Cisco网络技术论坛

返回   Cisco网络技术论坛 > 网络技术区 > 网络安全

网络安全 系统安全、网络安全、程序及数据库安全、加密与破解......

发表新主题 回复
 
主题工具
旧 2009-02-17, 21:33   #1
ks_750001
陈默-134 5184 7988
级别:1 | 在线时长:10小时 | 升级还需:2小时
 
ks_750001 的头像
 
注册日期: Aug 2004
住址: 南京
帖子: 17
现金:34金币
资产:34金币
声望力: 0
声望: 10 ks_750001 向着好的方向发展
声望力: 0
ks_750001 向着好的方向发展
NOKIA&Check Point防火墙

1 、Check Point 产品介绍
所有诺基亚的安全产品中采用的 VPN 和防火墙技术都将是基于 Check Point 的VPN-1®/FireWall-1® 软件上的。这种独特的关系也允许开展创新工程,例如诺基亚和 Check Point 联合努力开发出"Firewall Flows" (防火墙流)功能,其现在构成了诺基亚的固有安全性操作系统的关键组成组件。这种紧密合作的最终结果是将防火墙的每秒信息包吞吐量显著地提高了三倍。同时,诺基亚和 Check Point 结合了诺基亚的 CryptoCluster™ 专利技术和 Check Point SecureX™ 技术,并在此基础上进行了一系列创新性、高可用性和性能的提升。Check Point Application Intelligence 启用一种新级别的多层安全网关
简介——基于应用的攻击
在过去的几年中,企业防火墙已经成为网络安全架构的主要组成部分。主要设计用于对网络资源提供访问控制,防火墙已在大部分网络中成功部署。防火墙成功的一个主要原因是,当执行一个适当定义的安全策略时,防火墙通常可以阻挡超过 90% 的攻击。然而,尽管大部分防火墙提供了有效的访问控制,但是仍有许多还不能支持应用级的攻击检测和阻隔。
认识到这个事实后,电脑黑客们设计出更加错综复杂的攻击来对付由网络边界防火墙执行的传统的访问控制策略。今天,高智商的黑客们早己不限于只对防火墙的开放端口进行扫描,现在他们的目标直指应用程序。
今天,互联网环境中的一些最严重的威胁来自于那些利用已知应用程序缺陷的攻击。黑客们最感兴趣的是像 HTTP(TCP 端口 80)和 HTTPS(TCP 端口 443 )这样的服务,通常这些服务在许多网络中是开放的。访问控制装置不能轻易检测到面向这些服务的恶意使用。
通过直接面向应用程序,黑客们试图获得至少以下一种恶意目标,包括:
● 拒绝对合法用户的服务(DoS 攻击)
● 获得对服务器或客户端的管理访问权
● 获得对后端信息数据库的访问权
● 安装特洛伊木马软件后,可绕过安全保护并能够对应用程序进行访问
● 在服务器上安装运行于“sniffer (网络探针)”模式的软件,并获取用户名和密码

由于基于应用的攻击本身很复杂,有效的防卫必须也同样复杂和智能。为了解决基于应用攻击日益增强的威胁,企业防火墙必须包含新级别的多层安全网关。这种多层安全网关应该防止网络及应用攻击,同时提供对 IT 资源强大的访问控制。
Check Point Application Intelligence™ 是一组高级功能,与 Check Point 的 FireWall-1® 和 SmartDefense™ 集成,能够检测和阻止应用级攻击。Applocation Intelligence ——抵御新一代的网络应用威胁
许多防火墙(特别是那些基于 Stateful Inspection 技术的防火墙)已经保存了成功抵御网络攻击的防卫库。事实上,越来越多的攻击试图利用网络应用的弱点,而不是直接面向防火墙。这种攻击方法的重要变化需要防火墙不仅提供访问控制和网络级攻击保护,还要理解应用程序的行为以抵御对应用程序的攻击和入侵。Check Point Application Intelligence 扩展了对这种网络安全解决方案的理解。
示例协议:

OSI (开放系统互联)参考模型
OSI 参考模型是一种框架(或指导方针),用于描述数据如何在网络设备中传输。注意:应用层不是真正的最终用户的软件应用程序,而是一系列允许软件应用程序通过网络通信的服务。第 5、6 和 7 层的区别通常并不明显,其他的一些相关模型将这几层组合在一起,本文也如此。
应用层安全
应用层引起大量攻击的原因有以下几点。首先,该层包含了黑客的最终目标——真正的用户数据。其次,应用层支持许多协议(HTTP 、CIFS 、VoIP 、SNMP 、SMTP 、SQL 、FTP、DNS 等),所以它包含了大量潜在的攻击方法。第三,因为应用层有更多的安全漏洞,所以相对于较低的那些层,在该层检测并防范攻击更加困难。
为了成功地提供对应用层的安全保护,一个安全解决方案必须提供以下四种防护策略。
1)验证是否遵循标准
防火墙必须能够确定通信是否遵循相关的协议标准。违反标准可能意味着恶意的传输流量。任何不遵循严格协议或应用标准的传输必须在获准进入网络前对其进行仔细检查,否则关键业务应用程序将面临危险。例如:
• Voice Over IP(VoIP)VoIP 传输通常由 H.323 和 SIP 协议支持。这些协议的操作可能很复杂,因此有大量的通信端口支持 VoIP 呼叫的建立和维护。不正确的执行这些协议可能使 VoIP 部署变得脆弱并带来以下危险:
■ 呼叫重定向——接收器的呼叫被重定向
■ 盗用呼叫——呼叫者伪装成其他人
■ 拒绝服务(DoS )——阻止合法使用 VoIP

安全网关必须保证 H.323 和 SIP 命令完全符合适当的标准和 RFC ,且数据包在结构上有效并以正确的顺序到达。另外,防火墙应该检查所有通过许可端口的数据包内容,以确保它们包含安全的信息。
• HTTP 头信息中的二进制数据尽管官方的 HTTP 标准禁止在 HTTP 头信息中包含二进制字符,但这项规则并不明确,并且大多数防火墙未对此进行检查。结果,许多黑客利用在 HTTP 头信息中包含可执行代码发起攻击。所有的安全网关应该考虑如何阻隔或减少 HTTP 头信息和请求中包含的二进制字符。
2)验证协议是否遵循预期用法(协议不规则检测)测试是否遵循协议十分重要,但是判断协议中的数据是否遵循预期用法的能力同等重要。换句话说,即使一个通信流遵循协议标准,使用协议的方法也可能与预期不相符合。例如:
• HTTP 用于点对点(P2P)通信 P2P 是一种通信模型,其中的每一方都具备同样的能力,它们都能发起一次通信会话。P2P 应用程序分为两个主要类别:
■ 即时消息(IM)——主要目标是实现人与人之间直接的在线通信。
■ 文件共享网络——主要目标是共享存储一类的资源。

P2P 通信通常使用 TCP 端口 80,该端口常用于 HTTP 传输,因此对外的连接是开放的。虽然有许多专用的 P2P 协议,但 P2P 通信经常嵌入在 HTTP 传输中。在这种情况下,只进行是否遵循协议检查的防火墙将允许 P2P 会话(因为该会话使用标准 HTTP)。由于 HTTP 常用于 Web 传输,因此防火墙应该阻隔或仔细监测嵌入在 HTTP 传输中的 P2P 通信。
许多组织出于安全、带宽和法律原因希望阻隔或限制 P2P 传输。安全问题之所以被提出,源于P2P 通信的设计允许进行文件传输、聊天、游戏、语音和发送电子邮件,同时也用于绕过防火墙、病毒检测、登录和跟踪。结果,黑客们能够利用 P2P 作为攻击载体进入网络。安全网关应该阻隔未授权的 P2P 传输,换句话说,安全网关应该选择性的允许已授权的 P2P 传输。
• 目录遍历目录遍历攻击使黑客能够访问那些不应该进行访问的文件和目录,同时能导致他们试图访问未授权的资源,在 Web 服务器上运行非预期的可执行代码。大部分的这些攻击是基于文件系统中的“..” 符号。防火墙应该阻隔这样一些请求——在这些请求中,URL 包括符合语法但不符合预期用法的目录请求。例如,http://www.server.com/first/second/../../.. 就应该被阻隔,因为它试图进入根目录的更深层。
• HTTP 头信息长度过长HTTP 标准没有限制头信息的长度。但是,过长的头信息长度会偏离正常或预期的 HTTP 用法。应该阻隔或减少过长的头信息长度,以减少缓冲溢出的机会;因此,应该严格限制可以插入的代码长度。
3)限制应用程序携带恶意数据的能力即使应用层通信遵循协议,它们仍会携带可能破坏系统的数据。这样,安全网关必须提供一种机制,它能够限制或控制应用程序将潜在的危险数据或命令引入内部网络的能力。例如:
• 跨网站脚本攻击脚本为攻击应用程序提供一个共同的机制。尽管大多数脚本是无害的,不设防的用户还是能够很容易并且在无意识的情况下执行恶意的脚本。这些脚本经常隐藏在看起来无害的链接中,或伪装成电子邮件卡片。一个普通的恶意脚本的例子出现在跨网站脚本攻击中(XSS)。通过特殊技巧处理的 URL,使跨网站脚本攻击可以利用用户和网站之间的信任关系。攻击的意图是盗窃包含用户身份和信用在内的 cookies ,或欺骗用户为攻击者提供信用。通常,一个跨网站脚本攻击由 HTTP 请求中嵌入的脚本发起,用户在无意中将请求发送给可信任的网站。为了保护 Web 服务器,安全网关应该具有检测和封锁包含危险脚本代码的 HTTP 请求的能力。
• 限制和阻隔潜在的恶意 URL 恶意数据还可以将本身嵌入 URL 从而进入内部网络。例如,应用程序(电子邮件客户端)可以自动执行嵌入 HTML 的 URL 。如果 URL 是恶意的,网络或用户的系统将受到破坏。对潜在的恶意 URL 的访问应被阻隔和限制。

• 检测和阻隔攻击特征安全网关应该对所有的数据流执行内容过滤,以检测和阻隔有可能带
有攻击和蠕虫等危险的数据模式。4)控制应用层操作不仅应用层通信可以将恶意数据引入网络,应用程序本身也可能执行未授权的操作。一个网络
安全解决方案必须有能力通过执行“访问控制”和“合法使用”检查来识别和控制这样的操作。这种安全级别需要具有在细微处区分应用程序操作的能力。例如:
• Microsoft 网络服务网络安全解决方案可以使用 CIFS (基于 Microsoft 的通用 Internet
文件系统)的许多参数来实现安全策略。在 CIFS 支持的这些功能中,包括文件和打印共享操作。以这些操作的使用为例,安全网关应该有能力区分和阻隔那些来自用户或系统未被授权的文件共享操作。相反,来自同一用户的打印共享操作可能被允许和接受。提供这一高级的安全控制级别需要对 CIFS 的彻底理解,同时也需要具有控制应用层协议组件的能力。
• FTP 防火墙应该对特殊的文件名设置连接限制,并且控制像 PUT 、GET 、SITE 、REST 和 MACB 这样潜在危险的 FTP 命令。例如,安全策略可能对所有包含单词“payroll” 的文件需要进行操作限制。
网络和传输层:Application Intelligence 的必要基础
Application Intelligence 本身的形式与应用级防护相关联。然而实践中,许多针对网络应用程序的攻击实际上均指向网络层和传输层。黑客们以攻击这些较低层为手段来访问应用层,并最终达到攻击应用程序和数据本身的目的。同时,以较低层为目标,攻击可以中断或拒绝合法的用户和应用程序服务(如 DoS 攻击)。基于上述原因,Application Intelligence 和其他网络安全解决方案不仅必须要解决应用层问题,还要解决网络及传输层安全问题。
网络层安全
防止恶意的网络层协议操作(如 IP、ICMP )对于多层安全网关来说至关重要。攻击网络层的最普遍的载体是互联网协议(IP),它的一系列的服务都驻留在网络层中。网络层存在许多的危险和攻击,例如:
• IP 碎片 IP 碎片可用于发送和伪装攻击以避免检测。这项技术利用了 IP 协议本身固有的弹性机制(RFC 791 和 RFC 815),将攻击有意的分解为多个 IP 包,因此它们可绕过那些不能进行IP 包重组的防火墙。另外,IP 碎片可以通过不完整碎片序列发送 DoS 攻击。
• Smurfing(smurf 攻击)ICMP 允许一个网络结点向其他网络结点发送 ping 或 echo 请求,以确定它们的操作状态。这种能力可用于发起“smurf” DoS 攻击。由于标准 ICMP 与响应请求不匹配,因此 smurf 攻击是可能的。这样,攻击者可以发送一个带有虚假源 IP 地址的 ping 命令以访问到一个 IP 广播地址。 IP 广播地址可以到达特定网络中的所有 IP 地址。所有在已连通的网络中的机器将发送 echo 回复给虚假的源 IP。过多的 ping 和响应能够使网络性能集聚下降,导致无法提供合法的传输访问。此类攻击能够通过去掉不匹配的请求被阻隔,例如,Check Point 的Stateful ICMP 即可执行并监测到这一点。
传输层安全就像网络层一样,传输层和它的通用协议(TCP 、UDP )为攻击应用程序和数据提供了常用的接入点。传输层攻击和威胁实例如下:
• Non-TCP DoS Non-TCP (如 UDP 和 ICMP)DoS 攻击能够完全控制关键任务应用程序——例如 SMTP 、HTTP 、FTP 等,它们都使用了 TCP 传输。通过保留用于 TCP 连接的状态表专有部分及系统资源,防火墙可以避免这些威胁。如果非 TCP 连接试图利用过多的资源,TCP 连接将不受影响,因为它们已被保留或由专有的系统资源操控。
• 端口扫描端口扫描正如它的名字所述:黑客扫描目标主机上的一系列端口,希望识别和利用运行应用程序的弱点。端口扫描执行的检查存在导致被攻击的危险。安全网关必须能够发出警报,并阻隔或关闭扫描源的通信流量。

结论
防火墙已经成为网络安全基础架构的主要部分,这主要基于它们阻隔网络级攻击的能力。防火墙的成功另一方面也使黑客们又开发出更加复杂的攻击方法。新种类的攻击直接面向应用程序,经常试图利用应用程序本身固有的弱点或基本的通信协议中的弱点。因此,需要使用多层安全网关来保护公司网络免受这些威胁。另外,多层安全解决方案必须保护网络层和应用层免受攻击,提供对 IT 资源的访问控制。
Check Point Application Intelligence 具有一系列高级功能,与Check Point FireWall-1 NG 和 SmartDefense 集成,能够检测和防止应用层攻击。Check Point 针对越来越多直接针对关键应用的攻击行为,在业界提供了领先的安全解决方案。
Check Point 多层安全性:攻击防护安全措施和攻击阻隔具有 Application Intelligence 的 FireWall-1 NG 能够阻隔许多攻击并提供大量攻击防护安
全措施。此表列出一些防护措施,并将其按照协议和 OSI 模型层次归类。注意:Check Point 将不断扩展提供防护的范围。这是一张简表,而不是详细的清单。

应用层/表示层


• 阻隔 Java 代码 • 红色代码蠕虫和变异
• 去掉脚本标签 • 尼姆达蠕虫和变异
• 去掉 applet 标签 • HTR 溢出蠕虫和变异
• 去掉 FTP 链接 • 目录遍历攻击
• 去掉端口字符串 • MDAC 缓冲溢出和变异
• 去掉 ActiveX 标签 • 跨网站脚本攻击


• 识别出伪装默认的标识• URL 过滤• 限制 URL 最大的长度• 限制 HTTP 响应头信息的最大数量• 限制请求头信息的最大长度• 限制响应头信息的最大长度• 禁止 HTTP 响应头信息中的二进制字符• 禁止 HTTP 请求中的二进制字符• 验证 HTTP 响应协议遵循情况• 阻隔用户自定义的 URL • 限制最大的 GET 和 POST 长度 • 恶意 URLs • 用户自定义蠕虫和变异
HTTP 服务器 • 限制 URL 的最大长度• 区分同一连接的不同的 HTTP v1.1 请求• 限制响应头信息的最大数量• 限制请求头信息的最大长度• 限制响应头信息的最大长度• 在 HTTP 响应头信息中禁止二进制字符• 在 HTTP 请求中禁止二进制字符• 阻隔用户自定义的 URL • 限制非 RFC HTTP 使用方法• 在非标准端口加强 HTTP 安全(除 80 以外的端口)• 将传输流与用户验证的 SOAP 计划/模板比较 • 编码攻击• 跨网站脚本攻击• 跨多个包的,基于 HTTP 的攻击• WebDAV 攻击• 用户自定义的蠕虫和变异• 分块传输编码攻击
SMTP • 阻隔多重“内容类型”头信息• 阻隔多重“编码头信息”• 识别出伪装默认标识• 限制不安全的 SMTP 命令• 头信息指向验证• 限制未知编码• 限制不包含发送者/接收者域名的邮件信息• 限制特殊类型的 MIME 附件• 除去带有指定名称的文件附件• 严格加强 RFC 821 和 822 • ESMTP 命令监控 • SMTP 邮件洪水• SMTP 蠕虫和变异• 扩展的中继攻击• MIME 攻击• SPAM 攻击(大量电子邮件)• 命令验证攻击• SMTP 蠕虫有效载荷和变异• 蠕虫编码• 防火墙遍历攻击• SMTP 错误的拒绝服务攻击• 邮箱拒绝服务攻击(邮件过大)• 地址欺骗• SMTP 缓冲溢出攻击
RSH • 辅助端口监控• 限制反向入侵
RTSP • 辅助端口监控
IIOP • 辅助端口监控
FTP • 分析并限制危险的 FTP 命令• 阻隔定制的文件类型 • 被动模式 FTP 攻击• FTP 反弹攻击

• 识别伪装默认标识• 除去 FTP 参考 • 客户和服务器反弹攻击• FTP 端口注入攻击• 目录遍历攻击• 防火墙遍历攻击• TCP 分段攻击
DNS • 限制 DNS 区域传送 • DNS 请求不良包攻击• DNS 应答不良包攻击• DNS 请求缓存溢出 --未知请求/响应• 中间人攻击
Microsoft 网络 • CIFS 文件名过滤(利用 CIFS 协议抵御蠕虫攻击)• 限制对注册表的远程访问• 限制远程空会话 • 怪物蠕虫• 尼姆达蠕虫• Liotan 蠕虫• Opaserv 蠕虫
SSH • 增强 SSH v2 协议 • SSH v1 缓冲溢出攻击
SNMP • 限制 SNMP get/put 命令 • SNMP 洪水攻击• 缺省团体攻击• 暴力攻击• SNMP Put 攻击
MS SQL • SQL 解析器缓冲溢出• SQL 监狱蠕虫
Oracle SQL • 检验动态端口分配和初始化 • SQLNet v2 中间人攻击
SSL • 增强 SSL V3 协议 • SSL V2 缓冲溢出
VoIP • 校验协议域和值• 识别和限制 PORT 命令• 强迫强制域的存在• 强制用户注册• 防止 VoIP 防火墙漏洞 • 缓冲溢出攻击• 中间人攻击
X11 • 限制反向入侵

会话层
攻击防护安全措施 攻击阻隔
RPC • 阻隔 RPC portmapper 使用 • ToolTalk 攻击• snmpXdmid 攻击• rstat 攻击• mountd 攻击• cmsd 攻击• cachefsd 攻击
DEC-RPC • 阻隔 DCE-RPC portmapper 使用
HTTP 代理 • HTTP 代理执行:增强代理模式下的 HTTP 会话逻


• 根据证书撤消列表验证使用的数字证书

• IKE 暴力攻击

• 监控预共享密钥弱点

• 集中和星型拓扑攻击
• IKE UDP DoS 攻击
• Windows 2000 IKE DoS 攻击
• VPN IP Spoffing 攻击
• VPN 中间人攻击

传输层
攻击防护安全措施 攻击阻隔
TCP • 加强 TCP 标记的正确用法• 限制每个源会话• 强制最短的 TCP 头信息长度• 阻隔未知协议• 限制无 ACK 的 FIN 包• 使头信息中标识的 TCP 头信息长度不长于在头信息中标识的包长度• 阻隔状态包• 验证第一个连接包是 SYN • 执行 3 路握手:在 SYN 和 SYN-ACK 之间,客户只能发送 RST • 执行 3 路握手措施:在 SYN 和连接建立之间,服务器只能发送 SYN-ACK 或 RST • 在 FIN 或 RST 包相遇之前,阻隔已建立连接上的 SYN • 限制旧连接上的服务器到客户的包• 如果包包含 SYN 或 RST,则除去属于旧连接的服务器到客户包• 强制最小的 TCP 头信息长度• 阻隔 TCP 碎片• 阻隔 SYN 碎片• 抢夺 OS 指纹 • ACK 拒绝服务攻击• SYN 攻击• Land 攻击• Tear Drop 攻击• 会话劫持攻击• Jolt 攻击• Bloop 攻击• Cpd 攻击• Targa 攻击• Twinge 攻击• 小型 PMTU 攻击• 会话劫持攻击(TCP 序列号操作)• 跨多个包的,基于 TCP 的攻击• XMAS 攻击• 端口扫描
UDP • 校验 UDP 长度域• 匹配 UDP 请求和应答 • UDP Flood 攻击• 端口扫描

网络层


• 强制 IP 头信息中标识的包长度不长于实际的包长度
• IP 碎片拒绝服务攻
• 抢夺 OS 指纹


• 控制 IP 选项

• 松散源路由攻击
• 严格源路由攻击
• IP 欺骗攻击

• 阻隔大 ICMP 包
• Ping-of-Death 攻击
• 限制 ICMP 碎片

• ICMP Flood
• 匹配 ICMP 请求和应答

安全虚拟网络架构
所有的Check Point Software 产品均建立在我们的“安全虚拟网络(SVN )架构”之上,它可通过 Internet 、内部网和外部网环境为用户、网络、系统和应用程序提供安全和无缝的连接。Check Point Software 的 SVN 解决方案可通过遍布全球的业界领先的零售商和服务提供商处获得。
CheckPoint FireWall-1® 特性:
Check Point FireWall-1® 是行业领先的 Internet 安全解决方案,它提供最高级别的安全性,同时附带访问控制、内容安全、身份验证以及集成的网络地址转换(NAT)功能。只有 FireWall-1 能够提供真正的 Stateful Inspection 技术,它支持行业内最广范围的应用程序集,包括 IP 电话(VoIP)和多媒体应用程序。FireWall-1 也是第一个支持 XML/SOAP 和 Microsoft Common Internet File System(CIFS )的企业防火墙。此外,开放式安全性平台(OPSEC™)认证产品为客户提供了空前广阔的选择空间,可以选择诸如入侵检测和内容安全之类的产品来扩展他们的防护。

FireWall-1 和 FireWall-1 SecureServer 提供真正的企业防护,可以通过 OPSEC 认证的应用程序进行扩展。
产品优点:
● 为您的商务提供最大限度的安全保护
● 简化企业范围的安全部署和管理
● 利用最佳的解决方案构造灵活的安全基础设施
● 提供了多千兆位防火墙性能
● 为各种规模的网络提供了空前广泛的平台选择
产品特性:

● 基于 Stateful Inspection 的访问控制
● 集中的、基于策略的管理
● 可以通过范围广泛的 Check Point 和 OPSEC 产品进行扩展
● 通过 SecureXL 获得市场领先的性能
● 范围广泛的转钥硬盒子和开放式服务器平台无与伦比的安全保护FireWall-1 为全球财富 100 强中 93% 的企业和全球财政机构财富 500 强中超过 91% 的企

业提供安全保护。只有发明 Stateful Inspection 技术的 Check Point 才能提供真正的 Stateful
Inspection ——能够跟踪所有通信的状态和上下文,从而实现真正完善的网络保护。广泛的应用支持FireWall-1 凭借对超过 150 个预定义的应用和现有协议的支持,提供了业内最广泛的应用支
持。示例:
● Microsoft CIFS
● SOAP/XML

● 即时消息发送和点对点应用
● Windows Media 、RealVideo 和会话发起协议(SIP)
● 基于 H.323 的服务,包括 IP 语音技术(VoIP )和网上会议(NetMeeting)
● SMTP 、FTP、HTTP 和 telnet 信息流
● Oracle SQL 和 ERP

FireWall-1 不断发展以支持新的商务需求,因此一直在行业内居于领先地位。作为第一个支持Microsoft CIFS 的防火墙,FireWall-1 为文件和打印服务器提供了粒度访问控制,从而使您能够确保它们不会受到未经授权的使用。利用 FireWall-1 ,您能够限制在特定服务器上浏览或发布文档的人员。作为第一个可以检查 SOAP/XML 并且能够终止 SSL 连接的防火墙,使用 FireWall-1 就可以不必再部署一个单独的基础架构来确保 Web 服务的安全。
对 FireWall-1 的不断创新意味着该产品能够为您的组织提供最高级别的安全性。即使在公共端口运行 Web 应用程序(例如,即时消息发送和点对点应用程序)时,FireWall-1 也能检查它们。它是真正的安全基础设施基础,您可以通过一个可选的 UserAuthority 模块来添加单点登录功能,从而扩展 Web 应用程序和 CIFS 安全性。防御已知的和新的威胁
在今天的环境中,集中防御已知的和新的 Internet 威胁日益重要。FireWall-1 包含了SmartDefense™ 技术以保护您的公司免受各种类型的网络攻击——包括简单的包损坏以及极具破坏性的高级别攻击。例如,SmartDefense 自动阻隔并记录过大的数据包、SYN 洪水和碎片攻击。SmartDefense 还可以管理网络容量以及为关键任务的 TCP 连接(如 Email 和 Web 信息流)保留防火墙容量,从而减轻遭受拒绝服务(DoS )和分布式拒绝服务(DDoS )攻击的风险。
为了进一步防御新的威胁及可能的变种,可选的 SmartDefense 服务通过在线的 Check Point SmartDefense 攻击中心提供实时的攻击信息和防御更新。
粒度内容安全
FireWall-1 应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP 、SMTP 或 FTP 资源的访问。FireWall-1 SmartDefense 技术提供应用级的检查以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击。您可以选择范围广泛的 OPSEC 认证产品,添加防病毒扫描、URL 过滤和 Java 安全性等功能。

SmartDefense 运用智能安全技术,主动保护公司免受所有已知的和未知的网络攻击。
灵活的验证
在允许用户访问敏感的网络资源之前,组织必须确认其身份。通过 FireWall-1 可以在一个安全策略中集成大量的身份验证解决方案,包括 FireWall-1 和 LDAP 存储口令、基于令牌的产品、RADIUS 、TACACS+ 和 X.509 数字证书。
集成的网络地址转换
FireWall-1 提供 NAT 以隐藏内部网络地址。通过与 Stateful Inspection 技术集成,

FireWall-1 能够根据网络拓扑信息自动生成静态和动态的 NAT 规则。
SMART 管理
Check Point 安全管理架构(SMART™)解决方案能够使您将单个防火墙策略部署到无限数量的FireWall-1 网关并对其进行集中式管理。一旦创建或修改了策略,它就被自动分发到所有的位置。
SMART 用户界面
SmartDashboard™ 包含在集中式 SMART 管理解决方案中,它提供了一个唯一的用户界面,用于为多个 Check Point 产品创建和部署策略,从而简化管理。这使您能够将 FireWall-1 和 NAT 策略作为一个总体安全策略的一部分来管理,这个总体安全策略包括 VPN 、客户端安全性和 QoS 管理。可在所有应用程序中共享所有的对象定义(例如:用户、主机、网络和服务等等),以便进行有效的策略创建和安全管理。
SMART 状态与审核
SmartView Status™和 SmartView Tracker™ 包含于集中式的 SMART 管理解决方案。SmartView Status 能够监控 FireWall-1 以及其它 Check Point 和选择的 OPSEC 产品的系统状态。SmartView Tracker 能够为 Firewall-1 网关记录的所有连接提供实时的图像化跟踪、监控和统计信息。SmartView Tracker 还记录管理员对配置错误进行快速排除的操作。此外,管理员还可以使用 SmartView Tracker 搜索或过滤日志以快速定位或跟踪事件。
线速安全性
FireWall-1 通过正在申请专利的 SecureXL™ 技术为各种规模的机构提供市场领先的性能/价格比。支持 SecureXL 的解决方案可在各种构成因素(包括支持 SecureXL 的硬盒子、可选的防火墙和 VPN 加速卡以及一个可选的性能包软件模块)中获得,以满足部署需求。此外,对于可能发生Internet 链路拥塞的环境来说,可选的 FloodGate-1® 模块将提供灵活的服务质量管理。FloodGate-1 可以在 FireWall-1 网关上运行,它确保关键业务信息流(如 VPN 、数据库和 Web 服务信息流)具有最佳的性能。对于 VoIP 和多媒体信息流的其他控制,FloodGate-1 还提供低延迟排队。
不间断的安全性
对于那些寻找先进的高可用性和负载平衡的客户,Check Point 提供了一个可选模块——ClusterXL™。ClusterXL 能够通过集群网关分配各种类型的信息流。如果一个网关变为不可访问,所有新的和正在进行的连接都会无缝地重定向到剩余的集群成员。ClusterXL 驻留在网关中,不需要额外的硬件投资,并且很容易通过 SmartDashboard 进行配置。

SECUREVPN
FireWall-1 包含在 Check Point 行业领先的虚拟专用网络解决方案 VPN-1® Pro™ 之中。通过Check Point VPN-1/FireWall-1 对 VPN 信息流应用安全规则,以保证网络安全绝对的完整性。FireWall-1 安装可以很容易地升级到 VPN-1 。
SmartDefense
安全虚拟网络架构
您面临的挑战:
各种组织正面临着来自 Internet 不断增加的各种攻击的危险。随着这种威胁日益增加和日渐严峻,安全管理者需要加强警惕性以积极巧妙地阻隔 Internet 攻击。一个健壮、可靠的安全解决方案,不仅要有巧妙阻隔所有攻击的智能,而且能为安全管理者提供有关攻击的详细资料。有用的数字侦察信息结合实时的安全更新,可提供更好的防火墙安全并保护组织免受来自 Internet 的威胁。
我们的解决方案:
Check Point Software 的 SmartDefense™ 引入了一种新型的 Internet 安全产品:主动防御解决方案。SmartDefense 包含在 FireWall-1® 中,它采用了智能安全技术主动保护组织免遭所有已知和未知的网络攻击。SmartDefense 采用 Check Point 获专利的状态检测(Stateful
Inspection )技术,通过分类和分级阻隔攻击,并提供了一个独立的、集中式的控制台来获取攻击的实时信息,以及进行攻击检测、阻隔、日志、审核和警报。
产品特性:
●与 FireWall-1 完全集成
● 通过分类和分级阻隔攻击
● 在线安全更新
● 实时记录攻击细节和数字侦察信息
产品优点:

● 增强的网络安全性
● 检测和防卫所有的网络攻击
● 确保攻击防卫是最新的并保持整个安全环境的一致
● 增强了对攻击的了解和控制


SmartDefense 运用智能安全技术,主动保护组织免受所有已知的和未知网络的攻击。
集中式控制防范攻击
SmartDefense 为安全管理者应对攻击提供了独立的、集中式的控制。它可挫败范围广泛的各种攻击类型,包括拒绝服务攻击(DoS)、IP 攻击、网络侦测、Web 和应用程序弱点。另外,它集中配置报警、追踪和审核,从而提供了一个全面的网络防卫。
在线更新
Check Point 提供一项可选的 SmartDefense 更新服务,以确保 SmartDefense 客户能够获取
关于新出现的攻击的最新信息。这些在线更新扩展了 SmartDefense 的能力,提供了基于硬件和基于 ASIC 的防火墙无法提供的响应级别和灵活性。实时攻击信息
SmartDefense 的用户界面包括攻击的后台详情,并有超链接指向攻击的种类和特性的更多信息。通过 Check Point 丰富的日志数据和分布于分支结构中的日志,提供了有价值的攻击的数字侦察信息。这些数据为安全管理者提供有关攻击种类和潜在响应的信息,增强了他们对网络攻击的理解和控制。
被抵御的网络攻击
拒绝服务(DoS )攻击

● SYN 洪水攻击
● LANd
IP 攻击

● IP 欺骗
● IP 片段
● 非法和残缺的包
Web 和应用程序弱点

● DNS 攻击
● 违反协议
● 特殊应用程序弱点
● 特洛伊木马程序
● 后门和远程管理
● 移动代码(JavaScript 、Active-X)
● 隐藏的文件扩展名
网络侦测

● 端口扫描
● 服务扫描
HTTP 蠕虫 *

● 红色代码
● htr 溢出

● 尼姆达病毒

* 其他的蠕虫将在它们出现时添加2、Nokia 硬件防火墙介绍: z 采用硬件防火墙,便于机架安装,符合国际通用的电气标准
Nokia 防火墙为基于网络处理器NP 的硬件防火墙,标准19 英寸设备,便于机架安装,符合国际通用的电气标准。其具体产品参数请参见附件。z 防火墙的可升级性,更新的操作系统或软件必须支持以往的平台
Nokia 防火墙操作系统为安全路由操作系统IPSO ,其防火墙应用系统为CheckPoint 系列,均有良好的可升级性,更新的操作系统或软件支持以往的平台。z 防火墙的兼容性,是OPSEC 组织的成员,和世界大多数厂家产品有良好的兼容性OPSEC(Open Platform for Security )是Nokia 、CheckPoint 等公司倡导成立的国际安全组织。OPSEC 它是当今全球网络安全方面最权威、代表最广泛的组织,是国际安全厂家及组织的联盟,它们之间提供SDK 级别的互通互联特性,既它们之间的产品可以通过这个标准的SDK 接口进行互通。OPSEC 目前已经有超过325 个厂家的加入,各厂家包括了信息安全的各个领域,包括:防火墙,入侵检测,包括ISS,Enterasys 等,内容安全,PKI ,认证,管理,审计。
目前为止,OPSEC 有包括300 多家经过严格授权的、致力于网络安全各方面研究的软件和硬件合作厂商。它以成为网络安全开放式平台事实上的标准。如,入侵检测采用 SAMP(Suspicious Activity Monitorng Protocol),SAMP API 定义了入侵检测应用同 VPN-1/Nokia 防火墙通信的接口。入侵检测引擎使用 SAMP 来识别网络中的可疑行为,并通知防火墙处理。另外 SAMP 应用可以使用其他 OPSEC 接口和 API 来发送日志、告警和状态信息到 VPN-1/Nokia 防火墙管理服务器。因此,采用Nokia 的防火墙,就可以非常顺利的与其他信息安全产品良好的进行集成,从而建立一个完整的信息安全系统。z 至少提供四个以上端口,能够支持多种类型网络接口,接口的电器特性符合国际国内相
关标准.
Nokia IP380 ,其标准配置就带有4 个10/100M 以太网接口。同时分别带有2 个扩展插槽,可根据需求扩展相应的接口模块,接口模块的种类包括:2 端口10/100M 以太网,具备CSU/DSU 的T1/E1,V.35/V.21,ISDN-BRI 。
以上产品的所有的接口均符合国际及国内的相关标准。z 防火墙内部核心技术应采用国际最先进的状态监测技术
Nokia 防火墙中采用的是CheckPoint 获得专利的第三代防火墙技术状态检测Stateful Inspection 。能够提供更安全的特性。状态检测是防火墙的第三代核心技术,也是最新的防火墙核心技术,最初由CheckPoint/Nokia 发明,并获得美国专利(专利号5,835,726)。状态检测相比于较早的包过滤及应用网关方式的技术有较大的优势,包括更安全,性能更高、扩展性更好等。因此,目前,几乎所有的防火墙产品均声称自己是状态监测类的防火墙,但实际上在实现时有些产品的实现不完整。
为了提供更强壮的安全性,一个防火墙必须跟踪及控制所有通信的数据流。与传统的包过滤不同的是,状态检测通过分析流入和流出的数据流,跟踪数据流的状态及上下文,根据会话及应用的信息,实时确定针对该数据流的安全决策。状态及上下文信息必须包括:
 • 数据包头信息(源地址、目的地址、协议、源端口、目的端口、数据包长度)
 • 连接状态信息(哪个端口为哪个连接而打开)
 • TCP 及IP 分片数据(如分片号、序列号)
 • 数据包重装,应用类型,上下文确认(如该数据包属于哪个通信会话)
 • 防火墙上的到达端口及离开端口
 • 第二层信息(如VLAN ID)
 • 数据包到达及离开的时间

根据安全策略实施对通过防火墙的数据流进行控制,允许通过或采取相应措施。防火墙系统的安全规则,每一条表项都包括条件域、动作域和选项域,当有IP 包进入时,系统在安全策略中从第一个表项开始查起,如果符合,然后执行该表项指示的动作,状态检测技术针对协议,抽取连接的状态信息,并建立状态连接表项。当没有一条合适的表项时,系统的默认动作是拦截。
Nokia 全系列的防火墙均采用Nokia 独有的运营商级安全操作系统IPSO 。该操作系统专门对其进行了优化,不但提高了运行的性能,关键是提高了安全性。一般的开放操作系统拥有许多的网络服务,远程服务,而且可能存在一般用户不知道的漏洞,这对防火墙自身的安全是很大的威胁。NOKIA IPSO 操作系统从设计上做了大量的安全加强,保证防火墙自身的安全。IPSO 不带有任何不必要的2 进制代码和库结构,是一个安全紧凑的操作系统;
IPSO 操作系统覆盖了已知的各种漏洞,并且不断致力于发现和覆盖新的漏洞。
在美国信息周刊(Information Week) 组织的操作系统的安全漏洞研究中,基于Windows 的操作系统被发现至少47 个安全漏洞,基于Linux 的操作系统有超过50 个安全漏洞,而IPSO 未被发现有任何安全漏洞。其原因正是因为IPSO 是Nokia 专门为安全应用所设计开发的操作系统。z 防火墙需能够支持通常的路由模式,也支持不需要改变现有网络拓朴结构的透明模式,
而且需能够同时支持路由模式与透明模式
Nokia 防火墙支持路由模式、NAT 模式及透明模式三种工作方式。并且三种模式可同时工作。
支持以下一些常用协议:OSPF、RIP 、RIPII (路由协议),BGP-4,ARP, TCP/IP, IPX 、NETBEUI 、H.323v1/v2,UDP, ICMP, DHCP, HTTP, RADIUS, IPSec, MD5, SHA-1, DES, 3DES, IKE ,数字证书(X.509 V3)
Nokia 防火墙支持上述协议,其详细信息请参见附件产品说明。z 防火墙的访问控制可以基于协议、端口、日期、源/目的IP 等规则Nokia 防火墙不仅能够实现基于协议、端口、日期、源/目的IP 等规则,还具有其他更灵活丰富的规则设置,包括对VLAN 信息、用户信息、时间段VPN 加密,病毒扫描,邮件过滤,网页过滤等规则。
Nokia 防火墙支持超过 150 个预定义的应用、服务和现有的协议,包括一些最常用的应用,如 HTTP、SMTP 、FTP 和 telnet 。此外,Nokia 防火墙还支持一些重要的商业应用软件(如 Oracle SQL)、多媒体应用软件(如 RealVideo 和 Windows Media)以及基于 H.323 的服务(如 Voice over IP 和 NetMeeting)。等等。 支持多种用户认证类型,包括:防火墙本地认证,第三方的RADIUS 认证和RSA SecurID 认证z NOKIA 网络安全平台支持用户认证,会话认证,客户端认证三种防火墙本地认证。Check
Point 的开放式体系结构允许将大量的身份验证解决方案集成到一个企业范围的安全策略中,包括 Nokia 防火墙口令、智能卡、基于令牌的产品(如 SecurID)、LDAP 存储的口令、RADIUS 或 TACACS+ 身份验证服务器和 X.509 数字证书。
 防火墙能够提供VPN 加密功能,VPN 加密有防火墙到防火墙和用户到防火墙两种方式.okia 防火墙支持VPN 加密功能,支持端到端的VPN 隧道连接(防火墙到防火墙)及客户到端的VPN 隧道连接(移动用户到防火墙)。可以提供数据加密的新的高级加密标准(AES)、Triple DES 算法、DES 算法、FWZ-1 算法、DES-40 算法、CAST-40 算法多种算法。z 防火墙内置入侵检测功能
Nokia 全系列防火墙均内置入侵检测功能SmartDefense   能够与第三方安全产品进行很好的联动,尤其是与IDS (入侵检测系统)产品的联动,最大限度的提高整个系统的安全性z Nokia 防火墙能够很好的与各种入侵检测系统互动,能够最大限度的提高整个系统的安
全性。
实际上,Nokia 一直致力于提供给用户尽量完整的安全系统,如在同样的Nokia 平台上,可运行防火墙、美国ISS 入侵检测系统、TrendMicro 病毒/内容检查系统等多种安全应用,各安全系统可在Nokia 统一的管理系统下进行管理,可实现各安全部件之间的互动。z 支持内容过滤,可以过滤URL 地址、Java Script 、Active X 控件和ftp 控制命令(get,
put) 、畸形IP 攻击包、ICMP 恶意代码包,另外还能设置收件发件人邮件地址过滤和大邮件过滤策略
NOKIA 防火墙可以通过其集成的内容安全能力使用户免受病毒、恶意 Java 和 ActiveX applet 及不需要的 Web 内容的攻击。对于每个通过 Nokia 防火墙安全服务器建立的HTTP 、SMTP 或 FTP 连接,网络管理员可以更详细地来控制对特定资源访问。例如,访问可以控制到具体的 Web 页面及活动、FTP 文件以及操作(例如,PUT/GET 命令)、SMTP 的专用标题字段等等。可对如e-mail 附件大小、文件类型等进行检查,并可进行拒绝及转发等服务。
同时 Nokia 防火墙还可通过OPSEC 的SDK 接口与专门的内容过滤系统互动,进行更细致的内容检查。z 支持动态和静态地址翻译(NAT) 功能
NOKIA 防火墙支持动态和静态地址翻译(NAT) 功能,并且无数量限制。
Nokia 防火墙使用强大的、易于管理的网络地址翻译(NAT)在 Internet 上隐藏内部网络地址--避免将它们泄漏为公众信息。通过集成 Stateful Inspection 技术,Nokia 的NAT 实现了业界最安全的地址翻译,而且它支持范围广泛的 Internet 服务。根据网络管理员在建立对象(如主机、网络和网关)时提供的信息,Nokia 防火墙自动生成静态和动态的翻译规则。z 防火墙支持基于服务器轮流、负载优先、随机选取等算法的负载均衡技术,均分服务访
问负载
Nokia 防火墙支持组件提供服务器的负载平衡功能,提供方式包括服务器负载(Server Load)、域名平衡(Domain Name)、最快响应时间(Round Trip Delay)、服务器轮询(Round Robin)、随机选取(Random )等。z 支持高可用性,提供双机热备功能
Nokia 可以通过4 种方式提供防火墙的高可靠性HA:
z 标准的VRRP 协议(RFC2338)
z 动态路由协议
z 四层交换机
z 有的IP Cluster 技术

在上述4 种方式中,IP Cluster 技术是目前防火墙负载均衡技术中最先进的一种。这主要是因为它克服了以往防火墙HA 技术的许多不足之处。如,采用VRRP 协议实现HA 的主要问题在于,HA 的2 台防火墙是工作在一主一备的工作模式下,2 台防火墙实际上只有1 台在工作,无法做到负载均衡。这对于用户的投资而言是很大的浪费。其主要原因是受限于VRRP 协议本身,其定义的工作方式只有“一主一备”。
而采用动态路由协议或四层交换机方式的问题是,它们均需要对网络结构或配置进行修改,这使防火墙HA 受到了许多限制。
而Nokia 独有的IP Cluster 技术则克服了上述问题,其典型特点包括:
实施IP Cluster 无需对网络的配置进行修改
最多可4 台防火墙组成一个Cluster ,而通常VRRP 只能够2 台
在Cluster 中的防火墙是工作于负载均衡模式,所有的防火墙均正常工作。
动态负载均衡。当Cluster 中的某一台出现故障时,其负载将自动的平均分配到Cluster 中的其它防火墙中。
切换速度快,小于1 秒。并且当前运行的session 不会中断。这是因为IP Cluster 技术保证了Cluster 内所有防火墙的状态链接表是完全一致的。
因此,Nokia 能够提供技术能够提供功能更强大,应用更灵活的HA 解决方案。而传统的VRRP 方式则存在一定的问题。z 支持动态负载均衡技术
Nokia 防火墙支持动态负载均衡技术z 防火墙支持网络流量监视和CPU 负载统计
NOKIA 防火墙集成SmartView Monitor 组件,性能数据由网关执行点收集并连续不断地传输到 Check Point 中央管理服务器。该管理服务器将数据进行整合和分析之后,通过Check Point 的集成管理客户端进行显示。VPN-1 和 Nokia 防火墙中的用户可以在得短时间内启动并持续运行 SmartView Monitor ,而无需部署新的硬件或了解一个新的用户界面。与专门的网络监控方案相比,这样的集成可降低成本和复杂性。z 支持本地管理和远程管理,远程管理必须保证其安全性,系统管理员支持X.509 证书认
证或动态口令认证
NOKIA IP 网络安全平台支持本地管理和远程管理方式。本地管理和远程可以通过WEB 界面(通过SSL 加密),和Visual Policy Editor 策略编辑器(内部认证)管理。同时Nokia 防火墙还支持SSHv1v2 ,保证了远程管理的安全性。z 审计日志功能,支持对日志的统计分析
NOKIA 防火墙的组件SmartView Reporter 提供日志分析和统计,并可根据客户定义的时间,排位,内容,生成数据表格、图形报告。
Nokia 防火墙图形化的 Log Viewer 为 Nokia 防火墙执行点记录的所有连接提供实时的可视化跟踪、监控和统计信息。此外,它还记录管理员的活动(如,修改对象定义或规则), 这可极大地缩短排错所需的时间。管理员可以执行搜索或过滤日志记录来快速定位和跟踪感兴趣的事件。一旦发生攻击或者其他可疑的网络活动,管理员可以使用 Log Viewer 来临时或永久终止特定 IP 地址的连接。可选择的 Reporting Module 使管理员可以将详细的Nokia 防火墙日志转换为可操作的管理报告,使用简单直观的表和图形表示信息。可以使用预定义和自定义的报告模板来生成报告。z 支持网络流量控制和带宽监控功能,分析和分配不同类型的网络通信使用的带宽,可以
按照IP 地址、应用分类和时间段划分优先级,访问控制和流量过滤的策略支持用户自
定义
Nokia 防火墙支持上述流量控制及带宽控制功能,可以按照IP 地址、应用分类和时间段划分优先级,访问控制和流量过滤的策略支持用户自定义。z 实时告警功能,对防火墙本身或受保护网段的非法攻击支持多种告警方式如SNMP 告警、
EmaiL 告警、日志告警等等
Nokia 防火墙支持强大的告警功能,如遇攻击将可通过多种手段报警,包括SNMP TRAP 、电子邮件告警、日志告警等,同时还支持自定义的告警方式。z 防火墙支持VLAN 功能,支持对不同VLAN 间数据包的阻隔
Nokia 防火墙支持802.1Q VLAN ,支持对不同VLAN 间数据包的隔离。
Nokia 所有防火墙的百兆端口均同时支持10Mbps 和100Mbps 速率。 支持VPN 的硬件加速z Nokia 防火墙支持VPN 的硬件加速。z 支持IP/MAC 绑定
Nokia 防火墙的META IP 组件向用户和与网络连接的设备提供无缝的、容错性能极佳地IP 服务,可以实现MAC 地址绑定功能,防止地址欺骗攻击。通过它们,IP 地址、网络设备和 IP 服务可得到有效控制,还可以保护基础设备,使它们免于灾难性故障。Meta IP 是行业中第一个能够将基于策略的网络管理用于真正地以用户为中心的网络解决方案。它的成功得益于两项独特的技术优势:一是“DEN”(Directory Enabled Network )框架,二是“UAM” (User-to-Address Mapping™ 用户-地址映射)服务。
诺基亚开发商联盟(Nokia Security Developers Alliance Program ) 诺基亚与Check Point 的合作
诺基亚安全开发商联盟测试并批准满足客户要求的互操作应用,延伸了诺基亚所采用的最佳解决方案的价值。我们所选择的合作伙伴拥有能发挥协同效应的增值应用,能保护和促进客户在诺基亚全面解决方案上的投资。诺基亚安全开发商联盟有权批准产品进入诺基亚IPSO 操作系统,同时通过全面的测试保证互操作性,使客户可以彻底放心,使用起来更放心。目前提供的应用已经包括内容过滤、应用级安全、数据安全保障、安全策略管理和报表分析、实时事件记录等,我们随时都在推出更多应用。
Check Point 软件技术有限公司总裁Jerry Ungerman
"Check Point 很高兴与诺基亚合作,向市场提供卓越的互联网安全性解决方案。Check Point 和Nokia 一直在不断地刷新技术和创新的标准。我们与诺基亚的合作关系是最长、最成功的关系,而且我们将努力在将来取得更大的成功。"
诺基亚公司总裁Pekka Ala-Pietila
"诺基亚很高兴与Check Point 建立如此长期、紧密的工作关系。通过我们的合作,我们能够提升世界级互联网安全性解决方案的标准。我们很高兴我们的战略伙伴关系带来了明显的领先优势,这个领先地位也将随着两家公司继续共同创新,提供超凡解决方案而不断深化。
"
强强联合
世界各地的企业充分利用互联网无所不在的连接,获得了巨大的效益,整个企业的生产效率大大提高,运营成本降低,业务可以遍及全球,而且运营也更灵活,好处无胜枚举。但是今天全面连接的企业面临着是否要开放网络,允许全球访问同时还要控制对宝贵资源的访问和安全性。要想最大限度地挖掘互联网的潜力,企业需要部署不断加快业务增长的应用。Nokia 和Check PointTM 软件技术有限公司携手提供全套系统,将同类最好的软件全面与各种目的、易于实施和运行的平台集成-所有产品都享受诺基亚“一个电话-彻底解决”的全球支持和服务。
紧密的合作,成就领先“诺基亚与Check Point 合作,在千兆防火墙设备(Nokia IP740) 中提供的价值和卓越的性价比,这进一步加强了它们各自的强大地位,形成了强强联合之势。"
-Joel Conover, Current Analysis 分析家
强强联合——综合双方在安全性方面的专长,诺基亚与市场领导者Check Point 提供业界最好的安全性解决方案,推进客户的需求。
诺基亚和市场领导者已经有6 年的战略合作关系,双方均有独特的优势,提供业内最优秀的安全性解决方案,满足千变万化的市场需求。今天,Check Point 软件技术公司是互联网安全性方面的全球领导者,而诺基亚是安全性系统和移动通信的全球领导者。他们联手在专用的设备上提供市场领先的虚拟专用网和安全性应用,并辅之以全面的系统管理和全球支持服务。客户和渠道合作伙伴都将继续享用到 Check Point VPN-1?FireWall-1? 的好处,同时还获得诺基亚设备带来的价值――预安装、预先配置,且从开始就专为全球的企业安全建设而设计的。
现在双方的考虑重点是,在诺基亚整个IP 系列的安全系统上紧密集成、全面优化、严格测试、正式验证Check Point VPN-1/FireWall-1 。从"Secured by Check PointTM" 认证到吞吐量性能,所有细节全部涵盖,使上文所提的互联网安全系统能够快速部署、无忧地安装,同时具有无可比拟的强韧性。
各个层面的深度合作
紧密集成的诺基亚/Check Point 产品组合受到广泛的市场好评,这使双方都愿意进一步在合作工程、市场推广、渠道和销售活动上进行更大的投资。
2001 年12 月,诺基亚和Check Point 发布联合公告,进一步深化强强联合的合作关系。在公告中,Check Point CEO 兼主席Gil Shwed 说,“我们双方已经在VPN/firewall 专用设备市场中建立了明显的领先地位,并且通过扩大我们的联盟,我们将继续向市场提供最吸引人的安全性解决方案”。诺基亚国际互联网盟,我们将继续向市场提供最吸引人的安全性解决方案”。诺基亚国际互联网通信部的副总裁兼总经理John Robinson 说:“我们将携手整合我们各自最强的优势,创建一个集大成的解决方案,一个真正没有对手的解决方案,同时我们将密切注意客户的重要需求,并继续推动市场要求的发展。”
Nokia 和Check Point 在业务的各个层面进行整合,提供可扩展的解决方案,满足客户的要求。
产品
Nokia 和Check Point 解决方案领导市场,提供大量安全性专用设备,从远程用户到数据中心,全面满足企业的要求。结合全面集成的体系结构,这些设备不仅易于安装、部署,而且通过管理工具用户可以轻松进行管理。更重要的是,所有解决方案都提供安全、可靠的连接,易于管理,具有卓越的性价比。
广泛的产品线还有诺基亚世界一流的“一个电话-彻底解决”支持服务作后盾,客户能够通过一个产品便可部署多个解决方案,保证了分布式企业的所有单元的安全。正是因为这种深层的整合,客户和经销商将诺基亚的平台作为 Check Point VPN-1/FireWall-1 的首选。
销售与市场推广
向市场推出协调一致的声音和构想,客户会知道这种强强联合的合作是他们不想错过的投资举措。联合市场推广活动包括由独立的第三方进行产品评估,共同推出新闻稿、共同进行广告、向行业分析家进行网上宣传,共同进行巡展、参加展会、共同推出市场激励计划等等。在销售方面,双方的客户代表定期参加双方出资的培训活动和销售会议,定期进行联合销售电话。
工程
诺基亚和Check Point 在每个软件版本上进行广泛的合作,优化提供给客户的好处。此外,他们积极地开发新的创新产品,充分利用各自的安全性和连接专长。
协作技术——创新"企业和可管理的服务提供商面临着三大挑战:即安全性、可靠性和性能。诺基亚和Check Point 再次以创新的方法解决了这些需求。
-Mark Bouchard,, META Group 分析家
诺基亚和Check Point 共同完成多个开发项目,来增强安全性、可靠性、性能和管理能力,涉及远程用户和大型数据中心。诺基亚专利的IP 集群与Check Point 防火墙/VPN 同步特性集成在一起提供业界无可比拟的可靠性和可扩展性,允许多个设备集群在一起充当一个网络实体。一旦发生故障,防火墙和VPN 业务能够瞬时保持住,负载“智能”地分布在整个集群上。因此,用户还可以享受到准线性性能和快速升级,而不必停机。
Firewall Flows 可大大提高诺基亚安全性设备上的Check Point FireWall-1 运行性能,现在它成为诺基亚安全性增强操作系统的关键结构性组件。这项技术融合了可降低每数据包开销的Check Point SecureXL 性能API 的早期单元。这个成果是操作系统、硬件和应用领域的工程师共同努力的结果。各方紧密合作使防火墙的每秒数据包的吞吐性能呈三倍增长。即使在将来,当IP 网络融合无线技术,诺基亚和Check Point 的整合专长将继续为连接的世界提供市场领先的系统。诺基亚与Check Point 在许多其它领域的合作证明了业界领先的战略伙伴关系是如何在所有业务层面取得新高的。
市场对世界级产品组合的认可"诺基亚和在安全性家电设备领域的领先地位向世界证明了一个成功的伙伴关系。安全性家电设备是安全性领域发展最快速的一个部分。” -Chris Christiansen, IDC 分析家
诺基亚与Check Point 六年的战略伙伴关系被证明是一个巨大的成功,无论是对合作的双方还是对全球的客户和分销合作伙伴都是如此。他们的强强合作现在涉及大量已安装设备,已经售出的100,000 多个平台,占防火墙/VPN 家电设备市场 31%的份额(Gartner 集团2001 年10 月的调查),是第一种紧凑型防火墙,第一种带GUI 的防火墙。诺基亚是第一个“被Check Point 保护”的合作伙伴。Check Point 的 VPN-1 和 FireWall-1 产品是VPN 防火墙市场中无可争议的领导者,占据65%的绝对市场份额 (IDC, 2002 年8 月的调查报告)。领先的技术、可管理性和可互操作性是成功的一部分原因,另一个原因是,Check Point 被称为世界第一软件公司。商业周刊 (Info Tech 100 期,2001 年6 月18 日)
在过去两年的合作当中,诺基亚的专用设备成为运行市场领先的Check Point VPN-1/FireWall-1 的理想之选。根据IDC 2001 年6 月的研究,诺基亚的产品线在全球的防火墙/VPN 专用设备市场中增长最快,2000 年的增长率达到430% 无可比拟的协同效应才开始
前六年的合作为诺基亚和Check Point 创造了一个创新和成功的传统,提供了紧密合作的宝贵财产,同时也得到了市场的回报。这个传统是我们所依赖的基石,我们双方都会继续通过团队协作在每天的实际行动中遵从这个传统。产品的卓越使诺基亚和Check Point 频频获奖,业界将继续认同这种合作关系产生的力量。
合作结晶
以下奖项由业界媒体颁给Nokia/Check Point VPN 防火墙应用产品
年度最佳防火墙-
《英国网络电信》
(2000 年6 月) 真实世界实验室
最佳标识-
《网络计算机》德国版
(2001 年4 月) 编辑推荐奖-
《网络新闻》
(2001 年4 月) 最佳防火墙-
《安全计算》
(2000 年4 月) 最佳安全硬件-
《安全计算》
(2000 年4 月) 最佳连接大奖,
最佳企业防火墙系统-
《网络计算机》
(2000 年5 月) 编辑推荐奖-
《网络计算机》
(2000 年4 月) 最佳连接大奖,
最佳企业防火墙系统-
《网络计算机》
(2001 年5 月) 2002 年卓越大奖,
防火墙设备
《信息安全》
(2002 年3 月)

以下产品中国区总代:
Checkpoint+Nokia;Allot;BlueCoat;Tippingpoint;
Riverbed;Solarwinds;Packeteer;
电话:13451847988 E-MAIL:chenmo@mtechpro.cn
啥?你想要买盗版DVD?!!这个.....
帅哥 ks_750001 当前离线  
回复时引用此帖
发表新主题 回复

主题工具

发帖规则
不可以发表新主题
不可以发表回复
不可以上传附件
不可以编辑自己的帖子

启用 BB 代码
论坛启用 表情符号
论坛启用 [IMG] 代码
论坛禁用 HTML 代码

论坛跳转


所有时间均为北京时间。现在的时间是 19:29


Powered by vBulletin® 版本 3.8.3
版权所有 ©2000 - 2018,Jelsoft Enterprises Ltd.
增强包 [3.4] 制作: PHP源动力   官方中文站: vBulletin 中文
Copyright © 2003 - 2013 Net130.com, All Rights Reserved 备案号:皖ICP备11007528号