CC Otwarte Systemy Komputerowe Sp. z o.o.

CheckPoint - firewall, endpoint & cloud security


Nowość!!!
Express CI

Opis Firewall-1

Krótki opis Firewall-1

Check Point FireWall-1 jest najbardziej zaawansowanym technologicznie komercyjnym rozwiązaniem klasy "zapora ogniowa" (firewall), dedykowanym do ochrony sieci korporacyjnych przed niepożądaną ingerencją z Internetu i innych sieci zewnętrznych. Systemy zaporowe oparte na FireWall-1 są szeroko wykorzystywane w bankowości, instytucjach finansowych oraz zastosowaniach wojskowych. Duża elastyczność FireWall-1 gwarantuje spełnienie szybko rosnących potrzeb wdrażania zabezpieczeń w aktualnie użytkowanych sieciach, z jednoczesnym zapewnieniem możliwości zaadoptowania przyszłych wymagań. Check Point FireWall-1 jest bezsprzecznym liderem na rynku systemów zaporowych (ponad 44% wg. Yankee Group rynku światowego i ponad 61% wd. IDC rynku europejskiego).

FireWall-1 bazuje na wysoce wydajnej technologii wielo-warstwowej inspekcji SMLI (Stateful Multi-Layer Inspection) oraz technologii bramy aplikacyjnej (Application Gateway) używanej do nadzorowania usług wymagających wnikliwej kontroli (np. kontroli antywirusowej). SMLI dokonuje kontroli pakietów danych w kontekście otwartej komunikacji sieciowej, prowadząc inspekcję we wszystkich warstwach komunikacyjnych, w tym także danych aplikacyjnych. Dzięki temu FireWall-1 może np. precyzyjnie kontrolować aplikacje sieciowe funkcjonujące na bazie transportu bezpołączeniowego UDP (User Datagram Protocol) oraz programy działające w oparciu o protokół zdalnego wywoływania procedur RPC (Remote Procedure Call), gdzie numer portu serwera jest nadawany dynamicznie. Systemy zaporowe zbudowane na bazie FireWall-1 charakteryzują się równocześnie wysokim stopniem bezpieczeństwa i dużą wydajnością. Dynamiczne mechanizmy uwierzytelniania i autoryzacji, umożliwiają FireWall-1 realizowanie bezpiecznych połączeń dla ponad 100 najpopularniejszych usług internetowych, takich jak WWW, FTP, poczta elektroniczna, RealAudio i cała rodzina pozostałych serwisów TCP, UDP, ICMP i RPC, a każda nowa usługa może zostać w prosty, graficzny sposób zdefiniowana.

Check Point FireWall-1 posiada najbardziej rozbudowany zakres funkcjonalny ze wszystkich  firewall-i dostępnych na rynku komercyjnym.

Więcej o Firewall-1

Funkcje, standardy, protokoły

  • Wdrożenie kompleksowego systemu zabezpieczeń dla całej sieci korporacyjnej, gdzie nadzorowanie polityki bezpieczeństwa może odbywać się niemal na wszystkich aktywnych urządzeniach sieciowych tzn. gateway, router i switch.
  • Mocne uwierzytelnianie tożsamości użytkowników w oparciu o zaawansowane systemy autentykacji (np. SecurID, RADIUS, AXENT, TACACS, Vasco, S/Key) prowadzone dla wszystkich (ponad 100) kontrolowanych usług sieciowych. Dla podstawowych usług sieciowych uwierzytelnianie tożsamości realizowane przez FireWall-1 jest przeźroczysty dla użytkowników.
  • Organizowanie bezpiecznych wirtualnych sieci prywatnych VPN działających w obszarze sieci Internet, które dzięki zastosowaniu sprawdzonych technik kryptograficznych oraz efektywnych algorytmów generowania i dystrybucji kluczy szyfrowania (DES, RC-4, FWZ-1, MD5, SHA-1, SKIP, IPSec, IKE) zapewniają bardzo wysoki poziom bezpieczeństwa transmitowanych informacji. Dane są zabezpieczone w zakresie utrzymywania ich poufności, integralności i wiarygodności. Transmisja zaszyfrowanych danych odbywa się pomiędzy wieloma odległymi systemami FireWall-1. Za pomocą programu SecuRemote Client możliwe jest włączenie do sieci VPN odległych stacji Windows 95/NT.
  • Zcentralizowane, graficzne zarządzanie zabezpieczeń zaimplementowanych w różnych punktach sieci korporacyjnej, dzięki czemu administrator definiuje, weryfikuje i wdraża politykę bezpieczeństwa jednocześnie dla wielu modułów FireWall-1 zlokalizowanych w różnych miejscach w sieci (np. na stacjach host, gateway, ruter, switch).
  • Prowadzenie kontroli antywirusowej załączników do poczty SMTP oraz plików przesyłanych przez FTP.
  • Skanowanie WWW pod względem zawartości apletów Java, procedur ActiveX i innych potencjalnie niebezpiecznych dodatków do HTML.
  • Współdziałanie z systemami wykrywania włamań (np. RealSecure), które w razie wykrycia włamywacza niezwłocznie powiadamiają o tym FireWall-1 tak, aby niebezpieczny kanał komunikacji sieciowej został w porę zablokowany.
  • Wdrożenie konfiguracji bezpiecznego serwera poczty elektronicznej, w której przesyłki SMTP podlegają wnikliwej kontroli zawartości. 
  • Wykrywanie i blokowanie najbardziej niebezpiecznych technik włamań np. "Spoofing", "SYN Flood", "LAND", "Ping of Death", "WinNuke"
  • Tłumaczenie i ukrywanie prywatnych adresów IP chronionej sieci komputerowej. Za pomocą statycznego lub dynamicznego trybu translacji adresów możliwe jest utajnienie rzeczywistych adresów sieci prywatnej oraz tłumaczenie 'w locie' adresów niewłaściwych.
  • Współdziałanie z serwerami LDAP, na których przechowywane są informacje o użytkownikach kontrolowanych przez FireWall-1. Dzięki temu możliwe jest wykonywanie identyfikacji i autoryzacji nawet wielu tysięcy użytkowników, o których informacje są przechowywane w różnych bezpiecznych miejscach sieci prywatnej.
  • Równoważenie obciążenia serwerów sieciowych z wykorzystaniem wielu różnych efektywnych algorytmów rozdziału zadań.
  • Precyzyjne rozliczanie pracowników przedsiębiorstwa w zakresie użytkowania usług internetowych (np. menedżer może dowiedzieć się z jakich serwerów korzystał jego pracownik, w jakim czasie i jak długo to robił, jakie pliki przeglądał oraz ile bajtów informacji zostało przesłanych).
  • Monitorowanie aktywnych sesji sieciowych umożliwia administratorowi FireWall-1 śledzenie i blokowanie niebezpiecznych sesji sieciowych w czasie rzeczywistym.
  • Importowanie zapisów 'syslog' do bazy danych Firewall, co umożliwia administratorowi prowadzenie analizy zdarzeń rejestrowanych przez system zaporowy razem z zapisami kontrolnymi odnotowanymi na ruterach.
  • Współdziałanie z systemami analizowania i raportowania zdarzeń (np. WebTrends for Firewalls & VPNs).
  • Funkcjonowanie w trybie wielowątkowym w zakresie sprawdzania zawartości komunikacji sieciowej WWW, FTP, SMTP, Telnet i Rlogin gwarantuje w przypadku zastosowania maszyny wieloprocesorowej bardzo wysoką wydajność funkcjonowania sytemu zaporowego.
  • Rozwiązania sprzętowo-programowe "Black-Box": 3COM/U.S. Robotics Edge Server, Bay Networks ASN, BN/BLN Routers,  Nokia IP Switch Gateway, TimeStep Permit Encryption Device, Xylan OmniSwitch and PizzaSwitch, ChekPoint RemoteLink.
  • Jedyny systemem zaporowym z certyfikatem ITSEC (Information Technology Security Evaluation Criteria) poziomu E3 dla Windows NT 4.0, SUN Solaris 2.6 i IBM AIX 4.2.1. Certyfikat ten oficjalnie otwiera systemowi FireWall-1 drogę do zastosowań rządowych i wojskowych w państwach Europy Zachodniej i NATO.

Zakres funkcjonalny

Kontrola dostępu

Technologia Stateful Inspection umożliwia prowadzenie kontroli dostępu dla ponad 100 predefiniowanych usług sieciowych. Każda nowa usługa może zostać w prosty, graficzny sposób zdefiniowana.

Uwierzytelnianie autentyczności

FireWall-1 obsługuje wiele różnych systemów uwierzytelniania (S/key, SecurID, FireWall-1 Password, OS-Password, RADIUS, AssureNet Pathways Defender). Przezroczyste uwierzytelnianie tożsamości użytkowników dostępne jest dla usług: RLOGIN, TELNET, HTTP, FTP. Dla pozostałych usług sieciowych stosowane jest uwierzytelnianie nieprzezroczyste. 

Szyfrowanie

Szyfrowanie transmisji danych pomiędzy wieloma odległymi systemami FireWall-1 w ramach wirtualnej sieci prywatnej VPN. Za pomocą programu SecuRemote Client możliwe jest włączenie do sieci VPN stacji Windows 95/NT. 

Open Security Manager

Zcentralizowane, graficzne zarządzanie zabezpieczeń ruterów różnych producentów (np. Bay Networks, Cisco, 3COM).

Translacja adresów sieciowych NAT

Za pomocą statycznego lub dynamicznego trybu translacji adresów możliwe jest utajnienie rzeczywistych adresów sieci prywatnej.

Kontrola zawartości sesji sieciowych Content Security

Kontrola zawartości sesji sieciowych (JAVA, ActiveX, FTP, SMTP, HTTP) np. kontrola antywirusowa za pośrednictwem protokołu CVP.

Kontrola połączeń sieciowych

Mechanizmy równoważenia obciążenia serwerów sieciowych oraz mechanizmy integrujące FireWall-1 z systemami analizowania i raportowania zdarzeń (np. WebTrends for FireWalls & VPNs ).  

Zarządzanie

Zcentralizowane zarządzanie odległych komponentów Firewall-1 funkcjonujące w rozproszonej architekturze klient-serwer. FireWall-1 integruje mechanizmy definiowania polityki bezpieczeństwa, alarmowania w czasie rzeczywistym oraz przeglądania zapisów 'log'.

OPSEC (Open Platform for Secure Enterprise Connectivity)

Rozwiązania innych producentów mogą współdziałać z Firewall-1. OPSEC zawiera definicję interfejsów programistycznych API oraz protokołów umożliwiających zintegrowanie tworzonych aplikacji z FireWall-1.

Zarządzanie pasma sieci

W połączeniu z FloodGate-1, FireWall-1 umożliwia prowadzenie kontroli i regulacji szerokości pasma sieci przeznaczonego dla różnych usług, w tym także dla usług dostępnych w sieciach VPN oraz ukrytych obiektów sieciowych (NAT).

Pre-definiowana obsługa aplikacji

Audio / Video Streaming

Cooltalk by NetscapeCreative, Partners by Emotion, CU-SeeMe by White Pine, FreeTel Personal Edition by FreeTel, H.323, Internet Phone by Intel, NetMeeting by Microsoft, NetShow by Microsoft, RealAudio and RealVideo by Progressive Networks, StreamWorks by XingVDO, Live by VDOnet, Vosaic Media Suite by Vosaic, Web Theater by Vxtreme

Poszukiwanie informacji

Archie, BackWeb by BackWeb, Gopher, HyperText Transfer Protocol [HTTP], Network News Transfer Protocol [NNTP], Pointcast by Pointcast, Wide Area Information Servers [WAIS]

Bezpieczeństwo i autentykacja

Axent Technolgies Defender Protocol, Content Vectoring Protocol [CVP], HTTPS, Kerberos, LDAP, Remote Authentication Dial-In User Service [RADIUS], SecurID, URL Filtering Protocol [ VFP]

Bazy danych

Lotus Notes by Lotus/IBM, SQL Server by Microsoft, SQLNet version 1 by Oracle, SQLNet version 2 by Oracle, SQL Server by Sybase

Poczta elektroniczna

BiffImap, Microsoft Exchange by Microsoft, POP2 - Post Office Protocol version 2, POP3 - Post Office Protocol version 3, SMTP - Simple Mail Transfer Protocol

Routing

EGP, GGP, GRP, Open Shortest Path First [OSPF], Routing Information Protocol [RIP]

Standardowe usługi TCP i UDP

Bootp - Bootstrap Protocol, Chargen, Daytime, Discard, DNS - Domain Name System, Echo, Finger, FTP - File Transfer Protocol, IdentIRC - Internet Relay Chat, NetBEUI [NetBeui], Network Time Protocol [NTP], OpenWindows, RAS, Rexec [exec], Rlogin - Remote Rogin [login], Rsh - Remote Shell [shell], SMB, SNMP - Simple Network Managment Protocol [snmp], SNMP - trap, Syslog, Telnet - Telecommunications Network Protocol, TFTP - Trivial File Transfer Protocol [tftp], Time, Traceroute, UUCP - Unix to Unix Copy [uucp], WinFrame by Citrix, Who, X11

Specyfikacja protokołów zewnętrznych

API/Protokół

Opis

CVP (Content Vector Protocol)

Integracja ze skanerami antywirusowymi i innymi programami analizującymi zawartość

UFP (URL Filtering Protocol)

Badanie listy URLi

SAMP (Suspicious Activity Monitor Protocol)

Integracja z oprogramowaniem wykrywającym intruzów

LEA (Log Support API)

Dostęp do log-ów

Radius (Remote Authentication Dial-In User Service)

Autoryzacja RADIUS

SNMP (Simple Network Management Protocol)

Zarządzanie na bazie SNMP

LDAP (Lightweight Directory Access Protocol)

Integracja z systemem katotekowym LDAP

ODBC

Integracja z relacyjnymi bazami danych

X.509

Integracja z systemami wymiany certyfikatów