Home Page | Skip to Navigation | Skip to Content | Skip to Search | Skip to Footer

NGX 新機能情報:VPN-1 Power

 
Check Point NGX プラットフォーム
NGX 情報センター
トップ10の理由
NGX 新機能情報
NGX FAQ
アップグレード
NGX の評価

NGX プラットフォームは、25種類以上のチェック・ポイント製品に対し、数百にも及ぶ重要な新機能、拡張機能、機能改良を提供することにより、業界で最も多くの種類のネットワークおよびアプリケーションを保護できる強固かつインテリジェントなセキュリティ管理環境を実現します。NGX プラットフォームはさらに、ネットワーク・セキュリティで最も重要とされる4つのレイヤ、すなわち境界、内部、Web、およびエンドポイントのすべてを統一的に管理することを可能にします。シンプルで強力な管理機能により、複雑なネットワークであっても少ないリソースで効率的に管理できるので、TCO の削減も可能になります。

ここでは、NGX プラットフォームの特定の機能と、お使いのチェック・ポイント製品を NGX プラットフォームにアップグレードするメリットについて説明します。是非 NGX プラットフォームへのアップグレードをご検討ください。

新機能情報を製品別に表示

 
 
製品の名称
  • VPN-1 Pro は名称が VPN-1 Power に変更され、Performance Pack が付属することになりました。
ファイアウォール
一般的な機能
  • レイヤ2ファイアウォールとしても動作可能になりました。
  • DCE-RPC を、135番以外のポートで通信できるようになりました。
  • マルチキャスト・トラフィックを許可するかどうかを、マルチキャスト・グループごとに設定できるようになりました。構成はインタフェースごとになります。例えば、「multicast address range」という新しいオブジェクトを定義して、インタフェース上でネットワーク・トポロジを定義する際にこのオブジェクトを使用できます。
  • Linux プラットフォームで IPv6 ネットワークがサポートされるようになりました。
  • PPTP クライアントに対してNAT隠蔽を定義できるようになりました。
  • 認証機能が拡張され、ブルート・フォース・アタックに対する防御機能が強化されました。
  • ローカル・インタフェースおよびクラスタにおけるアンチスプーフィング・アクティビティをログに記録しないように設定できるようになりました。
  • 特定のマルチキャスト・グループからのトラフィックを許可するかどうかを、インタフェースごとに構成できるようになりました。
  • Nokia プラットフォームで ISP Redundancy 機能がサポートされるようになりました。
  • SYNDefender が拡張され、SYN Cookie と呼ばれる新しい機能が追加されました。この機能を使用した場合、VPN-1 は、TCP ハンドシェイクが完了するまで接続テーブルにエントリを作成しなくなります。これにより、攻撃を受けたときにメモリが浪費されるのを防ぎます。
  • 攻撃の可能性がある振る舞いが検出された場合は、アグレッシブ・エージングにより、古いアイドル接続を接続テーブルから削除することで、サービス妨害(DoS)攻撃によるメモリの浪費を防ぎます。
VoIP
  • VPN-1 Power(VPN-1 Pro)、VPN-1 UTM(Check Point Express / Express CI)、および UTM-1 Edge(VPN-1 Edge)NGX において、VoIP プロトコルと NAT のサポートが強化されました。
  • Nortel、Broadsoft、Cisco、NEC、Polycom、Sylantro、Avaya などのベンダーとの相互運用性が強化されました。
  • 動的ポートで MGCP NAT および MCGP がサポートされるようになりました。
  • H.323 NAT シナリオが多数追加されました。
  • H.323v4 がサポートされるようになりました。
Performance Pack
  • Solaris で BGE インタフェースがサポートされるようになりました。
関連情報

Firewall-1 データシート [PDF]
Firewall-1 製品ページ
Application Intelligence 技術白書 [PDF]
VoIP 技術白書 [英語版]
Application Intelligence 製品ページ
エンドポイント・セキュリティ
  • VPN-1 NGX は、エンドポイント・セキュリティ・ソリューションの Integrity と連携して、LAN 上およびリモートのエンドポイントに対してネットワーク・アクセス制御(NAC)を行えるようになりました。また、Intel vPro テクノロジを搭載したネットワーク・インタフェース・カード(NIC)との相互作用を通じて、エンドポイントにポリシーを遵守させることもできます。これにより、VPN-1 ゲートウェイを NAC ソリューションの1つとして利用して、エンドポイント・セキュリティをより確実に制御することが可能になります。
VPN
  • 接続の方向別に VPN ルールを実施できるようになりました。これにより、セキュリティをより強固にし、VPN セキュリティ・ポリシーをよりきめ細かく設定することが可能になります。例えば、[VPN]カラムで次のように定義することが可能になりました。

    発信元 宛先
    コミュニティA コミュニティB
    コミュニティA Any
    ローカル・ドメイン コミュニティA
    ローカル・ドメイン リモート・アクセス・コミュニティ

  • バックアップ・リンクとオンデマンド・リンクが、VPN-1 ゲートウェイ間の複数の VPN リンクでサポートされるようになりました。複数の VPN リンクは、1台の VPN-1 ゲートウェイが複数のネットワーク・インフラストラクチャ(複数のISPなど)に接続されている場合に使用可能となります。2台の VPN ゲートウェイでは、相互に通信するための複数の通信パスを設定することができます。これに加えて、リンク選択のメカニズムも追加されています。このメカニズムは、ゲートウェイのIPアドレスを解決するための新たな手法を提供します。例えば、常に固定 IP アドレスを使用するように定義したり、 DNS 名を解決するように定義したり(これは、動的にIPアドレスが割り当てられているゲートウェイに最適です)することが可能です。
  • ワイヤ・モード VPN がサポートされるようになりました。VPN トラフィックに対するセキュリティ・チェック項目を少なくする内部 VPN 接続(安全な VPN 接続)がサポートされるようになります。
ルート・ベースのVPN
  • Numbered Virtual Tunnel Interface(VTI)により、ダイナミック・ルーティング・プロトコルを使用した VPN トンネル越しにパケットをルーティングできるようになりました。
  • SecurePlatform の VPN-1 ゲートウェイで、OSPF/BGP over VPN がサポートされるようになりました。各 VPN トンネルをバーチャル・アダプタとして扱うことにより、OSPF トラフィックおよび BGP トラフィックのカプセル化が可能になります。これらのバーチャル・アダプタを使用すると、保護されたネットワークのルーティング・ドメインと統合されたダイナミック・ルーティング構成を作成できます。この新技術により、VPN で保護されたすべてのネットワークを、動的に適応可能なネットワークとして統合することが可能になります。
  • GRE との組み合わせでのみ VPN でのダイナミック・ルーティングをサポートしているデバイスと相互運用できるようにするため、GRE over IPSec がサポートされるようになりました。
VPNトンネルの管理
  • VPN-1 ゲートウェイから VPN トンネルを定義できるようになりました。この機能にアクセスするには、ゲートウェイへのコマンドライン・インタフェースを使用します。この機能により、チェック・ポイントのゲートウェイを管理する外部管理ツールのコマンドライン・インタフェースが拡張されます。
  • VPN リンクを、常に有効な状態に構成できるようになりました。この機能により、次のことが可能になります。
    • VPN リンク(トンネル)の監視: リンクのプロパティ、リンクの状態、リンクを通過するトラフィックなど。
    • リンク設定時の遅延の影響を受けやすいアプリケーションのサポート。
    • MEP 使用時のルート・インジェクション・メカニズムの構成。
複数のエントリ・ポイント(MEP)とVPN負荷分散(VPN Load Distribution)
  • サイト間 VPN において、スター型コミュニティの中心部での明示的なMEP構成がサポートされるようになりました。MEP ゲートウェイへの接続方法は複数用意されており、例えば、(エントリ・ポイントの VPN ドメイン定義とは別に)エントリ・ポイント間に明示的な優先順位を設定するなどの方法があります。リモート・アクセス VPN については、従来のMEP構成を引き続き使用できます。
VPN-1クラスタ
  • Sticky Decision Function を有効にすることにより、Cisco ゲートウェイ、L2TP、Nokia クライアントの組み合わせから、ロード・シェアリング・モードの ClusterXL への VPN トンネルを開けるようになりました。
PKI、PKCS
  • SmartView Status から、内部 CA の診断を行えるようになりました。
  • 内部 CA に関して、次の拡張が行われました。
    • PKCS10 形式での証明書の登録が可能になりました。
    • CAP Iトークンで使用される PKCS12 形式で証明書を生成できるようになりました。
    • 管理権限の構成レベルが追加されました。
  • VPN-1 モジュールに証明書を登録する際、SCEP プロトコルと CMP プロトコルを使用できるようになりました。
  • OCSP(Online Certificate Status Protocol)がサポートされるようになりました。
VPN-1の診断(ロギング、監視、計画)
  • VPN アクティビティ・ログに関する操作性が向上しました。
接続機能
  • ゲートウェイの暗号化ドメインを、サイト間VPN用とリモート・アクセス VPN 用に別々に定義できるようになりました。
  • サードパーティの DAIP ゲートウェイと外部管理されている DAIP ゲートウェイでの証明書認証がサポートされるようになりました。
オフィス・モード
  • サイト内の別のゲートウェイにアクセスする際にもオフィス・モードの割り当てを使用できるようになりました。
  • オフィス・モードのIP割り当てに RADIUS サーバを使用できるようになりました。
L2TPクライアント
  • FireWall-1 パスワード、OS パスワード、RADIUS、LDAP、TACACS などの従来型の認証スキームが L2TP クライアントでサポートされるようになりました。
マルチキャスト
  • VPN バーチャル・インタフェースを使用することにより、マルチキャスト・トラフィックを暗号化して VPN トンネルを通過させることが可能になりました。
ルート・インジェクション・メカニズム
  • RIM(ルート・インジェクション・メカニズム)が、MEP の有無に関係なくサポートされるようになりました。RIM は、コミュニティの[Tunnel Management]ページで構成できます。
NATデバイスの背後にあるUTM-1 Edge(VPN-1 Edge)のサポート
  • VPN-1 Power(VPN-1 Pro)で、NAT デバイスの背後に配置された UTM-1 Edge(VPN-1 Edge)をサポートできるようになりました。この機能は、NAT トラバーサル(4500番ポート)を使用することによって実現されます。NAT トラバーサルは、UTM-1 Edge(VPN-1 Edge)デバイスと VPN-1 Power(VPN-1 Pro)間で IKE/IPSec を UDP パケットにカプセル化します。
VPN-1 Power VSX
  • SmartCenterサーバで、次のバージョンの VSX を管理できるようになりました。
    • VSX 2.0.1
    • VSX NG AI
    • VSX NG AI リリース2

    これらのリリースの詳細については、該当するドキュメントを参照してください。
関連情報

UTM-1 Edge(VPN-1 Edge)データシート [PDF]
VPN-1 Power(VPN-1 Pro)データシート [PDF]
VPN-1 Power(VPN-1 Pro)製品ページ
 

NGX プラットフォームには、これらの重要な新機能の他に、NGX プラットフォームでしか利用できない数百の機能が用意されています。是非 NGX へのアップグレードをご検討ください。NGX アップグレード・キットは、こちら からご注文いただけます。