您的位置: 网界网 > 周报全文 > 正文

[周报全文]Check Point NG刷新业界记录

2001年12月03日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:Check Point NG刷新业界记录

标签
Check Point NG刷新业界记录

Next Generation(NG)是Check Point解决方案中最重要的版本,包括了Check Point以前所有的产品(VPN-1/Firewall-1、FloodGate-1,Management Console等)。NG为用户提供了先进的互联网安全、VPN和管理解决方案。

一、新的核心、新一代的防火墙
状态监测(Check Point的专利)代表了新一代防火墙的先进技术,也是Check Point产品的核心。它监视每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙。它在协议栈低层截取数据包,然后分析这些数据包,并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较,并根据用户制定的安全规则,得到该数据包的控制信息,达到保护网络安全的目的。
Check Point VPN/Firewall-1 NG将这一核心进行了扩展和优化。新的体系结构更能满足未来产品和用户的需要,提供了集成度和模块化程度更高、更开放和更易扩展的新一代安全平台标准,具有使用更容易、管理更方便、系统性能更高、系统可靠性更好的特点。
改进后的状态监测技术将核心进行了模块化设计。当系统工作时,模块化的核心可并行处理数据包并将状态信息记录下来。新一代的状态监测技术提高了防火墙处理性能,并且由于采用模块化设计,开放性和扩展性都有了前所未有的提高。另外,它将原有的状态信息表进行了整合和优化,记录、查询性能更高。改进后的状态监测技术能支持ICMP协议,接受基于ICMP的回包和错误信息并对其进行监测。除此之外,新一代状态监测技术还能支持非TCP/UDP/ICMP协议的数据包。

二、更加简单的安全管理
Check Point NG用户界面:该界面是对安全管理员管理安全环境方法的一种创新。Check Point NG用户界面采用功能强大的图形管理能力,为安全管理员提供安全系统中各种对象的详细图形及网络拓扑图。安全管理员利用这些图形,并通过图形确认各项安全规则所要起到的作用。在传统基于策略的管理控制台上增加视图能力,是对Check Point对用户界面的又一补充。
全面的管理和集成:Check Point NG界面通过将众多的安全因素紧密集成在一起,为客户提供了高效的管理手段,这些安全手段包括各种安全对象的制定、VPN和防火墙安全策略、地址转换、流量管理和控制策略、VPN客户端安全策略和OPSEC第三方产品集成管理。用户通过一个集中的管理构架就能轻松管理全局的安全策略。
SecureUpdate保证安全随时更新:Check Point NG提供的SecureUpdate工具能够从中央管理控制台自动向分布式安全执行点进行软件和许可证更新。这样保证了企业全局安全设置总是处于最新状态。SecureUpdate 提供了更出色的控制能力和效率,使维护成本大大降低。
安全策略审计跟踪:Check Point NG提供了更加丰富的结构化的安全信息,并将日志分为更容易查看的几大类:连接、审计、计费信息及针对防火墙、VPN、QoS和隧道的专用信息。此外,它还提供了对管理员操作的审计跟踪能力,安全管理员的登录/注销、网络对象的修改、安全策略的建立等,均可记录在日志文件中,帮助用户更好地进行安全策略管理。
实现安全管理的高可用性:Check Point有针对网关产品实施高可用性的解决方案。NG的管理服务器能够支持使用一个或更多辅助管理服务器,来保证当主管理服务器出现问题时,辅助管理服务器接替其所有工作,继续保证安全管理的连续可用。NG解决了安全网络环境中任何一个细节可能出现的单点故障问题。

三、Check Point NG的性能
NG产品采用开放的方法,利用先进的技术和良好的合作关系来满足用户对高性能安全解决方案的需要。
NG新的状态监测技术整合优化了通信状态表,使之查询和修改效率更高。另外,新的状态监测技术进行了模块化设计,这样,多种安全功能就可以集成到硬件上,实现更多的功能。Check Point 提出的SecureXL 是一种用于集成硬件安全加速器的新型加速接口,该接口提供对防火墙、VPN、NAT和公钥操作的加速操作。
Check Point还与业界领先的硬件供应商达成了合作关系,共同构建SecureXL兼容的硬件解决方案。这样,用户将具有多种加速选项,包括PCI插件卡和专用加速设备。
Check Point NG产品有着优异的性价比,用户选择一台3万人民币左右的PC工作站(Dell Precision 530),能够获得的性能为516兆网络吞吐量,该性能足以满足大多数用户对网络性能的需求。前段时间由Check Point和合作伙伴Nortel/Alteon共同发布的NG基于Alteon SFS的交换防火墙系统,其性能达到3.2Gbps,开创了安全系统领域性能新高,该性能足以满足高端用户尤其是电信行业用户的需求。在明年初,Check Point还将发布网络吞吐量达10Gbps的防火墙系统。

四、NG VPN-1系统
Check Point的VPN-1 NG产品包括建立了新行业性能标准的多种创新技术。VPN-1 NG产品为满足下一代互联网的安全需要而部署,能够提供出色的扩展性和可靠性。 
VPN 自动部署:为了使管理和扩展达到更高的标准,NG产品在管理服务器上内置了ICA。ICA是一个集成的内部认证授权中心(+微信关注网络世界),它可以向Check Point安全执行点产品提供基于X.509的数字证书服务,包括证书的生成、授权和撤消等。安全执行点在安装过程中自动从管理服务器处申请到一个数字证书安装到本地,然后通过基于SSL的标准通信方式构成所有安全执行点之间的保密通信。用户无需创建复杂的VPN隧道就能将新的VPN/Firewall-1网关加入到通信网络中,大大减轻了用户实施安全产品过程中的烦琐操作。
实时性能监视:VPN-1 NG产品具有成熟的VPN隧道性能监视机制,它所采用的综合工具为网络管理人员提供了对端到端VPN隧道性能实时分析的能力。网络管理员可以利用分析结果来作出如何以及在何处提高VPN系统性能的决策。 
实现端到端的VPN服务质量:FloodGate-1 NG产品支持DiffServ服务。DiffServ是一种领先的IP QoS标准,能够保证在Internete公网上进行关键业务传输时,向关键业务通信提供与点对点连接或专线等效的可靠性,保证端到端的通信质量。 
NG VPN 客户端:Check Point的VPN-1 SecureClient NG产品利用集成的个人防火墙来保护远程用户宽带或拨号连接,并提供真正的、端到端互联网安全的VPN解决方案。同时,这种创新的客户端方案还提供了全面的管理手段来简化大规模的VPN部署和后续管理。
针对远程用户制定详细的安全策略 :VPN-1 SecureClient为VPN客户机提供了综合、灵活和基于策略的安全保护。防火墙策略、记录和告警能够保护客户机免遭非法用户访问和潜在攻击。随着“Always-ON”连接的使用,非法访问和潜在攻击风险的可能性大大提高。NG产品使管理员能够为具体的用户组定义更加细致的安全策略。 
安全配置验证(SCV):安全配置验证是指在客户端系统上运行检查程序以确定是否进行了安全配置。一旦SCV检查通过,客户端才被允许与总部建立VPN隧道进行加密通信。 SCV检查程序可以由Check Point OPSEC合作伙伴或客户自己创建。
VPN 客户机管理:除了集成客户机安全性以外,VPN-1 SecureClient NG产品还可以利用VPN- 1 SecureClient 打包工具和软件分发服务来完成软件分发等工作。VPN-1 SecureClient打包工具能够创建安装在客户端系统上的自执行的程序包。远程用户无需专业知识和复杂的操作就能安装VPN-1 SecureClient,大大降低了管理和技术支持费用。软件分发服务使客户端软件能够自动升级,远程用户无需下载或安装新的服务包或升级软件,管理员也无需向用户分发客户端更新软件。这样,客户端软件时刻保持最新,安全性也得到了保证。

五、再谈安全系统开放性
网络安全不是一两个厂商就能解决的,它需要厂商共同来维护和创造。OPSEC(Open Platform for Security)是一个网络安全方面最权威的组织,包括300多家经过严格授权的、致力于网络安全各方面研究的厂商。Check Point是OPSEC组织的组织者和倡导者。OPSEC能给用户带来许多便利和保护。在国外,用户选择安全产品时,首先会询问产品是否符合OPSEC标准,是否通过了OPSEC认证。因为选择不符合OPSEC标准的产品,用户将失去选择权,将不得不接受厂商先低后高的价格,永远被“套牢”。
最后值得一提的是,安全、管理、开放和灵活性始终是Check Point维护 Internet安全的宗旨。所有的Check Point软件产品都是建立在“安全虚拟网络(SVN)构架”之上的,可以通过互联网、企业内联网和Extranet为用户、网络、系统和应用提供无缝安全集成。
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]