VPN-1 Power VSX
Обзор
VSX - виртуализованный шлюз безопасности, позволяющий создавать на единой аппаратной платформе сотни виртуализованных систем безопасности. При этом обеспечивается консолидация инфраструктуры и значительно снижаются расходы на ИТ. Созданный на основе VPN-1® Power, VSX сочетает лучший в своем классе межсетевой экран, поддержку VPN, URL-фильтрацию и средства предотвращения вторжений. VSX обеспечивает безопасное соединение между сетями, а также между сетями и такими ресурсами, как интернет и демилитаризованные зоны. Все системы безопасности - физические или виртуализованные - управляются централизованно с помощью Check Point SmartCenter или Provider-1. Мощные устройства VSX-1 позволят Вам снизить стоимость развертывания систем безопасности, обеспечивая надежность и масштабируемость уровня операторского класса
Обладая виртуализованной сетью из сотен маршрутизаторов, коммутаторов и шлюзов VPN-1, с помощью VSX Вы экономите рабочее пространство и снижаете затраты на ИТ. VSX является идеальным выбором для провайдеров услуг управления (MSP, management service provider), поскольку обеспечивает возможности быстрого и эффективного предоставления новых услуг по безопасности, в числе которых: фильтрация содержимого, VPN, сегментация сети и услуги межсетевого экранирования.
Преимущества
- Уникальное и комплексное решение по виртуализованной безопасности, включающее межсетевой экран, VPN, систему предотврашения вторжений и URL-фильтрацию
- Позволяет объединять сотни шлюзов безопасности в едином устройстве, повышая коэффициент использования оборудования и экономя энергию, пространство и затраты на охлаждение
- Высокая масштабируемость с производительностью до 27 Гб/с
- Гибкие варианты поставки - программное обеспечение или линейка аппаратных устройств
- Единая архитектура управления безопасностью
Гибкие варианты поставки
- Аппаратное устройство - Полноценная линейка мощных и масштабируемых устройств VSX-1 позволяет соответствовать требованиям безопасности любой сети
- Программное обеспечение – ПО VPN-Power VSX можно установить на открытых серверах, сертифицированных Check Point для ПО SecurePlatform™
Свойства
- Масштабируемая виртуализованная среда
- Гибкое соединение виртуализованных систем
- Высокопроизводительная защита
- Комплексные услуги по безопасности
- Проверенная архитектура управления безопасностью
- Возможности для провайдеров услуг
Масштабируемая виртуализованная среда
С помощью VSX (ПО или аппаратного устройства) администраторы могут создавать виртуализованные версии популярных физических топологий и дизайнов сети, например, центральных и демилитаризованных зон. VSX позволяет создавать и управлять 250 полностью независимыми системами безопасности на единой или кластерной аппаратной платформе. При этом повышается масштабируемость, значительно снижаются инвестиции в оборудование, необходимость в помещении и затраты на поддержку.
Гибкое соединение виртуализованных систем
Так же, как обычные маршрутизаторы и коммутаторы, виртуализованные маршрутизаторы и коммутаторы можно использовать для перенаправления трафика в сетях, применяемых для виртуализованных систем. VSX обеспечивает гибкое сетевое соединение и способен поддерживать широкий спектр сценариев маршрутизации.
- Виртуальная система в режиме моста
VSX подготовлен для работы с виртуализованными системами в режиме моста или маршрутизатора. Развертывание виртуализованных систем в режиме моста позволяет администраторам использовать уровень-2 (bridge) вместо IP-маршрутизации, а также добавлять к сети виртуализованные системы без необходимости правок в настройках сети и топологий.
- Распространение настроек маршрутизации
При соединении виртуализованной системы с виртуализованным маршрутизатором или коммутатором, администратор может распространить информацию по маршрутизации на подсоединенные виртуализованные устройства. Благодаря этому сетевые узлы, которые соответствуют виртуализованным системам, могут взаимодействовать без необходимости ручной настройки.
- Перекрывающийся пул IP-адресов
С устройством VSX проще выполнить соединение, при котором многие сетевые сегменты имеют один диапазон IP-адресов, например, когда шлюз VSX обеспечивает защиту нескольких независимых сетей, назначающих конечным точкам сети IP-адреса из одного пула. Таким образом, одинаковый IP-адрес могут иметь несколько конечных точек сети, при условии, что каждая из них принадлежит различным виртуализованным системам. Перекрывающийся пул IP-адресов в средах VSX возможен, поскольку каждая виртуализованная система обладает уникальными таблицей состояния и таблицей маршрутизации. Данные таблицы могут содержать идентичные записи, но внутри различных изолированных областей.
- Маршрутизация на основе источника пакета
Маршрутизация на основе источника пакета позволяет администратору определять критерии маршрутизации, превалирующие над обычным способом маршрутизации (на основе доставки). Маршрутизация пакетов выполняется согласно IP-адресу источника пакета или одновременно по двум IP-адресам - источника и назначения пакета. Маршрутизация на основе источника пакета особенно полезна, когда единый физический интерфейс без тега VLAN соединяет несколько защищенных сетей заказчика. Каждая виртуализованная система соединена с внутренним виртуализованным маршрутизатором, который обеспечивает маршрутизацию трафика к виртуализованной системе на основе IP-адреса источника пакета. IP-адрес задан в таблицах маршрутизации.
- Динамическая маршрутизация
Виртуальные устройства могут взаимодействовать и обмениваться маршрутами благодаря динамической маршрутизации. Для виртуализованных систем и маршрутизаторов VSX обеспечивает динамическую маршрутизацию третьего уровня с поддержкой следующих протоколов: OSPF, RIP-v1/2, BGP-v4, IGMP, PIM-SM, PIM-DM.
Высокопроизводительная защита
Для сетей высокой пропускной способности необходимы высокопроизводительные шлюзы, рассчитанные на поддержку тысяч приложений и пользователей. В VSX применяются технологии ускорения Check Point SecureXL™, что позволяет получать максимальную пропускную способность устройств и открытых серверов, даже во время DoS-атак. VPN-1 Power VSX может развертываться на ряде платформ операторского класса, что позволяет получать многогигабитные уровни пропускной
способности по защищенному трафику, обеспечивая защиту на скорости протокола. VSX обладает следующими характеристиками для достижения максимальной производительности, мощности и масштабируемости системы:
- Балансировка нагрузки виртуализованой системы (VSLS, Virtual System Load Sharing) позволяет распределять виртуализованные системы по узлам кластеров, эффективно распределяя тем самым нагрузку трафика внутри кластера.
- Контроль использования ресурсов VSX дает возможность администраторам управлять нагрузкой, обеспечивая оптимизацию потребления ресурсов процессора каждой из виртуализованных систем. Ненужные одной виртуализованой системе ресурсы автоматически становятся доступны другим виртульным системам. Кроме того, администраторы могут ограничить время нагрузки процессора для систем с низким приоритетом и увеличить его для критически-важных систем.
- Технология обеспечения гарантированного уровня качества сервиса в сетевой среде VSX осуществляется благодаря поддержке протокола Differentiated Services (DiffServ) и заданию оптимальных характеристик передачи для различных уровней обслуживания. При сильной загрузке ресурсов сетевой инфраструктуры данная технология позволяет установить приоритеты, по которым обрабатывается трафик.
- ClusterXL: Применение данной технологии кластеризации позволяет распределять нагрузку и обеспечивает высокую доступность для бесперебойной работы системы защиты. Трафик между кластерами резервных шлюзов распределяется таким образом, что при отказе одного из них другой немедленно принимает на себя все сетевые функции и функции защиты.
Комплексные услуги по безопасности
Благодаря применению технологий FireWall-1® и SmartDefense™, устройства VSX обеспечивают в сложных инфраструктурах комплексную защиту сетей или виртуализованных локальных сетей VLAN, устанавливая защищенные соединения c совместно используемыми ресурсами, такими как интернет и демилитаризованные зоны. Шлюзы VSX основаны на запатентованной технологии Check Point Stateful Inspection, являющейся стандартом де-факто для интернет-безопасности. Без дополнительной настройки поддерживается
более 150 приложений, протоколов и служб. VSX обеспечивает защиту от угроз безопасности широкого спектра приложений, используемых бизнесом при входе в сеть. В числе предоставляемых услуг безопасности:
- URL-фильтрация - защищает пользователей и ограничивает проникновение постоянно обновляемого вредоносного контента
- Поддержка Voice over IP - поскольку многие компании используют приложения VoIP с целью снижения расходов на связь, VSX обеспечивает комплексную поддержку протокола VoIP для защиты бизнес-коммуникаций. В числе поддерживаемых протоколов VoIP: H.323, SIP, MGCP и Skinny (SCCP).
- Системы моментальных сообщений и одноранговые сети являются частыми объектами атак со стороны вирусов, червей и шпионского ПО. VSX обеспечивает защиту данных приложений благодаря проверке контента и предотвращения вторжений при входе в корпоративную сеть.
VSX поддерживается службой SmartDefense, которая обеспечивает оперативное получение текущих обновлений и средств защиты от новых угроз. Кроме того, VSX обеспечивает гибкий защищенный удаленный доступ благодаря широкому выбору моделей клиентского доступа (IPSec, SSL VPN, мобильный доступ).
Проверенная архитектура управления безопасностью
Управление VSX осуществляется с помощью решений Check Point SmartCenter™и Provider-1®. Это мощные
средства централизованного конфигурирования, управления
и мониторинга шлюзов VSX, виртуализованных систем
и физических шлюзов VPN-1, основанные на архитектуре
Check Point Security Management Architecture (SMART). Выбор
одного или другого из них определяется требованиями
конкретной сети. Кроме того, технология Check Point One-Click
VPN позволяет легко включать в состав VPN-сообщества дополнительные виртуализованные системы. При этом используется
автоматическое наследование необходимых свойств, так что
новая система оказывается немедленно готова проводить
защищенные сеансы с любыми другими членами сообщества
VPN. Использование дополнительных инструментов, таких
как мастера создания виртуализованных систем и шаблоны,
дополнительно упрощает процесс развертывания и
конфигурирования VSX.
Используя VSX с Provider-1, предприятие может сегментировать различные группы пользователей, классифицировать сеть по функциональным признакам или поделить ее на сегменты. Тем самым, администраторы могут устанавливать отдельные политики безопасности для различных сегментов сети и делить крупные базы правил на несколько, чтобы упростить управление и усилить контроль системы сетевой безопасности.
Возможности для провайдеров услуг
VSX обеспечивает применение политик безопасности нажатием одной кнопки, что позволяет провайдерам услуг предлагать услуги безопасности по самой низкой цене. Новые возможности включают URL-фильтрацию, благодаря которой обеспечивается безопасность пользователей и ограничивается доступ вредоносного контента.
Спецификации
VSX можно приобрести в виде аппаратного устройства или программного обеспечения на открытом сервере.
VSX-1 3070 |
VSX-1 9070 |
VSX-1 9090* |
|
|---|---|---|---|
| VSX version | R65 | R65 | R65 |
Virtual Systems
|
|||
| Included | 5 | 10 | 10 |
| Capacity | 10 | 150 | 150 |
Performance
|
|||
| FireWall Throughput (Gbps) | 4.5 Gbps | 13.5 | 27 |
| VPN Throughput (Gbps) | 1.1 | 3.5 | 7 |
| Concurrent Sessions | 1 Million | 1.1 Million | 1.8 Million |
Interfaces
|
|||
| Built-in Interfaces | 10 Copper GbE | 14 Copper GbE | 28 Copper GbE |
| Optional interfaces | N/A | LOM 2x4 1 GbE Fiber 2x4 1GbE Copper 2x2 10 GbE |
LOM 2x2x4 1 GbE Fiber 2x2x4 1GbE Copper 2x2x2 10 GbE |
Storage
|
|||
| Enclosure | 1U | 2U | 4U |
| Dimensions (standard) |
17.4 x 15 x 1.73 in. | 17 x 20 x 3.46 in. | 17 x 20 x 7 in. |
| Dimensions (metric) |
443 x 381 x 44mm | 431 x 509.5 x 88mm | 431 x 509.5 x 176mm |
| Weight | 6.5kg (14.3 lbs) | 16.5 kg (36.3 lbs) | 33 kg (72.6 lbs) |
Power
|
|||
| Dual, hot-swappable power supplies | No | Yes | Yes |
| Power Input | 100 ~ 240V; 50 ~ 60Hz | ||
| Power Supply Spec (Max) | 250W | 400W | 800W |
| Power Consumption (Max) | 77.5W | 200.7W | 400.5W |
| Operating environment range | Temperature: 5° to 40° C, Humidity: 10%-85% non-condensing, Altitude: 2,500m | ||
| Compliance | UL 60950; FCC Part 15, Subpart B, Class A; EN 55024; EN 55022; VCCI V-3AS/NZS 3548:1995; CNS 13438 Class A (test passed; country approval pending); KN22KN61000-4 Series, TTA; IC-950; ROHS | ||
*Embedded Load Sharing solution for VSX-1
Для ПО:
Ведется проверка на совместимость программного обеспечения VPN-1 Power VSX с широким спектром доступных сейчас и готовящихся к выпуску аппаратных платформ.hardware platforms.
System Requirements |
|
|---|---|
| Platforms | SecurePlatform™ compatible Open Servers, Crossbeam X Series, IBM BladeCenter (firewall module only), Nokia IPSO |
| Processor, Disk space, Memory, Network interfaces | Intel Pentium II 1GHz-plus or equivalent processor, 4 GB, 256 MB, Three interfaces minimum (four for a VPN-1 Power VSX cluster) |
| SmartDashboard platforms, Disk space Memory | Windows 2000/2003/XP/ME/98, 100 MB, 256 MB |
| Provider-1 platforms, Disk space, Memory | SecurePlatform™, Linux, Solaris 800 MB; 50MB for each CMA 256 MB |
| Remote access client platforms, Disk space, Memory | Windows 2000/XP/2003, Macintosh, Linux, 20 MB, 64 MB |
Technical Specifications |
|
|---|---|
Firewall
|
|
| Protocol/Application support | Secures more than 200 applications and protocols |
| VoIP Protection | SIP, H.323, MGCP, and SIP with NAT support |
| Instant Messaging Control | MSN, Yahoo, ICQ, and Skype (including over HTTP and SSL) |
| Peer-to-peer Blocking | Kazaa, GNUTella, BitTorrent, eMule, IRC (including over HTTP) |
| Network Address Translation | Static/hide NAT support with manual or automatic rules |
URL Filtering
|
|
| Secure Internet Access | Activated per virtual system |
| Site Categories | Dozens of pre-configured categories with exception overrides. |
| Monitoring | Optional activation of use monitoring |
| White/Black Lists | Control access to specific user-defined sites. |
VPN
|
|
| Encryption Support | AES 128-256 bit, 3DES 56-168 bit |
| Authentication Methods | Password, RADIUS, TACACS, X.509, SecurID |
| Certificate Authority | Integrated X.509 certificate authority |
| VPN communities | Automatically sets up site-to-site connections as objects |
| Topology Support | Star and mesh |
| VPN Routing | Link selection for gateways with dynamically allocated IP addresses, generic route encapsulation (GRE) support, wire mode VPN |
| VPN Client | Check Point Endpoint Security, VPN-1 SecureClient, VPN-1 SecuRemote |
| SSL-based remote access | Fully integrated SSL VPN gateway provides on-demand SSL-based access |
| SSL-based endpoint scanning | Scans endpoint for compliance/malware prior to admission to the network |
| Site-to-site VPN | Explicit multiple entry point (MEP) configuration support |
| VPN tunnel management | VPN links can be configured to be "always" on |
Intrusion Prevention
|
|
| Network-layer protection | Blocks attacks such as DoS, Port Scanning, IP/ICMP/TCP related |
| Application-layer protection | Blocks attacks such as DNS cache poisoning, FTP bounce, improper commands and more |
| Detection Methods | Signature-based and protocol anomaly |
Networking
|
|
| Virtualization | Complete virtualization of all networking components such as virtual routers & switches |
| VLAN interfaces | 4096 per cluster |
| Dynamic Routing Support | OSPF, BGP, RIP v1/2, Multicast in multiple virtual system mode |
| DHCP Support | SecurePlatform™ DHCP Relay |
| Layer-2 bridge support | Transparently integrates into existing network |
Performance and Availability
|
|
| Failover recovery | Active/standby bridge mode for instantaneous failover |
| Load balancing | VSLS (virtual system load balancing) to distribute VS load across cluster members |
| Quality of Service | Support for Differentiated Services for outbound and inbound traffic |
| ISP Redundancy | Automatically reroutes traffic to second interface |
| Traffic Acceleration | SecureXL accelerates security decisions |
Performance and Availability
|
|
| Policy segregation | Virtual and logical grouping of customers, global and customer specific security and VPN policies* |
| Centralized management | Logging, monitoring, event correlation, reporting, security updates, VPN and large-scale policy management and management high availability |
| Role-based administration | Global and granular administrative access and permissions, multiple simultaneous administrator access* |
| Log management | Automatic log maintenance and consolidation |
*Available with Provider-1
Сервис и гарантии
Компания Check Point предлагает множество вариантов технической поддержки клиентов. В случае возникновения проблем с устройством, заказчик должен открыть Сервисную заявку (Service Request). При купленной сервисной программе Direct Support заказчику необходимо самостоятельно открыть заявку. При приобретенной программе CES сервисная заявка должны быть открыта сервисным партнером. Заказчик или партнер могут создавать заявку онлайн в разделе SecureTrak Service Request Center либо позвонить в Check Point.
Сервисные программы по аппаратным устройствам
Программы Check Point по сервисной поддержке устройств обеспечивают техническую поддержку, обновления и апгрейды ПО, а также замену неисправного оборудования.
Дополнительную информацию Вы можете найти в разделе "Сервисные программы" (Support Programs) или в разделе "Сравнение сервисных программ" (Compare Programs).
Гарантия на оборудование
Если в течение гарантийного срока обнаружится аппаратный дефект в устройстве, то заказчик может провести процедуру возврата дефектной продукции (RMA, Return Material Authorization). Отправка и доставка устройств будут выполнены согласно условиям заключенного сервисного договора.
Политика Check Point жизненного цикла сервиса предприятий
Политика Check Point жизненного цикла сервиса предприятий содержит рекомендации по сервису и его жизненному циклу. Данная политика была создана, чтобы стандартизировать практики, относящиеся к жизненному циклу сервиса, помогая заказчикам принять более взвешенные решения о покупке, апгрейде и сервисе продуктов.
Все продукты Check Point (за исключением продуктов других компаний в прайс-листе Check Point) попадают под действие данной политики. Заказчики с действующей сервисной программой Check Point могут воспользоваться преимуществами политики.
-
С чего начать
Отзывы заказчиков
Ресурсы
Узнайте также о продуктах