Check Point NGFW, NGDP, NGTP и SWG — различия

Различия в редакциях и сценарии использования Check Point NGFW, NGDP, NGTP и SWG

При выборе аплаинса Check Point для защиты сети мы всегда отталкиваемся от решаемой задачи, сценария использования и необходимого функционала.

У Check Point существует 4 готовых набора блейдов, из которых Вы можете выбрать подходящий в зависимости от ваших задач и целей использования.

  NGFW — Next Generation Firewall

  SWG — Secure Web Gateway

  NGTP — Next Generation Threat Prevention

  NGDP — Next Generation Data Protection

Сравнения функциональных возможностей.

NGFW NGDP NGTP SWG
Firewall
Identity Awareness
IPSec VPN
Advanced Networking & Clustering
Mobile Access2 *
IPS *
Application Control
DLP * * *
URL Filtering * *
Antivirus * *
Anti-Spam & Email Security * * *
Anti-Bot * * *
Network Policy Management
Logging and Status
SmartEvent * * *
SmartWorkflow * * * *
Monitoring * * * *
Management Portal * * * *
User Directory * * * *
SmartProvisioning * * * *
SmartReporter * * * *
Endpoint Policy Management * * * *
Compliance * * * *

✔ — входит в комплект

* — Опционально
2 Пять конкурентных пользовательских лицензий входят в комплект по умолчанию

Необходимо отметить, что такие блейды как Firewall, IdentityAwareness (интеграция с MS Active Directory), IPSecVPN и Advanced Networking & Clustering (динамическая маршрутизация и поддержка кластерных конфигураций) входят во все наборы. Этот функционал Вы получаете всегда, вне зависимости от выбранной редакции шлюза.

Итак, теперь давайте обсудим, какой набор блейдов в каких ситуациях целесообразно использовать.

Задача 1. NGFW

Для обеспечения построения VPN и обеспечения связи с центральным офисом на удаленной площадке вполне можно разместить шлюз с набором NGFW. В нем есть все необходимое для обеспечения защищенного канала связи и защиты периметра от внешних угроз.

Задача 2. SWG

SWG набор для задачи обеспечения и контроля доступа в Интернет. В этот набор входит мощный инструмент генерации отчетов и регистрации событий безопасности SmartEvent. Фактически SWG это лучшая альтернатива Microsoft TMG 2010 ( ISA server). Шлюз с набором SWG Вы вполне можете настроить как прокси сервер или шлюз по умолчанию в вашей сетевой инфраструктуре, настроить правила доступа к категориям сайтов, ограничить и контролировать работу сетевых приложений (в базе Check Point ~6000 приложений). А так же повысить антивирусную безопасность, использовав фильтрацию трафика на предмет вирусных сигнатур.

Задача 3. NGTP

Полнофункциональная защита периметра сети и глубокий анализ + фильтрация трафика. Для этой задачи Вам, однозначно, необходим набор NGTP. В него изначально включено наибольшее количество блэйдов, что позволяет задействовать весь технологический арсенал Check Point.

Тут и защита Антивирус, Анти-бот. В своем роде уникальная технология, определяющая и блокирующая попытки зараженных ботами компьютеров связаться с командными центрами бот-сетей. В прикладном смысле, если у вас есть компьютеры с криптографами, которые шифруют все доступные им данные, и трафик идет через шлюз NGTP, шлюз заблокирует этот трафик. Соответственно бот не получит инструкции и ключ для шифрования, и будет бездействовать.

Так же NGTP можно использовать как прокси сервер, для этого в него включены APP и URL Filtering блэйды.

Один из самых эффективных в индустрии IPS, позволит настроить полноценную защиты от внешних угроз и попыток взломать вашу сеть из Интернет.

MobileAccess решения для предоставления защищенного удаленного доступа к корпоративным ресурсам (SSL VPN, клиентский IPsec VPN и приложения для мобильных устройств Apple iOSи Android)

Так же присутствует функционал Anti-Spam, фильтрующий почтовый трафик от нежелательной почты.

Задача 4. NGDP

Это специфический набор, предназначенный для защиты данных от утечек. Вы можете получить функциональный сетевой DLP на базе Check Point NGDP активировав блэйд Data Loss Prevention.

 

Модульная архитектура Check Point Security Blades

Как Вы заметили в списке доступных блейдов есть и те, которые не входят по умолчанию ни в один из наборов. Их можно докупить к любой редакции, точно так же как и любой другой блейд, не входящий в существующий набор. На пример, можно доукомплектовать набор SWG блейдом IPS для защиты от внешних угроз.

 

Next Generation Secure Web Gateway Next Generation Data Protection Next Generation FireWall Next Generation Threat Prevention
Firewall

VPN

Advanced Networking and Clustering

Identity Awareness

Mobile Access

O

IPS

O

Application Control

URL Filtering

O O

Anti-Virus

O O

Anti-Bot

O

O O

Anti-Spam and Email Security

O

O O

Network Policy Management

Logging and Status

Главное помните, что чем бОльший функционал Вы захотите использовать, тем большая производительность аплаинса потребуется.  Так же, Вы могли заметить, что все аплаинсы идут с блейдами для локального управления и сбора логов. Это позволяет настраивать Standalone конфигурацию из одного шлюза, но на этот вариант развертывания так же накладываются свои дополнительные требования к производительности оборудования.

Для правильного планирования Вы всегда можете связаться с нами, и мы поможем подобрать нужную модель аплаинса именно под Ваши задачи.