🥇检查点。它是什么，和什么一起吃，或者简单介绍一下主要内容

哈布尔的亲爱的读者们大家好！这是该公司的企业博客 TS解决方案。我们是一家系统集成商，主要专注于 IT 基础设施安全解决方案（检查点, Fortinet公司）和机器数据分析系统（Splunk的）。我们将首先简要介绍 Check Point 技术来开始我们的博客。

我们思考了很长时间是否值得写这篇文章，因为…… 没有什么新东西是在互联网上找不到的。然而，尽管信息如此丰富，但在与客户和合作伙伴合作时，我们经常听到同样的问题。因此，我们决定撰写有关 Check Point 技术世界的介绍，并揭示其解决方案架构的本质。所有这一切都在一个“小”帖子的框架内，可以说是一次快速游览。此外，我们会尽量不卷入营销战，因为…… 我们不是供应商，而只是一个系统集成商（尽管我们真的很喜欢 Check Point），并且只会简单地看要点，而不会与其他制造商（例如 Palo Alto、Cisco、Fortinet 等）进行比较。这篇文章相当长，但涵盖了熟悉 Check Point 阶段的大部分问题。如果您有兴趣的话，欢迎来到猫...

UTM/下一代防火墙

当开始谈论 Check Point 时，首先要解释什么是 UTM 和 NGFW 以及它们有何不同。我们将非常简洁地做到这一点，以便帖子不会太长（也许将来我们会更详细地考虑这个问题）

UTM-统一威胁管理

简而言之，UTM 的本质是将多种安全工具整合到一个解决方案中。那些。所有东西都装在一个盒子里或某种全包的东西。 “多种补救措施”是什么意思？最常见的选项是：防火墙、IPS、代理（URL 过滤）、流式防病毒、反垃圾邮件、VPN 等。所有这些都结合在一个 UTM 解决方案中，该解决方案在集成、配置、管理和监控方面更加容易，这反过来又对网络的整体安全产生积极影响。当 UTM 解决方案首次出现时，它们被认为是专门为小公司服务的，因为…… UTM 无法处理大量流量。这是有两个原因：

数据包处理方法。 UTM 解决方案的第一个版本按顺序处理每个“模块”的数据包。示例：数据包首先由防火墙处理，然后由 IPS 处理，然后由防病毒扫描，依此类推。自然，这种机制会带来严重的流量延迟并极大地消耗系统资源（处理器、内存）。
硬件薄弱。如上所述，数据包的顺序处理极大地消耗了资源，而当时（1995-2005）的硬件根本无法应对大流量。

但进步不会停滞不前。从那时起，硬件容量显着增加，数据包处理也发生了变化（必须承认并非所有供应商都具备）并开始允许同时在多个模块（ME、IPS、AntiVirus 等）中进行几乎同时的分析。现代UTM解决方案可以在深度分析模式下“消化”数十甚至数百千兆位，这使得它们可以在大型企业甚至数据中心领域使用。

以下是著名的 Gartner 2016 年 XNUMX 月 UTM 解决方案魔力象限：

这张图我就不多评论了，我只是说领导在右上角。

NGFW-下一代防火墙

这个名字不言而喻——下一代防火墙。这个概念的出现要晚于UTM。 NGFW的主要思想是使用内置IPS进行深度数据包分析（DPI）和应用程序级别的访问控制（Application Control）。在这种情况下，IPS 正是识别数据包流中的这个或那个应用程序所需要的，它允许您允许或拒绝它。示例：我们可以允许 Skype 工作，但禁止文件传输。我们可以禁止使用 Torrent 或 RDP。还支持 Web 应用程序：您可以允许访问 VK.com，但禁止游戏、消息或观看视频。从本质上讲，NGFW 的质量取决于它可以检测到的应用程序数量。许多人认为，NGFW 概念的出现是帕洛阿尔托公司开始快速增长的背景下的一种常见营销策略。

2016 年 XNUMX 月 Gartner NGFW 魔力象限：

UTM 与 NGFW

一个非常常见的问题是，哪个更好？这里没有明确的答案，也不可能有。特别是考虑到几乎所有现代 UTM 解决方案都包含 NGFW 功能，并且大多数 NGFW 包含 UTM 固有的功能（防病毒、VPN、防机器人等）。一如既往，“细节决定成败”，因此首先您需要决定您的具体需求并决定您的预算。根据这些决定，可以选择多个选项。一切都需要明确地进行测试，而不是相信营销材料。

反过来，我们将在几篇文章的框架中尝试介绍 Check Point、如何尝试以及原则上可以尝试什么（几乎所有功能）。

三个检查点实体

在使用 Check Point 时，您肯定会遇到该产品的三个组件：

安全网关（SG） — 安全网关本身，通常安装在网络外围，执行防火墙、流式防病毒、反僵尸程序、IPS 等功能。
安全管理服务器（短信） — 网关管理服务器。网关（SG）上的几乎所有设置都是使用该服务器执行的。 SMS 还可以充当日志服务器，并使用内置事件分析和关联系统 - 智能事件（类似于 Check Point 的 SIEM）来处理它们，稍后会详细介绍。 SMS用于集中管理多个网关（网关的数量取决于SMS型号或许可证），但即使您只有一个网关，也需要使用它。这里需要指出的是，Check Point 是最早使用这种集中式管理系统的公司之一，该系统连续多年被 Gartner 报告评为“黄金标准”。甚至有一个笑话：“如果思科有正常的管理系统，那么Check Point就不会出现。”
智能控制台 — 用于连接到管理服务器 (SMS) 的客户端控制台。通常安装在管理员的计算机上。管理服务器上的所有更改都是通过此控制台进行的，之后您可以将设置应用到安全网关（安装策略）。

检查点操作系统

说到 Check Point 操作系统，我们首先想到三个：IPSO、SPLAT 和 GAIA。

知识产权组织 - 诺基亚旗下 Ipsilon Networks 的操作系统。 2009 年，Check Point 收购了该业务。不再发展了。
斯普拉特 - Check Point自己开发，基于RedHat内核。不再发展了。
盖亚 - Check Point 当前的操作系统，它是 IPSO 和 SPLAT 合并的结果，融合了所有的优点。它于 2012 年出现并继续积极发展。

说到Gaia，应该说目前最常见的版本是R77.30。最近出现了 R80 版本，它与之前的版本有很大不同（在功能和控制方面）。我们将专门写一篇文章来讨论它们之间的差异。另外重要的一点是，目前只有R77.10版本有FSTEC证书，R77.30版本正在认证中。

执行选项（Check Point 设备、虚拟机、OpenServer）

这并不奇怪，与许多供应商一样，Check Point 有多种产品选择：

设备端 — 硬件和软件设备，即自己的“一块铁”。有许多在性能、功能和设计方面有所不同的模型（有工业网络的选项）。
虚拟机 — 采用 Gaia 操作系统的 Check Point 虚拟机。支持虚拟机管理程序 ESXi、Hyper-V、KVM。按处理器核心数量进行许可。
OpenServer的 ——直接在服务器上安装Gaia作为主要操作系统（所谓的“裸机”）。仅支持某些硬件。必须遵循针对该硬件的建议，否则可能会出现驱动程序和技术设备的问题。支持人员可能会拒绝为您提供服务。

实施选项（分布式或独立）

再高一点，我们已经讨论了什么是网关 (SG) 和管理服务器 (SMS)。现在让我们讨论它们的实现选项。主要有两种方式：

独立（SG+短信） - 当网关和管理服务器都安装在一台设备（或虚拟机）内时的选项。

当您只有一个网关且用户流量负载较轻时，此选项适用。这个选项是最经济的，因为... 无需购买管理服务器（SMS）。然而，如果网关负载很重，您可能会得到一个“缓慢”的控制系统。因此，在选择独立解决方案之前，最好咨询甚至测试该选项。
分布式 — 管理服务器与网关分开安装。

就便利性和性能而言，这是最佳选择。当需要同时管理多个网关（例如中央网关和分支网关）时使用。在这种情况下，您需要购买管理服务器（SMS），它也可以是设备或虚拟机的形式。

正如我上面所说，Check Point 有自己的 SIEM 系统 - Smart Event。您只能在分布式安装的情况下使用它。

工作模式（桥接、路由）
安全网关 (SG) 可以以两种主要模式运行：

已路由 - 最常见的选项。在这种情况下，网关用作 L3 设备并通过自身路由流量，即Check Point 是受保护网络的默认网关。
桥 — 透明模式。在这种情况下，网关被安装为常规“网桥”并通过第二层 (OSI) 的流量。当不可能（或不希望）更改现有基础设施时，通常使用此选项。您实际上不必更改网络拓扑，也不必考虑更改 IP 寻址。

我想指出的是，在桥接模式下，在功能方面存在一些限制，因此我们作为集成商建议所有客户使用路由模式，当然，如果可能的话。

Check Point 软件刀片

我们已经差不多谈到了 Check Point 最重要的话题，也是客户提出最多问题的话题。这些“软件刀片”是什么？刀片指的是某些检查点功能。

这些功能可以根据您的需要打开或关闭。同时，还有一些刀片仅在网关（网络安全）上且仅在管理服务器上激活。下图显示了两种情况的示例：

1）为了网络安全 （网关功能）

让我们简单描述一下，因为... 每个刀片都值得有自己的文章。

防火墙——防火墙功能；
IPSec VPN——构建私有虚拟网络；
移动访问 - 从移动设备进行远程访问；
IPS——入侵防御系统；
Anti-Bot - 防御僵尸网络；
防病毒 - 流式防病毒；
反垃圾邮件和电子邮件安全 - 保护企业电子邮件；
身份识别 - 与 Active Directory 服务集成；
监控——监控几乎所有网关参数（负载、带宽、VPN状态等）
应用控制——应用级防火墙（NGFW功能）；
URL 过滤 - Web 安全（+代理功能）；
数据丢失防护 - 防止信息泄露 (DLP)；
威胁仿真——沙盒技术（SandBox）；
威胁提取-文件清理技术；
QoS——流量优先级。

在几篇文章中，我们将详细介绍威胁仿真和威胁提取刀片，我相信这会很有趣。

2）对于管理 （控制服务器功能）

网络策略管理——集中策略管理；
端点策略管理 - Check Point 代理的集中管理（是的，Check Point 不仅提供网络保护解决方案，还提供工作站 (PC) 和智能手机保护）；
日志记录和状态——日志的集中收集和处理；
管理门户 - 通过浏览器进行安全管理；
工作流程——策略变更的控制、变更的审核等；
用户目录 - 与 LDAP 集成；
配置——网关管理自动化；
Smart Reporter——举报系统；
智能事件——事件分析和关联（SIEM）；
合规性 - 自动检查设置并提出建议。

我们现在不会详细考虑许可问题，以免文章臃肿，也不会让读者感到困惑。我们很可能会将其发布在单独的帖子中。

刀片的架构允许您仅使用真正需要的功能，这会影响解决方案的预算和设备的整体性能。从逻辑上讲，您激活的刀片越多，您可以“通过”的流量就越少。因此，每个 Check Point 型号都附有以下性能表（我们以 5400 型号的特性为例）：

正如您所看到的，这里有两类测试：合成流量测试和真实流量测试（混合）。一般来说，Check Point 只是被迫发布综合测试，因为…… 一些供应商使用此类测试作为基准，而不检查其解决方案在实际流量上的性能（或由于其不令人满意的性质而故意隐藏此类数据）。

在每种类型的测试中，您可以注意到几个选项：

仅测试防火墙；
防火墙+IPS测试；
防火墙+IPS+NGFW（应用控制）测试；
测试防火墙+应用控制+URL过滤+IPS+防病毒+Anti-Bot+SandBlast（沙箱）

选择解决方案时请仔细查看这些参数，或联系会诊.

我认为我们可以在这里完成关于 Check Point 技术的介绍性文章。接下来，我们将了解如何测试 Check Point 以及如何应对现代信息安全威胁（病毒、网络钓鱼、勒索软件、零日漏洞）。

PS 重要的一点。尽管其起源于外国（以色列），但该解决方案在俄罗斯联邦获得了监管机构的认证，这自动使其在政府机构中的存在合法化（评论者丹耶购物中心).

只有注册用户才能参与调查。登录拜托

您使用哪些 UTM/NGFW 工具？

检查点
思科火力
Fortinet公司
帕洛阿尔托
Sophos的
戴尔 SonicWALL
华为
WatchGuard的
瞻博
的UserGate
交通督察
卢比肯
艾迪克
开源解决方案
其他

134 位用户投票。 78 名用户弃权。

来源： habr.com

检查点。 它是什么，和什么一起吃，或者简单介绍一下主要内容

您使用哪些 UTM/NGFW 工具？

添加评论 取消回复

检查点。它是什么，和什么一起吃，或者简单介绍一下主要内容

添加评论取消回复