Check-Point-虛擬化安全方案(2015)-v0.3-首都機(jī)場

安全解決方案2015年6月王彥磊北區(qū)安全顧問wangylamheckPointSoftwareTechnologies[Protected]Non-confidentialcontent7×24全覆蓋超過150國家2大中心，5大支持中心DallasTelAvivTokyoOttawaStockholm全球范圍內(nèi)的支持18年GartnerMQ領(lǐng)導(dǎo)者BestIPS/IDSProduct

ReaderTrust

Award2013BestFirewall

ReaderTrust

Award2013FirewallEarns

“Recommend”RatingfromNSS2013NGFWEarns“Recommend”RatingfromNSS2013Leader,MagicQuadrantMobile

DataProtection2013Leader,MagicQuadrant-UTM2014Leader,MagicQuadrantEnterpriseNetworkFirewall2014專注安全超過20年超過200,000客戶100%安全企業(yè)財富100強全覆蓋財富500強99%覆蓋狀態(tài)檢測專利持有Leader,MagicQuadrantEnterpriseNetworkFirewall2015CheckPoint

NGFW下一代防火墻全面覆蓋的安全軟刀片全系列產(chǎn)品平臺DataCenterNetworkEndpointCloudMobile2200series4400series12000+13000series41000+61000seriesSmart-1series21000series600+1100seriesFirewallIPSecVPNMobileAccessIdentityAwarenessApplicationControlIPSDLPWebSecurityURLFilteringAnti-botThreatEmulationAntivirusAnti-SpamAdvanced

Networking

andClusteringVoIPSecurity

Gateway

Virtual

EditionFullDiskEncryptionSmartReporterSmartEventMulti-

DomainSecurityManagementAdvancedNetworkingMediaEncryptionRemoteAccessAnti-MalwareNetworkPolicyEndpointPolicyLoggingandStatusSmartWorkflowMonitoringManagementPortalUserDirectorySmartProvisioningComplianceVEVSX目錄虛擬化安全領(lǐng)域現(xiàn)狀云計算中常見的安全事件與運維挑戰(zhàn)CheckPoint解決方案方案優(yōu)勢對比[HighlyRestricted]ONLYfordesignatedindividualsPrivateCloud傳統(tǒng)數(shù)據(jù)中心依賴邊界安全網(wǎng)關(guān)保護(hù)VirtualDatacenterHybrid

Cloud傳統(tǒng)數(shù)據(jù)中心物理

數(shù)據(jù)中心PrivatePublic[HighlyRestricted]ONLYfordesignatedindividualsPrivateCloud在幾十個物理刀片服務(wù)器上部署虛擬機(jī)業(yè)務(wù)類型相似安全等級相同，安全需求相同絕大多數(shù)企業(yè)級用戶使用虛擬化Hybrid

Cloud虛擬化PhysicalDatacenterPrivatePublic[HighlyRestricted]ONLYfordesignatedindividuals私有云私有云–數(shù)百個物理刀片服務(wù)器多部門，多租戶委托同一個ISP提供不同的安全等級服務(wù)目前運營商廣泛采用的方式VirtualDatacenterHybrid

Cloud私有云PhysicalDatacenterPrivatePublic[HighlyRestricted]ONLYfordesignatedindividualsPrivateCloud1000個以上刀片服務(wù)器多租戶ISP通過應(yīng)用商店提供安全設(shè)備用戶自己維護(hù)自己的安全服務(wù)VirtualDatacenter公有云公有云PhysicalDatacenterPrivatePublic虛擬化安全現(xiàn)狀–安全事件某個VM上的病毒在資源池內(nèi)泛濫，如何發(fā)現(xiàn)并進(jìn)行阻斷？某個VM對所有資源池內(nèi)的其它VM進(jìn)行IPS攻擊，如何發(fā)現(xiàn)并進(jìn)行阻斷？某些VM變成肉雞，被外界控制，如何發(fā)現(xiàn)并進(jìn)行阻斷？某些租戶大量占用出口防火墻資源，導(dǎo)致防火墻崩潰，如何有效進(jìn)行資源控制？虛擬化安全現(xiàn)狀–運維挑戰(zhàn)VM進(jìn)行遷移，如何動態(tài)保證他們的安全？如何給新建的VM自動配置安全策略？VM數(shù)量不斷增加，硬件防火墻擴(kuò)容的速度如何跟上資源池增加的速度？如何為不同的租戶提供不同的安全策略服務(wù)？CheckPoint解決方案NextGenerationThreatPrevention提供IPS，Anti-Bot，Anti-Virus，沙盒等安全防護(hù)NGTP保障VM內(nèi)部的安全支持ESXi，KVM，XEN等平臺業(yè)界第一個獲得VMware認(rèn)證的虛擬網(wǎng)絡(luò)安全設(shè)備提供商VE業(yè)界最知名的管理平臺為私有云提供最佳分級、分層的管理MDM業(yè)界最強大的硬件虛擬化安全產(chǎn)品為不同租戶提供不同等級的安全保護(hù)VSXVE檢查VM之間的流量自動檢測新建的虛擬機(jī)防御外部威脅虛擬化環(huán)境中的安全挑戰(zhàn)HypervisorVMVMVMVE虛擬化環(huán)境中的安全挑戰(zhàn)VE虛擬化環(huán)境中的安全挑戰(zhàn)虛擬機(jī)在遷移過程中進(jìn)行保護(hù)保證動態(tài)環(huán)境下的安全vSwitchExtGWGatewayisnotawareofinter-vSwitchtrafficvSwitch內(nèi)部數(shù)據(jù)沒有被檢測傳統(tǒng)虛擬化環(huán)境下無法保證VM之間的安全PktAgentAgentAgentAgentAgentVE工作原理vSwitchPktPktVESecurityAPIESXServersendspackettoPacketisnotinspectedagainPacketpassedfirewallinspectionandissentbacktotheAgentPacketinterceptedintheAgentandforwardedtotheGatewayforinspectionPktPacketcontinuestheflowfromwhereitwasinterceptedVirtualEdition產(chǎn)品特點

Hypervisor所有軟件刀片靈活的安全最佳安全VMVM

VE

HypervisorConnectorCheckPointSoftwareBladesFirewallAnti-VirusIPSURLFilteringVPNApplicationControlMobileAccessDLPIdentityAwarenessAnti-Bot檢查Inter-VM流量VMs保護(hù)自動保護(hù)新的VMs保護(hù)動態(tài)環(huán)境HypervisorVMVM

VE

HypervisorConnectorVMVMVirtualEdition產(chǎn)品特點

所有軟件刀片靈活的安全最佳安全HypervisorVMVM

VE

HypervisorConnector

VirtualEdition產(chǎn)品特點

所有軟件刀片靈活的安全最佳安全VMs保護(hù)自動保護(hù)新的VMs保護(hù)動態(tài)環(huán)境物理和虛擬統(tǒng)一管理管理的虛擬化

統(tǒng)一管理

所有軟件刀片靈活的安全最佳安全VMs保護(hù)自動保護(hù)新的VMs保護(hù)動態(tài)環(huán)境VirtualEdition產(chǎn)品特點

HypervisorVM

HypervisorConnectorVMVirtualEdition產(chǎn)品特點

物理和虛擬統(tǒng)一管理管理的虛擬化

統(tǒng)一管理所有軟件刀片靈活的安全最佳安全VMs保護(hù)自動保護(hù)新的VMs保護(hù)動態(tài)環(huán)境虛擬化安全場景保護(hù)虛擬環(huán)境安全使用CheckPointVE實現(xiàn)顆粒度的FW訪問控制，結(jié)合IPS等功能實現(xiàn)虛擬機(jī)之間流量的檢測，透明部署不影響現(xiàn)有架構(gòu)。HypervisorHypervisorConnectorVEOfficeinaBox使用CheckPointVE部署為透明或3層模式，可開啟FW,IPS,VPN等全功能刀片，對客戶信息資產(chǎn)實現(xiàn)全面安全防護(hù)。

VEHypervisor企業(yè)安全網(wǎng)關(guān)

將你的安全網(wǎng)關(guān)部署到虛擬化環(huán)境。VEHypervisorVEVEVE支持平臺私有云中的安全挑戰(zhàn)私有云中的安全挑戰(zhàn)網(wǎng)絡(luò)分段復(fù)雜HRWebWeb,Mail

ServersPartners&

customersFirewallFirewallFirewallFirewallFinance管理難度增加

每一臺物理防火墻都有上百條策略私有云私有云中的安全挑戰(zhàn)網(wǎng)絡(luò)分段復(fù)雜HRWebWeb,Mail

ServersPartners&

customersFinance管理難度增加

每一臺物理防火墻都有上百條策略管理代價巨大需要維護(hù)數(shù)量巨大的交換機(jī)/路由器/防火墻等設(shè)備SwitchRouterFirewallFirewallFirewallFirewall私有云私有云中的安全挑戰(zhàn)網(wǎng)絡(luò)分段復(fù)雜HRWebWeb,Mail

ServersPartners&

customersFinance需要部署大量的專有設(shè)備拓?fù)涞膹?fù)雜度大大增加SwitchRouterFirewallFirewallFirewallFirewall不同的安全需求IPSVPNURLFilteringAnti-BotAntivirus私有云私有云中的安全挑戰(zhàn)網(wǎng)絡(luò)分段復(fù)雜HRWebWeb,Mail

ServersPartners&

customersFinance如何進(jìn)行有效的資源控制？資源池不斷快速增長，如何提供具有彈性的安全防護(hù)？私有云SwitchRouterFirewallFirewallFirewall不同的安全需求IPSVPNURLFilteringAnti-BotAntivirusVM/租戶快速增長帶來的挑戰(zhàn)WebFirewallFirewallStaging只有CheckPoint能夠整合安全網(wǎng)關(guān)連同網(wǎng)絡(luò)交換機(jī)和路由器一起SwitchRouterFirewallFirewallFirewallFirewallFirewall網(wǎng)關(guān)和網(wǎng)絡(luò)設(shè)備整合安全整合最大化投資回報和可擴(kuò)展性管理的有效性HRFinanceStagingWebPartners&

customersWeb,Mail

Servers使用VSX簡化安全只有CheckPoint能夠整合安全網(wǎng)關(guān)連同網(wǎng)絡(luò)交換機(jī)和路由器一起SwitchRouter網(wǎng)關(guān)和網(wǎng)絡(luò)設(shè)備整合安全整合最大化投資回報和可擴(kuò)展性管理的有效性VirtualSystemsHRWebFinanceWeb,Mail

ServersPartners&

customersStaging輕松地虛擬化防火墻和通過直觀的GUI界面增加虛擬系統(tǒng)很難添加虛擬系統(tǒng)競爭對手使用VSX簡化安全只有CheckPoint能夠整合安全網(wǎng)關(guān)連同網(wǎng)絡(luò)交換機(jī)和路由器一起VirtualSystemsHRWebFinanceWeb,Mail

ServersPartners&

customersStagingVirtualSwitch/Router整合防火墻,交換機(jī)和路由器使用VSX簡化安全網(wǎng)關(guān)和網(wǎng)絡(luò)設(shè)備整合安全整合最大化投資回報和可擴(kuò)展性管理的有效性不能整合交換機(jī)和路由器競爭對手完全的虛擬安全系統(tǒng)整合

Anti-Bot和領(lǐng)先的IPS(NSS)IPSVPNURLFilteringAnti-BotAntivirus網(wǎng)關(guān)和網(wǎng)絡(luò)設(shè)備整合安全整合最大投資回報和可擴(kuò)展性管理的有效性HRVirtualSwitch/RouterVirtualSystemsSoftwareBladesIPSVPNIPSAVURLFAnti-BotFinanceWeb,Mail

ServersPartners&

customersStagingWeb使用VSX簡化安全部分威脅防護(hù)和Web安全控制競爭對手無與倫比的線性可擴(kuò)展性與VSLS最多支持8臺網(wǎng)關(guān)設(shè)備集群網(wǎng)關(guān)和網(wǎng)絡(luò)設(shè)備整合安全整合最大投資回報和可擴(kuò)展性管理的有效性WebMulti-gatewayVSLSclusterServicesR&DSales支持更多的流量和虛擬系統(tǒng)以及多達(dá)8臺網(wǎng)關(guān)集群使用VSX簡化安全限于2臺網(wǎng)關(guān)的集群競爭對手中央管理:每個虛擬系統(tǒng)策略,日志和資源監(jiān)控網(wǎng)關(guān)和網(wǎng)絡(luò)設(shè)備整合安全整合最大投資回報和可擴(kuò)展性管理的有效性簡化策略,減少每個分段的規(guī)則數(shù)量每個虛擬系統(tǒng)管理和CPU/內(nèi)存監(jiān)測

Multi-DomainManagement使用VSX簡化安全有限的中央管理,缺乏CPU/內(nèi)存監(jiān)控競爭對手[HighlyRestricted]ONLYfordesignatedindividuals超過100個超大數(shù)據(jù)中心客戶其中60%部署了虛擬系統(tǒng)61000Appliance可擴(kuò)展至12個刀片

專為高可用性打造的全冗余ATCA架構(gòu)

獨立的網(wǎng)絡(luò)接口模塊400Gbps防火墻吞吐每秒新建3Million并發(fā)連接210MillionIPS吞吐130Gbps61000SecuritySystem全冗余刀片架構(gòu)-61000虛擬系統(tǒng)的數(shù)據(jù)流在各個刀片之間自動負(fù)載均衡穩(wěn)健的負(fù)載分擔(dān)只需插入更多刀片即可帶來更高性能擴(kuò)展簡單定制化安全I(xiàn)PSVPNIPSAVAnti-BotAVURLFAPCLIAAnySoftwareBlade(s)withAnysecuritypolicyonAnyVirtualSystem為不同用戶定制化不同的安全策略APCLIPSFWURLFAVIAABMOBVPNADNCVSX同類產(chǎn)品分析ComprehensiveSecurityEasyDeploymentCentralManagementScalablePerformanceCheckPointFortinetNoAnti-Botcomplexinter-VScommunicationclusterlimited

to2membersPAN

complexinter-VScommunication

Noseparationofdataorduties

clusterlimited

to2membersCisco

NoVPN,ACPL,URLF,AV,Anti-Bot

complexinter-VScommunication

NoIPScentralmanagement

Clusterlimited

to2membersJuniperNoURLF,

AV,Anti-Botcomplexinter-VScommunicationNocentralmanagementRequiredAppliancesEmulation

OptionsEmulation

ofDocumentsThreatPrevention

(AV,AB,IPS)PreventionSSL2-30-11CloudorLocal1Only

LocalBOTH!YesYesYES!PartialNoYES!NoPartialYES!YesNoYES!1

($150Kapplianceavailable)[Restricted]ONLYfordesignatedgroupsandindividuals2-3YesPartialNoNoOnly

LocalNGTP同類產(chǎn)品分析RiskyAppsRiskySitesKnownmalwareinfestedsitesKnownExploitsExploitsoverMailKnownBinariesUnknownMalwareBotPatternsC&CaddressesOutgoingSpamUser

InfectionExploitDownload

BackdoorBot

CommunicationAPCLURLFAPCLWebFilterIPSIPSAnti-SpamAnti-SpamAnti-VirusAnti-VirusAnti-VirusThreatEmulationFortiGuardSandboxAPCLAnti-VirusAnti-BotAnti-BotAnti-BotAnti-SpywareAnti-SpywareAnti-VirusWildFireVulnerabilityScanURLFApp-IDURLFWebFilterEXMail

MPSNXWeb

MPSAllMPSAllMPSNXMail

MPSEXWeb

MPSNXWeb

MPSNGTP同類產(chǎn)品分析[Restricted]ONLYfordesignatedgroupsandindividualsFeatureCheckPointThreat

EmulationFortinetFortigatePANWildFireFireEyeProtectagainstzero-dayattacksbeforestaticsignaturecreatedNo

(Detectonly)No

(Detectonly)Limitations

within-linedeploymentFilesArchivesandExeoffice&pdfExe,PDF,noofficeFilesizelimitedto10MB,noarchivesArchivesandExeoffice&pdfProtocolsHTTP,SMTP.*CIFSHTTP,SMTP,FTP,IMAP,POP3,IM,NNTPHTTP,SMTP,FTP,IMAP,POP3,SMBSeparateproductsforSMTP,HTTP,CIFSOn-boxSSLdecryption99%

PerformanceDegradation!NoSupportclusterNoEmulationbyCloudServicesLocalOnlyLocalor‘near-by’EmulationOnlynear-byOnlynear-byLocalOnlyCentrallymanagedGranularuser-basedpoliciesNoGranularityMultipleWindowsOSenv.WindowsXPonlyUsedasaMailTransferAgent(MTA)NoNo[Restricted]ONLYfordesignatedgroupsandindividuals沙盒技術(shù)同類產(chǎn)品分析YESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYES*-supportedfromR77.20FeatureCheckPointAnti-BotandAnti-VirusFortinetFortiGuardPANFireEyeC&CaddressdatabaseAnti-Bot

URL,DNS,IPIPonlyDNSonlyURL,DNS,IPDetectbotsbynetworkbehavioral/protocolAnti-BotBotsignatures–requireslicenseforApplicationControlAnti-SpywarePreventaccesstoknownmalwareinfestedsitesAnti-VirusURL,DNSURL–requireslicenseforWebFilterURL–requireslicenseforURLFURLFileTypesAnti-VirussignaturesAllfiletypesNolimitonsizeRequiresproxy-basedAV:SizelimitedbyapplianceRAMFilesizelimitedto10MBEXE,Flash,

Archives,Office,PDF,websProtocolsHTTP,SMTP.FTP,CIFS,

IMAP

HTTP,SMTP,FTP,IMAP,POP3,IM,NNTPHTTP,SMTP,FTP,IMAP,POP3,SMBSeparateproductsforSMTP,HTTP,CIFSOn-boxSSLdecryption99%

PerformanceDegradation!NoSupportclusterNoCentrallymanagedGranularuser-basedpoliciesNoGranularityReal-timecloudservicesDailyUpdatesHourlyUpdatesHourlyUpdatesDetectbotsbasedonSpamSuspiciousmailengineNoNo[Restricted]ONLYfordesignatedgroupsandindividualsAnti-Malware同類產(chǎn)品分析YESYESYESYESYESYESYESYESYESYESYESYESYESYESYESFeatureCheckPointIPSBladeFortinetFortiGatePANPAseriesMacAfee

NSseriesSourceFire(NGIPS)SNORTconvertorDedicatedutilityBuilt-inSyntaxissimilartoSNORT.

3rdpartySNORTconversiontool.NoSNORTconverter.Built-inGUIBlocktrafficbasedoncountriesNoIPexceptionsfromlogNoOn-boxSSLdecryption99%performancedegradationNotsupportedClustersupportIPSandFWonsameplatformNoGranularuser-basedpoliciesNoSeparateIPSfromFWPo