Check Point Software Technologies: Pure Security

您面临的挑战
业务迅速发展，您的IT基础建设也要随之发展。实际上，业务变化得太快，许多企业都来不及适应这种变化。 诸如网络电话（VoIP）和即时信息（IM）之类的新的应用正在推动变革。 同时，还必须处理新的企业需求――例如循规一致性和企业连接性上的障碍――不再提及新的威胁网络的安全的攻击。您的选择是什么？在安全措施没有到位之前减缓企业发展，或者让您的网络面临攻击的风险。

我们的解决方案
VPN-1® Power 安全网关提供了一种积极防御方案，它使您能够保护要求最高的站点－例如核心网络和数据中心。新的应用不断引入、新的威胁不断出现，Check Point 统一安全结构的中心要素VPN-1 Power 适应了这种变化－主动保护新技术，例如IM和VoIP，防止所有类型的攻击。VPN-1 Power 有先进的安全加速技术，能够确保不危及安全的情况下企业信息有效流动，同时集成了防火墙、VPN和入侵防护解决方案，该方案可以保护企业安全，保证信息可用。

积极防御各种威胁
VPN-1 Power利用真正综合的安全来防止下一代威胁和攻击，这种综合安全建立在 FireWall-1®和 SmartDefense™ 入侵防护技术之上。 FireWall-1和SmartDefense 密切合作，就如同他们是一个应用程序――共同对抗现有的各种网络威胁。

FireWall-1基于Check Point拥有专利的状态检测防火墙，它是互联网安全的实际标准。它理解网络流量的内容，给150多个预定义的应用程序、协议和服务例如Citrix, Oracle, Web 会议等提供“开箱即用”的支持。 因为FireWall-1的可扩展性，其很快就适应了那些在网络中新出现的各种需要保护的应用程序。
SecurePlatformTM Pro 支持管理员在五分钟内将定制的基于英特尔芯片或者AMD 芯片的开放服务器变成预先强化、高性能的VPN-1 网关。它还包括经过扩展的动态路由、多点传送支持、对管理员支持的集中管理。

SmartDefense 入侵防护使用 Application Intelligence™ 技术来说明应用程序和协议应该如何发挥作用。有了这些信息，SmartDefense入侵防护可以预先阻止来自可疑行为的所有类型的攻击。即使出现了新变种，你也会受到保护――无需签名更新，这些签名更新直到威胁造成损失之后才会出现。 Check Point SecureXL™ 安全加速技术能够让你在吞吐量超过5Gbps时进行预先入侵防护保护――使用开放式服务器上的所有默认积极防护措施。

这也意味着，公司可以部署先进的应用例如视频和音频，而不必担心未知缺陷会危及网络安全。由于IT安全部门在整个分布式网络中部署VoIP，VPN-1 Power 通过保证VoIP会话满足标准要求，阻止了零散的攻击。通过识别大量可疑的呼叫请求（这些请求可能产生攻击）它也阻止了通信系统上的服务拒绝（DoS）攻击。

同样，您也可以中止脆弱的应用程序，例如IM客户端。它们没有遵循公共标准或坚持P2P的文件交换，这些文件已经通过了VPN-1 Power 安全网关。很难阻止进入网络的间谍软件和不良软件的通用载体之类的应用程序，因为它们采用了内置的伪装技术。VPN-1 Power 安全网关可以识别这些企图，可以提供控制潜在有害应用程序的方法。

为了降低内部端点安全入侵的风险，VPN-1 网关与 Integrity™ 端点执行结合为一体。如果内部主机要访问VPN-1 网关之外的资源，它会检查 Integrity 端点安全客户的状态，确定主机是否符合安全策略。管理员既可以拒绝不相符的主机访问，也可以记录该不相符行为以备用。

VPN-1网关也可与安装了综合的Intel vPro 系统的计算机一道提供内部安全的外部层。如果带有vPro网络接口卡（NIC）的计算机试图违背安全策略，VPN-1 可以锁定它，以阻止进一步的网络访问。

Web服务器的综合保护

 Web Intelligence™是一种随意的 Web 应用程序防火墙。企业可以在VPN-1 Power 安全网关上部署它以便提供高级的 Web 应用程序安全。 Web Intelligence保护Web应用程序免受常见黑客技术的攻击，这些技术有命令注入、跨点脚本、目录穿透、LDAP注入和SQL注入。Web Intelligence 还包括Malicious Code Protector™,这是一种阻止缓冲溢出攻击的专利未决技术。Malicious Code Protector 使用特殊的检测机制分析可执行码的行为，不需要签名的帮助就可以发现恶意攻击，阻止已知和未知的攻击。

VPN-1 UTM Power: 带内容检查的加速安全
因为有些企业想获得统一威胁管理解决方案中的内容检测能力，所以客户选择了购买 VPN-1 UTM Power。 VPN-1 UTM Power 提供了VPN-1 Power里的加速安全，而且补充了综合防病毒和Web 过滤功能。这些功能经过SmartDefense 服务更新后，就能给电子邮件、Web和其他内容驱动的信息提供更高的安全级别。

SmartDefense 服务
SmartDefense 服务支持VPN-1 Power安全网关，它让Check Point 安全基础保持了最领先的安全。为了帮助您防止新的威胁和攻击，SmartDefense 服务给防护和安全策略提供实时更新和配置向导。SmartDefense 服务是一种适用于所有Check Point产品的基于订购的解决方案。通过加强现有防护、添加定期产品更新之间的新防护技术，它可以让你随着威胁的发展而发展或者领先于威胁的发展。

全面控制，完全可视
实现安全目标的关键是有适用于整个安全环境的强大的管理、审核和分析工具。VPN-1 Power作为Check Point 统一安全结构的一部分，它可以统一控制安全策略，统一可视分布式安全结构里的安全信息。使用SmartCenter™ Power，您可以定义一种策略，这种策略可以在所有VPN-1 Power、VPN-1 UTM,和 VPN-1 UTM Edge™ 安全网关上执行。运用一条策略，您就降低了配置错误出现的风险，节约了管理安全所需的时间。

SmartCenter Power 通过控制和可视网络内的其他Check Point 解决方案，提高了企业的效率。Connectra™ Web 安全网关、InterSpect™ 内部安全网关和Check Point Integrity™ 端点执行都与SmartCenter Power 结合为一个整体，因此，您可以从单独的控制台查看全部安全信息中的安全事件。

由于像内容检测这样新的安全功能被添加到VPN-1网关，所以企业可以更新SmartCenter ，而且不必使用插件程序管理更新来进行全部更新 从SmartUpdate™ 中心更新其他Check Point 安全解决方案，降低了保持安全实时更新的成本和复杂性，缩短了保证所有网关都有最新安全防护所需的时间－降低了攻击风险。

集成了日志浏览器的 Check Point SmartViewTracker™ 统一了分布于整个网络的Check Point 解决方案的日志。通过日志信息浏览器，您就可以马上知道重要安全事件，及时采取合适的行动。

VPN与整个安全的连接
因为企业要处理日益增加的复杂的虚拟专用网，于是VPN-1 Power 包含了一整套技术来建立远程访问和点对点VPN，这些VPN简化配置的同时仍然保留了适应不同部署案例的灵活性。

简化复杂的点对点VPN
随着链接视频、音频和其他应用程序的复杂性不断增加，企业需要一些工具，以便用最小的努力应能构建复杂的拓扑结构。 通过提供统一创建和管理复杂的VPN的方式，VPN-1 Power可以满足这种需求。 SmartDashboard™ 让管理员能够定义大规模VPN中的参与者－包括第三方VPN网关。VPN网关可以配置为星形或混合型结构，为了提供更大的灵活性，VPN-1 Power可以用两种方式定义和创建VPN：
基于路由的VPN—管理员定义VPN规则加密什么样的信息，这样就能够在动态环境下创建复杂的、大规模的点对点VPN 基于路由的VPN也支持拓展动态路由和VPN间的多点传送通信。

基于域的VPN—管理员定义网关后的哪些资源应该有加密的VPN信息。

灵活的远程访问支持
由于用户、应用程序和所需的端点安全级别类型不同，每个企业对远程访问都有特殊的要求。 使用VPN-1 Power里支持远程访问的IPSec 和SSL VPN技术，可以满足远程用户的不同需求。

1. VPN-1 SecuRemote®—VPN-1 SecuRemote 为远程用户提供基本的IPSec连接
2. VPN-1 SecureClient™—VPN-1 SecureClient 提供完整的IPSec连接，该连接具有完整的集中管理的桌面防火墙
3. Integrity SecureClient—Integrity SecureClient 拓展VPN-1 SecureClient里的安全，该有VPN-1 SecureClient具有Integrity 端点安全，基于获奖的ZoneAlarm® 个人防火墙

SecureClient Mobile—SecureClient　Mobile给无线设备（例如移动电话）提供防火墙保护和安全、不间断的远程访问

SmartDashboard 不但能够集中控制VPN-1 Power，而且能集中控制整个安全基础设施

1. SSL Network Extender—SSL Network Extender™ 是一个随机的客户端，该客户端运用浏览器插件程序可以提供对整个网络层的安全访问，让远程用户在其本地界面就能访问电子邮件或其他网络应用。
2. Integrity Clientless Security—Integrity Clientless Security 减少了来自未受管理PC的风险（这些PC连接到面向Web资源），执行预登录安全策略，阻止间谍软件，保持随机的、端对端会话的机密性，而不需要预安装客户端。

创建安全的VPN

Check Point理念的核心就是VPN连接必须与高度的安全级别相匹配。VPN-1 Power 将 FireWall-1 和SmartDefense 与VPN 技术合为一体，让您能够安全连接远程用户、站点和合作伙伴，无需担心VPN会变成后门。依据您的判断，VPN-1 Power可以将整个安全策略应用于加密信息、信息子集，或者允许未经检查的VPN信息进入。
另外，它还为VPN提供了强大的安全保障，可以阻止DoS攻击例如与违背互联网交换协议（IKE）机制的攻击。VPN-1 Power 对IKE DoS执行特殊的解决方案，在分配资源之前，询问试图连接的未知网关来解决计算密集的问题。

高性能和高可用性

VPN-1 Power 在开放式服务器上的加速安全超过12 Gbps ，确保了在不危及安全的情况下信息的可用性。VPN-1 Power 安全网关使用Check Point拥有专利的SecureXL™ 安全加速，能够让您在开放式服务器和设备上获得最佳性能，即使它们正在遭受 DoS攻击。

VPN-1 Power使用先进的流动技术――这种技术允许在内核级别执行软件包处理，极大地改善了网络层和应用层的检测，这通常是一个计算密集的任务。 将SecureXL框架和流动技术与 Check Point对开放系统的承诺结合起来，可以用最低的成本获得最佳的性能

综合的VPN服务质量(Qos)

QoS是对所有VPN的要求，在这些VPN中，性能至关重要，因特网很可能产生拥塞。FloodGate-1® 可以保证重要任务VPN-1信息的最佳性能，让客户能够将专用WAN的重要业务流量转移到因特网。

高可用性和加载共享

ClusterXL® 分配VPN-1 Power 网关上所有类型的信息，如果不能到达某个网关，所有连接就会重寄到丛集里的其他成员。添加任意ClusterXL模块或添加丛集成员可以实现近线性性能。

不间断转发

ClusterXL 与BGP或OSPF等动态路由协议相结合后，拥有业内唯一的高度可用性执行点，该执行点还具有重启功能， VPN-1 Power 极大地提高了重要任务应用程序的可用性，削除了不必要的连锁反应。 当VPN-1 Power网关不可用时，路由表里的变化会导致连锁反应，这会使流量转发至少中断10分钟。