チェック・ポイントからのメッセージ インターネットは今や我々に何か新たなものを見出してくれる魅力的なメディアであるだけでなく、生活に欠かせない社会 インフラストラクチャとして成長しました。しかしながらインターネットへ接続するということは、簡単に利便性を向上し、 コミュニケーション方法を多様化することを実現できる反面、常に不正なアクセスによる侵入、侵入された結果、機密 情報が流出したり、悪意のある攻撃やインターネット犯罪による被害の発生など、さまざまなセキュリティ・リスクに 直面することとなります。したがって近年のネットワーク環境においてネットワーク・セキュリティを導入すると言うことは、 きわめて重要で必要不可欠なネットワーク・インフラストラクチャを構築しているという認識が必要です。 チェック・ポイントのIPアプライアンス製品は、数々の受賞歴のあるチェック・ポイントのセキュリティ・ソフトウェアを すばやく簡単に導入できる強力なソリューションで、利用環境のセキュリティ・ニーズに幅広く柔軟に対応します。IPアプライ アンスの全てのラインナップ製品は、統一されたセキュリティ・アーキテクチャに基づいて開発されているため、ハイエンド からローエンドまでの全ての製品でセキュリティ・アーキテクチャやセキュリティ強度にまったく機能差が無いばかりか、 セキュリティ管理に伴う作業はすべて単一の統合コンソールから実施することが可能です。さらに、新たにリリースされた Software Blade アーキテクチャによって、柔軟性、拡張性、容易さが一層向上し、ユーザは必要な機能を環境にあわせ 柔軟に組み合わせることが可能となりました。 チェック・ポイントのIPアプライアンス製品を利用することで、お客様は利用環境の規模を問わず、機能およびパフォー マンス要件に合わせて最適なネットワーク・セキュリティ・インフラストラクチャを構築することが可能です。 Contents 2 チェック・ポイント IPアプライアンス・ラインナップ 3 チェック・ポイント IPアプライアンスの魅力 4 Software Blade アーキテクチャによるネットワーク・セキュリティ 5 チェック・ポイントの強固なアプリケーション・セキュリティ 6 チェック・ポイントのソリューション 7 チェック・ポイントのトータル・セキュリティ 14 IPアプライアンスの機能 15 IPアプライアンス 簡単購入ガイド 23 チェック・ポイント・アプライアンス製品の基本サポート 24 チェック・ポイント ハンズオン・トレーニングのご案内 26 チェック・ポイント IPアプライアンス製品仕様 27 チェック・ポイント IPアプライアンス・ラインナップ IP2455 IP1285 マルチコア マルチコア ADP ADP I P 24 5 5は、チェック・ポイント I Pアプライアンスの 最 新のトップモデルです。より 高められ た 性 能 は 小さな 2 R U 高のシャーシ に 集 約 され 、10 G インターフェースを サポートする一方、既存IPアプライアンス用PMCインターフェース・カードもサポート します。クアッド(4) コアCPUを2基装備したオクタ (8) コアで、高速・信頼・資産保護を 実現する究極のプラットフォームです。 IP1285は優れたコスト・パフォーマンスと10Gbpsクラスのスケーラビリティを必要と する大 規 模 企 業に 最 適な 次 世 代 型セキュリティ・プラットフォームで す。C P Uには クアッド(4)コアを採用し、 マルチコア対応のセキュリティ・アプリケーションのサポート により高速で効率的な処理を実現します。 IP695 IP565 マルチコア ADP ADP IP695は継 続的なネットワーク利用の拡 大に伴いトラフィック処 理の増大が見込ま れる中規模オフィスに最適なセキュリティ・プラットフォームです。電源部は2重化され、 CPUにはデュアル(2)コアを採用。マルチコア対応のセキュリティ・アプリケーションを サポートする最新鋭モデルです。 IP565は中規模オフィスにより高いパフォーマンスを求める企業に最適なセキュリティ・ プラットフォームです。ネットワークの境界、あるいは高密度なポート装備で社内の複数の ネットワーク・セグメント保護を実現します。 IP395 IP295 IP152 IP395は、1RUのスリムな筐体で高性能な小規模向け セキュリティ・プラットフォーム。企業のインターネット・ ゲートウェイのような高い 処 理を伴うセキュリティ・ ニーズに応えるための大きな能力を有しています。 IP2 9 5は、小規 模 企業または大 規 模 企業のリモート オフィスに 最 先 端 の セキュリティ・ソリューションを 提供するのに最適なパフォーマンスとポート密度をもつ プラットフォームです。1/2ラック幅なので2台を並べ、 わずか1RUの実装高さで2重化構成を実現します。 IP152はより高いセキュリティと共に容易な導入と管理 が必要とされる小規 模オフィス、リモート・オフィスに ファイア ウォ ール / V P N 機 能 を 提 供 す るプ ラ ット フォームです。 大規模企業向け 中規模オフィス向け 小規模オフィス向け IP2455 IP1285 IP695 IP565 IP395 IP295 IP152 ファイアウォール・パフォーマンス 10.3Gbps 29Gbps*1 10.3Gbps 15.4Gbps*1 7.2Gbps 11.7Gbps*1 6.3Gbps 9.5Gbps*1 3Gbps 1.5Gbps 550Mbps 最大収容ポート数 32xGig/100M 10x10G 28xGig/100M 10x10G 16xGig/100M 6x10G 16xGig/100M 8xGig/100M 8xGig/100M 4xGig/100M 搭載メディア・タイプ HDD/Flash HDD/Flash HDD/Flash HDD/Flash HDD/Flash HDD/Flash HDD 電源・空冷ファン構成 2xホット・スワップ電源 1xリムーバル・ファン 2xホット・スワップ電源 2xホット・スワップ電源 1xリムーバル・ファン 1xリムーバル・ファン 1xリムーバブル電源 1xファン 1x電源 /ファン 1x電源 /ファン 1x電源 /ファン ホット・スワップNIC対応 ホット・スワップ対応 ホット・スワップ対応 - - - - - ボディ・サイズ 2RU高 2RU高 1RU高 1RU高 1RU高 1RU高、½ラック幅 1RU高 ハードディスク冗長構成 ミラー/ホット・ スワップHDD(OP) ミラー/ホット・ スワップHDD(OP) ミラー(OP) ミラー(OP) - - - CPU構成 2x4 Core CPU 1x4 Core CPU 1x2 Core CPU 1 x CPU 1 x CPU 1 x CPU 1 x CPU 性能値は測定環境・方法に依存します。 *1: ADPカード装着時 (OP) : オプションで追加の場合 3 チェック・ポイント IPアプライアンスの魅力 The Best of Breed、明らかな統合効果 統合のメリット チェック・ポイントのセキュリティ・ソリューションとノキアのネットワーク・アプライ アンスを組み合わせるという協業によりネットワークのセキュリティ・アプライ アンスの市場を創出し、2社は、 そこでのマーケット・リーダーの地位を不動のものに しました。そうして12年の協業の末、チェック・ポイントはノキアの当該事業部門を 買収、統合しました。統合後、速やかに統合の効果があらわれており、ユーザの 皆様によりよいネットワークのセキュリティ・アプライアンスの提供を続けて おります。今後も最適化されたプラットフォームに最高峰のセキュリティ・ソリュー ションで業界をリードしてゆきます。 単一の注文番号 より幅広いラインナップからの製品選択 優れたトータル・コスト(下取り、サポート料金、IPS無料) Software Bladeによる、より柔軟な製品選択 12年におよぶ協業 より一層充実したサポート セキュリティ・アプライアンスにおける リーダーへ ベース: ノキアが提供していたサービスの継承 統合セキュリティへ進化するチェック・ポイント IPアプライアンス チェック・ポイント IPアプライアンスは最新のセキュリティ・ソリューションを提供する セキュリティ・ゲートウェイです。インターネット、IPプロトコルを利用する環境において 簡単、スムーズに導入でき、強度の高いセキュリティを確保し、同時に卓越した パフォーマンスを高信頼に提供します。複数のSoftware Blade(ファイアウォール、 IPsec VPN、IPS等)に先進のアクセラレーション技術と豊富なネットワーキングや 冗長化機能を備えたシリーズで、小規模から大規模まで利用環境に合わせて最適な 機種がお選びいただけます。主な特徴は次の通りです。 許可されていない アクセス サーバ・ネットワーク 機器の脆弱性を 狙った攻撃 ファイアウォール Check Point R70 Software Blades ファイアウォールがベース ● 企業ネットワーク (本支店接続) やリモート/モバイルユーザとのインターネットを IPS IPsec VPN 不正侵入検知/ 防御 使用したVPN実現 送信元認証、 通信の機密、 完全性 ファイアウォールからの 進化 ● オプションにてWeb専用ファイアウォール機能や高度なVoIPセキュリティの提供 CoreXL、VPNアクセラレータ、ADPカードによる パフォーマンスの拡張 ● IPv6/IPv4対応各種ダイナミック・ルーティング機能 (ユニキャスト&マルチキャスト) 、 高速切り替え冗長化機能 ● 優れた運用管理性能: 監査ログ、 トラフィック・モニタ、RAS(Reliability、 Availability、Serviceability)機能 盗聴、なりすまし、 改ざん ネットワーク・ セキュリティ確保 ● インターネット・セキュリティの世界標準ともいえるチェック・ポイントの ● 不正アクセス検知・防御を提供するIPS機能装備 不正なアクセスログを 収集 ● 各種アクセラレーション技術 Check Point IP Appliance アプリケーション プログラムへの攻撃 チェック・ポイントの完璧なシステム・アプローチ IPアプライアンスはシステム化されたアプローチによってサポートされています。土台と なる専用プラットフォームはセキュリティ的に強固な土台でありネットワーク・ セキュリティ向けに最適化され高信頼性とハイパフォーマンスを提供します。 そのOS(オペレーティングシステム)は定期的に更新され改良や新機能提供が なされます。またOSは迅速なIPアプライアンスの導入、容易な運用管理・バージョン アップを可能とする管理システムをユーザに提供します。さらに障害時のデータ 収集もワンタッチで、 このデータを24時間365日サービスしているチェック・ポイントの テクニカル・アシスタンス・センターに送っていただくことで最終的に満足いただ ける解決策をご提供いたします。したがってユーザ側はハードウェアかソフトウェア か切り分けをする必要なく、一本化された窓口でサポートが提供されます。 4 チェック・ポイントの完璧なシステム・アプローチ サポート グローバル・サポート&サービス 1つの窓口で解決 運用管理 迅速な導入, 容易な運用管理 スムースなアップグレード アプリケーション セキュリティ・ソリューションの 世界基準 プラットフォーム 強固な専用プラットフォーム 最適化された信頼性とパフォーマンス 独自OSとシステム・ハードウェア TOTAL FLEXIBLE SIMPLE SECURITY Software Blade アーキテクチャによる ネットワーク・セキュリティ 柔軟性と拡張性に優れる業界初のセキュリティ・アーキテクチャ 今日の多くの企業は、 その規模を問わず、新手の脅威に対応したセキュリティ機能を導入するたびにセキュリティ環境が複雑化していくという困難な状況に 直面しています。その原因は、 セキュリティ機能ごとに新たなソリューションやハードウェア・プラットフォーム、 管理コンソールが必要になり、監視すべきイベントが 増えていくためです。チェック・ポイントのSoftware Blade アーキテクチャは、環境固有の要件に合わせてセキュリティ・アプリケーションを選択し、集中 管理可能なモジュール型のセキュリティ・ソリューションに組み込めるようにすることで、企業のセキュリティ環境に柔軟性とシンプルさをもたらします。 Software Bladeアーキテクチャでは、新たなハードウェアを購入することなく、Software Bladeを追加するだけで既存のセキュリティ・インフラスト ラクチャを拡張できるため、TCOの削減も実現されます。 Software Blade Software Bladeとは、個々に独立し、集中管理に対応したモジュール型の セキュリティ・ビルディング・ブロックです。Software Bladeは物理的な ブレードではなく論理的なブレードで、環境固有の要件に合わせて必要な Software Bladeを選択し、それらを組み合わせてカスタム・セキュリティ・ ソリューションを構築することができます。要件が変化した場合には、 IPアプライアンスに新しいブレードを追加してセキュリティ・ソリューションを 拡張していくことが可能です。 セキュリティ・ゲートウェイ Software Blade Firewall*(ファイアウォール) IPsec VPN* ● IPS* ● Acceleration & Clustering*(アクセラレーションとクラスタリング) ● Advanced Networking*(アドバンス・ネットワーキング) ● Web Security**(ウェブ・セキュリティ) ● Voice over IP** ● URL Filtering***(URLフィルタリング) ● Anti-Virus & Anti-Malware***(アンチウイルスとアンチマルウェア) ● Anti-Spam&Email Security***(アンチスパムと電子メール・セキュリティ) セキュリティ管理 Software Blade*** Network Policy Management(ネットワーク・ポリシー管理) Endpoint Policy Management(エンドポイント・ポリシー管理) ● Logging & Status(ログとステータス) ● Monitoring(モニタリング) ● Management Portal( 管理ポータル) ● User Directory(ユーザ・ディレクトリ) ● IPS Event Analysis(IPSイベント分析) ● Provisioning(プロビジョニング) ● Reporting(レポート作成) ● Event Correlation(イベント相関分析) ● ● ● ● * IP295,IP395, IP565, IP695, IP1285, IP2455標準装備 **オプション *** IPアプライアンス対象外 (但しCheck Point Horizon Managerを使用する場合はProvisioning Bladeを IP Applianceに装備する。) 5 チェック・ポイントの強固なアプリケーション・セキュリティ 包括的なIPS機能をファイアウォールに統合できるIPS Software Blade IPS Software Bladeは、ファイアウォール・ユーザがIPSの深い知識を必要と することなく、簡単にIPSを導入して運用する事が可能です。IPS Software Bladeは、 マルウェアによる攻撃、DoS/ DDoS、アプリケーションやサーバの脆弱性に対する 攻撃、内部からの脅威、インスタント・メッセンジャー(IM)やピアツーピア (P2P)など、好ましくないアプリケーションのトラフィックを検知・防御します。 これらの検知・防御機能は、パフォーマンスとセキュリティの観点から要件を 満たすIPSポリシーを選択し、重大性や深刻度、攻撃の信憑度、パフォーマンス への影響を考慮して、人的判断が必要なレベルに満たない場合、自動的にIPS 機能を適用できるため、管理者の負荷を軽減し、日々変化する攻撃に対して適切な セキュリティレベルを保つことができます。Protectionブラウザは、保護のリスト 全体を簡単且つシンプルにナビゲート可能で、検索、並べ替え、フィルタリング などのアクションを容易に実行できます。また、エクスポート機能により、csv フォーマットの出力が可能で、管理者は保護のリストを実機のProtectionブラウザ を用いなくても簡単に作成できます世界各地のチェック・ポイント・リサーチ& レスポンス・センターが24時間365日脅威の対応を行っていますので、変化する 攻撃に対しても安心してIPS Software Bladeをご利用いただけます。 Protectionブラウザ ステートフル・インスペクションに基礎を置いたマルチレイヤ・セキュリティ技術 チェック・ポイントでは長年培ってきたステートフル・インスペクション技術を土台としたマルチレイヤ検査を製品の中核にしています。すなわちネットワーク層は もとよりアプリケーション層までをも含むインテリジェントなセキュリティの防御を行います。ステートフル・インスペクション技術とは個々のパケット そのものの検査に加え、その通信の状態(ステート)も監視する検査技術です。これを行うチェック・ポイントINSPECTエンジンは柔軟性および拡張性に 優れており、新しいプロトコルや新手のセキュリティ脅威に対し速やかな対応が可能です。 マルチ・レイヤ・セキュリティ アプリケーションのプロコトル、 動作の詳細を理解 ● アプリケーション層 (レイヤ7) HTTP SMTP FTP RPC... プレゼンテーション層 (レイヤ6) セッション層 (レイヤ5) アプリケーション・レベルの 攻撃を防御 ● アプリケーションの通信全体の安全性 ● DoS、DDoSからの防御 ● IP、TCPレベルの攻撃防御 ● Webアプリケーションの安全な利用 ● VoIPアプリケーションの安全な利用 Peer-to-Peerアプリケーションの 秩序ある安全な利用 ● マイクロソフトなどLANプロコトルの 安全な利用 ● トランスポート層 (レイヤ4) IP ネットワーク層 (レイヤ3) TCP UDP データ・リンク層 (レイヤ2) Ethernet ネットワーク・レベルのアクセス 制御および攻撃に対する防御 ● ネットワーク・プロコトル、 マイクロソフト LANプロコトルの奥深く幅広い理解、 脆弱性の根本的理解 新しいプロコトル、新しい脆弱性に対する 判断知識、防御知識情報の拡張が容易 物理層 (レイヤ1) Check Point INSPECT エンジン 各通信レイヤから導き出されたデータを分析しセキュリティを向上させる。 パケットが分割されてきた場合 パケットの持つ全ての情報と 状態(ステート)に基づく検査 6 ・・・・ INSPECTエンジンはパケットを再組み立てして、プロトコルの 検査、データの検査、状態(ステート)の検査を行う。 チェック・ポイントのソリューション チェック・ポイント IPアプライアンスの導入パターン チェック・ポイント IPアプライアンスはあらゆるシーンでお客様のネットワークにトータルなセキュリティを提供します。 1.インターネット ゲートウェイとして 2.2重化インターネット ゲートウェイ インターネットと社内ネットワークの境界でネットワーク・セキュリティを確保 1のパターンにおいて重要拠点の高信頼化を実現 ・ ファイアウォール/VPN ・ 侵入検知・防御 ・1台障害でも通信の継続 ・高信頼、高可用性 ・ セキュリティ高速処理 ・ 統合セキュリティ管理 支社 このパターンは以下のどのパターンについても応用できます。 インター ネット 本社 ・オンライン増設・保守・障害対応 ・3重化も可能 本社 DMZ(公開サーバ ゾーン) チェック・ポイント IPアプライアンス インター ネット DMZ(公開サーバ ゾーン) チェック・ポイント IPアプライアンス 社内ネットワーク 社内ネットワーク チェック・ポイント セキュリティ マネージメント・サーバ チェック・ポイント セキュリティ マネージメント・サーバ 3.WAF専用セキュリティ装置 4.部門間のセキュリティ装置 社外に公開するWebサーバに対するセキュリティを社内とは特に分離・強化する ために専用のIPアプライアンスを設置 社内の部門で固有にセキュリティポリシーを持ち、特に独立して展開したい場合 ・2重の関門 ・WAF専用機は特化した防御をWebサーバ専門に提供 ・専用機で高いトランザクション処理性能実現 ・性格の異なるセキュリティ管理・運用をセグメント化して統合管理の効率アップ 本社 ・全社ポリシーとは別に柔軟に固有ポリシーを実施 ・部門A、B、Cは1台のIPアプライアンスで部門別セキュリティの実施例 ・部門Dは専用機でさらに独立性、柔軟性を高めた例 ・いずれの例も性格の異なるセキュリティ管理運用をネットワーク毎 またはIPアプライアンス毎にセグメント化して統合管理の効率アップ チェック・ポイント IPアプライアンス LB チェック・ポイント IPアプライアンス 部門A 本社 インター ネット WAF専用機 インター ネット 部門C インターネットゲートウェイ兼 部門間ファイアウォール Webサーバ・ファーム 部門B 社内ネットワーク 部門間 ファイアウォール 部門D チェック・ポイント セキュリティ マネージメント・サーバ チェック・ポイント セキュリティ マネージメント・サーバ 5. VPNの構築(サイト間接続) 6. VPNの構築(リモート端末接続) インターネットを用いて拠点間のVPN(暗号化通信)接続を実現します。 インターネットを用いてリモート端末やモバイル端末とのVPN(暗号化通信)接続を 実現します。 ・インターネットを用いた安価で秘匿性を持った安全な拠点間通信の実現 ・専用線の置き換え ・スター接続で支店間通信をセンター経由としセンター監視 ・メッシュ接続でインターネット障害時の迂回経路 ・スター接続とメッシュ接続の組合せも可能 支社B スター接続型 支社B メッシュ接続型 チェック・ポイント Endpoint Security 支社C 支社A 支社A 本社 (センター) 支社C ・インターネットを用いた安価で秘匿性を持った安全な拠点間通信の実現 ・どこにいても社内のリソースを安全に、あたかも社内にいるように自由にアクセス インター ネット チェック・ポイント IPアプライアンス 社内ネットワーク チェック・ポイント セキュリティ マネージメント・サーバ 本社 (センター) インター ネット チェック・ポイント IPアプライアンス 本社 (センター) チェック・ポイント IPアプライアンス 社内ネットワーク インター ネット Windows OS VPNクライアント またはチェック・ポイント SSL Network Extender 社内ネットワーク チェック・ポイント セキュリティ マネージメント・サーバ チェック・ポイント セキュリティ マネージメント・サーバ VPNトンネル VPNトンネル 実際には1台のIPアプライアンスに複数の役割を持たせたり、複数台を導入することによりパターンを組み合わせたネットワークの構築も可能です。 7 1.ファイアウォールから統合セキュリティへの発展 新たなセキュリティの課題と問題点 インターネットを安全に活用するためのセキュリティ対策の要としてファイアウォールは用いられてきました。ファイアウォールは管理者がセキュリティ・ ポリシーを決めるため、各企業、組織のネットワーク利用に応じて柔軟に対策がとれ、また効率的なネットワーク利用のためのアクセス規制も実施 できます。しかしながら時々刻々と多様化するインターネットの脅威は巧妙化し、通信の内容を適切に検査することが求められ、対策として侵入防御 システム(IPS)の導入が必要になってきています。また、管理対象となる機能が増えることによって、管理の複雑性やコストの増加を招かない簡単な 管理手段も高い要件となります。 チェック・ポイントのソリューション(システム・アプローチによる真の統合セキュリティ実現) シンプルな管理、高いレベルのセキュリティ提供と コスト節減の両立 統合型のセキュリティ・アプライアンス製品もIPアプライアンスによって実現 できます。IPアプライアンスは高性能ハードウェアに強固なIPSOオペレー ティングシステムを搭載しファイアウォールと運用管理システムを統合した ものですが、新たに侵入防御、Webアプリケーション保護等の機能を統合 しました。 セキュリティ・ マネジメント・サーバ 真の統合セキュリティ管理 ファイアウォール 従来のファイアウォールの管理システムからこれらのセキュリティ機能も集中 管理できるため、個々に装置を管理する必要がなくなり反復する操作による 間違いが生じない一貫したレベルのセキュリティの提供が可能です。 防御・保護機能のオンライン・アップデート また新たなセキュリティ脅威に対する防御、保護機能のオンライン・アップ デートサービスも用意されているのでネットワークの安全性維持の強力な 助けとなります。 従来からのセキュリティ防衛策 ファイアウォール リアルタイム監視、包括的ログ収集・レポート 加えてネットワーク・セキュリティの状況を詳細に把握するための監視や報告 機能が一元的に管理システムに組み込まれており、 リアルタイム監視や包括 的なログ収集が簡単に行えます。 実績を踏まえた統合セキュリティへの移行 さらにIPアプライアンスの優れた運用、保守性、高い信頼性を引き継いで おり、ファイアウォールから統合型のセキュリティへの発展が実績に裏付け されものとなっています。 多様化する脅威への新たな防衛策 IPS: 不正侵入攻撃防御 Web Intelligence: Webサーバ保護 Application Intelligence: アプリケーション保護 真の統合脅威管理を実現する管理ツール ・ インフラ全体を保護 ・ 各保護機能の協調動作 ・ 各技術の統合 ・ 中央管理 Check Point Security Management 一見煩雑な管理作業を直感的で容易に運用 解説 高いレベルのセキュリティが一貫して提供できるのは単に統合したということではなく、各種のセキュリティ機能の防御技術も同一レベルが保たれ、 それらが組み合わさって動作することによります。 8 ● 通信プロトコルに照らし妥当かどうかの検査 ● アプリケーション規制やその動きの制御(例:FTPコマンド) ● 通信に対するステート監視と正常性検査 ● 悪意あるデータや有害実行コードのブロック 2.VPN への対応 VPNの課題と問題点 インターネットを企業や組織の通信インフラ(VPN:仮想私設網)として利用すると通信コストを大幅に低減できますが、 セキュリティや通信の秘匿性 確保のみならず安定性実現が重要になります。またビジネスのモバイル化に対応してモバイル端末との通信も考慮しないといけません。VPNの要件とは ● インターネット脅威から保護 ● 全トラフィックのアクセス制御 ● 規模拡張性 ● 中央集中管理 ● モバイル対応 ● 高信頼性(安定性) ● ルーティング制御 ● パフォーマンス ● 統合されたログ記録 一般的に規模が大きくなるに従い運用管理上の苦痛が増大し、上記要件を満たすVPNを通信業者以外の一般のITマネージャーが構築、管理することは 難しいと考えられています。 インターネットを介して、高度のデータ暗号化、認証技術により、安全なコミュニケーションを提供 支社 1 支社 2 支社 1 支社 2 インター ネット 本社 専用線によるの2地点間のネットワーク接続を . . . 本社 . . . より柔軟で、そして費用効果が高いVPNに置換える チェック・ポイントのソリューション(統合セキュリティをVPNにも適用可能) IPアプライアンスは先進のデータ暗号化、認証技術により安全なVPNを実現します。 インターネット脅威から保護、全トラフィックのアクセス制御 さらにファイアウォール/UTMのセキュリティ機能を同時に適用できますのでインターネット脅威から保護、 トラフィックのアクセス制御も万全です。 モバイルへの対応 IPSec、SSL VPN両方の手順を利用したリモート・アクセスVPNが利用できます。チェック・ポイントから提供されているEndpoint Securityの導入により 接続性とクライアント側のセキュリティを強化した安全で快適なリモート・アクセス環境を実現できます。 規模拡張性、中央集中管理 VPNのエリアをコミュニティとしてまとめることでワン・クリックでの設定が可能となり、規模の拡大においても簡単な設定で、ファイアウォールと 同一の運用管理システムから数百の遠隔地にあるVPNゲートウェイの集中管理が行えます。また数万のVPNクライアントの展開、管理も運用管理 システムはサポートしています。 高信頼性(安定性) の実現、ルーティング制御 特許技術のIPクラスタリングによるゲートウェイ冗長化でゲートウェイ故障時は1秒未満の切替で通信断を回避します。またインターネットとの接続も 冗長化可能です。インターネットが途中で切れた場合は迂回経路へのルーティングによりVPNを高信頼化できます。 パフォーマンス 暗号化、復号化は専用のLSIチップを搭載し高速処理を行うようになっています。またIPクラスタリングにより冗長化した場合は台数に比例して パフォーマンスが向上します。例えば2重化ではパフォーマンスはほぼ倍になります。 統合されたログ記録 集中管理システムCheck Point Security Management Serverが提供するログ収集システムにより、VPNログのみならずアクセス記録から管理者の アクティビティ・ログ(監査ログ)まで分類、統合されています。ログ収集のカスタマイズも簡単に行えます。 まとめ 安定したインターネットVPNを実現するための各種要件をIPアプライアンスは比類無い水準で満たし、大規模なVPNにおいても簡単で効率的な 運用・管理を可能とします。 9 3.Webサーバへのアクセス急増対策 Webサーバアクセス急増の課題と問題点 ハイパーテキスト化されたインターネットのコンテンツへのアクセスは、HTTPプロトコルによって行われますが、Webコンテンツの進化およびモバイル端 末からのアクセス急増はWebサーバへのショート・パケットの集中をもたらし、ボトルネックが生じています。すなわちWebサーバ自身やそれを守っている ファイアウォールにおいてショート・パケット処理で遅延が生じたりパケットのロスが起こり、ひいてはサービスに支障がでたり、 そこまで行かなくともユーザ に満足のゆくサービスを提供できなくなったりします。さらに、インターネットのセキュリティに加え、Webベースのアプリケーションやサービスに対する 巧妙な攻撃にも備えねばなりません。また、今日Webは企業の重要な「顔」であり、大切な顧客とのビジネスの場でもありますので、高信頼なシステムで ある必要があります。Webサーバのシステムはショート・パケットが集中しても次の要件を満たさねばなりません。 E-ビジネスを取りこぼさない高いトランザクション処理性能 Webのアプリケーションまでカバーできる高いセキュリティ ● 高信頼性(高可用性) ● ● チェック・ポイントのソリューション(専用ハード、独自OS、WAF機能による三拍子そろった解) 上記の要件は相反するものですが、IPアプライアンスはそれらを最適に満たすソリューションを提供します。 高いトランザクション処理性能 IPアプライアンスはハードウェア化されたADP(Accelerated Data Path)高速データ転送アーキテクチャを有する機種があります。本体CPUで Webサーバへのようなアクセスが認識されると、 トラフィックはADPのネットワーク・プロセッサーへオフロードされ処理が加速、高速転送されます。ADP による加速化は顕著なものでショート・パケットのパフォーマンスは300%以上向上します。 Check Point Web IntelligenceによるWebアプリーケーション・ファイアウォール(WAF)機能 チェック・ポイントのWeb IntelligenceはWeb環境全体を通常のファイアウォールとシームレスに保護するためのもので、複雑な設定やチューニングを せずにWebサーバを保護します。Webベースのアプリケーションやサービスまでも検査対象とします。HTTPヘッダに仕掛けられた悪意あるコードの 阻止やサーバ情報漏えいの防御、詳細なアクセスログ採取といったWAFとして必要な機能を実現します。新手の攻撃にはIPSアップデート・サービスに より速やかにオンライン・アップデートも可能です。 高信頼性(可用性)の実現 特許技術のIPクラスタリングによるゲートウェイ冗長化で、ゲートウェイ故障時は1秒未満の切替で通信断を回避します。2重化のみならず、N+1重化 (N=2または3)構成で比類無い高可用性を提供できます。 まとめ チェック・ポイント IPアプライアンス 2重化システム モバイル端末 コンテンツ インターネット ユーザ側効果: ● レスポンスタイム向上 ● 再接続解消 ● 快適アクセス 10 “ショート・パケット処理の効率化” ・ Delayed Sync機能による処理高速化 ・ IPクラスタリングによるマルチCPU効果 ・ ADPによる加速処理 Web側効果: ● トランザクション処理効率向上 ● E-ビジネス取りこぼし解消 ● 堅牢なセキュリティの構築 4.VoIP、 セキュリティ上の問題 VoIP展開の課題と問題 企業の最重要通信手段といえば依然、音声通信すなわち電話ではないでしょうか。従来より構内交換機(PBX)を利用した内線サービスが多く利用されて きましたが、昨今データ通信用のLANと音声通信を統合する技術であるVoIP(Voice over IP)が広く普及しつつあります。データ通信用のLANと音声 通信を統合する技術VoIP(Voice over IP)が実用化しています。この技術により電話交換用とデータ通信用の2つのネットワークを持つ必要がなく なります。さらには拠点間の音声用専用線、一般通話の公衆電話網をVoIP技術を利用しインターネットで置き換えることが可能で、この場合音声通 信費の大幅な削減がもたらされます。しかしながらインターネットを用いたため生ずる解決しなければならない潜在的な問題点がいくつかあります。 ● 一般的インターネットの脅威に加え、 VoIPに対するネットワーク・セキュリティの確保 ● 最重要通信なので高可用性の実現 ● 音声の通話品質の確保。VoIPトラフィックは通信品質に敏感、 ジッターやラグで通話品質の劣化 ネットワーク・セキュリティが確保できたからといってIP電話も安全になっているとはいえません。 チェック・ポイントのソリューション(安全なVoIP環境を提供) VoIPセキュリティの確保 ネットワーク・セキュリティの万全なセキュリティに加え、 「Voice over IP」Software BladeによってVoIPプロトコル群に対するきめ細やかなセキュリ ティ強化を実現します。 ● 動的な音声ポートの開け閉めを監視し、通話に必要なポートに限定 ● NATをサポート。VoIPのパケットの内容を理解し必要なアドレスを変換 対応プロコトル ● 使用不能攻撃(一連の電話番号に集中的な発呼)に対し時間当たりの着呼規制が可能 ● ● 音声のVPN化による盗聴対策が可能 ● ● 完全な通話記録 H.323 v2, 3, 4 SIP ● ● MGCP SCCP/Skinny IPアプライアンスはその他の問題点に対しても最適なソリューションを提供します。 高可用性 電話網に要求される可用性とは99.99%以上で、これはサービス停止に許される時間は年間たった1時間足らずと言うことを意味します。このような 高い可用性は機器の冗長化だけでは達成できませんので、故障時の修復時間やバージョンアップ時の保守停止時間を極力短くする必要があります。 IPアプライアンスは2重化以上の冗長性でサービスを継続しながらバージョンアップでき、主要コンポーネントをドライバー1本で即時に交換できるよう モジュール化したハードウェア設計等、優れた保守性により修復が短時間で行えるようになっています。 通話品質 音声品質が悪いと結局は従来の電話網に頼ることになり、通信費削減にはつながりません。IPアプライアンスではVoIPの通信帯域確保や伝送遅延を 少なくするための送信優先順位制御が行えますので、通話品質の確保に役立ちます。 さらに 内部ネットワーク上の、VoIPサーバ配下に属するIP電話等端末をグループ化してドメインとしてVoIPに特化したネットワーク・セキュリティが提供されます。 VoIPをドメイン分けすることによりハンドオーバ(通話の転送)を容易に管理できます。また冗長化により高い可用性が達成されます。 社内 VoIP ドメイン VoIPサーバ 盗聴、 コール・ハイジャック、 使用不能攻撃(ウォー・ダイアル) VoIP端末 チェック・ポイント IPアプライアンス インター ネット チェック・ポイント IPアプライアンス 社内ネットワーク WLAN アクセス ポイント 電話網 電話機 社内ネットワーク 802.11 SCCP VoIP GW VoIP端末 VoIPサーバ 社内 VoIP ドメイン 11 5.eコマースで必要なグローバル・ソリューション インターネット電子商取引の課題と問題 JCB、VISA、MasterCardといった企業が共同で策定したクレジット業界におけるグローバル・セキュリティ基準 PCIDSS(Payment Card Industry Data Security Standard)はe-コマース(電子商取引)等の安全を確保 するものでWebソフトウェアやアプリケーションに対する防御を求めるものです。PCIDSSにはWAF(Webファイア ウォール)関連条項として次のような規定(要約)があります。 ● 全てのWebに関するアプリケーションは次のいずれかの手法により既知の攻撃から防護されなければならない - アプリケーション・コードをそのセキュリティに特化した組織に脆弱性の見直しをしてもらう - またはWebのアプリケーションの手前にアプリケーション・レイヤ・ ファイアウォールを設置する 電子商取引でのクレジットカード決済は増えていますが、 そのデータを扱う情報システムはPCIDSSに準拠していなければなりません。 チェック・ポイントのソリューション(ハイ・セキュアなWAF機能) PCIDSSにはIPアプライアンスが備えるIPSのWeb Intelligenceにて準拠できます。 Check Point Web IntelligenceによるWebアプリーケーション・ファイアウォール(WAF)機能 チェック・ポイントのWeb Intelligenceは、Web環境全体を通常のファイアウォールと連携しシームレスに保護するためもので、複雑な設定やチューニング をしなくてもWebサーバを保護します。 ● Web通信を解析し、 HTTPプロトコルを厳格に適用。不正なHTMLを排除 ● サーバの情報漏えいを防止し攻撃者に攻撃の手がかりを与えない ● Webアプリケーションを理解し制御 ● Malicious Code Protector TMによる悪意あるコードの阻止。ネットワーク・トラフィックを逆アセンブル、分析することにより実行可能コードの検出、 解析しコードベースの攻撃を防ぐ革新的新技術搭載。メジャーなセキュリティ・インシデントの半数以上に、バッファ・オーバー・ フロー攻撃に有効。 また容易に拡散するワームや配布型攻撃スクリプトを阻止する ● ゼロディ ・アタックへの対応。新手の攻撃にはIPSアップデート・サービスにより速やかにオンライン・アップデートも可能 ● フォレンジックなログ機能。攻撃やアクセスを記録し法的に有効なログを取り企業をプロテクト ● 充実のイベント管理機能で統合されたIPS (不正アクセス防御)連携で万全な守りをWeb環境全体に提供 Malicious Code ProtectorTM 通信データ 実行可能な コード? はい バーチャル・ シミュレータ いいえ 悪意のある コード? はい ブロック/記録 いいえ 通過 通過 まとめ 日常的に発生する顧客情報漏えい問題には、 どの企業も対策に頭を痛めています。 クレジットカード業界から始まったPCIDSSセキュリティ基準に準拠する ことにより強固なセキュリティを適正な投資で実施できますが、チェック・ポイントの提供するIPアプライアンスはその基準が要求するWebアプリ ケーション・ファイアウォールを複雑な設定やチューニングをすること無しに提供できます。 電子ショッピングモール 注文(個人情報、カード情報、etc.) チェック・ポイント IPアプライアンス チェック・ポイント IPアプライアンス インターネット PCIDSS 特化ファイアウォール インターネットで 買い物をするユーザ 12 社内ネットワーク カード会員データや重要情報を扱う ネットワーク・システム 6. 日本版SOXを代表とする法令遵守 IT統制の課題と問題 米国企業の大規模な粉飾決裁問題に端を発し、日本でも2009年より上場企業の財務報告に係わる内部統制の整備・運用について適正な評価、報告が 金融商品取引法(米国の規制法名から俗にJ-SOX法と呼ばれる)により義務化されています。この法では財務報告に係る内部統制の基本的要素の1つと してITへの対応を掲げています。これを受けて経済産業省は情報システムの適正な管理等のためのシステム管理基準の追補版(財務報告に係る IT統制ガイダンス)をまとめ、管理項目と統制目標を例示しています。企業としては法令を遵守するのはもちろんですが、そのためにシステムの運用や アクセス管理、 そのコストなどが大きな負担になっては問題です。 チェック・ポイント IPアプライアンス+Security Management Server、 SmartProvisioningを要所に使用しJ-SOXに対応している様子 全体的統制 IT 全体的統制 (企業全体の IT に係る方針・計画・手続等) 業務プロセスに係る内部統制 IT 業務処理統制 情報の流れ 業務プロセス アプリケーション・システム ★連結決算システム 生産管理 システム 統制 ●入力情報の完全性、正確性、正当性の確保 ●例外処理(エラー)の修正と再処理 ●マスタ・データの維持管理 ●システム利用に関する認証、アクセス管理 ★ 一般会計システム セグメント 物流 システム 販売管理 システム 人事管理 システム 統 制 システムサポート IT 基盤 (ハードウェア、オペレーティングスステム ★ネットワーク、データベース) ★IT ● ● ● ● 全般統制 IT の開発、保守に係る管理 システムの運用、管理 内外からのアクセス管理 外部委託に関する契約の管理 システム管理基準 追補版(財務報告に係る IT統制ガイダンス案) より ★ インターネット ゲートウェイ WAF 部門間 ファイア ウォール ★一般会計システム 統制 購買管理 システム ★Webサーバ インター ネット 財務報告(財務諸表及び財務諸表の信頼性に 重要な影響を及ぼす開示事項) ★管理部門 ★連結決算システム セグメント 部門間 ファイア ウォール 部門間 ファイア ウォール Check Point Check Point Security SmartProvisioning Management Server ★はイメージ的に左右の図の対応を示しています。 チェック・ポイントのソリューション(ログ運用管理の簡易性と監査の証拠となるログ) SOX法の本家にしてIT統制先進国である米国での実績に裏付けられたIPアプライアンスは、 ここでも最適なソリューションを提供します。ここではJ-SOX法の 対応として欠かせないログ運用管理について特徴を紹介します。 チェック・ポイントのSmartView Tracker によるグラフィカルで非常に見やすい通信 ログ画面を提供します。直感的な操作とアイコン表示により容易な閲覧が可能 ● ● 100種類を超える詳細なログ項目により、法廷での証拠となり得るフォレンジックな ログを提供します。エクスポート機能によりCSVフォーマットへの変換も可能なので、 ログレポートの作成にも最適 ● ゲートウェイ毎、 通信のカテゴリ毎というように、管理者が見たいようにログの表示を カスタマイズする事が可能です。検索、 ソート機能により障害時の切り分けを容易に ● 通信ログだけでなく、 アクティブなセッションをリアルタイムに表示したり、 ポリシーの編集や設定変更時に記録した監査ログの閲覧にも対応 ハードウェア・レベルで大切なログの消失を防ぐ チェック・ポイントの通信ログや監査ログ以外にも、システムとしての監査ログやsyslogの消失はクリティカルな影響を及ぼします。IPアプライアンスでは ハードウェアレベルでの冗長性により耐障害性を向上し、大切なログの消失および記録を停止することの無いシステムを実現します。 ● ハードディスクをミラーリングすることで、 ディスク故障時のシステム停止を防ぎ、かつログの記録を継続(ディスク・モデル) 管理サーバのダウンによりアクセスログの記録が停止しても、 フラッシュ・モデルに通信ログ保管専用ハードディスクを搭載することで、 ログの消失を防止(フラッシュ・モデル+ハイブリッド・オプション) ● ● 外部syslogサーバへのsyslog転送機能や、PCMCIAコンパクトフラッシュ・カードへのsyslog記録(フラッシュ・モデル) も提供 Fortune 100社の92%が使用しておりIT統制先進国の米国で実績を積んでいる チェック・ポイント IPアプライアンスはJ-SOX準拠に最適で手間のかからないソリューションを提供します。 13 チェック・ポイントのトータル・セキュリティ 安心・使える(運用管理できる)ファイアウォールのすすめ チェック・ポイントのトータル・セキュリティ 脆弱性 悪用 ワーム等 悪意のコード ネットワーク・セキュリティのために進んだ機能のファイアウォールを導入する ことは当たり前になっていますが、導入したきりになっていないでしょうか。 これからは使える、すなわち自分で運用管理できるファイアウォールの導入を おすすめします。そのためには簡単な設定でインターネット利用上の安心な セキュリティが実現できるものを導入しないと運用管理の手間がかかり、結局は 実用になりません。チェック・ポイントの提供するトータル・セキュリティは 簡単に使えて強固なセキュリティが提供できるようになっています。加えて 各種の規制や業界標準に沿う運用管理の実現を強力にサポートします。 DoS クロス・サイト スクリプティング (使用不能攻撃) ディレクトリ ハーベスト ハッカー、 無許可アクセス ポート スキャン デフォルト設定でも万全のセキュリティ 不正 コマンド チェック・ポイントのステートフル・インスペクションは常時有効であり、他社に ありがちな個々のアプリケーション毎にステートフルな検査を有効にする設定が 必要で、不適切な場合、通信が止められるといったことはありません。ファイア ウォールの詳細検査の細やかな機能や通信の基本レベルにおける不整合を検査するIPS相当のセキュリティは、デフォ ルトで有効になっているため、万全のセキュリティが手間なしにすぐ実現されます。同じようなセキュリティを他社ソリュー ションで実現するには多くのマニュアルの理解と手間が必要とされます。また、これらの検査に対して詳細なログが取得 でき、ログを確認することにより、怪しいパケットが到来していてデフォルト設定の条件でも万全な防御の有効性を認識 できます。 脅威と規制 EAL4+ ISO 20000 ITSM J-SOX COBIT PCI ITSEC 一目で分かるデフォルトの セキュリティ・レベル JPIPA IPSによる防御の補完および強化 IPアプライアンスのIPS機能はファイアウォールを補完、強化しますが、次のような高度な防御機能を提供します。 ● サーバの脆弱性に対する保護 ● クライアントとOS(IEなど) の脆弱性に対する攻撃からの保護 ● マルウェア/ワーム感染の特定 ● 隠れたP2PやIMアプリケーションのブロック ● バッファ・オーバーフロー攻撃からの保護 ● ネットワーク上での偵察行為の検出 こういった防御機能の最新のものは世界4箇所にある脅威対策センターから自動にてアップデートのサービスが行われ、簡単に導入可能です。 使いやすく高度な運用管理を可能とするSecurity Management Server IPアプライアンスは運用管理システムであるSecurity Management Serverを用いて各種の設定、運用、監視を行います。セキュリティ・ポリシーの設定、 IPSの設定から法的に有効なログの収集までトータルに日々の運用管理を可能とします。 競合他社製品をしのぐチェック・ポイントのトータル・セキュリティ ネットワークのセキュリティ・アプライアンスが備えねばならない5つの機能について他社製品と比較した場合、チェック・ポイントは各機能で他社をリードし、 トータルに優れています。お客様で詳細をお知りになりたい方はチェック・ポイントまでお問合せください。 チェック・ポイント アプライアンス競合比較 14 機能 チェック・ポイント トータル・セキュリティ アプライアンス C社 J社 F社 安全実用の セキュリティの実現 簡単 超困難 困難 機能不足 運用管理システム 集中管理または 分散管理可能なSecurity Management Server 別途、高価管理 サーバが必要 別途、高価管理 サーバが必要 別途、高価管理 サーバが必要 統合化され オンラインアップデート 対応IPS あり ファイル転送 リアルタイムで 有用なログ収集 あり 1秒以下の 切替時間の冗長化 あり なし (OSのバージョン更新が必要) × × (Syslog程度) (Syslog程度) × あり あり × × TOTAL FLEXIBLE SIMPLE SECURITY あらゆるセキュリティ・ポイントにおける トータルなセキュリティ実施 ● 簡単、適切なセキュリティ実施。 柔軟なカスタマイズ可能 ● ● 簡単な導入計画、迅速な導入 IPアプライアンスの機能 ネットワーク機能 ルーティング機能 IPアプライアンスは、 インターネット・サービス・プロバイダと企業ネットワークの境界ファイアウォールとして、相互接続を可能にする豊富なルーティング・プロト コルを実装しています。スタティック、RIP1/2、OSPFに加えてBGP4を実装する事で、インターネット・サービス・プロバイダが提供する10 Gbpsクラスの高速 大容量ネットワークを利用することができます。 ● スタティック、RIP1/2、OSPF、IGRP、BGP4 ● IPv6(BGP4++ RFC3392、RFC2858、RFC2545) トランスペアレント・モード 通常のルーティング機能による展開の他に、IPアドレスの追加や見直しから開放され、既存ネットワーク環境にIPアプライアンスを追加するだけで展開できる トランスペアレント・モード機能も装備しています。既存サーバファームに対するセキュリティ強化を図る目的で、追加でIPアプライアンスを構成し、IPS機能や Webアプリケーション保護等の機能を利用する場合、 トランスペアレント・モードは容易な構築を可能とする解決策です。 マルチキャスト機能 同一データを多数の受信者に一斉に届けることが可能なデータ転送方式であるIPマルチキャストは、ストリーミングによる動画配信や音声配信といった コンテンツ配信サービスに多く利用されています。IPアプライアンスは、豊富なマルチキャスト・ルーティング機能を標準で実装しています。 ● ● DVMRP、IGMP、PIM-DM、PIM-SM マルチキャスト・ルーティング拡張 - IGMP ローカル・スタティック・グループ - IGMPv3 - PIM-DMステート・リフレッシュ - SecureXLアクセラレーション QoS機能 今日のインターネットは、電子メールやWebアクセスの他にもIP電話やビデオ・コンファレンスなどのネットワークとしても多く利用されております。また、 遅延に弱いアプリケーション、重要度の高い業務系アプリケーション、 リアルタイム性を要求するアプリケーションなど様々なトラフィックが流れる境界ファイア ウォールにおける適切なQoS機能は、ビジネス・インフラ設備にとって非常に重要な要素です。IPアプライアンスは、アプリケーションの特徴に合った 適切なQoSを隣接装置との間で提供できます。 ● DiffServe QoSサポート - 輻輳回避(Tail Drop、WRED) - Assured Forwarding (RFC2597: 4-class DSCP priority) リンク・アグリゲーション機能 複数の物理的なリンクを仮想的に束ねて1つの論理リンクとするリンク・アグリゲーション機能は、容易に帯域幅を広げる事ができ、またリンクのいずれかに 障害が発生した場合でも、残りの物理リンクにより伝送路が確保できるため、障害対策も施せます。 IEEE 802.3adとLACPに対応 IPアプライアンスは、IEEE 802.3adスタンダード・スタティック・リンクアグリゲーション機能を実装しています。また、ネイバー装置とのリンクの状態、 リンクの 正常・異常、再構成などの情報交換をダイナミックに行うLACP(Link Aggregation Control Protocol )も実装しています。リンクアグリゲーションは、 既存インターフェースを利用して伝送帯域の拡大、伝送路の負荷分散、冗長による耐障害性の向上を安価で容易に実現できます。 ● ● スタティックアグリゲーション ダイナミックアグリゲーション ‒ LACP ● トランスペアレントモード(Xmode)対応 ● Minimum Active Port 複数のリンクを束ねて帯域の拡大と耐障害性を向上 OSI REFERENCE MODEL LAYERS LAN CSMA / CD LAYERS APPLICATION HIGHER LAYERS PRESENTATION MAC CLIENT(BRIDGE RELAY ENTRY、LLC、etc.) SESSION TRANSPORT NETWORK DATA LINK PHYSICAL eth1 LINK AGGREGATION SUBLAYER(OPTIONAL) MAC CONTROL (OPTIONAL) MAC MAC CONTROL (OPTIONAL) MAC PHYSICAL LAYER PHYSICAL LAYER … MAC CONTROL (OPTIONAL) MAC PHYSICAL LAYER eth2 802.3adリンクアグリゲーション 15 リンク・リダンダンシー機能 リンク・リダンダンシー機能は、グループ化したインターフェースにてプライマリと バックアップを構成し、それぞれを異なる隣接スイッチやルータに接続できます。リンク・ リダンダンシー機能により、隣接スイッチの障害時には経路が切り替わるため、トラ フィックを保つことができます。 境界ファイアウォールとインターネット、 内部 LAN、DMZ間のルーティングを提供 インターネット 内部 LAN その他の主要な機能 ● ● 802.1q VLAN NetFlow v5およびv9 DMZ ハードウェア構成 IPアプライアンスは、ストレージとしてハードディスク・モデルとフラッシュ・モデルを 用意しています。ハードディスク・ベースモデルは、システムに関係するログをハード ディスクに保存できるため、障害時の原因切り分けなどをセキュリティ・ゲートウェイ内で 容易に実施できます。フラッシュ・モデルは、より長いMTBF(平均故障間隔)値を要求 する環境に最適です。 用途に合わせて選べる2モデル ト イン ・ポ ック チェ O IPS HD D フラッシュ・モデル フラッシュ・モデル フラッシュ・モデルは、IPアプライアンスのセキュリティ・ゲートウェイをフラッシュ・メモリの ストレージで稼動させます。IPアプライアンス内部にハードディスクを利用していない ため、より長いMTBF値を提供でき、高い安全 性を求めるユーザに適しています。 フラッシュ・モデルでは、 セキュリティ・ゲートウェイのシステムに関係するログを出力できる ように外部にSyslogサーバを構成いただきます。 ハードディスク・モデル フラッシュ・モデル+ハイブリッド・オプション ハイブリッド・オプションは、フラッシュ・モデルのIPアプライアンスにハードディスクを追加し、システムに関係するログ専用に利用することで外部に Syslogサーバを構成しなくてもログを保存する事が可能です。システムは内部の状況を知らせるために様々なログを生成します。これらのログをIPアプライ アンスのセキュリティ・ゲートウェイ単位で保全することができます。 ハードディスク・モデル ハードディスク・モデルは、IPアプライアンスのセキュリティ・ゲートウェイをハードディスクのストレージで稼動させます。また、システムに関係するログも ハードディスクに保存でき、また、大容量のメモリ空間も確保できるため、多数のSoftware Bladeを複合的に利用する場合に適しています。 使用可能な ストレージタイプ セキュリティ・ゲートウェイ Software Blade 機能説明 ファイアウォール ファイアウォール機能 VPN IPS VPN機能 IPS IPS機能 アドバンス・ ネットワーキング FloodGate-1(QoS) ConnectControl アクセラレーション & クラスタリング SecureXL(アクセラレーション) ClusterXL(ロードシェアリング含む) Webセキュリティ Webアプリケーション ファイアウォール機能 Voice over IP 60以上のVoIPアプリケーションに対応した防御機能 Disk Flash Disk Flash Disk 4GB Flash* Disk Flash Disk Flash Disk 4GB Flash* Disk Flash *現段階で最低限必要なFlash容量。 詳細は販売店にお問い合わせください。 16 短修復時間 保守性と信頼性を重視したハードウェア・デザイン、容易なハードウェア保守 IPアプライアンスは、一般的な工具で容易にハードウェアの保守が行えます。前面に引き出し可能なトレイ構造になっており、ハードディスク、CFカード、 インターフェースカード、メモリなどの現場での保守がスムーズに実施可能です。IPアプライアンスは、信頼性と優れたサービス性をもち、ラックに取り付けた まま保守作業を円滑に実施できます。上位機種は電源、ファン、インターフェースのホット・スワップ機能を提供し、重要なシステムにおいてサービスを 中断することなく保守が行えるようになっています。 ● 短MTTR( 平均修復時間)の提供 - モジュール化されたハードウェア - モジュール交換はドライバー1本で可 - 引き出し型のシャーシにより、ラックから外さなくてもメンテナンス可能 HDDモジュール 電源モジュール ネットワーク インターフェースカード ファン モジュール ● 高可用性の実現には故障時の短時間修復も要求される VPN モジュール メモリ・モジュール 手前に引き出して保守 ハードウェア・コンポーネントの冗長構成 (例)IP2455 IPアプライアンスは、導入規模や用途に応じて、機器自体の冗長機能を 提供する機種を用意しています。上位のIPアプライアンスは、 インターフェース、 空冷ファンのホット・スワップに対応してます。また、ハードディスク、電源部は ホット・スワップと冗長構成を備えており、ミッション・クリティカルなネット ワークに対して、IPアプライアンスのハードウェアにおける最高の信頼性と 保守効率を実現しています。 2重化電源 HDD2重化& ホット・スワップ ホット・スワップ 空冷ファン ホット・スワップ インターフェース IP2455 IP1285 IP695 IP565 ホット・スワップ インターフェース Yes Yes No No 2重化電源 Yes Yes No No 部品交換は可能 ホット・スワップ 空冷ファン Yes シングル構成 Yes シングル構成 No 部品交換は可能 No 部品交換は可能 HDD2重化 & ホット・スワップ Yes Yes HDD2重化OK、 ただしホット・スワップはNo HDD2重化OK、 ただしホット・スワップはNo 17 パフォーマンス機能 フレキシビリティとスピードのベスト・マッチ、CPUとプログラマブル・ネットワーク・プロセッサ ASICは高速処理に能力を発揮しますが、新しいアプリケー ションへの対応など将来に対する柔軟性には欠けるソリュー ションです。一方、ソフトウェアベースのソリューションは、柔軟 性に秀でていますが高速処理は必ずしも最良とは言えません。 IPアプライアンスは、CPU、SecureXL、ADPの組み合わせに より、CPUによるソフトウェア・ベースの柔軟性とネットワーク・ プロセッサによる高速ファイアウォール/VPN機能を実現して います。 ハードウェア・ベース ASIC ソフトウェア・ベース (サーバ・プラットフォーム) 高速だが柔軟性に欠ける Firewall FlowsとSecureXL 高速+柔軟 柔軟だが高速性に欠ける SecureXLによる高速処理 Firewall Flowsは、ネットワーク・フローを元にした高速スイッチング技術です。 ファイアウォール検査を行い、信頼できるトラフィックと判断したTCP 3ウェイ・ハンド シェイク後のフローや、最初のパケットに後続の同一通信のUDPパケットなどは、 重複したファイアウォール検査を行わず、IPSOレベルでオフロードする事により、 高速処理を実現しています。現在、この技術は、SecureXL™とIPSOに統合され、 ファイアウォールとVPN機能における更なる最適化を施し、高速化を実現しています。 SecureXLはソースポートは異なるがソース/デスティネーションIPアドレス、デスティ ネーション・ポートが同一のパケットからなる新規TCPコネクションをテンプレート化 してまとめて処理します。したがって同じテンプレートに属する後続の新規TCPコネ クションを上位にあるファイアウォールを経ることなく処理します。またSecureXL ではマルチキャストやQoSを使用したトラフィックも高速処理できるように拡張 されています。 チェック・ポイントのアプリケーション アプリケーション・ レベルでの処理 IPSO 低速パス IPSO 高速パス SecureXL / Firewall Flows マザーボード I/O カード アプリケーションによって 通信のセッションが開設されると 処理がOSの高速パス内の SecureXL/Firewall Flowsに 渡され高速に実行される。 I/O カード SecureXLとADPによる高速処理 CoreXLによるマルチ・コアの効果的な活用 チェック・ポイントのアプリケーション CoreXLは、 セキュリティ機能を強化する高速化技術です。厳しい通信帯域の要求 に応えながら、セキュリティ機能の強化を進めて行くことは、今日のセキュリティ 製品の課題でもあります。CoreXLは、 マルチ・コアCPUのそれぞれのコアでセキュ リティ検査を実行することで動的に負荷を分散します。従来は負荷が懸念されて いたアプリケーション・レベルのセキュリティ機能(IPS、Webセキュリティなど)を 利用しても、パフォーマンスを犠牲にすることなく詳細なセキュリティ検査を実 行できます。IPアプライアンスでは、2コア、4コア、8コアを搭載したアプライアンス を用意しており、CoreXLの技術により、企業や通信事業者が求めるパフォー マンスを犠牲にすることなくセキュリティ要件を満たすプラットフォームが選べます。 IPSO 低速パス IPSO 高速パス SecureXL / Firewall Flows マザーボード ADP ADP カード I/O カード ADPカードを使う場合はさらに SecureXL/Firewall Flowsから 通信の処理はカード内のプロセッサに 引き継がれ極めて短時間での 処理となる。 IP2455 ADPサポート・モデルの拡大 ADP IP1285 ADP IP695 ADP IP565 IP395 IP295 IP152 18 ADP ADP(Accelerated Data Path)カード: マザーボードのCPUから通信の処理を引き継ぎ、 上記図のように近道を構成し高速処理を行うネットワーク・インターフェース。 カード上に4コアのNPU(Network Processor Unit)を実装している。 次世代インターネットのIPv6にも対応 IPアドレスの枯渇に対するソリューションとして注目されてきたIPv6ですが、ブロードバンド、モバイル、ワイヤレスなどの急速なアクセス形態の発展に伴い、 IPv6によるエンド−エンド間の通信品質制御とセキュリティ確保に一層の期待が持たれています。また従来の電話網が提供してきた信頼性と安定性を優れた 柔軟性と経済性と共に実現すると期待されているNGNネットワークにおいても、IPv6による信頼性とセキュリティの確保は重要な課題とされています。 IPアプライアンスは、国際的なIPv6の普及促進団体である“IPv6 Forum”の テスト基準に基づいて認定されるIPv6 Ready Logoをいち早く取得しており、 国際標準に基づく信頼性と親和性を実現したIPv6を実現しています デュアル・スタックによるIPv6対応 IPアプライアンスはデュアル・スタックによるIPv6機能を標準で装備しています。 IPv6においても通常のルーティングの他に、 トランスペアレント・モードでの展開も 可能です。冗長化構成では、ファイアウォールのステート同期、インターフェース のUp/Down状態を監視するモニタード・サーキットなどIPv4と同様の多才な VRRP機能をIPv6においても実現しており、信頼性の確保を図っています。また、 IPv4からIPv6への移行期においては、それぞれのネットワークをまたがっての 接続が必要になる場合がありますが、IPアプライアンスは、SITと呼ばれる IPv4のVPNトンネルを使用したIPv6 VPN 機能を提供し、トンネルを通るIPv6 通信の検査が可能です。これにより安全なIPv6環境への移行をサポートします。 IPSOデュアル・スタック アプリケーション層 トランスポート層 IPv4 IPv6 ネットワーク インターフェース層 IPv6とIPv4ネットワークのトンネル機能 IPアプライアンス v6とover v4(SIT) トンネル v6 IPアプライアンス v6ルータ v6ルータ v4 ファイアウォール v4ルータ v6ルータ v4 v6 v6 v4ルータ VPN(IKE) トンネル IPアプライアンス v4 thru v6トンネル ファイアウォール IPアプライアンス v6ルータ v6トンネル ファイアウォール ファイアウォール v4ルータ v4ルータ v4 最新のIPv6サポート チェック・ポイントIPアプライアンスは以下の進んだIPv6を対象とするセキュリティ機能を提供しています。これらによりIPv4と変わらぬ充実したセキュリティの 提供と運用管理が可能です。 ● IPv6に対するポリシー・ベースのセキュリティ - IPv4セキュリティ・ポリシーとの完全な統合 - IPv6アクセス・コントロール(accept /drop /reject / log) ● TCP、UDP、ICMP に対するステートフル・インスペクション ● IPv6アクセス・ログの取得、 ログ・フィルタ ● 高レベルのセキュリティを提供 - IPS機能、 各種アプリケーションのインテリジェントな検査機能 - WAF(Web ● IPv6 Application Firewall)機能 SIPセキュリティ - SIPプロトコルに対するインテリジェントな検査機能 - 動的な音声 (RTP/RTCP)ポートに追従して検査 ● クライアント認証 - 認証方式:チェック・ポイント・パスワード、OSパスワード、 RADIUS認証 ● 充実のルーティングとトラフィック管理 - RIPng、OSPFv3、BGP、 スタティック・ルート、 ルータ・ディスカバリー、BGP++ - QoS/DiffServ - 既存ネットワークに透過的に設置可能なトランスペアレント・モード ● 運用管理システムはIPv4とIPv6は統合されており共通 19 信頼性機能 信頼性とスケーラビリティーの向上 -IPクラスタリングIPクラスタリングは、IPアプライアンスの先進的な特許技術です。IPクラスタリングは、特にVPNやファイアウォールに特化して開発され、ダイナミックな 負荷分散、クラスター内の1台が障害を発生した場合のダイナミックな負荷の再分配、TCPセッションやVPNのステートを失わずフェールオーバー可能な アクティブ・セッション・フェールオーバーなど優れた付加機能を提供します。IPクラスタリングは、VRRPでは実現できない約0.5秒以内の高速フェール オーバーによる類を見ない耐障害性を実現しています。 独自のIPクラスタリング技術 IPクラスタリングは、複数台のIPアプライアンスをクラスター化し、 内部IPアドレス、外部IPアドレス、DMZ IPアドレスなどを共有する ことで、あたかも単一の装置として動 作します(ゲートウェイ・ クラスター)。入力IPパケットは、クラスター内のノードに均一に分配 され、全てのIPプラットフォームは、クラスター内の全てのステート 情報を共有しており、メンバー内の1台において障害が発生した 場合、他のIPアプライアンスが即座に処理を引き継ぎトラフィックを 保護します。 IPクラスタリング インターネット メンバー / アクティブ マスター / アクティブ ダイナミック・ロードバランシング ゲートウェイ・クラスターのメンバーは、1台をマスター・メンバーとして 選出します。マスター・メンバーは、全てのゲートウェイの負荷状況、 処理能力、ステート情報を常に監視し、負荷を全てのゲートウェイに 均一に分配します。マスター・メンバー自体もアクティブであるため、 分配された負荷の処理を行います。クラスターに新たなメンバーが 追加されると、自動的にそのメンバーも含めて負荷が均一になるように 分配されます。このため、VPNやファイアウォールのサービスを中断 することなく、簡単な拡張が可能です。また、保守や障害でメンバーを はずす時も同様に、自動的に他のメンバーが負荷を引き継ぎ、 サービスは中断されることはありません。TCPコネクションやVPN トンネルは保持したままで、簡単に追加や保守が可能です。 複数台のIPアプライアンスがあたかも1台になったように協調、動作するが マスターの役割を担う装置が他のIPアプライアンス(メンバー)を制御する。 マスターもメンバーも通信を処理する(アクティブ状態)。 ダイナミック・ロードバランシング 割当て(マスター) ステート・テーブル 1 2 3 1 2 3 割当て(メンバー) ステート・テーブル 2 1 2 3 割当て(メンバー) ステート・テーブル 3 1 2 3 IPクラスターではマスターが自身とメンバーへ負荷の割当てを動的に行う。 マスターは全ての割当て情報を管理する。 パフォーマンスの向上 台数に応じてCPUが増えるので性能が向上 A 2ノード 3ノード 4ノード 1.2 倍 2.4倍 2.5倍 1.0倍 1.2倍 1.6倍 B C ファイアウォール UDPスループット トランザクション・レート D Loading 100% ファイアウォール+IPS UDPスループット 1.7倍 2.5倍 3.3倍 トランザクション・レート 1.5倍 2.2倍 2.9倍 VPNスループット 1.9倍 2.7倍 3.5倍 *性能値は測定環境・方法に依存します 20 50% 0% 各IPアプライアンスに 均等に負荷が分散される A B C D VRRPによる高可用性の実現 IPアプライアンスは、VRRPによる冗長化構成を提供します。マスター/バックアップのルーティングとファイアウォールのステート同期機能のユニークな 統合により、IPアプライアンスは、 トップクラスの冗長性を提供し、最大限のフォルト・トレランスと継続的なインターネット接続を確実に実現します。IPアプライ アンスのVRRP機能は、標準のVRRPに含まれていない独自の拡張を行うことで、IPアプライアンスの特徴を最大限に生かした信頼性を提供します。 VRRP 最適化されたハードウェアであるIPアプライアンスは、VRRP(Virtual Router Redundancy Protocol)をBGP4、OSPF、RIPv2などの標準ルーティング・プロトコルと組み合わせ、 ファイアウォールのステート同期機能とともにファイアウォールの冗長化を可能とし、 高可用性を実現します。これによりファイアウォールやそれが接続するネットワークの 障害を回避し、企業のネットワークを使う業務を保護します。IPアプライアンスのVRRPは 独自に障害検出に関する機能を拡張し、信頼性の向上を図っています。 VRRP拡張機能 モニタード・サーキット VRRPを構成しているインターフェースのup/downをモニタード・サーキット機能では監視 する事ができます。1つのインターフェースに障害が発生すると、IPアプライアンスの VRRPを構成する他のインターフェースのプライオリティ値を減ずることにより一斉に フェールオーバーへと導きます。モニタード・サーキット機能は、インターフェースに障害が 発生した場合に、速やか且つ確実にバックアップに切り替えます。 VRRP インターネット マスター バックアップ ファイア ウォール ファイア ウォール マスターの役割を担う装置とそれをバックアップする 他のIPアプライアンス(バックアップ)とに分かれる。 マスターが通信処理を担う。 モニタード・サーキット 反対側のインターフェースの状態をモニターしていて ダウンになるとこちら側が正常でも切り替えを行う。 新マスター ファイア ウォール セキュリティ・ゲートウェイ・ステートモニター セキュリティ・ゲートウェイ・ステートモニター機能は、チェック・ポイント・アプリケーションの 状態をモニターしてVRRPに反映する機能です。この機能により、アプリケーションの 稼動状況を含めてVRRPのマスター/バックアップが決定されるため、チェック・ポイントの ソフトウェアが動作していない状況でVRRPマスターになることを防ぐ事ができ、信頼性を 高める事ができます。 インターフェース、 ダウン ハードディスク・ステートモニター ディスク・ベースのIPアプライアンスを使用する場合、ハードディスクをモニターしてVRRPに反映する機能を選択できます。ハードディスク・ステート モニター機能は、ハードディスクでエラーを検知すると、VRRPのフェールオーバーが行われ、ネットワークの信頼性を確保できます。 Uni-Directional Link Detection 片方向のリンク障害が発生した場合、ルーティング情報の欠落、スパニング・ツリーによるループの発生、 リンク・アグリゲーションにおけるフレーム損失など、 大きなネットワーク障害に陥ります。IPアプライアンスは、UDLD機能を実装しており、隣接のUDLD対応機器との間で、UDLDのハロー・パケットによる 隣接間情報を維持し、単一方向でハロー・パケットが途絶えた場合、隣接機器に通知して当該ポートを閉塞することにより、これらの障害を防ぐことが できます。 Rx検知のリンク障害をUDLDで他端ノードに通知 - IEEE802.3のレイヤー1障害検知機能を利用 - シンプルなレイヤー2で動作するハロー・プロトコル ● 下流からの 通知では リンクダウンだ ファイバーの断線、配線ミスに有効 - 光ファイバー・リンクをサポート ケーブル障害 上流からの ハローが途絶えた、 通知しよう ● ● IETF draft - 現在シスコのスイッチと動作確認済み T R R T ノードB ノードA UDLD 21 管理ツール シンプルなアプライアンス管理 機器の管理をシンプルにすることにより、管理者はより安全にネットワークを保護することが可能になります。管理者の負荷を減らすことで、運用上のミスを 減らし、管理・運用コストを削減することが可能になります。IPアプライアンスの統合管理ツールは、以下のような効果があります。 導入時間を短縮し、導入コストを削減 ネットワーク・セキュリティ管理を統合 ● ネットワーク・ステータスとセキュリティ・ポリシーの管理、運用 ● 効率の改善とROIの早期化 ● ● IPアプライアンスの管理 (Check Point Network Voyager、CLI、SNMP) Check Point Network Voyagerは、IPアプライアンス導入時の複雑なオペレーションを 最低限に抑えるために、ウェッブ・ベースの設定管理インターフェースを提供します。IPアドレス、 インターフェース、ルーティング、NTP、冗長化など機器を構成する上で必要なコンフィグ レーションは、直感的で分かり易いCheck Point Network Voyagerにより容易に実行できます。 またCheck Point Network Voyagerは、CPU、メモリ、ディスクスペース、スループットなどの システム情報をモニタリングすることが可能であり、管理者は変化するネットワークの状況を 簡単に把握する事ができます。また、SecureXLによる加速化コネクションの状態遷移も リアルタイム・モニタリングすることが 可能です。IPアプライアンスの設定情報、および チェック・ポイント・アプリケーションのバックアップ・リストアは、Check Point Network Voyager から操作可能です。バックアップに関しては、定期的に行うように設定することも可能です。 IPアプライアンスのIPSO OSは、CLIインターフェイスによる設定も可能です。システムの内部 情報やコンフィグレーションの一括取得、 トラフィック調査のためのコマンドなど、管理者にとって 重要な情報を提供します。IPSOは標準でSNMP v1/SNMP v2/SNMP v3をサポートしています。 SNMP v3では、認証、アクセス・コントロールもサポートしており、より安全な管理が可能です。 SecureXLコネクション バックアップ&リストア 複数台のIPアプライアンス管理 (Check Point Horizon Manager ) Check Point Horizon Managerは、ネットワーク上に展開されている複数台のIPアプライアンス に対して共通コンフィグレーションの投入と変更、コンフィグレーションのバックアップとリストアを リモートから実行可能です。また、スケジューリングによるバックアップ機能で万一の障害に 対して速やかに対処できるよう日頃から準備する事ができます。Check Point Horizon Manager には、IPSOとチェック・ポイントアプリケーションが適切な組み合わせかを審査する機能が 備わっており、IPSO並びにチェック・ポイントのアプリケーションのアップグレードとHFA (Hot Fix Accumulator)の適用をリモート・サイトから安心して実行できます。Check Point Horizon Managerによるリモート管理機能は、ハードウェアとソフトウェアの適切な資産管理を 行い、複数台のIPアプライアンスを所有する中・大規模企業やデータセンターに対して、管理 コストの軽減と一貫した運用管理業務を提供します。Check Point Horizon Managerの モニタリング機能は、定期的にIPアプライアンスのCPU利用率、メモリ利用率、ディスク利用率、 スループット、ファン・スピード、温度などの状態を監視します。また適正な値を超えた場合、 通知機能により管理者は速やかに状態を把握することができ、対策を講じることで安定した システム稼動を継続できます。 Smart-1 (Security Management Server専用アプライアンス) Smart-1 アプライアンスは、中規模∼大規模のセキュリティ・ネットワーク環境に特化して設計 された専用ハードウェア・プラットフォームに、チェック・ポイントが誇る先進のセキュリティ管理 Software Bladeを搭載したセキュリティ管理ソリューションです。Software Blade アーキ テクチャをベースとするSmart-1アプライアンスは、ネットワーク、IPS、およびエンドポイント・ セキュリティの管理機能と他の追随を許さない優れた拡張性を備える初めての統合管理 ソリューションです。Smart-1アプライアンスは、最大12TBのストレージにより管理コストやリ ソースを大幅に削減、さらに、万一の際にも動作を継続できる高い信頼性と冗長性により、 ミッション・クリティカルな環境に対応することが可能です。 22 Smart-1 5 Smart-1 25 Smart-1 50 Smart-1 150 IPアプライアンス 簡単購入ガイド IPアプライアンスはセキュリティ・ゲートウェイ機能に特化したモデルですので、IPアプライアンスの他に管理サーバが必要となります。購入の際は、 まずIPアプライアンスを管理するための管理サーバを選択し、その後、IPアプライアンスを選択します。 管理サーバ(Security Management Server)の選択 タイプ 購入イメージ アプライアンス Smart-1 500G − 5 CPAP- SM504 ¥960,000 500G x 4 10 25 CPAP- SM2507 ¥3,980,000 1T x 4 10 50 CPAP- SM5007 ¥6,360,000 10 150 CPAP- SM15008 - PV3 ¥12,720,000 2 CPSG - P103 - CPSM - P203 ¥660,000 3 CPSG - P103 - CPSM - P303 ¥1,020,000 10 CPSM - P1003 ¥1,310,000 25 CPSM - P2506 ¥2,760,000 U CPSM - PU007 ¥3,770,000 *2 x4 SPLATや *3 Windowsなど 型 番 メーカー希望 価格 (税別) RAID 1T ソフトウェア 管理GW数*1 HDD容量 IAサーバ 別途購入必要 *1:管理GW数:管理GW数とはSecurity Management Serverが管理するゲートウェイ( IPアプライアンス)の数。ゲートウェイが2台で冗長化している場合は2ゲートウェイ分必要 *2:12Tまで拡張可能 *3:SPLAT:Secure Platformの略で、チェック・ポイントのセキュリティ・ソリューション専用に強化されたセキュリティ・オペレーティング・システム IPアプライアンスの選択 ファイアウォール スループット モデル IP152*4 550Mbps IP295 1.5Gbps IP395 含まれる機能*4 Firewall VPN IPS *7 3Gbps *6 IP565 6.3Gbps、9.5Gbps IP695 7.5Gbps、11.7Gbps *6 *6 IP1285 10.3Gbps、15.4Gbps IP2455 10.3Gbps、29Gbps Advanced Networking Acceleration & Clustering *6 ユーザ数*5 型 番 無制限 CPAP- IP152- D -AC メーカー希望 価格 (税別) ¥890,000 -AC - SS CPAP- IP295 - D(F) ¥1,700,000 -AC-DS CPAP- IP295 - D(F) ¥1,780,000 無制限 -AC CPAP- IP395 - D(F) ¥3,064,000 無制限 -AC CPAP- IP565 - D(F) ¥4,300,000 無制限 -AC CPAP- IP695 - D(F) ¥6,240,000 無制限 -AC CPAP- IP1285 - D(F) ¥8,400,000 無制限 -AC CPAP- IP2455 - D(F) ¥11,500,000 無制限 *4:IP152は、ファイアウォールおよびVPN機能のみ含まれる *5:ユーザ数:ユーザ数とはゲートウェイを通過するIPアドレス数 *6:ADPカード装着時 *7:1年間のアップデート・サービスが付属 スタンドアロン・パッケージについて 以下のモデルは日本市場でのみ販売される管理サーバが含まれるスタンドアロン・パッケージです。 モデル ファイアウォール スループット IP395 3Gbps 管理GW数 ユーザ数 型 番 メーカー希望 価格 (税別) 2 50 CPAP-IP395-SM203 ¥2,050,000 10 無制限 CPAP-IP395-SM1003 ¥3,928,000 注意事項 IPアプライアンスは現在一般的に使用されております管理モジュールであるSmartCenterからの管理は行えません IPアプライアンスの管理には新しい管理システムであるSecurity Management Serverの購入が必要 IPアプライアンス 管理モジュール(SmartCenter) 管理モジュール(Security Management Server) バージョンをR70にした場合でも管理できません。 23 チェック・ポイント・アプライアンス製品の基本サポート Collaborative Enterprise Support ( CESサービス) サポートの内容 ● 24時間体制による、 サポート・レベルに合わせたサポート提供 チェック・ポイントから代理店をサポート Direct Enterprise Support ( EBSサービス) チェック・ポイントからエンド・ユーザ様へ直接サポート テクニカル・サポート - 24時間をカバーするアメリカ、カナダ、 イスラエル、日本の計4拠点体制 - 一般コールを受けるDeskグループと、シニア・エンジニア集団のエスカレーション・ グループ、R&D直結のBack Line Engineeringによる効率的な体制 ● ソフトウェア・アップデートや修正 ● 故障品に対するRMA(先出し交換) - オンサイト交換オプション ● ワールド・ワイドで共有されるSecureKnowledgeへのアクセス ● オンラインでのSR管理やチャットによる先進のサポートツール EBSサービス:エンド・ユーザ様直接サポート CESサービス:代理店向けサポート サービス製品 概要 サービス製品 概要 Standard Support ● ソフトウェア・サブスクリプション Co-Standard Support ● ソフトウェア・サブスクリプション ● 平日の営業時間中(12時間)のWeb、チャット、 電話等による4時間応答のテクニカル・サポート ● 故障に対する、同日出荷の先出し交換 電話等による4時間応答のテクニカル・サポート ● 故障に対する、同日出荷の先出し交換 Standard Onsite Support ● 上記のStandard Supportに加え、 翌営業日のオンサイト交換 Co-Standard Onsite Support ● 上記のStandard Premium Support ● ソフトウェア・サブスクリプション Co-Premium Support ● ソフトウェア・サブスクリプション ● 24時間365日対応の、高いスキルを持つ エスカレーション・エンジニアによる対応 ● Severity 1には30分応答、Severity 2には 2時間応答による迅速なテクニカル・サポート ● 故障に対する、同日または翌朝到着の先出し交換 Premium Onsite Support ● 上記のPremium Supportに加え、 4時間応答のオンサイト交換 Supportに加え、 翌営業日のオンサイト交換 ● 24時間365日対応の、高いスキルを持つ エスカレーション・エンジニアによる対応 Severity 1には30分応答、Severity 2には 2時間応答による迅速なテクニカル・サポート ● 故障に対する、同日または翌朝到着の先出し交換 ● Co-Premium OnsiteSupport ● 上記のPremium Supportに加え、 4時間応答のオンサイト交換 ※ 応答時間や交換品出荷条件、オンサイト・サービス適用地域については別途、詳細をご確認下さい。 ※ 応答時間や交換品出荷条件、オンサイト・サービス適用地域については別途、詳細をご確認下さい。 サポートの課題 DiamondとDiamond Plusサービス ● 標準的なサポート・サービスだけでは、 お客様の期待に応えられなくなってきている - 問題が起きてからの対応では遅い - 個々の問題をそれぞれ個別に解決するだけでは、 総合的な対応が取れない - 個々のお客様に注意を払った対応が取れない - ソフトウェアのバージョン変更や製品サポート終了 - 設定や構成の変更 - 新機能の導入時 Diamond 指定されたTACエンジニア 変更やインストールのアドバイス ● R&Dプライオリティによる、継続中SRの取り扱い ● 優先度を上げたHot Fix/HFAの提供 ● 迅速なお客様判断によるRMA ● SRに関する週1回の電話会議 ● 4∼10日オンサイト+1∼3日のオフサイト・コンサルテーション ● ● Diamond Plus 指定されたローカルPSエキスパート プロアクティブ・サポート ‒ インストール計画、アップグレード、チューニング ● R&Dプライオリティによる、継続中SRの取り扱い ● 優先度を上げたHot Fix/HFAの提供 ● 迅速なお客様判断によるRMA ● SRに関する週1回の電話会議 ● 10∼30日オンサイト+ 30∼70日オフサイト・コンサルテーション ● ● Diamondサービス 24 ● 24時間365日対応のWeb、チャット、 フィールド・リプレース・オプション IPアプライアンスはフィールドでの高い保守性とともに、拡張性を誇ります。購入後にフィールド・リプレース・ユニット (FRU) と呼ばれるオプション製品を ご利用頂くことで、ネットワーク規模の拡大やインターフェース要件の変更、または処理トラフィックの増大に対応したり、保守物品の確保なども容易に 行えます。インターフェース・カードはメディア(光ファイバー/ 電線)やスピード(10GbE、Gig、10/100M ) によって各種用意され、モデル間での互換性が ありますので保守用物品を最小限に抑えることができます (互換性のないものもあります) 。その他、万が一製品の構成物品が故障した場合のFRUも豊富に 取り揃えます。またインターフェースと同様、モデル間の互換性を多く持たせております。 FRUの代表的なラインナップ ネットワーク・インターフェース・カード 電源ユニット ● 空冷ファン・ユニット ハードディスク・ドライブ・ユニット コンパクト・フラッシュ・ユニット ● メモリ ● ● ● ● グリーンITソリューション Ⅰ. グリーンITとは? ● 京都議定書の制定以降、地球温暖化対策としてあらゆる面で環境配慮が 活発になっています 環境配慮の動向は、ネットワーク機器、サーバ機器などを含めたIT機器の 消費電力量に対しても省エネが問われています ● ● このようにIT機器に関連した省エネの取り組みが「グリーンIT」です Ⅱ. IT関連の電力消費量推移と対策は? ● IT機器に関連した消費電力量は増加し続けており、国内総消費電力量に対して占める割合も増え続けると予想されています IT機器の消費電力量の割合(推定) - 2006年 5%にあたる消費電力量470kWh(CO2約2600万t相当) - 2025年 約5倍の2400億kWh(CO2約1.3億t相当) - 2050年 約11倍の5500億kWh(CO2約3億t相当) ● *2006年の日本の総発電量約1兆kWhで変化しない場合の推計値 *経済産業省の資料参照 重要なアプローチ - IT機器自体が消費する電力量が抑えられる機器の選定 - 機能の統合によるIT機器の台数削減による消費電力量の軽減 - IT機器から発生した熱の冷却装置における冷却効果の向上を前提とした省スペース化 ● Ⅲ. IPアプライアンスのソリューション ● IPアプライアンスは、 グリーンITに最適な省電力設計を実現しています 前提 ● 1つのプラットフォームでルーティング、 ファイアウォール、 VPN等拡張機能を 実装しています ● 1RU、2RUのコンパクトサイズで提供される豊富なラインナップは、 データセンターの ● データセンター向け2重化構成 ● ラック・スペース・コストは1RU4,000円で算出 ● 電気は1KWあたり24円とし持続(平均)消費電力で算出 スペース・コストを削減し、冷却装置の冷却効果の向上を促進します IP395 A社のファイアウォール IP295 A社のファイアウォール 消費電力150W ファイアウォール・スループット3Gbps 消費電力150W ファイアウォール・スループット1Gbps 消費電力150W ファイアウォール・スループット1Gbps 消費電力150W ファイアウォール・スループット1Gbps 2RU 28万8,000円 6万3,072円 4RU 3年間のラックスペース料金 3年間の1Gbpsあたりの電気料金 1RU 57万6,000円 14万4,000円 18万9,216円 4万3,816円 4RU 3年間のラックスペース料金 3年間の1Gbpsあたりの電気料金 57万6,000円 18万9,216円 25 チェック・ポイント ハンズオン・トレーニングのご案内 チェック・ポイントは、お客様およびリセラー様による弊社セキュリティ製品に対する理解度向上を目的とした、 セキュリティ製品ハンズオン・トレーニングを 定期的に開催しています。 ハンズオン・トレーニングの前半部分は製品概要に関する説明を行い、後半部分は弊社セキュリティ製品の実機を用いたハンズオン・トレーニングで、 一般的な構成時の設定や、設定時の注意事項について弊社セキュリティ・エンジニアより解説を行います。 このハンズオン・トレーニングに参加することで、弊社セキュリティ製品に関するより深い知識を得るばかりか、製品に関する理解度を高める事により効果的な セキュリティ対策実施に非常に役立ちます。自社環境で弊社セキュリティ製品を導入している方、実際にセキュリティ製品の設定・管理に携わる方、お客様へ 弊社製品を提案している方、また製品に関する理解度を高め、より効果的なセキュリティ対策実施に役立てたい方はぜひご参加ください。 【 実施しているトレーニング 】 ● IPアプライアンス 基本 ● UTM-1/Power-1 基本 ● UTM-1/Power-1 アドバンス ● ステートフル・インスペクション ● SmartCenter/SmartDashboard ● セキュリティ・ログ/イベント管理 ● Web攻撃とアプリケーション・レベルの脅威に対する最新防御技術 ※ IPアプライアンス アドバンス・コース 近日開始予定 各トレーニングの詳細は、http://www.checkpoint.co.jp/trainingをご覧ください。 トレーニング資料のイメージ 26 チェック・ポイント IPアプライアンス製品仕様 IP152 IP295 HDD HDD/Flash IP395 IP565 IP695 HDD/Flash HDD/Flash HDD/Flash IP1285 IP2455 ポジショニング ストレージタイプ 小規模オフィス向け 小規模オフィス向け 想定導入ユーザ 中規模オフィス/ 企業支店向け 中、大規模企業向け 中、大規模企業向け HDD/Flash HDD/Flash 大規模企業/ 通信事業者/ 高信頼性指向 大規模企業/ 通信事業者/ 高信頼性指向 ハードウェア構成 2 HDD:2GB RAM (最大搭載済み) Flash:1GB RAM (最大2GB) 4GB RAM (現在2GBサポート) 2 2 4 4 8 8 4 6 4 4 4 4 4 4 8 8 16 16 28 32 0 0 0 0 6 10 10 1(DB9) 1(RJ45) 1(RJ45) 1(RJ45) 1(RJ45) 1(RJ45) 1(RJ45) オプション オプション ○ ○ ○ ○ ○ − − − − ○ ○(ホット・スワップ ) ○(ホット・スワップ ) − − − Disk Mirroring (オプション) Disk Mirroring (オプション) Disk Mirroring Disk Mirroring − − − − − ○ ○ 標準メモリ 1GB RAM 最大メモリ 2GB RAM メモリ・スロット数 標準イーサーネット ポート数(10/100/1000M) 最大イーサーネット ポート数(10/100/1000M) 最大10G イーサーネット ポート数 コンソール(ポート数) VPNアクセラレーター 冗長化電源 ディスク冗長化 ホット・スワップ対応 インターフェース・カード (ADPカード除く) 1GB RAM 1GB RAM 2GB RAM 4GB RAM 4GB RAM 2GB RAM 2GB RAM 8GB RAM 8GB RAM 8GB RAM (オプション、ホット・スワップ)(オプション、ホット・スワップ) マネージメント機能 リモート集中管理 Security Management Server / Horizon Manager ローカル管理 Network Voyager Telnet CLIアクセス ○ ○ ○ ○ ○ ○ ○ HTTPS UIアクセス ○ ○ ○ ○ ○ ○ ○ ○ SNMPv1、SNMPv2、SNMPv3 ○ ○ ○ ○ ○ (オプション) ○ ○ (オプション) ○ ○ (オプション) ○ ○ SNMPマネージメント対応 ○ Syslog ○ 鍵管理 IKE Check Point IPSOの特徴 ソフトウェア アクセラレーション ADP アクセラレーション VRRP − SecureXL ○ ○ ○ ○ (オプション) ○ IPクラスタリング ○ ○ ○ ○ ○ ○ IPv6サポート ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 550Mbps 1.5Gbps 3Gbps 6.3Gbps 9.5Gbps*1 7.5Gbps 11.7Gbps*1 10.3Gbps 15.4Gbps*1 10.3Gbps 29Gbps*1 76Mbps 1Gbps 670Mbps 1.7Gbps 3.3Gbps*1 1.4Gbps 3.3Gbps*1 1.9Gbps 8.3Gbps*1 1.9Gbps 8.3Gbps*1 22,000 35,000 36,000 36,000 47,000 50,000 50,000 8.3 A/3.4A マルチキャスト・プロトコル (PIM-DM/SM, DVMRPなど) RIP1/2, OSPF, (オプション IGRP, BGP4) DiffServe QoS − − − パフォーマンス ファイアウォール スループット VPNスループット (AES256/SHA-1) ファイアウォール セッション・レート(sps) 環境・電源条件 AC入力電圧 100-120V/200-240VAC 周波数 50/60Hz AC入力電流 2/1A 1.5/0.7A 1.5/0.75A 3A/1.5A 4.0A/2.0A 8.3A/3.4A 最大消費電力 180W 133 W 150 W 225 W 250W 700W 700W 0℃∼40℃ 5℃∼40℃ 0℃∼45℃ 0℃∼40℃ 5℃∼ 40℃ -5℃∼40℃ -5℃∼40℃ 648kWh 479kWh 540kWh 900kWh 2520kWh 2520kWh 温度 湿度 最大発熱量 10%∼90% 810kWh 物理仕様 高さ×奥行き×幅(cm) /重量(kg) 4.3×28.1×42.6 4.3×48.3×21.7 4.4×40.9×44.0 4.4×55.9×44.0 4.4×63.2×43.2 8.9×53.3×44.0 8.9×53.3×44.0 (1RU、標準19インチ (1RU、マウント用 (1RU、標準19インチ (1RU、標準19インチ (1RU、標準19インチ (2RU、標準19インチ (2RU、標準19インチ ブラケットを含ま ラックマウント ラックマウント ラックマウント ラックマウント ラックマウント ラックマウント可能) /4.76 ない)/4.1 可能)/7.7 可能)/11.8 可能)/12.4 可能)/19.6 可能)/20.6 *1 ADPカード装着時 27 http://www.checkpoint.co.jp/ 製品に関するお問い合わせ © 2009 Check Point Software Technologies Ltd. All rights reserved. Check Point, AlertAdvisor, Application Intelligence, Check Point Endpoint Security, Check Point Endpoint Security On Demand, Check Point Express, Check Point Express CI, the Check Point のロゴ, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, CoSa, DefenseNet, Dynamic Shielding Architecture, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Full Disk Encryption, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IPS-1, IQ Engine, MailSafe, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, the puresecurity のlogo, Safe@Home, Safe@Office, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, Sentivist, SiteManager-1, Smart-1, SmartCenter, SmartCenter Express, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartProvisioning, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartView Tracker, SMP, SMP On-Demand, SofaWare, SSL Network Extender, Stateful Clustering, Total Security, the totalsecurity のロゴ, TrueVector, Turbocard, UAM, UserAuthority, User-to-Address Mapping, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Accelerator Card, VPN-1 Edge, VPN-1 Express, VPN-1 Express CI, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Anti-Spyware, ZoneAlarm Antivirus, ZoneAlarm ForceField, ZoneAlarm Internet Security Suite, ZoneAlarm Pro, ZoneAlarm Secure Wireless Router, Zone Labs, Zone Labs, Zone Labsのロゴは、Check Point Software Technologies Ltd. あるいはその関連会社の商標または登録商標です。 ZoneAlarm is a Check Point Software Technologies, Inc. Company. その他の企業、製品名は各企業が所有する商標または登録商標です。本書で記載された製品は米国の特許No.5,606,668、5,835,726、 5,987,611、6,496,935、6,873,988、6,850,943、および7,165,076により保護されています。その他の米国における特許や他の国における特許で保護されているか、出願中の可能性があります。 P/N 800060-J 2009.08 ※記載された製品仕様は予告無く変更される場合があります。
© Copyright 2024 ExpyDoc