挑戰:
遠程訪問 VPN 的蓬勃發展很大程度上是由于這些解決方案與撥號解決方案相比具有巨大的成本優勢。但是當企業部署了 VPN 技術后,網絡安全管理員就面臨著連接、保護和管理日益增加的大量客戶端系統的挑戰。
客戶端臺式電腦和便攜式電腦的安全性是一個主要關注的問題。越來越多的遠程用戶使用線纜調制解調器和數字用戶線路(DSL)這樣的寬帶服務連接到企業網絡。這些“時刻在線”的連接可能使個別的機器為侵入敞開了大門,從而將客戶端和它所連接的網絡置于險境。除了保護客戶端系統的安全之外,企業會不斷面臨將擁有總成本最小化的要求。因此,客戶端安全軟件必須易于部署、配置和管理。
解決方案:
VPN-1® SecuRemote™ 為遠程和本地用戶提供了靈活的 VPN 支持。利用 VPN-1 SecuRemote,遠程用戶可以獲得對關鍵企業資源的安全訪問。無論是內部使用還是遠程使用,VPN 客戶端都可以透明地加密和驗證關鍵數據,使它們免遭偷聽和惡意的數據篡改。
VPN-1 SecureClient™ 為基本的 VPN-1 SecuRemote 功能增加了強大的客戶端安全和管理特性。VPN-1 SecureClient 包括一個“個人防火墻”,以防止對客戶端系統的未授權訪問,這樣能確保入侵者無法侵入創建的 VPN 連接,從而加強整個企業的安全性。為了將終端用戶支持的需求減到最少,VPN-1 SecureClient 為管理員提供了預配置和自動更新客戶端軟件的工具。
VPN-1 SecuRemote 和 VPN-1 SecureClient 實現了最高水平的遠程訪問 VPN。
產品特性
● 安全地將 VPN 客戶端連接到網關或應用服務器
● 支持多種工業標準的加密和驗證協議
● 為客戶端系統提供了集中化管理的個人防火墻和安全配置策略
● 軟件分發和維護自動化
產品優點
● 允許本地和遠程用戶安全地訪問企業網絡上的資源
● 與 VPN-1 解決方案和第三方應用程序無縫集成
● 防止對遠程用戶計算機的未授權訪問和侵入
● 將終端用戶桌面幫助支持成本降到最低
VPN-1 SecureClient
VPN-1 SecureClient 是一個增強型應用程序,它能夠提供 VPN-1 SecuRemote 的全部功能,以及用于客戶端安全和軟件管理的附加特性.
VPN-1 SecureClient 保護終端用戶系統免遭攻擊和濫用。
個人防火墻功能
VPN-1 SecureClient 為終端用戶提供了完善的遠程訪問 VPN 的安全性。利用與市場領先的 FireWall-1 相同的 Stateful Inspection 專利技術,VPN-1 SecureClient 防火墻策略提供了基于源、目的以及客戶端收、發的網絡通信類型的訪問控制。它可以為用戶或用戶組定義安全規則,使具有不同類型遠程訪問 VPN 用戶(例如,銷售人員和 IT 工作人員)的企業,可以根據用戶的不同需要來定制客戶端安全策略。這些策略不僅可以保護客戶端機器上的數據免遭未授權的訪問,而且可以消除這些用戶易受共享網絡上同類用戶攻擊的弱點。未授權的訪問企圖既可以在本地記錄,也可以作為告警發送到管理站。
VPN-1 SecureClient 策略可以通過過濾基于源、目的或 IP 服務的網絡通信來控制進出客戶端 PC 的訪問。
軟件分發和管理
VPN-1 SecureClient 包含了一些特性來簡化客戶端軟件的初始分發和以后的維護。這些特性顯著降低了與 VPN 有關的終端用戶支持成本,并通過確保客戶端軟件的安裝“總是一致”和“版本最新”來提高整體安全性。
利用 VPN-1 SecureClient 打包工具,安全管理員可以為其 VPN-1 SecureClient 用戶創建定制的、自解壓的安裝軟件包。所有的 VPN-1 SecureClient 選項都可以是預配置的,從而完全消除了終端用戶配置任何 VPN 設置的需要。一旦用戶(利用 Web 下載、電子郵件或者物理介質分發)獲得了軟件包,他或她只需簡單地運行可執行文件并重啟機器就可以了。在初次安裝之后,VPN-1 SecureClient 可以自動、透明地更新客戶端機器上的軟件。包括安全策略在內的所有組件都會被定期檢查,如果不是最新的就會自動更新。
數據壓縮
VPN-1 SecureClient 支持 IP 壓縮,以提高必須傳輸大量加密數據的客戶端系統的性能。該壓縮是自適應的--即不會壓縮“不可壓縮的”數據,如經過壓縮的圖像。
安全配置控制
VPN-1 SecureClient 加強了企業的安全性,因為它確保了客戶端系統不能繞開企業安全策略進行配置。利用安全配置校驗(SCV),管理員可以指定 SCV 校驗--定義安全地配置一個客戶端系統的一組條件,例如防病毒軟件的當前版本或個人防火墻策略的正確操作。這些安全性校驗會定期執行,確保只有安全配置的系統可以連接到企業 VPN 上。
VPN-1 SecureClient 保證只有具有安全系統的用戶才能進行連接。
基于策略的架構
VPN-1 SecureClient 使用一個集中化的 Policy Server 來保護網絡客戶端。首先,VPN-1 Policy Server 定義個人防火墻策略和安全配置要求。VPN 客戶端定期從 Policy Server 下載適當的安全策略和 SCV 校驗。VPN-1 SecureClient Policy Server 可以采用分布式的配置建立,以提高可用性。在客戶端,如果 VPN-1 SecureClient 軟件不能訪問它的主服務器,它將自動與一個備用策略服務器連接。
VPN-1 SecuRemote 和 VPN-1 SecureClient
靈活的部署
VPN-1 SecuRemote 和 VPN-1 SecureClient 為所有 Internet 服務提供商(ISP)服務(撥號、線纜調制解調器或數字用戶線路(DSL))提供動態和固定 IP 尋址,這使它們成為遠程通信用戶和移動通信工作人員的理想解決方案。安裝在內部時,VPN-1 客戶端可以在 LAN 和 WAN 上保護關鍵業務通信。
支持工業標準協議
VPN-1 SecuRemote 和 VPN-1 SecureClient 支持工業標準 VPN 協議和算法,從而提供了與 VPN-1/FireWall-1® 安全性策略的完全兼容性。
* 由 IKE 支持的
VPN-1 SecuRemote 和 VPN-1 SecureClient
靈活的驗證
Check Point 獨特的混合模式 IPSec 驗證使得在 IPSec/IKE VPN 內利用廣泛部署的驗證技術成為可能,例如 SecurID、RADIUS 和 TACACS+。該功能讓企業可以使用最能滿足他們需要的用戶驗證解決方案,同時還可以在 VPN 網關上利用工業標準 X.509 數字證書保證其安全性。VPN-1 SecureClient 用戶也可以使用由 VPN-1 Gateway 本身發布的內部數字證書進行驗證。
終端用戶透明性
VPN-1 客戶端維護有關所有 VPN 站點的詳細信息。所有的 VPN 功能(包括密鑰協商和數據加密)對用戶來說都是完全透明的。每當用戶請求一個連接時,VPN-1 SecuRemote/VPN-1 SecureClient 會截取這個請求并確定目標資源是否位于一個已知的 VPN-1 Gateway 之后。一旦標識了網關,VPN-1 客戶端就會被自動激活,并要求用戶進行驗證。VPN-1 SecuRemote/VPN-1 SecureClient 也可以智能地解析內部未注冊域名和外部域名。如果由于某種原因不能到達一個網關,VPN-1 客戶端將在可能的時候自動嘗試連接一個備用網關。
支持公開密鑰基礎架構
利用 VPN-1 SecuRemote/SecureClient,遠程 VPN 用戶可以受益于 PKI 技術提供的高級的安全性和可伸縮性。通過對全球主要認證中心供應商 PKI 的支持,VPN-1 SecuRemote 可以利用 X.509 數字證書來啟動一個 IKE 密鑰協商。
企業安全集成
VPN-1 SecuRemote 和 VPN-1 SecureClient 可以無縫地與 Check Point 市場領先的 VPN-1 企業安全套件一同工作。只需添加一條規則就可以輕松地將安全遠程訪問合并為整體安全策略的一部分。而且因為 VPN-1 客戶端直接與 VPN-1 Gateway 建立 VPN 隧道,所以企業安全策略中的所有元素(包括訪問控制、用戶驗證和登錄等)都會被嚴格執行。
規格
VPN-1 SecuRemote 和 VPN-1 SecureClient
操作系統 Windows 98、NT 4.0、ME、2000
磁盤空間 6 MB
內存 32 MB
網絡適配器 沒有已知的限制
介質 CD-ROM 和 Web 下載
VPN-1 SecureClient Policy Server
VPN-1 SecureClient Policy Server 必須安裝在一臺具有 VPN-1 執行功能的機器上,可以通過 VPN-1 Gateway 或者 VPN-1 SecureServer 軟件安裝。有關的詳細信息,請參考 VPN-1 Gateway 系統需求。
安全虛擬網絡架構
所有的 Check Point Software 產品均建立在我們的“安全虛擬網絡(SVN)架構”之上,它可通過 Internet、內部網和外部網環境為用戶、網絡、系統和應用程序提供安全和無縫的連接。Check Point Software 的 SVN 解決方案可通過遍布全球的業界領先的零售商和服務提供商處獲得。
