CheckPoint安全網(wǎng)關(guān)解決方案杜建峰ArthurDujfdu@

CheckPoint的安全之路！GilShwed,CheckPoint的創(chuàng)立者，防火墻狀態(tài)檢測技術(shù)的發(fā)明者。1993年，創(chuàng)建CheckPoint軟件技術(shù)有限公司于以色列特拉維夫市。世界上狀態(tài)檢測防火墻的發(fā)起者，安全領(lǐng)域的領(lǐng)跑者。雙中心：以色列特拉維夫市+加利福尼亞州紅木城其國際業(yè)務網(wǎng)絡遍及中國、香港、奧地利、白俄羅斯、比利時、開曼群島、捷克共和國、丹麥、芬蘭、法國、德國、意大利、荷蘭、挪威、波蘭、西班牙、瑞典、瑞士、土耳其、英國、澳大利亞、印度、日本、俄羅斯、新加坡、韓國、巴西、墨西哥和加拿大。中國區(qū)辦事處成立于2001年。Stateful

InspectionI專利

5,606,668Stateful

InspectionII專利

5,835,726全球安全領(lǐng)域的領(lǐng)導者防火墻/虛擬防火墻（VPN）*和移動數(shù)據(jù)加密產(chǎn)品的全球領(lǐng)導者為超過100,000家企業(yè)提供保護擁有6千多萬個消費者所有財富100強企業(yè)都是我們的客戶

100%安全完全專注于信息安全1000多名專職安全專家保護網(wǎng)絡和企業(yè)數(shù)據(jù)

全球擁有2300多名雇員在28個國家有71家代表處在88個國家有3,000個合作伙伴在美國和以色列設有總部領(lǐng)導者Firewall/VPN市場份額CheckPoint2008MarketShare

Marketsizeapproximately$2.5B/yearSourcedata:IDC,publiccompanydata我們的客戶:100%全球財富100強,98%全球財富500強CheckPoint專業(yè)安全網(wǎng)關(guān)系列介紹

專業(yè)，安全，值得信賴CheckPointTotalSecurity概覽6UTM-1appliancesprovideanewentry-levelmodelandincreasedperformancerange*3Power-1appliancesdeliverrecordprice/performanceratiosunder$4perMbps**R70softwarebladearchitecture6IPsecuritygatewayappliancesenablehighlyscalableandmodularsolutionsforcomplexnetworks*3VSX-1appliancesconsolidatehundredsofphysicalgatewaysintoasingleappliance3Connectraappliancesprovidescompleteremoteandnetwork-to-networkVPNservices3IPS-1appliancesdeliveradedicatedandmanagedIDS/IPSapplianceConnectraIPApplianceUTM-1Power-1VSX-1IPS-1VirtualApplianceVPN-1VEProtectVirtualWorldSmart-1CentralManagement&AuditEndpointEndUserSecurityPre-definedsystem

5blades基于軟件刀片技術(shù)的硬件網(wǎng)關(guān)平臺UTM-1

平臺UTM-1平臺:UTM&內(nèi)置管理適用于中低端用戶400M~4.5GbpsIP平臺IP

平臺:模塊化&擴展性高性能&高可靠性適用于中、高端用戶1.5Gbps~29GbpsPower-1

平臺Power-1

平臺:高性能&UTM適用于高端用戶9Gbps~25GbpsCheckPoint硬件設備產(chǎn)品線中小型企業(yè)分支機構(gòu)價格120.24FW吞吐率(Gbps)72.41.20.4小型公司或分支機構(gòu)UTM-12076UTM-11076UTM-1576UTM-1EdgeUTM-1272UTM-1132企業(yè)邊界/核心/大型分支機構(gòu)

Power-15075Power-19075UTM-1307629IP295IP395IP565IP695IP1285IP2455Power-1

IPUTMIP152Power-111000針對中小型企業(yè)的全系列產(chǎn)品性能從190Mbps–4.5Gbps全面的安全內(nèi)置安全管理模塊價格包含升級和服務UTM-1272/276UTM-1572/576UTM-13073/3076UTM-11073/1076UTM-12073/2076UTM-1132/136FWBladeVPNBladeIPSBladeURLFilteringBladeAntivirus&antimalwareBladeAntispam&messagingsecurityBladeUTM-1Edge針對中小型企業(yè)的全系列產(chǎn)品CheckPointPower-1產(chǎn)品線120.24FWThroughput(Gbps)72.41.20.4Power-15075Power-19075SmallOfficeorBranchEnterprisePerimeter/Core/LargeBranchSMBtoMediumBranch1825Power-111000Power-1設備技術(shù)指標Power-15075Power-19075Power-111000Series110651107511085SoftwareEditionR65,R70R65,R70R70R70R70SoftwareBladesFirewall,IPSecVPN,IPS,AdvancedNetworking,Acceleration,andClustering10/100/1000Ports10/1414/1814/1814/1814/1810GEPorts2*4*4*4*4*FirewallThroughput9Gbps16Gbps*15Gbps20Gbps25GbpsVPNThroughput2.4Gbps3.7Gbps3.7Gbps4.0Gbps4.5GbpsIPSThroughput7.5Gbps10Gbps10Gbps12Gbps15GbpsConcurrentSessions1.2Million1.2Million1.2Million1.2Million1.2MillionVLANs10241024102410241024StorageCapacity160GB2X160GB2X250GB2X250GB2X250GBSecurityAccelerationYesYesYesYesYesPower-111000的性能提升

從15,20到25的平穩(wěn)加速12年的成功合作基礎(chǔ)IT安全行業(yè)的強強聯(lián)合作為安全設備領(lǐng)導地位共同的未來IP安全網(wǎng)關(guān)設備

模塊化的可擴展解決方案—為電信行業(yè)量身定做提供過模塊化和可擴展的解決方案ADP硬件加速鏈路聚合交直流電源板卡模塊化熱插拔IP695IP295IP565IP395IP1285IP2455FWBladeVPNBladeIPSBladeAdvancedNetworkingBladeAcceleration&ClusteringBlade硬件集成度高支持NEBS和RoHS標準滿足行業(yè)安全要求的防火墻/VPN網(wǎng)關(guān)

芯跳線及狀態(tài)同步線備份線狀態(tài)同步線及芯跳備份線

VLAN2內(nèi)網(wǎng)VLAN2內(nèi)網(wǎng)VLAN1外網(wǎng)VLAN1外網(wǎng)鏈路聚合OSPF/BGP…動態(tài)路由支持磁盤鏡像板卡熱插拔，ADP卡性能提升冗余電源交直流支持29GbpsTput90000TPSIP設備

模塊化的可擴展解決方案—為電信行業(yè)量身定做CheckPointSecurityPlatforms

無處不在

超過10年，在CSC的各種邊遠基地

CSC堅定而正確的選擇

包括了各種多核高端平臺

安全，可靠，明智的選擇沙漠叢林海洋

CheckPoint防火墻引擎的技術(shù)特點到目前為止，CheckPoint防火墻引擎依然具有其獨特領(lǐng)先的優(yōu)勢預定義300+協(xié)議，對網(wǎng)絡應用及協(xié)議的全面支持深入的協(xié)議檢測。Eg，防火墻引擎可控制的FTP命令為50+強大的認證功能?？梢詫崿F(xiàn)基于Session的用戶認證鏈路負載均衡。Inbond/outbond鏈路復雜均衡，支持DNSProxy認證集成功能。和MicrosoftAD集成實現(xiàn)用戶認證單點登錄CheckPoint的技術(shù)方向正在轉(zhuǎn)向下一代防火墻引擎的發(fā)展CheckPointVPN的技術(shù)特點一鍵式VPN，智能管理SSLVPNMobileVPN專用VPN客戶端免費數(shù)字證書VPN接入終端健康檢查VPNinPocket雙因素認證IPS軟件刀片的技術(shù)特點直接選中啟用，無斷網(wǎng)，無割接迅雷QQMSNBT電驢SkypeICQ與MS緊密合作，防止“零日攻擊”防護門戶網(wǎng)站郵件服務器CheckPointOpenPerformanceArchitecture

提升安全性能的技術(shù)架構(gòu)!開放性能的架構(gòu)開放性架構(gòu),提升安全性能,包括:SecureXL–提升數(shù)據(jù)處理加速能力.CoreXL–CPU多核處理技術(shù)ClusterXL–多網(wǎng)關(guān)節(jié)點之間HA高可用性，動態(tài)負載均衡，不需要第三方負載均衡設備，提升總體性能.3個XL技術(shù)結(jié)合，將大大提升產(chǎn)品的安全處理性能.SecureXL–包處理加速CoreXL-FirstPacketFlowDispatcherfw0fw1fw2IPstackconntableconntableconntableglobalconntableWTWTWTLookup.NotfoundArbitraryDecisionRecordConnQueueQueueQueuePKT2CoreXL-SecondPacketFlowDispatcherfw0fw1fw2IPstackconntableconntableconntableglobalconntableWTWTWTLookup.FoundQueueQueueQueue2PKTCoreXL–并行處理Dispatcherfw0fw1fw2IPstackconntableconntableconntableQueueQueueQueueglobalconntable012WTWTWTPKTPKTPKTMemberAMemberBClusterXLandCoreXLDispatcherfw2conntableQueuefw1conntableQueuefw0conntableQueueDispatcherfw2conntableQueuefw1conntableQueuefw0conntableQueueLookup.Found.ArbitraryDecisionSYNCglobalconntableglobalconntable2PKTPKT2高級路由/協(xié)議支持協(xié)議支持StaticrouteOSPFRipv1/v2IGRPIGMP(multicast)DVMRP(multicast)PIM-DMPIM-SMIGRP(optional)BGP4(optional)802.1QVLANtaggingIPv4/v6More…在已有網(wǎng)絡中易于集成IP應用可量化的流量管理靈活的網(wǎng)絡適應性什么是

Softwareblade軟件刀片?軟件刀片(SoftwareBlade)獨立模塊化集中管理軟件刀片如何工作?選擇容器選擇刀片配置系統(tǒng)兩種方式構(gòu)建您的系統(tǒng)選擇1:

用戶定制模式選擇2:

預定義系統(tǒng)模式SG1031core3bladesSG4074cores7bladesSG8058cores5blades*ExamplesCheckPoint軟件刀片的優(yōu)勢softwareblades

fromCheckPoint安全靈活簡單場景:如何根據(jù)您的業(yè)務提升，選擇您的安全基本連接:SG401containerwithfirewall(4核)場景:如何根據(jù)您的業(yè)務提升，選擇您的安全基本連接:SG401containerwithfirewall(4核)更多的分支和移動辦公人員:＋VPN刀片場景:如何根據(jù)您的業(yè)務提升，選擇您的安全基本連接:SG401containerwithfirewall(4核)更多的分支和移動辦公人員:＋VPN刀片擁擠的網(wǎng)絡連接+加速刀片場景:如何根據(jù)您的業(yè)務提升，選擇您的安全基本連接:SG401containerwithfirewall(4核)更多的分支和移動辦公人員:＋VPN刀片擁擠的網(wǎng)絡連接+加速刀片目標攻擊的威脅+IPS刀片場景:如何根據(jù)您的業(yè)務提升，選擇您的安全量體裁衣-更加體貼您的安全需求！gatewaybladeFirewallgatewaybladeIPsecVPNgatewaybladeIPSgatewayblade加速&集群gatewayblade高級網(wǎng)絡gatewaybladeweb安全gatewaybladeVoIPgatewaybladeURL過濾gatewayblade反病毒&反惡意軟件

gatewayblade反垃圾郵件&郵件安全

SecurityperpetualbladeSecurityserviceblade集中管理監(jiān)控…集中管理和多安全因素集成StatefulFirewallVPNApplicationFirewallIntrusionPreventionAntivirusAntispywareSSLVPNWebApp.FirewallHostCheckingEndpointSecurityIM/P2PVoIPSecurity適合行業(yè)應用的針對性定制GUIDBedit專用工具，可針對個別協(xié)議進行專門參數(shù)定制了解安全設備運行狀態(tài)運行狀態(tài)模塊狀態(tài)CPU狀態(tài)內(nèi)存狀態(tài)存儲狀態(tài)并發(fā)連接新建連接雙機狀態(tài)……監(jiān)控網(wǎng)絡運行狀態(tài)分析網(wǎng)絡異常流量異常流量來源分析異常服務端口分析網(wǎng)絡健康狀態(tài)分析……定位異常主機的活動集中存儲分類查詢150+字段靈活架構(gòu)提供事件依據(jù)用戶帶寬和網(wǎng)絡連接資源占用報告網(wǎng)絡服務帶寬占用報告報表自動化提高安全事件的管理效率報警事件收斂分析報警事件數(shù)據(jù)挖掘更新安全防護狀態(tài)一鍵式更新覆蓋全網(wǎng)安全設備CheckPointvsJunipervsCisco競爭性對比產(chǎn)品競爭分析：CheckPointvsJunipervsCisco產(chǎn)品名稱CheckPointSecureGateway

系列JuniperSRX系列CiscoASA系列Fortinet

Fortigate系列生命周期技術(shù)發(fā)展與延續(xù)專業(yè)的安全廠商，安全網(wǎng)關(guān)產(chǎn)品系列技術(shù)延續(xù)發(fā)展，得到市場時間驗證。新設計，拋棄了經(jīng)營多年的NetscreenOS系統(tǒng)和ASIC芯片架構(gòu)，改變?yōu)槿碌幕诮粨Q路由的JUNOS系統(tǒng)和交換架構(gòu)，推出時間太短，缺乏市場驗證。產(chǎn)品以網(wǎng)絡為主，安全產(chǎn)品無延續(xù)規(guī)劃CiscoASA系列是在傳統(tǒng)的PIX系列停產(chǎn)，而FWSM卡板交換機系列備受客戶爭議的時候，匆忙推出的；Cisco的產(chǎn)品以交換路由為主，其防火墻是弱項Fortinet的Fortigate系列，源于Netscreen的技術(shù)核心，產(chǎn)品線龐大，技術(shù)跟進困難，硬件特征明顯，主要市場還是中小型客戶技術(shù)能力分析CheckPoint防火墻是最早的狀態(tài)檢測防火墻-1993年，擁有狀態(tài)監(jiān)測技術(shù)專利；支持300多種預訂義協(xié)議，支持深層檢測深層檢測能力缺乏，是SPF狀態(tài)包過濾+應用代理方式；一旦開啟相關(guān)的深層代理機制，其性能則顯著下降；Cisco在安全產(chǎn)品并不專業(yè)，更接近路由設備；在狀態(tài)檢測，特別是深層檢測，應用檢測技術(shù)方面遠低于其他專業(yè)廠商；老Netscreen的硬件技術(shù)路線，深層檢測技術(shù)匱乏，支持深層分析協(xié)議少；在一些主要支持功能上過于簡單，穩(wěn)定性差集中管理能力基于圖形化的管理，用戶可以輕易進行網(wǎng)絡對象托拽挪動;一鍵式VPN設置，智能管理；支持真正的統(tǒng)一管理，一張Policy策略表中可管理所有安全網(wǎng)關(guān)設備上，這將意味著大大減少企業(yè)管理員的工作量。Juniper的防火墻采用標準的Web管理方式，在集中控管方面有缺陷，實現(xiàn)不了真正的集中管理，對于企業(yè)用戶而言，隨著網(wǎng)絡的擴大，安全網(wǎng)關(guān)設備的增多，集中管理將成為一個難題Cisco的管理則是命令行最為強大，雖然其也宣稱有ADSM集中管理軟件，但無論是功能/智能化/集中程度/實時監(jiān)控能力/日志審計等方面，都無法與專業(yè)廠商相比。初步的集中管理能力，管理功能簡單；基于日志選擇阻斷和日志自動切換等能力沒有；VPN還需要逐個點的配置。甚至部分安全升級需down機HA高可用性能力分析

CheckPoint的防火墻支持強大的Active–Active模式的HA功能，其專有的cluster集群技術(shù)可以支持多個節(jié)點的同時運行，實現(xiàn)全狀態(tài)同步，動態(tài)負載均衡，而且這一功能由產(chǎn)品自身實現(xiàn)，不依賴第三方設備，外聯(lián)設備只需要基本的2層交換機即可，是真正的雙A。Juniper的防火墻過去一直宣稱其“三明治“架構(gòu)的雙A模式，采用兩組active–standby模式，兩側(cè)網(wǎng)絡用負載均衡交換機來實現(xiàn)流量的分擔，這意味著企業(yè)客戶在選購防火墻的同時，還要購買額外的負載均衡交換機，成本的增加。Cisco的雙機如果要實現(xiàn)雙A架構(gòu)，則必須依賴第三方的負載均衡設備，采購成本直線增加。同時額外增加的設備使網(wǎng)絡更加復雜，增加了故障點的可能性不完善的HA功能支持，一旦啟用應用層檢測防護，狀態(tài)表無法同步；不支持IPSecVPN和SSLVPN的雙A模式等。產(chǎn)品型號對應選擇：CheckPointvsJuni