Софт-Портал

Check Point Software Technologies

Рейтинг: 4.8/5.0 (392 проголосовавших)

Категория: Windows

Описание

Презентация на тему: ©2005 Check Point Software Technologies Ltd

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Преимущества технологий и решений Check Point Антон Разумов Check Point Software. - презентация Презентация на тему: " ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Преимущества технологий и решений Check Point Антон Разумов Check Point Software." — Транскрипт:

1 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Преимущества технологий и решений Check Point Антон Разумов Check Point Software Technologies Консультант по безопасности arazumov@checkpoint.com

2 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 2 Уязвимости приложений – Современные угрозы –Большинство организаций имеют защиту периметра Межсетевые экраны осуществляют контроль доступа Стандартная защита против сетевых атак –Результат Атаки становятся более изощренными: Хакеры атакуют приложения Ближе к данным (конечная цель) Множество приложений создает множество направлений для атак Множество уязвимостей в распространенных приложениях По данным FBI и SANS, более половины из Top 20 наиболее опасных уязвимостей реализуются через такие приложения как Web и email

3 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 3 Множество публичных сервисов Web Server Mail Server FTP Server VoIP Gateway DNS Peer-to-Peer Хакер Отказ в обслуживании легальных пользователей (DoS атаки) Получения администраторского доступа к серверам и компьютерам пользователей Получение доступа к внутренним базам данных Установка троянских программ для обхода систем безопасности Прослушивание трафика для перехвата паролей Цели хакера Internet Политика безопасности часто разрешает подобные коммуникации Microsoft Networking

4 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 4 Check Point Next Generation with Application Intelligence Проверка на соответствие стандартам Проверка на ожидаемое использование протоколов Блокирование злонамеренных данных Контроль над опасными операциями Соответствует ли приложение стандартам? Нет ли двоичных данных в HTTP заголовках Обычное ли использование протокола? Избыточная длина HTTP заголовка или Обход Директорий Вводятся ли опасные данные или команды? Cross Site Scripting или обнаружены сигнатруы атак Не выполняются ли запрещенные команды? FTP команды

5 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 5 Превентивная защита: Blaster Key Benefits Proactively and dynamically protects against known and unknown attacks via SmartDefense Defends against vulnerabilities before they are exploited

6 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 6 SmartDefense Service Attacks Blocked 16-Aug-05Preemptive Protection against Novell eDirectory Server iMonitor Vulnerability 16-Aug-05Preemptive Protection against Web-Folders Behaviors Cross-Domain Vulnerability (MS05-038) 10-Aug-05Preemptive Protection against EMC Navisphere Manager Directory Traversal Vulnerability 10-Aug-05COM Object Instantiation Memory Corruption Vulnerability (MS05-038) 01-Aug-05Protection against Microsoft Message Queuing Buffer Overflow Vulnerability (MS05-017) 01-Aug-05Protection against Microsoft Windows Server Message Block (SMB) Buffer Overflow Vulnerability (MS05- 027) 28-Jul-05Preemptive Protection against SAP Internet Graphics Server Input Validation Vulnerability 19-Jul-05Protection against Multiple Vulnerabilities in VERITAS Backup Exec Server 14-Jul-05Preemptive Protection against Multiple Vulnerabilities in Mozilla Firefox and NetScape 12-Jul-05Preemptive Protection against Internet Download Manager Buffer Overflow Vulnerability 09-Jul-05Preemptive Protection against Microsoft Windows Named Pipe NULL Session Bugs 06-Jul-05Microsoft Internet Explorer COM Object (Javaprxy.dll) Vulnerability (MS05-037) 06-Jul-05NNTP Outlook Express News Reading Vulnerability (MS05-030) http://www.checkpoint.com/defense/advisories/public/blocked.html

7 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Цели и задачи

8 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 8 Что заставляет тратиться на безопасность?

9 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 9 Достоинства Check Point Check Point предотвращает сбои в сети за счет: –Самых интеллектуальных технологий предотвращения атак –Лучшей поддержке новых приложений –Наиболее надежно обеспечивает постоянную связность бизнеса Зависимость от Internet Вред от распространенных угроз 2001200320042005 Безопасность с Check Point

10 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 10 Остановить атаки Internet VPN-1 шлюз Web Intelligence Центр обработки данных Корпоративная сеть Remote Employee Удаленный офис VPN-1 VSX Integrity SecureClient VPN-1 Edge Web сервера

11 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 11 Решения Check Point для предотвращения атак Продукты VPN-1 Pro VPN-1 Express VPN-1 Express CI VPN-1 Edge VPN-1 VSX InterSpect Personal Firewalls –Integrity –VPN-1 SecureClient Web Intelligence Connectra SmartDefense Преимущества Check Point Инновации, которым доверяют –Stateful Inspection & Application Intelligence –Защищает от 100% атак из SANS Top 20 SmartDefense – Интегрированная система предотвращения атак –Высочайший уровень защиты –Снижает затраты (не требует отдельного устройства) Опциональная интегрированная защита WEB серверов Великолепная масштабируемость от удаленных пользователей до глобальных ЦОД –Централизованное управление политиками (как офисов, так и пользователей)

12 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 12 Безопасность приложений VoIP-enabled Phones ERP CRM Supply Chain Application More… Email Server Internet VPN-1 Pro VPN-1 Express VPN-1 Express CI Web Intelligence Instant Messaging

13 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 13 NGX – особенности защиты VoIP Усиленная защита сложных протоколов VoIP –Расширенная поддержка протоколов, поддержка NAT –Единственный вендор, защищающий от VoIP Denial of Service основных VoIP протоколов Преимущества для пользователей Обеспечивает конфиденциальность и доступность голосовой связи Гибкое конфигурирование сетей VoIP Защищает больше приложений и сетевых протоколов, чем любое другое решение

14 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 14 Объединяя бизнес Internet VPN-1 Gateways SSL Network Extender Remote Employee Remote Office Integrity SecureClient VPN-1 Edge Web Kiosk Cell Phone SSL Network Extender

15 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 15 Поддерживаем связность бизнеса Products VPN-1 Pro VPN-1 Express VPN-1 Express CI VPN-1 Edge VPN Clients –Integrity SecureClient –VPN-1 SecureClient –SSL Network Extender –Support for MS L2TP and Symbian clients ClusterXL Преимущества Check Point Удобство создания и управления VPN – One-Click technologies – Интегрированный сервер сертификатов – Гибкое управление удаленными клиентами Почти линейная масштабируемость VPN – ClusterXL для надежности и производительности – Несколько «точек входа» Решения, которым доверяют – Используют 100% из списка Fortune 100, 98% из Fortune 500

16 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 16 SSL network extender Сетевые подключения через Web Ключевые возможности Удаленный доступ к сети Комбинированный IPSec и SSL удаленный доступ на VPN-1

17 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Защита WEB

18 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 18 Технология Web Intelligence Защита всей Web инфраструктуры Защита Web серверов –SQL injection –Command injection –Сокрытие информации о сервере –Контроль HTTP метода –Malicious Code protector [TM] Упрощенное администрирование –Различные конфигурационные закладки –Концепция Web сервера во всех видах атак –Опция Мониторинга Улучшенная производительность –Advanced Streaming в R55W –Security modules в Connectra Предлагается с другими продуктами Check Point –Доступна как add-on в VPN-1 (R55W) –Включена в Connectra

19 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 19 Connectra взаимодействие через Web с непревзойденной безопасностью Web Security Gateway Features Secure Web-Based Connectivity Integrated Server Security Adaptive Endpoint Security One-Click Remote SSL Access Seamless Network Deployment and Management SSL VPN Интегрированная безопасность Легкое развертывание

20 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 20 Основные особенности Отдельное устройство на базе SPLAT Web интерфейс для администрирования Сильная аутентификация и авторизация Поддержка приложений поверх HTTPS –Приложений, ориентированных на Web –Файловых ресурсов Windows –Защищенной почты POP3S/SMTPS IMAP клиент, интегрированный в WebMail Проверка безопасности рабочих станций Интеграция с существующим SmartCenter –Журналы и статус

21 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 21 Анализ безопасности Web Intelligence Захват Cookie –Cookies захватываются и хранятся на Connectra Таймауты на сессии Контроль кэша браузера на уровне приложений Гарантия безопасности на стороне клиента (Integrity Clientless Security) –Обнаружение червей троянских программ хакерских инструментов вредоносных программ

22 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 22 Почему важна внутренняя безопасность? Угрозы приходят не только извне Mobile PC Home Computer Internet Infected Laptop x Unmanaged Security Policy x VPN Connection x End Users on LAN

23 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 23 Сравнительные требования к безопасности периметра и внутри сети Защита периметра Внутренняя безопасность Приложения Стандартные, хорошо известные сервисы Клиент-серверные приложения Строгое следование стандартам Централизованное управление безопасностью Доморощенные приложения Клиент-серверные приложения Слабое соблюдение стандартов Нет единого координатора Политика доступа по умолчанию Блокирование трафика, за исключением явно разрешенного Разрешен весь трафик, за исключением явно запрещенного Приоритеты 1.Безопасность 2.Непрерывность сервиса 1.Непрерывность сервиса 2.Безопасность Внутрисетевые протоколы Внутрисетевые протоколы можно блокировать Внутрисетевые протоколы нельзя блокировать Внутренняя безопасность требует особенного подхода и новых решений

24 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 24 Check Point InterSpect The Internal Security Gateway Создан специально для внутренней безопасности Intelligent Worm DefenderБлокирует червей прежде, чем они распространятся Network Zone SegmentationПредотвращает распространение злонамеренного трафика между зонами QuarantineСдерживает угрозы внутри сегмента сети Pre-emptive Attack Protection Блокирует атаки ДО выхода сигнатур Endpoint Security Integration Доступ к сети только PC, удовлетворяющим требованиям Centralized ManagementЛегкое развертывание и управление

25 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 25 Сегментация сети на зоны безопасности Ключевые преимущества Предотвращает неавторизованный доступ между зонами Ограничивает атаки внутри сегмента сети Bridge Mode Режим бриджа Router Внешний МСЭ Главный коммутатор Finance QA R&D Коммутаторh Коммутатор IP 1 IP 2 Internet InterSpect

26 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 26 Integrity ВозможностиПреимущества «Не соответствующие» пользователи имеют доступ только к ресурсам для исправления ситуации Минимизирует запросы к техподдержке, позволяя сотрудникам самим привести свой компьютер в порядок. Не соответству- ющий компьютер Обновления антивируса Обновле- ния ОС Outlook Web Access Остальная сеть

27 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 27 Авторизация совместно с Integrity Integrity Server InterSpect Finance Dept. HR Dept. 1.Клиент пытается подключиться в другую зону 2.InterSpect задерживает соединение и запрашивает сервер Integrity о статусе клиента 3.Клиент авторизован, InterSpect выпускает данное соединение 4.InterSpect кэширует ответ для будущих соединений.

28 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 28 Представляем интеллектуальные решения Периметр Внутри Web

29 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 29 Централизованное управление Политика безопасности Security QoS NAT Smart Defense Desktop Security VPN InterSpect Connectra Integrity

30 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 30 Безопасность от Check Point для крупнейших предприятий ВСЕ политики управляются централизованно –Единый сервер управления –Единый интерфейс администрирования Управляет тысячами правил, объектов и пользователей Снижает TCO, автоматизируя задачи администрирования Набор политик A Набор политик B Customer Management Add-On (CMA) Multi-Domain GUI (MDG ) Multi-Domain Server (MDS) Customer Management Add-On (CMA) Enforcement Points Набор политик C

31 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 31 The Check Point Solution – Интерфейс Provider-1

32 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 32 Check Point – высокая планка Perimeter – Internal – Web Продвинутые запросы требуют интеллектуальных решений SMART management Worry-free protection Intelligent Security Solutions Perimeter In-depth inspection Internal Web

33 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 33 Интеллектуальные решения Check Point Management VPN & Remote Access Application Access SMART Stateful Inspection Application Intelligence Integrity SecureClient Web Portal Network & Application Security Endpoint Security Integrity Integrity Clientless Security WebInternal Perimeter Granular Access Control Application Level Authorization Network Zone Segmentation SSL Remote Access IPSec Remote Access Site to Site VPN (IPSec) Web Intelligence InterSpect Internal Security Gateway Connectra Web Security Gateway VPN-1 Perimeter Security Gateway Web Intelligence SSL Network Extender VPN-1 Endpoint Security Product Line

34 ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Антон Разумов Check Point Software Technologies Консультант по безопасности arazumov@checkpoint.com

Check point software technologies:

  • скачать
  • скачать
  • Другие статьи, обзоры программ, новости

    Check Point: обзор

    Компания Check Point Software Technologies — мировой лидер в области обеспечения интернет-безопасности. Компания является поставщиком комплексных средств защиты для сетей, данных и конечных точек сети с унифицированной структурой управления. Продукты Check Point Software Technologies Ltd. призваны обеспечить безопасность информационного обмена и ресурсов корпоративных сетей.

    Факты и цифры

    Год основания: 1993
    Штаб-квартира: Тель Авив, Израиль
    Основатель и председатель правления: Гил Швед (Gil Shwed)
    Офисы в мире: в более чем 20 странах мира, в том числе и в России
    Количество сотрудников: более 1 500 человек
    Официальный сайт: www.checkpoint.com

    Check Point и Axoft

    Компания Axoft поставляет программное обеспечение, разработанное компанией Check Point, на территории России и стран СНГ.

    Заказывая продукты Check Point в Axoft, Вы получаете:

    • Консультации по продуктам и лицензированию Check Point
    • Помощь в составлении спецификаций
    • Информирование о новостях компании, изменении продуктовой линейки, запуске специальных программ и маркетинговых инициативах вендора
    Почему Check Point?
    • Лучшее решение, признанное экспертами области, крупнейшими аналитическими агентствами и независимыми тестовыми лабораториями.
    • Решения CheckPoint оптимальны как для небольших и средних организаций, так и крупных предприятий, обладающих распределенной структурой.
    • Решения Check Point легко интегрируются с другими решениями.
    • Благодаря динамичной архитектуре Check Point предоставляет безопасные, гибкие и простые решения, полностью настраиваемые для лучшего соответствия требования безопасности любой компании и сетевой среды.
    • Заказчиками Check Point являются все компании списка Fortune 100 и десятки тысяч предприятий и организаций всех размеров.
    Консультация

    Получите консультацию по любым вопросам, написав нам по адресу info@axoft.ru или воспользуйтесь формой обратной связи

    Check Point

    Check Point

    Check Point Software Technologies Ltd. ( NASDAQ. CHKP ) — компания, работающая в сфере IT-безопасности. Разрабатывает программные и аппаратные системы, включая межсетевые экраны и средства организации виртуальных частных сетей .

    Основана в 1993 в Рамат-Ган. Израиль. Ныне — более 2,200 работников по всему миру, более 100000 пользователей. Все компании из списка Fortune 100 и 98 % из Fortune 500 используют продукцию CheckPoint [3] [4] .

    Центры разработки компании находятся в Израиле, Калифорнии (ZoneAlarm), Швеции (бывший центр «Protect Data») и Беларуси. Офисы компании также расположены в США (Redwood City, штат Калифорния и Даллас. Texas area) и Канаде (Оттава. провинция Онтарио ).

    Продукция
    • Шлюзы безопасности: Power-1, UTM-1, VSX-1, Connectra, Safe@Office, межсетевые экраны (как отдельное ПО), IPS, серверa IPSEC VPN.
    • Защита конечных компьютеров: Check Point Endpoint (потомок продукта Integrity - брэндмаэр/антивирус/анти-spyware/шифрование/NAC/VPN).
    • Менеджмент безопасности: Security Managment, включая системы мониторинга (например SmartView Tracker).
    Технологии

    Компания позиционирует себя как разработчик собственной архитектуры управления\взаимодействия - SMART (S ecurity M anagment Ar chit ecture). На основании этой концепции в конечном итоге была создана операционная система Gaia, путём объединения ОС IPSO (Nokia ) и ОС SPLAT (ранняя разработка СР на базе Unix -ориентированных систем). В данном программном обеспечении реализован ряд технологий, связанных с безопасностью обмена данными (например пакетная фильтрация, IPS ), а так же проприетарная Stateful Inspection основной задачей которой является контроль конкретных соединений в реальном времени. [5]

    Приобретения
    • Частичная покупка SofaWare Technologies, январь 2002.
    • Zone Labs, создатель персонального программного файрволла ZoneAlarm, в 2003 за 205 млн долларов наличными и акциями.
    • Protect Data, за 586 млн долларов в 2006. Незадолго до этого компания Protect Data приобрела компанию Reflex Software.
    • NFR security, разработчик систем предотвращения вторжений (IPS) за 20 млн долларов в 2006
    • Подразделение Nokia Security Appliances, апрель 2009.
    • Liquid Machines, разработчик ERM решения, июнь 2010.

    В 2005 — неудачная попытка приобрести Sourcefire разработчика IPS за 225 млн долларов.

    Сертификация специалистов

    Система подготовки и сертификации персонала от Check Point включает следующие варианты:

    • CPCS — Check Point Certified Specialist
    • CCSA — Check Point Certified Security Administrator
    • CCSE — Check Point Certified Security Expert
    • CCSE+ — Check Point Certified Security Expert Plus
    • CCMSE — Check Point Certified Managed Security Expert
    • CCMA — Check Point Certified Master Architect
    Примечания

    Файлы Check Point Software Technologies, Ltd

    Solvusoft: Золотой сертификат Microsoft Компания Solvusoft имеет репутацию лучшего в своем классе независимого поставщика программного обеспечения,

    и признается корпорацией Microsoft в качестве ведущего независимого поставщика программного обеспечения, с высшим уровнем компетенции и качества. Близкие взаимоотношения компании Solvusoft с корпорацией Microsoft в качестве золотого партнера позволяют нам предлагать лучшие в своем классе решения, оптимизированные для работы с операционной системой Windows.

    Как достигается золотой уровень компетенции?

    Чтобы обеспечивать золотой уровень компетенции, компания Solvusoft производит независимый анализ,добиваясь высокого уровня опыта в работе с программным обеспечением, успешного обслуживания клиентов и первоклассной потребительской ценности. В качестве независимого разработчика ПО Solvusoft обеспечивает высочайший уровень удовлетворенности клиентов, предлагая программное обеспечение высшего класса и сервисные решения, постоянно проходящие строгие проверку и отбор со стороны корпорации Microsoft.

    НАЖМИТЕ для верификации статуса Solvusoft как золотого партнера корпорации Microsoft на сайте Microsoft Pinpoint >>

    Check Point Software Technologies - Разработчики

    Check Point Software Technologies

    Официальный веб-сайт www.zonealarm.com

    Компания Check Point Software Technologies предоставляет один из самых надежных брендов на потребительском рынке интернет-безопасности. Продукты ZoneAlarm защищают более 80 миллионов компьютеров от вирусов, программ-шпионов, хакеров и кражи личных данных

    ZoneAlarm Free Antivirus + Firewall
    Бесплатный антивирус с фаерволом, обеспечивающий полноценную защиту класса Internet Security от любых угроз. Включает защиту загрузок, контроль программ и онлайн резервное копирование бесплатно 5 ГБ

    ZoneAlarm Mobile Security для Android
    Мобильный антивирус ZoneAlarm от компании Check Point защищает Android смартфон или планшет, используя многоуровневый подход. ZoneAlarm Mobile Security предлагает защиту на уровне приложений, устройства и беспроводной Wi-Fi сети

    ZoneAlarm Extreme Security
    Комплексное антивирусное решение, фаервол, онлайн резервное копирование и оптимизация системы. Защищает компьютер, веб-браузер и данные от вирусов, шпионского ПО, хакеров и других Интернет-угроз

    ZoneAlarm Internet Security Suite
    Антивирус, антишпион, двухсторонний фаервол, контроль приложений, безопасная загрузка файлов, веб-защита от опасных сайтов, фишинга и спама

    ZoneAlarm Antivirus & Firewall
    Блокирует все виды вирусов и шпионских программ. Помимо антивируса и антишпиона защита включает контроль приложений, сетевой экран, антифишинг, безопасную загрузку файлов

    ZoneAlarm PRO Firewall
    Профессиональный фаервол с функциями контроля приложений, безопасной загрузки файлов из Интернета, защитой от фишинга, спама и подозрительных веб-сайтов и 2GB для онлайн резервирования

    ZoneAlarm Free Firewall
    Легкий в использовании бесплатный фаервол, блокирующий действия хакеров и других неизвестных интернет-угроз. Также включает контроль программ и 2 ГБ для онлайн резервного копирования

    QuadRooter Scanner для Android
    QuadRooter Scanner от Check Point проверяет смартфоны и планшеты Android на чипах Qualcomm на наличие уязвимостей QuadRooter. Открытые недавно уязвимости позволяют злоумышленнику взять аппарат под полный контроль

    ZoneAlarm ForceField
    Программа для защиты вашего браузера от различных интернет-угроз: кражи личных данных, эксплойтов веб-браузера, фишинга, шпионских программ, клавиатурных шпионов

    Совершенствование системы безопасности предприятия на основе продуктов компании CheckPoint Software Technologies

    Совершенствование системы безопасности предприятия на основе продуктов компании CheckPoint Software Technologies

    Положение компании CheckPoint как мирового лидера в области интегрированных продуктов безопасности позволяет комплексно решить задачу совершенствования системы безопасности на основе продуктов CheckPoint, а также продуктов третьих фирм, поддерживающих открытые стандарты платформы OPSEC.

    Сегодня компания CheckPoint выпускает продукты нескольких линий, обеспечивающие защиту сети в различных аспектах, а также выполняющие функции управления сетью:
    • FireWall-1 - комплекс модулей, составляющих ядро любой системы безопасности на продуктах CheckPoint. Помимо функций межсетевого экрана на основе запатентованной технологии Stateful Inspection, поддерживает аутентификацию пользователей, трансляцию адресов, контроль доступа по содержанию и аудит. Включает систему централизованного управления на основе правил политики, которая может управлять работой не только модулей FireWall-1, но и продуктов VPN-1, FloodGate-1.
    • VPN-1 - набор продуктов для организации виртуальных частных сетей как со стороны центральной сети, так и со стороны удаленных пользователей. Продукты VPN-1 тесно интегрированы с FireWall-1.
    • RealSecure - средства обнаружения вторжений в реальном времени. Экспертная база атак составляет более 160 образцов. Интегрированы с FireWall-1 - есть возможность автоматической реконфигурации правил экрана FireWall-1 при обнаружении вторжения.
    • FloodGate - средства управления качеством обслуживания. Обеспечивают гибкое распределение полосы пропускания для различных классов трафика, а также отдельных соединений. Поддерживают централизованное управление на основе правил, интегрированных с правилами FireWall-1/VPN-1.
    • MetaIP - система управления инфраструктурой IP-адресов предприятия. Интегрирует службы DHCP, DNS и аутентификации, дополняя их собственным сервисом UAM отображения имен пользователей на IP-адреса. Сервис UAM может быть использован межсетевыми экранами FireWall-1, за счет чего обеспечивается контроль доступа на уровне пользователей в динамической среде DHCP.

    Предложенная компанией CheckPoint в 1997 году платформа интеграции продуктов безопасности на основе открытых стандартов OPSEC (Open Platform for Secure Enterprise Connectivity) сегодня поддерживается более, чем 200 производителями, многие из которых являются членами OPSEC Alliance.

    Популярность платформы OPSEC позволяет включать в систему безопасности предприятия лучшие в своей области продукты, которые дополняют возможности продуктов CheckPoint и обеспечивают высокую степень интеграции с FireWall-1/VPN-1 на основе стандартных протоколов и API.

    Продукты компании CheckPoint и ее партнеров позволяют построить Защищенную Виртуальную Сеть (Secure Virtual Network), использующую все преимущества транспорта и сервисов Internet и защищающую в то же время все компоненты корпоративной сети.

    Рассмотрим, каким образом система, построенная на продуктах CheckPoint и OPSEC-совместимых продуктах третьих фирм, удовлетворяет современным требованиям.

    1. Координированный контроль доступа в нескольких точках

    Распределенная архитектура системы безопасности FireWall-1/VPN-1 и ее централизованное управление как нельзя лучше подходят для организации контроля доступа и образования защищенных каналов VPN в нескольких точках корпоративной сети.

    В точках контроля доступа в центральной сети предприятия, а также в удаленных сетях его филиалов могут быть установлены модули шлюзов FireWall-1/VPN-1, защищающие все узлы, находящиеся в подсетях предприятия. Шлюзы могут быть установлены в виде программных модулей на стандартные платформы (Windows NT, Solaris, HP-UX, IBM AIX, Linux и Windows 2000), либо в виде специализированного аппаратно-программного комплекса.

    Для защиты удаленных компьютеров предназначены продукты VPN-1 SecureClient, которые наряду с возможностью установления защищенного канала с соответствующим шлюзом выполняют такой же полнофункциональный контроль доступа, как и экраны FireWall-1. Эта возможность особенно полезна при постоянных соединениях удаленных пользователей с Internet (например, с помощью xDSL или кабельных модемов), когда клиентский компьютер в течение длительного времени может подвергаться атакам злоумышленников. С помощью продукта VPN-1 SecureServer можно аналогичным образом защитить отдельный сервер приложений, работающий в сети предприятия, что может быть полезно для увеличения гибкости политики доступа, либо для дополнительной защиты ответственного сервера.

    Количество точек, в которых контролируется прохождение трафика, можно также увеличить, установив на маршрутизаторы и коммутаторы сети Inspection Module, который выполняет базовые функции контроля доступа технологии Stateful Inspection. Сегодня список моделей, для которых выпускается Inspection Module, включает маршрутизаторы Nortel Networks, а также коммутаторы Xylan и Nortel Contivity, и в дальнейшем он будет пополняться.

    Все модули FireWall-1/VPN-1 предприятия, установленные в центральной сети, в сетях филиалов и на отдельных компьютерах удаленных пользователей, управляются централизованно и координировано. Сервер политики Management Server хранит общий для предприятия набор правил доступа и защиты, который загружается для исполнения во все модули FireWall-1/VPN-1, в какой области корпоративной сети они бы не находились. Правила политики могут создаваться и редактироваться удаленно несколькими администраторами безопасности с разграничением между ними полномочий.

    Все модули FireWall-1/VPN-1 предприятия могут при необходимости синхронизировать свою работу, что позволяет корректно поддерживать сессии при динамических изменениях маршрутов.

    Таки образом, система безопасности, построенная на продуктах FireWall-1/VPN-1, обеспечивает координированную и синхронную работу всего набора межсетевых экранов, шлюзов VPN, а также индивидуальных экранов и VPN-клиентов, необходимых для надежной и гибкой защиты информационных ресурсов предприятия.

    2. Управление доступом на уровне пользователей

    Наряду с субъектами-сетями межсетевыми экранами FireWall-1 поддерживаются такие субъекты доступа как пользователи и группы пользователей. Для таких субъектов в правилах доступа в качестве действия экрана определяется метод аутентификации, в результате чего трафик данного пользователя проходит через экран только том случае, когда пользователь докажет свою аутентичность.

    Наиболее полно возможности управления безопасностью на уровне пользователей проявляются в продуктах FireWall-1/VPN-1 при установке в корпоративной сети такого продукта компании CheckPoint, как MetaIP. Сервис UAM, работающий в системе MetaIP, постоянно следит за процессами аутентификации пользователей и процессами получения компьютерами IP-адресов от DHCP серверов. В результате сервис UAM имеет данные о том, какие пользователи в настоящее время авторизовано работают в сети и какие IP-адреса они используют. При обработке очередного IP-пакета экран FireWall-1 может запросить у сервиса UAM информацию о пользователе, работающем с данным IP-адресом, и применить затем к пакету правило доступа, относящееся к этому пользователю. Таким образом, администратор безопасности может работать с правилами, написанными для пользователей, а не для IP-адресов, и в такой же форме получать отчеты о событиях, происходящих в сети. Это значительно повышает безопасность сети, так как администратор получает достоверные данные о том, какой пользователь выполнял действия с защищаемыми ресурсами сети.

    Интеграция средств защиты FireWall-1 с сервисом UAM системы MetaIP позволяет также реализовать такую полезную для пользователя возможность, как единый логический вход в сеть. Пользователь избавляется от необходимости при каждом новом обращении к ресурсу через межсетевой экран повторять процедуру аутентификации - за него это делает экран, обращаясь прозрачным образом к сервису UAM.

    3. Развитие методов и средств аутентификации

    Средства безопасности FireWall-1/VPN-1 поддерживают разнообразные схемы аутентификации пользователей, которые могут активизироваться при задании соответствующих правил доступа. Эти схемы на сегодня включают аутентификацию на основе паролей, хранящихся в FireWall-1, цифровых сертификатов X.509, систем аутентификации ОС, RADIUS, TACACS, SecurID и ряда других. С помощью модуля Account Management, входящего в состав FireWall-1/VPN-1, в правилах доступа можно использовать информацию о пользователях и группах, хранящуюся во внешних базах учетных данных, поддерживающих протокол LDAP (например, NDS или Active Directory), что освобождает администратора безопасности от необходимости дублировать пользовательские данные в системе FireWall-1/VPN-1.

    Поддержка цифровых сертификатов и инфраструктуры публичных ключей PKI в продуктах CheckPoint обеспечивает масштабированное решение проблемы аутентификации массовых пользователей. Продукты FireWall-1/VPN-1 работают сегодня с системами PKI компаний Entrust, VeriSign, Netscape, Microsoft, Baltimore Technologies и Data Key, это делает возможным аутентификацию пользователей в гетерогенной среде, когда сертификаты изданы и подписаны различными сертифицирующими организациями. Используя систему VPN-1 Certificate Manager компании CheckPoint, в которую входит сервер сертификатов от Entrust Technologies и LDAP-совместимая служба каталогов от Nescape Communications, предприятие может самостоятельно поддерживать инфраструктуру публичных ключей, администрируя ее с помощью стандартной графической утилиты Account Management.

    Компания CheckPoint уделяет большое внимание поддержке схем аутентификации, обеспечивая возможность интеграции своих продуктов практически со всеми распространенными в корпоративных сетях системами этого назначения.

    4. Контроль доступа на основе содержания передаваемой информации

    Система безопасности FireWall-1/VPN-1 поддерживает развитые методы контроля доступа на основе содержания передаваемой информации. Модуль FireWall-1/VPN-1 позволяет задавать правила доступа для различных типов объектов-ресурсов, которые классифицируются в зависимости от типа протокола доступа (HTTP, FTP, SMTP), выполняемой протокольной операций (например, только GET для ресурса протокола FTP), адресов отправителя или получателя и других признаков.

    Если в контролируемом трафике встречается ресурсный объект, удовлетворяющий заданным в правилах признакам, то его содержание проверяется и над ним выполняется некоторое действие. Базовые проверки и действия выполняют модули Security Server, входящие в состав FireWall-1/VPN-1, а более специфический контроль, содержания, например, проверка на наличие вирусов, контроль содержания электронной почты или блокирование Java и ActiveX угроз, может быть выполнен продуктами третьих фирм на основе открытых протоколов платформы OPSEC.

    Платформу OPSEC сегодня поддерживают многие ведущие производители продуктов контроля содержания, например, Symantec, Contenet Security, Aladdin Knowledge Systems, Trend Micro, X-Stop, JSB Software Technologies, и процесс присоединения к OPSEC продолжается. Это дает возможность системам безопасности на основе FireWall-1/VPN-1 осуществлять разносторонний контроль содержания путем привлечения лучших продуктов третьих фирм и в то же время сохранять традиционный для FireWall-1 способ управления этим процессом - на основе правил политики.

    5. Защита данных при передаче через публичные сети

    Спектр VPN-продуктов, выпускаемых компанией CheckPoint, позволяет на основе открытых стандартов защитить передаваемые данные для всех типов коммуникаций, использующих публичные сети, а также для наиболее ответственных соединений внутри корпоративной сети:

    Для защиты соединений "сеть-сеть" как в рамках intranet (то есть соединений между сетями предприятия), так и в рамках extranet (соединений сетей предприятия с сетями партнеров по бизнесу) могут использоваться продукты VPN-1 Gateway или VPN-1 Appliance.

    VPN-1 Gateway представляет собой программное решение, объединяющее функции межсетевого экрана FireWall-1 с VPN-функциями на основе платформ Windows NT или Unix. Линия продуктов VPN-1 Appliance представляет собой несколько моделей специализированных аппаратно-программных устройств, разработанных компанией CheckPoint совместно с компанией Nokia.

    Как VPN-1 Gateway, так и устройства VPN-1 Appliance, поддерживают стандарты IPSec, IKE, цифровые сертификаты X.509 и инфраструктуру публичных ключей PKI. Реализация протоколов IPSec в VPN-продуктах компании CheckPoint прошла сертификацию ICSA, что гарантирует возможность установления защищенных extranet-каналов с предприятиями-партнерами, пользующимися стандартными IPSec-продуктами. Помимо IPSec, данные продукты поддерживают защиту передаваемых данных на основе распространенного в Internet протокола SKIP, а также с помощью фирменного протокола FWZ. Для аутентификации пользователей могут применяться все схемы, описанные выше в разделе 3.

    Устройства линии VPN-1 Appliance объединяют функциональные возможности VPN-1 Gateway с развитыми методами IP-маршрутизации от компании Nokia. Устройства VPN-1 Appliance предназначены для организации защищенных каналов в крупных и средних организациях, в которых особенно необходимы высокая производительность и надежность, обеспечиваемые специально спроектированной аппаратной платформой. Устройство VPN-1 Appliance очень удобно использовать в удаленных офисах предприятия, в которых часто отсутствует квалифицированный персонал. Разработанное компанией Nokia и основанное на Web приложение Network Voyager позволяет конфигурировать и управлять шлюзом VPN-1 Appliance с помощью стандартного Web-браузера из любой точки сети. Первое место и награда "Blue Ribbon", присужденные VPN-1 Appliance журналом Network World в апреле 1999 года по результатом тестирования шлюзов VPN от шести ведущих производителей, свидетельствуют о больших перспективах этой новой линии продуктов CheckPoint.

    Удаленные и мобильные сотрудники предприятия могут поддерживать защищенные связи с сетями своего предприятия с помощью клиентского программного обеспечения VPN-1 SecuRemote и VPN-1 SecureClient. VPN-1 SecuRemote поддерживает станадрты IPSec, IKE и цифровые сертификаты, что позволяет устанавливать VPN-соединения не только с шлюзами своего предприятия, но и с шлюзами предприятий-партнеров в рамках extranet. Продукт VPN-1 SecureClient добавляет к VPN-возможностям SecuRemote функции контроля доступа на основе той же технологии Stateful Inspection которая применяется в продуктах FireWall-1/VPN-1. Использование VPN-1 SecureClient усиливает защиту предприятия за счет того, что установление VPN-соединения разрешается удаленному компьютеру только в том случае, когда его конфигурация безопасности соответствует установленной администратором предприятия.

    С помощью продукта VPN-1 SecureServer можно обеспечить полную функциональность защиты FireWall-1/VPN-1 для отдельного ответственного сервера предприятия, что может быть полезно в незащищенных удаленных офисах, а также для обеспечения дополнительных мер безопасности для определенного сервера внутренней подсети предприятия.

    Все продукты VPN компании CheckPoint работают с различными системами и средствами поддержки инфраструктуры публичных ключей от ведущих производителей, что позволяет предприятию без проблем организовывать защиту данных при установлении соединений с предприятиями-партнерами.

    6. Интеграция средств контроля доступа и средств VPN Средства контроля доступа и средства VPN в продуктах CheckPoint полностью интегрированы:
    • Администратор создает VPN-объекты и правила, определяющие защищаемый трафик, с помощью того же графического интерфейса, который он использует для задания объектов и правил контроля доступа для модулей FireWall-1. Интеграция политики контроля доступа и VPN-защиты существенно повышают безопасность корпоративной сети за счет согласованности и непротиворечивости набора правил.
    • Объекты и правила обоих типов хранятся в сервере политики Management Server, который распространяет их по межсетевым экранам и шлюзам предприятия.
    • Модули FireWall-1 и VPN-1 согласованно работают в продуктах компании CheckPoint, корректно обрабатывая защищенный трафик и применяя к нему те же правила доступа, что и к незащищенному. Интегрированное устройство FireWall-1/VPN-1 не требует наличия двух каналов связи с Internet, принимая по одному каналу как защищенный, так и незащищенный трафик.
    • Модули контроля доступа и VPN-защиты используют общие средства аутентификации пользователей, что значительно упрощает конфигурирование системы безопасности и уменьшает количество административных ошибок.
    • Результаты аудита записываются в общий журнал регистрации в едином стиле, что повышает эффективность анализа событий, связанных с безопасностью.

    Высокая степень интеграции присуща не только модулям FireWall-1 и VPN-1, но и всем продуктам компании Check Point, а также ее партнеров. Интегрированность продуктов упрощает создание комплексной системы безопасности предприятия, перекрывающие все возможные направления атак, а также существенно сокращает затраты на конфигурирование и управление такой системой.

    7. Обнаружение вторжений

    Необходимым в современных условиях дополнением к возможностям межсетевых экранов и VPN-шлюзов является система обнаружения вторжений Check Point RealSecure. Эта система представляет собой совместный продукт двух лидеров -лидера сектора адаптивных систем управления безопасностью компании Internet Security Systems (ISS) и лидера в области построения интегрированных систем безопаоснти компании CheckPoint.

    Система Check Point RealSecure:
    • Автоматически анализирует и сопоставляет в реальном времени данные мониторинга событий, происходящих в сетевых сегментах и узлах корпоративной сети
    • Попытки взлома системы защиты автоматически рапознаются экспертной подсистемой на основе обширной базы знаний, которая на сегодня включает более 160 известных образцов атак и постоянно пополняется. Также отслеживаются несанкционированные и подозрительные действия, которые могут нанести ущерб информационным ресурсам предприятия.
    • При обнаружении атаки или подозрительной активности:
      • автоматически предупреждает администратора системы с помощью уведомлений разного типа,
      • регистрирует событие в системном журнале
      • может автоматически блокировать атаку или нескнкционированные действия путем реконфигурации межсетевого экрана FireWall-1
    • Позволяет очень гибко генерировать отчеты разной степени подробности в удобной для администратора форме. Новая технология Fusion компании ISS способна сгруппировать многочисленные взаимосвязанные события в одно укрупненное событие, которое и предоставляется в отчете администратору для осмысления ситуации. Последнее свойство очень важно при управлении безопасностью, так как системы искусственного интеллекта в обозримом будущем не смогут замеить естественный интеллект и совершенствование системы безопасности в конечном счете должно опираться на решения человека.
    • "Проигрывает" зарегистрированные события для детального анализа или для использования в качестве доказательства факта нарушения
    • Обладает развитой контекстно-зависимой справочной системой, которая сама по себе является хорошим инструментом помощи администратору при принятии решений.

    Система RealCecure обладает хорошей масштабируемостью за счет распределенной архитектуры клиент-сервер. Сетевые агенты устанавливаются во всех требующих внимания сегментах сети (например, перед межсетевым экраном, в демилитаризованной зоне, а также в ответственных внутренних сегментах), а системные агенты контролируют активность операционных систем и приложений в компьютерах сети. Все данные собираются в общей базе данных и обрабатываются таким компонентом системы как RealSecure Engine, а централизованное управление обеспечивает RealSecure Manager, доступ к которому возможен с помощью графических консолей администраторов, распределенных по сети. Дальнейшее развитие распределенных свойств RealSecure возможно на основе архитектуры микроагентов, над которой работает в настоящее время компания ISS. Микроагенты встариваются во все защищаемые узлы корпоративной сети - маршрутизаторы, коммутаторы, компьютеры - и контролируют только тот трафик, который относится к данному узлу, за счет чего резко повышается производительность системы, что очень важно в условиях применения высокоскоростных технологий, таких как Fast Ethernet, Gigabit Ethernet, ATM и других.

    8. Обеспечение высокой производительности средств защиты и поддержка QoS Постоянно возрастающие требования приложений к производительности коммуникаций удовлетворяются в системах безопасности на основе продуктов CheckPoint следующими способами:
    • Высокой скоростью выполнения операций контроля доступа и VPN-защиты трафика. Эта скорость обеспечивается высокой эффективностью алгоритмов технологии Stateful Inspection, возможностью установки продуктов CheckPoint на высокопроизводительных, в том числе и мультипроцессорных, аппаратных платформах, а также применением в случае необходимости устройства VPN-1 Accelerator Card, которое устанавливается в любую стандартную платформу и аппаратно реализует наиболее сложные в вычислительном отношении операции VPN-функций.
    • Возможнстью распределения функций безопасности между несколькими параллельно работающими средствами защиты сети. В сети можно установить несколько межсетевых экранов и шлюзов VPN, координирующих и синхронизирующих свою работу, так что обработка многочисленных сессий будет распределяться между ними. Возможна также организация пулов серверов контроля доступа по содержанию, повышая тем самым производительность таких трудоемких операций как сканирование файлов на присутствие вирусов, поиск определенных ключевых слов в тексте, защита от Java и ActiveX атак и т.п. Отдельный модуль ConnectControl, входящий в состав межсетевого экрана FireWall-1, позволяет также распределять нагрузку между пулом однотипных серверов (например, Web-серверов или FTP-серверов), что удобно при организации демилитаризованной зоны.
    • Управлением распределением полосы пропускания с помощью отдельного продукта FloodGate-1, выпускаемого компанией CheckPoint.

    Продукт FloodGate-1 тесно интегрирован с базовым средством защиты FireWall-1/VPN-1, но может работать и как самостоятельный продукт поддержки QoS. Основное назначение FloodGate-1 - распределение пропускной способности между трафиком различных приложений на границе корпоративной сети, а именно, в каналах, подключенных к интерфейсам межсетевого экрана/VPN-шлюза FireWall-1/VPN-1. Через эти интерфейсы проходит весь внешний трафик приложений защищенной сети предприятия, причем как критически важных, так и менее ответственных. Дифференцированное распределение пропускной способности в интерфейсах межссетевого экрана может существенно улучшить работу ответственных приложений, предоставив им необходимую полосу пропускания и защитив их от интенсивного, но гораздо менее важного трафика, например, трафика пользователей, просматривающих новости в Internet или загружающих из FTP-архива новую версию какой-либо утилиты.

    Операционные системы, поверх которых работает FireWall-1/VPN-1 на стандартных платформах, пока не поддерживают функции QoS. Установка FloodGate-1 в узлах, выполняющих роль межсетевого экрана и VPN-шлюза, ликвидирует этот пробел и дополняет систему управления QoS сети, работающую на современных маршрутизаторах и коммутаторах, важным QoS-элементом.

    FloodGate-1 управляет полосой пропускания на основе улучшенного алгоритма взвешенного справедливого обслуживания WFQ, часто применяемого в IP-маршрутизаторах и коммутаторах. Компания Check Point дополнила базовые механизмы WFQ собственными интеллектуальными алгоритмами, благодаря чему FloodGate-1 поддерживает практически неограниченное количество виртуальных очередей, гарантируя определенную долю пропускной способности как для агрегированных потоков (например, для потоков всего Web-трафика), так и для потоков отдельных соединений (например, отдельного соединения RealAudio). Для каждого типа потока кроме гарантированной доли от общей пропускной способности интерфейса можно задать также верхнюю и нижнюю границы пропускной способности. Это позволяет гибко учитывать потребности приложений и обеспечить привилегированное обслуживание ответственных приложений при соблюдении некоторого минимума для остальных приложений, соблюдаемого при всех обстоятельствах. Полоса пропускания распределяется динамически, быстро реагируя на изменения набора существующих потоков в соответствии с заданными првилами.

    Классификации потоков выполняется с помощью технологии Statful Inspection, той же, что работает и в межсетевых экранах FireWall-1. Большой опыт компании CheckPoint в этой области позволил реализовать в продукте FloodGate-1 один из наиболее мощных в сетевой индустрии механизмов классификации трафика для целей управления QoS. Этот механизм позволяет учесть практически все ситуации, складывающиеся при работе корпоративной сети и сгруппировать трафик наиболее рациональным образом по приложениям и пользователям.

    Эффективность использования полосы пропускания при использовании FloodGate-1 увеличивается за счет фирменного алгоритма RDED (Retransmission Detect Early Drop), который решает известную проблему уменьшения полезной пропускной способности TCP-соединений из-за многочисленных повторных передачах при перегрузках. Механизм RDED предотвращает передачу некскольких копий одного и того пакета, за счет чего полезная пропускная способность повышается до 95% от полной пропускной способности канала вместо традиционных 50%- 60%.

    Система управления трафиком FloodGate-1 полностью интегрирована с продуктом FireWall-1/VPN-1 и повторяет его распределенную архитектуру. Правила управления трафиком задаются в том же стиле, что и правила контроля доступа и VPN-защиты и могут использовать общие объекты. Для задания правил управления трафиком используется графический редактор, который в случае использования на предпритии системы FireWall-1 представлен в виде отдельной закладки редактора CheckPoint Policy Editor. Правила управления трафиком хранятся централизовано в базе правил Management Server и распределяются по всем модуля FloodGate-1 предприятия.

    Система FloofGate-1 позволяет администратору осуществлять мониторинг за распределением полосы пропускания между потоками пакетов в реальном масштабе времени. Это дает возможность оценить эффективность заданных администратором правил и перераспределить весовые коээфициенты и границы пропускной способности таким образом, чтобы они наилучшим образом отражали реальные потребности приложений и пользователей.

    Интеграция FloodGate-1 с FireWall-1/VPN-1 гарантирует корректность совместной работы средств управления трафиком со средствами VPN-защиты.

    9. Надежность и отказоустойчивость средств защиты

    Надежность системы безопасности, построенной на продуктах компании CheckPoint, обеспечивается комплексно. Во-первых, она определяется высокой надежностью программного обеспечения продуктов компании CheckPoint, проверенного большим количеством инсталляций по всему миру. Во-вторых, общая надежность системы безопасности зависит от надежности аппаратно-программной платформы (ОС + компьютер). Платформу для экранов и шлюзов корпоративной сети предприятие может выбрать либо самостоятельно (и нести в этом случае ответственность за ее надежность), либо положиться на выбрать платформу с гарантированно высокой надежностью, применив специализированные устройства VPN-1 Appliance.

    Межсетевые экраны FireWall-1 и шлюзы VPN-1 поддерживают отказоустойчивые конфигурации, основанные на кластерах избыточных устройств и обеспечивающие прозрачный для трафика пользователей переход на резервное или избыточное устройство при отказе основного. Такие конфигурации необходимы для наиболее ответственных приложений, так как какой бы высокой ни была надежность отдельных продуктов, отказы их все же возможны, и в этих условиях единственно возможным решением является применение избыточных устройств.

    Разработка отказоустойчивых систем является для компании CheckPoint одним из приоритетных стратегических направлений. Свойствами отказоустойчивости на сегодня обладают не только продукты FireWall-1/VPN-1, но и системы контроля доступа на основе содержания.

    Отказоустойчивые конфигурации FireWall-1/VPN-1 используют такое свойство этих продуктов как возможность синхронизации данных о состоянии соединений, содержащихся во внутренних таблицах модулей. Синхронизируются данные состояния контролируемых по доступу сессий, а также сессий протоколов IPSec и FWZ шлюзов VPN-1. На основе этих данных можно построить различные схемы, обеспечивающие отказоустойчивость.

    Сегодня существует возможность построения отказоустойчивой конфигурации исключительно на продуктах CheckPoint, а также с привлечением продуктов третьих фирм. Вариант CheckPoint основан на применении модуля High Availability в экранах-шлюзах FireWall-1/VPN-1, который контролирует работоспособность устройств и обеспечивает прозрачных переход на работоспособное устройство в случае отказа без разрыва соединений, проходящих через экран и защищенных соединений VPN-шлюза. Кроме поддержки отказоустойчивости модуль High Availability является программируемым монитором работоспособности FireWall-1/VPN-1, что упрощает его обслуживание. Возможно также создание кластерных конфигураций, включающих большое количество синхронизируемых систем FireWall-1/VPN-1.

    Существует также ряд продуктов от партнеров по программе OPSEC, обеспечивающих прозрачный переход на резервную систему FireWall-1/VPN-1 при отказе основной, например, StoneBeat от Stonesoft или Legato FullTime HA+ for FireWall-1 от Legato Systems.

    Отказоустойчивость VPN-соединений можно также обеспечить на клиентской стороне с помощью продукта VPN-1 SecuRemote. Этот вариант может применяться тогда, когда в центральной сети имеется несколько VPN-шлюзов, но он не требует их синхронизации и резервирования. Клиент VPN-1 SecuRemote может самостоятельно обнаружить отказ шлюза и перейти на другой доступный VPN-шлюз. Такой способ полезен при наличии у предприятия нескольких шлюзов, обеспчеивающих доступ в копроративную сеть, но расположенных в разных географических пунктах, так что их синхронизация может оказаться проблематичной.

    Отказоустойчивость средств контроля доступа на основе содержания может быть достигнута за счет установки на предприятии пула серверов, на которых работает один и тот же набор сервисов контроля третьих фирм. Отказ одного из таких серверов не влечет отказ системы системы контроля доступа по содержанию, а только означает некоторое снижение ее производительности.

    10. Защищенное и эффективное управление инфраструктурой IP-адресов предприятия

    Функции управления инфраструктурой IP-адресов реализуются в нескольких продуктах компании Check Point.

    Межсетевые экраны FireWall-1 поддерживают трансляцию адресов по распространенным в Internet алгоритмам NAT, скрывая внутренние IP-адреса в пакетах, отправляемых в Internet. Сервис NAT модулей FireWall-1 поддерживает два режима трансляции: статический и динамический. При статической трансляции адреса пакетов заменяются в соответствии с правилами, определяемыми с помощью нрафического редактора правил политики FireWall-1. Администратор может создать таблицу трансляции адресов на основе адресов источника, назначения и сервиса (задаваемого, например, номером TCP/UDP порта или другим способом, принятым при определении объектов FireWall-1). При динамической трансляции адресов внутренние адреса автоматически заменяются одним адресом, имеющим глобальное значение в Internet. Функции NAT позволяют скрыть значения внутренних адресов сети и/или использовать в качестве внутренних частные адреса, к которым маршрутизация из Internet не поддерживается, что во мнгоих случаях надежно защищает корпоративную сеть от внешних атак.

    Продукты VPN-1 позволяют скрыть внутренние адреса сети за счет инкапсуляции оригинальных пакетов от внутренних узлов сети в новый пакет, адрес источника которого соответствует адресу внешнего интерфейса шлюза VPN-1 Gateway. Так как адреса внутренних узлов надежно защищены при передаче через Internet за счет VPN-технологии, которая также гарантирует аутентичность и целостность каждого передаваемого пакета, то такой способ обмена существенно сокращает вероятность атаки на внутренние взлы сети по их IP-адресам.

    Meta IP является комплексной системой управления IP-адресами, тесно интегрированной с межсетевыми экранами FireWall-1. Помимо уже описанного сервиса UAM, отображающего имена пользователей на IP-адреса и служащего основой для эффективной работы экранов FireWall-1 на уровне пользователей, система Meta IP выполняет также ряд функций, крайне полезных в крупной корпоративной сети.

    Meta IP позволяет создать отказоустойчивую систему управления IP-адресами и DNS-именами, продолжающую эффективно работать при отказах отдельных DHCP и DNS серверов, поддерживающую динамическое обновление записей в зонах DNS при распределении IP-адресов с помощью службы DHCP и управляемую централизованно.

    Система Meta IP включает:
    • Реализацию DNS-сервера в среде Windows NT, основанную на последней версии BIND 8.1.2 и дополненную инетрфейсом со службой WINS Microsoft. Эта реализация поддерживает наиболее полную на настоящее время версию стандарта Dynamic DNS для среды Windows NT.
    • Коммерческую реализацию версии DHCP-сервера организации Internet Software Consortium для среды Windows NT, дополненную сервисом регистрационных сообщений для службы Dynamic DNS, а также возможностью автоматического восстановления работоспособности при отказе DHCP-сервера. В Meta IP преодолены недостатки стандарта DHCP, не предусматривающего никаких мер при отказах DHCP-серверов. Вместо традиционного и неэффективного решения этой проблемы за счет расщепления пула отдаваемых в аренду IP-адресов, в системе Meta IP серверы DHCP делятся на первичные и резервные. Резервный DHCP-сервер постоянно отслеживает процесс раздачи IP-адресов первичным DHCP-сервером, а в случае отказа первичного сервера берет на себя его функции, не нарушая логики работы службы DHCP.
    • Сервис UAM, тесно интегрированный с FireWall-1, и агентов UAT, работающих в службах аутентификации операционных систем.
    • Централизованную систему управления, обеспечивающую защищенное конфигурирование и управление любым из сервисов DNS, DHCP или UAM в корпоративной сети. Система управления использует в каждой территориально обособленной части корпоративной сети отдельной сервис управления (Manager Service), который собирает в LDAP-совместимой базе всю необходимую информацию об управляемых в данной части сети серверах DNS, DHCP и UAM, а также о администраторах системы Meta IP и их правах доступа к управляемым серверам. Сервис управления обеспечивает репликацию данных между всеми LDAP-базами корпоративной сети, так что управление ведется на основе общей согласованной информации, а отказ отдельного LDAP-сервера не ведет к потере данных. Meta IP включает реализацию LDAP-совместимой базы, но может работать и с любой стандартной службой каталогов, поддерживающей протокол LDAP - например, Microsoft Active Directory, Novell NDS, Netscape Directory Server.

    Все коммуникации между сервисом управления и управляемыми службами выполняются с помощью защищенных каналов. Администраторы управляют системой Meta IP с помощью графической консоли, которая имеет две реализации - для среды Win32 и виде Java-апплета, способного работать в любой системе с помощью поддерживающего Java браузера. С помощью Meta IP можно управлять также стандартными DNS-серверами.

    Отказоустойчивость, интеграция служб DNS и DHCP в среде Windows NT, а также централизованное и согласованное управление многочисленными серверами DNS и DHCP, работающими на любой платформе, делают систему Meta IP необходимым компонентом сетевой инфраструктуры корпоративного уровня.

    11. Централизованное управление средствами безопасности

    Продукты компании CheckPoint в полной мере удовлетворяют требованиям централизованного управления в масштабах предприятия.

    Системы контроля доступа FireWall-1, защиты данных VPN-1 и управления трафиком FloodGate-1 конфигурируются и управляются с помощью общей системы управления политикой компании Check Point. Эта система позволяет администратору с помощью графического редактора Policy Editor создавать и редактировать правила контроля доступа, VPN-защиты и управления трафиком в едином стиле и с использованием, если нужно, общих объектов. Правила всех типов хранятся в сервере Management Server, откуда централизованно распространяются по всем модулям FireWall-1, VPN-1 и FloodGate-1 предприятия. Графический редактор построен в архитектуре клиент-сервер, что позволяет администратору (или администраторам) создавать и редактировать правила из любой удобной точки сети. Данная архитектура обеспечивает согласованное управление основными компонентами системы безопасности сети на основе продуктов компании Check Point, хорошо масштабируется и может применяться в отказоустойчивом варианте при резервировании центрального сервера Management Server.

    Администратор системы безопасности FireWall-1/VPN-1/FloodGate-1 может использовать графический пользовательский интерфейс модуля Account Management, входящего в состав FireWall-1, для использования в правилах политики имена пользователей и групп пользователей, учетные данные которых хранятся во внешней LDAP-совместимой службе каталогов. Это свойство позволяет использовать в системе безопасности Check Point все преимущества централизованного управления пользовательскими данными на основе стандартных служб каталогов, во многих сетевых операционных системах (например, NDS для NetWare и Windows NT, Active Directory для Windows 2000 и т.д.).

    Такие продукты компании CheckPoint как RealSecure и Meta IP имеют собственные системы управления, которые построены в архитектуре клиент-сервер и обеспечивают централизованное управление своими модулями в масштабах предприятия.

    12. Использование открытых стандартов для интеграции средств защиты разных производителей

    Следование открытым стандартам является принципиальной политикой компании Check Point. Такая политика обеспечивает эффективную интеграцию продуктов разных производителей при создании комплексной системы безопасности корпоративной сети.

    Продукты Check Point соответсвуют всем основным стандартам безопасности, используемым в Internet: IPSec, IKE, SSL, RADIUS и стандарту X.509 для цифровых сертификатов. Кроме того, поддержка стандарта LDAP, не относящегося непосредственно к области защиты данных, позволяет продуктам Check Point взаимодействовать со стандартными службами каталогов.

    Мощным средством интеграции средств безопасности служат открытые стандарты и инструменты платформы OPSEC, развиваемые компанией Check Point и компаниями, поддерэживающими эту платформу.

    В рамках платформы OPSEC можно выделить три направления стандартизации средств безопасности:
    • Использование языка классификации трафика INSPECT или модулей Inspection Module как стандартных средств контроля доступа в продуктах тертьих фирм. Примерами такого использовани могут служить маршрутизаторы Nortel Networks или коммутаторы Alcatel (Xylan).
    • Применение открытых протоколов взаимодействия между компонентами безопасности определенного типа. Платформа OPSEC включает следующте протоколы:
      • CVP (Contenet Vectoring Protocol), используемый для экранирования содержания или анти-вирусной проверки,
      • UFP (URL Filter Protocol), используемый для контроля доступа к внешним Web-серверам
      • SAMP (Suspiсious Activity Monitoring Protocol), используемый для обнаружения и блокирования вторжений,
      • LEA (Log Export API), используемый для извлечения и экспорта данных журнала регистрации FireWall-1,
      • OMI (Object Management Interface), используемый для взаимодействия клиента с Management Server системы FireWall-1 при задании и модификации правил политики.
    • Использование при разработке продуктов безопасности инструментальных средств OPSEC SDK, которые предоставляют соответсвующие API к перечисленным выше протоколам и тем самым обеспечивают совместимость разрабатываемых продуктов.

    Наличие большого количества продуктов третьих фирм для платформы OPSEC и ее растущая популярность создают хорошие перспективы для развития системы безопасности корпоративной сети на основе продуктов компании Check Point и ее партнеров по инициативе OPSEC.

    Более подробную информацию вы можете найти на сайте корпорации Uni: http://www-win.uniinc.msk.ru/chkpf/index.htm