Виртуальные шлюзы для защиты виртуальных сред (VMware) и сложных сегментов сети (VSX)
В эпоху виртуализации ИТ автоматически возникает задача защиты виртуальных сред (VPN-1 VE) и желание виртуализировать сами шлюзы безопасности, для выделения каждому виртуальному шлюзу выделенного сегмента сети (VSX-1).
VPN-1 VE™ (virtual edition) обеспечивает защиту виртуальных сред от внешних и внутренних угроз безопасности. Решение VPN-1 VE создано на базе проверенных технологий, которые применяются в защите физических систем. Для обеспечения комплексной защиты виртуальных устройств, приложений и трафика, в VPN-1 VE включены межсетевой экран, средства VPN и предотвращения вторжений. Решение Check Point VPN-1 VE защищает виртуальные приложения таким образом, как будто они расположены на отдельных серверах, благодаря чему достигаются лучшая защита от внешних угроз и большее соответствие нормативным требованиям. VPN-1 VE обеспечивает защиту от внешних и внутренних угроз, а также эффективное управление благодаря единому интерфейсу.
VPN-1 VE использует самый популярный в отрасли межсетевой экран и уже в состоянии поставки обеспечивает проверку сотен заранее сконфигурированных приложений, протоколов и сервисов. VPN-1 VE обеспечивает уровень защиты виртуальных приложений, соответствующий уровню защиты объектов сети. VPN-1 VE защищает виртуальные приложения таким образом, как будто они расположены на отдельных серверах, обеспечивая тем самым лучшую защиту от внешних угроз. Кроме того, VPN-1 VE может блокировать работу таких отвлекающих от работы приложений, как системы мгновенных сообщений и одноранговые файлообменные сети. VPN-1 VE выполняет проверку сетевых пакетов, предназначенных для сервисной консоли, и блокирует возможные атаки. На VPN-1 VE распространяется сервис Check Point Update Services, с поставкой обновлений в режиме реального времени для достижения максимальной готовности к отражению актуальных угроз.
Централизованное, унифицированное управление
VPN-1 VE управляется с помощью SmartCenter или Provider-1, используемых в шлюзах VPN-1 и устройствах Check Point. Это позволяет обеспечить высокий уровень защиты на всех шлюзах и минимизировать расходы на выделенные панели управления.
Высокая производительность, отказоустойчивость и балансировка нагрузки
VPN-1 VE обладает высокой пропускной способностью - свыше 2 Гб/с и использует только одно виртуальное ядро системы. VPN-1 VE является высокопроизводительной платформой для виртуаьных сред и обеспечения доступа к критически важным приложениям. ClusterXL® распределяет весь трафик между между шлюзами VPN-1 VE кластера. Если какой-либо шлюз недоступен, то трафик будет перенаправлен на остальные шлюзы кластера.
Предварительная настройка устройства для быстрого развертывания
VPN-1 VE поставляется в виде предварительно настроенного и сконфигурированного виртуального устройства, что обеспечивает его быструю и удобную установку. Поскольку VPN-1 VE управляет трафиком на сервере виртуализованного устройства, не возникает сложности в добавлении аппаратных устройств безопасности и коммутаторов для защиты виртуальной среды. Кроме того, для защиты Вашей сетевой среды Вы можете изменить все настройки, в том числе сетевые интерфейсы.
Интеграция межсетевого экрана, средств VPN, IPS и UTM
VPN-1 VE предлагает не только лучшие в своем классе межсетевой экран, VPN и систему предотвращения вторжений (IPS), но также весь комплекс функциональных возможностей унифицированного управления защитой от угроз (UTM): защиту от вирусов и программ-шпионов, защиту почтовых сообщений (в т.ч. от спама), специализированный межсетевой экран для защиты web-приложений, защиту голосовых соединений (VoIP), блокировку систем мгновенных сообщений и одноранговых файлообменных сетей, Web-фильтрацию, а также защиту удаленного доступа и связей между узлами сети. Консолидация функций безопасности в едином решении - VPN-1 VE делает развертывание и администрирование системы безопасности проще.
Повышенная защита с поддержкой VMotion
VPN-1 VE обеспечивает защиту виртуальных машин при переносе виртуальных машин с одного узла виртуальной среды на другой. Благодаря поддержке технологии VMware VMotion, политика безопасности межсетевых экранов и защищаемых виртуальных устройств усилена.
Сертифицировано VMware
VPN-1 VE сертифицировано компанией VMware для использования в работе на серверах ESX и обеспечивает проверенную платформу для защиты виртуальной среды ESX.
Check Point VSX and VPN-1 Power VSX позволяет организациям консолидировать инфраструктуру безопасности в высокопроизводительных сетях (таких как большие кампусы или сети ЦОДов) с помощью виртуализации элементов физической сети внутри одного устройства. Виртуализуются межсетевой экран, VPN-образующие компоненты, URL-фильтрация и IPS-защита сети.
Масштабируемая виртуализованная среда
С помощью VSX (ПО или аппаратного устройства) администраторы могут создавать виртуализованные версии популярных физических топологий и дизайнов сети, например, центральных и демилитаризованных зон. VSX позволяет создавать и управлять 250 полностью независимыми системами безопасности на единой или кластерной аппаратной платформе. При этом повышается масштабируемость, значительно снижаются инвестиции в оборудование, необходимость в помещении и затраты на поддержку.
Гибкое соединение виртуализованных систем
Так же, как обычные маршрутизаторы и коммутаторы, виртуализованные маршрутизаторы и коммутаторы можно использовать для перенаправления трафика в сетях, применяемых для виртуализованных систем. VSX обеспечивает гибкое сетевое соединение и способен поддерживать широкий спектр сценариев маршрутизации.
Виртуальная система в режиме моста
VSX подготовлен для работы с виртуализованными системами в режиме моста или маршрутизатора. Развертывание виртуализованных систем в режиме моста позволяет администраторам использовать уровень-2 (bridge) вместо IP-маршрутизации, а также добавлять к сети виртуализованные системы без необходимости правок в настройках сети и топологий.
Распространение настроек маршрутизации
При соединении виртуализованной системы с виртуализованным маршрутизатором или коммутатором, администратор может распространить информацию по маршрутизации на подсоединенные виртуализованные устройства. Благодаря этому сетевые узлы, которые соответствуют виртуализованным системам, могут взаимодействовать без необходимости ручной настройки.
Перекрывающийся пул IP-адресов
С устройством VSX проще выполнить соединение, при котором многие сетевые сегменты имеют один диапазон IP-адресов, например, когда шлюз VSX обеспечивает защиту нескольких независимых сетей, назначающих конечным точкам сети IP-адреса из одного пула. Таким образом, одинаковый IP-адрес могут иметь несколько конечных точек сети, при условии, что каждая из них принадлежит различным виртуализованным системам. Перекрывающийся пул IP-адресов в средах VSX возможен, поскольку каждая виртуализованная система обладает уникальными таблицей состояния и таблицей маршрутизации. Данные таблицы могут содержать идентичные записи, но внутри различных изолированных областей.
Маршрутизация на основе источника пакета
Маршрутизация на основе источника пакета позволяет администратору определять критерии маршрутизации, превалирующие над обычным способом маршрутизации (на основе доставки). Маршрутизация пакетов выполняется согласно IP-адресу источника пакета или одновременно по двум IP-адресам - источника и назначения пакета. Маршрутизация на основе источника пакета особенно полезна, когда единый физический интерфейс без тега VLAN соединяет несколько защищенных сетей заказчика. Каждая виртуализованная система соединена с внутренним виртуализованным маршрутизатором, который обеспечивает маршрутизацию трафика к виртуализованной системе на основе IP-адреса источника пакета. IP-адрес задан в таблицах маршрутизации.
Динамическая маршрутизация
Виртуальные устройства могут взаимодействовать и обмениваться маршрутами благодаря динамической маршрутизации. Для виртуализованных систем и маршрутизаторов VSX обеспечивает динамическую маршрутизацию третьего уровня с поддержкой следующих протоколов: OSPF, RIP-v1/2, BGP-v4, IGMP, PIM-SM, PIM-DM.
Высокопроизводительная защита
Для сетей высокой пропускной способности необходимы высокопроизводительные шлюзы, рассчитанные на поддержку тысяч приложений и пользователей. В VSX применяются технологии ускорения Check Point SecureXL™, что позволяет получать максимальную пропускную способность устройств и открытых серверов, даже во время DoS-атак. VPN-1 Power VSX может развертываться на ряде платформ операторского класса, что позволяет получать многогигабитные уровни пропускной способности по защищенному трафику, обеспечивая защиту на скорости протокола. VSX обладает следующими характеристиками для достижения максимальной производительности, мощности и масштабируемости системы:
Балансировка нагрузки виртуализованой системы (VSLS, Virtual System Load Sharing) позволяет распределять виртуализованные системы по узлам кластеров, эффективно распределяя тем самым нагрузку трафика внутри кластера.
Контроль использования ресурсов VSX дает возможность администраторам управлять нагрузкой, обеспечивая оптимизацию потребления ресурсов процессора каждой из виртуализованных систем. Ненужные одной виртуализованой системе ресурсы автоматически становятся доступны другим виртульным системам. Кроме того, администраторы могут ограничить время нагрузки процессора для систем с низким приоритетом и увеличить его для критически-важных систем.
Технология обеспечения гарантированного уровня качества сервиса в сетевой среде VSX осуществляется благодаря поддержке протокола Differentiated Services (DiffServ) и заданию оптимальных характеристик передачи для различных уровней обслуживания. При сильной загрузке ресурсов сетевой инфраструктуры данная технология позволяет установить приоритеты, по которым обрабатывается трафик.
ClusterXL: Применение данной технологии кластеризации позволяет распределять нагрузку и обеспечивает высокую доступность для бесперебойной работы системы защиты. Трафик между кластерами резервных шлюзов распределяется таким образом, что при отказе одного из них другой немедленно принимает на себя все сетевые функции и функции защиты.
Комплексные услуги по безопасности
Благодаря применению технологий FireWall-1® и SmartDefense™, устройства VSX обеспечивают в сложных инфраструктурах комплексную защиту сетей или виртуализованных локальных сетей VLAN, устанавливая защищенные соединения c совместно используемыми ресурсами, такими как интернет и демилитаризованные зоны. Шлюзы VSX основаны на запатентованной технологии Check Point Stateful Inspection, являющейся стандартом де-факто для интернет-безопасности. Без дополнительной настройки поддерживается более 150 приложений, протоколов и служб. VSX обеспечивает защиту от угроз безопасности широкого спектра приложений, используемых бизнесом при входе в сеть. В числе предоставляемых услуг безопасности:
URL-фильтрация - защищает пользователей и ограничивает проникновение постоянно обновляемого вредоносного контента
Поддержка Voice over IP - поскольку многие компании используют приложения VoIP с целью снижения расходов на связь, VSX обеспечивает комплексную поддержку протокола VoIP для защиты бизнес-коммуникаций. В числе поддерживаемых протоколов VoIP: H.323, SIP, MGCP и Skinny (SCCP).
Системы моментальных сообщений и одноранговые сети являются частыми объектами атак со стороны вирусов, червей и шпионского ПО. VSX обеспечивает защиту данных приложений благодаря проверке контента и предотвращения вторжений при входе в корпоративную сеть.
VSX поддерживается службой SmartDefense, которая обеспечивает оперативное получение текущих обновлений и средств защиты от новых угроз. Кроме того, VSX обеспечивает гибкий защищенный удаленный доступ благодаря широкому выбору моделей клиентского доступа (IPSec, SSL VPN, мобильный доступ).
Проверенная архитектура управления безопасностью
Управление VSX осуществляется с помощью решений Check PointSmartCenter™ и Provider-1®. Это мощные
средства централизованного конфигурирования, управления и мониторинга шлюзов VSX, виртуализованных систем и физических шлюзов VPN-1, основанные на архитектуре Check Point Security Management Architecture (SMART). Выбор одного или другого из них определяется требованиями конкретной сети. Кроме того, технология Check Point One-Click VPN позволяет легко включать в состав VPN-сообщества дополнительные виртуализованные системы. При этом используется автоматическое наследование необходимых свойств, так что новая система оказывается немедленно готова проводить защищенные сеансы с любыми другими членами сообщества VPN. Использование дополнительных инструментов, таких как мастера создания виртуализованных систем и шаблоны, дополнительно упрощает процесс развертывания и конфигурирования VSX.
Используя VSX с Provider-1, предприятие может сегментировать различные группы пользователей, классифицировать сеть по функциональным признакам или поделить ее на сегменты. Тем самым, администраторы могут устанавливать отдельные политики безопасности для различных сегментов сети и делить крупные базы правил на несколько, чтобы упростить управление и усилить контроль системы сетевой безопасности.
Возможности для провайдеров услуг
VSX обеспечивает применение политик безопасности нажатием одной кнопки, что позволяет провайдерам услуг предлагать услуги безопасности по самой низкой цене. Новые возможности включают URL-фильтрацию, благодаря которой обеспечивается безопасность пользователей и ограничивается доступ вредоносного контента.
Temperature: -20° to 70° C,
Relative Humidity: 5% to 95% non-condensing,
Certifications
UL 60950; FCC Part 15, Subpart B, Class A;
EN 55024; EN 55022;
VCCI V-3AS/NZS 3548:1995; CNS 13438 Class A (test passed; country approval pending); KN22KN61000-4 Series, TTA; IC-950; ROHS
UL60950-1, First Edition: 2003, CAN/CSAC22.2, No 60950:2000, IEC60950-1: 2001, EN60950-1:2001+A11 with Japanese National Deviations;
FCC Part 15, Subpart B, Class A, EN50024,EN55022A:1998, CISPR 22 Class A, 1985, EN61000-3-2, EN61000-3-3; EN55024: 1998
Safety: UL, cUL
Emissions: CE, FCC Class A
Environmental: RoHS
1 With Acceleration Card, available in 2012
2 With software upgrade available in 2012, and memory upgrade