Check Point防火墙安全解决方案.docx

1、Check Point防火墙安全解决方案XXXX公司网络安全项目解决方案建议书一、 项目需求分析 1.1 项目背景XXXXXXXXXXXXXXXXXXXXXX1.2 网络拓扑结构XXXX公司数据中心内网计划分为四个区域：1) 核心业务区；2) 高性能计算区；3) 生产网终端区；4) 管理维护区。外部接入分为两个区域：1) 办公访问区，设计公司各分公司专线连接到新数据中心，访问新数据中心资源；新数据中心专线接入到集团网，访问集团网资源。2) 合作伙伴访问区，新数据中心Internet接入主要用于翻译公司、各分包商等合作伙伴的VPN接入，访问新数据中心内网资源。1.3 网络安全需求分析目前XXXX

2、公司对新数据中心安全系统有以下几点需求：a) Internet接入部分安全防护，提供合作伙伴访问区的VPN接入；b) 数据中心内网安全防护，要求内网各区域间通过防火墙隔离；c) 新数据中心与集团网以及设计公司各分支机构之间的安全防护；d) 安全加固方案的设计必须充分考虑到安全和可用性的结合。安全措施不应形成网络瓶颈，不过分增加其复杂性而加大管理人员的工作量。1.4 网络安全设计原则基于前面对需求的分析，我们针对每个区域设计不同的安全措施。在对XXXX公司网络进行安全系统设计、规划时，主要遵循以下原则： 1) 需求、风险、代价平衡分析的原则：对任何网络来说，绝对安全难以达到，也不一定必要。对一个

3、网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。 2) 综合性、整体性原则：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 3) 一致性原则：这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设

4、好后再考虑，不但容易，而且花费也少得多。 4) 易操作性原则：安全措施要由人来完成，如果措施过于复杂，对人的技能的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。 5) 适应性、灵活性原则：安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。 二、网络安全设计建议 本方案的设计本着XXXX公司一贯的务实原则，根据XXXX公司的实际情况和具体的应用需求及XXX行业的特点，结合上级监管机构对网络系统安全的各项要求，尽量做到“全面、安全、先进、实用”。以下提出两种方案建议：2.1 方案一（各区域分散部署）根据前面对XXXX公司的安全需求分析，结合安全设计的原则

5、，提出网络安全设计的方案。以下分别对各区域进行安全设计描述：新数据中心机房作为XXXX公司核心业务区，集中了数据库、核心业务、办公、网站等服务器，有侧重的分类保证其安全是整个方案设计的重点。设计中采取了以下措施：1) Internet接入安全防护，配置两台CheckPoint IP 295防火墙，配置VRRP+Cluster，实现Internet接入安全防护、VPN链路安全防护。2) 数据中心内网四个区域分别配置两台CheckPoint IP 395防火墙，配置VRRP+Cluster，实现内网四个区域间的安全隔离。集团网及分支机构接入安全防护，配置两台CheckPoint IP 565，配置

6、VRRP+Cluster，实现与集团网以及各分支机构之间的安全防护。3) 各区域汇聚路由器与交换机接口都需要通过防火墙，实现基于应用业务的安全策略，阻挡来自内部的攻击。4) 部署一台SMART-1 25管理服务器设备在管理维护区，对所有防火墙统一平台管理。方案一的部署方式，使得整个网络结构清晰，各区域独立且互不影响，但由于此方案要求各区域单独部署防火墙，防火墙数量较多，使得运营成本大幅上升。2.2 方案二（虚拟化部署）根据前面对XXXX公司的安全需求分析，结合安全设计的原则，提出网络安全设计的方案。以下分别对各区域进行安全设计描述：1) Internet接入安全防护，配置两台CheckPoin

7、t IP 295防火墙，配置VRRP+Cluster，实现Internet接入安全防护、VPN链路安全防护。2) 数据中心内网四个区域配置两台CheckPoint VSX-1 9070防火墙，将两台VSX-1设备各虚拟成四台防火墙，配置Cluster，实现内网四个区域的安全防护。3) 集团网及分支机构接入安全防护，配置两台CheckPoint VSX-1 9070，并分别将两台VSX-1设备虚拟成多台防火墙，实现与集团网以及各分支机构之间的安全防护。4) 各区域汇聚路由器与交换机接口都需要通过防火墙，实现基于应用业务的安全策略，阻挡来自内部的攻击。5) 部署一台SMART-1 25管理服务器设

8、备在管理维护区，对所有防火墙统一平台管理。方案二的部署方式，易于管理和维护，将一台防火墙虚拟成多台，用一台物理硬件设备来虚拟多个防火墙实现各个区域的安全防护，大大降低了运营成本。三、产品选型根据XXXX公司的具体需求和技术分析，对于防火墙设备方面的选型，方案一中我们推荐使用CheckPoint IP 565和CheckPoint IP 395设备配合CheckPoint R70防火墙软件，SMART-1 25管理服务器统一平台管理。方案二中我们推荐使用CheckPoint VSX-1 9070和CheckPoint IP 395设备配合CheckPoint R70防火墙软件，SMART-1 2

9、5管理服务器统一平台管理。具体选型理由如下：3.1从产品特性分析3.1.1 Check Point IP系列产品多年来，Check Point IP已经经受住了在复杂网络与性能要求苛刻环境下使用的检验网络，它可为客户提供齐备的安全功能，如各种型号设备上的防火墙, VPN（虚拟专用设备） 和入侵防御（IPS）等。IP设备现在作为一个解决方案，集成了Check Point最新的软件刀片，并在其标准配置中IPS软件刀片 进行了优化。IP设备提供无可比拟的可扩展性、高性能、可靠性和高端口密度，以降低运营成本，并在严格的任务关键安全环境下运行。主要优势 集成了Check Point硬件和最新软件刀片的安

10、全设备 高度模块化和可扩展性，在大范围流量条件下实现高性能 运营商级的耐用性和冗余，减少了平均维护时间和确保了可靠性产品特点 软件刀片架构 防火墙 IPsec VPN IPS 加速与集群 高级网络 具有可选软件刀片的可扩展性 加速数据路径（ADP）服务模块 高级路由与网络 高性能与高可用性集群 Voyager基于Web的配置、监控与管理 转多接口选项组合 运营商级的耐用性和冗余 灵活的软件刀片架构Check Point IP设备基于Check Point的软件刀片架构。Check Point软件刀片架构是第一个和唯一一个可为任何规模的企业提供全面、灵活和可管理安全性的架构。Check Poin

11、t软件刀片具有前所未有的灵活性和可扩展性，可以提供较低的拥有成本和经济高效的保护，以满足当前和未来的任何需求。IP设备包括下列软件刀片： 防火墙 软件刀片 IPsec VPN软件刀片 IPS软件刀片 加速与集群软件刀片 高级网络软件刀片 具有附加Check Point软件刀片的可扩展性：快速满足新的安全威胁IP设备提供预先配置的软件刀片集。可以快速和轻松地扩展IP设备，以通过附加Check Point软件刀片满足新的和不断发展的安全要求，例如Web安全 与VoIP。加速数据路径（ADP）模块Check Point加速数据（ADP） 模块是可以插入IP设备中，以提高流量性能和扩展设备利用率的硬件

12、选项。可以通过ADP在主处理器与ADP模块处理器之间共享CPU工作负荷，以在不必完全更换现有硬件情况下提高性能。高级路由与网络IP设备结合了支持广泛流量类型的高级路由协议，包括PIM、RIP、OSFP和BGP。IP设备也支持流量监控和错误处理，以便实现远程故障排除、容量规划和配置管理。高性能和高可用性集群为了帮助确保业务连续性和平衡性能，IP设备可用多个高可用性解决方案。虚拟路由器冗余协议(VRRP)和获得专利的IP设备集群技术提供强健和可扩展的IP设备高可用性。这些技术允许多台独立的IP设备相结合，实现单台虚拟机的公共安全目标。网络 VoyagerCheck Point 网络 Voyager

13、提供基于Web的配置、监控和管理，以便网络管理员通过功能丰富的GUI远程管理IP设备。管理员可以从网络Voyager界面轻松地管理硬件、操作系统和应用程序开发、组网和路由，排除系统故障或者优化配置，管理高可用性，设计基于角色的管理和监控流量与IP设备状况。接口选项Check Point IP设备配有大型的接口选项组合，包括具有广泛端口密度的铜缆和光纤以太网以及高达10Gbps和T1 WAN的性能选项。这些设备也配有HDD、闪存或者混合存储等存储选项。运营商级的耐用性和冗余备选的IP网络安全设备集群使得通过工作负荷重新分配进行维护更新成为可能。管理员可进行透明的“滚动更新”，在这个过程中，节点从

14、集群中被删除，进行更新，然后重新插入，所有这一切都不会中断终端用户的操作。其他特点包括： 某些型号上的热插拔硬件驱动器、风扇和电源 简单存取设计（滑出式托盘和滑入卡） 更新ADP模块以提高设备的性能 某些型号上的DC电源3.1.2 Check Point VSX系列产品VSX安全操作平台是一个虚拟化的安全网关，能够将5到数百个安全系统集成在一个单一的硬件平台，大大节省成本。在VPN-1 Power提供的成熟安全技术基础上，VSX为多个网络系统提供同类最佳的防火墙、VPN（虚拟专用网络）、URL过滤和入侵防御技术，使它们彼此安全地连接和共享资源，如互联网和DMZs区。所有安全系统，无论是虚拟还是

15、实体，都通过Check Point SmartCenter或者Provider-1管理控制台进行集中管理。功能强大的VSX-1设备可以进一步降低部署成本，同时提供电信运营商级的可靠性和可扩展性。VSX通过运行一个由数百个路由器、开关和VPN-1网关组成的虚拟网络来优化空间和成本。对于MSPs，VSX是一个理想平台，可以通过简单高效地提供新的安全服务提供增加收入的机会。这些包括增值虚拟内容过滤、VPN、网络划分和防火墙服务，利用VSX的虚拟系统向导（Virtual System Wizard）以尽可能低的成本即刻提供这些服务。优点 独特、全面、虚拟化的安全解决方案包含了防火墙、VPN、IPS和U

16、RL过滤。 将5 到数百个安全网关合并到单一装置中，提高了装置的利用率，降低了电力消耗和空间占用。 性能具有线性可扩展性，最大可达27Gbps。 灵活的部署方案，包含软件和全套的交钥匙设备。 单一的、成熟安全管理架构。灵活的部署方案 设备 包含广泛内容、功能强大和高可扩展性的VSX-1设备能够符合任何网络安全要求。 软件 VPN-Power VSX软件可以安装到经过Check Point认证的多种开放服务平台上，运行SecurePlatformTM。产品特点 可扩展的虚拟环境 灵活的虚拟连接 高性能安全 全面的安全服务 成熟、可靠的安全管理架构 方便服务提供商可扩展的虚拟环境随着VSX作为软件

17、或者VSX-1设备的部署，网络管理员可以对传统的物理布局和设计进行虚拟化实施，包括中央和远程DMZs。VSX平台可以在一个单一或集群的硬件平台创建和管理最多250个完全独立的安全系统。这在具有可扩展性的同时，大大减少了硬件投资、空间要求和维护成本。灵活的虚拟连接虚拟路由器和交换机可以用来在虚拟系统背后的网络之间进行通讯传输，跟在实体网络完全一样。VSX支持多种路由方案，可以进行灵活的网络连接。 桥接模式中的虚拟系统VSX有能力接纳以路由器或者桥接模式运行的虚拟系统。在桥接模式下部署虚拟系统的能力使管理员能够实施本地2层桥接，而不是通过IP路由，从而无需对网络设置和布局进行重新配置即可将一个虚拟

18、系统明显地添加到网络上。 路由传播当一个虚拟系统连接到虚拟路由器或者虚拟交换机时，管理员可以选择将路由信息传播到临近的虚拟设备。这一功能使临近虚拟系统背后的网络节点进行通讯，无需手动配置。 重叠IP地址空间当多个网段公用相同的IP地址区间时，VSX可以便利连接。这种情况出现在当单一的VSX网关对几个从同一个IP地址池将IP地址分配到各个端点的独立网络进行保护时。因此，在VSX环境中，一个以上的端点共享同一个IP地址，而每一个位于不同的虚拟系统之后。在VSX环境中重叠IP地址空间是有可能的，因为每个虚拟系统维持自己独特的状态和路由表。这些表可以包含相同的条目，但这些条目存在于不同的、彼此隔离的环

19、境中。 源基路由源基路由使管理员能够确定优先于普通的基于目的的路由决定的路由定义。这样，管理员可以根据他们的源IP地址或者源IP地址与目的地IP地址的结合发送信息包。如果没有VLAN标签的单一的实体接口连接数个受保护的客户网络，在部署时可以用到源基路由。每个虚拟系统连接到内部的虚拟路由器。虚拟路由器根据源基路由表定义的源IP地址，将通行流量路由到相应的虚拟系统。 动态路由虚拟设备彼此之间利用动态路由可以进行通讯和分配路线。VSX为虚拟系统和虚拟路由器提供完整的3层动态路由。支持的单播和多播动态路由协议有OSPF、RIP-V1/2、BGP-V4、IGMP、PIM-SM、PIM-DM。高性能安全高

20、带宽网络要求高性能的网关才能支持数千个用户和应用程序。VSX采用Check Point获得专利的SecureXLTM安全加速技术，使它能够从开放的服务器和设备获得最高的性能，即使是在DoS（拒绝服务）攻击期间也是如此。要提供线速安全，利用Check Point的高性能技术可以将VSX部署到多个电信运营级的平台之上，确保安全、有弹性、数千兆的吞吐量。要使性能、容量和系统可扩展性实现最大化，VSX提供以下功能和技术： 虚拟系统负荷分担（VSLS）能够在集群成员之间分配虚拟系统，从而能够在集群内有效地分配流量负荷。 VSX资源控制使管理员能够管理负荷处理，保证每个虚拟系统将得到最起码的CPU分配资源

21、。某个虚拟系统不需要的资源自动分配给其它虚拟系统。管理员还可以限制低优先级虚拟系统的CPU的时间，给担负重要任务的虚拟系统分配更多容量。 VSX QoS（服务质量）执行通过支持差异化服务协议和将不同的传输特征分配给不同级别的服务，能够控制VSX网络环境中的网络服务质量。这有助于在资源负荷过重时，对通行流量的处理进行优先排序。 ClusterXL具有高可用性和负荷分担功能，以保持企业运行。它在集群冗余网关之间分配流量，这样可以将多台机器的计算能力结合起来增加总吞吐量。如果单独的网关无法获取，所有连接就会被重定向到指定的备份，而不受干扰。 全面的安全服务基于FireWall-1 和 SmartDe

22、fense 入侵预防技术，VSX为复杂基础设备内的多重网络或者VLANs提供全面的保护，使他们安全地与互联网和DMZs等共享资源连接。VSX网关基于Check Point获得专利的Stateful Inspection，这也是互联网安全的实际标准。VSX对超过150个的预定义应用程序、服务和协议，开箱即可使用，确保企业使用的大多数应用程序进入网络时免遭安全威胁。例如： URL过滤 保护用户或者限制访问一系列不断更新的预定义内容。 网络电话（VoIP） 随着许多公司纷纷采纳网络电话降低通讯费用，VSX提供全面的VoIP应用协议支持，确保重要的业务通讯。V其支持的VoIP应用协议包括H.323、S

23、IP、MGCP和Skinny（SCCP）。 即时通讯和点到点（P2P）应用 这些是这些是网络蠕虫、病毒和间谍软件共同的攻击目标。VSX通过检查这些应用程序的内容或者预防他们进入企业网络，从而确保这些应用程序的安全。VSX得到SmartDefense Services, 的支持，它为Check Point安全基础设备提供最先进的先发保护。VSX还具有灵活性，确保远程访问，支持最全面的客户端访问方案（IPSec、SSL、VPN、移动访问）。成熟、可靠的安全管理架构VSX通过Check Points SmartCenter 和 Provider-1 管理解决方案。两者构成强大的工具，可以集中配置、管

24、理和监控多重VSX安全操作平台、虚拟系统和vpn-1物理网关。在Check Point的安全管理架构（SMART）基础上，这些解决方案可以根据网络要求灵活地选择适当的管理解决方案，Check Point的One-Click VPN技术还可以使虚拟系统无缝添加到VPN当中。新的虚拟系统自动继承适当的功能，能够与企业网络中的所有其它VPN家族成员立即建立安全时段。其它工具与虚拟系统创建向导和模板有助于实施服务器形象标准化，并进一步简化部署和配置VSX的流程。如果将VSX与Provider-1结合使用，企业可以对不同的业务小组或者客户划分，按照功能或者网段对网络进行分级。因此，管理员可以为不同的网段

25、保留单独的策略，可以将大的规则基础分成几个小的规则基础，以便于管理和更好地控制网络安全。方便服务提供商利用VSX，只需点击按钮即可提供安全服务，使服务提供商以尽可能低的成本从虚拟安全服务中获利。功能包括新的URL过滤功能，它可以保护用户，或者限制访问内容。这对已经存在的业内最佳的安全服务是一个补充。3.2从软件技术分析Check Point对IT安全变革并不陌生。最近15年以来，Check Point创建了状态检测技术，该技术至今仍然是行业内最强健防火墙的基础。通过单一控制台的SmartCenter安全管理，统一了安全网关，并针对端点安全引入了第一个也是唯一的单点代理。而最新推出的整体安全，在

26、提供可靠的安全性的同时，大幅降低复杂度和提高整体效率。2009年，Check Point继续创新，引入了 软件刀片架构。Check Point软件刀片架构是第一个且唯一的可为所有规模的公司提供全面、灵活和可管理的安全解决方案的安全架构。软件刀片架构可为客户提供自定义配置安全解决方案以满足其特定需求的能力。由于企业总是要跟上最新的威胁保护，大中小型企业的安全环境变得更复杂。由于每个保护将成为一个新的安全方案，一个新的硬件平台，一个管理控制台和一组新的日常监控事件。Check Point的软件刀片架构通过允许客户选择可满足其需要的安全应用程序，以及定制为集中管理的模块化安全解决方案，为客户带来了灵

27、活性和更大的简化度。便于在不需要采购新硬件的情况下，通过附加的软件刀片，以较低的总体拥有成本提供扩展现有安全基础架构的能力。软件刀片是一个独立的、模块化和集中管理的安全模块。软件刀片不是物理刀片，而是逻辑刀片，您可以根据当前特定的需求，使用该刀片选择和自定义配置形成解决方案。由于这些需求不断发展，您可以通过添加和启动相同基础架构上的新刀片，扩展安全解决方案。 Check Point安全网关R70 Check Point软件刀片安全架构的主要优点： 灵活性 以最正确的投资提供最正确的保护。 可管理性 便于快速地部署安全功能，并通过集中管理软件刀片提高生产率。 整体安全性 在所有执行点和全部网络层

28、提供适当的安全等级。 较低的总体拥有成本 - 通过强化和利用现有的基础架构，以提供投资保护。 性能保证 针对刀片启用性能设置，以确保提供性能保证。 Check Point安全网关软件刀片（R70）包含防火墙、IPsec VPN、IPS、Web安全、网址过滤、防病毒和防恶意软件、防垃圾邮件和电子邮件安全、高级网络（高级路由、QOS）、加速和集群、网络电话VOIP 等功能刀片。3.3 从安全管理分析Smart-1设备预装有Check Point在市场领先的安全管理软件刀片，安装在为大中型企业安全网络设计的专用硬件平台上。基于Check Point的软件刀片架构，4种Smart-1系列设备是同行业首

29、个为网络、IPS和端点安全提供统一管理解决方案的，具有无人超越的可扩展性。主要优势 通过4个齐备的安全管理设备，提供一整套齐备的安全管理软件刀片； 实现效率最大化，从单一的统一管理控制台管理网络和端点安全； 降低成本，节省资源，具有最大12TB的内置存储能力； 确保最苛刻环境下连续运行不中断； 简化大规模安全策略，提供多域管理（Provider-1）；产品特点: 集成网络、IPS和端点安全管理； 内置支持SANs和最大12TB的机载RAID存储能力； 高可靠性和适用性，配有冗余热交换部件和集成的Lights-Out管理（LOM）； 灵活管理多个安全策略，基于角色的粒度管理和多域管理（Provi

30、der-1）； 安全管理软件刀片。 集成网络、IPS和端点安全管理Smart-1设备提供集中管理所有Check Point产品。从SmartDashboard，管理员可以定义和执行防火墙、VPN、IPS、端点和其它策略，跟踪日志，监控安全和网络活动，查看网络报告和安全活动趋势，集中分配安全和软件更新。内置支持SANs和最大12TB的机载RAID存储能力Smart-1设备具有最大12TB的内置存储能力和高性能光线通道连接SANs进行备份、运作复原和符合策略。高可靠性和适用性，配有冗余热交换部件和集成的Lights-Out管理（LOM）Smart-1设备支持Lights-out管理（带外管理），用

31、户能够远程监控设备，包括设备维护和管理。它还提供了几个添加选项，包括光线通道SAN模块、冗余、热交换电源和硬盘。1. 冗余热交换硬盘； 2. LCD显示器； 3. USB端口； 4. LOM端口； 5. 控制台端口； 6. 4个1GbE端口； 7. 光线通道SAN卡； 8. 添加模块的插槽；灵活管理多个安全策略，基于角色的粒度管理和多域管理（Provider-1）；Provider-1多域集中安全管理功能的设计是为了满足大型企业和服务供应商环境下的独特要求。Provider-1可轻松扩展支持数千个用户，同时最大化降低硬件成本和提高运行效率。安全管理软件刀片Smart-1设备基于Check Point软件刀片架构： 网络策略管理 端点策略管理 日志和状态 规则 监控 用户目录 IPS事件分析 管理端口 报告 事件关联分析3.3.1日志和状态软件刀片日志和状态软件刀片以网关、通道、远程用户和安全活动变化的日志和完整视觉图片形式，提供有关安