虚拟网络构架
时间:2021-05-31 04:00:50 来源:雅意学习网 本文已影响 人 
CheckPointSoftwareTechnologie从她诞生的那天起就致力于网络安全的研究。迄今为止,CheckPoint已协助81,000多个客户完成了221,000多次安装,为其圆满解决了网络安全问题。CheckPoint的安全虚拟网络(SVN)在保证互联网安全性方面有很强的优势,已经连接了100,000多个VPN网关和8千多万个VPN移动和远程用户。CheckPoint在全球VPN市场占有62%(2001年6月Datamonitor)的份额。其集成式安全虚拟网络(SVN)基础架构将多种性能集成在一起,将基于策略的管理与整个企业范围内的分布配置进行中央化处理。通过OPSEC联盟,CheckPoint的产品可与270多家业界一流合作伙伴提供的技术成熟的产品实现无缝集成。
SVN概述
用户若要充分利用互联网的强大功能,必须保证与自己相关的所有网络资源和数据的安全。这就要求用户必须配备全面的安全解决方案,来保护用户网络中所有要素:网络、系统、应用程序和用户等资源。CheckPoint的安全虚拟网络(SVN)体系结构独创了这种端到端的网络安全机制,让用户得以保护重要的互联网、企业内部网和企业外部网的安全。
SVN提供在整个网络环境中的网络、系统、应用程序和用户间的安全及互通性。CheckPoint所有的VPN、安全性、性能和管理解决方案,都已通过SVN结构实现集成,从而确保安全、可靠和可伸缩的企业网络。
SVN基础架构
从下面的图中我们可以看到,CheckPointSVN向用户提供的是开放式的安全平台和能满足用户各种需求的安全解决方案。
三.SVN解决方案
作为全球互联网安全的专业厂商,CheckPoint可有效解决当今网络和安全专业人员所面临的各种实际问题。
1)保护企业网络资源免受内部和外部攻击
CheckPoint的旗舰产品套件Firewall-1解决了为重要网络资源提供全面保护的难题。Firewall-1是一种完整的企业安全套件,它将访问控制、身份验证、网络地址翻译、内容安全、审核等实现完美集成。Firewall-1是基于开放式基础架构和业界标准设计开发而成的,最大范围内适用于各种配置和部署平台。
Firewall-1应用CheckPoint的StatefulInspection专利技术(Internet/Intranet安全解决方案实际标准),拥有一流的性能和最全面的技术支持服务和协议组合,可提供最高等级的安全性。使用基于规则的图形管理界面,可根据网络通信来源和目标位置、特殊应用程序、用户或用户组甚至时间来定义访问控制规则。
许多CheckPoint产品都是在OPSEC(开放式安全平台)基础上构建而成的。拥有OPSEC,当今市场上的一流厂商即可使用CheckPoint设计缜密的API(应用程序接口)来开发数千种集成产品和服务。
2)为移动和远程员工提供全球范围的安全连接
做为客户机到网关VPN的市场领导,CheckPoint通过VPN-1系列产品为确保内部网、远程访问和外部网的安全提供了完整的解决方案。VPN-1Gateway解决方案与SecuRemote/SecureClient有效组合,可提供功能强大的验证和加密措施、维护网络访问控制,同时利用中央管理的个人防火墙保护脆弱的客户端。
如果使用最新的验证技术(例如X.509数字认证)来配置VPN,CheckPoint可提供业界第一个监控公共密钥的VPN-1CertificateManager。VPN-1CertificateManager将各种成熟的技术(包括CertificateAuthority和LDAP)与统一的安装和管理界面完美地结合,这样您可以轻松自如的配置和管理PKI。此外,CheckPointVPN-1还提供开放式PKI方法,它支持多个PKI厂商的认证。(如Netscape的CA)
3)使用互联网降低广域网数据通信的成本
利用VPN-1和互联网的优势,实现企业各分支机构之间的网络连接,无疑将为企业运作带来崭新的观念。VPN-1Gateway解决方案包括成熟的Firewall-1安全性和业界一流的加密和验证性能,可保护通信的机密性和完整性。
对于那些现场没有专业IT技术人员的企业,CheckPoint可提供VPN-1Appliance。它是一种将CheckPoint的VPN-1Gateway软件与高性能IP路由集成在一起的一种硬件解决方案。企业可直接订购VPN-1Appliance并远程管理安全策略,使其成为各分支机构的理想解决方案。
当VPN用于重要企业应用时,CheckPointFloodGate-1可保证这些应用能够在合理分配的网络带宽中的QoS。对VPN环境要求极为苛刻的企业而言(例如:3DES加密和高吞吐量需求),CheckPoint还可为其提供VPN-1AcceleratorCard,该产品将基于硬件的加密和加速无缝集成到VPN-1解决方案中。
4)通过安全的外部网为合作伙伴提供网络资源
CheckPointVPN-1解决方案支持业界标准(例如:IPSec、IKE和X.509数字证书),确保VPN可以创建与合作伙伴、服务供应商和重要客户的安全联接。CheckPointVPN-1产品由ICSA(国际计算机安全协会)验证,以确保多个厂商之间的互用性。
建立安全联接后,应确保外部VPN用户不能自动访问整个企业网络资源。因为VPN-1网关可支持多个接口,可以灵活的将合作伙伴允许访问的服务器放置到其各自的DMZ(非军事区域),与那些合作伙伴不可访问的资源分开。同样,所有安全规则都集成到CheckPoint提供的中央管理服务器上进行统一的安全制定,并在所有安全实施点实现所有更改。
5)确保安全网络的性能、可靠性和可用性
所有CheckPoint解决方案都构建在由CheckPoint开发并获得专利的StatefulInspection网络安全事实的标准之上的。StatefulInspection可提供完整的从网络链路层到应用层的查看,每个互联网服务和协议无需请求单独的代理。
CheckPoint的FloodGate-1可帮助解决配置安全网络应用程序过程中的可靠性和性能方面的问题。FloodGate-1可控制所有网络访问点的通信量,将有限的带宽资源进行合理的分配和有效的管理,充分利用到重要企业应用程序或重要用户上,保证他们的QoS。
为了调节服务器环境以适应更高的网络通信负载,CheckPoint的ConnectControl模块可提供负载平衡的高级通信管理功能。它可平衡公共IP地址的多个服务器之间的输入请求,用户将获得更为完善的性能和更短的响应时间。
CheckPoint的StatefulInspection包括独特的整体共享技术,为高可用性提供坚实的基础,确保在网络或网关出现故障时通过VPN-1/Firewall-1的所有用户连接不会中断。
6)定义和加强整个网络的用户级安全策略
CheckPointFirewall-1和VPN-1解决方案能够将网络用户的信息集中并进行标准化处理,然后使用该信息来定义、维护和增强企业安全策略。帐户管理模块可使Firewall-1利用存储在LDAP目录服务器上的用户信息和摸板,在CheckPoint集成的管理界面上为特定用户实施安全策略。
此外,CheckPoint广泛支持各种验证方式和产品,包括简单密码、基于标记的验证方案、一次性密码、基于服务器(Radius&Tacacs)和数字证书。利用强大的验证功能,可在授权用户访问网络资源之前验证其身份。
CheckPoint的UAM(User-to-AddressMapping)技术(CheckPointMetaIP中的一个解决方案)通过自动捕获用户登录名称、动态分配IP地址和主机名之间的关联,经过Firewall-1处理达到对在动态网络环境中的用户实施安全策略的方案;另外,可以利用UAM服务来实现访问连接过程中的一次认证。用户信息可以从Firewall-1日志管理器中获得,从而向系统安全管理人员获得全面的审核能力。
7)对网络攻击和可疑行为即刻作出检测和响应
CheckPointVPN-1/Firewall-1本身可以做到对网络攻击和可疑行为进行识别并进行响应。例如:SYNAttack,Anti-spoofing,SuccessiveMultipleConnections,PortScanning,LoginFailure等等。一旦发现可疑行为,系统可将这些访问进行屏蔽,并告警。
另外,用户还可以从OPSEC联盟中选择入侵检测产品(例如:ISS的RealSecure)。这些入侵检测产品同样能与Firewall-1很好的集成,当它动态地检测到可疑的网络活动时,可以通过重新配置Firewall-1的安全策略来终止所有非法来源的连接。入侵检测产品中包含了各种攻击模式的数据库(该数据库可定期更新)来检测攻击手段或滥用行为,并且可利用Firewall-1强大的日志和告警功能,帮助安全管理员能够全面分析网络攻击的各个方面。
8)安全并有效管理网络IP地址
随着网络的飞速发展以及对基于IP的应用使用的增多,使得控制IP地址架构在企业管理效率和整体安全性方面变得越来越重要。使用CheckPoint的MetaIP,可以自动并有效控制IP地址和名称,同时可确保网络更为可靠。MetaIP将统一的界面与基于标准的DHCP、DynamicDNS和LDAP数据存储集成在一起,在分布式网络中对这些服务进行全面的审核和控制。通过MetaIP,用户可以将IP与MAC地址一一映射以防止非法使用重要服务器的网络参数。
另外,MetaIP是唯一通过User-to-AddressMapping(UAM)技术将IP地址与用户名直接关联在一起的解决方案。UAM技术将IP地址分配到每个员工,而不是映射到工作站上。该技术是在每个用户而不是每个地址基础上管理IP网络。
9)开放式安全解决方案,实现业界一流和自定义应用的集成
开放的平台,是IT厂商成功的关键之一。网络安全是一个牵扯方方面面的,不是一两个厂商就能解决的问题,它需要我们共同来维护和创造。OPSEC(OpenPlatformforSecurity)是由CheckPoint倡导和发起的全球网络安全方面最权威的组织。包括270多家经过严格授权的、致力于网络安全各方面研究的厂商。用户可以将CheckPoint产品与OPSEC中的第三方应用程序实现紧密集成。CheckPoint则提供中央集成、配置和安全策略管理。此外,CheckPoint还提供开放、公开的应用编程接口(API),以便开发出与CheckPoint企业安全架构集成的自己的应用程序和解决方案。
当然,CheckPoint还提供企业安全软件业内最高级别的配置灵活性。CheckPoint产品套件可用于WindowsNT/2000,各厂商UNIX和Linux平台以及路由器、交换机和其他联网设备。
10)网络安全管理的总成本
CheckPoint能使用户拥有可在多个网关之间进行分布并可从企业网任意位置进行中央集成管理安全策略的能力。并且,CheckPoint管理集成了网络安全性的各个方面。不但互联网网关中的防火墙、安装在部门子网之间的多个防火墙,而且VPN网关和路由器ACL以及用户、IP地址、流量控制,甚至第三方安全应用程序,所有这些均可在基于图形的策略编辑器中进行管理,同时使安全策略的更改能在所有网络安全实施点中自动生效,从而解决了由于单独重新配置每个安全网关带来的安全与性能方面的隐患。
另外,针对网络服务提供商、IDC和大型企业安全性管理的独特要求,管理架构必须可以伸缩自如地支持迅速增长的客户群,同时必须减少支持人员和降低硬件成本。CheckPoint的Provider-1是专门针对这样需求而设计开发的安全性管理解决方案。对用户来说,它可以将客户安全策略合并到一个集中的策略管理架构中,在减少硬件和人力资源的同时,可以伸缩自如地支持成千上万名客户。它通过将复杂的安全策略分为管理更方便的子策略,并将不同客户群按照地域、功能或其他进行逻辑分组,不同的子策略针对不同的用户群,从而简化了安全策略的管理。
