海关远程报关解决方案建议模板.doc

海关远程报关VPN处理方案提议 （简明） Check Point 目录 1 序言 3 2 设计目标和设计标准 4 2.1 设计目标 4 2.2 设计标准 5 3 用户需求分析 7 3.1 海关远程报关系统介绍（略） 7 3.2 现在需求分析 7 3.3 采取IPSec VPN好处 7 4 方案设计 10 4.1 网络拓扑 11 4.2 方案说明 11 4.3 安全管理提议 13 5 推荐产品介绍 14 5.1 推荐产品 14 5.2 Check Point VPN-1 Power介绍 14 5.3 Crossbeam X40介绍 23 5.4 Check Point SmartCenter Power介绍 28 5.5 Check Point VPN-1 SecureClient介绍 36 6 产品目录价 43 6.1 VPN-1 网关 43 6.2 中央管理服务器软件 43 6.3 VPN-1 用户端软件 43 6.4 标准折扣 44 1 序言 伴随Internet/Intranet技术飞速发展和广泛应用，网络安全问题愈来愈突出，已成为目前一大热点。黑客技术公开和有组织化，和网络开放性使得网络受到攻击威胁越来越大。而大家对这一问题严重性认识和所含有应付能力还远远不够。通常大家对内部网络安全程度不了解，而实际情况是网络中隐患四处全部是；网络环境在不停改变，加上管理不妥，应用人员水平参差不齐，没有有效方法控制网络安全情况，我们理想中安全和实际安全程度存在巨大安全缝隙。 伴随业务拓展，网络不停扩展和日趋复杂，对外服务不停增多，所以保障网络安全运行是很关键。假如网络在安全方面稍微有点漏洞，就有可能被黑客抓住，捣毁数据及网络，这么就会影响网络业务正常运行，直接带来无法估量经济损失。 在这种情况下，面对动态、复杂网络环境，市场上出现了众多不一样种类安全产品，能够说良莠不齐，怎样在众多产品中选择一款性价比最高产品是我们首要考虑和处理问题。 2 设计目标和设计标准 2.1 设计目标 系统设计目标就是要建立一个含有高可靠性、高安全性、可扩展性、优异性和高性能计算机网络应用系统，满足现在和未来业务发展需求。 网络可靠性：是指系统冗错性，系统在部分组件出现故障时能启用备用组件，以使系统能继续运行，预防出现中止。 网络安全性：包含五个基础要素：机密性、完整性、可用性、可控性和可审查性。 机密性：确保信息不暴露给未授权实体或进程。 完整性：只有得到许可人才能修改数据，而且能够判别出数据是否已被篡改。 可用性：得到授权实体在需要时可访问数据，即攻击者不能占用全部资源而阻碍授权者工作。 可控性：能够控制授权范围内信息流向及行为方法。 可审查性：对出现网络安全问题提供调查依据和手段。 网络可扩展性：是指网络伴随应用增加仍能满足需求。这要求网络在设计时要求充足考虑未来应用发展趋势，确保系统在应用不停增加情况下仍能可用。 网络优异性和高性能：是指系统设计是尽可能选择成熟优异技术，以避免刚建好网络因不适用优异网络技术或不适合和以后利用新优异技术建立网络互连而面临尴尬局面。网络优异性和高性能也是确保网络可扩展性一个关键方面。 2.2 设计标准 在进行网络安全设计、计划时，应遵照以下标准： 需求、风险、代价平衡分析标准 ： 对任一网络来说，绝对安全难以达成，也不一定必需。对一个网络要进行实际分析，对网络面临威胁及可能负担风险进行定性和定量相结合分析，然后制订规范和方法，确定本系统安全策略。保护成本、被保护信息价值必需平衡。 综合性、整体性标准 ： 利用系统工程见解、方法，分析网络安全问题，并制订具体方法。一个很好安全方法往往是多个方法合适综合应用结果。一个计算机网络包含个人、设备、软件、数据等步骤。它们在网络安全中地位和影响作用，只有从系统综合整体角度去看待和分析，才可能取得有效、可行方法。 一致性标准 ： 这关键是指网络安全问题应和整个网络工作周期（或生命周期）同时存在，制订安全体系结构必需和网络安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不仅轻易，而且花费也少得多。 易操作性标准 ： 安全方法要由人来完成，假如方法过于复杂，对人要求过高，本身就降低了安全性。其次，采取方法不能影响系统正常运行。 适应性、灵活性标准 ： 安全方法必需能伴随网络性能及安全需求改变而改变，要轻易适应、轻易修改。 多重保护标准 ： 任何安全保护方法全部不是绝对安全，全部可能被攻破。不过建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息安全。 体系化设计标准 经过分析信息网络层次关系，提出科学安全体系和安全框架，确定需要划分安全子系统；依据安全体系框架分析各个安全子系统存在多种安全风险，从而采取针对性安全方法，处理可能存在安全问题。 全局性、均衡性、综合性设计标准 在不一样安全子系统中，从全局出发，综合考虑多种安全风险，采取对应安全方法，并依据风险大小，采取不一样强度安全方法，提供含有最优性能价格比安全处理方案。 3 用户需求分析 3.1 海关远程报关系统介绍（略） 3.2 现在需求分析 现在企业远程报关采取拨号方法，费用高且缺乏安全保障。故此项目期望采取目前技术最为成熟IPSec VPN处理方案。 3.3 采取IPSec VPN好处 对于企业用户来说，VPN提供了安全、可靠 Internet访问通道，为企业深入发展提供了可靠技术保障。而且VPN能提供专用线路类型服务，是方便快捷企业私有网络。因为VPN出现，用户能够从以下几方面获益： 1)实现网络通信安全 含有高度安全性，对于现在网络是极其关键。远程报关需要绝正确安全，而VPN以多个方法增强了网络智能和安全性。首先，它在隧道起点，在权威认证服务器上，提供对分布用户身份认证。另外，VPN支持安全和加密协议，如IPsec，从而确保数据传输安全。 2)简化网络设计 企业用户能够使用VPN替换租用线路来实现分支机构连接。这么能够将对远程链路进行安装、配置和管理任务降低到最小，仅此一点就能够极大地简化企业广域网设计。另外，VPN远程用户经过拨号访问当地ISP和企业总部建立VPN，降低了在企业总部Modem Pool配置，简化了所需接口，同时简化了和远程用户认证、授权和记账相关设备和处理。 3)降低成本，投资回报 VPN能够立即且显著地降低成本。当使用Internet时，实际上只需付当地电话费，却收到了长途通信效果。所以，借助ISP来建立VPN，就能够节省大量通信费用。另外，VPN还使企业无须投入大量人力和物力去安装和维护昂贵WAN设备和远程访问设备，这些工作全部能够交给ISP。VPN使用户降低以下成本： ●移动用户通信成本。VPN能够经过降低长途费或800费用来节省移动用户花费。 ●租用线路成本。VPN能够以每条连接40%到60%成本对租用线路进行控制和管理。对于租用国际线路企业来说，这种节省是更为显著。对于话音数据，节省金额会深入增加。对中国用户来说，VPN最大吸引力在哪里？是价格。据估算，假如企业放弃租用专线而采取VPN，其整个网络成本可节省21%-45%，至于那些以电话拨号方法联网存取数据企业，采取VPN则能够节省通讯成本50%-80%。 ●关键设备成本。VPN经过支持拨号访问资源,使企业能够降低不停增加调制解调器费用。另外，用户能够在单一WAN接口中实现多个服务，从分支机构网络互联、商业伙伴外联网终端，当地提供高带宽线路连接到访问服务提供者，所以，只需要极少WAN接口和设备。因为VPN能够实现完全管理，而且能够从中央进行基于策略控制，所以能够大幅度地降低在安装配置远端网络接口所需设备上开销。另外，因为VPN独立于初始协议，这就使得远程接入用户能够继续使用原有设备，保护了用户在现有硬件和软件系统上投资。 4)轻易扩展 假如企业想扩大VPN容量和覆盖范围。企业需做事情极少，而且能立即实现。不需要为等候搭建专线花费宝贵时间。在远程办公室增加VPN能力也很简单：经过远程访问方法或经过性能价格比很好VPN专用设备即可和总部实现VPN通信。 5)可随意和合作伙伴实现Extranet 在过去，企业假如想和合作伙伴连网，双方信息技术部门就必需协商怎样在双方之间建立租用线路或帧中继线路。有了VPN以后，这种协商变得很简单：在业务上授权对方进行资源共享，经过权威认证机构实现双方严格身份认证即可。真正达成了要连就连，要断就断。 6)完全控制主动权 借助VPN，企业能够利用ISP设施和服务，同时又完全掌握着自己网络控制权。比如，企业能够把拨号访问交给ISP去做，由自己负责用户身份查验、访问权限、安全性和网络改变管理等关键工作。 7)支持更多新兴应用 很多专用网对很多新兴应用准备不足，如那些要求高带宽多媒体和协作交互式应用。VPN则能够支持多种高级应用，如IP语音，IP传真等。 4 方案设计 依据用户需求，我们设计在报关用户PC上安装VPN用户端，在报关服务器前布署VPN网关，实现远程访问IPSec VPN。 4.1 网络拓扑 4.2 方案说明 （1）在报关服务器群前布署Check Point VPN-1 Power网关。VPN-1 Power 网关不仅含有强大IPSec site-to-site VPN 和 client-to-site VPN能力，而且内置Check Point全球市场拥有率第一防火墙功效，同时还含有入侵防范和安全加速技术，能够满足连接和保护双重需求。在IPSec VPN技术中，通常采取预共享密钥和数字证书两种认证方法。预共享密钥使用方便，但安全性较差。故本方案提议采取数字证书。在Check Point中央管理服务器中已内置CA，能够发放证书供VPN使用。本方案中因为用户已经有CA系统，故Check Point VPN网关和用户端均采取已经有CA颁发证书。Check Point VPN网关能够兼容全球各大主流厂商CA，如Entrust,Verisign,微软，Netscape等等。VPN网关硬件平台采取Check Point硬件合作伙伴Crossbeam电信级平台X40。X40拥有单机高可用性特点，在一个机框内，能够实现电源冗余，风扇冗余，控制模块冗余，网络模块冗余和应用模块冗余。单台X40能够支持10万并发VPN隧道，如需支持到30万并发VPN隧道，3台能够基础满足要求。 （2）在远程需要报关PC上安装Check Point VPN-1 SecureClient VPN用户端软件，并申请数字证书。在申请报关业务前，首先需要进行VPN连接。VPN用户端和网关首先经过数字证书进行相互认证，如认证成功，则建立VPN隧道；如失败，则无法建立VPN，也就无法进行报关业务。VPN-1 SecureClient不仅含有全部IPSec VPN功效，同时还含有中央管理个人防火墙功效。管理员能够在中央管理服务器上为远程用户端配置防火墙策略，远程用户端建立VPN连接到网关后，能够自动将属于她安全策略下载到当地，从而对用户端本身进行防护。用户端安全性，也能够深入确保其所连接报关服务器安全。VPN-1 SecureClient还能够支持在VPN隧道建立后，路由全部流量到VPN网关，从而使VPN用户端在建立VPN后，仅能和报关服务器通信，深入避免外部攻击。 （3）在总部布署中央管理服务器，对VPN网关和VPN用户端进行集中统一管理。 4.3 安全管理提议 安全管理也是很关键步骤，包含了对安全设备管理，对网络管理和对人员管理等。其中，对安全设备管理更是重中之重，我们认为应从以下两方面入手。 （1）安全管理中心 应该建立统一安全管理中心，全方面负责信息网络系统安全管理工作，其关键职责以下： l 监控信息系统运行情况 l 安全技术支持 l 各项安全管理制度落实 l 多种安全事件、紧急事件响应联络、沟通安全厂商等 （2）安全管理制度 必需建立完善安全管理制度，具体包含以下几方面： l 信息系统运行管理制度 l 信息系统使用管理制度 l 数据管理制度 l 人员管理制度 l 物理安全管理制度 l 安全培训制度。 安全是一个动态过程，绝正确安全是不存在，任何安全体系全部应含有更新、完善和扩展能力。安全体系应含有对任何突发、破坏性事件实时反应能力。任何完善安全体系全部是全方面努力结果，是技术、管理、服务共同努力结果，忽略任何一方全部将带来不可预料结果。 5 推荐产品介绍 5.1 推荐产品 VPN网关产品：Check Point VPN-1 Power Crossbeam X40（硬件平台） 中央管理服务器： Check Point SmartCenter Power VPN远程用户端产品：Check Point VPN-1 SecureClient 5.2 Check Point VPN-1 Power介绍 VPN-1 Power 为最苛刻环境提供全方面安全保护 您碰到挑战 互联网能够抵达世界每个角落，所以，它提供了一个灵活、成本效益高基础架构来扩展企业网络以覆盖全部雇员和关键商业合作伙伴。不过，互联网也将不停改变威胁隐藏到了企业资源中。黑客不停玩出新花样来攻击企业应用程序。和此同时，应用程序需求正变得越来越复杂，而且对性能要求也越来越高。为了充足利用互联网优势，企业必需处理关键业务应用程序在可用性、性能和可扩展性方面所面临挑战，和此同时，企业还必需确保商业通信和企业内部资源安全。 我们处理方案 Check Point企业VPN-1® Power TM为今天苛刻环境提供了综合、愈加快安全保护。该处理方案利用紧密集成防火墙、VPN和入侵防范技术为企业应用程序和网络资源提供综合安全保护和远程连接支持。它加紧了业内最智能化安全检测技术，Stateful Inspection（状态监测）和Application Intelligence TM（应用智能）运行速度。它还提供主动攻击防范方法来帮助抵御网络层和应用层多种攻击，从而确保网络高性能。VPN-1 Power处理方案适适用于业内最广泛开放平台和安全专用设备——能够满足任何规模企业性价比需求。 全方面网络和应用程序安全保护 VPN-1 Power集成了访问控制、认证和加密功效以确保网络连接安全、当地和远程用户真实性和数据通讯隐私和完整性。除此以外，它还和入侵防范功效紧密集成，提供高级应用程序保护功效。VPN-1 Power还包含了一个可选Web应用程序防火墙，为Web环境提供无和伦比安全保护。 FireWall-1集成 为了实现有效企业边界、内部和Web安全保护和高效管理，VPN必需包含集成防火墙功效。VPN-1 Power包含了市场上领先FireWall-1®软件，并经过Check Point企业取得专利状态监测技术来确保全部流行互联网服务安全。VPN-1 Power内置功效支持150多个预定义应用程序、服务和协议，包含即时消息、多媒体服务、Oracle SQL、P2P应用程序、RealAudio和Web应用程序。 VPN-1 Power是针对扩展企业、经过最充足证实安全和连接处理方案。 确保应用程序安全 VPN-1集成了由一系列高级功效组成应用智能，能够检测和阻止应用层攻击。它将VPN-1发展成为一个高级安全网关处理方案，集成了网络层和应用层进行综合攻击防范功效，从而改变了网络安全现实状况。企业将从这些高级入侵防范功效中受益，而且不用再担心管理其它设备繁琐。 为Web应用程序提供安全保护 Web Intelligence TM（Web智能）是一个可选Web应用程序防火墙，它被紧密集成VPN-1中，能够提供高级Web应用程序安全保护。Web智能保护Web应用程序免受常见黑客技术攻击，如命令行植入(command injection)、跨站点脚本（cross-site scripting）、目录遍历（directory traversal）、LDAP植入和SQL植入攻击等。Web智能还包含预防缓冲溢出攻击正在申请专利技术，Malicious Code Protector TM（恶意代码保护器）。恶意代码保护器采取独特检测机制来分析恶意代码行为，无需署名支持即可捕捉攻击并拦截已知和未知多种攻击。 为VoIP提供安全保护 VPN-1 Power为VoIP应用程序提供综合安全保护，包含对H.323、MGCP、SCCP（Skinny）和SIP协议有状态检测。除此以外，VPN-1还能够处理复杂VoIP布署，比如将网守（gatekeeper）隐藏到网络地址转换（NAT）设备以后。除此以外，ClusterXL®、FloodGate-1®和SecureXLTM还能够帮助企业创建高性能、容错和划分优先级语音网络。 带安全保护连接 VPN-1 Power包含针对远程接入、内网和外网VPN最综合产品和技术集。Check Point企业提供广泛VPN产品，企业能够在这些产品中进行选择来设计最符合它们要求配置。 One-Click VPN 经过One-Click VPN，企业经过一个单一操作就能够创建大型VPN。经过定义VPN团体( community)，企业能够为整个VPN设置安全参数，比如只需一步即可实现内网、外网或远程接入布署。安全管理员只需要定义一个团体内全部VPN-1端点，VPN就能够在全部网关中或网关和远程用户间自动开启。当新站点被添加到团体后，它们就自动继承对应属性并能立即和该VPN团体其它站点建立安全IPSec会话。 优异站点到站点VPN功效 不管环境有多么复杂，VPN-1 Power全部能够将企业资源扩展到远程站点。VPN-1支持VPN域——经过一组静态IP地址定义VPN范围传统方法。除此以外，VPN-1支持基于路由VPN，其中，VPN拓扑代表是网络路由决议。这种灵活性为企业提供了强大机制来提供复杂和动态网络中连接。基于路由VPN使管理员能够利用VPN通道将动态路由协议从企业总部扩展到远程地点，从而改善大型网络网络和VPN管理效率。基于路由VPN还支持定向VPN，使管理员在没有静态IP地址情况下，经过VPN通道实施安全策略。对于常常改变网络而言，基于路由VPN正是一个理想处理方案。企业能够常常更改网络拓扑，如添加内部网络，而无需反复配置静态VPN域。 灵活认证 由Check Point企业提供安全保护VPN处理方案提供了多个认证方法，包含RADIUS、TACACS/TACACS＋和令牌卡。除此以外，OpenPKI还确保由Check Point企业提供安全保护VPN处理方案和市面上销售领先PKI处理方案（如巴尔摩技术、Entrust和Verisign等企业技术方案）兼容，从而支持企业管理很大规模IPSec VPN布署。VPN-1 Power含有独特混合模式认证功效，许可企业在利用现有认证架构（如 SecureID令牌）同时布署 IPSec VPN。 期望实施可直接调用强大认证企业能够采取Check Point企业One-Click Certificates处理方案。经过VPN-1 Power中包含Internal Certificate Authority（内部证书授权）处理方案，X.509数字证书能够颁发给VPN-1 网关和VPN-1 SecureClient TM用户。在不需要复杂和昂贵PKI系统情况下，One-Click Certificates处理方案就能提供符合行业标准双重认证。 支持多个远程访问技术 每个企业对远程访问全部有自己独特需求，这依靠于用户类型、要访问应用程序组合、端点安全等级和需要管理控制。VPN-1 Power含有灵活性，能够支持多个用户端选项。SecuRemoteTM 提供基础连接，方便了偶然需要远程访问 IP 应用程序用户。SecureClient经过增加集中管理个人防火墙，提供了更高等级安全保护。Check Point企业IntegrityTM SecureClient经过使用集成VPN用户端和充足管理端点安全来提供全方面远程访问保护。SSL Network Extender TM是一个基于Web浏览器控件，它支持从任何互联网设备对基于IP应用程序完全访问，从而为用户带来方便。VPN-1 Power还支持微软L2TP和Symbian企业VPN用户端。 智能管理 VPN-1 Power中包含SmartCenter TM是建立在现在业界最一致、最强大管理架构，安全管理架构（SMART）基础上。SmartCenter支持企业集中定义边界、内部和Web安全策略；对安全事件进行关联并划分优先级；实施高级监视和报表功效——这一切全部经过一个控制台来实现。这种统一架构使在全部网关分配安全策略升级变得很简单，从而确保策略实施保持一致并提升运行效率。 SmartCenter 提供功效强大安全保护和 VPN 策略管理，降低了管理成本和复杂性。 高性能和可用性 当防火墙和VPN布署变得越来越大而且对业务也越来越关键时，其性能就成了关键关注点。VPN-1 Power能够提供愈加快安全保护，在开放服务器上，其速度可超出5Gpbs，从而在不破坏安全情况下确保信息可用性。VPN-1 Power还采取了优异流技术，该技术许可在关键层处理数据包，大大加强了应用层检测，它通常是计算密集型任务。将SecureXL框架和流技术和Check Point企业对开放式系统承诺相结合，能够以最低成本提供行业领先性能。 集成 VPN 服务质量 (QoS) 假如VPN布署性能很关键，但互联网连接可能会产生拥堵，这么VPN布署就需要服务质量。FloodGate-1确保了关键业务VPN-1通信流量最好性能，使用户能够将关键业务通信从私有广域网迁移到互联网。 高可用性和负载均衡 ClusterXL将全部类型通信流量分配到一个VPN-1 Power网关集群中。假如某个网关无法被访问了，全部连接能够被无缝重定向到其它集群组员网关。当更多集群组员被加入后，集群网关能够取得近线性性能。 不间断转发 经过结合动态路由协议，如BGP或OSPF，ClusterXL为业界提供了唯一一个能够“平稳重启”高可用性实施点。所以，VPN-1 Power显著提升了关键业务应用程序可用性，消除了无须要“波纹效应”——当 VPN-1 Power网关变得不可用，路由表中就会发生改变，从而产生波纹效应而且可能造成通信转发中止长达几十分钟，。 VPN负载分配 VPN负载分配是针对远程访问VPN连接一个高可用性和负载均衡处理方案。输入VPN连接是跨多个VPN-1网关进行分布，这些网关能够在地理位置上完全分开。假如网关无法访问，VPN用户端将会经过另一个网关组员自动获取连接。 多个接入点 假如存在多个数据中心，远程用户能够经过多个接入点功效来确保对数据中心连续访问。假如VPN-1主网关变得不可用，在其它地点VPN-1网关就会自动建立到该企业 VPN 连接。 5.3 Crossbeam X40介绍 Crossbeam X40产品介绍 X40是Crossbeam 为实现完整网络、邮件和 Web 安全性而开发安全交换机。X40 含有 Crossbeam X 系列产品全部特征和优点，包含集成负载平衡和流排序功效（使用Crossbeam 正在申请专利 X-Stream™ 技术）；来自 Check Point等企业多个最优异安全引擎。该产品在一个14插槽机柜中提供，适合大中型企业和服务供给商。 X40 最多能够提供16个千兆以太网端口或32个快速以太网端口及 8Gbps 全双工防火墙吞吐量。该平台设计用于提供高可用性和卓越性能，同时运行多个优异安全引擎来支持防火墙、加速虚拟专用网（VPN）、入侵检测和防护、防病毒和职员互联网内容管理（URL 过滤）。X40 为企业提供了一个更安全、更简单处理方案来保护网络安全性 － 从而实现独立产品所不可能实现运行和投资利用高效率。 加固最好周围安全防护方法 现在，仅靠周围防火墙来保护企业信息安全资产已远远不够。相反，企业需要一个更优异分层安全保护方法。不过，构建分层安全基础设施传统方法需要多个不一样设备，所以成本很高而且很烦琐，因为每种设备全部需要自己维护（补丁、升级）、管理基础设施和连接。试想一下，经过独立安全技术配置正确数据流需要掌握路由、端口镜像方面丰富知识。扩展性能意味着需要添加额外负载平衡器，而这会深入增加复杂性。总而言之，每一个单元全部会增加复杂性并留下看不见安全漏洞。 经过在一个易于实施多技术安全处理方案中集成深层防护技术，X40 能够从根本上改善安全保护经济性并提升强度。全部安全技术全部经过一个优异机柜式系统和安全操作系统结合在一起。这种操作系统消除了对外部交换机、负载平衡器、端口镜像需要。经过多个安全技术配置流路径工作能够从一个能为用户带来全方面灵活性图形用户界面（GUI）上轻松完成。这种合并是现在业界最简单、安全而又经济安全防护模式。 Crossbeam X40 安全业务交换机是： l 一个高性能多重安全处理方案 － 一个灵活平台最多能够支持 8 Gbps 全方面状态式防火墙处理吞吐量。该平台能够经过 X-Stream 安全流处理技术支持很复杂高性能安全配置。 l 一个多重安全引擎平台，能够提供很高安全处理性能，包含防火墙、VPN、入侵检测、防病毒扫描、URL 过滤、内容过滤和反垃圾邮件。 l Crossbeam 企业X系列产品组员之一。该系列是现在市场上唯一完整高可用性（HA）安全处理方案系列 － 能够提供全方面冗余（无单点故障）、多级故障容错（即无中止运行）和全方面热交换、便于维护功效。 X40 由以下优异组件组成：机柜、背板、电源和风扇 安装有6个风扇风扇托架 Crossbeam X40 网络处理模块（NPM） • NPM 支持高速流分类并集成了Crossbeam 正在申请专利负载平衡算法以实现平均流量分配。流定义能够由用户进行全方面配置。 • 一台 X40 中最多能够配置2个 NPM。它们既能够相互独立，也能够成对配置以实现主动/主动或主动/备用冗余。 提供有2个版本 NPM • NPM 8200 有8个千兆以太网（SX、LX 或铜线）接口 • NPM 8210 有16个快速以太网（10/100 Mbps）接口 应用处理模块（APM） • APM 使用最优异安全引擎来处理来自 NPM 信息流。 • 每个 APM 运行一个或多个安全引擎。APM能够分组形成负载平衡组以实现高可用性和更高处理性能。您能够创建多个 APM组，从而创建一个完全包含在单一 X40 中深层防护安全模式。 APM 选项 • APM 8400 标准配置带有一个 Xeon处理器和 512 MB 内存。用户也能够订购额外内存（最高可达 4GB）和处理器（最多2个）。 用户能够为每个 APM 订购一个可选硬盘或 VPN 加速引擎。我们提议为 IDS 和防病毒等磁盘密集型安全引擎订购硬盘，VPN 加速引擎通常见于加速 VPN 应用 3DES 流量。 控制处理模块（CPM） • CPM 经过连续监控全部模块来管理系统关键征兆，立即发觉故障并实施合适切换操作。CPM 还能够为用户提供专用管理接口来连接到管理工作站或日志服务器。 • 两个 CPM 能够作为冗余主动/备用对运行，使用 RAID-1 镜像硬盘。 X系列操作系统（XOS） XOS 是一个安全操作系统，结合了嵌入式实时操作系统强大功效、高速度和 Linux 操作系统应用灵活性及安全性。 NPM 运行来自 VxWorks™ 一个实时操作系统。这是大多数高端联网产品首选操作系统。APM 和 CPM 运行一个经过强化 Linux 关键和专门优化用于 X40 操作系统。这种操作系统叫作 Crossbeam Linux，能够兼容为 Linux 编写大多数安全应用。 5.4 Check Point SmartCenter Power介绍 SmartCenter Power 统一安全管理最明智选择 您碰到挑战 过去，在您边界上安装防火墙而且为您台式机安装防病毒软件被认为是最优异安全防范方法。但现在，情况已经发生改变。伴随互联网蠕虫出现和复杂攻击手段不停增多，现在网络安全情况远比过去复杂得多。这么新环境，和新安全要求和为远程用户和商业合作伙伴提供远程访问需要，全部要求一个更全方面根本安全实施。多层次保护将从带防火墙外网开始并逐步深入到网络内部，从而保护敏感部门、服务器、应用程序，甚至用户个人电脑和笔记本。但不幸是，这么多层安全防范又造成了管理上复杂。对于资源有限IT部门而言，在多个站点和多个平台上确保其安全防范方法能保持更新就成了一项艰巨任务。 假如没有有效管理，即便是最复杂安全布署，其所能提供安全保障也只将受限于本身最弱步骤。安全管了处理方案必需让企业能跟踪自己安全布署效率，为安全法律调查提供具体信息，支持在整个企业实施一致安全策略和主动式升级。 我们处理方案 Check Point 企业SmartCenter TM是基于现在业界最一致、最强大管理架构，安全管理架构（SMART）基础之上。它支持企业集中定义边界、内部和Web安全策略；关联和优化安全事件；实施高级监视和汇报功效——这一切全部经过一个控制台来实现。在全部网关分配安全策略升级变得很简单，从而确保一致策略实施并提升运行效率。这么，企业能保护对业务关键资产并实现它们在安全方面投资最大化。 综合安全管理 Check Point企业经过SmartCenter和Smartcenter power提供多种层次管理功效，从而提供综合、可节省成本处理方案，以支持经过单个管理控制台来实现最高级控制和安全。 SmartCenter是Check Point企业旗舰级企业管了处理方案。它含有以下组件： · SmartDashboard是一个能支持管理员集中定义安全和VPN策略界面。 · SmartView Tracker能够对全部日志统计连接和管理员活动提供实时可视化跟踪。除了提供SmartCenter全部功效， Smartcenter power TM还能够为最复杂环境提供以下增加管理功效： · SmartPortal为SmartCenter增添了基于浏览器访问功效。 · SmartMap TM支持对安全策略可视化管理。 · SmartView Monitor TM支持对网络、VPN和用户进行实时监视。 · SmartUpdate TM集中对软件和证书分配和存放。 · SmartLSM TM支持大规模管理。 · SmartDirectory提供对基于LDAP目录集成。 · Management High Availability（管理高可用性）为全部管理操作提供容错功效。 除此以外，Eventia Reporter TM能提供综合、易于了解图形化汇报，而Eventia Analyzer能提供对来自Check Point网关和多个安全和网络设备日志数据实时事件关联。Eventia Reporter和Eventia Analyzer是SmartCenter附加软件。 基于策略VPN/防火墙管理 作为SmartCenter一部分，SmartDashboard即使复杂，但在使用上仍然很方便。管理员能够集中定义一个安全策略各个方面：VPN、网络地址转换(NAT)、服务质量（QoS）、Web访问和台式机和终端安全。被定义为安全策略一部分“对象”，比如网络、主机、用户、服务、资源和活动，全部能够被图形化展示并能在SmartDashboard中直接进行处理。比如，对象能够被包含到SmartGroup中，或网络对象能够被轻松克隆以简化对策略定义。因为SMART架构组件紧密集成，相同对象能够在实施点和应用程序间被共享，节省管理时间并确保整个网络策略配置一致性。 除了集成仪表盘工具，SmartCenter处理方案还提供了很多个策略管理工具来改善策略创建。预定义全局策略支持利用多种服务来在实施点之间实现适宜连接。SmartCenter能够管理策略多个版本，许可管理员采取策略老版本。 经过SmartDashboard实现策略集中管理和可视化。 综合边界、内部和Web安全 SmartCenter为Check Point VPN-1® 边界安全网关、InterSpect TM内部安全网关和Connectra TM Web安全网关提供集中管理。经过SmartDashboard，管理员能够对InterSpect和Connectra网关采取和VPN-1网关相同管理方法来定义和实施策略、跟踪日志，监视VPN和防火墙活动和集中分布安全和软件升级。经过SmartDashboard和SmartDefense服务，管理员只需一个简单操作就能够同时为多个设备进行实时安全升级布署，从而降低管理负担并避免犯错。经过这些唾手可得功效，管理员能够更清楚、直观了解整个网络安全情况。 集成端到端安全保护 Integrity SecureClient TM提供全方面访问保护（Total Access Protection），它能够经过个人防火墙确保连接到企业网络全部台式机和笔记本电脑安全。个人防火墙策略能够依据从用户端系统发送或接收网络传输源、目标和类型在SmartDashboard中进行定义。用户或用户群能够自己定制规则，支持企业对远程用户系统进行充足控制。 简单VPN布署 SmartDashboard支持管理员经过一个简单操作来定义VPN团体，并为整个VPN拓扑（包含内网、外网和远程访问布署）设定安全参数。安全管理员只需要将全部VPN-1网关组成一个团体，VPN就能在全部网关间或远程用户和网关间自动开启。当新站点或用户被加入团体时，它们能自动继承对应属性并能立即和其它VPN团体组员建立安全会话。安全管理员能够不用再做像设计和定义加密规则之类反复性工作。SmartCenter支持多种网络拓扑结构，包含全网状拓扑、星型拓扑、集中星型拓扑和混合拓扑。VPN对象和团体能被轻松集成到安全规则库中。 实时排错 SmartView Tracker能够对全部有日志统计连接和管理员活动提供实时可视化跟踪。管理员能够过滤或搜寻感爱好事件，假如出现攻击事件或发觉可疑活动，她们能够立即严禁或终止和某个IP地址连接。这些特点大大降低了排除配置错误所需要时间。 SMARTCENTER POWER——为复杂环境提供高级安全管理 SmartCenter为企业提供了能集中定义和监视其安全策略功效。Smartcenter power和诸如Eventia Reporter和Eventia Analyzer等管理附加模块使企业能愈加好地了解和控制其安全环境，并为企业提供了很多高级集成功效。 经过Web访问SmartCenter 经过SmartPortal，安全小组能够让外部团体，如技术支持或审核员访问基于浏览器SmartCenter，但同时又继续保持对策略实施集中控制。SmartPortal用户能够查看安全策略和Check Point产品状态，和管理员审核跟踪（audit trail）。高级用户能够取得管理员管理权限。这个扩展功效促进