)機(jī)架式PC服務(wù)器，一臺(tái)作管理服務(wù)器，另兩臺(tái)作防火墻。 2． 移動(dòng)用戶： 軟件： 產(chǎn)品編號(hào) 描述 目錄價(jià) CPVP-VSC-25-NG 25用戶SecureClient ￥34,500 CPVP-VSC-100-NG 100用戶SecureClien

58、t ￥10,5000 3． 服務(wù)器群前：（雙機(jī)，二個(gè)410或二個(gè)610） 硬件： 產(chǎn)品編號(hào) 描述 目錄價(jià) CPIS-INSP-410-US InterSpect 410（500Mbps） ￥360,000 CPIS-INSP-610-US InterSpect 610（1000Mps） ￥720,000 4． 部門 部門1 軟件 產(chǎn)品編號(hào) 描述 目錄價(jià) CPVP-VSC-25-NG 25用戶SecureClient ￥34,500 CPVP-VSS-1-NG VPN-1 SecureServer ￥15,000 部門2 硬件

59、 產(chǎn)品編號(hào) 描述 目錄價(jià) CPIS-INSP-410-US InterSpect 410 ￥360,000 CPIS-INSP-610-US InterSpect 610 ￥720,000 部門3 軟件 產(chǎn)品編號(hào) 描述 目錄價(jià) CPMP-VPG-U-NG 無(wú)限用戶執(zhí)行點(diǎn)模塊 ￥157,500 硬件 一臺(tái)機(jī)架式PC服務(wù)器 部門n 軟件 產(chǎn)品編號(hào) 描述 目錄價(jià) CPMP-VPG-U-NG 無(wú)限用戶執(zhí)行點(diǎn)模塊 ￥157,500 CPMP-HVPG-U-NG 作高可用性的第二執(zhí)行點(diǎn) ￥126,000 CPMP-CXLS-U-NG 高可用性和負(fù)載均衡模塊 ￥90,000 硬件 二臺(tái)機(jī)架式PC服務(wù)器 標(biāo)準(zhǔn)折扣 1． Check Point軟件：45% Off 2． Check Point硬件：40% Off