CheckPoint面向未來的網(wǎng)絡(luò)安全解決方案Mar30,2010Agenda我們需要什么樣的“防火墻”面向未來的安全解決方案概覽CheckPoint安全網(wǎng)關(guān)技術(shù)特點附錄：CheckPoint網(wǎng)關(guān)安全產(chǎn)品線介紹NAT路由WEB管理吞吐量連接數(shù)VPN我們需要什么樣的“防火墻”？這樣的防火墻，還能夠滿足企業(yè)現(xiàn)在的安全需求嗎？我們需要什么樣的“防火墻”（1）傳統(tǒng)防火墻已經(jīng)無法為服務(wù)器提供全面安全保護Video演示（1）我們需要什么樣的“防火墻”（2）傳統(tǒng)防火墻已經(jīng)無法為客戶端提供全面安全保護Video演示（2）我們需要什么樣的“防火墻”（3）用戶的實際網(wǎng)絡(luò)流量永遠不會是1，64B2，UDP防火墻的測試工具和方法也在變化1，SmartBit（3~4層測試）；2，Avalanche（應(yīng)用層混合數(shù)據(jù)流測試）我們需要什么樣的“防火墻”（4）WEB管理界面的確很簡單如果僅僅是限于配置“1臺防火墻”的“訪問控制規(guī)則”的話但“配置規(guī)則”就意味著安全嗎？“配置規(guī)則”就是防火墻管理的核心內(nèi)容嗎？可管理安全防火墻管理，不僅僅是登陸WEB界面去配置規(guī)則如何方便、快速的監(jiān)控企業(yè)安全狀況，分析事故，解決問題，才是安全管理的核心應(yīng)用級性能企業(yè)的網(wǎng)絡(luò)流量永遠不可能都是UDP64B，而是混合業(yè)務(wù)流應(yīng)用級安全我們需要什么樣的“防火墻”？企業(yè)關(guān)注的是WEB、DNS、郵件的安全而不是簡單的TCP/UDP端口的開/閉“可管理”的“應(yīng)用級安全”，是防火墻發(fā)展的必然方向CheckPoint解決方案概覽

CheckPointTotalSecurity—

應(yīng)對日益復(fù)雜企業(yè)應(yīng)用安全環(huán)境和威脅FirewallVPNWebSecurityDataLeakageIDSIPSSPAMReportsLoggingEventManagementPolicyDefinitionProvisioningEndpointManagementDataEncryptionMalwareVirusesWormsRemovableMediaApplicationFirewallUnified

GatewaySingleMANAGEMENTConsoleSingle

AgentforEndpoint&

DataSecurityCheckPoint防火墻管理理架構(gòu)管理客戶端管理服務(wù)器器(SmartCenter）硬件解決方方案：SMART-1軟件解決方方案：SmartCenter+PCServerPower-1UTM-1IP系列CheckPoint防火墻采用用三層管理理架構(gòu)UTM-1內(nèi)置置管管理理服服務(wù)務(wù)器器；；Power-1和IP系列列必必須須要要配配置置管管理理服服務(wù)務(wù)器器才才能能夠夠部部署署SMART-1硬件件是是CheckPoint硬件件解解決決方方案案防火火墻墻網(wǎng)網(wǎng)關(guān)關(guān)CheckPoint網(wǎng)關(guān)關(guān)產(chǎn)產(chǎn)品品線線概概覽覽-防火火墻墻網(wǎng)網(wǎng)關(guān)關(guān)Pre-definedsystem

5bladesPower-1

平臺Power-1

平臺:高性能&UTM*適用于高端用戶9Gbps~25GbpsIP*平臺IP

平臺:模塊化&擴展性高性能&高可靠性適用于中、高端用戶1.5Gbps~29GbpsUTM-1平臺:UTM*&內(nèi)置管理適用于中低端用戶400M~4.5GbpsUTM-1

平臺UTM-1和Power-1是CheckPoint原有有防防火火墻墻產(chǎn)產(chǎn)品品線線IP防火火墻墻來來源源于于2008年收收購購整整合合的的NOKIAIP系列列防防火火墻墻產(chǎn)產(chǎn)品品線線CheckPoint網(wǎng)關(guān)關(guān)產(chǎn)產(chǎn)品品線線概概覽覽-管理理平平臺臺UTM-1IPPower-1IPS-1VSX-1EndpointSecurityAbraSmart-1管理平臺型號Smart-15Smart-125Smart-150Smart-1150管理防火墻數(shù)量5-25*25-5050-150150-UUTM-1/IP/Power-1系列列的的產(chǎn)產(chǎn)品品定定位位UTM-1IPPower-1市場層面區(qū)別目標用戶中小企業(yè),高端企業(yè)客戶分支機構(gòu)中高端企業(yè)高端企業(yè)適用價格敏感度高低中用戶功能需求功能需求復(fù)雜*高性能，高端口密度功能需求相對簡單**性能要求高功能需求復(fù)雜金融機構(gòu)大型企業(yè)電信運營商教育機構(gòu)能源行業(yè)醫(yī)療機構(gòu)餐飲連鎖交通運營尋求求市市場場定定位位

專業(yè)制造分支機構(gòu)如何何客客觀觀的的評評價價一一款款防防火火墻墻產(chǎn)產(chǎn)品品應(yīng)用用安安全全安全全性性能能安全全管管理理傳統(tǒng)統(tǒng)功功能能（防防火火墻墻/VPN）傳統(tǒng)統(tǒng)功功能能（防防火火墻墻/VPN）鏈路路負負載載均均衡衡。。Inbond/outbond鏈路路復(fù)復(fù)雜雜均均衡衡，，支支持持DNSProxy強大大的的認認證證功功能能。?？煽梢砸詫崒崿F(xiàn)現(xiàn)基基于于Session的用用戶戶認認證證認證證集集成成功功能能。。和和MicrosoftAD集成成實實現(xiàn)現(xiàn)用用戶戶認認證證單單點點登登錄錄深入入的的協(xié)協(xié)議議檢檢測測。。Eg，防防火火墻墻引引擎擎可可控控制制的的FTP命令令為為50+預(yù)定定義義300+協(xié)議議，，對對網(wǎng)網(wǎng)絡(luò)絡(luò)應(yīng)應(yīng)用用及及協(xié)協(xié)議議的的全全面面支支持持傳統(tǒng)統(tǒng)功功能能（（1）—狀態(tài)態(tài)檢檢測測引引擎擎的的發(fā)發(fā)明明者者到目目前前為為止止，，CheckPoint防火火墻墻引引擎擎依依然然具具有有獨獨特特的的優(yōu)優(yōu)勢勢傳統(tǒng)統(tǒng)功功能能（（1）如何何在在DHCP環(huán)境境中中對對用用戶戶網(wǎng)網(wǎng)絡(luò)絡(luò)行行為為進進行行審審計計分分析析？？如何何在在多多用用戶戶環(huán)環(huán)境境中中對對用用戶戶網(wǎng)網(wǎng)絡(luò)絡(luò)行行為為進進行行審審計計分分析析？？通過過防防火火墻墻日日志志如如何何快快速速定定位位事事件件的的責(zé)責(zé)任任人人和和主主機機？？實現(xiàn)現(xiàn)上上述述功功能能，，是是否否需需要要復(fù)復(fù)雜雜的的配配置置和和額額外外的的主主機機？？IdentityLogging*傳統(tǒng)統(tǒng)功功能能（（2）傳統(tǒng)統(tǒng)功功能能（（2）—基于于用用戶戶的的日日志志審審計計分分析析傳統(tǒng)統(tǒng)功功能能（（3）傳統(tǒng)統(tǒng)功功能能（（3）—靈活活的的VPN一鍵鍵式式VPN，智智能能管管理理SSLVPNMobileVPN專用VPN客戶端免費費數(shù)數(shù)字字證證書書VPN接入終端端健健康康檢檢查查VPNinPocket雙因因素素認認證證傳統(tǒng)統(tǒng)功功能能（（4）—高可可用用性性專有有的的安安全全網(wǎng)網(wǎng)關(guān)關(guān)集集群群解解決決方方案案不需需第第三三方方負負載載均均衡衡設(shè)設(shè)備備自身身動動態(tài)態(tài)負負載載均均衡衡

Firewall/VPN/IPSIntranetApplicationServersProxyCachesInternet傳統(tǒng)統(tǒng)功功能能（（4）應(yīng)用用安安全全應(yīng)用安全(1)CheckPoint軟件刀片是什什么？軟件刀片CheckPoint基于防火墻應(yīng)應(yīng)用安全的發(fā)發(fā)展方向提出出的新一代安安全架構(gòu)；；各種安全功能能軟件刀片實實質(zhì)上是防火火墻設(shè)備上的的獨立的軟件件模塊；應(yīng)用安全(2)集中管理高性價比CheckPoint為什么要研發(fā)發(fā)軟件刀片？？企業(yè)面臨的安安全威脅日益益復(fù)雜，傳統(tǒng)統(tǒng)堆疊式解決決方案為企業(yè)業(yè)帶來了嚴重重的經(jīng)濟負擔(dān)擔(dān)，且管理負負載、技術(shù)支支持接口繁雜雜CheckPoint軟件刀片架構(gòu)構(gòu)，在保證性性能可用的前前提實現(xiàn)了全面防護使用簡單應(yīng)用安全(3)CheckPoint軟件刀片如何何保障性能CheckPointCoreXL開放性能架構(gòu)構(gòu)保障軟件刀片片高性能的核核心技術(shù)基礎(chǔ)礎(chǔ)充分利用CPU多核架構(gòu)，應(yīng)應(yīng)用級性能成成倍提升CheckPoint是和Intel合作最為緊密密的安全廠商商網(wǎng)絡(luò)安全CPU多核技術(shù)是下下一代防火墻墻的發(fā)展的未未來應(yīng)用安全數(shù)據(jù)安全CoreXL2*4CoreCPU數(shù)據(jù)處理示例例fw5conntableQueueFifthCoreSixthCoreDispatcherDispatchertablePKTPKTPKTfw6conntableQueuefw7conntableQueueSeventhCoreEighthCorefw1conntableQueueFirstCoreSecondCorefw2conntableQueuefw3conntableQueueThirdCoreFourthCorefw4conntableQueuePKTPKTPKTPKTUpto501%PerformanceIncrease!!!應(yīng)用安全—IPS刀片應(yīng)用安全-IPS刀片(1)CheckPointIPS軟件刀片概述述所有CheckPoint安全網(wǎng)關(guān)*預(yù)預(yù)置IPS軟件刀片，具具有相同的功功能和統(tǒng)一的的管理界面，，只是性能不不同；應(yīng)用安全-IPS刀片(2)IPS軟件刀片的的特點（1）-全面的防護能能力連續(xù)2年，微軟漏洞洞防護能力最最佳；微軟漏洞幾乎乎已成為企業(yè)業(yè)安全威脅最最主要的來源源強大的應(yīng)用控控制能力阻斷MSN/QQ/迅雷/Skype等WEB防火墻模塊保護WEB服務(wù)器器免受攻攻擊保護郵郵件服服務(wù)器器FTP服務(wù)器器DNS服務(wù)器器IP電話系系統(tǒng)…..應(yīng)用安安全-IPS刀片(3)強大的的IPS性能，，最高高可到到15Gbps的IPS防護能能力IPS軟件刀刀片片的特特點（（2）-強大的的性能能CheckPoint桌面型型設(shè)備備：UTM-1130防火墻墻吞吐吐量400Mbps，IPS吞吐量量300Mbps應(yīng)用安安全未未來是是：基基于CPU的多核核架構(gòu)構(gòu)得益于于CheckPointCoreXL多核技技術(shù)，，充分分利用用多核核CPU的強勁勁威力力2*4核CPU=15Gbps的IPS吞吐量量2*48核CPU=?IPS軟件刀刀片的的特點點（3）—統(tǒng)一管管理通過單單一界界面管管理CheckPointIPS、防火火墻、、VPN、SSLVPN…應(yīng)用安安全-IPS刀片(4)IPS事件可可視化化實時時時間線線事件分分類挖挖掘基于用用戶鑒鑒別客戶端端狀態(tài)態(tài)查詢詢地理信信息管管理IPS軟件刀刀片的的特點點（4）—高性價價比IPS軟件刀刀片1年費用用$7500（包含含了產(chǎn)產(chǎn)品和和升級級費用用）CheckPoint網(wǎng)關(guān)標標準配配置*，包包含了了1年的IPSUTM-1132，272，572標準價價格不不包含含IPS刀片IPS軟件刀刀片僅僅僅$7,500**Opexonly––年費應(yīng)用安安全-IPS刀片(5)IPS軟件刀刀片片的特特點（（5）—IPS部署（（安裝裝）方方便部署方方便在防火火墻上上單擊擊鼠標標即可可啟動動IPS軟件刀刀片您不用用熬夜夜割接接系統(tǒng)統(tǒng)啦應(yīng)用安安全-IPS刀片(6)CheckPoint軟件刀刀片概概覽安全網(wǎng)網(wǎng)關(guān)刀刀片安全管管理刀片重復(fù)使使用您的安全架架構(gòu)通過軟件刀刀片架架構(gòu)是是應(yīng)用用安全全的未未來軟件刀刀片無額外的硬件無額外的電耗無額外的機架空間無額外的維修安全管理理管理的問問題管理架構(gòu)構(gòu)安全策略略監(jiān)控狀態(tài)態(tài)分析故障障解決問題題數(shù)據(jù)匯報報合規(guī)性審審計流程管理理超負荷運運行的后后果！了解安全全設(shè)備運運行狀態(tài)態(tài)運行狀態(tài)態(tài)模塊狀態(tài)態(tài)CPU狀態(tài)內(nèi)存狀態(tài)態(tài)存儲狀態(tài)態(tài)并發(fā)連接接新建連接接雙機狀態(tài)態(tài)……監(jiān)控網(wǎng)絡(luò)絡(luò)運行狀狀態(tài)分析網(wǎng)絡(luò)絡(luò)異常流流量異常流量量來源分分析異常服務(wù)務(wù)端口分分析網(wǎng)絡(luò)健康康狀態(tài)分分析……定位異常常主機的的活動集中存儲儲分類查詢詢150+字段靈活架構(gòu)構(gòu)提供事件件依據(jù)用戶帶寬寬和網(wǎng)絡(luò)絡(luò)連接資資源占用用報告網(wǎng)絡(luò)服務(wù)務(wù)帶寬占占用報告告報表自動動化提高安全全事件的的管理效效率報警事件件收斂分分析報警事件件數(shù)據(jù)挖挖掘合規(guī)性審審計分析析更新安全全防護狀狀態(tài)一鍵式更更新覆蓋全網(wǎng)網(wǎng)安全設(shè)設(shè)備防火墻安安全管理理面臨的的下一個個挑戰(zhàn)CheckPointSmartWorkflow流程管理理刀片如何降低低人為錯錯誤引起起的防火火墻宕機機如何審計計防火墻墻管理員員的行為為如何安全全管理的的合規(guī)性性，符合合用戶安安全要求求如何實現(xiàn)現(xiàn)防火墻墻管理流流程的自自動化和和可視化化流程管理理-Smartworkflow單一管理理控制臺臺提高安全全性和效效率，同同時降低運行行費用可見的變變更追蹤蹤降低人為為的策略略配置錯錯誤風(fēng)險險靈活的授授權(quán)和已有批批準的流流程一致致綜合的審審計和報報表通過策略略變更的的追蹤加加強合規(guī)規(guī)性自動的策策略變更更管理安全管理理流程化化安全策略略變更流流程化流程可定定制配置選項項：基于角色色批準自批準緊急繞過過策略變更更可視化化高亮顯示示策略變變更對比比策略變更更前策略變更更后所見即所所得審計Who?審計What?When?How?Why?ReviewandApproveChangesChangesHighlightedinSmartDashboard審計策略變更和所有合規(guī)性調(diào)整需要的細節(jié)您的選擇擇來自CheckPoint的“刀片片式”軟軟件多點解決決方案/供應(yīng)商多個項目目專用的硬硬件設(shè)備備專用的管管理平臺臺一個項目目多種配置置單一管理理降低投資資降低TCOCheckPoint網(wǎng)關(guān)安全全產(chǎn)品線線介紹網(wǎng)關(guān)設(shè)備備產(chǎn)品線線介紹Pre-definedsystem

5bladesPower-1

平臺Power-1

平臺:高性能&UTM*適用于高端用戶9Gbps~25GbpsIP平臺IP

平臺:模塊化&擴展性高性能&高可靠性適用于中、高端用戶1.5Gbps~29GbpsUTM-1平臺:UTM*&內(nèi)置管理適用于中低端用戶400M~4.5GbpsUTM-1

平臺CheckPointIP系列：靈靈活的硬硬件平臺臺和軟件件模塊Fullappliancerange模塊化和和可擴展展的刀片片架構(gòu)firewallbladeIPSecVPNbladeIPSbladeAdvancedNetworkingbladeAcceleration/Clusteringblade硬件加速速AC/DC電源NEBS認證FiberNICs模塊化網(wǎng)網(wǎng)絡(luò)端口口websecuritybladevoiceoverIPblade可選lCheckPointIP系列安全全平臺技技術(shù)參數(shù)數(shù)IPAppliancesIP295IP395IP565IP695IP1285IP245510/100/1000端口6/84/84/124/164/284/3210GbE端口---61010防火墻吞吐量1.5Gbps3.0Gbps6.3Gbps7.2Gbps10.3Gbps10.3Gbps11.7Gbps115.4Gbps129

Gbps1VPN吞吐量1.0Gbps677Mbps1.7Gbps1.4Gbps1.9Gbps1.9Gbps3.3Gbps18.3Gbps18.3Gbps1IPS吞吐量1.4Gbps2.9Gbps2.9Gbps4Gbps7Gbps9Gbps并發(fā)連接數(shù)

110萬

110萬

110萬

110萬

110萬

110萬

VLANS102410241024102410241024ADP模塊---OptionalOptionalOptionalVPN加速OptionalIncludedIncludedIncludedIncludedIncluded硬盤或FlashDiskorFlashDiskorFlashDiskorFlashDiskorFlashDiskorFlashDiskorFlash外觀1U/halfrack1U1U1U2U2U1，PerformancewithoutADPandwithADPCheckPointUTM-1完整的中中小企業(yè)業(yè)解決方方案適用于中中小型企企業(yè)介于190Mbps–4.5Gbps的性能綜合安全全防御能能力內(nèi)置安全全管理模模塊UTM-1272/276UTM-1572/576UTM-13073/3076UTM-11073/1076UTM-12073/2076UTM-1132/136FWBladeVPNBladeIPSBladeURLFilteringBladeAntivirus&antimalwareBladeAntispam&messagingsecurityBladeUTM-1EdgeUTM-1設(shè)備技術(shù)術(shù)指標UTM-1132/6UTM-1272/6UTM-1572/6UTM-11073/6UTM-12073/6UTM-13073/6SWeditionR65,R70R65,R70R65,R70R65,R70R65,R70R65,R7010/100Ports1-----10/100/1000Ports4468810FirewallThroughput400Mbps600Mbps1.1Gbps2Gbps3Gbps4.5GbpsVPNThroughput100Mbps100Mbps250Mbps250Mbps280Mbps1.1GbpsIPSThroughput300Mbps380Mbps700Mbps900Mbps1Gbps4GbpsConcurrentSessions300,000600,000800,0001.1Million1.1Million1.1MillionVLANs102410241024102410241024StorageCapacity80Gbps160Gbps160Gbps160Gbps160Gbps160GbpsIntegratedMultigatwayMgmtStandaloneYesYesYesYesYesRecommendedsizingUpto75usersUpto125usersUpto250usersUpto500usersUpto1000usersUpto1500users-IPSThroughputTestbasedonreal-worldtrafficblendusingthedefaultprofilePower-1同一硬件件，軟件件License提升性能能，節(jié)省省初期投投資Power-1設(shè)備技術(shù)術(shù)指標Power-15075Power-19075Power-111000Series110651107511085SoftwareEditionR65,R70R65,R70R70R70R70SoftwareBladesFirewall,IPSecVPN,IPS,AdvancedNetworking,Acceleration,andClustering10/100/1000Ports10/1414/1814/1814/1814/1810GEPorts2*4*4*4*