Internet 遍及全球每一个角落,它为企业网络延伸到所有职员和主要业务合作伙伴提供了一种灵活的、高成本效益的基础架构。但是,一个企业要想充分利用 Internet,它必须能够确保业务通信的安全性和对企业内部网络资源的保护。
除安全性之外,企业网络的延伸还面临着可用性、性能和可扩展性的挑战。为使关键任务应用能够利用 VPN(虚拟专用网络)技术,VPN 必须确保可靠的性能和无缝的容错性。外部网 VPN 还造成了另外一个挑战:要确保不同供应商提供的解决方案之间的互操作性。总之,一个 VPN 的所有组件必须能够在整个企业安全基础架构内部简单地集成和管理。
解决方案:
VPN-1® Pro™ 是一个紧密集成的软件解决方案,它将市场领先的 FireWall-1® 安全性套件与先进的 VPN 技术结合起来。作为 Check Point 的安全虚拟网络架构的基础,VPN-1 Pro 可为企业网络、远程和移动用户、分支机构和主要的合作伙伴提供安全的连接,充分满足 Internet、内部网、外部网 VPN 的严格要求。
VPN-1 Pro 解决方案可以在业界最广泛的开放式平台和安全设备上获得--满足各种规模的企业的价格性能比需求。
VPN-1 Pro 提供了一个可伸缩的高性能解决方案,可以满足企业网络、远程和移动用户以及分支机构的要求。
产品特性
● 使用工业标准的加密、验证和密钥管理方案保护数据通信
● 使用 FireWall-1 保护重要的企业资源
● 允许进行集中的、集成的和基于策略的安全管理
● 支持范围广泛的开放式服务器和设备平台
● 包括 SecureXL™ 性能架构、OpenPKI 支持和集成的 QoS
产品优点
● 连接移动用户、远程办公用户和分支办公机构的成本更低
● 确保企业资源和 Internet 通信的最大安全性
● 简化安全管理
● 以更卓越的价格性能比提供平台适应性
● 提供高可伸缩的 VPN 和多千兆的安全性能
全面的 VPN 解决方案
VPN-1 Pro 是 Check Point VPN-1 解决方案的基础,这是一个用于远程访问、内部网和外部网 VPN 的最全面的产品与技术集合。Check Point 提供了范围广泛的 VPN 产品,各种组织机构可以从中选择以设计出满足自己需求的最佳配置。
Check Point VPN-1 解决方案为扩展的企业提供端到端的安全性。
安全性
Check Point VPN-1 Pro 集成了访问控制、验证和加密,确保了网络连接的安全性、本地和远程用户的可靠性以及数据通信的私有性和完整性。
FireWall-1 集成
为了提供有效的企业安全性和高效的管理,VPN 必须包含集成的防火墙功能。为此目的,VPN-1 Pro 包含了市场领先的 FireWall-1,利用 Check Point 的 Stateful Inspection 专利技术来保证所有通用 Internet 服务的安全。VPN-1 Pro 支持超过 150 个的预定义应用、服务和现成的协议,包括重要的商务应用(如 Oracle SQL)、多媒体应用(如 RealAudio)以及多媒体服务(如 H.323)。
灵活的验证
为确保最大的安全性和灵活性,VPN-1 Pro 提供对多种用户验证方式的集成支持。移动 VPN 用户验证可以采用以下方式完成:智能卡、基于令牌的产品,如 SecurID、LDAP 存储的口令、RADIUS 或 TACACS+ 服务器、预共享密码、X.509 数字证书,甚至先进的生物技术。
利用 Check Point 独特的混合模式验证,VPN-1 Pro 可以在 IPSec VPN 部署内提供额外的灵活性,因为它使企业能够利用任何 FireWall-1 支持的验证方法。
强大的加密
除了确保网络访问的安全之外,VPN 解决方案还必须保护被传输数据的保密性。通过遵循 IPSec 标准,VPN-1 Pro 可以自动协商通信各方之间可用的最强的加密和数据验证算法。这包括用于数据加密的新的高级加密标准(AES)Rijndael 和 Triple DES 算法。
开放式 PKI 支持
公开密钥基础架构为大规模 IPSec VPN 部署提供了必需的管理基础架构,因为它允许使用及管理密钥和数字证书。VPN-1 的 OpenPKI 确保了 VPN-1 产品能够与来自于 Entrust、Verisign、Baltimore Technologies 和 iPlanet 这些供应商的主导 PKI 解决方案保持兼容,这些解决方案都已被列为 Check Point 的 OPSEC(开放式安全平台)联盟的一部分。VPN-1 解决方案同样支持工业标准,如 X.509、PKCS #11 和 PKCS #12 等,以确保最高级别的安全性和互操作性。
企业管理
虚拟专用网络只是企业整体网络安全策略的一个组成部分。一个有效的安全解决方案必须提供在一个单一的、整个企业范围的安全策略内定义 VPN 的能力,而且此安全策略可以从一个中央控制台分配和管理。随着用户数量的增长,一个可扩展的 VPN 解决方案还必须是易于部署和管理的。
直观的用户界面
Check Point Management Console 是一个完善且简单的图形用户界面,用于定义和管理一个安全虚拟网络的多种元素:防火墙安全、VPN、网络地址翻译、桌面安全和 QoS 策略。可在所有应用程序中共享所有的对象定义(例如:用户、主机、网络和服务等等),以便进行有效的策略创建和安全管理。
集中化管理
VPN-1 实现已经被集成到一个 VPN 部署的整体企业安全策略中,这使它具有最大的安全性。利用一个独特的三层架构,可以集中管理一个单一的企业范围的安全策略,并自动部署到无限数量的 VPN-1/FireWall-1 执行点。只要一项策略被创建或修改,它就会被自动地同时分发到所有的安全执行点。与那些需要多管理界面或按设备进行策略安装的解决方案相比,集中化策略管理极大地提高了管理效率。此外,整体安全性也得到了增强,因为该安全策略在所有的网络执行点总是最新的。
SecureUpdate™
除了安全策略之外,Check Point VPN-1 解决方案也可以利用 SecureUpdate™ 模块为 Check Point 和 OPSEC 认证的产品及产品许可证提供集中化软件管理。这个强大的管理工具确保整个企业网络中的 Internet 安全性总是最新的。
One-click VPN
利用 One-click VPN,可以用一个操作创建大规模的 VPN。使用多个 VPN 分组,企业可以用一个步骤为整个 VPN(例如,一个内部网或外部网)定义安全参数。通过简单地定义一个分组内的所有 VPN-1 Pro,所有网关之间的 VPN 可以自动建立。这消除了在每一对通信的 VPN 单元之间定义 VPN 属性的需要。当新站点添加到分组时,它们会自动继承适当的属性,并且可以与 VPN 分组中的其他站点立即建立安全的 IPSec/IKE 会话。
One-click 认证
Check Point VPN-1 解决方案现在包括了一个内部认证中心,使希望使用数字证书的企业可以达到其目的。这些内部认证书被自动地为内部模块和站点到站点的 VPN 分组下发到所有 Check Point 管理和执行点,而且可以被下发到 VPN-1 SecureClient™ 用户。
性能和可用性
随着 VPN 部署变得更大而且更关键,性能就成为最关心的问题。SecureXL 是一个界面、软件模块和工业标准的构架,它使 Check Point 合作伙伴和客户可以构建成本效益更高的 VPN-1 解决方案,以满足最严格的性能要求。
SecureXL API
Check Point 的开放式性能架构的关键是 SecureXL API--一个减少第三方硬件或优化软件的密集安全操作的开放式接口。利用 SecureXL API 的设备不是将客户局限于一个单一的专用加速器,而是通过提供多千兆性能级别、多波形因素和一系列价格点来满足客户需求。
VPN 负载均分和故障恢复
VPN-1 解决方案包括了改革的状态同步功能,它使多个 VPN-1 Pro 可以一起行动,不管是位于同一位置还是在不同的位置。
Check Point VPN-1 解决方案包括两种技术(ClusterXL™ 和 VPN 负载分配),它们带来了无与伦比的性能和容错性。
ClusterXL 是为通过 VPN 网关的所有通信提供的一个高可用性和负载均衡解决方案。各种类型的通信通过一个 VPN-1 Pro 集群分发,随着集群成员的增加而使得性能几乎成线性地增长。如果一个网关变为不可访问,所有连接都会被无缝地重定向到其他的集群成员。
VPN 负载分配是为远程访问 VPN 连接提供的一个高可用性和负载均衡解决方案。入站的 VPN 连接通过一个 VPN-1 Pro 集群分配。如果一个网关出现故障,新的 VPN 连接将自动连接到其他的集群成员。
集成的 VPN 的服务质量(QoS)
对于性能非常重要以及可能发生 Internet 链路拥挤的 VPN 部署来说,QoS 是必须的。FloodGate-1® 确保了关键任务 VPN-1 通信的最佳性能,使客户可以把关键商务通信从专用广域网移植到 Internet 上。
系统要求
VPN-1 Pro 软件可以运行在各种平台(安全设备和运行 Linux、Unix 及 Windows 的开放式服务器)上,以满足对 VPN 部署的要求。
在 Windows、Linux、Solaris 和其他操作系统上都可以获得拥有开放式平台支持的 VPN-1 Pro;或者可以作为一个集成的设备从业界领先的硬件供应商那里获得。企业可以将 VPN-1 Pro 解决方案部署到外部或内部网络的网关上或者 VPN-1 SecureServer 上,以保护一个单独的关键应用服务器。