THÁCH THỨC
Khi một công ty kinh doanh có đến 500
người dùng, bạn phải cung cấp một cơ sở hạ
tầng mạng linh hoạt, bảo đảm an toàn để liên
kết tất cả các chi nhánh và người dùng. Mạng
Internet cung cấp một môi trường mạng linh
hoạt và mang lại lợi nhuận cao. Tuy nhiên,
ngày càng có nhiều mối nguy hại xuất phát từ
Internet, trong khi đấy nguồn lực để quản lý
có giới hạn, do đó để có một môi trường
mạng an toàn, bạn cần một giải pháp đơn giản
tất cả trong một, cung cấp mức cao nhất của
bảo mật cho toàn mạng.
GIẢI PHÁP CỦA CHECK POINT
VPN-1 UTM là một giải pháp bảo mật đa chức
năng có khả năng mở rộng đáp ứng được mọi
mô hình của doanh nghiệp. Nó là giải pháp
công nghiệp bao hàm toàn diện nhất được thiết
kế để cung cấp bảo mật tới các công ty có
nguồn tài nguyên dành cho bảo mật hạn chế.
Bằng cách tích hợp điều khiển truy cập, phòng
chống tấn công, phòng chống virus, phòng
chống spyware, tường lửa ứng dụng Web, kết
nối mạng riêng ảo theo hai kiểu SSL và IPSec
và sức mạnh quản lý tập trung, khách hàng
được bảo mật từ đầu đến cuối trong một giải
pháp đơn.
1
GIẢI PHÁP BẢO MẬT ĐA NĂNG ĐÃ hợp với công nghệ Smart Defense thực hiện
ĐƯỢC CHỨNG NHẬN việc ngăn ngừa virus và phòng chống
spyware ở gateway. VPN-1 UTM cung cấp
VPN-1 UTM bảo vệ rất chủ động trước các
khả năng quét các luồng dữ liệu Web
cuộc tấn cộng đã biết hoặc chưa biết từ lớp
(HTTP), và các luồng dữ liệu FTP, khả năng
mạng đến lớp ứng dụng. Bằng việc tích hợp
quét email trong thời gian thực nhằm ngăn
tường lửa, phát hiện xâm nhập, chương trình
chặn trước khi chúng vào bên trong hệ thống
chống virus, chống spy-ware và VPN vào
mạng.
trong một sản phẩm duy nhất, VPN-1 UTM
đã đơn giản hóa việc bảo mật và loại trừ việc
Tường lửa ứng dụng Web
sử dụng các giải pháp bảo mật độc lập.
Web Intelligence, một thành phần tùy chọn
Tương tự như các giải pháp khác của Check
của VPN-1 UTM, cung cấp khả năng bảo vệ
Point, VPN-1 UTM cung cấp khả năng mở
cho các ứng dụng Web chống lại các cuộc tấn
rộng, bổ sung thêm các module như tường lửa
công như SQL Injection, cross-site scripting,
ứng dụng Web đến các module bảo mật đầu
và directory traversal. Web Intelligence chứa
cuối.
thành phần Malicious Code Protector, một
công nghệ có tính cách mạng giúp phát hiện
Bảo mật các ứng dụng kinh doanh then và ngăn chặn các các cuộc tấn công dựa trên
chốt
các lỗi butter over flow và các đoạn mã độc
VPN-1 UTM có khả năng kiểm soát trên 150
hại nhằm vào cac máy chủ Web. Web
ứng dụng, dịch vụ được định nghĩa trước để
Intelligence có khả năng ngăn ngừa được các
đảm bảo đa số các ứng dụng quan trọng trong
cuộc tấn công đã biết hoặc chưa được biết.
kinh doanh được an toàn trước các mối xâm
nhập khi vào mạng. Ví dụ:
Liên tục cập nhật khả năng phòng chống
• Voice over IP – Rất nhiều công ty hiện Để hệ thống an toàn trong môi trường mạng
này sử dụng dịch vụ này để giảm chi ngày càng có nhiều cuộc tấn công mới phát
phí liên lạc. VPN -1 UTM đưa ra giải sinh, dịch vụ SmartDefense luôn tự động cập
pháp hỗ trợ bảo mật kênh liên lạc qua nhất khi phát hiện các kiểu tấn công mới. Các
Voice IP để các giao dịch kinh doanh công ty, tổ chức có thể có một máy chủ trung
an toàn. tâm để tải về các bản cập nhật mới và phân
• Các chương trình nhắn tin và các ứng phối các bản vá đấy đến các gateway VPN-1
dụng chia sẻ ngang hàng – đây là UTM.
những phương tiên tấn công của các
loại worms, viruses và spyware. VPN - NHIỀU TUỲ CHỌN TRUY CẬP TỪ
1 UTM cung cấp những khả năng bảo
XA
mật những ứng dụng trên nhờ việc
kiểm soát nội dung và ngăn ngừa VPN-1 UTM có cả hai cơ chế IPSec và SSL
chúng trước khi vào mạng. VPN, cung cấp được nhiều giải pháp truy cập
Các loại virus, worm, spyware thường xâm từ xa đơn giản, linh hoạt cho phép nhân viên
nhập vào hệ thống mạng thông qua việc đính bên ngoài công ty truy cập an toàn vào tài
kèm vào các email hoặc nằm trong các file nguyên công ty.
mà người dùng tải về, và sẽ thực hiện các
cuộc xâm nhập, tấn công vào các máy tính
xung quanh khi được mở ra. Spyware có thể
phát triển rất mạnh và chiếm dụng băng thông
của hệ thống mạng. VPN-1 UTM cung cấp
giải pháp phòng chống virus tại gateway kết
2
VPN-1 SecuRemote
VPN-1 SecuRemote™, đi kèm trong VPN-1
UTM, có các khả năng mã hoá và xác thực dữ
liệu nhằm bảo vệ chống lại nghe trộm và giả
mạo dữ liệu.
VPN-1 SecureClient
VPN-1 SecureClient™ mở rộng các đặc tính
của VPN-1 SecuRemote với một firewall cá
nhân được quản lý một cách tập trung và các
năng lực quản lý nâng cao.
Microsoft L2TP VPN clients
Đối với người dùng Microsoft, VPN-1 UTM
cung cấp cơ chế truy cập từ xa sử dụng
Microsoft L2TP VPN Client được xây dựng
bên trong các hệ điều hành chuẩn. Điều này
loại trừ sự cần thiết phải đầu tư thêm các giải
pháp khác để hỗ trợ các công nghệ truy cập từ
xa.
Xác thực mạnh Out-of-the-box
Các tổ chức mà muốn thực hiện giám sát
mạnh “out of the box” có thể sử dụng Check
Point One-Click Certificates. Check Point
Express có một thành phần cấp phát chứng
chỉ số riêng, cho phép cấp phát các chứng
thực số X.509 tới các thành phần VPN-1
Express khác. Đối các người dùng truy cập từ
xa, One-Click Certificates cung cấp xác thực
chuẩn công nghiệp hai yếu tố mà không cần
các hệ thống PKI phức tạp và đắt tiền.
Triển khai VPN nhanh (One-Click VPNs)
Với công nghệ One-Click VPNs, các mạng
riêng ảo có thể được tạo ra với một thao tác
đơn giản. Bằng cách định nghĩa các cộng
đồng VPN, các tổ chức có thể thiết lập các
tham số bảo mật đối với toàn bộ VPN, bao
gồm cả truy cập site-to-site và client-to-site
chỉ trong một bước. Bằng cách định nghĩa
đơn giản tất cả các điểm đầu cuối Check
Point Express trong một cộng đồng, VPN có
thể được thiết lập một cách tự động giữa tất
cả các gateway hoặc giữa một gateway và
một người dùng từ xa. Khi các điểm mới
được thêm vào cộng đồng, chúng kế thừa tự
động các thuộc tính thích hợp và có thể thiết
lập ngay lập tức các phiên bảo vệ IPSec với
phần còn lại của cộng đồng VPN.
Các mức mã hoá mạnh nhất
Trong thời đại ngày ngày, mã hóa dữ liệu
đóng một vài trò cực kì quan trọng. Yêu cầu
được bảo mật dữ liệu cao rất cao và đòi hỏi
phải có một giải pháp bảo mật bảo vệ sự riêng
tư của dữ liệu khi đang được lưu chuyển.
Bằng cách tận dụng triệt để chuẩn IPSec và
SSL, VPN-1 UTM đảm bảo một cách tự
động các thuật toán mã hoá và xác thực dữ
liệu có khả năng mạnh nhất, luôn sẵn sàng
giữa các thực thể đang tham gia truyền thông.
Có một số chuẩn mã hoá nâng cao như sau:
• (AES) 128-256 bit
• Triple DES 56-168 bit
• SSL – Secure Sockets Layer
TÍCH HỢP BẢO MẬT MÁY TRẠM
Người dùng truy cập từ xa và các đối tác
đăng nhập vào trong hệ thống từ các máy tính
nằm ngoài hệ thống. Đây là các máy tính
không được đảm bảo tính an toàn để truy cập
vào các tài nguyên bên trong hệ thống mạng
như truy cập vào hệ thống email, hệ thống các
ứng dụng. Để đảm báo các máy tính truy cập
từ xa không phát sinh ra các cuộc tấn công,
VPN-1 UTM kiểm tra worm, key logger và
các phần mềm độc hại khác trước khi chúng
được cho phép vào bên trong. VPN-1 UTM
cũng cung cấp cơ chế đảm bảo người dùng từ
xa tuân theo đúng các chính sách bảo mật đã
đề ra, ví dụ như việc phải thường xuyên cập
nhật các phần mềm diệt virus nhờ tường lửa
cá nhân CheckPoint Integrity Clientless
Security ở máy được tích hợp với các
gateway VPN-1 UTM.
QUẢN LÝ TẬP TRUNG, ĐƠN GIẢN
SmartCenter Express là một phần của Check
Point’s SMART
(Kiến trúc quản lý bảo mật - Security
Management Architecture) kết hợp giải pháp
quản lý các gateway VPN-1 UTM. Nó lưu trữ
3
các chính sách bảo mật tập trung và phân
phối các chính sách này tới toàn bộ hạ tầng
bảo mật. Việc lưu trữ chính sách bảo mật tập
trung tại một điểm loại trừ sự cần thiết phải
lưu trữ riêng biệt tại mỗi gateway VPN-1
UTM, do vậy cách này đã giảm gánh nặng và
các lỗi trong quản trị. Những người quản trị
sử dụng SmartDashboard™, một giao diện
người dùng đơn giản trong SmartCenter
Express, để tạo và quản lý các đối tượng
trong một chính sách bảo mật: bảo mật
firewall, VPNs, chuyển dịch địa chỉ mạng ,
QoS và bảo mật VPN client.
TÍNH SẴN SÀNG CAO
VPN-1 UTM có tích hợp tính sẵn sàng cao để
đảm bảo rằng tất cả các tài nguyên của công
ty là luôn luôn sẵn sàng. Nhiều gateway có
thể được triển khai trong một cluster để đảm
bảo tính sẵn sàng của mạng. Nếu gateway
chính bị hỏng, tất cả các kết nối được định
hướng lại tới các cluster thành viên còn lại
mà không gây đứt quãng. Hiệu năng cũng
được nâng cao khi bổ sung thêm các gateway
vào cluster. Thêm vào đó, tính năng giao tiếp
cao cho phép các truyền thông được định
hướng tới một giao tiếp thứ hai hoặc kết nối
ISP dự phòng nếu kết nối chính bị lỗi. Các
kết nối vẫn được duy trì trong quá trình xảy
ra lỗi.
Hỗ trợ cho quản lý chất lượng dịch vụ
(QoS) của VPN
FloodGate-1®, một module tuỳ chọn của
VPN-1 UTM, định hình kết nối VPN bởi sự
thiết lập mức ưu tiên đối với người dùng và
các ứng dụng kinh doanh thiết yếu. Nó cấp
phát hiệu năng tối ưu, cho phép khách hàng di
chuyển các giao dịch kinh doanh từ các
đường thuê bao đắt tiền sang Internet VPNs.
Mạnh hơn ở hiệu năng và triển khai
VPN-1 UTM hỗ trợ nhiều tuỳ chọn triển khai,
cho phép các công ty, tổ chức có thể chọn ra
một giải pháp phù hợp nhất cho hệ thống
mạng
• Các thiết bị chuyên dụng với các phần mềm
Check Point được cài đặt trước.
• SecurePlatform, có trong các đĩa CD giải
pháp của Check Point, cài đặt một hệ điều
hành đã được cứng hoá của Check Point
trong vòng 10 phút.
• Máy chủ Windows và Linux trên nền Intel,
các máy chủ Sun Solaris
4
CÁC TÍNH NĂNG BỔ SUNG
VPN-1 UTM hỗ trợ thêm nhiều tính năng
khác nhau cho thành phần firewall gồm
Các cổng VPN-1 UTM bổ sung bảo vệ và
kết nối cho một chi nhánh mới
Các cổng VPN-1 UTM tích hợp tính năng
sẵn sàng cao cung cấp một cách thức
không đứt quãng để thêm sự điều chỉnh lớn
hơn tới một cổng bảo mật đã có.
Các card tăng tốc hiệu năng là các card
PCI plug and play thêm vào làm tăng hiệu
năng của các cổng VPN-1 UTM
VPN-1 SecureServer cung cấp sự bảo vệ
cho các máy chủ ứng dụng riêng lẻ và bảo
vệ một cách tin cậy các kết nối client-server
ClusterXL phân phối thông lượng giữa các
cluster của các gateway để mở rộng hiệu
năng.
FloodGate-1 nâng cao hiệu năng của mạng
nhờ sự thiết lập mức ưu tiên đối với người
dùng và các ứng dụng kinh doanh thiết yếu
SSL Network Extender™ cung cấp khả
năng truy cập vào hệ thống thông qua trình
duyệt Web.
SmartMap™ Gia tăng tính toàn vẹn sự bảo
mật của hệ thống bằng cách cung cấp một
sơ đồ đồ hoạ chi tiết toàn bộ hệ thống bảo
mật
SmartUpdate™ Cập nhật phần mềm tập
trung và quản lý license cho các sản phẩm
của Check Point để bảm bảo rằng một chính
sách bảo mật thích hợp được thi hành trong
suốt toàn bộ mạng doanh nghiệp.
SmartDirectory™ cho phép Check Point
Express tích hợp với một hoặc nhiều máy
chủ LDAP.
SmartView Monitor™ cho phép phân tích
hiệu năng nhờ cung cấp các hình ảnh trực
quan của các tính chất hiệu năng thông suốt
như là băng thông, round trip time, và các
gói tin bị mất.
SmartCenter Plus mở rộng khả năng của
SmartCenter với SmartMap, SmartUpdate,
SmartDirectory, SmartView Monitor và
SmartPortal – Một ứng dụng Web cho phép
truy cập và xem các chính sách bảo mật
thông qua các trình duyệt.
Eventia Reporter™ một hệ thống phục vụ
việc làm các báo cáo một cách chuyên sâu
dựa trên dữ liệu log do firewall ghi lại.
UserAuthority™ cung cấp bảo mật web
được tích hợp, single sign-on, quản lý định
danh cho các ứng dụng kinh doanh trên
mạng.
Web Intelligence cung cấp tường lửa cho
các ứng dụng web.
CÁC YÊU CẦU HỆ THỐNG
VPN-1 UTM Gateway và SmartCenter được hỗ
trợ trên
Check Point SecurePlatform và SecurePlatform Pro
Disk Space: 4 GB
Memory: tối thiểu 256MB (nên có từ 512MB trở
lên)
SmartConsole được hỗ trợ trên
Windows 2000/XP/2003, Solaris
Disk Space: 100MB
Memory: 256
Remote access clients
Windows 2000/XP/2003/Pocket PC 2003,
2003 2nd Edition/Handheld PC 2000, Macintosh,
Linux
Disk Space: 20MB
Memory: 64MB
Thông tin chi tiết về các nền tảng được hỗ trợ và
các yêu cầu hệ thống vui lòng tham khảo tại:
www.checkpoint.com/products/supported_platforms/
platforms_appint.html