チェックポむント。 それは䜕ですか、それは䜕で食べられたすか、たたは䞻なものに぀いお簡単に



こんにちは、Habrの芪愛なる読者 これはTS Solutionの䌁業ブログです。 私たちはシステムむンテグレヌタヌであり、䞻にITむンフラストラクチャセキュリティ゜リュヌション Check Point 、 Fortinet およびマシンデヌタ分析システム Splunk を専門ずしおいたす。 私たちは、Check Pointテクノロゞヌの簡単な玹介からブログを始めたす。



この蚘事を曞くべきかどうか長い間考えおいたした、なぜなら むンタヌネットには芋られない新しいものは䜕もありたせん。 しかし、クラむアントやパヌトナヌず協力する際に​​このような豊富な情報があるにもかかわらず、同じ質問をよく耳にしたす。 したがっお、Check Pointテクノロゞヌの䞖界ぞの玹介を䜜成し、゜リュヌションのアヌキテクチャの本質を明らかにするこずが決定されたした。 そしお、これらすべおは、いわば、1぀の「小さな」投皿のフレヌムワヌク内での、迅速な遠足です。 さらに、私たちはマヌケティング戊争に行かないようにしたす。 私たちはベンダヌではなく、単なるシステムむンテグレヌタヌでありチェックポむントは非垞に気に入っおいたすが、他のメヌカヌパロアルト、シスコ、フォヌティネットなどず比范せずに䞻芁なポむントを芋るだけです。 この蚘事は非垞に膚倧であるこずが刀明したしたが、Check Pointに粟通した段階でほずんどの質問が省略されたした。 興味があるなら、猫にようこそ 



UTM / NGFW



Check Pointに぀いおの䌚話を始めるずき、最初に行うこずは、UTM、NGFWずは䜕か、それらがどのように異なるかを説明するこずです。 これを非垞に簡朔に行い、投皿が倧きくなりすぎないようにしたす将来、この問題をもう少し怜蚎する予定です



UTM-統合脅嚁管理



぀たり、UTMの本質は、1぀の゜リュヌションで耇数の保護を統合するこずです。 ぀たり すべお1぀のボックスたたはいく぀かの包括的。 「いく぀かの救枈策」ずはどういう意味ですか 最も䞀般的なオプションは、ファむアりォヌル、IPS、プロキシURLフィルタリング、ストリヌミングアンチりむルス、アンチスパム、VPNなどです。 これらすべおが1぀のUTM゜リュヌションに統合され、統合、構成、管理、監芖の芳点から簡単になり、ネットワヌクセキュリティ党䜓にプラスの効果をもたらしたす。 UTM゜リュヌションが最初に登堎したずき、それらは䞭小䌁業専甚に考えられおいたした。 UTMは倧量のトラフィックに察凊できたせんでした。 これには2぀の理由がありたす。



  1. パケットを凊理する方法。 UTM゜リュヌションの最初のバヌゞョンは、各「モゞュヌル」でパケットを順番に凊理したした。 䟋最初にパケットがファむアりォヌルによっお凊理され、次にIPSが凊理され、次にアンチりむルスがそれをスキャンしたす。 圓然、このようなメカニズムにより、トラフィックに深刻な遅延が生じ、システムリ゜ヌスプロセッサ、メモリが消費されたす。
  2. 匱いハヌドりェア。 前述のように、パケットの順次凊理はリ゜ヌスを倧量に消費し、圓時1995〜2005幎のハヌドりェアは倧量のトラフィックに察凊できたせんでした。


しかし、進歩は止たりたせん。 それ以来、ハヌドりェアの容量が倧幅に増加し、パケット凊理が倉曎され確かに、すべおのベンダヌが持っおいるわけではありたせん、耇数のモゞュヌルME、IPS、AntiVirusなどでほが同時に分析できるようになりたした。 最新のUTM゜リュヌションは、深局分析モヌドで数十から数癟のギガビットを「消化」できたす。これにより、倧芏暡なビゞネスやデヌタセントのセグメントでも䜿甚できたす。



以䞋は、2016幎8月のUTM゜リュヌションの有名なGartnerマゞッククアドラントです。







この写真に぀いおはあたりコメントしたせん。右䞊隅にリヌダヌがいるずだけ蚀いたす。



NGFW-次䞖代ファむアりォヌル



この名前は、次䞖代のファむアりォヌルであるずいうこずを衚しおいたす。 この抂念は、UTMよりもずっず埌に登堎したした。 NGFWの䞻なアむデアは、統合されたIPSずアプリケヌションレベルでのアクセス制埡アプリケヌション制埡を䜿甚したディヌプパケット分析DPIです。 この堎合、パケットストリヌム内のアプリケヌションを識別するためにIPSが必芁です。これにより、アプリケヌションが蚱可たたは拒吊されたす。 䟋Skypeを有効にし、ファむル転送を無効にするこずができたす。 TorrentたたはRDPの䜿甚を犁止できたす。 Webアプリケヌションもサポヌトされおいたす。VK.comぞのアクセスを蚱可できたすが、ゲヌム、メッセヌゞ、たたはビデオの芖聎を犁止できたす。 本質的に、NGFWの品質は、NGFWが決定できるアプリケヌションの数に䟝存したす。 NGFWの抂念の出珟は、パロアルトが急速な成長を開始した䞀般的なマヌケティングの動きであるず倚くの人が信じおいたす。



NGFW 2016幎5月のGartnerのマゞッククアドラント







UTM察NGFW



よくある質問ですが、どちらが良いですか ここには単䞀の答えはなく、そうするこずはできたせん。 特に、ほずんどすべおの最新のUTM゜リュヌションにはNGFW機胜が含たれおおり、ほずんどのNGFWにはUTM固有の機胜アンチりむルス、VPN、アンチボットなどが含たれおいるずいう事実を考慮しおください。 い぀ものように、「悪魔は现郚に宿る」ので、たず第䞀に、予算を決定するために、具䜓的に必芁なものを決定する必芁がありたす。 これらの決定に基づいお、いく぀かのオプションを遞択できたす。 そしお、マヌケティング資料を信頌するのではなく、すべおを確実にテストする必芁がありたす。



次に、いく぀かの蚘事の枠組みの䞭で、Check Point、それをどのように詊すこずができるか、原則ずしお䜕を詊すこずができるかほがすべおの機胜に぀いおお話したす。



チェックポむントの3぀の゚ンティティ



Check Pointを䜿甚する堎合、この補品の3぀のコンポヌネントに必ず遭遇したす。







  1. セキュリティゲヌトりェむSG -セキュリティゲヌトりェむ自䜓。通垞はネットワヌクの境界にむンストヌルされ、ファむアりォヌル、ストリヌミングりむルス察策、アンチボット、IPSなどずしお機胜したす。
  2. セキュリティ管理サヌバヌSMS -ゲヌトりェむ管理サヌバヌ。 ゲヌトりェむSGのほずんどすべおの蚭定は、このサヌバヌを䜿甚しお実行されたす。 SMSはログサヌバヌずしおも機胜し、組み蟌みのむベント分析および盞関システム-スマヌトむベントチェックポむントのSIEMに䌌おいたすで凊理できたすが、これに぀いおは埌で詳しく説明したす。 SMSは耇数のゲヌトりェむを集䞭管理するために䜿甚されたすゲヌトりェむの数はSMSモデルたたはラむセンスに䟝存したすが、ゲヌトりェむが1぀しかない堎合でも䜿甚する必芁がありたす。 ここで泚意すべきなのは、チェック・ポむントがこのような集䞭管理システムを䜿甚した最初の䌁業の1぀であり、長幎にわたっおガヌトナヌのレポヌトによるず「ゎヌルドスタンダヌド」ずしお認識されおいるこずです。 「Ciscoに通垞の管理システムがあれば、Check Pointは登堎しなかっただろう」ずいう冗談さえありたす。
  3. スマヌトコン゜ヌルは、管理サヌバヌSMSに接続するためのクラむアントコン゜ヌルです。 通垞、管理者のコンピュヌタヌにむンストヌルされたす。 このコン゜ヌルを介しお、すべおの倉曎は管理サヌバヌで行われ、その埌、蚭定をSecurity Gatewayむンストヌルポリシヌに適甚できたす。







チェックポむントオペレヌティングシステム



Check Pointオペレヌティングシステムに぀いお蚀えば、IPSO、SPLAT、GAIAの3぀を䞀床に思い出すこずができたす。



  1. IPSOは、ノキアが所有しおいたIpsilon Networksのオペレヌティングシステムです。 2009幎、チェックポむントはこのビゞネスを買収したした。 もはや開発されおいたせん。
  2. SPLAT -RedHatのコアに基づくCheck Pointの独自開発。 もはや開発されおいたせん。
  3. Gaiaは、Check Pointの珟圚のオペレヌティングシステムであり、IPSOずSPLATの合䜵の結果ずしお登堎し、すべおのベストを取り入れおいたす。 2012幎に登堎し、積極的に開発を続けおいたす。


ガむアに぀いお蚀えば、珟時点で最も䞀般的なバヌゞョンはR77.30です。 比范的最近、R80のバヌゞョンがありたしたが、以前のバヌゞョンずは倧幅に異なりたす機胜ず管理の䞡方の点で。 それらの違いのトピックに別の投皿を捧げたす。 もう1぀の重芁なポむント-珟時点では、R77.10バヌゞョンのみがFSTEC蚌明曞を持ち、R77.30バヌゞョンが認蚌されおいたす。



実行オプションCheck Point Appliance、仮想マシン、OpenSerever



Check Pointにはいく぀かの補品オプションがあるため、ここでは驚くべきこずは䜕もありたせん。



  1. アプラむアンス -ハヌドりェアず゜フトりェアのデバむス、぀たり 自分の「鉄片」。 パフォヌマンス、機胜、および実行が異なる倚くのモデルがありたす産業甚ネットワヌクにはオプションがありたす。



  2. 仮想マシン -Gaia OSを備えたCheck Point仮想マシン。 ハむパヌバむザヌESXi、Hyper-V、KVMがサポヌトされおいたす。 プロセッサコアの数ごずにラむセンス䟛䞎されたす。
  3. OpenServer -Gaiaをメむンオペレヌティングシステムずしおサヌバヌに盎接むンストヌルしたすいわゆる「ベアメタル」。 特定のハヌドりェアのみがサポヌトされおいたす。 このハヌドりェアには、埓う必芁がある掚奚事項がありたす。そうしないず、ドラむバヌずそれらに問題がある可胜性がありたす。 サポヌトが拒吊される堎合がありたす。


実装オプション分散たたはスタンドアロン



もう少し䞊に、ゲヌトりェむSGず管理サヌバヌSMSが䜕であるかに぀いお既に説明したした。 次に、実装のオプションに぀いお説明したす。 䞻に2぀の方法がありたす。



  1. スタンドアロンSG + SMS -ゲヌトりェむず管理サヌバヌの䞡方が同じデバむスたたは仮想マシン内にむンストヌルされおいる堎合のオプション。







    このオプションは、ナヌザヌトラフィックで負荷が軜いゲヌトりェむが1぀しかない堎合に適しおいたす。 このオプションは最も経枈的です 管理サヌバヌSMSを賌入する必芁はありたせん。 ただし、ゲヌトりェむに倧きな負荷がかかるず、「ブレヌキング」制埡システムを䜿甚できたす。 したがっお、スタンドアロン゜リュヌションを遞択する前に、このオプションを参照するか、テストするこずをお勧めしたす。



  2. 分散 -管理サヌバヌはゲヌトりェむずは別にむンストヌルされたす。







    利䟿性ずパフォヌマンスの点で最適なオプション。 耇数のゲヌトりェむたずえば、䞭倮およびブランチを䞀床に管理する必芁がある堎合に䜿甚されたす。 この堎合、管理サヌバヌSMSを賌入する必芁がありたす。これは、アプラむアンスハヌドりェアたたは仮想マシンの圢匏でもかたいたせん。


少し前に蚀ったように、Check Pointには独自のSIEMシステムスマヌトむベントがありたす。 分散むンストヌルの堎合にのみ䜿甚できたす。



動䜜モヌドブリッゞ、ルヌティング

Security GatewaySGは、2぀の䞻なモヌドで動䜜できたす。





ブリッゞモヌドでは機胜に制限があるため、むンテグレヌタヌずしお、可胜な堎合はもちろん、すべおのクラむアントにルヌティングモヌドを䜿甚するこずをお勧めしたす。



゜フトりェアブレヌドチェックポむント゜フトりェアブレヌド



顧客からの質問が最も倚いメむントピックCheck Pointにほが到達したした。 これらの「゜フトりェアブレヌド」ずは䜕ですか ブレヌドずは、特定のチェックポむント機胜を意味したす。







これらの機胜は、必芁に応じおオンたたはオフにできたす。 同時に、ゲヌトりェむネットワヌクセキュリティで排他的にアクティブ化され、管理サヌバヌ管理でのみアクティブ化されるブレヌドがありたす。 以䞋の図は、䞡方の堎合の䟋です。



1ネットワヌクセキュリティ ゲヌトりェむ機胜







簡単に説明したす 各ブレヌドには個別の蚘事が必芁です。





ほんの数件の蚘事で、Threat EmulationブレヌドずThreat Extractionブレヌドに぀いお詳しく芋おいきたす。きっず興味深いものになるでしょう。



2管理甚 管理サヌバヌ機胜









蚘事を膚らたせたり読者を混乱させたりしないように、ラむセンスの問題を詳现に怜蚎するこずはしたせん。 ほずんどの堎合、別のポストに投皿したす。



ブレヌドのアヌキテクチャにより、本圓に必芁な機胜のみを䜿甚できるようになり、゜リュヌションの予算ずデバむスの党䜓的なパフォヌマンスに圱響したす。 アクティブにするブレヌドが倚いほど、「远い払う」こずができるトラフィックが少なくなるのは論理的です。 そのため、次のパフォヌマンステヌブルが各チェックポむントモデルに添付されおいたすたずえば、5400モデルの特性を採甚したした。







ご芧のずおり、テストには、合成トラフィックず実際の混合トラフィックの2぀のカテゎリがありたす。 䞀般的に、Check Pointは次のように単玔に合成テストの公開を匷制されたす。 䞀郚のベンダヌは、実際のトラフィックでの゜リュヌションのパフォヌマンスを調査せずに、ベンチマヌクずしお同様のテストを䜿甚しおいたすたたは、パフォヌマンスが䞍十分であるため、そのようなデヌタを意図的に隠しおいたす。



テストの各タむプには、いく぀かのオプションがありたす。



  1. ファむアりォヌルのみをテストしたす。
  2. ファむアりォヌル+ IPSテスト。
  3. ファむアりォヌル+ IPS + NGFWテストアプリケヌション制埡;
  4. ファむアりォヌル+アプリケヌション制埡+ URLフィルタリング+ IPS +アンチりむルス+アンチボット+ SandBlastテストサンドボックス


゜リュヌションを遞択するずきは、これらのオプションを泚意深く芋るか、 アドバむスを求めおください 。



これで、Check Pointテクノロゞヌに関する入門蚘事を終了できるず思いたす。 次に、Check Pointをテストする方法ず、情報セキュリティに察する最新の脅嚁りむルス、フィッシング、ランサムりェア、れロデむに察凊する方法に぀いお説明したす。



Check Pointの詳现、基本的なシステムパラメヌタの蚭定方法、セキュリティポリシヌの管理方法などに぀いおは、ここをクリックしおください。



PS重芁なポむント。 倖囜むスラ゚ルの起源にもかかわらず、この゜リュヌションは監督圓局によっおロシア連邊で認蚌されおおり、囜家機関での存圚を自動的に合法化したす Denyemallによるコメント。



All Articles