VPN-1 Power VSX软件
总体介绍
VSX安全操作平台是一个虚拟化的安全网关,能够将5到数百个安全系统集成在一个单一的硬件平台,大大节省成本。在VPN-1 Power提供的成熟安全技术基础上,VSX为多个网络系统提供同类最佳的防火墙、VPN(虚拟专用网络)、URL过滤和入侵防御技术,使它们彼此安全地连接和共享资源,如互联网和DMZs区。所有安全系统,无论是虚拟还是实体,都通过Check Point SmartCenter或者Provider-1管理控制台进行集中管理。功能强大的VSX-1设备可以进一步降低部署成本,同时提供电信运营商级的可靠性和可扩展性。
VSX通过运行一个由数百个路由器、开关和VPN-1网关组成的虚拟网络来优化空间和成本。对于MSPs,VSX是一个理想平台,可以通过简单高效地提供新的安全服务提供增加收入的机会。这些包括增值虚拟内容过滤、VPN、网络划分和防火墙服务,利用VSX的虚拟系统向导(Virtual System Wizard)以尽可能低的成本即刻提供这些服务。
优点
- 独特、全面、虚拟化的安全解决方案包含了防火墙、VPN、IPS和URL过滤。
- 将5 到数百个安全网关合并到单一装置中,提高了装置的利用率,降低了电力消耗和空间占用。
- 性能具有线性可扩展性,最大可达27Gbps。
- 灵活的部署方案,包含软件和全套的交钥匙设备。
- 单一的、成熟安全管理架构。
灵活的部署方案
- 设备 – 包含广泛内容、功能强大和高可扩展性的VSX-1设备能够符合任何网络安全要求。
- 软件 – VPN-Power VSX软件可以安装到经过Check Point认证的多种开放服务平台上,运行SecurePlatformTM。
产品特点
可扩展的虚拟环境
随着VSX作为软件或者VSX-1设备的部署,网络管理员可以对传统的物理布局和设计进行虚拟化实施,包括中央和远程DMZs。VSX平台可以在一个单一或集群的硬件平台创建和管理最多250个完全独立的安全系统。这在具有可扩展性的同时,大大减少了硬件投资、空间要求和维护成本。
灵活的虚拟连接
虚拟路由器和交换机可以用来在虚拟系统背后的网络之间进行通讯传输,跟在实体网络完全一样。VSX支持多种路由方案,可以进行灵活的网络连接。
- 桥接模式中的虚拟系统
VSX有能力接纳以路由器或者桥接模式运行的虚拟系统。在桥接模式下部署虚拟系统的能力使管理员能够实施本地2层桥接,而不是通过IP路由,从而无需对网络设置和布局进行重新配置即可将一个虚拟系统明显地添加到网络上。
- 路由传播
当一个虚拟系统连接到虚拟路由器或者虚拟交换机时,管理员可以选择将路由信息传播到临近的虚拟设备。这一功能使临近虚拟系统背后的网络节点进行通讯,无需手动配置。
- 重叠IP地址空间
当多个网段公用相同的IP地址区间时,VSX可以便利连接。这种情况出现在当单一的VSX网关对几个从同一个IP地址池将IP地址分配到各个端点的独立网络进行保护时。因此,在VSX环境中,一个以上的端点共享同一个IP地址,而每一个位于不同的虚拟系统之后。在VSX环境中重叠IP地址空间是有可能的,因为每个虚拟系统维持自己独特的状态和路由表。这些表可以包含相同的条目,但这些条目存在于不同的、彼此隔离的环境中。
- 源基路由
源基路由使管理员能够确定优先于普通的基于目的的路由决定的路由定义。这样,管理员可以根据他们的源IP地址或者源IP地址与目的地IP地址的结合发送信息包。如果没有VLAN标签的单一的实体接口连接数个受保护的客户网络,在部署时可以用到源基路由。每个虚拟系统连接到内部的虚拟路由器。虚拟路由器根据源基路由表定义的源IP地址,将通行流量路由到相应的虚拟系统。
- 动态路由
虚拟设备彼此之间利用动态路由可以进行通讯和分配路线。VSX为虚拟系统和虚拟路由器提供完整的3层动态路由。支持的单播和多播动态路由协议有OSPF、RIP-V1/2、BGP-V4、IGMP、PIM-SM、PIM-DM。
高性能安全
高带宽网络要求高性能的网关才能支持数千个用户和应用程序。VSX采用Check Point获得专利的SecureXLTM安全加速技术,使它能够从开放的服务器和设备获得最高的性能,即使是在DoS(拒绝服务)攻击期间也是如此。要提供线速安全,利用Check Point的高性能技术可以将VSX部署到多个电信运营级的平台之上,确保安全、有弹性、数千兆的吞吐量。要使性能、容量和系统可扩展性实现最大化,VSX提供以下功能和技术:
- 虚拟系统负荷分担(VSLS)能够在集群成员之间分配虚拟系统,从而能够在集群内有效地分配流量负荷。
- VSX资源控制使管理员能够管理负荷处理,保证每个虚拟系统将得到最起码的CPU分配资源。某个虚拟系统不需要的资源自动分配给其它虚拟系统。管理员还可以限制低优先级虚拟系统的CPU的时间,给担负重要任务的虚拟系统分配更多容量。
- VSX QoS(服务质量)执行通过支持差异化服务协议和将不同的传输特征分配给不同级别的服务,能够控制VSX网络环境中的网络服务质量。这有助于在资源负荷过重时,对通行流量的处理进行优先排序。
- ClusterXL具有高可用性和负荷分担功能,以保持企业运行。它在集群冗余网关之间分配流量,这样可以将多台机器的计算能力结合起来增加总吞吐量。如果单独的网关无法获取,所有连接就会被重定向到指定的备份,而不受干扰。
全面的安全服务
基于FireWall-1®
和 SmartDefense™ 入侵预防技术,VSX为复杂基础设备内的多重网络或者VLANs提供全面的保护,使他们安全地与互联网和DMZs等共享资源连接。VSX网关基于Check Point获得专利的Stateful Inspection,这也是互联网安全的实际标准。VSX对超过150个的预定义应用程序、服务和协议,开箱即可使用,确保企业使用的大多数应用程序进入网络时免遭安全威胁。例如:
- URL过滤 – 保护用户或者限制访问一系列不断更新的预定义内容。
- 网络电话(VoIP) – 随着许多公司纷纷采纳网络电话降低通讯费用,VSX提供全面的VoIP应用协议支持,确保重要的业务通讯。V其支持的VoIP应用协议包括H.323、SIP、MGCP和Skinny(SCCP)。
- 即时通讯和点到点(P2P)应用 – 这些是这些是网络蠕虫、病毒和间谍软件共同的攻击目标。VSX通过检查这些应用程序的内容或者预防他们进入企业网络,从而确保这些应用程序的安全。
VSX得到SmartDefense Services, 的支持,它为Check Point安全基础设备提供最先进的先发保护。VSX还具有灵活性,确保远程访问,支持最全面的客户端访问方案(IPSec、SSL、VPN、移动访问)。
成熟、可靠的安全管理架构
VSX通过Check Point’s SmartCenter™
和 Provider-1®
管理解决方案。两者构成强大的工具,可以集中配置、管理和监控多重VSX安全操作平台、虚拟系统和vpn-1物理网关。在Check Point的安全管理架构(SMART)基础上,这些解决方案可以根据网络要求灵活地选择适当的管理解决方案,Check Point的One-Click VPN技术还可以使虚拟系统无缝添加到VPN当中。新的虚拟系统自动继承适当的功能,能够与企业网络中的所有其它VPN家族成员立即建立安全时段。其它工具与虚拟系统创建向导和模板有助于实施服务器形象标准化,并进一步简化部署和配置VSX的流程。
如果将VSX与Provider-1结合使用,企业可以对不同的业务小组或者客户划分,按照功能或者网段对网络进行分级。因此,管理员可以为不同的网段保留单独的策略,可以将大的规则基础分成几个小的规则基础,以便于管理和更好地控制网络安全。
方便服务提供商
利用VSX,只需点击按钮即可提供安全服务,使服务提供商以尽可能低的成本从虚拟安全服务中获利。功能包括新的URL过滤功能,它可以保护用户,或者限制访问内容。这对已经存在的业内最佳的安全服务是一个补充。
规格描述
VSX可以作为设备或者开放式服务器兼容硬件上的软件来部署。
|
VSX-1 3070 |
VSX-1 9070 |
VSX-1 9090* |
VSX 版 |
R65 |
R65 |
R65 |
虚拟系统 |
|||
已包括 |
5 |
10 |
10 |
容量 |
10 |
150 |
150 |
性能 |
|||
防火墙吞吐量(千兆) |
4.5Gbps |
13.5 |
27 |
VPN吞吐量(千兆) |
1.1 |
3.5 |
7 |
并发 Sessions |
100万 |
110万 |
180万 |
接口 |
|||
内置接口 |
10 千兆以太网(GbE),铜电缆 |
14 千兆以太网(GbE),铜电缆 |
28 千兆以太网(GbE),铜电缆 |
备选接口 |
不适用 |
LOM |
LOM |
存储 |
|||
外壳 |
1U |
2U |
4U |
外形尺寸 |
17.4 x 15 x 1.73 英寸 |
17 x 20 x 3.46 英寸 |
17 x 20 x 7 英寸 |
外形尺寸 |
443 x 381 x 44毫米 |
431 x 509.5 x 88毫米 |
431 x 509.5 x 176毫米 |
重量 |
6.5公斤 (14.3 磅) |
16.5 公斤 (36.3 磅) |
33 公斤 (72.6 磅) |
供电 |
|||
双回路、热交换电源 |
无 |
有 |
有 |
功率输入 |
100 ~ 240V; 50 ~ 60Hz |
||
功率(最大) |
250W |
400W |
800W |
功耗 |
77.5W (最大) |
200.7W (最大) |
400.5W (最大) |
工作环境 |
温度:5-40℃;湿度:10% - 85%,不凝结; 海拔高度:2, 500米 |
||
合规性 |
UL 60950;FCC 第15章B小节A类;EN55024;EN55022;VCCI V-3AS/NZS 3548:1995;CNS 13438 A类(通过测试);正在等待批准)KN22KN61000-4系列 TTA;IC-950;ROHS |
||
*VSX-1的嵌入式负荷分担解决方案
软件
VPN-1 Power VSX软件经过测试,与多种目前的硬件平台兼容。
|
系统要求 | |
|---|---|
| 平台 | SecurePlatform™ compatible Open Servers, Crossbeam X Series, IBM BladeCenter (firewall module only), Nokia IPSO |
| 处理器、磁盘空间、内存、网络接口 | 英特尔奔腾II 1千Hz-Plus或者同等处理器,4GB,256MB,至少3个(VPN-1 Power VSX集群) |
| SmartDashboard平台、磁盘空间、内存 | Windows 2000/2003/XP/ME/98, 100 MB, 256 MB |
| Provider-1平台、磁盘空间、内存 | SecurePlatform™, Linux, Solaris 800 MB; 每个500MB,CMA256MB |
| 远程访问客户端平你太、磁盘空间、内存 | Windows 2000/XP/2003, Macintosh, Linux, 20 MB, 64 MB |
|
技术规格描述 | |
|---|---|
|
防火墙
| |
| 协议/应用支持 | 确保200多个应用程序和协议 |
| 协议/应用支持 | 确保200多个应用程序和协议 |
| 网络语音电话保护 | Sip,H323、MGCP和SIP,并有NAT支持 |
| 即时通讯控制 | MSN、Yahoo、ICQ和Skype(包括over HTTP和SSL) |
| P2P阻断 | Kazaa, GNUTella, BitTorrent, eMule, IRC (包括over HTTP) |
| 网络地址转换 | 静态/隐藏的NAT支持,有手动和自动规则 |
|
URL过滤
| |
| 安全互联网访问 | 按照虚拟系统激活 |
| 站点类别 | 数十个预配置类别,例外溢出 |
| 监控 | 备用激活使用监控 |
| 白名单/黑名单 | 控制访问具体的用户定义站点 |
|
VPN
| |
| 加密支持 | AES 128-256 字节, 3DES 56-168字节 |
| 认证方法 | 密码、RADIUS、TACACS、X.509、SecurID |
| 证书授权 | 集成X.509证书授权 |
| VPN家族 | 在创建对象时,自动设置站点连接 |
| 拓扑支持 | 星状和网格 |
| VPN路由 | 网关链接选择,动态分配IP地址,通用路由封装(GRE)支持、线模式VPN |
| VPN客户端 | Check Point端点安全、VPN-1SecureClient、VPN-1SecuRemote |
| 基于SSL的远程访问 | Fully integrated SSL VPN gateway provides on-demand SSL-based access |
| 基于SSL的端点扫描 | Scans endpoint for compliance/malware prior to admission to the network |
| 站点到站点VPN | 外在的多入口点(MEP)配置支持 |
| VPN隧道管理 | VPN链接可以配置为“经常”打开状态 |
|
入侵预防
| |
| 网络层保护 | 阻断安全攻击,包括DoS(拒绝服务)、断口扫描及与IP/ICMP/TCP有关的攻击 |
| 应用层保护 | 阻断安全攻击,包括DNS缓存定位、FTP反弹、不当命令等 |
| 检测方法 | 基于签名和协议 |
|
网络连接
| |
| 虚拟化 | 对所有网络组件(如虚拟路由器和交换机)全部虚拟化 |
| VLAN接口 | 每个集群4096 |
| 动态路由支持 | OSPF、BGP、RIP v1/2、在多个虚拟系统模式下多播 |
| DHCP支持 | SecurePlatformTM DHCP服务器和继电器 |
| 二层桥接支持 | 透明集成到现有网络内 |
|
性能和可用性
| |
| 故障恢复 | 瞬时故障的主动/备用桥接模式 |
| 负荷均衡 | VSLS(虚拟系统负荷均衡)在集群成员之间分配虚拟系统负荷 |
| 服务质量 | 为输入输出流量支持差异化服务 |
| ISP冗余 | 自动将通行流量导向第二个接口 |
| 通行加速度 | SecureXL加速安全决策 |
|
性能和可用性
| |
| 策略分离 | 对客户进行虚拟和逻辑分组、针对全局和客户的安全与VPN策略* |
| 集中管理 | 日志记录、监控、事件关联性、报告、安全更新、VPN和大规模策略管理和管理高可用性 |
| 基于角色管理 | 管理员全局和粒度访问与许可、同时多个管理员访问* |
| 日志管理 | 自动日志维护与合并 |
*Available with Provider-1
支持和保修
Check Point保证,从Check Point发运设备之日起3年内,设备的硬件部分在设计、材料和做工方面没有缺陷,只要按照所附说明书在环境下正常使用就能够正常工作。在一定条件下,保修期可以延长4到5年。如果保修期间装置出现硬件故障,根据以上列出的Check Point保修条件,客户可以通过在SecureTrak 网上服务请求中心 打开服务请求,来启动RMA(退货授权)服务,或者联系Check Point。
技术支持
设备标准支持
优点
- 经验丰富的工程师提供无限制的、全面支持;
- 提供一周工作5天每天5个小时支持和4个小时的专业响应,确保业务连续。
- Check Point及合作伙伴提供有效的硬件问题诊断和RMA服务流程。
- 第二个工作日即可发送更换备件,通常在2-3个工作日交付;
- 由 Check Point 技术支持中心(TAC)提供的RMA(退货授权)服务;
- 完整的软件支持 – 关键热补丁、服务包和软件购买升级;
设备特级/高级服务支持
优点
- 经验丰富的工程师提供无限制的、全面支持;
- 提供一周工作7天每天24小时支持和30分钟的专业技术支持中心响应,确保业务连续;e
- 对与相关设备有关的软件和硬件问题提供全球服务中心和一周7天每天24小时的有效支持;
- Check Point及合作伙伴提供有效的硬件问题诊断和RMA服务流程。
- 当日即可发送更换备件,通常在下一个工作日交付*;
- Check Point技术支持中心硬件专家提供的RMA(退货授权)服务;
- 完整的软件支持 – 关键热补丁、服务包和软件购买升级;
* 退货授权服务决定在地区中心时间15:00之前做出,否则将在下一个工作日发运,目标是在一天内交付。经要求,在周末有可能第二天交付,无需额外付费。
设备24x7特级/高级快速服务支持
优点
- 经验丰富的工程师提供无限制的、全面支持;
- 提供一周工作7天每天24小时支持和30分钟的专业技术支持中心响应,确保业务连续;
- 对与相关设备有关的软件和硬件问题提供全球服务中心和一周7天每天24小时的有效支持;
- Check Point及合作伙伴提供有效的硬件问题诊断和RMA服务流程;
- 从最近的服务中心以最快的途径在下一个航班即可将更换备件发送给最终用户(NFO)*;
- 客户可以保存硬盘(不另外收费),以保护敏感和保密信息;
- Check Point技术支持中心硬件专家提供的RMA(退货授权)服务;
- 完整的软件支持 – 关键热补丁、服务包和软件购买升级;
* 目前在美国和欧洲的客户可以获得此项服务。设备将在正常工作时间发运,可能在下班时间或者周末到达。
设备24x7特级/高级4小时现场支持
Check Point通过经培训的伙伴可以提供当地现场支持和快速的4小时物流支持。
有了现场服务支持,Check Point在4小时内派出经认证工程师交付并安装更换硬件。这可以确保在时间紧急的情况下顺利快速地更换设备。此项服务在特定地区提供,需要获得Check Point的批准。如需了解获得批准及其它信息,请发送邮件至premium_4H@checkpoint.com.
优点
- 经验丰富的工程师提供无限制的、全面支持;
- 提供一周工作7天每天24小时支持和30分钟的专业技术支持中心响应,确保业务连续;
- 对与相关设备有关的软件和硬件问题提供全球服务中心和一周7天每天24小时的有效支持;
- Check Point及合作伙伴提供有效的硬件问题诊断和RMA服务流程;
- 更换硬件时,经认证的合格工程师将在确定问题原因之后的4小时内到达客户所在现场,带去新硬件并提供基本安装服务;
- 客户可以保存硬盘(不另外收费),以保护敏感和保密信息;Check Point技术支持中心硬件专家*提供的RMA(退货授权)服务;
- 完整的软件支持 – 关键热补丁、服务包和软件购买升级;
*钻石级客户可以决定自己的RMA服务。
硬件支持和RMA服务
|
设备SLA |
RMA服务发运方法 |
RMA服务执行人 |
|---|---|---|
|
一般保修 |
根据习惯等交付;Check Point收到故障装置后发运更换装置 |
Check Point物流中心 |
|
标准模式 |
下一个工作日发运;通常在2-3工作日交付 |
Check Point物流中心;如果距离较远就是当地分销中心 |
|
特级/高级服务 |
在同一个工作日发运,目标是下一个工作日交付* |
如果在大部分欧洲地区和美国地区,是Check Point物流中心;如果距离较远就是当地分销中心; |
|
特级/高级快速服务** |
定制的快速交付服务-赶在下一个出港航班发运(NFO)
|
如果在大部分欧洲地区和美国地区,是Check Point快运物流中心 |
|
特级/高级 4小时到达现场服务*** |
合格工程师将在确认问题后的4小时内到达现场 |
由Check Point认证伙伴和分销商提供服务 |
|
* 退货授权服务决定在地区中心时间15:00之前做出,否则将在下一个工作日发运,目标是在一天内交付。经要求,在周末有可能第二天交付,无需额外付费。 | ||
