安全虚拟网络架构
挑战:
远程访问 VPN 的蓬勃发展很大程度上是由于这些解决方案与拨号解决方案相比具有巨大的成本优势。但是当企业部署了 VPN 技术后,网络安全管理员就面临着连接、保护和管理日益增加的大量客户端系统的挑战。
客户端台式电脑和便携式电脑的安全性是一个主要关注的问题。越来越多的远程用户使用线缆调制解调器和数字用户线路(DSL)这样的宽带服务连接到企业网络。这些“时刻在线”的连接可能使个别的机器为侵入敞开了大门,从而将客户端和它所连接的网络置于险境。除了保护客户端系统的安全之外,企业会不断面临将拥有总成本最小化的要求。因此,客户端安全软件必须易于部署、配置和管理。
解决方案:
VPN-1® SecuRemote™ 为远程和本地用户提供了灵活的 VPN 支持。利用 VPN-1 SecuRemote,远程用户可以获得对关键企业资源的安全访问。无论是内部使用还是远程使用,VPN 客户端都可以透明地加密和验证关键数据,使它们免遭偷听和恶意的数据篡改。
VPN-1 SecureClient™ 为基本的 VPN-1 SecuRemote 功能增加了强大的客户端安全和管理特性。VPN-1 SecureClient 包括一个“个人防火墙”,以防止对客户端系统的未授权访问,这样能确保入侵者无法侵入创建的 VPN 连接,从而加强整个企业的安全性。为了将终端用户支持的需求减到最少,VPN-1 SecureClient 为管理员提供了预配置和自动更新客户端软件的工具。
VPN-1 SecuRemote 和 VPN-1 SecureClient 实现了最高水平的远程访问 VPN。
产品特性
● 安全地将 VPN 客户端连接到网关或应用服务器
● 支持多种工业标准的加密和验证协议
● 为客户端系统提供了集中化管理的个人防火墙和安全配置策略
● 软件分发和维护自动化
产品优点
● 允许本地和远程用户安全地访问企业网络上的资源
● 与 VPN-1 解决方案和第三方应用程序无缝集成
● 防止对远程用户计算机的未授权访问和侵入
● 将终端用户桌面帮助支持成本降到最低
VPN-1 SecureClient
VPN-1 SecureClient 是一个增强型应用程序,它能够提供 VPN-1 SecuRemote 的全部功能,以及用于客户端安全和软件管理的附加特性.
VPN-1 SecureClient 保护终端用户系统免遭攻击和滥用。
个人防火墙功能
VPN-1 SecureClient 为终端用户提供了完善的远程访问 VPN 的安全性。利用与市场领先的 FireWall-1 相同的 Stateful Inspection 专利技术,VPN-1 SecureClient 防火墙策略提供了基于源、目的以及客户端收、发的网络通信类型的访问控制。它可以为用户或用户组定义安全规则,使具有不同类型远程访问 VPN 用户(例如,销售人员和 IT 工作人员)的企业,可以根据用户的不同需要来定制客户端安全策略。这些策略不仅可以保护客户端机器上的数据免遭未授权的访问,而且可以消除这些用户易受共享网络上同类用户攻击的弱点。未授权的访问企图既可以在本地记录,也可以作为告警发送到管理站。
VPN-1 SecureClient 策略可以通过过滤基于源、目的或 IP 服务的网络通信来控制进出客户端 PC 的访问。
软件分发和管理
VPN-1 SecureClient 包含了一些特性来简化客户端软件的初始分发和以后的维护。这些特性显著降低了与 VPN 有关的终端用户支持成本,并通过确保客户端软件的安装“总是一致”和“版本最新”来提高整体安全性。
利用 VPN-1 SecureClient 打包工具,安全管理员可以为其 VPN-1 SecureClient 用户创建定制的、自解压的安装软件包。所有的 VPN-1 SecureClient 选项都可以是预配置的,从而完全消除了终端用户配置任何 VPN 设置的需要。一旦用户(利用 Web 下载、电子邮件或者物理介质分发)获得了软件包,他或她只需简单地运行可执行文件并重启机器就可以了。在初次安装之后,VPN-1 SecureClient 可以自动、透明地更新客户端机器上的软件。包括安全策略在内的所有组件都会被定期检查,如果不是最新的就会自动更新。
数据压缩
VPN-1 SecureClient 支持 IP 压缩,以提高必须传输大量加密数据的客户端系统的性能。该压缩是自适应的--即不会压缩“不可压缩的”数据,如经过压缩的图像。
安全配置控制
VPN-1 SecureClient 加强了企业的安全性,因为它确保了客户端系统不能绕开企业安全策略进行配置。利用安全配置校验(SCV),管理员可以指定 SCV 校验--定义安全地配置一个客户端系统的一组条件,例如防病毒软件的当前版本或个人防火墙策略的正确操作。这些安全性校验会定期执行,确保只有安全配置的系统可以连接到企业 VPN 上。
VPN-1 SecureClient 保证只有具有安全系统的用户才能进行连接。
基于策略的架构
VPN-1 SecureClient 使用一个集中化的 Policy Server 来保护网络客户端。首先,VPN-1 Policy Server 定义个人防火墙策略和安全配置要求。VPN 客户端定期从 Policy Server 下载适当的安全策略和 SCV 校验。VPN-1 SecureClient Policy Server 可以采用分布式的配置建立,以提高可用性。在客户端,如果 VPN-1 SecureClient 软件不能访问它的主服务器,它将自动与一个备用策略服务器连接。
VPN-1 SecuRemote 和 VPN-1 SecureClient
灵活的部署
VPN-1 SecuRemote 和 VPN-1 SecureClient 为所有 Internet 服务提供商(ISP)服务(拨号、线缆调制解调器或数字用户线路(DSL))提供动态和固定 IP 寻址,这使它们成为远程通信用户和移动通信工作人员的理想解决方案。安装在内部时,VPN-1 客户端可以在 LAN 和 WAN 上保护关键业务通信。
支持工业标准协议
VPN-1 SecuRemote 和 VPN-1 SecureClient 支持工业标准 VPN 协议和算法,从而提供了与 VPN-1/FireWall-1® 安全性策略的完全兼容性。
* 由 IKE 支持的
VPN-1 SecuRemote 和 VPN-1 SecureClient
灵活的验证
Check Point 独特的混合模式 IPSec 验证使得在 IPSec/IKE VPN 内利用广泛部署的验证技术成为可能,例如 SecurID、RADIUS 和 TACACS+。该功能让企业可以使用最能满足他们需要的用户验证解决方案,同时还可以在 VPN 网关上利用工业标准 X.509 数字证书保证其安全性。VPN-1 SecureClient 用户也可以使用由 VPN-1 Gateway 本身发布的内部数字证书进行验证。
终端用户透明性
VPN-1 客户端维护有关所有 VPN 站点的详细信息。所有的 VPN 功能(包括密钥协商和数据加密)对用户来说都是完全透明的。每当用户请求一个连接时,VPN-1 SecuRemote/VPN-1 SecureClient 会截取这个请求并确定目标资源是否位于一个已知的 VPN-1 Gateway 之后。一旦标识了网关,VPN-1 客户端就会被自动激活,并要求用户进行验证。VPN-1 SecuRemote/VPN-1 SecureClient 也可以智能地解析内部未注册域名和外部域名。如果由于某种原因不能到达一个网关,VPN-1 客户端将在可能的时候自动尝试连接一个备用网关。
支持公开密钥基础架构
利用 VPN-1 SecuRemote/SecureClient,远程 VPN 用户可以受益于 PKI 技术提供的高级的安全性和可伸缩性。通过对全球主要认证中心供应商 PKI 的支持,VPN-1 SecuRemote 可以利用 X.509 数字证书来启动一个 IKE 密钥协商。
企业安全集成
VPN-1 SecuRemote 和 VPN-1 SecureClient 可以无缝地与 Check Point 市场领先的 VPN-1 企业安全套件一同工作。只需添加一条规则就可以轻松地将安全远程访问合并为整体安全策略的一部分。而且因为 VPN-1 客户端直接与 VPN-1 Gateway 建立 VPN 隧道,所以企业安全策略中的所有元素(包括访问控制、用户验证和登录等)都会被严格执行。
规格
VPN-1 SecuRemote 和 VPN-1 SecureClient
操作系统 Windows 98、NT 4.0、ME、2000
磁盘空间 6 MB
内存 32 MB
网络适配器 没有已知的限制
介质 CD-ROM 和 Web 下载
VPN-1 SecureClient Policy Server
VPN-1 SecureClient Policy Server 必须安装在一台具有 VPN-1 执行功能的机器上,可以通过 VPN-1 Gateway 或者 VPN-1 SecureServer 软件安装。有关的详细信息,请参考 VPN-1 Gateway 系统需求。
安全虚拟网络架构
所有的 Check Point Software 产品均建立在我们的“安全虚拟网络(SVN)架构”之上,它可通过 Internet、内部网和外部网环境为用户、网络、系统和应用程序提供安全和无缝的连接。Check Point Software 的 SVN 解决方案可通过遍布全球的业界领先的零售商和服务提供商处获得。