【正文】 石化科學(xué)研究院安全方案（簡要） 現(xiàn)狀 ............................................................................................... 2 安全風(fēng)險 ....................................................................................... 2 解決方案 ....................................................................................... 4 相關(guān)產(chǎn)品 ....................................................................................... 6 價格 ..............................................................................................22 標(biāo)準(zhǔn)折扣 ......................................................................................25 現(xiàn)狀 1． Inter 出 口使用 單臺 運行于 AIX 操作系統(tǒng)的 Check Point Firewall1 ，硬件為 RS6000 2． DMZ 區(qū)部署 IDS 系統(tǒng) 3． 主要服務(wù)器上安裝授權(quán)和審計軟件 安全風(fēng)險 1． 邊界防火墻： ? 單機防火墻容易造成單點故障。一旦防火墻硬件或軟件進(jìn)程出現(xiàn)問題，與外界聯(lián)絡(luò)會立即中斷，影響業(yè)務(wù)正常運轉(zhuǎn)。 ? Firewall1 是一個在市場上非常成功的產(chǎn)品，但從它推出以來，安全技術(shù)已經(jīng)有了很大發(fā)展，現(xiàn)在 Check Point 的防火墻版本已經(jīng)發(fā)展到 NG AI，技術(shù)更加完善，同時功能也更強。 老版本無法抵御黑客最新的攻擊行為。例如，現(xiàn)在黑客逐漸將攻擊目標(biāo)轉(zhuǎn)向應(yīng)用，通過企業(yè)的開放端口 80 或 443，繞過防火墻的檢查，直接到達(dá)目標(biāo)服務(wù)器，盜取信息、安裝木馬或以其為 跳板攻擊企業(yè)內(nèi)部其他服務(wù)器。另一個例子，現(xiàn)在企業(yè)員工非常喜歡使用 P2P 應(yīng)用，比如 或 MSN 與外部人員聊天，共享文件。一方面這樣做會消耗企業(yè)有限的帶寬，比如多個人同時下載視頻文件，會占用大量帶寬，使企業(yè)正常業(yè)務(wù)受到影響。另一方面，由于 P2P 應(yīng)用可以藏在 HTTP 流量之中，所以可以旁路防火墻安全檢查 （一般會允許 Http 通過） ，給黑客以可乘之機。應(yīng)用層攻擊的例子還有很多，這里不一一列舉。 所有這些有害行為， Check Point NG AI 均可以 進(jìn)行防護(hù)，因為它可以檢測和防范來自于應(yīng)用層的攻擊。 NG AI 是一個多層安全網(wǎng)關(guān)，可以保護(hù)從網(wǎng)絡(luò)層到應(yīng)用層的安全。 2． 員工出差在外， 通過互聯(lián)網(wǎng) 要收發(fā)電子郵件或訪問內(nèi)部資源，均通過明文進(jìn)行，面臨信息泄露和會話劫持的風(fēng)險。 3． IDS 系統(tǒng)是一個被動系統(tǒng)，檢測到攻擊后不能直接采取行動，錯失時機；根據(jù)攻擊特征作出判斷， 沒有特征就無法防范，因此滯后于攻擊，對新攻擊用戶總會遭到損失；誤報率高，影響企業(yè)業(yè)務(wù)正常運轉(zhuǎn)。 4． 內(nèi)網(wǎng)重要服務(wù)器除了授權(quán)審計和防毒外，沒有安全防護(hù)，容易遭受來自于企業(yè)內(nèi)部的攻擊。防毒軟件可以保護(hù)主機安全，無法防 御網(wǎng)絡(luò)攻擊。如 Slammer 蠕蟲，僅存在于內(nèi)存中，不寫硬盤，防毒軟件無法處理。 5． 內(nèi)網(wǎng)中其他部門，沒有任何安全措施，無法避免非授權(quán)訪問和來自于內(nèi)部的攻擊。如果一名員工出差在外使用筆記本電腦訪問互聯(lián)網(wǎng)，可能受到攻擊，被種上木馬或感染蠕蟲。一旦他回到企業(yè)內(nèi)部，連上內(nèi)部網(wǎng)絡(luò)，潛伏于他機器 上的安全問題會成為企業(yè)的安全隱患。例如蠕蟲爆發(fā)，瞬間會擴(kuò)散到整個 企業(yè)，所有 機器均會受到影響。 解決方案 1． 邊界： 部署 Check Point 最新版本防火墻 R55，雙機實現(xiàn)高可用性和負(fù)載均衡，避免 單點故障。利用 Check Point 最新提供的應(yīng)用智能技術(shù)，實現(xiàn)最高級別的安全防護(hù)。 R55 內(nèi)置入侵防范功能，由于基于主動防御技術(shù)，可以在一定范圍內(nèi)防御未知攻擊，可以為用戶提供更好的保護(hù)。 2． 移動用戶 ： 在其筆記本電腦或 PDA 上部署 VPN1 SecureClient，一方面讓其利用 VPN 以加密的方式通過互聯(lián)網(wǎng)，安全的訪問內(nèi)部資源；另一方面， SecureClient 具有中央管理的個人防火墻功能，可以保護(hù)端點免受 非授權(quán)訪問，同時管理員可以控制端點的訪問行為；此外 SecureClient 還可以為端點分配內(nèi)網(wǎng) IP 地址，從而加強內(nèi)網(wǎng)資源的安全性，比如規(guī)定內(nèi) 網(wǎng)資源只接受來自于內(nèi)部 IP 地址的訪問。 3． 服務(wù)器群：在服務(wù)器群前面部署 InterSpect 內(nèi)部安全網(wǎng)關(guān)，防范蠕蟲傳播，避免來自于內(nèi)部的攻擊。 4． 部門： （分為幾種情況） ? 部門 1：只有一臺服務(wù)器需要保護(hù)，要求本部門員工才可以訪問，同時避免線路竊聽。最簡單的方式，無需改變網(wǎng)絡(luò)結(jié)構(gòu)，可以在此臺服務(wù)器上直接安裝 VPN1 SecureServer。它是一個單機版防火墻 ，同時提供 VPN 功能。本部門其他機器安裝 VPN1 SecureClient，以加密的方式與服務(wù)器進(jìn)行通信。同時在防火墻上設(shè)置策略，控制其他部門訪問。 ? 部 門 2：無需嚴(yán)格訪問控制，但需要避免蠕蟲感染和內(nèi)部攻擊?？梢詫?InterSpect 透明部署在部門交換機和核心交換機之間，起到防御作用。 ? 部門 3：需要嚴(yán)格訪問控制，指定人員才可以訪問相關(guān)資源?？梢愿鶕?jù)需要在部門網(wǎng)絡(luò)之前部署單機或雙機防火墻VPN1 Pro。 5．管理：可以通過業(yè)內(nèi)最好的 Check Point Smart 管理構(gòu)架進(jìn)行集中管理。 相關(guān)產(chǎn)品 1． VPN1 Pro 您面臨的挑戰(zhàn)： Inter 可以到達(dá)全球任何一個角落，因此它為企業(yè)網(wǎng)絡(luò)延伸到所有職員和主要業(yè)務(wù)合作伙伴提供了一種靈活的、高成本效益 的基礎(chǔ)架構(gòu)。但是，一個企業(yè)要想充分利用 Inter，它必須能夠確保業(yè)務(wù)通信的安全性和對企業(yè)內(nèi)部網(wǎng)絡(luò)資源的保護(hù)。除了安全性，公司還要面對可用性、性能和可伸縮性的挑戰(zhàn)。為使關(guān)鍵任務(wù)應(yīng)用能夠利用虛擬專用網(wǎng)絡(luò)（ VPN）技術(shù)， VPN 必須提供可靠的性能和無縫的容錯性?？傊?，一個 VPN 的所有組件必須能夠在整個企業(yè)安全基礎(chǔ)架構(gòu)內(nèi)部簡單地集成和管理。 我們的解決方案： Check Point 的 VPN1174。 Pro? 是一個緊密集成的軟件解決方案，它將市場領(lǐng)先的 FireWall1174。 安全性套件與最先進(jìn)的 VPN 技術(shù)結(jié)合起來。作為 Check Point 的安全虛擬網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)， VPN1 Pro 可為企業(yè)網(wǎng)絡(luò)、遠(yuǎn)程和移動用戶、分支機構(gòu)以及業(yè)務(wù)合作伙伴提供安全的連接，充分滿足 Inter、內(nèi)部網(wǎng)、外部網(wǎng) VPN 的嚴(yán)格要求。 VPN1 Pro 解決方案可以在業(yè)界最廣泛的開放式平臺和安全設(shè)備上獲得 —— 滿足各種規(guī)模企業(yè)的價格性能比需求。 產(chǎn)品特性： ● 提供與 FireWall1 的完全集成 ● 通過 IPSec、 L2TP、 SSL 和強大身份認(rèn)證來保護(hù)通信 ● 支持集中的、集成的和基于策略的安全管理 ● 支持范圍廣泛的開放式服務(wù)器和設(shè)備平臺 ● 通過 SecureXL 提供市場領(lǐng)先的性能 產(chǎn)品優(yōu)點： ● 確保企業(yè)資源和 Inter 通信的最大安全性 ● 提供范圍廣泛的安全遠(yuǎn)程訪問部署選項和用戶認(rèn)證 ● 簡化安全管理 ● 以更卓越的價格性能比提供平臺適應(yīng)性 ● 支持高度可伸縮的 VPN 和多千兆的安全性能 VPN1 解決方案 為擴(kuò)展的企業(yè)提供端到端的安全性。 CHECKPOINT 的全面 SecureVPN 解決方案 VPN1 Pro 是 Check Point SecureVPN 解決方案的基礎(chǔ)，這是一個用于遠(yuǎn)程訪問、內(nèi)部網(wǎng)和外部網(wǎng) VPN 的最全面的產(chǎn)品與技術(shù)集合。 Check Point 提供了范圍廣泛的 VPN 產(chǎn)品，各種組織機構(gòu)可以從中選擇以設(shè)計出滿足自己需求的最佳配置。 安全性 Check Point VPN1 Pro 集成了訪問控制、認(rèn)證和加密以確保網(wǎng)絡(luò)連接的安全性、本地和遠(yuǎn)程用戶的可靠性以及數(shù)據(jù)通信的私有性和 完整性。 FireWall1 集成以獲得最大保護(hù) 為了提供有效的企業(yè)安全性和高效的管理， VPN 必須包含集成的防火墻功能。為此目的， VPN1 Pro 包含了市場領(lǐng)先的 FireWall1，利用 Check Point 的 Stateful Inspection 專利技術(shù)來保證所有通用 Inter 服務(wù)的安全。 VPN1 Pro 支持超過