Check Point Software Technologies: Pure Security

Web 智能
为整个Web环境提供保护
您面临的挑战

一个无法否认的事实是——商业活动越来越依赖因特网。曾经只有在公司的LAN才能接触到的传统的客户端-服务器应用现在已经可以在Web上访问。但是,迅速采用因特网、企业内网和外网也增加了将关键数据暴露在攻击者和非授权访问者面前的风险。

一个完整的Web环境包括网络、操作系统、Web服务器和后台系统。很多基于Web的软件应用在设计时没有优先考虑安全性。因此,Web应用经常会有安全缺陷,从Unicode解码到各种形式的缓冲区溢出。每天都会发现新的软件漏洞。黑客们不断地变换新的方式来利用Web环境中的漏洞。随着Web应用变得越来越流行,他们也变成了主要的攻击目标。

即使企业努力地寻求可以保护他们的Web投资和有用数据的解决方案,还是发现目前大部分方案都是无效的。他们最多可以提供一个部分解决方案——没有人可以提出一套保护整个Web环境的完整解决方案。

我们的解决方案
Web Intelligence™是唯一可以为整个Web环境提供完整保护的Web应用防火墙技术。Check Point网关配备了状态监测、应用智能和Web Intelligence™技术,为网络、操作系统、Web服务器和后台系统提供多层次防御,例如:VPN-1® Pro™, VPN-1 Express 和 Connectra™。

Web服务器。Web Intelligence得到SmartDefenseTM服务的支持,后者通过提供实时防范更新和配置建议来防御新威胁。

产品描述
Web Intelligence™是一组用于检测和抵御Web攻击的高级功能。它为Web的商用和通信提供综合保护。

产品特点

  1. Malicious Code Protector®
  2. 高级流量检测
  3. 简单部署和管理
  4. 与Check Point产品的无缝集成

产品优点

  1. 建立最强大的缓冲区溢出攻击保护
  2. 提供线速应用层Web安全保护
  3. 通过插入帮助台Web网页来改善最终用户体验
  4. 为关键任务应用程序提供快速部署
  5. 通过SmartDefense™服务抵御新威胁

NGX

NGX平台提供Check Point统一安全架构

Web体系结构的每一层都存在多个弱点

Web Intelligence特性
Malicious Code Protector(恶意代码保护器)
Check Point特有的Malicious Code Protector™提供一种创新的方式——无需攻击特征即可识别缓冲区溢出、堆溢出和其他针对Web服务器的可执行恶意代码攻击。它在Check Point已有的应用智能的基础上提供另一层面的强大保护。通过识别数据流中的恶意代码和潜在的恶意行为,Malicious Code Protector可以在Web通信中检测到可执行的恶意代码。

Malicious Code Protector有四项重要的检查工作:
•监控Web通信,寻找潜在的可执行代码
•确认可执行代码的存在
•鉴别可执行代码是否恶意
•防止恶意的可执行代码到达目标主机

Malicious Code Protector可以识别已知和未知的攻击,提供优先的攻击保护。最近的实验室测试证实它具有极高的准确性。而且,这种级别的保护并不以牺牲性能为代价,因为Malicious Code Protector是在内核级提供相当于线速的吞吐量。

高级流量检查
高级流量检查是Check Point基于内核的技术,用于处理所有的通信内容。高级流量检查拥有状态监测和应用智能能力,是基于Check Point的INSPECT™引擎。这种技术可以基于会话和应用信息决定实时安全策略。同时,即使跨越多个TCP段,Web Intelligence也可以了解Web通信。从Web Intelligence开始,密集进程的应用检测被下放到内核级,极大地改善了吞吐量和连接速度。

Web Intelligence 性能*
吞吐量:1.9 Gbps
连接速度:8,300 HTTP连接/秒
*在默认的WebIntelligence设置下获取的性能

动态保护(protection on the fly)
高级流量检查在Web Intelligence中引入了Active Streaming,允许在活动中修改Web连接内容。这个重要的能力赋予Check Point客户一些独特的优势。

Active Streaming引入了HTTP头欺诈功能,通过隐藏重要的站点特性实现第一级保护。这些特性通常包括操作系统的名称和版本,以及Web服务器和后台服务器的身份标识。这种信息对终端用户一般没有什么用,但是对那些企图搜集目标信息的攻击者而言却十分有价值。Web Intelligence可以截获含有服务器身份标识的Web响应,让管理员来决定是完全隐藏这些信息还是更改数据流从而迷惑攻击者。

可用性增强

管理员通过Active Streaming预先定义好客户错误页面,以此增强终端用户经验。对大多数用户而言,一般的错误状态代码是无意义的。Active Streaming把终端用户指引到预先定义好的客户错误页面,其中包含有意义的帮助台提示。这个特性极大地提高了终端用户的认识,同时减少了帮助台的开销。

恶意代码保护器根据代码的行为,而不是签名来识别威胁。

整个Web环境保护

简单部署和管理
VPN-1的Web Intelligence管理被完全整合到SmartCenter™安全管理GUI中。这个用户接口被预先配置好,用来防御已知的普通攻击——每种都有攻击和防御描述。如上边截图所示,“Web Server View”是企业里所有Web服务器的指令中心,提供适用于各种服务器的保护类型总和。因为每台Web应用服务器都有与众不同的安全需求,Web Intelligence分别为不同的Web应用和Web服务器提供配置安全的能力。第一次配置Web Intelligence只需要几分钟。

Malicious Code Protector根据代码行为而不是特征来识别威胁。(图下方文字)

Web Intelligence还引入了监听模式,允许平滑的安全部署,防止因为安全策略的配置错误拒绝一个关键应用的连接。

与Check Point产品无缝整合
由于与VPN-1 Power、VPN-1 UTM、UTM-1和 Connectra网关紧密整合,Web Intelligence不需要安装其他附加设备。对于VPN-1和UTM-1,Web Intelligence由优异的SmartCenter进行管理。已经熟悉用户界面的管理员可以不必学习就开始管理。安全和审计日志被整合到VPN-1和UTM-1其余的安全日志中,使管理员可以集中分析任何安全侵犯行为。与SmartCenter整合还可以提供全面、丰富的企业级报告、审计和实时监控能力。

通过与SmartCenter的集成,提供了全面、丰富的企业级报告、审核以及实时监控功能。Web智能受到SmartDefense服务的支持,因此对于Check Point安全体系结构来说,可以保持最新前瞻性安全保护。为了帮助您提前防御新威胁和攻击,SmartDefense服务提供了对防范和安全策略的实时更新和配置建议。

Web智能的日志集成在SmartCenter之中

Web保护
恶意代码
Malicious Code Protector™(恶意代码保护器)
一般HTTP蠕虫捕获器

应用层

  1. 跨站点脚本保护
  2. LDAP植入保护
  3. SQL植入保护
  4. 命令植入保护
  5. 目录游走保护

信息泄漏

  1. 执行头欺骗
  2. 目录列表防御
  3. 错误隐藏

HTTP协议检测

  1. HTTP格式大小
  2. 仅ASCII请求执行
  3. 仅ASCII响应头执行
  4. 头拒绝(Header Rejection)定义
  5. HTTP方式执行

执行选项
激活模式

  1. 阻塞和跟踪
  2. 阻塞、跟踪和发送HTML错误网页

监听模式

禁止模式

配置
由Web Intelligence保护的单个服务器
对每个服务器激活攻击保护
对每个攻击防御,应用单个服务器或检测所有HTTP流量
与特定Check Point网关相关的可定制的SmartDefense配置信息

实时保护和防御升级
SmartDefense®服务订阅

许可要求
Web Intelligence基于每个网关发放许可证(根据Web Intelligence所保护的服务器数量:3台、10台或无限制)

系统需求
Web Intelligence与相关的Check Point网关具有相同的系统和配置需求:
支持的网关版本:R55W、R60或更高版本
支持产品:

  1. FireWall-1®
  2. VPN-1® Power™
  3. VPN-1 UTM
  4. UTM-1
  5. Connectra™ (Web智能包含在购买中)

Web Intelligence可以使用SmartCenter™ Power或 SmartCenter UTM™进行管理