防火墙软件刀片
总体介绍
Check Point Firewall Software Blade(防火墙软件刀片)是世界上最成熟可靠的防火墙解决方案,深受信赖,被全球财富100企业采用,以保护他们的网络安全。防火墙软件刀片可以提供最高程度的安全,具有访问控制、应用安全、认证和网络地址转换(NAT),可以阻止未经授权的网络用户和保护企业用户和数据安全。防火墙软件刀片利用Security Management Software Blades(安全管理软件刀片),实现了远程智能管理的最大效能。
通过采用最灵活的智能检查技术INSPECT,防火墙软件刀片将网络层和应用层保护集成在一起。INSPECT支持多种应用程序和应用协议,可以方便地扩展支持新的应用程序和应用协议,无须进行大面积的软件升级。Check Point的每一个安全网关包括防火墙软件刀片。
Check Point率先推出了Stateful Inspections(状态检测)并获得了专利。1997年2月25日授予的美国专利号5, 606, 668涵盖多项产品,其中之一就是Check Point软件实施“Stateful Inspections”技术控制网络流量。它有灵活且更改时操作简单的网络安全方法对进出网络的信息进行检查,并根据以前存储数据结果做出安全决策。
主要优势
- Check Point Firewall Software Blade(防火墙软件刀片)为全球财富100强企业提供网络安全保护;
- 全面的网络和应用防火墙,具有访问控制、攻击保护、应用层安全、认证和网络地址转换(NAT);
- 全面的网络和应用层防火墙;
- 行业领先的解决方案,将Check Point Security Management Software Blades(安全管理软件刀片)和Check Point Security Gateway Software Blades(安全网关软件刀片)紧密集成在一起;
- 高性能;
- 支持多个平台;
产品特点
访问控制
网络管理员需要方法来控制对网络、主机、网络服务和应用协议等各种资源的访问,确保安全。访问控制功能可以确定能够访问的资源以及如何访问。
认证
认证是为了证实经授权访问企业网络的有效用户的身份。根据各部门员工的职责和在企业中的角色为他们分配访问权限。认证可以确保所有访问系统的用户都是有效用户,但并不对他们的访问权限进行定义。
网络地址转换(NAT)
无论计算机是否有路由地址和非路由地址,网络管理员可能出于安全考虑可能会掩盖他们的真实地址,以确保从企业之外或企业内部其它部门无法看到他们的地址。网络内部地址含有网络布局信息,因此,隐藏这些信息可以大大增强安全。
ISP 冗余
ISP冗余可以确保可靠的互联网连接,它允许一个单一或集群安全网关通过冗余的互联网服务提供商(ISP)链接与互联网连接。Check Point的标准防火墙安装就具有这一功能,不需要配备昂贵的新的网络连接硬件和专业操作知识。ISP冗余有两种模式:Load Sharing(负荷分担)和Primary/Backup(主用/备份)。
桥接模式
桥接模式安全网关工作方式就像一个普通防火墙,对网络流量进行检查,允许或阻止未经授权或不安全的流量。第3层所有流量都看不到桥接模式安全网关。当经授权流量到达网关时,它们通过桥接程序从一个接口到达另一个接口。桥接模式在两个或两个以上接口之间创建了2层关系。基于这种关系,任何进入一个接口的流量总会从另外一个接口通过。这样,防火墙就可以检查并发送流量,不会对原有的IP路由造成干扰。
规格描述
| 功能 | 详细描述 |
|---|---|
| 应用协议/应用支持 |
支持200多个应用程序和应用协议 |
| 网络电话保护 |
Sip、H.323、MGCP和具有NAT支持的SIP |
| 网络地址转换(NAT) |
静态/隐藏NAT支持,并有手动和自动规则 |
| DHCP网关 |
Check Point防火墙安全网关可以有动态IP地址 |
| VLAN(虚拟局域网) |
最多可有256个VLANs |
| 链路聚合 |
802.3ad被动和802.3ad主动(特制)
|
| ISP冗余 |
负荷分担或者主用/备份 |
| 桥接模式/透明模式 |
在Check Point操作系统SecurePlatform上支持,只针对成对的接口; |
| 广泛的策略对象 |
各个节点、网络、分组、动态对象
|
| IP版本 |
IPv4和IPv6 |
| 故障保护 |
故障过滤器(Default Filter)在启动期间和初始策略之前提供保护 |
| 内部安全通讯(SIC) |
在属于单一管理域的所有Check Point分布式组件之间进行基于证书的安全通讯通道 |
| 认证 | |
| 基于用户和角色的防火墙规则 |
用户认证、客户认证、会话认证 |
| 本地用户 |
Check Point Password可以存储静态密码,无需另外的软件 |
| Radius和Radius分组 |
多个服务器和MS-CHAPv2、MS-PAP方法 |
| LDAP和LDAP分组 |
Microsoft Active Directory, Novell Directory Server,
Netscape Directory Server, OPSEC certified LDAP server |
| TACACS+ |
支持 |
| RSA Securid |
支持 |
| 内部CA |
能够生成用户证书 |
| Customizable Authentication messages(可定制的认证信息) |
支持 |
| Schema extension |
支持 |
| 目录管理 |
通过图形用户界面实现 |
更新
新的网络安全威胁不断涌现,而且日益复杂。为保持业务连续性和生产效率,必须尽快提升安全保护,获得能够保护企业的技术和功能。Check Point更新服务通过关键的热补丁软件、服务包和主要软件更新,可以预防新的安全威胁。
优点:
- 通过使用关键热补丁和服务包,确保安全连续性;
- 通过提供主要更新和升级,使投资回报最大化;
- 利用最新的应用程序、功能和技术提高安全水平。