Check Point VSX
 |
Check Point VSXまたはVPN-1 Power VSXを使用すると、複数の物理ネットワーク・コンポーネントを仮想化して1つの物理デバイスに集約し、大規模キャンパスやデータセンターなど高パフォーマンスが求められる環境のインフラストラクチャを統合できます。両ソリューションは、ファイアウォール、仮想プライベート・ネットワーク(VPN)、URLフィルタリング、侵入防御(IPS)の各技術を搭載しています。 |
概要
仮想プラットフォームでハードウェア・コストの削減と包括的なセキュリティを実現
- 数百台のセキュリティ・ゲートウェイを1台の物理デバイスに統合
- ファイアウォール、IPS、URLフィルタリング、IPSec、SSL VPNを搭載
- ハードウェアの利用効率向上と、消費電力や設置スペース、冷却コストの削減を実現
管理の一元化と柔軟な導入が可能
- 単一のシステムで複数の顧客やグループ、部門に対応
- 物理環境と仮想化環境を集中管理
- 最適な導入形態を柔軟に選択可能 - オープン・プラットフォームに導入可能なソフトウェア版と、短時間で導入できる多様なアプライアンス・モデルを用意
ハイ・アベイラビリティと優れた拡張性
- ハードウェアを追加導入することなく、仮想システムを容易に追加、拡張
- リニアな拡張性、ロード・シェアリング、マルチギガビットのパフォーマンス
- ClusterXLとSecureXLにより、優れた冗長性とパフォーマンスを低コストで実現
特徴
- 拡張性に優れる仮想化環境
- 柔軟に構成可能な仮想ネットワーク接続
- 高パフォーマンスなセキュリティ
- 包括的なセキュリティ・サービス
- 実績のある成熟したセキュリティ管理アーキテクチャ
- サービス・プロバイダ向けの機能
拡張性に優れる仮想化環境
オープン・プラットフォームに導入できるソフトウェア版と短時間で導入可能なアプライアンス版(VSX-1)として提供されるVSX(Virtual System Extension)を使用すると、集中DMZやリモートDMZといった従来の物理トポロジおよび設計をそのまま仮想化できます。VSXプラットフォームでは、単一またはクラスタ化されたハードウェア・プラットフォーム上に最大250台までの独立した仮想セキュリティ・システムを作成し、管理できます。これにより、ハードウェア投資や設置スペース、運用管理コストを大幅に削減しながら、環境の拡張性を高めることができます。
柔軟に構成可能な仮想ネットワーク接続
仮想ルータと仮想スイッチを使用して、仮想システムの背後にあるネットワーク間のトラフィックを物理的なネットワークとほぼ同じ方法で転送できます。VSXでは、多彩なルーティング・パターンがサポートされているため、ネットワーク接続を柔軟に構成できます。
・ブリッジ・モードの仮想システム
VSXは、ルータ・モードだけでなくブリッジ・モードの仮想システムもホストできます。これにより、IPルーティングの代わりにネイティブなレイヤ2ブリッジを実装することや、ネットワークの設定やトポロジを再構成することなく、仮想システムをネットワークに透過的に追加することを可能にしています。
・ルーティングの伝播
仮想システムを仮想ルータや仮想スイッチに接続する場合、そのルーティング情報を周囲の仮想デバイスに伝播するかどうかを選択できます。この機能により、周囲の仮想システムの背後にあるネットワーク・ノードが手動設定なしで通信することを可能にしています。
・IPアドレス空間の重複
VSXなら、複数のネットワーク・セグメントで同じIPアドレス範囲を共用する場合の接続も簡単です。このような状況が考えられるのは、複数の独立したネットワークを1つのVSXゲートウェイで保護し、それぞれのネットワークで同じIPアドレス・プールからのIPアドレスをエンドポイントに割り当てる場合です。つまり、VSX環境内の複数のエンドポイントが同じIPアドレスを共用しているが、それぞれのエンドポイントは別々の仮想システムの背後にある、という状況です。VSX環境では、各仮想システムが独自の状態テーブルとルーティング・テーブルを保持することで、このようなIPアドレス空間の重複を可能にしています。これらのテーブルには、まったく同じエントリを、隔離された別々のコンテキストで格納できます。
・ソース・ベース・ルーティング
ソース・ベース・ルーティングを使用すると、通常の送信先ベースの経路決定よりも優先するルーティング定義を定義できます。これにより、パケットをその送信元IPアドレス(または送信元IPアドレスと送信先IPアドレスの組み合わせ)に従ってルーティングできます。ソース・ベース・ルーティングは、セキュリティで保護されている複数の顧客ネットワークに、VLANタグのない単一の物理インタフェースで接続する場合に便利です。各仮想システムは、内部仮想ルータに接続されます。この仮想ルータは、ソース・ベースのルーティング・テーブルに定義されている送信元IPアドレスに基づいて、トラフィックを適切な仮想システムにルーティングします。
・ダイナミック・ルーティング
ダイナミック・ルーティングを使用すると、仮想デバイス間で経路についての情報を交換したり配信したりできます。VSXは、仮想システムと仮想ルータによるフルレイヤ3のダイナミック・ルーティングを提供します。ユニキャストおよびマルチキャストのダイナミック・ルーティング・プロトコルとしては、OSPF、RIP-v1/2、BGP-v4、IGMP、PIM-SM、およびPIM-DMをサポートしています。
高パフォーマンスなセキュリティ
高帯域ネットワークで何千ものユーザとアプリケーションをサポートするには、パフォーマンスの高いゲートウェイが必要になります。VSXには、チェック・ポイントが特許を保有するセキュリティ・アクセラレーション技術SecureXLが搭載されており、オープン・サーバやアプライアンスの性能を最大限に引き出すことができます。VSXは、セキュリティをワイヤ・スピードで提供するために、チェック・ポイントの高パフォーマンス技術を使用して複数のキャリア・クラス・プラットフォームに導入できるようになっており、安全性と冗長性を兼ね備えたマルチ・ギガビット・スループットを実現できます。VSXは、パフォーマンス、キャパシティ、システムの拡張性を最大限に引き出すため、以下の機能と技術を備えています。
・仮想システム・ロード・シェアリング(VSLS)機能を使用すると、仮想システムの負荷を複数のクラスタ・メンバーで分担し、クラスタ内のトラフィック負荷を効率的に分散させることができます。
・VSXリソース制御機能を使用すると、各仮想システムへのCPU割り当てが最低限に抑えられるように処理負荷を管理できます。ある仮想システムで不要になったリソースは、自動的に他の仮想システムで使用できる状態になります。また、優先度の低い仮想システムが使用できるCPU時間を制限し、ミッション・クリティカルな仮想システムにより多くのキャパシティを割り当てることもできます。
・VSX QoS機能では、DiffServ(差別化サービス)プロトコルをサポートし、クラスが異なるサービスに別々の伝送特性を割り当てることで、VSXネットワーク環境内のサービスのネットワーク品質を制御できます。これにより、負荷が大きくリソースが不足したときに、トラフィックを優先付けして処理することが可能になります。
・ClusterXLは、業務を中断なく継続するためのハイ・アベイラビリティおよびロード・シェアリングの機能を提供します。ClusterXLは、複数のマシンのコンピューティング能力を集約して全体的なスループットを向上させるために、複数の冗長ゲートウェイで構成されたクラスタ内でトラフィックを分散します。いずれかのゲートウェイがアクセス不能になった場合には、バックアップに指定されているゲートウェイにすべての接続がリダイレクトされます。この際、通信が途切れることはありません。
・リンク・アグリゲーションは、「インタフェース・ボンディング」とも呼ばれ、ハイ・アベイラビリティまたはロード・シェアリングのいずれかのモードでインタフェースを1つにまとめる強力なネットワーキング技術です。複数の物理インタフェースを並列に接続することで、単一インタフェースの上限を上回るスループットや冗長性を実現します。
包括的なセキュリティ・サービス
FireWall-1およびSmartDefense侵入防御技術をベースとしたVSXは、複雑なインフラストラクチャ内の複数のネットワークやVLANを包括的に保護し、インターネットやDMZなどの共有リソースに安全に接続します。VSXゲートウェイは、チェック・ポイントが特許を保有し、インターネット・セキュリティの事実上の標準となっているステートフル・インスペクション技術をベースとしています。VSXは、初期設定の状態で、事前定義された150以上のアプリケーション、サービス、およびプロトコルを検査します。これにより、企業環境で使用される大半のアプリケーションのトラフィックが、ネットワークに入ってきたときには安全な状態であることが保証されます。例えば、次のセキュリティ技術が提供されます。
・URLフィルタリング: あらかじめプロファイリングされたコンテンツへのアクセスを禁止または制限します。アクセス制御するコンテンツのリストは随時更新されます。
・Voice over IP: 通信コスト削減を図るために、VoIPアプリケーションの採用が多くの企業で急速に進んでいます。VSXは、VoIPプロトコルを包括的にサポートし、ビジネスにとって重要性の高い通信の安全性を確保します。H.323、SIP、MGCP、Skinny(SCCP)などのVoIPプロトコルをサポートしています。
・インスタント・メッセンジャーおよびP2Pアプリケーション: これらのアプリケーションは、しばしばワームやウイルス、スパイウェアの攻撃対象となっています。VSXでは、トラフィックの内容を検査するかまたはそのトラフィックが企業ネットワークに入ることを禁止することによって、これらのアプリケーションのセキュリティを確保します。
VSXは、チェック・ポイントのセキュリティ・インフラストラクチャの事前対応型セキュリティを常に最新の状態に維持するSmartDefenseサービスにも対応しています。また、VSXはリモート・アクセスにも対応しており、IPSecやSSL VPN、モバイル・アクセスなど、ほとんどすべてのクライアント・アクセス・オプションを柔軟にサポートします。
実績のある成熟したセキュリティ管理アーキテクチャ
VSXは、SmartCenterおよびMulti-Domain Security Managementで管理できます。どちらのソリューションも、複数のVSXセキュリティ・オペレーション・プラットフォーム、仮想システム、および物理的なVPN-1ゲートウェイを、一元的に設定、管理、監視できる強力なツールを備えています。またVSX-1アプライアンスは、SNMPによるハードウェアの状態監視機能を搭載しています。
チェック・ポイントのセキュリティ管理アーキテクチャであるSMARTに基づき、ネットワーク要件に応じて適切な管理ソリューションを柔軟に選択できます。また、チェック・ポイントのワン・クリックVPN技術により、仮想システムをVPNコミュニティにシームレスに追加することも可能です。新たに追加した仮想システムは、適切なプロパティを自動的に継承し、直ちに企業ネットワーク内の他のVPNコミュニティ・メンバーと安全なセッションを確立できます。その他にも仮想システムを作成するためのウィザードやテンプレートが用意されており、サーバ・イメージの標準化やVSXの導入および設定のさらなる合理化に役立てることができます。
VSXをMulti-Domain Security Managementと組み合わせると、事業グループや顧客をセグメントに分割したり、ネットワークを用途別やネットワーク・セグメント別に分類したりできます。ネットワーク・セグメントごとに異なるポリシーを管理・適用できるため、巨大なルール・ベースを複数の小さいルール・ベースに分割してネットワーク・セキュリティを管理しやすくすることができます。
サービス・プロバイダ向けの機能
VSXでは、ボタンをクリックするだけでセキュリティ・サービスをプロビジョニングできます。このためサービス・プロバイダは、サービスの導入費用を最小限に抑えながら仮想化セキュリティ・サービスを提供することができます。提供可能なセキュリティ・サービスには、今回新たに、あらかじめプロファイリングされたコンテンツへのアクセスを禁止または制限するURLフィルタリングが追加されています。これにより、クラス最高レベルのセキュリティ・サービスがさらに拡充されます。
仕様
VSX-1アプライアンスのハードウェア仕様
VSX-1 3070 シングル・ ユニット |
VSX-1 9070 シングル・ ユニット |
VSX-1 9090 VSLS |
VSX-1 11060/070/ 080 シングル・ ユニット |
VSX-1 11260/270 /280 VSLS |
VSX 21400 シングル・ ユニット |
VSX 21400 VSLS |
|
|---|---|---|---|---|---|---|---|
| VSXのバージョン | R67 | R67 | R67 | R67 | R67 | R67 | R67 |
仮想システム |
|||||||
| 初期構成 | 5 | 10 | 10 | 10 | 10 | 10 | 10 |
| 最大構成 | 10 | 150 | 150 | 250 | 250 | 250 | 250 |
パフォーマンス |
|||||||
| ファイアウォール・スループット(Gbps) | 4.5 | 14 | 28 | 15 / 20 / 25 | 30 / 40 / 50 | 50 / 1001 | 100 / 2001 |
| VPNスループット(Gbps) | 1 | 3.6 | 7.2 | 3.7 / 4.0 / 4.5 | 7.4 / 8.0 / 9.0 | 未定 | 未定 |
| 同時接続数 | 100万 | 110万 | 160万 | 120万 | 160万 | 120万 | 160万 |
インタフェース |
|||||||
| 内蔵インタフェース | Copper GbE x 10 | Copper GbE x 14 | Copper GbE x 28 | Copper GbE x 14 | Copper GbE x 28 | Copper GbE x 13 | Copper GbE x 26 |
| オプション・インタフェース | N/A | LOM (Out-of- Band Manage ment) 1 GbE Fiber 2x4 1GbE Copper 2x4 10 GbE 2x2 |
LOM(Out-of-Band Manage ment) 1 GbE Fiber 2x2x4 1GbE Copper 2x2x4 10 GbE 2x2x2 |
LOM (Out-of- Band Manage ment) 1 GbE Fiber 2x4 1GbE Copper 2x4 10 GbE 2x2 |
LOM (Out-of- Band Manage ment) 1 GbE Fiber 2x2x4 1GbE Copper 2x2x4 10 GbE 2x2x2 |
LOM (Out-of- Band Manage ment) 10/ 100/ 1000 copper 3x12 1 GbE Fiber 3x12 10 GbE Fiber 3x4 |
LOM (Out-of- Band Manage ment) 10/ 100/ 1000 copper 2x3x12 1 GbE Fiber 2x3x12 10 GbE Fiber 2x3x4 |
筐体デザイン |
|||||||
| エンクロージャ | 1U | 2U | 4U | 2U | 4U | 2U | 4U |
| ストレージ | 160GB | 160GB x 2 | 160GB x 4 | 250GB x 2 | 250GB x 4 | 500GB x 2 | 500GB x 4 |
| 寸法(インチ) | 17.4 x 15 x 1.73 in. | 17 x 20 x 3.46 in. | 17 x 20 x 7 in. | 17 x 20 x 3.46 in. | 17 x 20 x 7 in. | 17 x 28 x 3.5 in. | 17 x 28 x 7 in. |
| 寸法(mm) | 443 x 381 x 44mm | 431 x 509.5 x 88mm | 431 x 509.5 x 176mm | 431 x 580 x 88mm | 431 x 509.5 x 176mm | 431 x 710 x 88mm | 431 x 710 x 176mm |
| 重量 | 6.5kg (14.3 lbs) |
16.5 kg (36.3 lbs) |
33 kg (72.6 lbs) |
23.4kg (51.6 lbs) |
46.8 kg (103.2 lbs) |
26 kg (57.4 lbs) |
52 kg (115 lbs) |
電力 |
|||||||
| ホットスワップ対応デュアル電源 | なし | あり | あり | あり | あり | あり | あり |
| 電源 | 100~240V、50~60Hz | ||||||
| 電源仕様(最大) | 250W | 400W | 800W | 500W | 1000W | 910W x 2 | 910W x 4 |
| 消費電力(最大) | 78W | 201W | 400W | 253W | 506W | 449W | 898W |
| 使用環境 | 温度: 5℃~40℃ 相対湿度: 10%~85%(結露なきこと) 高度: 2,500m |
温度: 32°~104°F/0°~40°C 湿度: 5%~90%(結露なきこと) |
|||||
| 使用環境(非動作時) | 温度: -20℃~70℃ 相対湿度: 5%~95%(結露なきこと) |
||||||
| 適合規格 | UL 60950; FCC Part 15, Subpart B, Class A; EN 55024; EN 55022; VCCI V-3AS/NZS 3548:1995; CNS 13438 Class A(検査合格、国家認証申請中); KN22KN61000-4 Series, TTA; IC-950; ROHS |
UL60950-1, First Edition: 2003, CAN/CSAC22.2, No 60950:2000, IEC60950-1: 2001, EN60950-1:2001+A11 with Japanese National Deviations; FCC Part 15, Subpart B, Class A, EN50024,EN55022A:1998, CISPR 22 Class A, 1985, EN61000-3-2, EN61000-3-3; EN55024: 1998 |
安全性: UL、cUL エミッション: CE、FCC Class A 環境: RoHS |
||||
1 2012年に提供予定のアクセラレーション・カードを使用
2 2012年に提供予定のソフトウェア・アップグレード、メモリ・アップグレードを適用
VSX/VPN-1 Power VSXソフトウェア
システム要件 |
|
|---|---|
| プラットフォーム | SecurePlatform対応オープン・サーバ、Crossbeam Xシリーズ、IBM BladeCenter(ファイアウォール・モジュールのみ)、Nokia IPSO |
| プロセッサ ディスク容量 メモリ ネットワーク・インタフェース |
Intel Pentium II 1GHz以上 または同等のプロセッサ 4 GB 256 MB 最低3つ(VPN-1 Power VSXクラスタを構成する場合は4つ) |
| SmartDashboardプラットフォーム ディスク容量 メモリ |
Windows 2000/2003/XP/ME/98 100 MB 256 MB |
| Multi-Domain Security Managementプラットフォーム ディスク容量 メモリ |
SecurePlatform、Linux、Solaris 800 MB(CMAごとに50MB) 256 MB |
| リモート・アクセス・クライアント・プラットフォーム ディスク容量 メモリ |
Windows 2000/XP/2003、Macintosh、Linux 20 MB 64 MB |
VSX/VPN-1 Power VSX技術仕様
技術仕様 |
|
|---|---|
ファイアウォール |
|
| プロトコル/アプリケーション・サポート | 200以上のアプリケーションとプロトコルを保護 |
| VoIP保護 | SIP、H.323、MGCP、およびSIP-NATをサポート |
| インスタント・メッセージングの制御 | MSN、Yahoo、ICQ、およびSkype(over HTTPおよびSSLを含む) |
| ピアツーピア・ブロック | Kazaa、GNUTella、BitTorrent、eMule、IRC(over HTTPを含む) |
| ネットワーク・アドレス変換(NAT) | 手動または自動ルールでスタティックNAT/HideNATをサポート |
URLフィルタリング |
|
| セキュアなインターネット・アクセス | 仮想システム単位で有効化 |
| サイトのカテゴリ | 事前定義のカテゴリが数十(例外を設定可能) |
| 監視 | Webの利用状況をオプションで監視 |
| ホワイト・リスト/ブラック・リスト | ユーザが指定した特定サイトへのアクセスを制御 |
VPN |
|
| 暗号化のサポート | AES 128-256ビット、3DES 56-168ビット |
| 認証方法 | パスワード、RADIUS、TACACS、X.509、SecurID |
| 認証局 | X.509認証局を統合 |
| VPNコミュニティ | オブジェクトの作成時にサイト間接続を自動設定 |
| トポロジのサポート | スター型およびメッシュ型 |
| VPNルータ | ダイナミックに割り当てられるIPアドレスによるゲートウェイのリンク選択、GRE(Generic Route Encapsulation)のサポート、ワイヤ・モードVPN |
| VPNクライアント | Check Point Endpoint Security、Check Point Endpoint Connect、VPN-1 SecureClient、VPN-1 SecuRemote |
| SSLベースのリモート・アクセス | 完全に統合されたVPNゲートウェイでSSLベースのオンデマンド・アクセスを提供 |
| SSLベースのエンドポイント・スキャン | ネットワークへの接続を許可する前にエンドポイントをスキャンしてポリシーの遵守状況やマルウェアをチェック |
| サイト間VPN | 複数のエントリ・ポイント(MEP)の明示的な構成をサポート |
| VPNトンネルの管理 | VPNリンクを常に有効な状態に構成可能 |
侵入防御 |
|
| ネットワーク層での保護 | DoS、ポート・スキャン、IP/ICMP/TCP関連などの攻撃をブロック |
| アプリケーション層での保護 | DNSキャッシュ・ポイズニング、FTPバウンス、不正なコマンドなどの攻撃をブロック |
| 検出方法 | シグネチャ・ベースおよびプロトコル・アノーマリ(プロトコル異常) |
ネットワーク機能 |
|
| 仮想化 | 仮想ルータ、仮想スイッチなど、すべてのネットワーク・コンポーネントを完全に仮想化 |
| VLANインタフェース | 4096/クラスタ |
| ダイナミック・ルーティングのサポート | OSPF、BGP、RIP v1/2、複数の仮想システム・モードでのマルチキャスト |
| DHCPのサポート | SecurePlatform DHCPリレー |
| レイヤ2ブリッジのサポート | 既存のネットワークに透過的に統合 |
パフォーマンスとアベイラビリティ |
|
| フェイルオーバ復旧 | 瞬時のフェイルオーバを可能にするアクティブ/スタンバイ・ブリッジ・モード |
| ロード・バランシング | 仮想システム・ロード・シェアリング(VSLS)機能で仮想システムの負荷を複数のクラスタ・メンバーで分担 |
| QoS(サービス品質) | 着信/発信トラフィックでDiffServ(差別化サービス)をサポート |
| ISPの冗長性 | トラフィックを2番目のインタフェースに自動的に再ルーティング |
| トラフィック・アクセラレーション | SecureXLによるセキュリティ上の判断の高速化 |
★セキュリティ管理★ |
|
| ポリシーの隔離 | 顧客の仮想的(論理的)な分類、グローバルおよび顧客固有のセキュリティ・ポリシーとVPNポリシー* |
| 集中管理 | ログ、モニタリング、イベントの相関分析、レポート、セキュリティ・アップデート、VPNおよび大規模ポリシー管理、Management High Availability構成 |
| ロール・ベースの管理 | グローバルかつきめ細かい管理アクセス権限の設定、複数の管理者による同時アクセス* |
| ログ管理 | ログの自動メンテナンスと自動統合 |
*Multi-Domain Security Managementで対応
