《海关远程报关单证VPN解决管理知识方案.docx》由会员分享,可在线阅读,更多相关《海关远程报关单证VPN解决管理知识方案.docx(44页珍藏版)》请在三一办公上搜索。
1、海关远程报关VPN解决方案建议(简要)Check Point目录1 前言32 设计目标和设计原则42.1 设计目标42.2 设计原则53 客户需求分析73.1 海关远程报关系统简介(略)73.2 目前需求分析73.3 采用IPSec VPN的好处74 方案设计104.1 网络拓扑114.2 方案说明114.3 安全管理建议135 推荐产品介绍145.1 推荐产品145.2 Check Point VPN-1 Power介绍145.3 Crossbeam X40介绍235.4 Check Point SmartCenter Power介绍285.5 Check Point VPN-1 Secur
2、eClient介绍366 产品目录价436.1 VPN-1 网关436.2 中央管理服务器软件436.3 VPN-1 客户端软件436.4 标准折扣441 前言随着Internet/Intranet技术的飞速发展和广泛应用,网络安全问题愈来愈突出,已成为当前一大热点。黑客技术的公开和有组织化,以及网络的开放性使得网络受到攻击的威胁越来越大。而人们对这一问题的严重性的认识和所具备的应付能力还远远不够。通常人们对内部网络的安全程度不了解,而实际情况是网络中的隐患到处都是;网络的环境在不断变化,加上管理不当,应用人员水平参差不齐,没有有效的方式控制网络的安全状况,我们理想中的安全与实际的安全程度存在
3、巨大的安全缝隙。随着业务的拓展,网络不断的扩展和日趋复杂,对外服务不断增多,因此保障网络的安全运行是非常重要的。如果网络在安全方面稍微有点漏洞,就有可能被黑客抓住,捣毁数据及网络,这样就会影响网络业务正常运行,直接带来无法估量的经济损失。在这种情况下,面对动态的、复杂的网络环境,市场上出现了众多不同种类的安全产品,可以说良莠不齐,怎样在众多产品中选择一款性价比最高的产品是我们的首要考虑和解决的问题。2 设计目标和设计原则2.1 设计目标系统设计的目标就是要建立一个具有高可靠性、高安全性、可扩展性、先进性和高性能的计算机网络应用系统,满足目前以及未来业务的发展需求。网络的可靠性:是指系统的冗错性
4、,系统在部分组件出现故障时能启用备用组件,以使系统能继续运行,防止出现中断。网络的安全性:包括五个基本要素:机密性、完整性、可用性、可控性与可审查性。 机密性:确保信息不暴露给未授权的实体或进程。 完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。 可控性:可以控制授权范围内的信息流向及行为方式。 可审查性:对出现的网络安全问题提供调查的依据和手段。网络的可扩展性:是指网络随着应用的增加仍能满足需求。这要求网络在设计时要求充分考虑未来的应用发展趋势,保证系统在应用不断增加的情况下仍能可
5、用。网络的先进性和高性能:是指系统设计是尽量选用成熟先进的技术,以避免刚建好的网络因不适用先进的网络技术或不适合与以后运用新的先进技术建立的网络互连而面临尴尬的局面。网络的先进性和高性能也是保证网络可扩展性的一个重要方面。2.2 设计原则在进行网络安全设计、规划时,应遵循以下原则:需求、风险、代价平衡分析的原则 :对任一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡。综合性、整体性原则 :运用系统工程的观点、方法,分析网络的安全问题,并制
6、定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。 一致性原则 :这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得多。易操作性原则 :安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。 适应性、灵活性原则 :安全措施必
7、须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。多重保护原则 :任何安全保护措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。体系化设计原则通过分析信息网络的层次关系,提出科学的安全体系和安全框架,确定需要划分的安全子系统;根据安全体系框架分析各个安全子系统存在的各种安全风险,从而采取针对性的安全措施,解决可能存在的安全问题。全局性、均衡性、综合性设计原则在不同安全子系统中,从全局出发,综合考虑各种安全风险,采取相应的安全措施,并根据风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解
8、决方案。3 客户需求分析3.1 海关远程报关系统简介(略)3.2 目前需求分析目前企业远程报关采用拨号方式,费用高且缺乏安全保障。故此项目希望采用当前技术最为成熟的IPSec VPN解决方案。3.3 采用IPSec VPN的好处对于企业用户来说,VPN提供了安全、可靠的 Internet访问通道,为企业进一步发展提供了可靠的技术保障。而且VPN能提供专用线路类型服务,是方便快捷的企业私有网络。由于VPN的出现,用户可以从以下几方面获益: 1)实现网络通信安全 具有高度的安全性,对于现在的网络是极其重要的。远程报关需要绝对的安全,而VPN以多种方式增强了网络的智能和安全性。首先,它在隧道的起点,
9、在权威的认证服务器上,提供对分布用户的身份认证。另外,VPN支持安全和加密协议,如IPsec,从而保证数据传递的安全。 2)简化网络设计 企业用户可以使用VPN替代租用线路来实现分支机构的连接。这样可以将对远程链路进行安装、配置和管理的任务减少到最小,仅此一点就可以极大地简化企业广域网的设计。另外,VPN远程用户通过拨号访问当地ISP与企业总部建立VPN,减少了在企业总部Modem Pool的配置,简化了所需的接口,同时简化了与远程用户认证、授权和记账相关的设备和处理。 3)降低成本,投资回报VPN可以立即且显著地降低成本。当使用Internet时,实际上只需付本地电话费,却收到了长途通信的效
10、果。因此,借助ISP来建立VPN,就可以节省大量的通信费用。此外,VPN还使企业不必投入大量的人力和物力去安装和维护昂贵的WAN设备和远程访问设备,这些工作都可以交给ISP。VPN使用户降低以下的成本: 移动用户的通信成本。VPN可以通过减少长途费或800费用来节省移动用户的花费。 租用线路成本。VPN可以以每条连接的40%到60%的成本对租用线路进行控制和管理。对于租用国际线路的企业来说,这种节约是更为显著。对于话音数据,节约金额会进一步增加。对国内的用户来说,VPN最大的吸引力在哪里?是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号
11、方式联网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。主要设备成本。VPN通过支持拨号访问资源,使企业可以减少不断增长的调制解调器费用。另外,用户可以在单一的WAN接口中实现多种服务,从分支机构网络互联、商业伙伴的外联网终端,本地提供高带宽的线路连接到访问服务提供者,因此,只需要极少的WAN接口和设备。由于VPN可以实现完全管理,并且能够从中央进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销。另外,由于VPN独立于初始协议,这就使得远程的接入用户可以继续使用原有设备,保护了用户在现有硬件和软件系统上的投资。 4)容易扩展 如果企业想扩大VPN的容量和
12、覆盖范围。企业需做的事情很少,而且能及时实现。不需要为等待搭建专线耗费宝贵的时间。在远程办公室增加VPN能力也很简单:通过远程访问方式或通过性能价格比非常好的VPN专用设备即可与总部实现VPN通信。 5)可随意与合作伙伴实现Extranet在过去,企业如果想与合作伙伴连网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后,这种协商变得非常简单:在业务上授权对方进行资源共享,通过权威的认证机构实现双方严格的身份认证即可。真正达到了要连就连,要断就断。 6)完全控制主动权 借助VPN,企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。例如,企业可以
13、把拨号访问交给ISP去做,由自己负责用户的身份查验、访问权限、安全性和网络变化管理等重要工作。 7)支持更多新兴应用 许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真等。4 方案设计根据用户需求,我们设计在报关用户的PC上安装VPN客户端,在报关服务器前部署VPN网关,实现远程访问IPSec VPN。4.1 网络拓扑4.2 方案说明(1)在报关服务器群前部署Check Point VPN-1 Power网关。VPN-1 Power 网关不仅具有强大的IPSec site-to-site VPN 和 client-t
14、o-site VPN能力,而且内置Check Point全球市场占有率第一的防火墙功能,同时还具有入侵防范和安全加速技术,可以满足连接和保护双重需求。在IPSec VPN技术中,通常采用预共享密钥和数字证书两种认证方式。预共享密钥使用方便,但安全性较差。故本方案建议采用数字证书。在Check Point中央管理服务器中已内置CA,可以发放证书供VPN使用。本方案中由于用户已有CA系统,故Check Point VPN网关和客户端均采用已有CA颁发的证书。Check Point VPN网关可以兼容全球各大主流厂商CA,如Entrust,Verisign,微软,Netscape等等。VPN网关的硬
15、件平台采用Check Point硬件合作伙伴Crossbeam的电信级平台X40。X40拥有单机高可用性特点,在一个机框内,可以实现电源冗余,风扇冗余,控制模块冗余,网络模块冗余和应用模块冗余。单台X40可以支持10万并发VPN隧道,如需支持到30万并发VPN隧道,3台可以基本满足要求。(2)在远程需要报关的PC上安装Check Point VPN-1 SecureClient VPN客户端软件,并申请数字证书。在申请报关业务前,首先需要进行VPN连接。VPN客户端和网关首先通过数字证书进行相互认证,如认证成功,则建立VPN隧道;如失败,则无法建立VPN,也就无法进行报关业务。VPN-1 Se
16、cureClient不仅具有全部IPSec VPN功能,同时还具有中央管理的个人防火墙功能。管理员可以在中央管理服务器上为远程客户端配置防火墙策略,远程客户端建立VPN连接到网关后,可以自动将属于他的安全策略下载到本地,从而对客户端本身进行防护。客户端的安全性,也可以进一步保证其所连接报关服务器的安全。VPN-1 SecureClient还可以支持在VPN隧道建立后,路由所有流量到VPN网关,从而使VPN客户端在建立VPN后,仅能与报关服务器通信,进一步避免外部的攻击。(3)在总部部署中央管理服务器,对VPN网关和VPN客户端进行集中统一管理。4.3 安全管理建议安全管理也是非常重要的环节,包
17、括了对安全设备的管理,对网络的管理以及对人员的管理等。其中,对安全设备的管理更是重中之重,我们认为应从如下两方面入手。(1)安全管理中心应该建立统一的安全管理中心,全面负责信息网络系统的安全管理工作,其主要职责如下:l 监控信息系统运行状况l 安全技术的支持l 各项安全管理制度的落实l 各种安全事件、紧急事件的响应联络、沟通安全厂商等(2)安全管理制度必须建立完善的安全管理制度,具体包括如下几方面:l 信息系统运行管理制度l 信息系统使用管理制度l 数据管理制度l 人员管理制度l 物理安全管理制度l 安全培训制度。安全是一个动态的过程,绝对的安全是不存在的,任何安全体系都应具备更新、完善和扩展
18、的能力。安全体系应具备对任何突发、破坏性事件的实时反应能力。任何完善的安全体系都是全方面努力的结果,是技术、管理、服务共同努力的结果,忽视任何一方都将带来不可预料的结果。5 推荐产品介绍5.1 推荐产品VPN网关产品:Check Point VPN-1 Power Crossbeam X40(硬件平台)中央管理服务器: Check Point SmartCenter PowerVPN远程客户端产品:Check Point VPN-1 SecureClient5.2 Check Point VPN-1 Power介绍VPN-1 Power为最苛刻的环境提供全面安全保护您遇到的挑战互联网可以到达世
19、界的每个角落,因此,它提供了一种灵活、成本效益高的基础架构来扩展公司的网络以覆盖所有的雇员和关键的商业合作伙伴。但是,互联网也将不断变化的威胁隐藏到了公司的资源中。黑客不断玩出新花样来攻击企业应用程序。与此同时,应用程序需求正变得越来越复杂,而且对性能要求也越来越高。为了充分利用互联网的优势,企业必须解决关键业务应用程序在可用性、性能和可扩展性方面所面临的挑战,与此同时,企业还必须确保商业通信和企业的内部资源的安全。我们的解决方案Check Point公司的VPN-1 Power TM为今天苛刻的环境提供了综合、更快的安全保护。该解决方案利用紧密集成的防火墙、VPN和入侵防范技术为公司应用程序
20、和网络资源提供综合安全保护和远程连接支持。它加快了业内最智能化的安全检测技术,Stateful Inspection(状态监测)和Application Intelligence TM(应用智能)的运行速度。它还提供主动的攻击防范措施来帮助抵御网络层和应用层的各种攻击,从而确保网络的高性能。VPN-1 Power解决方案适用于业内最广泛的开放平台和安全专用设备可以满足任何规模的企业的性价比需求。全面网络和应用程序安全保护VPN-1 Power集成了访问控制、认证和加密功能以确保网络连接的安全、本地和远程用户的真实性以及数据通讯的隐私和完整性。除此以外,它还与入侵防范功能紧密集成,提供高级应用程
21、序保护功能。VPN-1 Power还包括了一种可选的Web应用程序防火墙,为Web环境提供无与伦比的安全保护。FireWall-1集成为了实现有效的企业边界、内部和Web安全保护和高效管理,VPN必须包括集成的防火墙功能。VPN-1 Power包括了市场上领先的FireWall-1软件,并通过Check Point公司获得专利的状态监测技术来确保所有流行的互联网服务的安全。VPN-1 Power内置功能支持150多种预定义应用程序、服务和协议,包括即时消息、多媒体服务、Oracle SQL、P2P应用程序、RealAudio和Web应用程序。VPN-1 Power是针对扩展的企业、经过最充分证
22、明的安全和连接解决方案。确保应用程序的安全VPN-1集成了由一系列高级功能组成的应用智能,可以检测和阻止应用层攻击。它将VPN-1发展成为一种高级安全网关解决方案,集成了网络层和应用层进行综合攻击防范的功能,从而改变了网络安全的现状。企业将从这些高级入侵防范功能中受益,而且不用再担心管理其它设备的繁琐。为Web应用程序提供安全保护Web Intelligence TM(Web智能)是一种可选的Web应用程序防火墙,它被紧密集成的VPN-1中,可以提供高级的Web应用程序安全保护。Web智能保护Web应用程序免受常见黑客技术的攻击,如命令行植入(command injection)、跨站点脚本(
23、cross-site scripting)、目录遍历(directory traversal)、LDAP植入和SQL植入攻击等。Web智能还包括防止缓冲溢出攻击的正在申请的专利技术,Malicious Code Protector TM(恶意代码保护器)。恶意代码保护器采用独特的检测机制来分析恶意代码的行为,无需签名支持即可捕获攻击并拦截已知和未知的各种攻击。为VoIP提供安全保护VPN-1 Power为VoIP应用程序提供综合的安全保护,包括对H.323、MGCP、SCCP(Skinny)和SIP协议的有状态检测。除此以外,VPN-1还能够解决复杂的VoIP部署,比如将网守(gatekeep
24、er)隐藏到网络地址转换(NAT)设备之后。除此以外,ClusterXL、FloodGate-1和SecureXLTM还可以帮助企业创建高性能、容错和划分优先级的语音网络。带安全保护的连接VPN-1 Power包括针对远程接入、内网和外网VPN的最综合的产品和技术集。Check Point公司提供广泛的VPN产品,企业可以在这些产品中进行选择来设计最符合它们要求的配置。One-Click VPN通过One-Click VPN,企业通过一个单一操作就可以创建大型VPN。通过定义VPN团体( community),企业可以为整个VPN设置安全参数,比如只需一步即可实现内网、外网或者远程接入的部署。
25、安全管理员只需要定义一个团体内所有的VPN-1端点,VPN就可以在所有网关中或者网关与远程用户间自动启动。当新站点被添加到团体后,它们就自动继承相应属性并能立即与该VPN团体的其它站点建立安全的IPSec会话。先进的站点到站点VPN功能无论环境有多么复杂,VPN-1 Power都可以将公司的资源扩展到远程站点。VPN-1支持VPN域通过一组静态IP地址定义VPN范围的传统方法。除此以外,VPN-1支持基于路由的VPN,其中,VPN拓扑代表的是网络路由决策。这种灵活性为企业提供了强大的机制来提供复杂和动态网络中的连接。基于路由的VPN使管理员能够利用VPN通道将动态路由协议从企业总部扩展到远程地
26、点,从而改进大型网络的网络和VPN的管理效率。基于路由的VPN还支持定向的VPN,使管理员在没有静态IP地址的情况下,通过VPN通道执行安全策略。对于经常变化的网络而言,基于路由的VPN正是一种理想的解决方案。企业可以经常更改网络拓扑,如添加内部网络,而无需反复配置静态VPN域。灵活的认证由Check Point公司提供安全保护的VPN解决方案提供了多种认证方法,包括RADIUS、TACACS/TACACS和令牌卡。除此以外,OpenPKI还确保由Check Point公司提供安全保护的VPN解决方案与市面上销售的领先PKI解决方案(如巴尔的摩技术、Entrust和Verisign等公司的技术
27、方案)兼容,从而支持企业管理很大规模的IPSec VPN部署。VPN-1 Power具有独特的混合模式认证功能,允许企业在利用现有认证架构(如 SecureID令牌)的同时部署 IPSec VPN。希望实施可直接调用的强大认证的企业可以采用Check Point公司的One-Click Certificates解决方案。通过VPN-1 Power中包括的Internal Certificate Authority(内部证书授权)解决方案,X.509数字证书可以颁发给VPN-1 网关和VPN-1 SecureClient TM用户。在不需要复杂和昂贵的PKI系统的情况下,One-Click Ce
28、rtificates解决方案就能提供符合行业标准的双重认证。支持多种远程访问技术每个企业对远程访问都有自己独特的需求,这依赖于用户类型、要访问的应用程序组合、端点安全级别和需要的管理控制。VPN-1 Power具有灵活性,可以支持多种客户端选项。SecuRemoteTM 提供基本连接,方便了偶尔需要远程访问 IP 应用程序的用户。SecureClient通过增加集中管理的个人防火墙,提供了更高级别的安全保护。Check Point公司的IntegrityTM SecureClient通过使用集成的VPN客户端和充分管理的端点安全来提供全面的远程访问保护。SSL Network Extender
29、 TM是一个基于Web浏览器的控件,它支持从任何互联网设备对基于IP应用程序的完全访问,从而为用户带来方便。VPN-1 Power还支持微软的L2TP和Symbian公司的VPN客户端。智能管理VPN-1 Power中包括的SmartCenter TM是建立在目前业界最一致、最强大的管理架构,安全管理架构(SMART)的基础上的。SmartCenter支持企业集中定义边界、内部和Web的安全策略;对安全事件进行关联并划分优先级;实施高级的监视和报表功能这一切都通过一个控制台来实现。这种统一的架构使在所有网关分配安全策略升级变得很简单,从而确保策略实施保持一致并提高运营效率。SmartCente
30、r 提供功能强大的安全保护和 VPN 策略管理,降低了管理的成本和复杂性。高性能和可用性当防火墙和VPN部署变得越来越大并且对业务也越来越关键时,其性能就成了主要的关注点。VPN-1 Power可以提供更快的安全保护,在开放服务器上,其速度可超过5Gpbs,从而在不破坏安全的情况下确保信息的可用性。VPN-1 Power还采用了先进的流技术,该技术允许在核心层处理数据包,大大加强了应用层的检测,它通常是计算密集型的任务。将SecureXL框架和流技术与Check Point公司对开放式系统的承诺相结合,可以以最低的成本提供行业领先的性能。集成的 VPN 服务质量 (QoS)如果VPN部署的性能
31、非常重要,但互联网连接可能会产生拥堵,这样的VPN部署就需要服务质量。FloodGate-1确保了关键业务VPN-1通信流量的最佳性能,使客户能够将关键的业务通信从私有的广域网迁移到互联网。高可用性和负载均衡ClusterXL将所有类型的通信流量分配到一个VPN-1 Power网关集群中。如果某个网关无法被访问了,所有的连接可以被无缝重定向到其它的集群成员网关。当更多的集群成员被加入后,集群网关可以获得近线性的性能。不间断转发通过结合动态路由协议,如BGP或者OSPF,ClusterXL为业界提供了唯一一种可以“平稳重启”的高可用性执行点。因此,VPN-1 Power明显提高了关键业务应用程序
32、的可用性,消除了不必要的“波纹效应”当 VPN-1 Power网关变得不可用,路由表中就会发生变化,从而产生波纹效应并且可能导致通信转发中断长达几十分钟,。VPN负载分配VPN负载分配是针对远程访问VPN连接的一种高可用性和负载均衡解决方案。输入VPN连接是跨多个VPN-1网关进行分布,这些网关可以在地理位置上完全分开。如果网关无法访问,VPN客户端将会通过另一个网关成员自动获取连接。多个接入点如果存在多个数据中心,远程用户可以通过多个接入点功能来确保对数据中心的连续访问。如果VPN-1主网关变得不可用,位于其它地点的VPN-1网关就会自动建立到该公司的 VPN 连接。5.3 Crossbea
33、m X40介绍Crossbeam X40产品介绍X40是Crossbeam 为实现完整的网络、邮件和 Web 安全性而开发的安全交换机。X40 具有 Crossbeam X 系列产品的所有特性和优点,包括集成的负载平衡和流排序功能(使用Crossbeam 正在申请专利的 X-Stream 技术);来自 Check Point等公司的多种最先进安全引擎。该产品在一个14插槽机柜中提供,适合大中型企业和服务供应商。X40 最多可以提供16个千兆以太网端口或32个快速以太网端口及 8Gbps 的全双工防火墙吞吐量。该平台设计用于提供高可用性和卓越的性能,同时运行多个先进的安全引擎来支持防火墙、加速虚
34、拟专用网(VPN)、入侵检测和防护、防病毒和员工互联网内容管理(URL 过滤)。X40 为企业提供了一种更安全、更简单的解决方案来保护网络安全性 从而实现独立产品所不可能实现的运营和投资利用高效率。加固的最佳周边安全防护措施目前,仅靠周边防火墙来保护公司的信息安全资产已远远不够。相反,企业需要一种更先进的分层安全保护方法。但是,构建分层安全基础设施的传统方法需要多个不同的设备,因此成本非常高而且很烦琐,因为每种设备都需要自己的维护(补丁、升级)、管理基础设施和连接。试想一下,通过独立的安全技术配置正确的数据流需要掌握路由、端口镜像方面的丰富知识。扩展性能意味着需要添加额外的负载平衡器,而这会进
35、一步增加复杂性。总之,每一个单元都会增加复杂性并留下看不见的安全漏洞。 通过在一种易于实施的多技术安全解决方案中集成深层防护技术,X40 可以从根本上改进安全保护的经济性并提高强度。所有安全技术都通过一种先进的机柜式系统和安全操作系统结合在一起。这种操作系统消除了对外部交换机、负载平衡器、端口镜像的需要。通过多种安全技术配置流路径的工作可以从一个能为用户带来全面灵活性的图形用户界面(GUI)上轻松完成。这种合并是目前业界最简单、安全而又经济的安全防护模式。Crossbeam X40 安全业务交换机是:l 一种高性能多重安全解决方案 一个灵活的平台最多可以支持 8 Gbps 的全面状态式防火墙处
36、理吞吐量。该平台可以通过 X-Stream 安全流处理技术支持非常复杂的高性能安全配置。l 一种多重安全引擎平台,可以提供很高的安全处理性能,包括防火墙、VPN、入侵检测、防病毒扫描、URL 过滤、内容过滤和反垃圾邮件。l Crossbeam 公司X系列产品的成员之一。该系列是目前市场上唯一完整的高可用性(HA)安全解决方案系列 可以提供全面的冗余(无单点故障)、多级故障容错(即无中断的运行)和全面热交换、便于维护的功能。X40 由以下先进的组件组成:机柜、背板、电源和风扇安装有6个风扇的风扇托架Crossbeam X40网络处理模块(NPM)NPM 支持高速流分类并集成了Crossbeam
37、正在申请专利的负载平衡算法以实现平均的流量分配。流定义可以由用户进行全面配置。 一台 X40 中最多可以配置2个 NPM。它们既可以互相独立,也可以成对配置以实现主动/主动或主动/备用冗余。提供有2个版本的 NPM NPM 8200 有8个千兆以太网(SX、LX 或铜线)接口 NPM 8210 有16个快速以太网(10/100 Mbps)接口应用处理模块(APM) APM 使用最先进的安全引擎来处理来自 NPM 的信息流。 每个 APM 运行一个或多个安全引擎。APM可以分组形成负载平衡组以实现高可用性和更高的处理性能。您可以创建多个 APM组,从而创建一种完全包含在单一 X40 中的深层防护
38、安全模式。APM 选项 APM 8400 标准配置带有一个 Xeon处理器和 512 MB 的内存。用户也可以订购额外的内存(最高可达 4GB)和处理器(最多2个)。用户可以为每个 APM 订购一个可选的硬盘或 VPN 加速引擎。我们建议为 IDS 和防病毒等磁盘密集型安全引擎订购硬盘,VPN 加速引擎一般用于加速 VPN 应用的 3DES 流量。控制处理模块(CPM) CPM 通过连续监控所有模块来管理系统的主要征兆,及时发现故障并执行适当的切换操作。CPM 还可以为用户提供专用的管理接口来连接到管理工作站或日志服务器。 两个 CPM 可以作为冗余的主动/备用对运行,使用 RAID-1 镜像
39、硬盘。X系列操作系统(XOS)XOS 是一种安全的操作系统,结合了嵌入式实时操作系统的强大功能、高速度和 Linux 操作系统的应用灵活性及安全性。NPM 运行来自 VxWorks 的一种实时操作系统。这是大多数高端联网产品的首选操作系统。APM 和 CPM 运行一种经过强化的 Linux 核心和专门优化用于 X40 的操作系统。这种操作系统叫作 Crossbeam Linux,可以兼容为 Linux 编写的大多数安全应用。5.4 Check Point SmartCenter Power介绍SmartCenter Power统一安全管理的最明智的选择您遇到的挑战过去,在您的边界上安装防火墙并
40、且为您的台式机安装防病毒软件被认为是最先进的安全防范措施。但现在,情况已经发生变化。随着互联网蠕虫的出现和复杂的攻击手段不断增多,如今的网络安全情况远比过去复杂得多。这样的新环境,以及新的安全规定和为远程用户以及商业合作伙伴提供远程访问的需要,都要求一个更全面彻底的安全实施。多层次的保护将从带防火墙的外网开始并逐渐深入到网络内部,从而保护敏感的部门、服务器、应用程序,甚至用户的个人电脑和笔记本。但不幸的是,这样的多层安全防范又导致了管理上的复杂。对于资源有限的IT部门而言,在多个站点和多个平台上确保其安全防范措施能保持更新就成了一项艰巨的任务。如果没有有效的管理,即便是最复杂的安全部署,其所能
41、提供的安全保障也只将受限于自身最弱的环节。安全管理解决方案必须让企业能跟踪自己安全部署的效率,为安全法律调查提供详细的信息,支持在整个企业执行一致的安全策略和主动式升级。我们的解决方案Check Point 公司的SmartCenter TM是基于目前业界最一致、最强大的管理架构,安全管理架构(SMART)的基础之上。它支持企业集中定义边界、内部和Web的安全策略;关联和优化安全事件;实施高级的监视和报告功能这一切都通过一个控制台来实现。在所有网关分配安全策略升级变得很简单,从而确保一致的策略实施并提高运营效率。这样,企业能保护对业务关键的资产并实现它们在安全方面投资的最大化。综合的安全管理C
42、heck Point公司通过SmartCenter和Smartcenter power提供各种层次的管理功能,从而提供综合、可节约成本的解决方案,以支持通过单个管理控制台来实现最高级的控制和安全。SmartCenter是Check Point公司旗舰级企业管理解决方案。它具有以下组件: SmartDashboard是一种能支持管理员集中定义安全和VPN策略的界面。 SmartView Tracker可以对所有日志记录的连接和管理员活动提供实时的可视化跟踪。除了提供SmartCenter的所有功能,Smartcenter power TM还可以为最复杂的环境提供以下增加的管理功能: SmartP
43、ortal为SmartCenter增添了基于浏览器的访问功能。 SmartMap TM支持对安全策略的可视化管理。 SmartView Monitor TM支持对网络、VPN和用户进行实时监视。 SmartUpdate TM集中对软件和证书的分配和存储。 SmartLSM TM支持大规模的管理。 SmartDirectory提供对基于LDAP的目录的集成。 Management High Availability(管理高可用性)为所有管理操作提供容错功能。除此以外,Eventia Reporter TM能提供综合、易于理解的图形化报告,而Eventia Analyzer能提供对来自Check
44、Point网关以及多个安全和网络设备的日志数据的实时事件关联。Eventia Reporter和Eventia Analyzer是SmartCenter的附加软件。基于策略的VPN/防火墙管理作为SmartCenter的一部分,SmartDashboard虽然复杂,但在使用上仍然很方便。管理员可以集中定义一个安全策略的各个方面:VPN、网络地址转换(NAT)、服务质量(QoS)、Web访问以及台式机和终端的安全。被定义为安全策略一部分的“对象”,比如网络、主机、用户、服务、资源和活动,都可以被图形化展示并能在SmartDashboard中直接进行处理。比如,对象可以被包含到SmartGroup
45、中,或者网络对象可以被轻松克隆以简化对策略的定义。因为SMART架构的组件紧密集成,相同的对象可以在执行点和应用程序间被共享,节省管理时间并确保整个网络策略配置的一致性。除了集成的仪表盘工具,SmartCenter解决方案还提供了很多种策略管理工具来改进策略的创建。预定义的全局策略支持利用各种服务来在执行点之间实现合适连接。SmartCenter可以管理策略的多种版本,允许管理员采用策略的老版本。通过SmartDashboard实现策略集中管理和可视化。综合的边界、内部和Web安全SmartCenter为Check Point VPN-1 边界安全网关、InterSpect TM内部安全网关以
46、及Connectra TM Web安全网关提供集中管理。通过SmartDashboard,管理员可以对InterSpect和Connectra的网关采用与VPN-1网关相同的管理方法来定义和执行策略、跟踪日志,监视VPN和防火墙活动以及集中分布安全和软件的升级。通过SmartDashboard和SmartDefense服务,管理员只需一个简单操作就可以同时为多个设备进行实时的安全升级部署,从而降低管理负担并避免出错。通过这些唾手可得的功能,管理员可以更清楚、直观的了解整个网络的安全状况。集成的端到端的安全保护Integrity SecureClient TM提供全面访问保护(Total Acc
47、ess Protection),它可以通过个人防火墙确保连接到公司网络的所有台式机和笔记本电脑的安全。个人防火墙策略可以根据从客户端系统发送或者接收的网络传输的源、目标和类型在SmartDashboard中进行定义。用户或者用户群可以自己定制规则,支持企业对远程用户系统进行充分控制。简单的VPN部署SmartDashboard支持管理员通过一个简单的操作来定义VPN团体,并为整个VPN拓扑(包括内网、外网和远程访问部署)设定安全参数。安全管理员只需要将所有VPN-1网关组成一个团体,VPN就能在所有网关间或者远程用户和网关间自动启动。当新站点或者用户被加入团体时,它们能自动继承相应的属性并能立刻与其余的VPN团体成员建立安全的会话。安全管理员可以不用再做像设计和定义加密规则之类的重复性工作。SmartCenter支持各种网络拓扑结构,包括全网状拓扑、星型拓扑、集中星型拓扑和混合拓扑。VPN对象和团体能被轻松集成到安全规则库中。实时排
