行业需求
中国的电信业正处于不断变革的时期,市场正由中国电信独家经营的垄断格局走向多家竞争。目前,国内的电信市场主要由中国电信、中国联通以及中国网通、中国吉通等拥有电信业务经营权的运营商共同经营,他们主要从事基础网络的建设和基本业务经营,同时纷纷对以数据业务为代表的新业务、电信增值业务投入了大量的人力和物力,在这些领域展开角逐。
随着 WTO 的加入、国外电信运营商的逐步进入中国市场,电信政策将越来越宽松,中国电信业的格局将发生急剧的变化。在这种剧烈的变化下,谁为用户提供了更安全、更快捷的服务,谁就将在巨大的中国电信市场抓住先机。 电信企业是以提供网络和数据通信服务为主要经营业务的企业。通过在电信企业实施全面、有效、合理的安全措施将达到以下目标:
1、保护电信企业电信运营网的安全。包括构成电信网络的所有设施、系统以及系统所处理的数据和信息的安全保护。
2、在保证安全的前提下,满足较高的网络吞吐性能和高可用性需求。
3、中央安全管理,以高效的管理模式尽量减少昂贵的人力和物力资源的投入。
4、以有限的代价,提高电信企业为其客户提供优于竞争对手的服务的能力,以获得竞争优势。
Check Point 针对电信客户解决方案
Check Point 软件技术有限公司是因特网安全领域的全球领先企业。Check Point 软件技术有限公司的安全虚拟网络(SVN)体系结构可提供支持安全、可靠的因特网通信的基础设施。通过因特网、Intranet 和 Extranet,SVN 可确保网络、系统、应用和用户之间的安全通信。在公司的“Next Generation”产品系列中发布的 SVN 解决方案,进一步加强了公司网络、远程员工、办事处以及合作伙伴外部网的业务通信和资源的安全。Check Point 公司的安全性开放式平台(OPSEC)可提供一个先进的框架,借此可以与 300 多个业界领先合作伙伴的优秀解决方案进行集成、并实现高度的互操作性。
安全第一 — 专利技术的“Stateful Inspection”
由 CHECK POINT 软件技术公司推出并持有专利的状态监测技术是网络安全性技术的事实标准。状态监测可提供准确而高效的业务量监测,并可对应用层信息进行检查,从而提供最高水平的安全性和性能。由于状态监测无须单独的代理来保证每一项服务的提供,所以客户能够获得更高的性能、可伸缩性和业务能力,从而可以比原有的体系结构更为迅速地支持新的客户化应用。
状态监测 -- 代表了新一代安全的先进技术,它监视每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙。它在协议栈低层(网络第二层和第三层之间,数据包到达操作系统之前)截取数据包,然后分析这些数据包,并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较,并根据用户制定的安全规则,从而得到该数据包的控制信息,来达到保护网络安全的目的。
Check Point VPN-1/FireWall-1 NG 将这一核心进行了扩展和优化。新的体系结构将更能满足未来产品和用户的需要,它提供了集成度和模块化程度更高的、更开放的和更易扩展的新一代安全平台标准。用户能够感觉到的是它使用起来更容易;管理起来更方便;系统性能更高;系统可靠性更高等方面的优势。
可以这样说,只有 Check Point 的状态监测才能真正实现:数据包序列跟踪、Stateful VoIP、Stateful ICMP、Stateful IPSEC、Stateful DNS……
高性能 — SecureXL 加速技术
Check Point NG 产品采用开放的方法,利用先进的技术和良好的合作关系来满足高性能安全解决方案的需要。
Check Point NG 新的状态监测技术整合优化了通信状态表,使之查询和修改效率更高。另外,新的状态监测技术进行了模块化设计,这样,多种安全功能就可以集成到硬件上,以实现最大可能的性能。Check Point 提出的 SecureXL 是一种用于集成硬件或软件安全加速器的新型加速接口,该接口提供各种安全功能包括防火墙、VPN、NAT 和公钥操作的加速。
Check Point NG 产品有着优异的性能价格比,用户选择一台 4 万人民币左右的 PC 工作站能够获得的防火墙吞吐量为 3.1Gbps,该性能足以满足电信用户对网络性能的需求。
Check Point FireWall-1 高性能指标一览
高可用性 — ClusterXL
CheckPoint 的 ClusterXL 可以帮助电信用户在关键网络处实现两种功能:双机热备/负载均衡。该解决方案通过使用冗余网关集群,从而使关键业务及应用无缝地保持连接服务。如果主网关出现故障,则所有连接无缝地重定向到另外一台网关。ClusterXL 利用集群成员间的状态表同步方式,确保在故障修复过程中保持所有连接,甚至是加密的 IKE 连接。
另外,网关可被更换并加入到一个新的集群系统中,而无需重新设置或重新启动该集群。例如,在因操作系统故障而出现切换时,出现故障的设备可以自动重新启动(条件是其操作系统被事先设置成自动重启)并在无管理人员干涉的条件下重新进入集群中。这种特点使得集群系统在正常运行时间里可以进行在线维护,而维护过程并不中断服务。
ClusterXL 采用一种可编程的状态诊断技术,它可不间断地监视网关进程,诊断出潜在的故障。除能够检测 VPN-1/FireWall-1 故障之外,它还能通过与第三方应用程序通信,确定系统的健康程度。例如,当有效磁盘空间达到一个预先设定的最低值时,磁盘空间代理(Agent)将此信息通知“诊断”程序,这时,系统可强行切换到备用网关,避免在主网关上由于资源耗尽而出现问题。“状态监视器”可对一系列虽然不会造成灾难性故障,却对整个系统性能和可靠性造成影响的一些问题作出主动的响应。
简单的管理 — SMART(Security Management Architecture)
Check Point 一直倡导着 SMART(Security Management Architecture)管理概念。从中央实现用户更加简单、更加安全地管理企业中所有安全执行点。
Check Point 直观的管理控制台为定义和管理安全虚拟网络的多种组件提供了单一的图形用户界面:防火墙安全、VPN、网络地址翻译、服务质量和 VPN 客户端安全。为了有效创建策略和安全管理,所有对象定义(用户、主机、网络、服务等等)在所有应用程序中都是共享的。
管理员也可使用 SecureUpdate™ 集中实现 Check Point 及合作伙伴产品的软件分发,以此减少分支机构所需的 IT 支持。该解决方案跟踪产品版本信息,并自动向执行点进行主版本更新、服务软件包安装以及对第三方 OPSEC 产品的安装,这使管理员可以更加轻松地控制他们的安全环境。
开放的体系结构 — OPSEC
安全性开放式平台(OPSEC)是 Check Point 软件技术有限公司的开放式体系结构解决方案,可提供业界唯一的企业级策略管理和策略执行框架(详细信息可查看:http://www.opsec.com)。构成 OPSEC 联盟的 300 多家公司采用 OPSEC 框架,为客户提供了企业级网络安全各方面的解决方案。这些合作伙伴通过提供经认证的产品和解决方案,从而与 SVN 体系结构全面集成,同时扩展了 Check Point 公司的系列解决方案,使 OPSEC 成为业界最成功的联盟。用户得到的是业界最优秀的解决方案(Best of Breed)和最大的投资回报。
Check Point 针对电信服务提供商和 IDC 解决方案:VPN-1/FireWall-1 VSX
从员工人数到硬件成本,服务提供商和大型企业都在寻求降低从数据中心传递安全服务的成本。保护数据的一般做法是在每个服务器前端设置专用的防火墙或 VPN 设备。但是,为每个用户或应用部署专用硬件的成本非常昂贵,并且使机柜空间的利用率降低。供应并维护几百台专用设备也增加了保护用户资产安全的成本。
VPN-1®/FireWall-1® VSX 是一种为数据中心环境设计的高速、多策略安全解决方案。它在市场领先的 FireWall-1 中增加了相同的、已获专利的 Stateful Inspection 技术。通过在单一平台上集合 100 个用户安全域,VPN-1/FireWall-1 VSX 将硬件投资降到最低并可有效利用空间。其简单、直观的供应过程可以快速部署用户安全,从而降低从数据中心传送安全服务的成本。
用户可以在群集服务器中部署多用户网关,每个网关最多支持 100 个虚拟防火墙模块(VM)。每个 VM 通过虚拟 LAN(VLAN)与多用户网关的一个内部接口相连。VLAN 是基于软件的网络节点的逻辑群组,它们使网络分段成为可能。另外,用户可以利用 Check Point 的状态同步技术和最优、高效的解决方案来传递冗余。当主要的多用户网关不可用时,在不间断传送的情况下将所有的连接定向到第二个网关。因此,用户不需要重新连接、重新认证,也不会感觉到使用第二个多用户网关接管。
在单一的硬件平台上,当向 100 个 VM 传送安全访问时,性能是关键。VPN-1/FireWall-1 VSX 可以部署在多个电信级的平台上,这类平台利用 Check Point 的 SecureXL 性能技术来传送多千兆传输率的安全。