Narzędzia osobiste
Jesteś w: Start Produkty Bezpieczeństwo obwodowe (Perimeter) Safe@Office dla SMB Co nowego dla NG administratora
 

Co nowego dla NG administratora

Pakiet NG

Check Point Next Generation (NG) to wersja 5.0 systemu zabezpieczeń VPN-1/FireWall-1. Technicznie NG posiada wiele nowych własności, znacznie różniących ją od poprzedniej wersji produktu 4.1 (Check Point 2000). Do najważniejszych z nich można zaliczyć:

  • Interfejs zarządzania GUI uległ gruntownej przebudowie (m.in. wprowadzono zmiany umożliwiające bardziej sprawną weryfikację i zmiany konfiguracji zabezpieczeń, w panelu Visual Policy Editor można oglądać i modyfikować strukturę sieci chronionych oraz bezpośrednio dostawać się do ustawień konfiguracji obiektów, pomiędzy panelami GUI można przenosić obiekty w trybie Drag&Drop).
  • Kompletnie zmieniło się wnętrze systemu zabezpieczeń – Check Point opracował swoją własną część systemu operacyjnego o nazwie SVN Foundation (CPShared), całkowicie izolującą warstwę obsługi kart sieciowych od stosu TCP/IP. SVN Foundation instalowane jest zawsze na początku i dopiero na tej platformie instalowane są pozostałe moduły (m.in. FireWall-1, FloodGate-1). Dzięki temu poziom bezpieczeństwa VPN-1/FireWall-1 jeszcze bardziej uniezależnił się od ewentualnych błędów bezpieczeństwa systemów operacyjnych Windows NT/2000, Solaris, itp.
  • W NG nie ma już potrzeby używania komendy 'fw putkey', sprawiającej w wersji 4.1 częste problemy. Check Point opracował nowy system wewnętrznej, zabezpieczonej kryptograficznie komunikacji o nazwie Secure Internal Communications (SIC). System SIC oparty jest na standardzie SSL i certyfikatach cyfrowych.
  • Certyfikaty cyfrowe w NG definiowane są za pomocą graficznego edytora Policy Editor. Mogą one być używane zamiast statycznych haseł Pre-Shared Secret do uwierzytelniania kanałów VPN (IPSec/IKE) pomiędzy maszynami VPN-1/FireWall-1. Nie można jednak używać tych certyfikatów do uwierzytelniania zdalnych użytkowników SecuRemote. Do tego celu można używać Entrust albo innego zewnętrznego Urzędu Certyfikacji (OPSEC).
  • Nowy, graficzny moduł SecureUpdage umożliwia zcentralizowane, zdalne dodawanie licencji i instalowanie aktualizacji Service Pack.
  • Licencje na moduły VPN-1/FireWall-1 i FloodGate-1 są przywiązane do adresu IP stacji zarządzającej Management Server. Zmieniając adresację Firewall nie ma już potrzeby dokonywania zmiany licencji.
  • Konfiguracja zabezpieczeń stacji użytkowników SecureClient (Desktop Security) jest definiowana centralnie, w pełnym zakresie za pomocą edytora reguł polityki bezpieczeństwa Policy Editor (w GUI znajduje się do tego celu dodatkowa zakładka).
  • Różne serwery kontroli zawartości CVP mogą kontrolować ruch HTTP, FTP i SMTP po kolei (np. najpierw załącznik do poczty kontrolowany jest przez eSafe Gateway, a potem jeszcze raz przez Trend Micro VirusWall) albo wykonywać pomiędzy sobą Load Sharing. Dla serwerów filtrowania URL (UFP) jest dostępna opcja równoważenia obciążenia Load Sharing. Wszystkie te opcje definiowane są w graficznym edytorze polityki bezpieczeństwa Policy Editor.
  • Kontrola zawartości CVP i UFP może być wykonywana w sposób mniej obniżający wydajność systemu z pominięciem Security Servers. Wykonywane jest to poprzez nowy komponent systemu TCP Resource.
  • SMTP Security Server przy wysyłaniu poczty może wykorzystywać DNS (MX).
  • Stałym elementem architektury NG jest stacja zarządzająca Management Server w konfiguracji odpornej na awarie (Management High Availability, HA).
  • W NG moduł FloodGate-1 oprócz możliwości monitorowania zajętości pasma sieci na interfejsie Firewall może nadzorować przepływność połączenia sieciowego WAN, a także VPN. Dzięki temu można na bieżąco sprawdzać czy umowa podpisana z operatorem Internetu na określoną przepustowość łącza jest przez niego przestrzegana.
  • Rozbudowie uległ system szybkiego powiadamiania i alarmowania (m.in. można definiować trzy akcje User-Defined, alarmy są generowany dopiero po wystąpieniu określonej liczby zdarzeń).
  • FireWall-1 wykonuje zawsze kontrolę pakietów w trybie Eitherbound (tzn. poddaje inspekcji pakiety wchodzące i wychodzące z maszyny Firewall). Tylko kontrola IP Spoofing robiona jest w trybie Inbound (tzn. w czasie gdy pakiet wchodzi przez interfejs sieciowy do maszyny Firewall).
  • Translacja adresów NAT jest robiona przed rutingiem IP (nie ma więc już w kontroli IP Spoofing opcji Others+, nie trzeba ustawiać dodatkowego rutingu na maszynie FW-1, wpisy ARP są generowane automatycznie).
  • Za pomocą graficznego edytora polityki bezpieczeństwa Policy Editor można definiować kiedy archiwizowane są logi VPN-1/FireWall-1 (nie trzeba już do tego celu używać systemowego 'Cron' w Unix, czy 'At' w Windows NT).
  • Tryb uwierzytelniania IKE Hybrid Mode w NG można definiować za pomocą graficznego edytora polityki bezpieczeństwa Policy Editor.
  • W NG schemat SKIP (IPSec/SKIP) nie jest już wspierany.
  • Wdrożono pełne wsparcie dla algorytmu szyfrowania AES (256 bit).
  • W konfiguracji VPN-1/FireWall-1 odpornej na awarie (HA) można używać przełączników sieciowych (switch).
  • NG może być instalowany na 64-bitowej wersji Solaris 8.
  • Certyfikowani dla wersji 4.x administratorzy Check Point Certified Security Administrator (CCSA) i inżynierowie Check Point Certified Security Engineer (CCSE) będą musieli przejść certyfikację dla wersji NG. Każdy z egzaminów CCSA i CCSE wykonywany jest w formie testu złożonego z 99 pytań i trwającego 120 minut.
Akcje Dokumentu
  • ©1991- 2012 , CLICO. Wszystkie prawa zastrzeżone.