除安全性之外,企業(yè)網(wǎng)絡(luò)的延伸還面臨著可用性、性能和可擴(kuò)展性的挑戰(zhàn)。為使關(guān)鍵任務(wù)應(yīng)用能夠利用 VPN(虛擬專用網(wǎng)絡(luò))技術(shù),VPN 必須確保可靠的性能和無縫的容錯性。外部網(wǎng) VPN 還造成了另外一個挑戰(zhàn):要確保不同供應(yīng)商提供的解決方案之間的互操作性。總之,一個 VPN 的所有組件必須能夠在整個企業(yè)安全基礎(chǔ)架構(gòu)內(nèi)部簡單地集成和管理。
解決方案:
VPN-1® Pro™ 是一個緊密集成的軟件解決方案,它將市場領(lǐng)先的 FireWall-1® 安全性套件與先進(jìn)的 VPN 技術(shù)結(jié)合起來。作為 Check Point 的安全虛擬網(wǎng)絡(luò)架構(gòu)的基礎(chǔ),VPN-1 Pro 可為企業(yè)網(wǎng)絡(luò)、遠(yuǎn)程和移動用戶、分支機(jī)構(gòu)和主要的合作伙伴提供安全的連接,充分滿足 Internet、內(nèi)部網(wǎng)、外部網(wǎng) VPN 的嚴(yán)格要求。
VPN-1 Pro 解決方案可以在業(yè)界最廣泛的開放式平臺和安全設(shè)備上獲得--滿足各種規(guī)模的企業(yè)的價格性能比需求。
VPN-1 Pro 提供了一個可伸縮的高性能解決方案,可以滿足企業(yè)網(wǎng)絡(luò)、遠(yuǎn)程和移動用戶以及分支機(jī)構(gòu)的要求。
產(chǎn)品特性
● 使用工業(yè)標(biāo)準(zhǔn)的加密、驗證和密鑰管理方案保護(hù)數(shù)據(jù)通信
● 使用 FireWall-1 保護(hù)重要的企業(yè)資源
● 允許進(jìn)行集中的、集成的和基于策略的安全管理
● 支持范圍廣泛的開放式服務(wù)器和設(shè)備平臺
● 包括 SecureXL™ 性能架構(gòu)、OpenPKI 支持和集成的 QoS
產(chǎn)品優(yōu)點(diǎn)
● 連接移動用戶、遠(yuǎn)程辦公用戶和分支辦公機(jī)構(gòu)的成本更低
● 確保企業(yè)資源和 Internet 通信的最大安全性
● 簡化安全管理
● 以更卓越的價格性能比提供平臺適應(yīng)性
● 提供高可伸縮的 VPN 和多千兆的安全性能
全面的 VPN 解決方案
VPN-1 Pro 是 Check Point VPN-1 解決方案的基礎(chǔ),這是一個用于遠(yuǎn)程訪問、內(nèi)部網(wǎng)和外部網(wǎng) VPN 的最全面的產(chǎn)品與技術(shù)集合。Check Point 提供了范圍廣泛的 VPN 產(chǎn)品,各種組織機(jī)構(gòu)可以從中選擇以設(shè)計出滿足自己需求的最佳配置。
Check Point VPN-1 解決方案為擴(kuò)展的企業(yè)提供端到端的安全性。
安全性
Check Point VPN-1 Pro 集成了訪問控制、驗證和加密,確保了網(wǎng)絡(luò)連接的安全性、本地和遠(yuǎn)程用戶的可靠性以及數(shù)據(jù)通信的私有性和完整性。
FireWall-1 集成
為了提供有效的企業(yè)安全性和高效的管理,VPN 必須包含集成的防火墻功能。為此目的,VPN-1 Pro 包含了市場領(lǐng)先的 FireWall-1,利用 Check Point 的 Stateful Inspection 專利技術(shù)來保證所有通用 Internet 服務(wù)的安全。VPN-1 Pro 支持超過 150 個的預(yù)定義應(yīng)用、服務(wù)和現(xiàn)成的協(xié)議,包括重要的商務(wù)應(yīng)用(如 Oracle SQL)、多媒體應(yīng)用(如 RealAudio)以及多媒體服務(wù)(如 H.323)。
靈活的驗證
為確保最大的安全性和靈活性,VPN-1 Pro 提供對多種用戶驗證方式的集成支持。移動 VPN 用戶驗證可以采用以下方式完成:智能卡、基于令牌的產(chǎn)品,如 SecurID、LDAP 存儲的口令、RADIUS 或 TACACS+ 服務(wù)器、預(yù)共享密碼、X.509 數(shù)字證書,甚至先進(jìn)的生物技術(shù)。
利用 Check Point 獨(dú)特的混合模式驗證,VPN-1 Pro 可以在 IPSec VPN 部署內(nèi)提供額外的靈活性,因為它使企業(yè)能夠利用任何 FireWall-1 支持的驗證方法。
強(qiáng)大的加密
除了確保網(wǎng)絡(luò)訪問的安全之外,VPN 解決方案還必須保護(hù)被傳輸數(shù)據(jù)的保密性。通過遵循 IPSec 標(biāo)準(zhǔn),VPN-1 Pro 可以自動協(xié)商通信各方之間可用的最強(qiáng)的加密和數(shù)據(jù)驗證算法。這包括用于數(shù)據(jù)加密的新的高級加密標(biāo)準(zhǔn)(AES)Rijndael 和 Triple DES 算法。
開放式 PKI 支持
公開密鑰基礎(chǔ)架構(gòu)為大規(guī)模 IPSec VPN 部署提供了必需的管理基礎(chǔ)架構(gòu),因為它允許使用及管理密鑰和數(shù)字證書。VPN-1 的 OpenPKI 確保了 VPN-1 產(chǎn)品能夠與來自于 Entrust、Verisign、Baltimore Technologies 和 iPlanet 這些供應(yīng)商的主導(dǎo) PKI 解決方案保持兼容,這些解決方案都已被列為 Check Point 的 OPSEC(開放式安全平臺)聯(lián)盟的一部分。VPN-1 解決方案同樣支持工業(yè)標(biāo)準(zhǔn),如 X.509、PKCS #11 和 PKCS #12 等,以確保最高級別的安全性和互操作性。
企業(yè)管理
虛擬專用網(wǎng)絡(luò)只是企業(yè)整體網(wǎng)絡(luò)安全策略的一個組成部分。一個有效的安全解決方案必須提供在一個單一的、整個企業(yè)范圍的安全策略內(nèi)定義 VPN 的能力,而且此安全策略可以從一個中央控制臺分配和管理。隨著用戶數(shù)量的增長,一個可擴(kuò)展的 VPN 解決方案還必須是易于部署和管理的。
直觀的用戶界面
Check Point Management Console 是一個完善且簡單的圖形用戶界面,用于定義和管理一個安全虛擬網(wǎng)絡(luò)的多種元素:防火墻安全、VPN、網(wǎng)絡(luò)地址翻譯、桌面安全和 QoS 策略。可在所有應(yīng)用程序中共享所有的對象定義(例如:用戶、主機(jī)、網(wǎng)絡(luò)和服務(wù)等等),以便進(jìn)行有效的策略創(chuàng)建和安全管理。
集中化管理
VPN-1 實現(xiàn)已經(jīng)被集成到一個 VPN 部署的整體企業(yè)安全策略中,這使它具有最大的安全性。利用一個獨(dú)特的三層架構(gòu),可以集中管理一個單一的企業(yè)范圍的安全策略,并自動部署到無限數(shù)量的 VPN-1/FireWall-1 執(zhí)行點(diǎn)。只要一項策略被創(chuàng)建或修改,它就會被自動地同時分發(fā)到所有的安全執(zhí)行點(diǎn)。與那些需要多管理界面或按設(shè)備進(jìn)行策略安裝的解決方案相比,集中化策略管理極大地提高了管理效率。此外,整體安全性也得到了增強(qiáng),因為該安全策略在所有的網(wǎng)絡(luò)執(zhí)行點(diǎn)總是最新的。
SecureUpdate™
除了安全策略之外,Check Point VPN-1 解決方案也可以利用 SecureUpdate™ 模塊為 Check Point 和 OPSEC 認(rèn)證的產(chǎn)品及產(chǎn)品許可證提供集中化軟件管理。這個強(qiáng)大的管理工具確保整個企業(yè)網(wǎng)絡(luò)中的 Internet 安全性總是最新的。
One-click VPN
利用 One-click VPN,可以用一個操作創(chuàng)建大規(guī)模的 VPN。使用多個 VPN 分組,企業(yè)可以用一個步驟為整個 VPN(例如,一個內(nèi)部網(wǎng)或外部網(wǎng))定義安全參數(shù)。通過簡單地定義一個分組內(nèi)的所有 VPN-1 Pro,所有網(wǎng)關(guān)之間的 VPN 可以自動建立。這消除了在每一對通信的 VPN 單元之間定義 VPN 屬性的需要。當(dāng)新站點(diǎn)添加到分組時,它們會自動繼承適當(dāng)?shù)膶傩裕⑶铱梢耘c VPN 分組中的其他站點(diǎn)立即建立安全的 IPSec/IKE 會話。
One-click 認(rèn)證
Check Point VPN-1 解決方案現(xiàn)在包括了一個內(nèi)部認(rèn)證中心,使希望使用數(shù)字證書的企業(yè)可以達(dá)到其目的。這些內(nèi)部認(rèn)證書被自動地為內(nèi)部模塊和站點(diǎn)到站點(diǎn)的 VPN 分組下發(fā)到所有 Check Point 管理和執(zhí)行點(diǎn),而且可以被下發(fā)到 VPN-1 SecureClient™ 用戶。
性能和可用性
隨著 VPN 部署變得更大而且更關(guān)鍵,性能就成為最關(guān)心的問題。SecureXL 是一個界面、軟件模塊和工業(yè)標(biāo)準(zhǔn)的構(gòu)架,它使 Check Point 合作伙伴和客戶可以構(gòu)建成本效益更高的 VPN-1 解決方案,以滿足最嚴(yán)格的性能要求。
SecureXL API
Check Point 的開放式性能架構(gòu)的關(guān)鍵是 SecureXL API--一個減少第三方硬件或優(yōu)化軟件的密集安全操作的開放式接口。利用 SecureXL API 的設(shè)備不是將客戶局限于一個單一的專用加速器,而是通過提供多千兆性能級別、多波形因素和一系列價格點(diǎn)來滿足客戶需求。
VPN 負(fù)載均分和故障恢復(fù)
VPN-1 解決方案包括了改革的狀態(tài)同步功能,它使多個 VPN-1 Pro 可以一起行動,不管是位于同一位置還是在不同的位置。
Check Point VPN-1 解決方案包括兩種技術(shù)(ClusterXL™ 和 VPN 負(fù)載分配),它們帶來了無與倫比的性能和容錯性。
ClusterXL 是為通過 VPN 網(wǎng)關(guān)的所有通信提供的一個高可用性和負(fù)載均衡解決方案。各種類型的通信通過一個 VPN-1 Pro 集群分發(fā),隨著集群成員的增加而使得性能幾乎成線性地增長。如果一個網(wǎng)關(guān)變?yōu)椴豢稍L問,所有連接都會被無縫地重定向到其他的集群成員。
VPN 負(fù)載分配是為遠(yuǎn)程訪問 VPN 連接提供的一個高可用性和負(fù)載均衡解決方案。入站的 VPN 連接通過一個 VPN-1 Pro 集群分配。如果一個網(wǎng)關(guān)出現(xiàn)故障,新的 VPN 連接將自動連接到其他的集群成員。
集成的 VPN 的服務(wù)質(zhì)量(QoS)
對于性能非常重要以及可能發(fā)生 Internet 鏈路擁擠的 VPN 部署來說,QoS 是必須的。FloodGate-1® 確保了關(guān)鍵任務(wù) VPN-1 通信的最佳性能,使客戶可以把關(guān)鍵商務(wù)通信從專用廣域網(wǎng)移植到 Internet 上。
系統(tǒng)要求
VPN-1 Pro 軟件可以運(yùn)行在各種平臺(安全設(shè)備和運(yùn)行 Linux、Unix 及 Windows 的開放式服務(wù)器)上,以滿足對 VPN 部署的要求。
在 Windows、Linux、Solaris 和其他操作系統(tǒng)上都可以獲得擁有開放式平臺支持的 VPN-1 Pro;或者可以作為一個集成的設(shè)備從業(yè)界領(lǐng)先的硬件供應(yīng)商那里獲得。企業(yè)可以將 VPN-1 Pro 解決方案部署到外部或內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)上或者 VPN-1 SecureServer 上,以保護(hù)一個單獨(dú)的關(guān)鍵應(yīng)用服務(wù)器。
