次世代防火牆-產品篇-Check Point

身為全球第一家推出傳統防火牆的老牌安全廠商而言，雖然NGFW的推出，會對其原有市占率極高的傳統防火牆市占造成不小的威脅，但該公司當然不會坐失NGFW逐漸坐大而帶來的龐大商機。不過，該公司在因應策略上，並不會將NGFW視會全新產品，而另推單獨的專屬設備，而是以既有軟體刀鋒架構上的全新模組服務呈現。

Check Point所推出的NGFW，不會是單獨的安全設備，而會在Check Point Power-1防火牆產品上，直接透過NGFW軟體刀鋒的內建來提供，如今Power-1已透過軟體刀鋒的模組化添加型式，新增了諸如IPS、應用控管的安全機制。其中，端點安全刀鋒提供了個人主機上磁碟／媒體加密與惡意程式掃描及過濾等防護功能；至於安全管理分鋒則提供了政策管理、日誌及隨需部署等管理機制；安全閘道刀鋒則支援諸如防火牆、VPN及IPS等傳統網路安全服務，乃至應用控管及身分感知等先進NGFW服務。

如今Check Point推出基於軟體刀鋒架構的最新版R75網路安全套裝軟體，也是第一個能執行Check Point 3D Security的軟體。該套裝同時提供應用控管、身分感知、資料外洩防護(DLP)及行動存取四個全新軟體刀鋒，企業可藉以獲得對資料、Web 2.0應用及行動存取更佳的可見度及控管性。

Check Point應用控管刀鋒支援應用偵測及資源耗用率控制、AppWiki應用分類庫、SSL加密流量檢測、UserCheck、使用者及機台感知、中央政策管理及整合事件管理等安全機制。應用控管刀鋒能對Web 2.0或社交網路等數以千計的應用軟體，進行辨識、允許、封鎖或使用率限制等安全政策的套用及執行，該政策不會因為該應用軟體採用什麼通訊埠、通訊協定，抑或偷機取巧地採用任何迴避手段，皆可忠實地套用政策。不僅如此，透過身分感知刀鋒的整合，IT管理人員可進一步制定更精細的安全政策。至於使用者及群組之應用耗用率控制，則會根據使用者或部門群組之特定需求，乃至與安全、生產力或資源利用率有關的應用特徵進行控管。

再就AppWiki應用分類庫來說，透過該分類庫的支援，可偵測掃描超過4,500種不同應用程式，以及包括即時通訊、社交網路、串流影片、VoIP、遊戲等超過240,000種Web 2.0工具。AppWiki並將現有應用軟體，基於應用類型、安全風險等級、資源耗用率、生產力作用等差異而劃分成80種類型。


▲ Check Point AppWiki應用分類庫

。

此外，一旦使用者存取了任何違反安全政策或隱含安全風險的應用軟體時，UserCheck技術會對使用者發出即時警示，如此不但可省卻管理者的負擔，同時還能藉此教育並推廣公司在應用安全上的政策及做法。

再就身分感知刀鋒而言，管理人員可藉由方便可組態之存取角色，輕鬆地將使用者、使用者群組及機台等身分認證資訊添君到安全防禦機制之中。該刀鋒同時採用了許多方法來獲得使用者身分識別碼，包括基於AD目錄整合，且完全不需安裝任何東到AD伺服器及端點裝置上的免用戶端軟體；針對特定使用者在存取預先定義資源之前，而必須Web介面進行身分認證的強制性網路認證入口網站(Captive Portal)；可藉由Kerveros單一簽入(SSO)進行透通身分認證，同時支援可防止IP詐騙攻擊之獨家專利封包標記技術( packet tagging technology )的ID代理程式。

至於DLP軟體刀鋒提供了許多防止資料外洩的安全防護機制，包括支援內外部資料入侵防護、SSL加密流量檢測、MultiSpect資料分類引擎（可將使用者、內容及流程作為正確決策的依據）、全網路防護覆蓋率、動態文件浮水印（R75.40支援）、中央政策管理、事件管理、快速又彈性的部署等功能。

Check Point行動存取軟體刀鋒，可在行動使用者透過任何行動裝置遠端存取公司網路時，提供整合進階SSLP VPN及加密技術的安全威脅保護能力。再者，其IPS軟體分鋒則號稱可提供全功能IPS，舉凡惡意軟體、DoS/DDoS、應用及伺服器漏洞入侵、內部威脅等攻擊，乃至IM/P2P等不必要應用流量，皆可以防護及控管。在效能上，在預設設定值下，IPS最大傳輸效能可達 15Gbps，透過高速樣本比對引擎，可以最大效能進行多層級、雙層式安全檢測。
次世代防火牆--背景篇
次世代防火牆--採購篇
次世代防火牆-產品篇-Check Point
次世代防火牆-產品篇-Dell SonicWall
次世代防火牆-產品篇-Fortinet
次世代防火牆-產品篇-Palo Alto
次世代防火牆-產品篇-SourceFire
次世代防火牆--番外篇-Citrix NetScaler