安全虛擬網(wǎng)絡(luò)架構(gòu)
　　
　　挑戰(zhàn)：
　　　
　　遠(yuǎn)程訪問 VPN 的蓬勃發(fā)展很大程度上是由于這些解決方案與撥號解決方案相比具有巨大的成本優(yōu)勢。但是當(dāng)企業(yè)部署了 VPN 技術(shù)后，網(wǎng)絡(luò)安全管理員就面臨著連接、保護(hù)和管理日益增加的大量客戶端系統(tǒng)的挑戰(zhàn)。
　　
　　客戶端臺式電腦和便攜式電腦的安全性是一個主要關(guān)注的問題。越來越多的遠(yuǎn)程用戶使用線纜調(diào)制解調(diào)器和數(shù)字用戶線路（DSL）這樣的寬帶服務(wù)連接到企業(yè)網(wǎng)絡(luò)。這些“時刻在線”的連接可能使個別的機(jī)器為侵入敞開了大門，從而將客戶端和它所連接的網(wǎng)絡(luò)置于險境。除了保護(hù)客戶端系統(tǒng)的安全之外，企業(yè)會不斷面臨將擁有總成本最小化的要求。因此，客戶端安全軟件必須易于部署、配置和管理。
　　
　　解決方案：
　　VPN-1® SecuRemote™ 為遠(yuǎn)程和本地用戶提供了靈活的 VPN 支持。利用 VPN-1 SecuRemote，遠(yuǎn)程用戶可以獲得對關(guān)鍵企業(yè)資源的安全訪問。無論是內(nèi)部使用還是遠(yuǎn)程使用，VPN 客戶端都可以透明地加密和驗證關(guān)鍵數(shù)據(jù)，使它們免遭偷聽和惡意的數(shù)據(jù)篡改。
　　
　　VPN-1 SecureClient™ 為基本的 VPN-1 SecuRemote 功能增加了強(qiáng)大的客戶端安全和管理特性。VPN-1 SecureClient 包括一個“個人防火墻”，以防止對客戶端系統(tǒng)的未授權(quán)訪問，這樣能確保入侵者無法侵入創(chuàng)建的 VPN 連接，從而加強(qiáng)整個企業(yè)的安全性。為了將終端用戶支持的需求減到最少，VPN-1 SecureClient 為管理員提供了預(yù)配置和自動更新客戶端軟件的工具。
　　　
　　VPN-1 SecuRemote 和 VPN-1 SecureClient 實現(xiàn)了最高水平的遠(yuǎn)程訪問 VPN。
　　產(chǎn)品特性
　　● 安全地將 VPN 客戶端連接到網(wǎng)關(guān)或應(yīng)用服務(wù)器
　　● 支持多種工業(yè)標(biāo)準(zhǔn)的加密和驗證協(xié)議
　　● 為客戶端系統(tǒng)提供了集中化管理的個人防火墻和安全配置策略
　　● 軟件分發(fā)和維護(hù)自動化
　　
　　產(chǎn)品優(yōu)點(diǎn)
　　● 允許本地和遠(yuǎn)程用戶安全地訪問企業(yè)網(wǎng)絡(luò)上的資源
　　● 與 VPN-1 解決方案和第三方應(yīng)用程序無縫集成
　　● 防止對遠(yuǎn)程用戶計算機(jī)的未授權(quán)訪問和侵入
　　● 將終端用戶桌面幫助支持成本降到最低
　　
　　VPN-1 SecureClient
　　VPN-1 SecureClient 是一個增強(qiáng)型應(yīng)用程序，它能夠提供 VPN-1 SecuRemote 的全部功能，以及用于客戶端安全和軟件管理的附加特性.
　　　
　　VPN-1 SecureClient 保護(hù)終端用戶系統(tǒng)免遭攻擊和濫用。
　　個人防火墻功能
　　VPN-1 SecureClient 為終端用戶提供了完善的遠(yuǎn)程訪問 VPN 的安全性。利用與市場領(lǐng)先的 FireWall-1 相同的 Stateful Inspection 專利技術(shù)，VPN-1 SecureClient 防火墻策略提供了基于源、目的以及客戶端收、發(fā)的網(wǎng)絡(luò)通信類型的訪問控制。它可以為用戶或用戶組定義安全規(guī)則，使具有不同類型遠(yuǎn)程訪問 VPN 用戶（例如，銷售人員和 IT 工作人員）的企業(yè)，可以根據(jù)用戶的不同需要來定制客戶端安全策略。這些策略不僅可以保護(hù)客戶端機(jī)器上的數(shù)據(jù)免遭未授權(quán)的訪問，而且可以消除這些用戶易受共享網(wǎng)絡(luò)上同類用戶攻擊的弱點(diǎn)。未授權(quán)的訪問企圖既可以在本地記錄，也可以作為告警發(fā)送到管理站。
　　　
　　VPN-1 SecureClient 策略可以通過過濾基于源、目的或 IP 服務(wù)的網(wǎng)絡(luò)通信來控制進(jìn)出客戶端 PC 的訪問。
　　
　　軟件分發(fā)和管理
　　VPN-1 SecureClient 包含了一些特性來簡化客戶端軟件的初始分發(fā)和以后的維護(hù)。這些特性顯著降低了與 VPN 有關(guān)的終端用戶支持成本，并通過確保客戶端軟件的安裝“總是一致”和“版本最新”來提高整體安全性。
　　
　　利用 VPN-1 SecureClient 打包工具，安全管理員可以為其 VPN-1 SecureClient 用戶創(chuàng)建定制的、自解壓的安裝軟件包。所有的 VPN-1 SecureClient 選項都可以是預(yù)配置的，從而完全消除了終端用戶配置任何 VPN 設(shè)置的需要。一旦用戶（利用 Web 下載、電子郵件或者物理介質(zhì)分發(fā)）獲得了軟件包，他或她只需簡單地運(yùn)行可執(zhí)行文件并重啟機(jī)器就可以了。在初次安裝之后，VPN-1 SecureClient 可以自動、透明地更新客戶端機(jī)器上的軟件。包括安全策略在內(nèi)的所有組件都會被定期檢查，如果不是最新的就會自動更新。
　　
　　數(shù)據(jù)壓縮
　　VPN-1 SecureClient 支持 IP 壓縮，以提高必須傳輸大量加密數(shù)據(jù)的客戶端系統(tǒng)的性能。該壓縮是自適應(yīng)的--即不會壓縮“不可壓縮的”數(shù)據(jù)，如經(jīng)過壓縮的圖像。
　　
　　安全配置控制
　　VPN-1 SecureClient 加強(qiáng)了企業(yè)的安全性，因為它確保了客戶端系統(tǒng)不能繞開企業(yè)安全策略進(jìn)行配置。利用安全配置校驗（SCV），管理員可以指定 SCV 校驗--定義安全地配置一個客戶端系統(tǒng)的一組條件，例如防病毒軟件的當(dāng)前版本或個人防火墻策略的正確操作。這些安全性校驗會定期執(zhí)行，確保只有安全配置的系統(tǒng)可以連接到企業(yè) VPN 上。
　　　
　　VPN-1 SecureClient 保證只有具有安全系統(tǒng)的用戶才能進(jìn)行連接。
　　基于策略的架構(gòu)
　　VPN-1 SecureClient 使用一個集中化的 Policy Server 來保護(hù)網(wǎng)絡(luò)客戶端。首先，VPN-1 Policy Server 定義個人防火墻策略和安全配置要求。VPN 客戶端定期從 Policy Server 下載適當(dāng)?shù)陌踩呗院?SCV 校驗。VPN-1 SecureClient Policy Server 可以采用分布式的配置建立，以提高可用性。在客戶端，如果 VPN-1 SecureClient 軟件不能訪問它的主服務(wù)器，它將自動與一個備用策略服務(wù)器連接。
　　
　　VPN-1 SecuRemote 和 VPN-1 SecureClient
　　靈活的部署
　　VPN-1 SecuRemote 和 VPN-1 SecureClient 為所有 Internet 服務(wù)提供商（ISP）服務(wù)（撥號、線纜調(diào)制解調(diào)器或數(shù)字用戶線路（DSL））提供動態(tài)和固定 IP 尋址，這使它們成為遠(yuǎn)程通信用戶和移動通信工作人員的理想解決方案。安裝在內(nèi)部時，VPN-1 客戶端可以在 LAN 和 WAN 上保護(hù)關(guān)鍵業(yè)務(wù)通信。
　　
　　支持工業(yè)標(biāo)準(zhǔn)協(xié)議
　　VPN-1 SecuRemote 和 VPN-1 SecureClient 支持工業(yè)標(biāo)準(zhǔn) VPN 協(xié)議和算法，從而提供了與 VPN-1/FireWall-1® 安全性策略的完全兼容性。
　　　
　　
　　* 由 IKE 支持的
　　VPN-1 SecuRemote 和 VPN-1 SecureClient
　　靈活的驗證
　　Check Point 獨(dú)特的混合模式 IPSec 驗證使得在 IPSec/IKE VPN 內(nèi)利用廣泛部署的驗證技術(shù)成為可能，例如 SecurID、RADIUS 和 TACACS+。該功能讓企業(yè)可以使用最能滿足他們需要的用戶驗證解決方案，同時還可以在 VPN 網(wǎng)關(guān)上利用工業(yè)標(biāo)準(zhǔn) X.509 數(shù)字證書保證其安全性。VPN-1 SecureClient 用戶也可以使用由 VPN-1 Gateway 本身發(fā)布的內(nèi)部數(shù)字證書進(jìn)行驗證。
　　
　　終端用戶透明性
　　VPN-1 客戶端維護(hù)有關(guān)所有 VPN 站點(diǎn)的詳細(xì)信息。所有的 VPN 功能（包括密鑰協(xié)商和數(shù)據(jù)加密）對用戶來說都是完全透明的。每當(dāng)用戶請求一個連接時，VPN-1 SecuRemote/VPN-1 SecureClient 會截取這個請求并確定目標(biāo)資源是否位于一個已知的 VPN-1 Gateway 之后。一旦標(biāo)識了網(wǎng)關(guān)，VPN-1 客戶端就會被自動激活，并要求用戶進(jìn)行驗證。VPN-1 SecuRemote/VPN-1 SecureClient 也可以智能地解析內(nèi)部未注冊域名和外部域名。如果由于某種原因不能到達(dá)一個網(wǎng)關(guān)，VPN-1 客戶端將在可能的時候自動嘗試連接一個備用網(wǎng)關(guān)。
　　
　　支持公開密鑰基礎(chǔ)架構(gòu)
　　利用 VPN-1 SecuRemote/SecureClient，遠(yuǎn)程 VPN 用戶可以受益于 PKI 技術(shù)提供的高級的安全性和可伸縮性。通過對全球主要認(rèn)證中心供應(yīng)商 PKI 的支持，VPN-1 SecuRemote 可以利用 X.509 數(shù)字證書來啟動一個 IKE 密鑰協(xié)商。
　　
　　企業(yè)安全集成
　　VPN-1 SecuRemote 和 VPN-1 SecureClient 可以無縫地與 Check Point 市場領(lǐng)先的 VPN-1 企業(yè)安全套件一同工作。只需添加一條規(guī)則就可以輕松地將安全遠(yuǎn)程訪問合并為整體安全策略的一部分。而且因為 VPN-1 客戶端直接與 VPN-1 Gateway 建立 VPN 隧道，所以企業(yè)安全策略中的所有元素（包括訪問控制、用戶驗證和登錄等）都會被嚴(yán)格執(zhí)行。
　　
　　規(guī)格
　　VPN-1 SecuRemote 和 VPN-1 SecureClient
　　操作系統(tǒng)　　　　　　　　　　Windows 98、NT 4.0、ME、2000
　　磁盤空間　　　　　　　　　　6 MB
　　內(nèi)存　　　　　　　　　　　　32 MB
　　網(wǎng)絡(luò)適配器　　　　　　　　　沒有已知的限制
　　介質(zhì)　　　　　　　　　　　　CD-ROM 和 Web 下載
　　VPN-1 SecureClient Policy Server
　　VPN-1 SecureClient Policy Server 必須安裝在一臺具有 VPN-1 執(zhí)行功能的機(jī)器上，可以通過 VPN-1 Gateway 或者 VPN-1 SecureServer 軟件安裝。有關(guān)的詳細(xì)信息，請參考 VPN-1 Gateway 系統(tǒng)需求。
　　
　　安全虛擬網(wǎng)絡(luò)架構(gòu)
　　所有的 Check Point Software 產(chǎn)品均建立在我們的“安全虛擬網(wǎng)絡(luò)（SVN）架構(gòu)”之上，它可通過 Internet、內(nèi)部網(wǎng)和外部網(wǎng)環(huán)境為用戶、網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序提供安全和無縫的連接。Check Point Software 的 SVN 解決方案可通過遍布全球的業(yè)界領(lǐng)先的零售商和服務(wù)提供商處獲得。