親愛的 habr 讀者,您好! 這是公司的企業博客 . 我們是系統集成商,主要專注於IT基礎架構安全解決方案(, ) 和機器數據分析系統 (). 我們將以對 Check Point 技術的簡短介紹開始我們的博客。
我們想了很久要不要寫這篇文章,因為。 裡面沒有任何在 Internet 上找不到的新內容。 然而,儘管信息如此豐富,但在與客戶和合作夥伴合作時,我們經常會聽到相同的問題。 因此,決定寫一些介紹 Check Point 技術的世界,並揭示其解決方案架構的本質。 所有這一切都在一個“小”帖子的框架內,可以這麼說,一個快速的題外話。 我們將盡量不參與營銷戰,因為。 我們不是供應商,而只是系統集成商(雖然我們非常喜歡 Check Point),只講要點,不與其他製造商(如 Palo Alto、Cisco、Fortinet 等)進行比較。 這篇文章原來是相當大篇幅,但是在熟悉Check Point階段就把大部分問題都砍掉了。 如果你有興趣,那麼歡迎貓下……
UTM/下一代防火牆
在開始討論 Check Point 時,首先要解釋什麼是 UTM、NGFW 以及它們之間的區別。 我們會非常簡潔地做到這一點,以免帖子變得太大(也許將來我們會更詳細地考慮這個問題)
UTM - 統一威脅管理
簡而言之,UTM 的本質是將多個安全工具整合到一個解決方案中。 那些。 所有在一個盒子里或一些全包。 什麼是“多種補救措施”? 最常見的選項是:防火牆、IPS、代理(URL 過濾)、流媒體防病毒、反垃圾郵件、VPN 等。 所有這些都集成在一個 UTM 解決方案中,這在集成、配置、管理和監控方面更加容易,而這反過來又對網絡的整體安全性產生了積極影響。 當 UTM 解決方案首次出現時,它們被認為專門用於小公司,因為。 UTM 無法處理大量流量。 這是出於兩個原因:
- 數據包的處理方式。 UTM 解決方案的第一個版本按每個“模塊”順序處理數據包。 示例:數據包首先由防火牆處理,然後由 IPS 處理,然後由防病毒程序檢查,依此類推。 自然地,這樣的機制引入了嚴重的流量延遲和大量消耗的系統資源(處理器、內存)。
- 硬件薄弱。 如上所述,順序數據包處理會消耗資源,而那個時代(1995-2005)的硬件根本無法應對高流量。
但進步不會停滯不前。 從那時起,硬件容量顯著增加,數據包處理也發生了變化(必須承認並非所有供應商都有)並開始允許同時在多個模塊(ME、IPS、AntiVirus 等)中進行幾乎同時的分析。 現代UTM解決方案可以深度分析“消化”數十甚至數百Gbps,這使得它們可以在大型企業甚至數據中心的細分市場中使用。
以下是 Gartner 2016 年 XNUMX 月著名的 UTM 解決方案魔力像限:
這張圖我不強評,只說右上角有領導。
NGFW - 下一代防火牆
這個名字不言而喻 - 下一代防火牆。 這個概念出現得比UTM晚得多。 NGFW 的主要思想是使用內置的 IPS 和應用層的訪問控制(Application Control)進行深度包檢測(DPI)。 在這種情況下,IPS 正是在數據包流中識別這個或那個應用程序所需要的,它允許您允許或拒絕它。 示例:我們可以允許 Skype 工作但阻止文件傳輸。 我們可以禁止使用 Torrent 或 RDP。 還支持 Web 應用程序:您可以允許訪問 VK.com,但阻止遊戲、消息或觀看視頻。 從本質上講,NGFW 的質量取決於它可以定義的應用程序數量。 許多人認為,NGFW 概念的出現是一種常見的營銷策略,Palo Alto 正是基於這種策略開始了其快速增長。
2016 年 XNUMX 月 Gartner NGFW 魔力像限:
UTM 與下一代防火牆
一個很常見的問題,哪個更好? 這裡沒有單一的答案,也不可能。 尤其是考慮到幾乎所有現代 UTM 解決方案都包含 NGFW 功能並且大多數 NGFW 都包含 UTM 固有的功能(防病毒、VPN、反殭屍網絡等)這一事實時。 一如既往,“細節決定成敗”,所以首先你需要確定你具體需要什麼,決定預算。 基於這些決定,可以選擇幾個選項。 一切都需要明確測試,不要相信營銷材料。
反過來,我們將在幾篇文章的框架內嘗試向您介紹 Check Point、如何嘗試以及原則上可以嘗試的內容(幾乎所有功能)。
三個檢查點實體
使用 Check Point 時,您肯定會遇到該產品的三個組件:
- 安全網關 (SG) - 安全網關本身,通常位於網絡邊界並執行防火牆、流式防病毒、反殭屍程序、IPS 等功能。
- 安全管理服務器 (SMS) - 網關管理服務器。 網關 (SG) 上的幾乎所有設置都是使用此服務器執行的。 SMS 還可以充當日誌服務器並使用內置的事件分析和關聯繫統 - Smart Event(類似於 SIEM for Check Point)處理它們,但稍後會詳細介紹。 SMS用於集中管理多個網關(網關的數量取決於SMS型號或許可證),但即使只有一個網關也必須使用它。 這裡應該指出的是,Check Point 是最早使用這種集中管理系統的公司之一,根據 Gartner 報告,該系統已連續多年被公認為“黃金標準”。 甚至有一個笑話:“如果思科有一個正常的控制系統,那麼 Check Point 就不會出現了。”
- 智能控制台 — 用於連接到管理服務器 (SMS) 的客戶端控制台。 通常安裝在管理員的計算機上。 通過這個控制台,所有更改都在管理服務器上進行,之後您可以將設置應用到安全網關(安裝策略)。
檢查點操作系統
說起Check Point操作系統,大家一下子就想起了三個:IPSO、SPLAT和GAIA。
- 知識產權組織 是諾基亞旗下 Ipsilon Networks 的操作系統。 2009 年,Check Point 收購了這家公司。 不再開發。
- 濺射 - 自己開發的 Check Point,基於 RedHat 內核。 不再開發。
- 蓋亞 - 來自 Check Point 的當前操作系統,它是 IPSO 和 SPLAT 合併的結果,融合了所有最好的東西。 出現於2012年並繼續積極發展。
說到Gaia,應該說目前最常見的版本是R77.30。 最近出現了 R80 版本,它與之前的版本有很大不同(無論是在功能還是控制方面)。 我們將單獨發表一篇文章來討論它們的差異。 另一個重要的一點是,目前只有 R77.10 版本具有 FSTEC 證書,而 R77.30 版本正在認證中。
選項(Check Point 設備、虛擬機、OpenServer)
這並不奇怪,因為許多 Check Point 供應商都有多種產品可供選擇:
- 設備端 - 硬件和軟件設備,即自己的“一塊鐵”。 有許多型號在性能、功能和設計方面各不相同(工業網絡有多種選擇)。
- 虛擬機 - 帶有 Gaia OS 的 Check Point 虛擬機。 支持管理程序 ESXi、Hyper-V、KVM。 按處理器內核數量許可。
- 開放服務器 - 直接在服務器上安裝 Gaia 作為主要操作系統(所謂的“裸機”)。 僅支持某些硬件。 必須遵循針對此硬件的建議,否則驅動程序和那些可能會出現問題。 支持可能會拒絕為您提供服務。
實施選項(分佈式或獨立)
再往上一點,我們已經討論了什麼是網關(SG)和管理服務器(SMS)。 現在讓我們討論它們的實施選項。 主要有兩種方式:
- 獨立(SG+SMS) - 當網關和管理服務器都安裝在同一設備(或虛擬機)中時的一個選項。
當您只有一個網關且用戶流量負載較輕時,此選項適用。 這個選項是最經濟的,因為。 無需購買管理服務器 (SMS)。 但是,如果網關負載很重,您可能會得到一個緩慢的控制系統。 因此,在選擇 Standalone 解決方案之前,最好諮詢甚至測試此選項。 - 分散式 — 管理服務器與網關分開安裝。
就便利性和性能而言的最佳選擇。 當需要同時管理多個網關時使用,例如中央網關和分支網關。 在這種情況下,您需要購買管理服務器(SMS),它也可以是設備(一塊鐵)或虛擬機的形式。
正如我剛才所說,Check Point 有自己的 SIEM 系統——Smart Event。 您只能在分佈式安裝的情況下使用它。
操作模式(橋接、路由)
安全網關 (SG) 可以在兩種基本模式下運行:
- 已路由 - 最常見的選擇。 在這種情況下,網關用作 L3 設備並通過自身路由流量,即Check Point 是受保護網絡的默認網關。
- 建立 - 透明模式。 在這種情況下,網關作為普通“網橋”安裝,並在第二層 (OSI) 通過它傳遞流量。 當不可能(或不想)更改現有基礎架構時,通常使用此選項。 您實際上不必更改網絡拓撲,也不必考慮更改 IP 地址。
我想指出的是,Bridge 模式存在一些功能限制,因此,作為集成商,我們當然建議所有客戶盡可能使用 Routed 模式。
軟件刀片(Check Point 軟件刀片)
我們幾乎談到了最重要的 Check Point 主題,這引起了客戶最多的問題。 這些“軟件刀片”是什麼? 刀片是指某些 Check Point 功能。
這些功能可以根據您的需要打開或關閉。 同時,還有專門在網關(網絡安全)和僅在管理服務器(管理)上激活的刀片。 下圖顯示了兩種情況的示例:
1)為了網絡安全 (網關功能)
讓我們簡單描述一下,因為每個刀片都值得單獨的文章。
- 防火牆——防火牆功能;
- IPSec VPN——構建私有虛擬網絡;
- 移動訪問——從移動設備遠程訪問;
- IPS——入侵防禦系統;
- Anti-Bot - 防止殭屍網絡;
- AntiVirus - 流式殺毒軟件;
- 反垃圾郵件和電子郵件安全 - 保護公司郵件;
- 身份識別——與 Active Directory 服務集成;
- 監控——監控幾乎所有網關參數(負載、帶寬、VPN 狀態等)
- 應用程序控制——應用程序級防火牆(NGFW 功能);
- URL 過濾 - Web 安全(+代理功能);
- 數據丟失防護——信息洩露保護(DLP);
- 威脅仿真——沙箱技術(SandBox);
- Threat Extraction——文件清理技術;
- QoS - 流量優先級。
在幾篇文章中,我們將仔細研究威脅仿真和威脅提取刀片,我相信這會很有趣。
2) 對於管理 (管理服務器功能)
- 網絡策略管理——集中策略管理;
- 端點策略管理——Check Point 代理的集中管理(是的,Check Point 不僅為網絡保護提供解決方案,還為保護工作站 (PC) 和智能手機提供解決方案);
- Logging & Status - 日誌的集中收集和處理;
- 管理門戶——從瀏覽器進行安全管理;
- 工作流程——政策變更控制、變更審計等;
- 用戶目錄 - 與 LDAP 集成;
- 供應——網關管理的自動化;
- Smart Reporter - 報告系統;
- 智能事件——事件的分析和關聯(SIEM);
- 合規性 - 自動檢查設置並發出建議。
我們現在不會詳細考慮許可問題,以免誇大文章並使讀者感到困惑。 我們很可能會在單獨的帖子中刪除它。
刀片架構允許您只使用真正需要的功能,這會影響解決方案的預算和設備的整體性能。 合乎邏輯的是,您激活的刀片越多,可以“趕走”的流量就越少。 這就是為什麼每個 Check Point 模型都附有以下性能表的原因(例如,我們採取了 5400 模型的特性):
如您所見,這裡有兩類測試:合成流量和真實混合流量。 一般來說,Check Point 只是被迫發布綜合測試,因為。 一些供應商將此類測試用作基準測試,而沒有檢查其解決方案在實際流量上的性能(或由於不滿意而故意隱藏此類數據)。
在每種類型的測試中,您會注意到幾個選項:
- 僅測試防火牆;
- 防火牆+IPS測試;
- 防火牆+IPS+NGFW(應用控制)測試;
- 防火牆+應用程序控制+URL 過濾+IPS+防病毒+防殭屍+SandBlast 測試(沙盒)
選擇解決方案時仔細查看這些參數,或聯繫 .
我認為關於 Check Point 技術的介紹性文章到此結束。 接下來,我們將了解如何測試 Check Point 以及如何應對現代信息安全威脅(病毒、網絡釣魚、勒索軟件、零日漏洞)。
PS 重要的一點。 儘管來自外國(以色列),但該解決方案在俄羅斯聯邦由監管機構認證,這自動使其在國家機構中的存在合法化(評論 ).
只有註冊用戶才能參與調查。 , 請。
您使用什麼 UTM/NGFW 工具?
-
檢查點
-
思科火力
-
Fortinet公司
-
帕洛阿爾托
-
SOPHOS
-
戴爾 SonicWALL
-
華為
-
WatchGuard的
-
瞻博網絡
-
用戶門
-
交通督察
-
魯比孔
-
愛德科
-
開源解決方案
-
其他
134 位用戶投票。 78 名用戶棄權。
來源: www.habr.com