這臺Check Point 2207,是一臺具備防火牆、IPS、身分認證及應用程式控管的次世代防火牆。

在2200系列中,所有型號的硬體與效能都相同,差異僅在能夠使用的軟體刀鋒數量,這邊所說的軟體刀鋒,意思近乎其他廠商的選購功能模組。而較不一樣的是,大多廠商會透過授權鎖住硬體效能,但Check Point則是全系列的效能相同,而差異為可使用的功能數目。以我們這次測試的2207,它搭載了防火牆、身分認證、IPS、應用程式控管等7組軟體刀鋒。

2207目前使用的作業系統為Check Point新一代系統Gaia,版本為R75.40。Gaia是使用Red Hat Enterprise Linux修改而成,其最大改變在於,它能夠安裝在Check Point的Open Server、Power1系列、UTM1系列等不同的硬體設備上,未來就算遇到不同硬體,只需要安裝Gaia即可。除此之外,Gaia這作業系統支援32及64位元環境,預設安裝為32位元,管理者只需切換Kernel就能轉換成64位元,不需重新安裝。

在網路及政策設定上,2207有網頁控制臺及SmartConsole這套中控軟體,供管理者操作。2207的網頁控制臺,主要提供本身的網路及系統設定,若要設定進階的應用程式控管、IPS等功能時,則需透過SmartConsole。

針對社群網站,提供將近24萬種應用層服務控管

在2207使用的身分驗證刀鋒模組上,管理者透過它識別使用者身分外,還能與防火牆、應用程式控管、IPS等功能連動。它能透過內建的帳號資料庫驗證使用者身分,並提供用戶端程式或網頁瀏覽器等2種方式,讓使用者登入。除此之外,它也可以整合Windows AD、LDAP等外部帳號伺服器,並具備單一登入功能。

關於2207的應用程式控管功能,管理者需透過SmartConsole設定控管程式的政策。在設定應用程式控管的頁面上,管理者能在Overview的頁面,看到應用程式、訪問網站及使用者排行榜。

2207能控管的應用層流量非常多,像是行動裝置軟體、下載管理、P2P檔案分享等,提供了4,776種控管項目。而我們測試了Facebook、MSN、Skype及無界瀏覽,2207都能夠阻擋其網路存取。

而除了應用程式外,它也可以控管社群網站的小工具程式,譬如Facebook上的遊戲或心理測驗等小程式,都能夠阻擋。其支援的社群網站平臺有Facebook、LinkedIn、MySpace等6個平臺,可控管約24萬個小工具,可以說是此次採購特輯中,可控管應用程式最細微、數量也最多的廠商。

具備IPS及防火牆功能,並提供封鎖國別網路流量機制

在防護上,2207具備防火牆及IPS功能。在防火牆功能方面,IT人員設置政策上非常簡單,只要設定來源及目的IP位址、服務、對應行為及完成設定,與一般防火牆規則不同的是,它沒有流量方向性,條件會套用在進出流量上。

2207的IPS也非常容易使用。在IPS的Overview頁面上,IT人員可以查看本周、本日的攻擊事件,並依照危險等級分為4類。在設定IPS政策時,2207預設提供Default和Recommended兩種政策。當然,IT人員也能夠自行選擇IPS的特徵碼,額外自訂政策。

在IPS功能中還包含了依照國別,封鎖網路流量的機制,該功能在此次採購特輯中,僅有Check Point與Sophos這2家廠商的產品具備。

除了防火牆與IPS外,2207還提供了HTTPS解密功能,它能使用在IPS、應用程式控管等刀鋒模組上。該功能只要啟動後,2207就會自動掃描HTTPS和HTTPS代理的所有連線。

提供日誌記錄及詳細的連線內容

IT人員若要查看2207設備上的記錄日誌,可以使用SmartConsole中的SmartLog和SmartView Tracker,這2款都是非常方便查閱網路流量的工具。

以SmartLog來說,它提供2207上的網路流量資訊,並以來源IP位址、服務、對應行為、使用者等9個分類,分別以排行榜呈現。除了呈現大多數的資料外,IT人員也能查看個別連線的資訊,像是連線使用的網路協定、應用服務、風險等級、對應政策等資料。

而SmartView Tracker則能查看各類型的連線記錄,像防火牆、IPS、應用程式控管等,這些防護功能相關的連線記錄,都能透過該功能查看。該功能所能查看的資訊非常細,譬如我們以連線到Google Maps的一筆連線來看,IT人員除了能看到連線使用的政策、服務等基本資訊外,更能深入地看到該連線所使用的瀏覽器、該連線的流量大小、URL連結等資訊。

可控管多達24萬種應用層流量

Check Point防火牆在應用程式控管方面,除了一般的控管項目外,還針對社群網站的Widgets,提供將近24萬種可控管的應用層項目。

提供豐富的IPS特徵碼

在IPS功能中,管理者可選擇特徵碼自訂政策。除此之外,管理者也能查看特徵碼目前有哪些政策使用,以及其攻擊方式和CVE編號。

可查看每條連線的詳細資料

在SmartView Tracker功能中,管理者可以查看IPS、應用程式控管等功能的連線資訊外,更能看到連線中所使用的服務、應用程式、流量等詳細資訊。


產品資訊

原廠 ▲ Check Point

網址 ▲ www.Check Point.com

電話 ▲ (02) 2703-2798

防火牆吞吐量 ▲ 3,000Mbps

IPS吞吐量 ▲ 2,000Mbps

同時最大連線數 ▲ 1,200,000個

網路介面 ▲ GbE埠 × 6

內建功能 ▲ 日誌記錄、報表功能

選購功能 ▲ 防火牆、身分認證、IPsec VPN、IPS、Mobile Access、進階網路和叢集、應用程式控管模組

售價資訊

建議售價 ▲ 285,000元,含防火牆、身分認證、IPsec VPN、IPS、Mobile Access(5人授權)、進階網路和叢集、應用程式控管,共7個模組(未稅)

防火牆模組 ▲ 77,000元

身分認證模組 ▲ 77,000元

IPsec VPN模組 ▲ 77,000元

進階網路和叢集模組 ▲ 77,000元

IPS模組 ▲ 60,000元(一年授權)

應用程式控管模組 ▲ 60,000元

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


相關報導請參考「次世代防火牆採購大特輯」

熱門新聞

Advertisement