当前位置:首页 >> 信息与通信 >>

NOKIA-CheckPoint

1 、Check Point 产品介绍 所有诺基亚的安全产品中采用的 VPN 和防火墙技术都将是基于 Check Point 的 VPN-1®/FireWall-1® 软件上的。这种独特的关系也允许开展创新工程, 例如诺基亚和 Check Point 联合努力开发出"Firewall Flows" (防火墙流) 功能, 其现在构成了诺基亚的固有安全性操作系统的关键组成组件。这种紧密合作的最终 结果是将防火墙的每秒信息包吞吐量显著地提高了三倍。同时,诺基亚和 Check Point 结合了诺基亚的 CryptoCluster? 专利技术和 Check Point SecureX? 技术,并在此基础上进行了一系列创新性、高可用性和性能的提升。Check Point Application Intelligence 启用一种新级别的多层安全网关 简介——基于应用的攻击 在过去的几年中,企业防火墙已经成为网络安全架构的主要组成部分。主要设计用 于对网络资源提供访问控制,防火墙已在大部分网络中成功部署。防火墙成功的一 个主要原因是, 当执行一个适当定义的安全策略时, 防火墙通常可以阻挡超过 90% 的攻击。然而,尽管大部分防火墙提供了有效的访问控制,但是仍有许多还不能支 持应用级的攻击检测和阻隔。 认识到这个事实后,电脑黑客们设计出更加错综复杂的攻击来对付由网络边界防火 墙执行的传统的访问控制策略。今天,高智商的黑客们早己不限于只对防火墙的开 放端口进行扫描,现在他们的目标直指应用程序。 今天, 互联网环境中的一些最严重的威胁来自于那些利用已知应用程序缺陷的攻击。 黑客们最感兴趣的是像 HTTP(TCP 端口 80)和 HTTPS(TCP 端口 443 )这 样的服务,通常这些服务在许多网络中是开放的。访问控制装置不能轻易检测到面 向这些服务的恶意使用。 通过直接面向应用程序,黑客们试图获得至少以下一种恶意目标,包括: ● 拒绝对合法用户的服务(DoS 攻击) ● 获得对服务器或客户端的管理访问权 ● 获得对后端信息数据库的访问权 ● 安装特洛伊木马软件后,可绕过安全保护并能够对应用程序进行访问 ● 在服务器上安装运行于“sniffer (网络探针)”模式的软件,并获取用户名和密 码 由于基于应用的攻击本身很复杂,有效的防卫必须也同样复杂和智能。为了解决基 于应用攻击日益增强的威胁,企业防火墙必须包含新级别的多层安全网关。这种多 层安全网关应该防止网络及应用攻击,同时提供对 IT 资源强大的访问控制。 Check Point Application Intelligence? 是一组高级功能,与 Check Point 的 FireWall-1® 和 SmartDefense? 集成,能够检测和阻止应用级攻击。 Applocation Intelligence ——抵御新一代的网络应用威胁 许多防火墙(特别是那些基于 Stateful Inspection 技术的防火墙)已经保存了成 功抵御网络攻击的防卫库。事实上,越来越多的攻击试图利用网络应用的弱点,而 不是直接面向防火墙。这种攻击方法的重要变化需要防火墙不仅提供访问控制和网 络级攻击保护,还要理解应用程序的行为以抵御对应用程序的攻击和入侵。Check Point Application Intelligence 扩展了对这种网络安全解决方案的理解。 示例协议: OSI (开放系统互联)参考模型
-1-

OSI 参考模型是一种框架(或指导方针) ,用于描述数据如何在网络设备中传输。 注意:应用层不是真正的最终用户的软件应用程序,而是一系列允许软件应用程序 通过网络通信的服务。第 5、6 和 7 层的区别通常并不明显,其他的一些相关模 型将这几层组合在一起,本文也如此。 应用层安全 应用层引起大量攻击的原因有以下几点。首先,该层包含了黑客的最终目标——真 正的用户数据。其次,应用层支持许多协议(HTTP 、CIFS 、VoIP 、SNMP 、 SMTP 、SQL 、FTP、DNS 等) ,所以它包含了大量潜在的攻击方法。第三,因 为应用层有更多的安全漏洞,所以相对于较低的那些层,在该层检测并防范攻击更 加困难。 为了成功地提供对应用层的安全保护,一个安全解决方案必须提供以下四种防护策 略。 1)验证是否遵循标准 防火墙必须能够确定通信是否遵循相关的协议标准。违反标准可能意味着恶意的传 输流量。任何不遵循严格协议或应用标准的传输必须在获准进入网络前对其进行仔 细检查,否则关键业务应用程序将面临危险。例如: ? Voice Over IP(VoIP)VoIP 传输通常由 H.323 和 SIP 协议支持。这些协议 的操作可能很复杂,因此有大量的通信端口支持 VoIP 呼叫的建立和维护。不正确 的执行这些协议可能使 VoIP 部署变得脆弱并带来以下危险: ■ 呼叫重定向——接收器的呼叫被重定向 ■ 盗用呼叫——呼叫者伪装成其他人 ■ 拒绝服务(DoS )——阻止合法使用 VoIP 安全网关必须保证 H.323 和 SIP 命令完全符合适当的标准和 RFC ,且数据包 在结构上有效并以正确的顺序到达。另外,防火墙应该检查所有通过许可端口的数 据包内容,以确保它们包含安全的信息。 ? HTTP 头信息中的二进制数据尽管官方的 HTTP 标准禁止在 HTTP 头信息中包 含二进制字符,但这项规则并不明确,并且大多数防火墙未对此进行检查。结果, 许多黑客利用在 HTTP 头信息中包含可执行代码发起攻击。 所有的安全网关应该考 虑如何阻隔或减少 HTTP 头信息和请求中包含的二进制字符。 2)验证协议是否遵循预期用法(协议不规则检测)测试是否遵循协议十分重要, 但是判断协议中的数据是否遵循预期用法的能力同等重要。换句话说,即使一个通 信流遵循协议标准,使用协议的方法也可能与预期不相符合。例如: ? HTTP 用于点对点(P2P)通信 P2P 是一种通信模型,其中的每一方都具备同 样的能力,它们都能发起一次通信会话。P2P 应用程序分为两个主要类别: ■ 即时消息(IM)——主要目标是实现人与人之间直接的在线通信。 ■ 文件共享网络——主要目标是共享存储一类的资源。 P2P 通信通常使用 TCP 端口 80, 该端口常用于 HTTP 传输, 因此对外的连接是 开放的。虽然有许多专用的 P2P 协议,但 P2P 通信经常嵌入在 HTTP 传输中。 在这种情况下,只进行是否遵循协议检查的防火墙将允许 P2P 会话(因为该会话 使用标准 HTTP) 。由于 HTTP 常用于 Web 传输,因此防火墙应该阻隔或仔细监 测嵌入在 HTTP 传输中的 P2P 通信。 许多组织出于安全、带宽和法律原因希望阻隔或限制 P2P 传输。安全问题之所以
-2-

被提出,源于 P2P 通信的设计允许进行文件传输、聊天、游戏、语音和发送电子邮 件,同时也用于绕过防火墙、病毒检测、登录和跟踪。结果,黑客们能够利用 P2P 作为攻击载体进入网络。安全网关应该阻隔未授权的 P2P 传输,换句话说,安全 网关应该选择性的允许已授权的 P2P 传输。 ? 目录遍历目录遍历攻击使黑客能够访问那些不应该进行访问的文件和目录,同时 能导致他们试图访问未授权的资源,在 Web 服务器上运行非预期的可执行代码。 大部分的这些攻击是基于文件系统中的“..” 符号。防火墙应该阻隔这样一些请求 ——在这些请求中,URL 包括符合语法但不符合预期用法的目录请求。例如, http://www.server.com/first/second/../../.. 就应该被阻隔,因为它试图进入 根目录的更深层。 ? HTTP 头信息长度过长 HTTP 标准没有限制头信息的长度。但是,过长的头信息 长度会偏离正常或预期的 HTTP 用法。 应该阻隔或减少过长的头信息长度, 以减少 缓冲溢出的机会;因此,应该严格限制可以插入的代码长度。 3)限制应用程序携带恶意数据的能力即使应用层通信遵循协议,它们仍会携带可 能破坏系统的数据。这样,安全网关必须提供一种机制,它能够限制或控制应用程 序将潜在的危险数据或命令引入内部网络的能力。例如: ? 跨网站脚本攻击脚本为攻击应用程序提供一个共同的机制。尽管大多数脚本是无 害的,不设防的用户还是能够很容易并且在无意识的情况下执行恶意的脚本。这些 脚本经常隐藏在看起来无害的链接中,或伪装成电子邮件卡片。一个普通的恶意脚 本的例子出现在跨网站脚本攻击中(XSS) 。通过特殊技巧处理的 URL,使跨网站 脚本攻击可以利用用户和网站之间的信任关系。攻击的意图是盗窃包含用户身份和 信用在内的 cookies ,或欺骗用户为攻击者提供信用。通常,一个跨网站脚本攻 击由 HTTP 请求中嵌入的脚本发起, 用户在无意中将请求发送给可信任的网站。 为 了保护 Web 服务器,安全网关应该具有检测和封锁包含危险脚本代码的 HTTP 请求的能力。 ? 限制和阻隔潜在的恶意 URL 恶意数据还可以将本身嵌入 URL 从而进入内部网 络。例如,应用程序(电子邮件客户端)可以自动执行嵌入 HTML 的 URL 。如 果 URL 是恶意的,网络或用户的系统将受到破坏。对潜在的恶意 URL 的访问应 被阻隔和限制。 ? 检测和阻隔攻击特征安全网关应该对所有的数据流执行内容过滤,以检测和阻隔 有可能带 有攻击和蠕虫等危险的数据模式。4)控制应用层操作不仅应用层通信可以将恶意 数据引入网络,应用程序本身也可能执行未授权的操作。一个网络 安全解决方案必须有能力通过执行“访问控制”和“合法使用”检查来识别和控制这样 的操作。这种安全级别需要具有在细微处区分应用程序操作的能力。例如: ? Microsoft 网络服务网络安全解决方案可以使用 CIFS (基于 Microsoft 的通 用 Internet 文件系统)的许多参数来实现安全策略。在 CIFS 支持的这些功能中,包括文件和 打印共享操作。以这些操作的使用为例,安全网关应该有能力区分和阻隔那些来自 用户或系统未被授权的文件共享操作。相反,来自同一用户的打印共享操作可能被 允许和接受。提供这一高级的安全控制级别需要对 CIFS 的彻底理解,同时也需要 具有控制应用层协议组件的能力。 ? FTP 防火墙应该对特殊的文件名设置连接限制,并且控制像 PUT 、GET 、
-3-

SITE 、REST 和 MACB 这样潜在危险的 FTP 命令。例如,安全策略可能对所 有包含单词“payroll” 的文件需要进行操作限制。 网络和传输层:Application Intelligence 的必要基础 Application Intelligence 本身的形式与应用级防护相关联。然而实践中,许多针 对网络应用程序的攻击实际上均指向网络层和传输层。黑客们以攻击这些较低层为 手段来访问应用层,并最终达到攻击应用程序和数据本身的目的。同时,以较低层 为目标,攻击可以中断或拒绝合法的用户和应用程序服务(如 DoS 攻击) 。基于上 述原因,Application Intelligence 和其他网络安全解决方案不仅必须要解决应用 层问题,还要解决网络及传输层安全问题。 网络层安全 防止恶意的网络层协议操作(如 IP、ICMP )对于多层安全网关来说至关重要。攻 击网络层的最普遍的载体是互联网协议 (IP) 它的一系列的服务都驻留在网络层中。 , 网络层存在许多的危险和攻击,例如: ? IP 碎片 IP 碎片可用于发送和伪装攻击以避免检测。 这项技术利用了 IP 协议本 身固有的弹性机制(RFC 791 和 RFC 815) ,将攻击有意的分解为多个 IP 包, 因此它们可绕过那些不能进行 IP 包重组的防火墙。另外,IP 碎片可以通过不完整 碎片序列发送 DoS 攻击。 ? Smurfing (smurf 攻击) ICMP 允许一个网络结点向其他网络结点发送 ping 或 echo 请求,以确定它们的操作状态。这种能力可用于发起“smurf” DoS 攻击。 由于标准 ICMP 与响应请求不匹配,因此 smurf 攻击是可能的。这样,攻击者可 以发送一个带有虚假源 IP 地址的 ping 命令以访问到一个 IP 广播地址。 IP 广 播地址可以到达特定网络中的所有 IP 地址。所有在已连通的网络中的机器将发送 echo 回复给虚假的源 IP。 过多的 ping 和响应能够使网络性能集聚下降, 导致无 法提供合法的传输访问。 此类攻击能够通过去掉不匹配的请求被阻隔, 例如, Check Point 的 Stateful ICMP 即可执行并监测到这一点。 传输层安全就像网络层一样,传输层和它的通用协议(TCP 、UDP )为攻击应用 程序和数据提供了常用的接入点。传输层攻击和威胁实例如下: ? Non-TCP DoS Non-TCP (如 UDP 和 ICMP)DoS 攻击能够完全控制关键任 务应用程序——例如 SMTP 、HTTP 、FTP 等,它们都使用了 TCP 传输。通过 保留用于 TCP 连接的状态表专有部分及系统资源,防火墙可以避免这些威胁。如 果非 TCP 连接试图利用过多的资源,TCP 连接将不受影响,因为它们已被保留或 由专有的系统资源操控。 ? 端口扫描端口扫描正如它的名字所述:黑客扫描目标主机上的一系列端口,希望 识别和利用运行应用程序的弱点。端口扫描执行的检查存在导致被攻击的危险。安 全网关必须能够发出警报,并阻隔或关闭扫描源的通信流量。 结论 防火墙已经成为网络安全基础架构的主要部分,这主要基于它们阻隔网络级攻击的 能力。防火墙的成功另一方面也使黑客们又开发出更加复杂的攻击方法。新种类的 攻击直接面向应用程序,经常试图利用应用程序本身固有的弱点或基本的通信协议 中的弱点。因此,需要使用多层安全网关来保护公司网络免受这些威胁。另外,多 层安全解决方案必须保护网络层和应用层免受攻击,提供对 IT 资源的访问控制。 Check Point Application Intelligence 具有一系列高级功能,与 Check Point FireWall-1 NG 和 SmartDefense 集成,能够检测和防止应用层攻击。Check
-4-

Point 针对越来越多直接针对关键应用的攻击行为,在业界提供了领先的安全解决 方案。 Check Point 多 层 安 全 性 : 攻 击 防 护 安 全 措 施 和 攻 击 阻 隔 具 有 Application Intelligence 的 FireWall-1 NG 能够阻隔许多攻击并提供大量攻击防护安 全措施。此表列出一些防护措施,并将其按照协议和 OSI 模型层次归类。注意: Check Point 将不断扩展提供防护的范围。这是一张简表,而不是详细的清单。 应用层/表示层

? ? ? ? ? ?

阻隔 Java 代码 ? 红色代码蠕虫和变异 去掉脚本标签 ? 尼姆达蠕虫和变异 去掉 applet 标签 ? HTR 溢出蠕虫和变异 去掉 FTP 链接 ? 目录遍历攻击 去掉端口字符串 ? MDAC 缓冲溢出和变异 去掉 ActiveX 标签 ? 跨网站脚本攻击

? 识别出伪装默认的标识? URL 过滤? 限制 URL 最大的长度? 限制 HTTP 响应 头信息的最大数量? 限制请求头信息的最大长度? 限制响应头信息的最大长度? 禁止 HTTP 响应头信息中的二进制字符? 禁止 HTTP 请求中的二进制字符? 验 证 HTTP 响应协议遵循情况? 阻隔用户自定义的 URL ? 限制最大的 GET 和 POST 长度 ? 恶意 URLs ? 用户自定义蠕虫和变异 HTTP 服务器 ? 限制 URL 的最大长度? 区分同一连接的不同的 HTTP v1.1 请 求? 限制响应头信息的最大数量? 限制请求头信息的最大长度? 限制响应头信息 的最大长度? 在 HTTP 响应头信息中禁止二进制字符? 在 HTTP 请求中禁止二 进制字符? 阻隔用户自定义的 URL ? 限制非 RFC HTTP 使用方法? 在非标准端 口加强 HTTP 安全(除 80 以外的端口)? 将传输流与用户验证的 SOAP 计划/ 模板比较 ? 编码攻击? 跨网站脚本攻击? 跨多个包的,基于 HTTP 的攻击? WebDAV 攻击? 用户自定义的蠕虫和变异? 分块传输编码攻击 SMTP ? 阻隔多重“内容类型”头信息? 阻隔多重“编码头信息”? 识别出伪装默认标 识? 限制不安全的 SMTP 命令? 头信息指向验证? 限制未知编码? 限制不包含发 送者/接收者域名的邮件信息? 限制特殊类型的 MIME 附件? 除去带有指定名称 的文件附件? 严格加强 RFC 821 和 822 ? ESMTP 命令监控 ? SMTP 邮件洪水 ? SMTP 蠕虫和变异? 扩展的中继攻击? MIME 攻击? SPAM 攻击(大量电子邮 件)? 命令验证攻击? SMTP 蠕虫有效载荷和变异? 蠕虫编码? 防火墙遍历攻击? SMTP 错误的拒绝服务攻击? 邮箱拒绝服务攻击(邮件过大)? 地址欺骗? SMTP 缓冲溢出攻击 RSH ? 辅助端口监控? 限制反向入侵 RTSP ? 辅助端口监控 IIOP ? 辅助端口监控 FTP ? 分析并限制危险的 FTP 命令? 阻隔定制的文件类型 ? 被动模式 FTP 攻 击? FTP 反弹攻击

-5-

? 识别伪装默认标识? 除去 FTP 参考 ? 客户和服务器反弹攻击? FTP 端口注入 攻击? 目录遍历攻击? 防火墙遍历攻击? TCP 分段攻击 DNS ? 限制 DNS 区域传送 ? DNS 请求不良包攻击? DNS 应答不良包攻击? DNS 请求缓存溢出 --未知请求/响应? 中间人攻击 Microsoft 网络 ? CIFS 文件名过滤(利用 CIFS 协议抵御蠕虫攻击)? 限制对 注册表的远程访问? 限制远程空会话 ? 怪物蠕虫? 尼姆达蠕虫? Liotan 蠕虫? Opaserv 蠕虫 SSH ? 增强 SSH v2 协议 ? SSH v1 缓冲溢出攻击 SNMP ? 限制 SNMP get/put 命令 ? SNMP 洪水攻击? 缺省团体攻击? 暴力攻 击? SNMP Put 攻击 MS SQL ? SQL 解析器缓冲溢出? SQL 监狱蠕虫 Oracle SQL ? 检验动态端口分配和初始化 ? SQLNet v2 中间人攻击 SSL ? 增强 SSL V3 协议 ? SSL V2 缓冲溢出 VoIP ? 校验协议域和值? 识别和限制 PORT 命令? 强迫强制域的存在? 强制用 户注册? 防止 VoIP 防火墙漏洞 ? 缓冲溢出攻击? 中间人攻击 X11 ? 限制反向入侵 会话层 攻击防护安全措施 攻击阻隔 RPC ? 阻隔 RPC portmapper 使用 ? ToolTalk 攻击? snmpXdmid 攻击? rstat 攻击? mountd 攻击? cmsd 攻击? cachefsd 攻击 DEC-RPC ? 阻隔 DCE-RPC portmapper 使用 HTTP 代理 ? HTTP 代理执行:增强代理模式下的 HTTP 会话逻 辑 ? 根据证书撤消列表验证使用的数字证书 ? IKE 暴力攻击 ? 监控预共享密钥弱点 ? ? ? ? ? 集中和星型拓扑攻击 IKE UDP DoS 攻击 Windows 2000 IKE DoS 攻击 VPN IP Spoffing 攻击 VPN 中间人攻击

传输层 攻击防护安全措施 攻击阻隔 TCP ? 加强 TCP 标记的正确用法? 限制每个源会话? 强制最短的 TCP 头信息长 度? 阻隔未知协议? 限制无 ACK 的 FIN 包? 使头信息中标识的 TCP 头信息长 度不长于在头信息中标识的包长度? 阻隔状态包? 验证第一个连接包是 SYN ? 执 行 3 路握手:在 SYN 和 SYN-ACK 之间,客户只能发送 RST ? 执行 3 路握 手措施: SYN 和连接建立之间, 在 服务器只能发送 SYN-ACK 或 RST ? 在 FIN
-6-

或 RST 包相遇之前,阻隔已建立连接上的 SYN ? 限制旧连接上的服务器到客户 的包? 如果包包含 SYN 或 RST,则除去属于旧连接的服务器到客户包? 强制最 小的 TCP 头信息长度? 阻隔 TCP 碎片? 阻隔 SYN 碎片? 抢夺 OS 指纹 ? ACK 拒绝服务攻击? SYN 攻击? Land 攻击? Tear Drop 攻击? 会话劫持攻击? Jolt 攻击? Bloop 攻击? Cpd 攻击? Targa 攻击? Twinge 攻击? 小型 PMTU 攻击? 会话劫持攻击 (TCP 序列号操作) 跨多个包的, ? 基于 TCP 的攻击? XMAS 攻击? 端口扫描 UDP ? 校验 UDP 长度域? 匹配 UDP 请求和应答 ? UDP Flood 攻击? 端口扫 描 网络层

? 强制 IP 头信息中标识的包长度不长于实际的包长度 ? IP 碎片拒绝服务攻 ? 抢夺 OS 指纹 击 ? 控制 IP 选项 ? 松散源路由攻击 ? 严格源路由攻击 ? IP 欺骗攻击 ? 阻隔大 ICMP 包 ? Ping-of-Death 攻击 ? 限制 ICMP 碎片 ? ICMP Flood ? 匹配 ICMP 请求和应答 安全虚拟网络架构 所有的 Check Point Software 产品均建立在我们的“安全虚拟网络 (SVN ) 架构” 之上,它可通过 Internet 、内部网和外部网环境为用户、网络、系统和应用程序 提供安全和无缝的连接。Check Point Software 的 SVN 解决方案可通过遍布全 球的业界领先的零售商和服务提供商处获得。 CheckPoint FireWall-1® 特性: Check Point FireWall-1® 是行业领先的 Internet 安全解决方案,它提供 最高级别的安全性,同时附带访问控制、内容安全、身份验证以及集成的网络地址 转换 (NAT) 功能。 只有 FireWall-1 能够提供真正的 Stateful Inspection 技术, 它支持行业内最广范围的应用程序集,包括 IP 电话(VoIP)和多媒体应用程序。 FireWall-1 也是第一个支持 XML/SOAP 和 Microsoft Common Internet File System(CIFS )的企业防火墙。此外,开放式安全性平台(OPSEC?)认证产 品为客户提供了空前广阔的选择空间,可以选择诸如入侵检测和内容安全之类的产
-7-

品来扩展他们的防护。 FireWall-1 和 FireWall-1 SecureServer 提 供 真 正 的 企 业 防 护 , 可 以 通 过 OPSEC 认证的应用程序进行扩展。 产品优点: ● 为您的商务提供最大限度的安全保护 ● 简化企业范围的安全部署和管理 ● 利用最佳的解决方案构造灵活的安全基础设施 ● 提供了多千兆位防火墙性能 ● 为各种规模的网络提供了空前广泛的平台选择 产品特性: ● 基于 Stateful Inspection 的访问控制 ● 集中的、基于策略的管理 ● 可以通过范围广泛的 Check Point 和 OPSEC 产品进行扩展 ● 通过 SecureXL 获得市场领先的性能 ● 范围广泛的转钥硬盒子和开放式服务器平台无与伦比的安全保护 FireWall-1 为 全球财富 100 强中 93% 的企业和全球财政机构财富 500 强中超过 91% 的 企 业提供安全保护。只有发明 Stateful Inspection 技术的 Check Point 才能提供 真正的 Stateful Inspection ——能够跟踪所有通信的状态和上下文,从而实现真正完善的网络保 护。广泛的应用支持 FireWall-1 凭借对超过 150 个预定义的应用和现有协议的 支持,提供了业内最广泛的应用支 持。示例: ● Microsoft CIFS ● SOAP/XML ● ● ● ● ● 即时消息发送和点对点应用 Windows Media 、RealVideo 和会话发起协议(SIP) 基于 H.323 的服务,包括 IP 语音技术(VoIP )和网上会议(NetMeeting) SMTP 、FTP、HTTP 和 telnet 信息流 Oracle SQL 和 ERP

FireWall-1 不断发展以支持新的商务需求, 因此一直在行业内居于领先地位。 作为 第一个支持 Microsoft CIFS 的防火墙, FireWall-1 为文件和打印服务器提供了粒 度访问控制, 从而使您能够确保它们不会受到未经授权的使用。 利用 FireWall-1 , 您能够限制在特定服务器上浏览或发布文档的人员。作为第一个可以检查 SOAP/XML 并且能够终止 SSL 连接的防火墙,使用 FireWall-1 就可以不必再 部署一个单独的基础架构来确保 Web 服务的安全。 对 FireWall-1 的不断创新意味着该产品能够为您的组织提供最高级别的安全性。 即使在公共端口运行 Web 应用程序(例如,即时消息发送和点对点应用程序)时, FireWall-1 也能检查它们。 它是真正的安全基础设施基础, 您可以通过一个可选的
-8-

UserAuthority 模块来添加单点登录功能,从而扩展 Web 应用程序和 CIFS 安 全性。防御已知的和新的威胁 在今天的环境中, 集中防御已知的和新的 Internet 威胁日益重要。 FireWall-1 包 含了 SmartDefense? 技术以保护您的公司免受各种类型的网络攻击——包括简 单的包损坏以及极具破坏性的高级别攻击。例如,SmartDefense 自动阻隔并记 录过大的数据包、SYN 洪水和碎片攻击。SmartDefense 还可以管理网络容量以 及为关键任务的 TCP 连接(如 Email 和 Web 信息流)保留防火墙容量,从而 减轻遭受拒绝服务(DoS )和分布式拒绝服务(DDoS )攻击的风险。 为了进一步防御新的威胁及可能的变种,可选的 SmartDefense 服务通过在线的 Check Point SmartDefense 攻击中心提供实时的攻击信息和防御更新。 粒度内容安全 FireWall-1 应用智能能够使您根据来源、 目的地、 用户特权和时间来控制对特定的 HTTP 、SMTP 或 FTP 资源的访问。FireWall-1 SmartDefense 技术提供应用 级的检查以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击。 您 可以选择范围广泛的 OPSEC 认证产品,添加防病毒扫描、URL 过滤和 Java 安 全性等功能。 SmartDefense 运用智能安全技术,主动保护公司免受所有已知的和未知的网络 攻击。 灵活的验证 在允许用户访问敏感的网络资源之前,组织必须确认其身份。通过 FireWall-1 可 以在一个安全策略中集成大量的身份验证解决方案,包括 FireWall-1 和 LDAP 存储口令、基于令牌的产品、RADIUS 、TACACS+ 和 X.509 数字证书。 集成的网络地址转换 FireWall-1 提供 NAT 以隐藏内部网络地址。通过与 Stateful Inspection 技术 集成, FireWall-1 能够根据网络拓扑信息自动生成静态和动态的 NAT 规则。 SMART 管理 Check Point 安全管理架构(SMART?)解决方案能够使您将单个防火墙策略部 署到无限数量的 FireWall-1 网关并对其进行集中式管理。一旦创建或修改了策略, 它就被自动分发到所有的位置。 SMART 用户界面 SmartDashboard? 包含在集中式 SMART 管理解决方案中, 它提供了一个唯一 的用户界面,用于为多个 Check Point 产品创建和部署策略,从而简化管理。这 使您能够将 FireWall-1 和 NAT 策略作为一个总体安全策略的一部分来管理,这 个总体安全策略包括 VPN 、客户端安全性和 QoS 管理。可在所有应用程序中共 享所有的对象定义(例如:用户、主机、网络和服务等等) ,以便进行有效的策略创 建和安全管理。 SMART 状态与审核 SmartView Status?和 SmartView Tracker? 包含于集中式的 SMART 管理 解决方案。SmartView Status 能够监控 FireWall-1 以及其它 Check Point 和 选择的 OPSEC 产品的系统状态。SmartView Tracker 能够为 Firewall-1 网关 记录的所有连接提供实时的图像化跟踪、 监控和统计信息。 SmartView Tracker 还
-9-

记录管理员对配置错误进行快速排除的操作。 此外, 管理员还可以使用 SmartView Tracker 搜索或过滤日志以快速定位或跟踪事件。 线速安全性 FireWall-1 通过正在申请专利的 SecureXL? 技术为各种规模的机构提供市场 领先的性能/价格比。支持 SecureXL 的解决方案可在各种构成因素(包括支持 SecureXL 的硬盒子、可选的防火墙和 VPN 加速卡以及一个可选的性能包软件模 块)中获得,以满足部署需求。此外,对于可能发生 Internet 链路拥塞的环境来 说,可选的 FloodGate-1® 模块将提供灵活的服务质量管理。FloodGate-1 可以在 FireWall-1 网关上运行,它确保关键业务信息流(如 VPN 、数据库和 Web 服务信息流)具有最佳的性能。对于 VoIP 和多媒体信息流的其他控制, FloodGate-1 还提供低延迟排队。 不间断的安全性 对于那些寻找先进的高可用性和负载平衡的客户,Check Point 提供了一个可选模 块——ClusterXL?。ClusterXL 能够通过集群网关分配各种类型的信息流。如果 一个网关变为不可访问,所有新的和正在进行的连接都会无缝地重定向到剩余的集 群成员。ClusterXL 驻留在网关中,不需要额外的硬件投资,并且很容易通过 SmartDashboard 进行配置。 SECUREVPN FireWall-1 包 含 在 Check Point 行 业 领 先 的 虚 拟 专 用 网 络 解 决 方 案 VPN-1® Pro? 之中。通过 Check Point VPN-1/FireWall-1 对 VPN 信息 流应用安全规则, 以保证网络安全绝对的完整性。 FireWall-1 安装可以很容易地升 级到 VPN-1 。 SmartDefense 安全虚拟网络架构 您面临的挑战: 各种组织正面临着来自 Internet 不断增加的各种攻击的危险。随着这种威胁日益 增加和日渐严峻,安全管理者需要加强警惕性以积极巧妙地阻隔 Internet 攻击。 一个健壮、可靠的安全解决方案,不仅要有巧妙阻隔所有攻击的智能,而且能为安 全管理者提供有关攻击的详细资料。有用的数字侦察信息结合实时的安全更新,可 提供更好的防火墙安全并保护组织免受来自 Internet 的威胁。 我们的解决方案: Check Point Software 的 SmartDefense? 引入了一种新型的 Internet 安 全产品:主动防御解决方案。SmartDefense 包含在 FireWall-1® 中,它采 用了智能安全技术主动保护组织免遭所有已知和未知的网络攻击。SmartDefense 采用 Check Point 获专利的状态检测(Stateful Inspection )技术,通过分类和分级阻隔攻击,并提供了一个独立的、集中式的 控制台来获取攻击的实时信息,以及进行攻击检测、阻隔、日志、审核和警报。 产品特性: ●与 FireWall-1 完全集成 ● 通过分类和分级阻隔攻击 ● 在线安全更新 ● 实时记录攻击细节和数字侦察信息 产品优点:
- 10 -

● ● ● ●

增强的网络安全性 检测和防卫所有的网络攻击 确保攻击防卫是最新的并保持整个安全环境的一致 增强了对攻击的了解和控制

SmartDefense 运用智能安全技术,主动保护组织免受所有已知的和未知网络的 攻击。 集中式控制防范攻击 SmartDefense 为安全管理者应对攻击提供了独立的、集中式的控制。它可挫败 范围广泛的各种攻击类型,包括拒绝服务攻击(DoS) 、IP 攻击、网络侦测、Web 和应用程序弱点。另外,它集中配置报警、追踪和审核,从而提供了一个全面的网 络防卫。 在线更新 Check Point 提 供 一 项 可 选 的 SmartDefense 更 新 服 务 , 以 确 保 SmartDefense 客户能够获取 关于新出现的攻击的最新信息。这些在线更新扩展了 SmartDefense 的能力,提 供了基于硬件和基于 ASIC 的防火墙无法提供的响应级别和灵活性。 实时攻击信息 SmartDefense 的用户界面包括攻击的后台详情,并有超链接指向攻击的种类和 特性的更多信息。通过 Check Point 丰富的日志数据和分布于分支结构中的日志, 提供了有价值的攻击的数字侦察信息。这些数据为安全管理者提供有关攻击种类和 潜在响应的信息,增强了他们对网络攻击的理解和控制。 被抵御的网络攻击 拒绝服务(DoS )攻击 ● SYN 洪水攻击 ● LANd IP 攻击 ● IP 欺骗 ● IP 片段 ● 非法和残缺的包 Web 和应用程序弱点 ● DNS 攻击 ● 违反协议 ● 特殊应用程序弱点 ● 特洛伊木马程序 ● 后门和远程管理 ● 移动代码(JavaScript 、Active-X) ● 隐藏的文件扩展名 网络侦测

- 11 -

● 端口扫描 ● 服务扫描 HTTP 蠕虫 * ● 红色代码 ● htr 溢出 ● 尼姆达病毒 * 其他的蠕虫将在它们出现时添加 2、Nokia 硬件防火墙介绍: z 采用硬件防火 墙,便于机架安装,符合国际通用的电气标准 Nokia 防火墙为基于网络处理器 NP 的硬件防火墙,标准 19 英寸设备,便于机架 安装,符合国际通用的电气标准。其具体产品参数请参见附件。z 防火墙的可升级 性,更新的操作系统或软件必须支持以往的平台 Nokia 防 火 墙 操 作 系 统 为 安 全 路 由 操 作 系 统 IPSO , 其 防 火 墙 应 用 系 统 为 CheckPoint 系列, 均有良好的可升级性, 更新的操作系统或软件支持以往的平台。 z 防火墙的兼容性,是 OPSEC 组织的成员,和世界大多数厂家产品有良好的兼容 性 OPSEC(Open Platform for Security )是 Nokia 、CheckPoint 等公司倡 导成立的国际安全组织。OPSEC 它是当今全球网络安全方面最权威、代表最广泛 的组织,是国际安全厂家及组织的联盟,它们之间提供 SDK 级别的互通互联特性, 既它们之间的产品可以通过这个标准的 SDK 接口进行互通。OPSEC 目前已经有 超过 325 个厂家的加入,各厂家包括了信息安全的各个领域,包括:防火墙,入 侵检测,包括 ISS,Enterasys 等,内容安全,PKI ,认证,管理,审计。 目前为止, OPSEC 有包括 300 多家经过严格授权的、 致力于网络安全各方面研究 的软件和硬件合作厂商。它以成为网络安全开放式平台事实上的标准。如,入侵检 测采用 SAMP(Suspicious Activity Monitorng Protocol) ,SAMP API 定义了 入侵检测应用同 VPN-1/Nokia 防火墙通信的接口。入侵检测引擎使用 SAMP 来 识别网络中的可疑行为,并通知防火墙处理。另外 SAMP 应用可以使用其他 OPSEC 接口和 API 来发送日志、告警和状态信息到 VPN-1/Nokia 防火墙管理 服务器。因此,采用 Nokia 的防火墙,就可以非常顺利的与其他信息安全产品良好 的进行集成,从而建立一个完整的信息安全系统。z 至少提供四个以上端口,能够 支持多种类型网络接口,接口的电器特性符合国际国内相 关标准. Nokia IP380 ,其标准配置就带有 4 个 10/100M 以太网接口。同时分别带有 2 个扩展插槽,可根据需求扩展相应的接口模块,接口模块的种类包括:2 端口 10/100M 以太网,具备 CSU/DSU 的 T1/E1,V.35/V.21,ISDN-BRI 。 以上产品的所有的接口均符合国际及国内的相关标准。z 防火墙内部核心技术应采 用国际最先进的状态监测技术 Nokia 防火墙中采用的是 CheckPoint 获得专利的第三代防火墙技术状态检测 Stateful Inspection 。能够提供更安全的特性。状态检测是防火墙的第三代核心 技术,也是最新的防火墙核心技术,最初由 CheckPoint/Nokia 发明,并获得美国 专利(专利号 5,835,726) 。状态检测相比于较早的包过滤及应用网关方式的技术 有较大的优势,包括更安全,性能更高、扩展性更好等。因此,目前,几乎所有的 防火墙产品均声称自己是状态监测类的防火墙,但实际上在实现时有些产品的实现
- 12 -

不完整。 为了提供更强壮的安全性,一个防火墙必须跟踪及控制所有通信的数据流。与传统 的包过滤不同的是,状态检测通过分析流入和流出的数据流,跟踪数据流的状态及 上下文,根据会话及应用的信息,实时确定针对该数据流的安全决策。状态及上下 文信息必须包括: ? 数据包头信息(源地址、目的地址、协议、源端口、目的端口、数据包长度) ? 连接状态信息(哪个端口为哪个连接而打开) ? TCP 及 IP 分片数据(如分片号、序列号) ? 数据包重装,应用类型,上下文确认(如该数据包属于哪个通信会话) ? 防火墙上的到达端口及离开端口 ? 第二层信息(如 VLAN ID) ? 数据包到达及离开的时间 根据安全策略实施对通过防火墙的数据流进行控制,允许通过或采取相应措施。防 火墙系统的安全规则,每一条表项都包括条件域、动作域和选项域,当有 IP 包进 入时,系统在安全策略中从第一个表项开始查起,如果符合,然后执行该表项指示 的动作,状态检测技术针对协议,抽取连接的状态信息,并建立状态连接表项。当 没有一条合适的表项时,系统的默认动作是拦截。 Nokia 全系列的防火墙均采用 Nokia 独有的运营商级安全操作系统 IPSO 。该操 作系统专门对其进行了优化,不但提高了运行的性能,关键是提高了安全性。一般 的开放操作系统拥有许多的网络服务,远程服务,而且可能存在一般用户不知道的 漏洞,这对防火墙自身的安全是很大的威胁。NOKIA IPSO 操作系统从设计上做 了大量的安全加强,保证防火墙自身的安全。IPSO 不带有任何不必要的 2 进制代 码和库结构,是一个安全紧凑的操作系统; IPSO 操作系统覆盖了已知的各种漏洞,并且不断致力于发现和覆盖新的漏洞。 在美国信息周刊(Information Week) 组织的操作系统的安全漏洞研究中,基于 Windows 的操作系统被发现至少 47 个安全漏洞, 基于 Linux 的操作系统有超过 50 个安全漏洞,而 IPSO 未被发现有任何安全漏洞。其原因正是因为 IPSO 是 Nokia 专门为安全应用所设计开发的操作系统。 防火墙需能够支持通常的路由模 z 式,也支持不需要改变现有网络拓朴结构的透明模式, 而且需能够同时支持路由模式与透明模式 Nokia 防火墙支持路由模式、NAT 模式及透明模式三种工作方式。并且三种模式 可同时工作。 支持以下一些常用协议:OSPF、RIP 、RIPII (路由协议),BGP-4,ARP, TCP/IP, IPX 、NETBEUI 、H.323v1/v2,UDP, ICMP, DHCP, HTTP, RADIUS, IPSec, MD5, SHA-1, DES, 3DES, IKE ,数字证书(X.509 V3) Nokia 防火墙支持上述协议,其详细信息请参见附件产品说明。z 防火墙的访问控 制可以基于协议、端口、日期、源/目的 IP 等规则 Nokia 防火墙不仅能够实现基 于协议、端口、日期、源/目的 IP 等规则,还具有其他更灵活丰富的规则设置,包 括对 VLAN 信息、用户信息、时间段 VPN 加密,病毒扫描,邮件过滤,网页过滤 等规则。 Nokia 防火墙支持超过 150 个预定义的应用、服务和现有的协议,包括一些最常 用的应用,如 HTTP、SMTP 、FTP 和 telnet 。此外,Nokia 防火墙还支持一 些重要的商业应用软件(如 Oracle SQL) 、多媒体应用软件(如 RealVideo 和
- 13 -

Windows Media ) 以 及 基 于 H.323 的 服 务 ( 如 Voice over IP 和 NetMeeting) 。等等。 支持多种用户认证类型,包括:防火墙本地认证,第三方 的 RADIUS 认证和 RSA SecurID 认证 z NOKIA 网络安全平台支持用户认证, 会话认证,客户端认证三种防火墙本地认证。Check Point 的开放式体系结构允许将大量的身份验证解决方案集成到一个企业范围的安 全策略中,包括 Nokia 防火墙口令、智能卡、基于令牌的产品(如 SecurID) 、 LDAP 存储的口令、RADIUS 或 TACACS+ 身份验证服务器和 X.509 数字证 书。 防火墙能够提供 VPN 加密功能, VPN 加密有防火墙到防火墙和用户到防火墙两 种方式.okia 防火墙支持 VPN 加密功能,支持端到端的 VPN 隧道连接(防火墙到 防火墙)及客户到端的 VPN 隧道连接(移动用户到防火墙) 。可以提供数据加密的 新的高级加密标准 (AES) Triple DES 算法、 、 DES 算法、 FWZ-1 算法、 DES-40 算法、CAST-40 算法多种算法。z 防火墙内置入侵检测功能 Nokia 全系列防火墙均内置入侵检测功能 SmartDefense 能够与第三方安全 产品进行很好的联动,尤其是与 IDS (入侵检测系统)产品的联动,最大限度的 提高整个系统的安全性 z Nokia 防火墙能够很好的与各种入侵检测系统互动, 能够 最大限度的提高整个系统的安 全性。 实际上, Nokia 一直致力于提供给用户尽量完整的安全系统, 如在同样的 Nokia 平 台上,可运行防火墙、美国 ISS 入侵检测系统、TrendMicro 病毒/内容检查系统 等多种安全应用, 各安全系统可在 Nokia 统一的管理系统下进行管理, 可实现各安 全部件之间的互动。z 支持内容过滤,可以过滤 URL 地址、Java Script 、Active X 控件和 ftp 控制命令(get, put) 、畸形 IP 攻击包、ICMP 恶意代码包,另外还能设置收件发件人邮件地址过 滤和大邮件过滤策略 NOKIA 防火墙可以通过其集成的内容安全能力使用户免受病毒、恶意 Java 和 ActiveX applet 及不需要的 Web 内容的攻击。对于每个通过 Nokia 防火墙安 全服务器建立的 HTTP 、SMTP 或 FTP 连接,网络管理员可以更详细地来控制对 特定资源访问。例如,访问可以控制到具体的 Web 页面及活动、FTP 文件以及操 作(例如,PUT/GET 命令) 、SMTP 的专用标题字段等等。可对如 e-mail 附件大 小、文件类型等进行检查,并可进行拒绝及转发等服务。 同时 Nokia 防火墙还可通过 OPSEC 的 SDK 接口与专门的内容过滤系统互动, 进行更细致的内容检查。z 支持动态和静态地址翻译(NAT) 功能 NOKIA 防火墙支持动态和静态地址翻译(NAT) 功能,并且无数量限制。 Nokia 防火墙使用强大的、易于管理的网络地址翻译(NAT)在 Internet 上隐藏 内部网络地址--避免将它们泄漏为公众信息。通过集成 Stateful Inspection 技 术 , Nokia 的 NAT 实 现了 业界 最安全 的地 址翻 译, 而且它 支持 范围 广泛 的 Internet 服务。 根据网络管理员在建立对象 (如主机、 网络和网关) 时提供的信息, Nokia 防火墙自动生成静态和动态的翻译规则。z 防火墙支持基于服务器轮流、负 载优先、随机选取等算法的负载均衡技术,均分服务访 问负载 Nokia 防火墙支持组件提供服务器的负载平衡功能,提供方式包括服务器负载 (Server Load) 、域名平衡(Domain Name) 、最快响应时间(Round Trip Delay) 、服务器轮询(Round Robin) 、随机选取(Random )等。z 支持高可
- 14 -

用性,提供双机热备功能 Nokia 可以通过 4 种方式提供防火墙的高可靠性 HA: z 标准的 VRRP 协议(RFC2338) z 动态路由协议 z 四层交换机 z 有的 IP Cluster 技术 在上述 4 种方式中,IP Cluster 技术是目前防火墙负载均衡技术中最先进的一种。 这主要是因为它克服了以往防火墙 HA 技术的许多不足之处。 如, 采用 VRRP 协议 实现 HA 的主要问题在于,HA 的 2 台防火墙是工作在一主一备的工作模式下,2 台防火墙实际上只有 1 台在工作,无法做到负载均衡。这对于用户的投资而言是很 大的浪费。其主要原因是受限于 VRRP 协议本身,其定义的工作方式只有“一主一 备”。 而采用动态路由协议或四层交换机方式的问题是,它们均需要对网络结构或配置进 行修改,这使防火墙 HA 受到了许多限制。 而 Nokia 独有的 IP Cluster 技术则克服了上述问题,其典型特点包括: 实施 IP Cluster 无需对网络的配置进行修改 最多可 4 台防火墙组成一个 Cluster ,而通常 VRRP 只能够 2 台 在 Cluster 中的防火墙是工作于负载均衡模式,所有的防火墙均正常工作。 动态负载均衡。当 Cluster 中的某一台出现故障时,其负载将自动的平均分配到 Cluster 中的其它防火墙中。 切换速度快, 小于 1 秒。 并且当前运行的 session 不会中断。 这是因为 IP Cluster 技术保证了 Cluster 内所有防火墙的状态链接表是完全一致的。 因此,Nokia 能够提供技术能够提供功能更强大,应用更灵活的 HA 解决方案。而 传统的 VRRP 方式则存在一定的问题。z 支持动态负载均衡技术 Nokia 防火墙支持动态负载均衡技术 z 防火墙支持网络流量监视和 CPU 负载统 计 NOKIA 防火墙集成 SmartView Monitor 组件,性能数据由网关执行点收集并连 续不断地传输到 Check Point 中央管理服务器。该管理服务器将数据进行整合和 分析之后,通过 Check Point 的集成管理客户端进行显示。VPN-1 和 Nokia 防 火墙中的用户可以在得短时间内启动并持续运行 SmartView Monitor , 而无需部 署新的硬件或了解一个新的用户界面。与专门的网络监控方案相比,这样的集成可 降低成本和复杂性。z 支持本地管理和远程管理,远程管理必须保证其安全性,系 统管理员支持 X.509 证书认 证或动态口令认证 NOKIA IP 网络安全平台支持本地管理和远程管理方式。本地管理和远程可以通过 WEB 界面(通过 SSL 加密) ,和 Visual Policy Editor 策略编辑器(内部认证) 管理。同时 Nokia 防火墙还支持 SSHv1v2 ,保证了远程管理的安全性。z 审计 日志功能,支持对日志的统计分析 NOKIA 防火墙的组件 SmartView Reporter 提供日志分析和统计,并可根据客 户定义的时间,排位,内容,生成数据表格、图形报告。 Nokia 防火墙图形化的 Log Viewer 为 Nokia 防火墙执行点记录的所有连接提 供实时的可视化跟踪、监控和统计信息。此外,它还记录管理员的活动(如,修改 对象定义或规则) 这可极大地缩短排错所需的时间。管理员可以执行搜索或过滤 ,
- 15 -

日志记录来快速定位和跟踪感兴趣的事件。 一旦发生攻击或者其他可疑的网络活动, 管理员可以使用 Log Viewer 来临时或永久终止特定 IP 地址的连接。可选择的 Reporting Module 使管理员可以将详细的 Nokia 防火墙日志转换为可操作的管 理报告,使用简单直观的表和图形表示信息。可以使用预定义和自定义的报告模板 来生成报告。z 支持网络流量控制和带宽监控功能,分析和分配不同类型的网络通 信使用的带宽,可以 按照 IP 地址、应用分类和时间段划分优先级,访问控制和流量过滤的策略支持用 户自 定义 Nokia 防火墙支持上述流量控制及带宽控制功能,可以按照 IP 地址、应用分类和 时间段划分优先级, 访问控制和流量过滤的策略支持用户自定义。 实时告警功能, z 对防火墙本身或受保护网段的非法攻击支持多种告警方式如 SNMP 告警、 EmaiL 告警、日志告警等等 Nokia 防火墙支持强大的告警功能,如遇攻击将可通过多种手段报警,包括 SNMP TRAP 、电子邮件告警、日志告警等,同时还支持自定义的告警方式。z 防火墙支 持 VLAN 功能,支持对不同 VLAN 间数据包的阻隔 Nokia 防火墙支持 802.1Q VLAN ,支持对不同 VLAN 间数据包的隔离。 Nokia 所有防火墙的百兆端口均同时支持 10Mbps 和 100Mbps 速率。 支持 VPN 的硬件加速 z Nokia 防火墙支持 VPN 的硬件加速。z 支持 IP/MAC 绑定 Nokia 防火墙的 META IP 组件向用户和与网络连接的设备提供无缝的、容错性能 极佳地 IP 服务,可以实现 MAC 地址绑定功能,防止地址欺骗攻击。通过它们, IP 地址、网络设备和 IP 服务可得到有效控制,还可以保护基础设备,使它们免于 灾难性故障。Meta IP 是行业中第一个能够将基于策略的网络管理用于真正地以用 户为中心的网络解决方案。它的成功得益于两项独特的技术优势:一是“DEN” ( Directory Enabled Network ) 框 架 , 二 是 “UAM” ( User-to-Address Mapping? 用户-地址映射)服务。 诺基亚开发商联盟(Nokia Security Developers Alliance Program ) 诺基亚与 Check Point 的合作 诺基亚安全开发商联盟测试并批准满足客户要求的互操作应用,延伸了诺基亚所采 用的最佳解决方案的价值。 我们所选择的合作伙伴拥有能发挥协同效应的增值应用, 能保护和促进客户在诺基亚全面解决方案上的投资。诺基亚安全开发商联盟有权批 准产品进入诺基亚 IPSO 操作系统,同时通过全面的测试保证互操作性,使客户可 以彻底放心,使用起来更放心。目前提供的应用已经包括内容过滤、应用级安全、 数据安全保障、安全策略管理和报表分析、实时事件记录等,我们随时都在推出更 多应用。 Check Point 软件技术有限公司总裁 Jerry Ungerman "Check Point 很高兴与诺基亚合作,向市场提供卓越的互联网安全性解决方案。 Check Point 和 Nokia 一直在不断地刷新技术和创新的标准。我们与诺基亚的合 作关系是最长、最成功的关系,而且我们将努力在将来取得更大的成功。" 诺基亚公司总裁 Pekka Ala-Pietila "诺基亚很高兴与 Check Point 建立如此长期、紧密的工作关系。通过我们的合作, 我们能够提升世界级互联网安全性解决方案的标准。我们很高兴我们的战略伙伴关 系带来了明显的领先优势,这个领先地位也将随着两家公司继续共同创新,提供超 凡解决方案而不断深化。
- 16 -

诺基亚: Check Point 的首选平台 Check Point 首选诺基亚平台来运行其市场领先的互联网安全软件套件。基于长期的合作 和创新关系,诺基亚和 Check Point 新近拓展了其全球联盟并承诺继续保持在有线和移动互 联网市场上的领先地 位。 两家公司将双方的战略、工程、创新的优先选择,和在几乎所有商业级别上的资源 紧密结合起来,制造出首屈一指的解决方案。诺基亚提供一系列专门制造的平台, 满足从分散的公司环境到数十亿字节的数据中心的不同要求,同时提供快速实施的 管理工具和支持服务。Check Point 提供虚拟专用网(VPN )和防火墙应用,以及安全管理。 由此,创造了市场 领先的安全应用,结合了诺基亚 IP 安全平台的优势- 为提高可靠性、性 能和快速实施而预装的和预先配置的设备- 并且是为从基础到安全连接而全面设计的。 合作行动 诺基亚防火墙流( 诺基亚防火墙流(Nokia Firewall Flows )是诺基亚和 Check Point 共同开发努力的最显著 的成果。 的元素, 的成果。防火墙流结合了 Check Point 的 SecureXL performance API 的元素,可以减少每 个信息包的资源需求。 个信息包的资源需求。这极大的提高了在诺基亚 IP 系列上 运行的 Check Point FireWall- 1 的性能。 的性能。 3 方机构在小信息包吞吐量方面的测试结果显示, 第 方机构在小信息包吞吐量方面的测试结果显示, 运行在 IP 系列上的 F irewall-1 的防火墙系统。 的性能超过了其它基于 ASIC 的防火墙系统。 诺基亚和 Check Point 同时结合了诺基亚的 CryptoClusterT M 专利技术和 Check Point SecureXLT M 技术,在此基础上进行一系列高可用性和性能的提升。 技术,在此基础上进行一系列高可用性和性能的提升。 产品优势 - 诺基亚和 Check Point 开发的防火墙流能够最大限度的优化性能 - 客户化的平台,预先认可的软件使实施轻而易举 - 全面的产品服务于从分散的公司环境到数十亿字节的数据中心 国际安全联盟(OPSEC )整合优势 - 与其它安全产品良好的兼容性 - 新产品与现有的国际安全联盟产品的良好兼容 - 广泛的接受程度加强了客户的信心

- 17 -


相关文章:
NOKIA-CheckPoint.doc
NOKIA-CheckPoint - 1 、Check Point 产品介绍 所
NOKIA&Checkpoint安装配置手册.pdf
NOKIA&Checkpoint安装配置手册 - CheckPoint for NOKIA 配置过程 一、 checkpoint FP2 初始化配置过程: 二、Checkpoint Firewa...
6.Nokia+Checkpoint安装配置手册.doc
6.Nokia+Checkpoint安装配置手册 - Nokia+CheckPoint 防火墙安装配置手册 Nokia+Checkpoint 防火墙 安装 配置手 册 广州 中软 信息...
Nokia安全平台&CheckPoint防火墙操作手册.doc
Nokia安全平台&CheckPoint防火墙操作手册_IT/计算机_专业资料。Nokia安全平台smartconsole&CheckPoint防火墙操作手册 Nokia 安全平台 安全平台&CheckPoint 防火墙 操作手册...
02 网络安全(二级)-Nokia(CheckPoint)防火墙.pdf
02 网络安全(二级)-Nokia(CheckPoint)防火墙 - 测评实施过
Checkpoint防火墙基本操作和应急操作_图文.ppt
Checkpoint防火墙基本操作和应急操作 - Checkpoint防火墙基本
CheckPoint之间IPsecVPN一方不能主动建立隧道的问题.doc
CheckPoint之间IPsecVPN一方不能主动建立隧道的问题 - CheckPoint 之间 IPsecVPN 一方不能主动建立隧道的问题 前几天我公司与一家银行建立 IPsecVPN,...
8.CheckPoint防火墙Nokia平台安装手册.pdf
8.CheckPoint防火墙Nokia平台安装手册 隐藏>> 分享
CheckPoint产品线介绍_图文.ppt
CheckPoint产品线介绍 - Check Point产品线介绍 ?2010 Check Point Software Technologies Ltd. | [Confidentia...
Nokia防火墙配置手册v1.2.pdf
NOKIA,CheckpointNOKIA,Checkpoint隐藏>&g
8.CheckPoint 防火墙Nokia平台安装手册.doc
CheckPoint 防火墙 Nokia 平台安装手册 CheckPoint 防火墙 Nokia 平台 安装 手册 广州 中软 信 息技 术 有限 公司 广州中软信息技术有限公司 第 1 页共 8 页 ...
CheckPoint Seminar.doc
CheckPoint Seminar - CheckPoint Seminar
CheckPoint 防火墙 双机 HA 实施 方案.pdf
CheckPoint 防火墙 双机 HA 实施 方案 - 本文由no1moonboy贡献 doc1。 双CheckPoint 防火墙实施方案 目录 第...
中国移动CheckPoint_VPN安全配置手册.doc
2 Checkpoint VPN 适用环境及部署原则 2.1 适用环境 Checkpoint VPN 网关采用 NOKIA 防火墙 ,客户端采用 RemoteClient 软件,以安装在各种 Windows 操作系统上,括...
checkpoint防火墙组建ClusterXL+CoreXL+SecureXL.ppt
checkpoint防火墙组建ClusterXL+CoreXL+SecureXL_计算机硬件及网络_IT/计算机_专业...SecureXL (Accelerated Path) Hardware: (Nokia) ADP Software: ? ...
Nokia防火墙配置手册v2.0_图文.doc
第六章 常见维护任务第一节 管理员口令更改 Nokia 防火墙管理员账号包括 ipso 路由系统的账号和 checkpoint 防火墙账号, 其中 ipso 路由 系统的账号更改通过 ...
NOKIA防火墙运维手册v1.1_图文.doc
NOKIA IPSO 日常维护 CheckPoint NGX R61 日常维护 SmartCenter Server 日常维护 第5章 DMZ Switch 日常维护 前言 本手册包含 NOKIA Firewall IP1260 防火墙设备...
Checkpoint防火墙基本操作和应急操作_图文.ppt
Checkpoint防火墙基本操作和应急操作 - Checkpoint防火墙基本操作 Checkpoint防火墙基本操作 北京神州泰岳软件股份有限公司(ultr@power) 北京神州泰岳软件...
Nokia防火墙配置手册v2.0_图文.doc
Nokia防火墙配置手册v2.0_调查/报告_表格/模板_实用文档 暂无评价|0人阅读|0次下载|举报文档Nokia防火墙配置手册v2.0_调查/报告_表格/模板_实用文档。checkpoint ...
Nokia操作手册.pdf
本文档适用范围 出厂后首次设置 使用 web-voyager CheckPoint for NOKIA 安装 重新安装 IPSO 和所有安全软件包 恢复出厂状态 忘记密码解决办法 性能优化 FAQ 附录 ...
更多相关标签: