石化科学研究院安全方案.docx

石化科学研究院安全方案（简要）现状 2安全风险 2解决方案 4相关产品 6价格 22标准折扣 25现状部门2部门3部门nCP 4.1 in AIXInternetDMZ服务器2服务器nWeb Mail2.3.Internet出口使用单台运行于AIX操作系统的Check PointFirewall-1 4.1,硬件为 RS6000DMZ区部署IDS系统主要服务器上安装授权和审计软件安全风险1. 边界防火墙：•单机防火墙容易造成单点故障一旦防火墙硬件或软件进程出现问题，与外界联络会立即中断，影响业务正常运转• Firewall-1 4」是一个在市场上非常成功的产品，但从它推出以来，安全技术已经有了很大发展，现在Check Point的防火墙版 本已经发展到NG AI,技术更加完善，同时功能也更强老版 本无法抵御黑客最新的攻击行为例如，现在黑客逐渐将攻击 目标转向应用，通过企业的开放端口 80或443,绕过防火墙的 检查，直接到达目标服务器，盗取信息、安装木马或以其为跳 板攻击企业内部其他服务器另一个例子，现在企业员工非常 喜欢使用P2P应用，比如或MSN与外部人员聊天，共享 文件一方面这样做会消耗企业有限的带宽，比如多个人同时 下载视频文件，会占用大量带宽，使企业正常业务受到影响。

另一方面，由于P2P应用可以藏在HTTP流量之中，所以可以 旁路防火墙安全检查（一般会允许Http通过），给黑客以可乘 之机应用层攻击的例子还有很多，这里不一一列举所有这 些有害行为，Check Point NG AI均可以进行防护，因为它可以 检测和防范来自于应用层的攻击oNGAI是一个多层安全网关, 可以保护从网络层到应用层的安全2. 员工出差在外，通过互联网要收发电子邮件或访问内部资源， 均通过明文进行，面临信息泄露和会话劫持的风险3. IDS系统是一个被动系统，检测到攻击后不能直接采取行动， 错失时机；根据攻击特征作出判断，没有特征就无法防范，因此 滞后于攻击，对新攻击用户总会遭到损失；误报率高，影响企业 业务正常运转4. 内网重要服务器除了授权审计和防毒外，没有安全防护，容易 遭受来口于企业内部的攻击防毒软件可以保护主机安全，无法 防御网络攻击如Slammer蠕虫，仅存在丁•内存中，不写硬盘， 防毒软件无法处理5. 内网中其他部门，没有任何安全措施，无法避免非授权访问和来自于内部的攻击如果一名员工出差在外使用笔记本电脑访问 互联网，可能受到攻击，被种上木马或感染蠕虫一旦他回到企 业内部，连上内部网络，潜伏于他机器上的安全问题会成为企业 的安全隐患。

例如蠕虫爆发，瞬间会扩散到整个企业，所有机器 均会受到影响解决方案服务器1服务器2服务器nWeb Mail1. 边界：部署Check Point最新版本防火墙R55,双机实现高可用性和负载均衡，避免单点故障利用Check Point最新提供的应用智能技术，实现最高级别的安全防护R55内置入侵防范功能，由于基于主动防御技术，可以在一定范围内 防御未知攻击，可以为用户提供史好的保护2・ 移动用户：在其笔记本电脑或PDA上部署VPN-1SecureClient, 一方面让其利用VPN以加密的方式通过互联 网，安全的访问内部资源；另一方面，SecureClient具有中 央管理的个人防火墙功能，可以保护端点免受非授权访问， 同时管理员可以控制端点的访问彳亍为；此外SecureClient还 可以为端点分配内网IP地址，从而加强内网资源的安全性, 比如规定内网资源只接受来口于内部IP地址的访问3. 服务器群：在服务器群前而部署InterSpect内部安全网关， 防范蠕虫传播，避免來自于内部的攻击4. 部门：（分为几种情况）•部门1：只有一台服务器需耍保护，耍求本部门员工才可以 访问，同时避免线路窃听。

最简单的方式，无需改变网络 结构，可以在此台服务器上直接安装VPN・1 SecureServero 它是一个单机版防火墙，同时提供VPN功能本部门其 他机器安装VPN・1 SecureClient,以加密的方式与服务器进 行通信同时在防火墙上设置策略，控制其他部门访问•部门2：无需严格访问控制，但需要避免蠕虫感染和内部攻 击可以将InterSpect透明部署在部门交换机和核心交换机 之间，起到防御作用•部门3：需要严格访问控制，指定人员才可以访问相关资源可以根据需耍在部门网络之前部署单机或双机防火墙VPN-1 Proo5. 管理：可以通过业内最好的Check Point Smart管理构架进彳亍集中管理相关产品1. VPN-1 Pro您面临的挑战：Internet可以到达全球任何一个角落，因此它为企业网络延伸到所有职员和主 要业务合作伙伴提供了一种灵活的、高成本效益的基础架构但是，一个企业要 想充分利用Internet,它必须能够确保业务通信的安全性和对金业内部网络资 源的保护除了安全性，公司还耍面对可用性、性能和可伸缩性的挑战为使关 键任务应用能够利用虚拟专用网络(VPN)技术，VPN必须提供可靠的性能和无 缝的容错性。

总Z, —个VPN的所有组件必须能够在整个企业安全基础架构内 部简单地集成和管理我们的解决方案：Check Point的VPN-1 Pro™是一个紧密集成的软件解决方案，它将市场领先 的Fire呛11-1安全性套件与最先进的VPN技术结合起来作为Check Point 的安全虚拟网络架构的基础，VPN-IPro可为金业网络、远程和移动用户、分支 机构以及业务合作伙伴提供安全的连接，充分满足Internet.内部网、外部网 VPN的严格耍求VPN-IPro解决方案可以在业界最广泛的开放式平台和安全设 备上获得——满足各种规模企业的价格性能比需求产品特性：•提供与FireWall-1的完全集成•通过IPSec、L2TP、SSL和强大身份认证来保护通信•支持集中的、集成的和基丁策略的安全管理•支持范围广泛的开放式服务器和设备平台•通过SecureXL提供市场领先的性能产品优点：•确保企业资源和Internet通信的最大安全性•提供范围广泛的安全远程访问部署选项和用户认证•简化安全管理•以更卓越的价格性能比提供平台适应性•支持高度可伸缩的VPN和多千兆的安全性能Extranet PartnersVPN-1 NetVPN-1 SecuneClientIntegrated VPN-1/FireWall-1 SmaiKXfice ApplianceBranch OfficesSmartCenter/ SmartCenter ProCorporate NetworkRemote UsersVPN-1SecuRemoteVPN-1 SecunoClicnt (POA)VPN-1解决方案为扩展的金业提供端到端的安全性。

CHECKPOINT的全面SecureVPN解决方案VPN-1 Pro是Check Point SecureVPN解决方案的基础，这是一个用丁•远程访 问、内部网和外部网VPN的最全面的产品与技术集合Check Point提供了范 围广泛的VPN产品，各种组织机构可以从中选择以设计出满足自己需求的最佳 配置安全性Check Point VPN-1 Pro集成了访问控制、认证和加密以确保网络连接的安全性、 本地和远程用户的可靠性以及数据通信的私有性和完整性FireWall-1集成以获得最大保护为了提供有效的企业安全性和高效的管理，VPN必须包含集成的防火墙功能为 此冃的，VPNT Pro包含了市场领先的FireWall-1,利用Check Point的 Stateful Inspection专利技术来保证所有通用Internet服务的安全VPN_1 Pro支持超过150个预定义应用、服务和现成的协议，包括Web应用，即时消 息发送、对等网络应用、VoIP、Oracle SQL、RealAudio以及多媒体服务（如 H. 323） o灵活的认证Check Point SecureVPN解决方案提供了多种认证选项，包括令牌卡、RADIUS和 TACACS/TACACSo 此外，VPN-1 的 OpenPKI 确保了 SecureVPN 解决方案与 Entrust、Verisign 和 Baltimore Technologies 等厂商提供的主流 PKI 解决 方案兼容，这些解决方案使企业能够管理极大规模的IPSec VPN部署。

Check Point特有的混合模式认证允许企业在部署IPSec VPN时可以利用现有的认证 方案，如Secure ID令牌希望实施“系统外”强大身份认证的企业可以使用Check Point One-Click证书利用VPN-1 Pro中包含的内置认证授权，可以将X. 509数字证书发布到 VPN-1网关和VPN-1 Securedient™用户One-Click证书提供了彳亍业标准的 两因索认证，避免了 PKI的复杂性和昂贵成本强大的加密除了确保网络访问的安全Z外，VPN解决方案还必须保护被传输数据的私密性 通过遵循IPSec标准，VPN-1 Pro可以口动协商通信各方Z间可用的最强的加 密和数据验证算法这包括用于数据加密的高级加密标准（AES）和Triple DES 算法SMART管理VPN-1实现被集成到整体企业安全策略中，以获得最大的安全性Check Point 的安全管理架构（SMART）提供了一个企业范围的单一安全策略，可以对它进行 集中管理并自动部署到无限数量的VPN-1 Pro网关SMART用户界面Check Point的SmartDashboard™是一个先进但乂简单的用户界面，用于定义 和管理完整安全策略的多个元素：防火墙、VPN、网络地址转换、桌面安全和QoS 策略。

欝辭齬辰翦用器寰辭鴿眾严SmartDashboard帮助用户轻松访问所有需要的信息，从而简化了 VPN和安全管理One-Click VPNs利用One-ClickVPNs,可以用单个操作创建大规模的VPN通过定义VPN分组, 金业可以用一个步骤为整个VPN （如内部网、外部网或远程访问部署）设置安全 参数通过简单地定义一个分组内的所有VPN-1端点，可以在所有网关之间或 者在网关和远程用户之间自动建立VPNo当新站点添加到分组时，它们会自动继 承适当的属性，并且可以与VPN分组中的其他站点立即建立安全的IPSec会 话简单外部网VPN部署和管理 外部VPN帮助公司连接业务合作伙伴，包括供应商和客户Check Point的 One-Click Extranets提供了一个简单的结构和过程来定义和管理外部网VPNoOne-Click Extranets帮助合作伙伴轻松建立可信的交换网络对象，并通过一个 称为外部网管理界面(EMI)的直观用户界面来构建安全规则线速VPN随着VPN部署规模变得越来越人而且关键任务越来越多，性能成为一个关键的 考虑因素SecureXL是一个接口、软件模块和行业标准的框架，它帮助Check Point合作伙伴和客户构建高成本效益的VPN-1解决方案，以满足最严格的性 能耍求。

SecureXL框架结合Check Point对开放系统的执着追求，以尽可能低 的成本提供了行业领先的性能SecureXL API提供多千兆性能解决方案Check Point的开放式性能架构的关键是Sec。