Первейшая задача, которая встает перед большинством заказчиков – это защита периметра.
Здесь идет речь и просто о подключении к Интернету, и о подключении филиалов, удаленных офисов, сетей партнеров.
Причем VPN может строиться и через Интернет, и через MPLS. Неважно какие каналы связи, защита нужна в любом случае.
А кроме того, встает задача автоматического переключения и, возможно даже балансировки нагрузки при построении VPN через различных провайдеров.
Т.е. типовое решение предусматривает использование в центре мощного устройства типа Power-1. !!1!!
В филиале – устройство среднего уровня типа UTM-1 !!1!!
А в удаленном офисе – !!1!! что-то небольшое, может быть даже безвентиляторное типа Edge или SG80. Ну а если нужен ГОСТ, то смело используйте UTM-1 130.
В любом случае вы получите единое централизованное управление всей этой инфраструктурой !!1!!.
8 new models
Анонимайзеры позволяют «обойти» корпоративную политику и получить доступ к запрещенным ресурсам
P2P – файлообменные сети (торрент и т.п.)
RAT – Remote Admin Tool (удаленный доступ к компьютеру)
Tablet Computer Stock Photo File #18993029
Очень часто возникает вопрос по защите банкоматов.
Это должно быть небольшое надежное устройтсво, но при этом оно должно обеспечивать достаточно широкий спектр защиты:
-fw, ips,vpn, резервирование каналов связи
Помимо это решение должно поддерживать Qos и очень желательно иметь возможность централизованного управления, особенно если речь идет о десятках банкоматов.
В данном случае Check Point предлагает использовать устройство UTM-1 Edge. Либо если вам необходим ГОСТ вы можете приобрести UTM-1 132.
Заказчики очень часто выносят некоторые сервисы на виртуальную ферму.
Но виртуальный сервер - не значит защищенный.
Чаще всего защита виртуальных ферм заключалась в установке МСЭ в режиме L3, защищающего только от внешней физической среды. Трафик между виртуальными машинами никак не проверялся.
Теперь с появлением продукта Checkpoint Virtual Edition мы можем проверять пакеты между VM внутри vSwitch.
Так как данное решение сертифицировано компанией VmWare, VE поддерживает VmSafe, Vmotion, и тд.
Изолирует виртуальные машины и защищает трафик inter-VM
Защищает от внешних угроз, включает полную функциональность IPS и UTM
Унифицированное управление как физической, так и виртуальной средой
Изолирует виртуальные машины и защищает трафик inter-VM
Защищает от внешних угроз, включает полную функциональность IPS и UTM
Унифицированное управление как физической, так и виртуальной средой
На данный момент очень остро стоит вопрос о защите корпоративных данных от утечек.
Check Point представляет новое решение – DLP.
Для реализации опознавания важных документов используется технология MultiSpect Detection Engine.
Вы можете задать, что документ, содержащий данные из нескольких источников, является важным для компании. То есть если документ содержит паспортные данные только 3 сотрудников, то на него можно не срабатывать. Но если в этом списке их больше 10 , да еще указаны зарплаты, то это уже явно происходит утечка важных данных.
Данное решение выделяет текст из более, чем 600 форматов файлов. Для вашего удобства наше решение имеет более 300 определенных типов данных. И конечно вы сами можете добавить свои,например, ИНН. Данное решение определит и распознает ваши формы и отчеты.
DLP detection engine is a content aware inspection engine meaning it scans the content within a message, extracts text from message, attachments and archives supporting more than 600 file formats.
The engine can correlate match of different rudimentary mechanisms such as keywords and regular expressions and to run custom CPcode for enhanced accuracy and flexibility, a unique feature of DLP engine.
Out-of-the-box DLP blades has a rich set of over 300 pre-defined data types DLP admin can choose form to customize the policy to his organization.
Additional data types can be created, including templates data type, a data type that can be used to identify any document that is derived from a company templates, such as a team
incluextracts the actu that uses sophisticated techniques to accurately detect incidents,
and uses the following technologies:
Can correlate Correlates data from multiple sources including CPcode
Detects and extract text out of more than 600 file formats
Over 300 pre-defined content data types
Detect and recognize proprietary forms and templates
Опираясь на результаты статистики, в которой было выявлено, что более чем в 90% случаях причиной утечки данных являлась неосторожность собственных сотрудников, Check Point предлагает использовать новую технологию UserCheck.
Она позволяет вовлечь ваших сотрудников в процесс защиты данных.
Если вы не объяснили сотрудникам, что те или иные документы являются критичными для вашей компании, естественно они не задумываются о последствиях.
Рассмотрим следующую ситуацию:
Пользователь отправляет письмо с некоторым важным документом сотруднику той же компании. НО! Нечаянно вместо корпоративного адреса он выбирает из адресной книги его публичный адрес, например gmail.com. Не заметив этого, он отправляет важный документ за пределы вашей компании. Произошла утечка.
Если в вашей компании установлено решение DLP от Check Point.
Пользователь получит следующее уведомление:
!!!!
В нем будет указано, что он попытался отправить письмо с критичным документом нелегитимному пользователю.
И будут предложены варианты дальнейших действий:
Все равно отправить письмо –
Отменить
Посмотреть , что это было за письмо
Если все равно нужно отправить письмо, пользователь нажимает кнопку Send, затем он должен написать пояснение, почему он должен его отправить, и только после этого он сможет это сделать.
Если же он замечает ошибку , и понимает, что Большой брат следит за ним, и нужно быть аккуратнее, то он нажимает Discard.
Если он забыл, что это было за письмо или документ, пользователь может нажать на кнопку Review Issue.
Если клиентская часть не установлена, то данное уведомление придет пользователю по почте, с теми же возможностями.
В любом случае запись об этих действиях появится в журнале событий. В том числе и сам документ.
Для просмотра этого документа можно задать определенную роль администратора.
Мы уже продвинулись от периметра к пользователям и ЛВС. И здесь нужно отметить еще один замечательный способ повышения безопасности и отказоустойчивости сети.
Это сегментация сети на зоны. Иногда встречаются заказчики, которые исторически используют плоскую сеть на тысячи рабочих станций. К счастью это большая редкость, в основном сети делят на подсети.
Но даже в этом случае проникновение червя и массовое его распространение приведет не только к угрозам для ваших данных, но и банальной перегрузке сети. Известны случаи, когда администраторам приходилось физически отключать зараженные сегменты, поскольку сетевое оборудование было настолько перегружено, что не отвечало даже на управляющие команды.
Иными словами необходимы какие-то политики безопасности между сегментами.
Наверняка на этом слайде вы узнали типичную сеть.
Множество подразделений, этажные коммутаторы объединяются на более высоком уровне, создается множество VLAN, и маршрутизацией всего этого занимаются центральные коммутаторы – ядро сети. Core.
Безусловно, на верхних уровнях иерархии используется резервирование оборудования с использованием соответствующих протоколов.
Каждый понимает, что коммутаторы разрабатывались вовсе не для целей безопасности, у них другая задача.
И, задумавшись о повышении безопасности и облегчении управления множеством списков доступа вы сможете легко решить эту задачу с помощью решения Check Point VSX
!-!-!
Интеграция в существующую инфраструктуру элементарна. Особенно с учетов возможности внедрить решение в режиме бриджа, когда не потребуется даже изменение топологии сети.
С логической точки зрения складывается впечатление, что в каждом департаменте, чуть ли не перед каждым этажным коммутатором вы можете установить свои МСЭ. В действительности же достаточно пары устройств, если речь идет о кластерной конфигурации.
Шлюз VSX – это физический сервер, на котором выполняется несколько логических (виртуальных) модулей VPN-1, защищающих специфические сети
Каждый модуль VPN-1 применяет собственные политики безопасности
Виртуализированный шлюз безопасности с числом систем от 5 до сотен для существенной экономии за счет консолидации
Поставляется как ПО и как программно-аппаратные комплексы
МСЭ, VPN, IPS внутри виртуального сетевого окружения на высокопроизводительной аппаратной платформе
Два типа сетевых устройств:
Как они используются?
Чтобы подключиться к внешним сетям в соответствиями с установленными политиками
Чтобы маршрутизировать трафик между виртуальными системами
Виртуальный маршрутизатор:
Защищен собственной политикой безопасности
Как и Layer-3 VS поддерживает динамическую маршрутизацию
Поддерживает Source Routing
Virtual Routers & Switches используют Warp Links для подключения к Virtual Systems
In order to overcome the challenges we need more security functions and this requires much more power from the appliance
The 21700 leverages on Check Point’s Software Blades Architecture, and supports all S/W blades.
Политика – SC, Provider-1
Обновления – Service Blades (SD, IPS, AV, URLF…), SmartUpdate
Управление устройствами – Provisioning
Мониторинг состояния – Monitoring, SmartEvent
Пользователями – User Directory/LDAP
Итак, что вам будет легче, использовать множество разрозненных решений от разных вендоров или гибкое масштабируемое решение с унифицированным централизованным управлением от Check Point - мирового лидера в области информационной безопасности?
Решайте!
![©2012 Check Point Software Technologies Ltd. [PROTECTED] — All rights reserved.
Задачи и решения на
базе Check Point
Сергей Чекрыгин
schekrygin@checkpoint.com
Check Point Software Technologies
[Restricted] ONLY for designated groups and individuals](https://image.slidesharecdn.com/checkpoint-140424063512-phpapp02/85/check-point-c-1-320.jpg)
![2©2012 Check Point Software Technologies Ltd. [PROTECTED] — All rights reserved. |
1. Защита периметра и
взаимодействие офисов
Центральный офис
Филиал
Удаленный
офис
Единая консоль
управления для
всей
унифицированной
архитектуры
Internet
11xx,
22xx
4xxx
12xxx,
21xxx](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)