基于软件刀片技术的硬件安全网关

《基于软件刀片技术的硬件安全网关》由会员分享，可在线阅读，更多相关《基于软件刀片技术的硬件安全网关（14页珍藏版）》请在金锄头文库上搜索。

1、1UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved. 选择适合自己的安全之路！选择适合自己的安全之路！太多的 FW/ VPN / IPS 产品厂商推荐，如何选择？2UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved. Pre- defined system5 blades基于软件刀片技术的硬件安全网关基于软件刀片技术的硬件安全网关 UTM-1平

2、台平台UTM-1平台: UTM&内置管理机适用于中低端用户适用于中低端用户400M4.5GbpsIP 平台平台IP 平台: （电信级别）（电信级别）模块化&扩展性高性能&高可靠性适用于中、高端用户适用于中、高端用户1.5Gbps29GbpsPower-1平台平台Power-1 平台: 高性能&UTM适用于高端用户适用于高端用户9Gbps25Gbps3UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved. UTM-1 / IP / Power-1系列的产品定位系列的产品定位

3、UTM-1IPPower-1市场层面区别市场层面区别目标用户中小企业, 高端企业客户分支机构中高端企业（电信行业）高端企业适用价格敏感度高低中用户功能需求功能需求复杂*高性能，高端口密度功能需求相对简单*性能要求高功能需求复杂金融机构金融机构 大型企业大型企业电信运营商电信运营商教育机构教育机构能源行业能源行业医疗机构医疗机构餐饮连锁餐饮连锁交通运营交通运营寻求市场定位寻求市场定位 专业制造专业制造分支机构分支机构4UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved.

4、Check Point安全检测的技术特点安全检测的技术特点状态检测技术的发起者，领导者Check PointCheck Point的技术方向正在引领的技术方向正在引领下一代安全技术的发展下一代安全技术的发展深层检测技术使用同一协议端口使用同一协议端口 tcp80，如何区分控制，如何区分控制新一代基于用户的安全检测IP？MAC ? 伪装者伪装者 ？基于用户的安全检测基于用户的安全检测5UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved. Check Point VPN的技

5、术特点的技术特点一键式一键式VPN，智能管理，智能管理SSL VPNMobile VPN专用专用 VPN客户端客户端免费数字证书免费数字证书VPN接入接入终端健康检查终端健康检查VPN in Pocket双因素认证双因素认证6UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved. Check Point专有的专有的Cluster集群技术特点集群技术特点 Firewall/VPN/IPSIntranetApplication ServersProxy CachesInter

6、net专有的安全网关集群解决方案多机集群技术，性能线性增长不需第三方负载均衡设备自身动态负载均衡7UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved. 下一代安全网关技术下一代安全网关技术 软件刀片架构软件刀片架构新增服务，直接选中生效，不需断网停服务新增服务，直接选中生效，不需断网停服务安全安全灵活灵活简单简单 量体裁衣量体裁衣更加体贴您的安全需求！更加体贴您的安全需求！8UnrestrictedFor everyone 2009 Check Point Softwa

7、re Technologies Ltd. All rights reserved. IPS软件刀片的技术特点软件刀片的技术特点直接选中启用，无断网，无割接直接选中启用，无断网，无割接与与MS紧密合作，防止紧密合作，防止“零日攻击零日攻击”防护门户网站防护门户网站邮件服务器邮件服务器9UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved. Check Point提供真实环境下的性能能力反映提供真实环境下的性能能力反映64 byte64 byte小包小包HTTPFTPDNSS

8、MTPVoIPQQMSNBTeMuleFireWallFireWallIPSIPS700M900M1G4G7.4G10G12G15G混合流量混合流量10UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved. 同一硬件，软件同一硬件，软件License提升性能，节省初提升性能，节省初期投资期投资11UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved.

9、 整体网络安全：安全网关整体网络安全：安全网关 + + 终端终端 + + 网络传输网络传输Tagging全面的安全网关终端健康检查数据传输标签，防篡改12UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved. 产品竞争分析：产品竞争分析：Check Point vs Juniper vs Cisco 产品名称Check Point SecureGateway 系列Juniper SRX 系列Cisco ASA系列生命周期技术发展与延续专业的安全厂商，安全网关产品系列技术延

10、续发展，得到市场时间验证。新设计，抛弃了经营多年的Netscreen OS系统和ASIC芯片架构，改变为全新的基于交换路由的JUNOS系统和交换架构，推出时间太短，缺乏市场验证。产品以网络为主，安全产品无延续规划Cisco ASA系列是在传统的PIX系列停产，而FWSM卡板交换机系列备受客户争议的时候，匆忙推出的；Cisco的产品以交换路由为主，其防火墙是弱项 技术能力分析Check Point防火墙是最早的状态检测防火墙-1993年，拥有状态监测技术专利；支持300多种预订义协议，支持深层检测深层检测能力缺乏，是SPF状态包过滤+应用代理方式；一旦开启相关的深层代理机制，其性能则显著下降；C

11、isco在安全产品并不专业，更接近路由设备；在状态检测，特别是深层检测，应用检测技术方面远低于其他专业厂商；集中管理能力基于图形化的管理，用户可以轻易进行网络对象托拽挪动; 一键式VPN设置，智能管理；支持真正的统一管理，一张Policy策略表中可管理所有安全网关设备上，这将意味着大大减少企业管理员的工作量。 Juniper的防火墙采用标准的Web管理方式，在集中控管方面有缺陷，实现不了真正的集中管理，对于企业用户而言，随着网络的扩大，安全网关设备的增多，集中管理将成为一个难题 Cisco的管理则是命令行最为强大，虽然其也宣称有ADSM集中管理软件，但无论是功能/智能化/集中程度/实时监控能力

12、/日志审计等方面，都无法与专业厂商相比。 HA高可用性能力分析 Check Point的防火墙支持强大的Active Active模式的HA功能，其专有的 cluster集群技术可以支持多个节点的同时运行，实现全状态同步，动态负载均衡，而且这一功能由产品自身实现，不依赖第三方设备，外联设备只需要基本的2层交换机即可，是真正的双A。 Juniper的防火墙过去一直宣称其“三明治“架构的双A模式，采用两组active standby模式，两侧网络用负载均衡交换机来实现流量的分担，这意味着企业客户在选购防火墙的同时，还要购买额外的负载均衡交换机，成本的增加。 Cisco的双机如果要实现双A架构，则必

13、须依赖第三方的负载均衡设备，采购成本直线增加。同时额外增加的设备使网络更加复杂，增加了故障点的可能性 13UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved. 产品型号对应选择：产品型号对应选择：Check Point vs Juniper vs Cisco 1G10G20G2G4G6G IP295IP2455IP1285Power-1 5075UTM-1 1073/1076UTM-1 3073/307610.3 / 29G10.3 / 15.4G9G4.5G2G1.5

14、GISG 2000ISG 1000SRX 240SRX 650SRX 3400SRX 360010 / 20 / 30G10 / 20G7G4G2G1.5GASA 5550ASA 5580 - 4010GASA 5580 - 205G1.2GPower-1 1100015/20/25G14UnrestrictedFor everyone 2009 Check Point Software Technologies Ltd. All rights reserved. 用户经常会问到的问题用户经常会问到的问题(1)性能真的能达到要求吗？（砖家说ASIC芯片性能才好呢）？CP 的专利CoreXL技术

15、，充分利用多核CPU架构，每个CPU核上都可以启用一个IPS / 防火墙引擎，所以性能倍增。相同的硬件平台，用CoreXL技术和不用CoreXL技术，IPS性能相差4倍；多核CPU架构，才是性能的未来，您没看到， 业界著名的Juxxx不是也改用Intel至强芯片了吗。真的需要这么多的“软件刀片”吗？（砖家说应该每种功能一台设备分层次防护的）？首先，当前需要防护的数据流量是复杂的混合流量，含有从网络层访问限制到应用层深层检测防护到P2P协议管理等多方面的功能需求，单从FW/VPN/IPS/QoS/P2P管理等单方面管理是不完善的采用多“软件刀片”防护技术，可以压缩安全防护的层次，减少设备故障点，

16、不成为“糖葫芦串”的网络设计。节省投资，合并功用，灵活选择集中管理真的有这么必要吗？（砖家说单台设备Web管理很简单的）？集中管理是今后业务扩展，对多台设备管理的必然需求；通过集中管理，节省你的时间，减少人为配置错误。集中管理采用一张Policy配置表，不同策略可以生效在不同安全网关上，管理维护简单，工作量小。针对事件日志的收集和报告，集中管理可以有效对全网事件统一了解，统一监控， 生成统一的分析报告。深层检测有必要吗？不是性能参数最重要吗？（砖家说网络厂商的设备提供更高性能）？深层检测是安全检测的必要因素，针对当前日益复杂的业务应用，深层检测能更好的防护你的网络应用。安全产品不是网络产品，安全是首要的；只有专业的安全厂商，才能提供安全和性能完美结合的产品，而不是“交换路由设备”