Правительство нижегородской области
Официальный сайт
Вход для пользователей
Информатизация

Защита внутри сети: организация внутренней защиты информационных систем и сервисов предприятий на базе решений Check Point

 

Система централизованного управления информационной безопасностью распределенных корпоративных сетей

Сегодня рынок предлагает потенциальным клиентам значительное количество средств защиты информации, реализующих функции межсетевого экрана и поддерживающих технологию VPN (Virtual Private Network). Использование указанных средств в качестве основы для создания защищенных территориально распределенных сетей обеспечивает высокий уровень защиты для сетевых ресурсов клиента при осуществлении межсетевого взаимодействия. Но в то же время перед компаниями, имеющими разветвленную филиальную и/или партнерскую сеть, а, следовательно, использующими сложную сетевую структуру, встает задача по управлению всеми этими средствами защиты информации. Сложность этой задачи обусловлена не только количеством устройств, но и тем, что, как нередко бывает на практике, в различных фрагментах корпоративной сети в качестве основы для системы сетевой безопасности используются различные изделия.

 «Лобовое» решение, заключающееся в локальном управлении каждым устройством, помимо очевидных проблем, связанных с необходимостью поиска и оплаты труда квалифицированных специалистов – администраторов, содержит в себе также предпосылки для возникновения «нештатных» ситуаций, связанных со случайным или преднамеренным внесением в настройки политики безопасности устройств изменений, противоречащих положениям и требованиям нормативных документов, принятым в качестве Политики безопасности компании. Учитывая изложенное выше особую актуальность на сегодняшний день приобретают решения, позволяющие организовывать централизованное управление значительным количеством средств защиты, обеспечивающие возможность непрерывного мониторинга уровня защищенности ресурсов удаленных сетей, предоставляющие возможность интеграции в единую систему управления используемых изделий от различных производителей.

Компания Check Point, признанный лидер на рынке средств и решений для построения систем сетевой безопасности и организации VPN-каналов, в том числе и для территориально распределенных сетей сложной топологии, предлагает ряд изделий, ориентированных на реализацию систем защиты с возможностью централизованного управления значительным количеством средств защиты информации от различных производителей в рамках одной защищенной территориально распределенной сети. Следует особо отметить, что указанное решение применимо как для крупных организаций со значительным количеством небольших территориально удаленных филиалов, так и для различных коопераций малого и среднего бизнеса, объединяющихся путем создания единой корпоративной сети. При этом функции по централизованному управлению защищенной территориально распределенной сетью могут выполняться как отдельным подразделением в рамках крупной корпорации, так и быть делегированы специализированным организациям, предоставляющим на рынке услуги по созданию и сопровождению систем информационной безопасности, в частности ЗАО «Корпорация «ЮНИ».

Базовые элементы системы сетевой защиты

Общая схема решения заключается в установке в удаленных офисах/филиалах компании программных комплексов и/или специализированных устройств с функциями межсетевых экранов (Firewalls) и организации виртуальных частных сетей (Virtual Private Network - VPN), а также развертывании системы централизованного управления указанными средствами защиты Security Management Portal (SMP) - программного комплекса централизованного управления масштабными системами, развернутыми на базе устройств, устанавливаемых в территориально удаленных подразделениях компании. 

Security Management Portal – программный комплекс централизованного управления сетевой защитой.

SMP представляет новую модель управления. Это решение предлагает мощную и гибкую архитектуру, которая может постоянно поддерживать большое число шлюзов безопасности, организованных на базе устройств, устанавливаемых в территориально распределенных подразделениях компании, имеет простой пользовательский Web-интерфейс и возможности, ориентированные на автоматизацию повторяющихся действий, выполнение которых отнимает много времени. Функциональный набор возможностей системы может быть расширен без значительных инвестиций добавлением таких сервисов, как антивирусная защита и фильтрация URL или вновь сгенерированных сервисов.

Основными элементами SMP являются сервер управления и Web-ориентированный пользовательский интерфейс. Сервер управления используется для подготовки к работе и инициализации VPN, политик безопасности и программного обеспечения устройств. Модули сервера LDAP (Lightweight directory access protocol), используемые для хранения информации о пользователях и шлюзах, требующейся для сервера управления, могут быть интегрированы с SMP. Эти модули могут быть установлены как на одной машине, так и разнесены, в случае потребности в масштабировании решения. Увеличение числа управляющих серверов и их каскадирование позволяет создать инфраструктуру, обладающую большей надежностью и устойчивостью. Управляющий сервер может также собирать регистрационные записи с удаленных шлюзов, трансформируя их в простые для понимания отчеты.

Пользовательский интерфейс управления SMP предлагает интуитивно понятный способ мониторинга, редактирования и навигации между имеющимися и создаваемыми сервисными планами, сетями компании, самими шлюзами и их политиками безопасности. Кроме того, предлагаемый Web-интерфейс реализует единый, централизованный подход для отображения всех правил, объектов, статусов и регистрационной информации для шлюзов безопасности, развернутых на базе устройств.

Дальнейшее упрощение процедуры управления и мониторинга состояния безопасности происходит за счет предоставления доступа к управлению администраторам, находящимся на удаленных объектах, для чего SMP дополнительно предоставляет Web-ориентированный портал, который позволяет указанным администраторам контролировать настройки и самостоятельно редактировать некоторые из них, например, пользовательские имена и пароли. Эта особенность важна в первую очередь для реализаций, в рамках которых функции по управлению корпоративной защищенной сетью делегированы сторонней организации – поставщику услуг по информационной безопасности, поскольку позволяет внедрить механизм контроля за деятельностью по управлению использующимися средствами и системами защиты информации.

SMP позволяет создать отказоустойчивую управляющую инфраструктуру, которая может непрерывно контролировать безопасность удаленных сегментов корпоративной сети. Для этого необходимо в центре управления сетью развернуть несколько серверов управления и связать их друг с другом посредством модуля балансировки нагрузки, который будет постоянно синхронизировать загружаемые данные. Такое построение приведет к тому, что каждый сервер будет выполнять роль резервного для других: если шлюз определит, что назначенный ему сервер не отвечает, произойдет автоматическое переключение на другой, менее загруженный сервер. Серверы LDAP, взаимодействующие с SMP, также могут быть развернуты в виде кластера, что также увеличит гибкость и устойчивость к отказам управляющей инфраструктуры.

Благодаря встроенным инструментам управления группами объектов, SMP позволяет значительно упростить установку и эксплуатацию шлюзов безопасности на базе устройств, устанавливаемых в удаленных офисах компании. Администратор может создавать одиночный сервисный план, состоящий из шаблона для определения шлюза безопасности, настроек для VPN и правил политики безопасности, а также, при необходимости, добавить такие сервисы, как антивирусная проверка и фильтрация контента. Определив таким образом один раз какой-либо сервис-план, администратор может распространить его действие на неограниченное количество шлюзов. Каждый шлюз, которому назначен определенный для него сервисный план, наследует при этом все характеристики этого плана, включая правила политики безопасности и настройки VPN.

Если требуется внести изменения в политику безопасности, администратору нужно просто внести необходимые изменения в сервисные планы с помощью пользовательского Web-интерфейса SMP, а затем только проследить за тем, как внесенные изменения автоматически применяются в шлюзах, свойства которых определяются эти планами. Это обеспечивает высокую масштабируемость и экономию времени за счет исключения необходимости выполнения повторяющихся действий по изменению политики безопасности на каждом из контролируемых шлюзов.

В случае, когда пользовательские шлюзы имеют динамические IP-адреса, их отслеживание и мониторинг становится проблемой, т.к. IP-адрес шлюза меняется всякий раз при его подключении к Internet. Использование модуля Dynamic Domain Name Service (DDNS), включенного в состав сервера управления, решает эту проблему. Модуль постоянно проверяет и обновляет отображение доменных имен в соответствии с изменениями IP-адресов шлюзов. Каждый раз, когда IP-адрес шлюза изменяется, сервис DDNS переустанавливает соответствие имени домена и его нового IP-адреса, обеспечивая тем самым бесперебойный доступ к шлюзу

SMP позволяет администраторам создавать VPN-туннели с помощью всего одной операции, которая реализована в модуле Dynamic VPN, являющемся частью сервера управления. Администратор может определить так называемое VPN-комьюнити (набор шлюзов для установления VPN-туннелей между каждой парой из них) и установить параметры безопасности VPN для всего набора шлюзов. Посредством группирования шлюзов в VPN-комьюнити автоматически включается возможность их полнофункционального соединения по протоколу IPSec (каждого шлюза, принадлежащего VPN-комьюнити, с каждым другим из этой же группы). При подключении новых объектов к группе они автоматически наследуют все настройки VPN-соединений, определенные для данной группы. Кроме того, модуль Dynamic VPN полностью поддерживает динамическую IP адресацию всех шлюзов VPN-комьюнити.

Компании, перед которыми стоят задачи организации строгой аутентификации, могут решить их с помощью сервера сертификатов: Internal Certificate Authority, который также включен в модуль Dynamic VPN. Цифровые сертификаты X.509 выдаются всем устройствам, включенным в VPN-комьюнити, с целью обеспечения гарантированно защищенных соединений типа site-to-site между шлюзами комьюнити. Эта возможность позволяет реализовывать самую эффективную сегодня двухфакторную аутентификацию, избегая дополнительных затрат и сложностей установки, как это происходит в случае применения систем, использующих инфраструктуру открытых ключей - Public-Key Infrastructure (PKI).

Оперативное и надежное внесение изменений параметров безопасности одновременно для большого числа шлюзов является очень сложной административной задачей. С целью оптимизации решения этой задачи SMP использует «растянутую» (“pull”) технологию автоматического обновления: шлюзы автоматически определяют появление обновления и загружают его в любое время, когда оно становится доступным на сервере управления. Это намного лучше по сравнению с тем вариантом, который требует от сервера управления затрат на инициализацию соединения с каждым шлюзом индивидуально. Такой подход уменьшает нагрузку на сервер управления. Шлюзы также могут быть сконфигурированы для получения обновлений с любого из нескольких серверов управления, что ведет к  повышению отказоустойчивости всей системы.

Еще одна из важных составных частей портала - Модуль регистрации событий (Event Logging Module – ELM). Этот модуль дает серверу управления возможность удаленного сбора регистрационных записей от всех шлюзов с целью их последующего анализа, что, в частности, важно при разборе нештатных и/или конфликтных ситуаций. Отказоустойчивая регистрирующая инфраструктура может быть создана назначением одного из нескольких серверов управления SMP первичным, а остальных резервными. В случае невозможности соединения с первичным сервером, регистрационные записи  автоматически перенаправляются на другие серверы. Кроме того, SMP предоставляет средство создания отчетов на базе регистрационных записей в формате для просмотра через Web-браузер. С помощью этого средства можно создавать различные настраиваемые отчеты, предоставляющих такую информацию, как: атаки и IP адреса, с которых осуществлялись попытки атак; адреса E-mail, с которых были посланы сообщения, содержащие вирусы; блокированные URL; все изменения в настройках, и т.д.

SMP обеспечивает определенную гибкость самой процедуры администрирования, предоставляя возможность распределения ответственности в группе администраторов безопасности, разделяя ответственность по типам планов, сегментам сети или специфическим функциональным задачам. Все события, связанные с администрированием, регистрируются и включаются в отчеты, на основании которых можно идентифицировать любые неавторизованные изменения административных настроек.

SMP обеспечивает возможность удаленного управления такими настройками устройств, как: индивидуальные политики безопасности; настройки SNMP; настройки SSH; статическая маршрутизация; правила статической адресной трансляции; настройки RADIUS; настройки Syslog.

Программно-аппаратные решения для обеспечения информационной безопасности

В настоящее время все большее число учреждений использует интернет в качестве основной коммуникационной среды для осуществления бизнес-процессов. Эта глобальная сеть дает возможность обмениваться данными между филиалами и удаленными подразделениями, взаимодействовать с партнерами, расширять сферу оказываемых услуг. Вместе с тем, угрозы, таящиеся в интернете, могут привести к нарушению конфиденциальности и  целостности данных или привести к отказу в доступе к информационным ресурсам, что, в свою очередь, может повлечь для учреждения значительный материальный ущерб. Более того, специфика деятельности некоторых организаций сопряжена с соблюдением особых условий функционирования электронных технологий, требующих повышенного внимания к обеспечению информационной безопасности корпоративных систем. В этой ситуации защита внутренних информационных ресурсов от внешних угроз и безопасная передача данных по открытым каналам становиться актуальнейшей задачей. Ключевым элементом решения этой задачи является применение межсетевых экранов и средств создания Virtual Private Network (VPN).

В качестве применяемых решений по созданию защищенных соединений многие  учреждения сегодня видят программно-аппаратные средства, реализующие функции  межсетевых экранов и создания VPN. Их преимущества и привлекательность заключаются в следующем: в высокой производительности; в уменьшении затрат на внедрение, поддержку, администрирование и управление; в независимости от аппаратной и программной среды, в которую они интегрируются; в повышенной надежности за счет реализации механизмов программной и аппаратной отказоустойчивости; в простоте внедрения и эксплуатации.

Кроме перечисленного, такой комплекс готов к выполнению своих функций через 10-15 мин. после того, как его извлекли из коробки.

Особый интерес представляют продукты, являющиеся полнофункциональными и недорогими устройствами, специально созданными с ориентацией на создание системы защиты офисов территориально распределенного предприятия или компании сферы малого и среднего бизнеса. Эти решения привлекательны и для возможной их установки у партнеров, клиентов и удаленных пользователей.

Наличие средств централизованного управления переводит в другую плоскость возможности применения устройств этого класса. Они представляют особый интерес для больших организаций, имеющих сложную распределенную структуру в виде региональных подразделений и офисов, филиалов и дочерних компаний, пользующихся общими корпоративными информационными ресурсами. Обычно в таких организациях есть структуры, занимающиеся централизованным управлением своей распределенной сетью. В этом случае, организация централизованного управления защитой информационного обмена через глобальные сети – вполне естественное дело для таких структур.

Компания Check Point Software Technologies, занимающая лидирующее положение в мире по разработке и продажам программных средств обеспечения информационной безопасности, расширила круг своей продукции созданием программно-аппаратных решений. Сейчас ею выпускаются устройства VPN-1 Edge и VPN-1 Edge серии W, а также Safe@Office серий 500 и 500W, которые принадлежат к классу устройств «все в одном» и  включают в себя межсетевой экран, средства создания VPN, антивирусную защиту, средства предотвращения вторжений, распределение полосы пропускания, фильтрацию web-контента и многое другое. Функциональность устройств базируется на хорошо известном программном обеспечении VPN-1/FireWall-1 и запатентованной Check Point технологии Stateful Inspection. Эти же технологии положены в основу еще одного модельного ряда устройств - Nokia IP40/45, выполненных на аппаратной платформе фирмы Nokia.

Модели устройств серий W (Wireless) являются устройствами беспроводного доступа, с помощью которых можно не только обеспечивать защиту взаимодействия с открытыми сетями, но и создавать защищенные беспроводные сети или интегрировать в существующие сети пользователей с предоставлением им защищенного беспроводного доступа. Встроенная  точка беспроводного доступа поддерживает технологию extended range и обеспечивает скорость передачи данных до 108 Мбит/с. Помимо основных функций, устройства этой серии оснащены функциями защиты беспроводного доступа и могут использоваться в качестве «гостевого» хотспота, создавая возможность управляемого беспроводного гостевого доступа к корпоративной сети с конфигурируемой на основе web аутентификацией, созданием временных учетных записей пользователей и интеграцией с RADIUS-сервером. Выпуск таких устройств связан с наблюдающейся тенденцией все большего применения систем беспроводного доступа при развертывании сетей предприятий разных сфер деятельности.

Все устройства обладают свойством легкой и быстрой интеграции в сетевую инфраструктуру. Любой из комплексов может начать работу практически сразу после подключения, а основные настройки безопасности для него выполняются в течение нескольких минут, что обеспечивается благодаря  поддержке более 150 сервисов и протоколов, включая службу мгновенных сообщений (Instant Messaging), приложения, работающие с базами данных, Voice over IP (VoIP), Microsoft NetMeeting и др. Отметим также, что прилагаемые программные средства управления устройствами имеют интуитивно понятный Web-ориентированный интерфейс управления и устройства могут быть установлены и настроены без привлечения специалистов.

Основные характеристики устройств

Межсетевые экраны разграничивают доступ между сетями,  реализуя правила, на основе которых определяется легитимность попыток установления связи с целью предохранения сети от внешних атак. Все рассматриваемые устройства имеют три уровня предустановленных настроек политик безопасности (высокий, средний и низкий) и позволяют создавать свои собственные настройки в зависимости от требований бизнеса. Используемая технология Stateful Inspection предусматривает инспектирование пакетов с учетом состояния соединения и позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника (proxy) для каждого защищаемого протокола или сетевой службы. Это обеспечивает более эффективную и мощную защиту по сравнению с технологиями, используемыми в пакетных фильтрах и прокси-серверах.

Одно из главных достоинств VPN-сети заключается в возможности использования дешевой интернет-инфраструктуры для построения выделенной частной сети. Для создания VPN соединений в устройствах реализованы алгоритмы шифрования: Data Encryption Standard (DES), Triple DES и Advanced Encryption Standard (AES), пришедший на смену DES. Предоставляемая возможность выбора алгоритмов шифрования и длины ключей при настройке VPN позволяет достичь требуемой для служебной информации степени защищенности при ее передаче по открытым каналам и выбрать оптимальное соотношение между уровнем защиты и скоростью шифрования/дешифрования.

Для Safe@Office и VPN-1 Edge пропускная способность межсетевого экрана составляет 100 Mb/сек, а производительность VPN (Triple DES, длина ключа 168 бит) - 20 Mb/сек и эти значения возрастают в полтора раза при установке PowerPack.

Число поддерживаемых межсетевым экраном узлов указано в наименовании модели. Число поддерживаемых VPN туннелей для Tele 8 – 8, для всех других моделей – 10. Для продуктов компании Check Point имеется три градации числа конкурентных соединений (5/25/не ограничено), которые определяются лицензиями на функциональность, приобретаемыми при покупке устройств.

Для всех устройств предусмотрено удаленное администрирование, осуществляемое с помощью защищенного доступа по протоколу HTTPS к настройкам устройств, обновлению их встроенного программного обеспечения и мониторинга событий о попытках доступа из любой точки, где есть возможность подключения к интернету. Также устройства поддерживают VPN-доступ по протоколу IPSec к корпоративным информационным ресурсам для удаленных пользователей (для сотрудников в деловых командировках или работающих дома). Каждое из них осуществляет аутентификацию пользователя и шифрует сообщения для передачи по открытым каналам. При этом на персональных компьютерах или ноутбуках удаленных пользователей должно быть установлено программное обеспечение VPN-1 SecuRemote от Check Point.

Интерфейсы

Каждый из рассматриваемых шлюзов безопасности имеет 4-х портовый LAN-коммутатор, который позволяет получить множественный защищенный доступ к интернету по одному соединению. VPN-1 Edge и Safe@Office также имеют последовательный и дополнительный WAN порты. Наличие второго WAN порта позволяет осуществлять резервное подключение к интернету или создавать  демилитаризованную зону в сети предприятия. Последовательные порты можно использовать для резервного подключения по коммутируемым линиям.

У моделей Nokia IP40 три Ethernet порта: LAN, WAN и DMZ (для создания демилитаризованной зоны). Также имеются: последовательный порт для управления устройством  по отдельному каналу на базе Nokia CLI и позволяющий получить доступ к системе управления в период сбоев, и последовательный порт для резервного подключения с использованием модема.

Для многих компаний постоянный доступ к информационным ресурсам является критичным фактором. Это, в свою очередь, влечет необходимость резервирования каналов доступа в интернет и, в особо критичных случаях, резервирования самих устройств для обеспечения высокой доступности глобальных сетей. Устройства осуществляют автоматическое переключение между основным и резервным шлюзами в режиме горячего резервирования.

Как уже отмечалось, программно-аппаратные комплексы серии W, наряду со «стандартной» функциональностью, предоставляют возможность создания беспроводных сетей или интеграции в существующие сети пользователей с предоставлением им беспроводного доступа. Кроме того, в моделях серии W имеется два USB-порта и встроенный принт-сервер, что позволяет превратить принтер, имеющий USB-интерфейс, в принтер локальной сети и избежать затрат на установку более дорогого сетевого принтера или отдельного принт-сервера.

Работа в сети

Устройства поддерживают WAN протоколы доступа: PPPoE и PPTP. Они имеют встроенный DHCP-сервер (Dynamic Host Configuration Protocol). Средства трансляции адресов и портов (Network Address Translation (NAT) и Port Address Translation (PAT)) обеспечивают сокрытие от внешнего мира сетевых адресов и топологии локальной сети. Также устройствами поддерживаются протоколы динамической маршрутизации и возможность создания VLAN.

Регистрация информации о попытках атак и создание интуитивно понятных отчетов, в которых цветом выделяются различные классы событий, позволяет пользователям устройств легко отслеживать события, происходящие на границе между интернетом и корпоративной сетью. Кроме того, устройства предоставляют и более мощные возможности, например, определить IP-адрес, с которого была инициирована атака и с помощью утилиты «Who Is» идентифицировать его обладателя.

Аутентификация шлюзов и пользователей VPN осуществляется с помощью цифровых сертификатов по протоколу X.509, ставшему промышленным стандартом. Также может использоваться заранее созданный общий ключ. Для устройств, управляемых централизованно, можно создавать цифровой сертификат, используя Check Point Internal Certification Authority, в основу которого положено создание общих ключей на базе 1024-битовой инфраструктуры открытых ключей Диффи-Хеллмена. Эта возможность позволяет реализовывать самую эффективную сегодня двухфакторную аутентификацию, избегая дополнительных затрат и сложностей установки, как это происходит в случае применения систем, использующих инфраструктуру открытых ключей - Public-Key Infrastructure (PKI).

Наряду с поддержкой более ранней технологии беспроводного доступа IEEE 802.11b (11 Mb/сек), устройства Safe@Office и VPN-1 Edge серии W поддерживают и самую последнюю - 802.11g (54 Mb/сек). Также поддерживается и новый стандарт Super-G, который позволяет достигать выдающихся для беспроводных сетей скоростей, вплоть до 108 Mb/сек. Одно устройство серии W может покрыть всю территорию офиса без применения ретрансляторов. Сдвоенная разнесенная антенна позволяет получить очень хорошую дальность приема/передачи и улучшенное качество сигнала за счет поддержки самой последней технологии увеличения дальности (extended-range (XR) technology). Вместе с установкой XR-клиентов на рабочих станциях это позволяет троекратно увеличить радиус зоны покрытия – до 300 м в зданиях и до 1 км на открытом пространстве.

С помощью этих устройств легко разделить сеть предприятия на множество зон за межсетевым экраном, создавая виртуальные ЛВС (VLAN). Также устройства поддерживают такие виды маршрутизации, как статическая маршрутизация, маршрутизация по источнику (Source Based Routing), когда пакеты направляются непосредственно по адресу шлюза на основе IP-адреса источника, а не назначения, и динамическая маршрутизация на базе протокола Open Shortest Pass First (OSPF). Кроме этого, устройства предоставляют возможность управления распределением полосы пропускания с определением и настройкой классов Quality of Service (QoS).

Рассматриваемые устройства позволяют легко инициировать (при использовании средств централизованного управления) различные дополнительные сервисы обеспечения безопасности, которые можно получить, осуществив подписку на них. Приведем некоторые из них.

·                    Сервис обновления программного обеспечения, предназначенный для поддержания средств защиты в актуальном состоянии с точки зрения  их готовности к отражению атак из интернета, появлению новых вирусов и сетевых червей.

  •            Сервис динамического DNS позволяет использовать «динамические IP адреса» для создания низкостоимостных соединений для деловых коммуникаций.
  • Отметим, что антивирусные средства и фильтрация контента в настоящий момент имеются только в устройствах Safe@Office и VPN-1 Edge. Для Nokia IP40 осуществление этих функций можно организовать, подписавшись на соответствующие сервисы.

    Централизованное управление

    Все модели названных устройств могут управляться как локально, так и централизованно. Ключевым отличием устройств VPN-1 Edge от Safe@Office является возможность их централизованного управления комплексами на основе решений SmartCenter компании Check Point. Поэтому, если Safe@Office позиционируется как устройство для защиты небольших самостоятельных сетей, то VPN-1 Edge в основном используется для защиты сетей небольших удаленных офисов крупных организаций, имеющих средства централизованного управления системой обеспечения сетевой безопасности.

    Для всех рассматриваемых устройств есть единое средство централизованного управления – это Check Point Security Management Portal - программный комплекс управления системами различного масштаба, развернутыми на базе от нескольких до десятков тысяч шлюзов безопасности. Отдельно для семейств продуктов фирмы Nokia создано программное средство централизованного управления - Nokia Horizon Manager. Кроме этого, устройства Nokia IP40, также как и VPN-1 Edge, могут управляться созданными Check Point программными комплексами Smart Center, Smart Center Pro/Smart LSM.

    Централизованная система управления упрощает настройку шлюзов за счет поддержки технологии One-Click VPN. Создав требуемые сообщества (VPN-communities), на консоли администратора необходимо просто «перетащить» (drag) пиктограммы шлюзов безопасности в нужное сообщество VPN, как это делается для файлов и папок на рабочем столе персонального компьютера. Шлюз, включенный в сообщество, автоматически наследует установленные для сообщества параметры безопасности, система Check Point Internal Certificate Authority создает для шлюза цифровые сертификаты X.509 и он может незамедлительно организовать защищенные сессии на основе протоколов IPSec с другими членами VPN-community.

    Все названные средства централизованного управления, (кроме Nokia Horizon Manager), оперируют настройкой межсетевых экранов, развертыванием VPN, автоматическим и защищенным обновлением встроенного в шлюзы безопасности программного обеспечения, управлением антивирусной защитой электронной почты, проверкой контента и удаленным мониторингом. Их использование позволяют развертывать на базе рассматриваемых устройств централизованно управляемые и непрерывно работающие системы практически любого масштаба с легко создаваемыми и изменяемыми настройками и простотой инициализации и масштабируемостью. Кроме того, сервисные возможности системы могут быть расширены за счет включения продуктов других производителей, являющихся  партнерами по альянсу OPSEC.

    ***

    Функциональность рассмотренных устройств может быть расширена за счет применения продуктов,  созданных в рамках партнерской программы Open Platform for Secure Enterprise Connectivity (OPSEC), учрежденной компанией Check Point Technologies и включающей более 350 компаний по всему миру. Продукты этих компаний либо используют технологии Check Point, либо сертифицированы для совместной работы с ними. Кроме того, участие в программе предоставляет компаниям возможность интеграции в свои продукты решений разных фирм альянса OPSEC.

    Устройства на практике доказали свою эффективность. Широкие функциональные возможности, простота установки и конфигурирования, поддержка и  актуализация программного обеспечения, расширение функциональности за счет  новых  сервисов -  все это делает приведенные решения идеальными для использования в корпоративных сетях различного масштаба. Наличие средств централизованного управления устройствами позволяют быстро развертывать широкомасштабные системы сетевой защиты и эффективно управлять ими.

    Дата создания страницы: 08.06.2006
    Дата модификации страницы: 20.06.2008