VPN-1 UTM - Westcon Security

Fiche technique
La plate-forme NGX fournit une architecture
de sécurité unifiée pour les solutions
périmétrique, interne et web de Check Point.
VPN-1 UTM
DESCRIPTION
L’administration unifiée
des menaces de prochaine génération
VOTRE DÉFI
Face à des menaces constamment changeantes et à de nouveaux défis de sécurité qui
apparaissent chaque jour, vous avez besoin d’une solution capable de sécuriser les réseaux
de votre entreprise. Face à un nombre croissant de menaces sur la sécurité, mais disposant
de ressources limitées pour y répondre, vous avez besoin d’une solution simple, tout en un,
qui offre les meilleurs niveaux de sécurité.
VPN-1® UTM™ est une solution unifiée de
gestion des menaces qui peut s’adapter
aux entreprises de toutes tailles, aidant les
clients à simplifier leurs déploiements de
sécurité en consolidant des fonctions de
sécurité éprouvées au sein d’une seule et
même solution. Elle associe des logiciels
pare-feu, de prévention des intrusions,
antivirus, anti-spyware, un pare-feu pour
les applications Web et les technologies
IPSec et VPN SSL dans une solution
entièrement intégrée et facile à gérer.
NOTRE SOLUTION
FONCTIONNALITÉS
VPN-1® UTMTM est une solution unifiée de gestion des menaces qui peut s’adapter aux
entreprises de toutes tailles, aidant les clients à simplifier leurs déploiements de sécurité
en consolidant des fonctions de sécurité fiables au sein d’une seule et même solution. Elle
associe des logiciels pare-feu, de prévention des intrusions, antivirus, anti-spyware, un
pare-feu pour les applications Web et les technologies IPSec et VPN SSL dans une solution
entièrement intégrée et facile à administrer. A l’aide des mêmes technologies éprouvées
de sécurité Check Point qui sécurisent les réseaux des entreprises figurant au classement
Fortune 100, VPN-1 UTM fournit à ses clients une solution de sécurité entièrement intégrée
sur laquelle ils peuvent compter. L’interface d’administration de SmartCenterTM de Check
Point, basée sur la plate-forme d’administration unifiée NGX de Check Point, garantit
aux administrateurs un contrôle centralisé sur tous les composants de sécurité clé sur
l’ensemble du réseau, tout en réduisant les frais et la complexité de l’administration.
■
Pare-feu, prévention des intrusions,
antivirus, anti-spyware, pare-feu pour
applications Web et VPN IPSec et SSL
■
Comprend les mêmes technologies
Check Point éprouvées utilisées par
100% des entreprises du classement
Fortune 100
■
Administration centralisée des tâches de
sécurité sur de multiples sites
Utilisateurs distants
VPN-1
SecuRemote
Siège social / bureau
(VPN-1 SecureClient
en option)
Passerelle
secondaire
SmartCenter UTM
SSL Network
Extender
IPSec
SSL
AVANTAGES
■
Une sécurité plus forte avec la
fonctionnalité UTM
■
Un déploiement simplifié grâce à une
administration réellement intégrée et
centralisée
■
Une protection à jour avec les services
SmartDefense
POINTS FORTS DE NGX
■
Sécurité VoIP intelligente
■
Administration unifiée
■
Surveillance avancée
Internet
VPN-1 UTM
Succursale
VPN-1 UTM fournit une administration éprouvée et unifiée des
menaces, y compris l’accès distant flexible et la connectivité fiable
site à site.
Check Point protège tous les aspects de
votre réseau – périmètre, interne et web –
et garantit la sécurité, l’accessibilité et la
facilité d’administration de vos ressources
d’information.
1
VPN-1 UTM
GESTION UNIFIÉE ET EPROUVÉE DES MENACES
VPN-1 UTM protège activement les organisations contre les attaques
connues et inconnues au niveau du réseau et des applications. En
intégrant des logiciels éprouvés de pare-feu, de prévention des
intrusions, d’antivirus, d’anti-spyware et de VPN à une solution unique,
VPN-1 UTM simplifie la sécurité et élimine le besoin de recourir à de
nombreuses solutions de sécurité autonomes. Similaire aux autres
solutions Check Point, VPN-1 UTM offre l’évolutivité d’une vaste
gamme de composants supplémentaires tels que les modules de
pare-feu pour application Web et de sécurité des postes de travail.
Protection des applications stratégiques
VPN-1 UTM examine en natif plus de 150 applications, services et
protocoles prédéfinis, garantissant ainsi qu’une grande majorité des
applications utilisées dans les entreprises sont exemptes de menaces
lorsqu’elles arrivent sur le réseau. Quelques exemples :
■
■
Voix sur IP : de nombreuses entreprises se précipitent pour adopter les
applications de VoIP afin de réduire les frais de télécommunications,
VPN-1 UTM offre une prise en charge totale du protocole VoIP afin
de sécuriser les communications critiques de l’entreprise.
Applications de messagerie instantanée et P2P : il s’agit de vecteurs
d’attaques courants pour les vers, virus et autres logiciels espions.
VPN-1 UTM sécurise ces applications en inspectant leur contenu
ou en les empêchant de se connecter au réseau de l’entreprise.
Antivirus de passerelle, protection contre les vers et
anti-spyware
Les vers et autres attaques, souvent introduits sur le réseau sans être
détectés dans des pièces jointes de messages électroniques ou dans
des fichiers téléchargés par les utilisateurs, attaquent automatiquement
tous les ordinateurs du voisinage une fois ouverts. Dans le même
temps, les logiciels espions ont évolué pour devenir l’une des menaces
informatiques les plus redoutables pour l’infrastructure et la bande
passante. VPN-1 UTM comprend une passerelle anti-virus, associée
avec la technologie SmartDefenseTM de Check Point pour fournir une
protection anti-virus et anti-logiciel espion à la passerelle. L’analyse
antivirus comprend la capacité d’analyser le trafic de messagerie
électronique (SMTP et POP3), Web (HTTP) et FTP en temps réel pour
détecter les menaces éventuellement dissimulées dans du contenu
légitime.
Pare-feu d’applications Web
Web IntelligenceTM, composant optionnel de VPN-1 UTM, offre une
protection intégrée des applications Web contre les techniques de
piratage les plus courantes : injection SQL, Cross-Site Scripting et
directory traversal. Web Intelligence comprend le composant en
instance de brevet Malicious Code ProtectorTM, une technologie
révolutionnaire qui détecte et bloque les attaques de dépassement
de tampon et les codes et fichiers exécutables malveillants ciblant
des serveurs Web. Web Intelligence arrête les attaques connues et
inconnues, pour une protection véritablement préemptive.
Protections à jour
Pour maintenir un environnement de sécurité préemptif et protéger
les réseaux contre les nouvelles attaques, le service SmartDefense
en option met à jour automatiquement et en continu les défenses,
politiques et autres éléments de sécurité. Les entreprises peuvent
2
faire télécharger les mises à jour par un serveur central et les distribuer
automatiquement vers des emplacements distants ou vérifier chaque
passerelle VPN-1 UTM à intervalles réguliers prédéfinis par la politique
de sécurité.
CONNECTIVITE SITE A SITE ET ACCES DISTANT
VPN-1 UTM fournit à la fois la fonctionnalité IPSec et VPN SSL pour
fournir un moyen simple et flexible de connecter les sites et les utilisateurs
distants. SSL Network ExtenderTM, un module supplémentaire pour
VPN-1 UTM, fournit un accès VPN basé sur un navigateur pour les
applications Web et autres applications réseau basées sur IP, offrant
une solution d’accès distant efficace et économique. VPN-1 UTM
prend en charge un large éventail de clients VPN pour les entreprises
ayant besoin d’IPSec ou autres solutions client, dont notamment :
VPN-1 SecuRemote® : intégré à VPN-1 UTM, ce produit chiffre et
authentifie les données pour les protéger contre l’espionnage et
l’altération de données.
VPN-1 SecureClientTM : enrichit les fonctionnalités de VPN-1
SecuRemote avec un pare-feu personnel géré depuis un point central
et des options d’administration avancées.
Clients Microsoft L2TP VPN : pour les utilisateurs de Microsoft, VPN-1
UTM peut fournir un accès distant sécurisé à l’aide d’un client VPN
Microsoft Windows L2TP.
Authentification robuste prête à l’emploi
Les sociétés qui souhaitent mettre en œuvre une authentification
robuste prête à l’emploi peuvent recourir aux certificats Check Point
One-Click. VPN-1 UTM étant fourni avec une autorité de certification
interne, les certificats numériques X509 peuvent être émis pour les
passerelles VPN-1 UTM et les utilisateurs distants. Les certificats OneClick offrent une identification standard à deux facteurs, tout en évitant
la complexité et les frais afférents aux systèmes PKI.
VPN One-Click
La définition de communautés VPN avec One-Click VPN permet aux
entreprises de définir leurs paramètres de sécurité pour l’ensemble
du VPN, y compris les accès site-à-site et distants, en une seule
opération. Il suffit à vos administrateurs de sécurité de spécifier tous
les postes de travail VPN-1 UTM d’une communauté pour que les VPN
soient automatiquement activés sur toutes les passerelles ou entre une
passerelle et vos utilisateurs distants. À mesure que la communauté
s’enrichit de nouveaux sites, ceux-ci héritent automatiquement des
propriétés qui conviennent et peuvent établir immédiatement des
sessions IPSec sécurisées avec le reste de la communauté VPN.
Confidentialité des données
Dans le contexte réglementaire actuel, la confidentialité des données
est capitale. VPN-1 UTM applique les algorithmes de cryptage les plus
robustes du marché aux données en transit pour les protéger contre la
violation de confidentialité. Ces algorithmes sont les suivants :
■
Advanced Encryption Standard 128-256 bits
■
Triple DES 56-168 bits
■
Secure Sockets Layer
L’administration unifiée des menaces de prochaine génération
Toutes les politiques
et mises à jour de la
sécurité sont gérées
facilement sur tous les
sites.
Tous les objets réseau
- utilisateurs, hôtes, et
autres - sont facilement
visibles et administrés.
L’interface d’administration SmartDashboard fournit une gestion centralisée de la sécurité sur l’ensemble des sites.
SÉCURITÉ DES POSTES DE TRAVAIL INTÉGRÉE
Les utilisateurs distants et les partenaires peuvent se connecter à
partir de leurs ordinateurs personnels ou d’autres dispositifs non
sécurisés, échappant au contrôle du département informatique, pour
accéder à leur messagerie, leurs applications et d’autres ressources
de l’entreprise. Pour s’assurer que les ordinateurs distants ne
présentent pas de menace, VPN-1 UTM vérifie l’absence de vers,
de “keyloggers” et autres logiciels malveillants avant de les laisser
accéder au réseau. Il veille également à ce que les utilisateurs distants
respectent les politiques de sécurité, par exemple en disposant d’un
logiciel antivirus à jour et d’un pare-feu personnel, en intégrant Check
Point IntegrityTM Clientless Security, un module optionnel dans les
passerelles VPN-1 UTM.
ADMINISTRATION CENTRALISÉE DE TOUS LES SITES
VPN-1 UTM est fourni avec SmartCenter, un composant de la
gamme SMART (Security Management Architecture). Ces solutions
SmartCenter offrent la capacité d’administrer de manière centrale
les passerelles VPN-1 UTM, ainsi que d’autres produits Check
Point tels que les appliances VPN-1 UTM EdgeTM. Il stocke dans un
réservoir central et distribue la politique de sécurité à l’ensemble de
l’infrastructure de sécurité, éliminant le besoin d’entretenir chaque
site et la passerelle correspondante séparément. Cette approche
réduit considérablement la charge administrative et les erreurs et
garantit la cohérence de l’ensemble du réseau. Les administrateurs
peuvent utiliser SmartDashboardTM, l’interface utilisateur simple
de SmartCenter, pour définir et gérer de multiples éléments d’une
politique de sécurité : sécurité du pare-feu, VPN, translation
d’adresses réseau, qualité de service (QoS) et sécurité des clients
VPN.
cluster de manière complètement transparente. De plus, on atteint des
gains de performance linéaires lorsque d’autres passerelles viennent
s’ajouter au cluster. En outre, une interface haute disponibilité permet
d’acheminer le trafic vers une interface secondaire ou une liaison ISP
en cas d’indisponibilité de l’interface principale. Les connexions en
cours ne sont pas interrompues durant le basculement.
Prise en charge de la QoS du VPN
FloodGate-1®, un module VPN-1 UTM en option, régule le trafic du
VPN en attribuant des priorités aux applications et aux utilisateurs
stratégiques. Il offre des performances optimisées, permettant aux
clients de faire migrer le trafic réseau des lignes coûteuses en location
vers les réseaux VPN Internet.
Des performances et un déploiement supérieurs
VPN-1 UTM prend en charge un éventail d’options de déploiement afin
de fournir la solution la mieux adaptée aux besoins de performance
des réseaux de toutes tailles :
■
Les appliances sécurisées par Check Point sont équipées du logiciel
VPN-1 UTM préinstallé.
■
SecurePlatformTM, inclus sur le CD de la solution Check Point,
installe un système d’exploitation personnalisé et robuste et un
logiciel Check Point en moins de 10 minutes.
Pour obtenir une liste des plates-formes recommandées, consultez
notre site Web à l’adresse www.checkpoint.com/products/choice/
platforms.html.
CONTINUITÉ D’ACTIVITÉ PERMANENTE
VPN-1 UTM est prêt pour la haute disponibilité afin d’assurer un accès
fiable aux ressources de l’entreprise. Il est possible de déployer plusieurs
passerelles dans un cluster pour assurer la disponibilité constante du
réseau. En cas de défaillance de la passerelle principale désignée,
toutes les connexions sont redirigées vers les autres membres du
3
FONCTIONNALITÉS SUPPLÉMENTAIRES
VPN-1 UTM prend en charge différents modules passerelles et
composants supplémentaires.
Passerelles VPN-1 UTM supplémentaires sécurisées et connectées à
des succursales supplémentaires.
Il est possible d’ajouter des passerelles VPN-1 UTM haute disponibilité
à une passerelle existante pour une disponibilité et une résilience
accrues.
Les accélérateurs de performance sont des cartes PCI plug and play
qui améliorent les performances des passerelles VPN-1 UTM.
VPN-1 SecureServerTM fournit une protection pour les serveurs
d’applications individuels et sécurise les communications
confidentielles entre les clients et le serveur.
ClusterXL® répartit le trafic entre des clusters de passerelles afin de
garantir l’évolutivité des performances.
FloodGate-1 fournit une qualité de service basée sur des politiques
de sécurité afin d’optimiser les performances du réseau en attribuant
des priorités aux applications critiques de l’entreprise et utilisateurs
finaux.
SSL Network ExtenderTM fournit un accès complet au niveau du réseau
sur le Web via des fonctionnalités VPN SSL avancées.
SmartMapTM permet aux administrateurs de la sécurité de valider
l’intégrité de leur sécurité au moyen d’une carte graphique détaillée du
déploiement de la sécurité dans la société.
SmartUpdateTM centralise l’administration des logiciels et des licences
des produits Check Point pour garantir l’application d’une politique de
sécurité cohérente à tous les niveaux du réseau de l’entreprise.
SmartDirectory permet à VPN-1 UTM de s’intégrer dans un ou plusieurs
serveurs d’annuaires compatibles LDAP.
SmartView MonitorTM permet de réaliser des analyses de performances
pertinentes en présentant des vues graphiques de certaines mesures
de performances de bout en bout, telles que la bande passante, le
temps de propagation en boucle et la perte de paquets.
SmartCenter Plus étoffe SmartCenter UTM avec SmartMap,
SmartUpdate, SmartDirectory, SmartView Monitor et SmartPortal - un
outil Web qui permet d’accéder et de voir la politique de sécurité via un
navigateur.
Eventia ReporterTM est un système de reporting optimal qui assure
une activité en profondeur de la sécurité du réseau et données des
informations sur les événements à partir des données de journal Check
Point.
UserAuthority® fournit une sécurité Web intégrée, une ouverture de
session unique, et une administration d’identité pour les applications
d’e-business.
Web Intelligence fournit aux produits Check Point une technologie de
pare-feu d’applications Web.
CONFIGURATION REQUISE
Passerelles VPN-1 UTM et SmartCenter
Plates-formes
Check Point SecurePlatform, SecurePlatform
Pro, et Nokia IPSO
Espace disque
4 Go
Mémoire
256 Mo minimum (512 Mo recommandés)
SmartConsole
Plates-formes
Solaris, Windows 2000/2003/XP/ME/98
Espace disque
100 Mo
Mémoire
256 Mo
Clients d’accès distant*
Plates-formes
Windows 2000/XP/2003/Pocket PC 2003
2nd Edition/Handheld PC 2000, Macintosh,
et Linux
Espace disque
20 Mo
Mémoire
64 Mo
*VPN-1 SecuRemote, VPN-1 SecureClient et Integrity SecureClient
Pour obtenir des informations détaillées sur les plates-formes prises en
charge et la configuration requise, reportez-vous à la page http://www.
checkpoint.com/products/supported_platforms/platforms_appint.
html.
©2003-2006 Check Point Software Technologies Ltd. Tous droits réservés. Check Point, Application Intelligence, Check Point Express, le logo Check Point, AlertAdvisor, ClusterXL, ConnectControl,
Connectra, Cooperative Enforcement, Cooperative Security Alliance, CoSa, DefenseNet, Eventia, Eventia Analyzer, Eventia Reporter, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1,
Hacker ID, IMsecure, INSPECT, INSPECT XL, Integrity, InterSpect, IQ Engine, NGX, Open Security Extension, OPSEC, OSFirewall, Policy Lifecycle Management, Provider-1, Safe@Office, SecureClient,
SecureKnowledge, SecuRemote, SecurePlatform, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, SiteManager-1, SmartCenter, SmartCenter Power, SmartCenter Pro, SmartCenter
UTM, SmartDashboard, SmartDefense, SmartDefense Advisor, Smarter Security, SmartLSM, SmartMap, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status,
SmartViewTracker, SofaWare, SSL Network Extender, Stateful Clustering, TrueVector, Turbocard, UAM, UserAuthority, User-to-Address Mapping, VPN-1, VPN-1 Accelerator Card, VPN-1 Edge,
VPN-1 Power, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VSX, Web Intelligence, ZoneAlarm,
ZoneAlarm Anti-Spyware, ZoneAlarm Antivirus, ZoneAlarm Internet Security Suite, ZoneAlarm Pro, Zone Labs et le logo Zone Labs, sont des marques commerciales ou des marques
déposées de Check Point Software Technologies Ltd. ou de ses filiales. Tous les autres noms de produits mentionnés dans ce document sont des marques commerciales,
déposées ou non, de leurs propriétaires respectifs. Les produits présentés dans ce document sont protégés par les brevets N° 5.606.668, 5.835.726, 6.496.935,
6.873.988 et 6.850.943 aux États-Unis et peuvent être protégés par d’autres brevets, américains ou étrangers, ou des homologations en cours.
14 juin, 2006 P/N 502163
Siège mondial
4
3A Jabotinsky Street, 24th Floor
Ramat Gan 52520, Israël
Tél : 972-3-753-4555
Fax : 972-3-575-9256
E-mail : [email protected]
Siège France
3, quai de Dion Bouton
92806 Puteaux Cedex
Tél. : +33 1 55 49 12 00
Fax : +33 1 55 49 12 01
E-mail : [email protected]