Check-Point-防火墙卖点综述

©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdpartiesCheckPoint防火墙产品卖点综述22©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|CheckPoint防火墙管理架构管理客户端管理服务器(SmartCenter）•硬件解决方案：SMART-1•软件解决方案：SmartCenter+PCServerPower-1UTM-1IP系列•CheckPoint防火墙采用三层管理架构•UTM-1内置管理服务器；Power-1和IP系列必须要配置管理服务器才能够部署•SMART-1硬件是CheckPoint硬件解决方案，推荐销售SMART-1而不是软件方案防火墙网关•管理客户端免费33©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|CheckPoint网关产品线概览-防火墙网关Pre-definedsystem5bladesPower-1平台Power-1平台:高性能&UTM*适用于高端用户9Gbps~25GbpsIP*平台IP平台:模块化&扩展性高性能&高可靠性适用于中、高端用户1.5Gbps~29GbpsUTM-1平台:UTM*&内置管理适用于中低端用户400M~4.5GbpsUTM-1平台•UTM-1和Power-1是CheckPoint原有防火墙产品线•IP防火墙来源于2008年收购整合的NOKIAIP系列防火墙产品线44©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|CheckPoint网关产品线概览-管理平台UTM-1IPPower-1IPS-1VSX-1EndpointSecurityAbraSmart-1管理平台型号Smart-15Smart-125Smart-150Smart-1150管理防火墙数量5-25*25-5050-150150-U55©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|UTM-1/IP/Power-1系列的产品定位UTM-1IPPower-1市场层面区别目标用户中小企业,高端企业客户分支机构中高端企业高端企业适用价格敏感度高低中用户功能需求功能需求复杂*高性能，高端口密度功能需求相对简单**性能要求高功能需求复杂金融机构大型企业电信运营商教育机构能源行业医疗机构餐饮连锁交通运营寻求市场定位专业制造分支机构©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties产品卖点综述DavidLiudliu@checkpoint.com77©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|如何客观的评价一款防火墙产品应用安全安全性能安全管理传统功能（防火墙/VPN）88©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|传统功能篇-防火墙CheckPoint是状态检测技术的发明者；引擎技术先进、成熟，在业界广泛使用；防火墙引擎可以实现协议级的深度检测，而不是简单的TCP/UDP端口——例如：可控制FTP命令超过50个？基于用户的日志审计分析（IdentityLogging），迅速定位安全事件责任人和主机；——特别是对于DHCP环境，多用户环境的安全控制和日志审计非常重要99©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|传统功能篇-VPNVPN技术-网关到网关VPNCheckPoint采用一键式VPN技术，集中配置VPN配置，管理1台设备和100台设备工作量相差不大。非常适合于大型VPN系统的部署；VPN技术-VPN客户端支持CheckPoint支持广泛的VPN客户端：Windows,MAC,Windows智能手机,iPhone；支持全功能的SSLVPNVPN技术-VPN客户端认证CheckPoint内置数字证书系统，提供免费的数字证书用于VPN客户端认证；为什么使用数字证书？数字证书认证将比user/password更加安全，且免费，免维护VPN技术-VPN客户端安全检查CheckPoint的VPN客户端提供健康检查功能，对于存在恶意软件、未升级补丁的客户端，将禁止其登录VPN；1010©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|传统功能篇（3）-高可用性防火墙双机负载均衡CheckPoint可以实现真正的双机负载均衡功能，对外提供单一虚拟IP地址；Cluster动态流量分配CheckPoint可以在Cluster的防火墙之间进行动态流量分配；1111©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|应用安全篇（1）-安全架构应用安全架构CheckPoint采用基于软件刀片的应用安全架构，每个应用安全功能模块（FW,VPN,AV,IPS…)，其本质是软件模块，通过鼠标就可以操作模块的功能开启/关闭，简单，方便应用安全管理CheckPoint所有应用安全功能模块，通过单一界面实现集中管理；应用安全扩展CheckPoint即将发布DLP模块（数据防泄漏），网关安全发展已经拓展到数据安全领域；网络安全——应用安全——数据安全，CheckPoint引领下一代防火墙的发展方向1212©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|应用安全篇（2）-IPS刀片（第一年免费*）IPS刀片-产品线CheckPoint全系列网关都采用相同的IPS引擎技术；统一管理界面，一键更新；IPS刀片-性能CheckPoint网关的IPS性能从300M~15G，适应不同规模的企业需求；IPS刀片-管理CheckPoint提供了独有IPS管理功能，包括：时间线技术、终端查询技术、性能参考、事件可信度技术、基于国家的IP地址过滤；IPS刀片-功能CheckPoint的IPS刀片连续2年对微软的漏洞检测率最高；CheckPointIPS刀片提供了强大的应用程序管理功能，可以拦截QQ/迅雷/skype/MSN/BT等应用程序；微软漏洞几乎已经成为企业最大的安全威胁1313©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|安全性能篇-应用层安全性能（1）企业需要的是在实际网络环境中，能够保护信息系统安全的网关设备对于防火墙的性能要求有几个要点：在实际网络环境流量(多种协议，不同大小的数据包）下的性能能够实现应用层安全保护的前提下的性能传统的以64字节小包来衡量防火墙性能的标准，已经无法客观的为企业选择适合的防火墙1414©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|安全性能篇-应用层安全性能（2）强大的IPS性能，最高可到15Gbps的IPS防护能力；CheckPoint桌面型设备：UTM-1130防火墙吞吐量400Mbps，IPS吞吐量300Mbps应用安全未来是：基于CPU的多核架构2*4核CPU=15Gbps的IPS吞吐量2*48核CPU=?得益于CheckPointCoreXL多核技术，充分利用多核CPU的强劲威力1515©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|管理篇（1）管理-集中管理CheckPoint具有业界最优秀的集中管理架构，通过单一控制台，实现所有防火墙设备的集中管理；对于大中型企业来说，防火墙集中管理是一个必然的选择。管理-集中监控CheckPoint可以通过一个界面，实时、可视化监控所有设备的运行状态（CPU、内存、存储、版本等），监控网络健康状况（协议分布情况，数据包大小分布）；管理-异常流量分析工具（即便只购买1台防火墙，也非常实用）CheckPoint可以在1分钟内，通过图形化界面定位通过防火墙的异常流量的来源，对于蠕虫爆发、恶意操作所引起的网络故障提供了强大的分析工具；CheckPoint可以针对特定的攻击进行自动抓包，并在日志上直接分析数据包管理-日志（即便只购买1台防火墙，也非常实用）CheckPoint提供了业界最详细的日志字段（超过150个），而且提供了图形化的日志查询和分析工具；1616©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|管理篇（2）管理-管理系统冗余CheckPoint具有业界最成熟的管理冗余架构，两台管理服务器可以主、备方式运行，在业界广泛应用管理-分级管理CheckPoint的Provider-1提供了强大的分级管理功能，在业界广泛应用管理-策略变更管理CheckPoint提供了可视化的防火墙策略变更管理模块（Smartworkflow)，为用户提供了强大审计功能和合规性保证；