Narzędzia osobiste
Jesteś w: Start Pomoc Archiwum Check Point 2000

Check Point 2000

P.Co to jest Check Point 2000?

O.Check Point 2000 to ostatnia (luty 2000) wersja rodziny produktów (system zaporowy, wirtualnie sieci prywatne, sterowanie przepustowością sieci, itd.) będąca następcą wersji 4.1 wydanej w formie Enterprise CD. Wersja ta znana jest także jako Service Pack 1 (SP1) dla wersji 4.1.

P. Czy to jest istotna wersja?

O.Check Point 2000 jest ugruntowaną wersją dla VPN-1, FireWall-1 i większości innych produktów Check Point. Check Point 2000 należy traktować jako faktycznego następcę wersji 4.0.

P.Jakie produkty zawiera medium dystrybucyjne Check Point 2000?

O. CD Check Point 2000 zawiera wersje 4.1 wszystkich produktów z wyjątkiem:

  • Provider-1
  • MultiGate
  • Compression Module
  • VPN-1 Certificate Manager

Nowości

Check Point 2000 wprowadza szereg nowych własności w odniesieniu do następujących produktów:

  • FireWall-1
  • VPN-1 Gateway
  • VPN-1 SecuRemote
  • VPN-1 SecureClient
  • High Availability Module

FireWall-1

Wykrywanie włamań i intruzów (Malicious Activity Detection)

VPN-1/FireWall-1 został wyposażony w specjalny moduł analizujący dziennik pracy (log), który wykrywa osiem dobrze znanych ataków i prób włamań:

  • SYN attack
  • Successive Alerts
  • Port Scanning
  • Successive Login Failures
  • Successive Multiple Connections
  • LANd Attack
  • Blocked connection port scanning
  • Address spoofing

Po wykryciu jednego z wyżej wymienionych nadużyć pakiet wysyła alarm (zgodnie z wybranymi preferencjami) do administratora systemu. Ponieważ praca modułu bazuje na dzienniku (logu) i nie odbywa się w czasie rzeczywistym, własności tej nie należy traktować jako zastępującej system wykrywania intruzów (RealSecure).

Korzyść:

  • Oszczędza czas administratora poprzez automatyczną analizę dzienników i wykrywanie określonych nadużyć.

CVP Manager

FireWall-1 zawiera nowy CVP Manager umożliwiający stosowanie wielu różnych serwerów CVP lub UFP. Umożliwia to wykorzystanie puli serwerów analizujących kontekst w konfiguracjach pracujących w trybie wysokiej niezawodności (high availability) lub łańcuchowanie ich pracy w celu realizacji wielu następujących po sobie operacji (np. skanowanie pod kątem ukrytych wirusów, analiza aplikacji Java/ActiveX, itp.) - wszystko to realizowane w ramach jednego połączenia sieciowego.

Korzyści:

  • Możliwość wdrożenia konfiguracji high availability gwarantujących nieprzerwaną i niezawodną pracę serwerów analizujących kontekst w przypadku wystąpienia awarii.
  • Łańcuchowanie analizy kontekstowej pozwala na wnikliwe badanie transmitowanych danych przed ich przekazaniem do sieci korporacyjnej.

Visual Policy Editor

Przedstawia zwarty schemat korporacyjnej polityki bezpieczeństwa za pośrednictwem graficznej mapy obiektów takich jak: systemy zaporowe, VPNy, serwery, sieci, rutery, itd. wraz z wzajemnymi relacjami pomiędzy nimi. Visual Policy Editor ilustruje efekty pracy poszczególnych reguł bezpieczeństwa kodując za pośrednictwem kolorów poszczególne elementy, wskazując źródła i obiekty docelowe pakietów sieciowych oraz użyte metody szyfrowania. Inna własność umożliwia wizualną alokację obiektów w określonej topologii, edycję ich parametrów i łączenie ich w grupy.

Korzyści:

  • Umożliwia łatwe zrozumienie, analizę i kontrolowanie wdrażanej polityki bezpieczeństwa.
  • Pozwala kontrolować zawartość i sprawdzać integralność polityki bezpieczeństwa.
  • Interakcyjność zorientowana obiektowo znacznie podnosi efektywność procesu zarządzania polityką bezpieczeństwa systemu zaporowego.

UWAGI: (1) Visual Policy Editor zawarty na Check Point 2000 CD jest wersją typu preview I pracuje jedynie w trybie "tylko-do-odczytu" (obiekty mogą być wczytane do edytora, obrazowane i edytowane, ale nie mogą być zapisywane). Zainteresowani użytkownicy mogą zarejestrować się na http://www.checkpoint.com i uczestniczyć w programie beta umożliwiającym korzystanie z Visual Policy Editor w codziennej pracy administratora. (2) Visual Policy Editor nie został opracowany jako pakiet zastępujący aktualny editor reguł bezpieczeństwa (Policy Editor), ale jako jego uzupełnienie.

Obsługa platformy Linux

Moduł (serwer) zarządzający VPN-1/FireWall-1 i moduł VPN-1/FireWall-1 mogą być obecnie uruchamiane na platformie Red Hat Linux Ver. 6.0, 6.1 (Intel).

Korzyść:

  • Poszerza wybór użytkownika w odniesieniu do platformy pracy systemu zaporowego.

VPN-1 Gateway (zawiera wszystkie rozszerzenia FireWall-1)

Hybrid Mode Authentication

Autentykacja w trybie Check Point Hybrid Mode pozwala korzystać z szeroko stosowanych technik autoryzacyjnych takich jak: karty elektroniczne, RADIUS i TACACS+ w VPNach bazujących na IPSec. Aktualnie Hybrid Mode został złożony jako draft IETF, a Check Point jest jedyną firmą której rozwiązanie rozważane jest jako rozszerzenie standardu IPSec.

Korzyści: 

  • „Silne" bezpieczeństwo poprzez standard IPSec i obsługiwane przez niego technologie takie jak Internet Key Exchange (IKE) i szyfrowanie Triple DES.
  • Bazujące na standardach współdziałanie, nie wymagające stosowania nowych technik autentykacyjnych takich jak certyfikaty X.509.

VPN-1 SecuRemote

Secure Authentication API (SAA)

Secure Authentication API (lub SAA) umożliwia stosowanie nowych, innowacyjnych produktów autentykacyjnych z klientami Check Point VPN: VPN-1 SecuRemote i VPN-1 SecureClient. Dzięki SAA nowe typy sprzętowej autentykacji (np., biometryczne, zbliżeniowe, itp.) mogą być używane do autentykacji użytkowników zestawiających połączenia VPN.

SAA przekazuje informacje autentykacyjne z klienta VPN, poprzez pomost VPN-1/FireWall-1 (gateway) do odnośnego serwera autentykacyjnego takiego jak RADIUS. W odpowiedzi serwer autentykacyjny informuje pomost VPN-1 czy autentykacja określonego użytkownika zakończyła się sukcesem.

Korzyści:

  • Oferuje dodatkową elastyczność w wyborze najlepszej technologii spełniającej określone wymagania.
  • Poszerza otwartość architektury SVN (Secure Virtual Network), umożliwiając stosowanie nowych rozwiązań autoryzacyjnych innych producentów współpracujących z VPN-1.

Secure Domain Login

Secure Domain Login pozwala na logowanie się do sieci po ustanowieniu kanału VPN-1 (czyli szyfrowanie hasła i identyfikatora) dla tych użytkowników Windows NT, którzy używają „logowania do sieci" (w przeciwieństwie do lokalnego desktopu) jako domyślnej metody rozpoczęcia pracy z NT.

Korzyść:

  • Podnosi bezpieczeństwo umożliwiając użytkownikom w ruchu bezpieczne logowanie do PDC poprzez zewnętrzne kanały VPN.

Automatic Topology Update

Automatic Topology Updates pozwala administratorowi konfigurowanie klientów VPN-1 w trybie automatycznego odczytywania topologii sieci w periodycznych cyklach czasowych.

Korzyści:

  • Dodaje dodatkową elastyczność w zarządzaniu klientami VPN-1
  • Podnosi efektywność zarządzania i redukuje czas szkolenia/obsługi użytkowników końcowych.

Partial Topology Configuration

Klienci VPN-1 mogą być wstępnie skonfigurowani w odniesieniu do topologii sieci (obszaru VPN). Ta własność jest użyteczna w momencie, kiedy użytkownicy kopiują VPN-1 SecuRemote z publicznie dostępnego serwisu. Administrator może zdefiniować adresy IP (określone w pliku usersc.C) pomostów VPN-1. Podczas pierwszego połączenia SecuRemote z pomostem VPN-1 i po udanej autentykacji pełna topologia obszaru (domeny) VPN jest automatycznie kopiowana i lokalnie zapamiętana.

Korzyść:

  • Podnosi bezpieczeństwo redukując nieautoryzowane pozyskanie istotnych informacji o topologii sieci.

Automatic Version Checking

Administrator może zdefiniować (ustawić) politykę wymagającą kontrolowanie wersji oprogramowania VPN-1 SecuRemote/SecureClient nawiązującego połączenie z pomostami VPN-1. Kiedy pomost stwierdzi, że oprogramowanie klienta jest przestarzałe na odległej stacji wyświetlane jest okienko z łącznikiem URL zawierającym nową wersję.

Korzyść:

  • Znaczne ułatwienie zarządzania dystrybucją oprogramowania VPN-1.

VPN-1 SecureClient (zawiera wszystkie rozszerzenia VPN-1 SecuRemote)

Desktop Policy Verification

Policy Servers jest obecnie natychmiast informowany o zmianach w konfiguracji klienta VPN-1 SecureClient. Administrator może zażądać weryfikacji klienta i zdefiniować akcje w momencie wykrycia niepoprawnej konfiguracji. 

Korzyść:

  • Podnosi bezpieczeństwo sieci korporacyjnej poprzez ciągłe monitorowanie konfiguracji klienta VPN.

Additive licensing

Licencje na VPN-1 SecureClient są obecnie kumulowane w przeciwieństwie do poprzedniej polityki (do n klientów).

Korzyść:

  • Elastyczność inwestycji.

High Availability Module

Opcjonalny moduł High Availability Module umożliwia wdrażanie odpornych instalacji VPN-1/FireWall-1, w których wymagany jest wysoki stopień niezawodności. Pozwala tworzyć klastry nadmiarowych pomostów i przekierowywanie ruchu do maszyn zapasowych w przypadku awarii pomostu podstawowego.

Moduł wzbogacono o synchronizację tablicy stanu VPN-1 z włączeniem informacji o kluczach IPSec/IKE, co pozwala na bezproblemowe przekazywanie połączeń VPN-1 do pomostów zapasowych. Dodatkowo, moduł ten jest ściśle zintegrowany z konsolą zarządzającą co znacznie ułatwia konfigurację tego typu instalacji. Poza tym moduł ma programowalny system sprawdzania „stanu zdrowia" pomostu i pozwala definiować odpowiednie akcje w przypadku wykrycia problemów.

Korzyści:

  • Możliwość wdrożenia systemów wysokiej niezawodności dla krytycznych zastosowań VPN-1/FireWall-1.
  • Całkowicie przeźroczyste (z punktu widzenia użytkownika końcowego) przekazywanie połączeń VPN (brak konieczności re-autentykacji).
  • Proste wdrożenie i stosowanie.
Akcje Dokumentu
 
  • ©1991- 2012 , CLICO. Wszystkie prawa zastrzeżone.