VSX-1 / VPN-1 Power VSX
サービス・プロバイダおよび大規模環境向けバーチャル・セキュリティ・プラットフォーム
概要
VSX は、データ・センターや POP ネットワークなどの大規模環境向けに設計されたマルチサービス・セキュリティ・オペレーション・プラットフォームで、最大数百にも及ぶセキュリティ・システムをひとつのハードウェア・プラットフォームで実行することが可能で、インフラの統合による優れたコスト効果を発揮します。 実績の高い VPN-1® Power のセキュリティ機能をベースとした VPN-1 Power VSX は、業界で最高性能を誇るファイアウォール、VPN、URL フィルタリングおよび侵入防御機能により、複雑なインフラストラクチャにおける複数のネットワークの包括的な保護と一元的な管理を実現するだけでなく、これらのネットワークをインターネットや DMZ などの共有リソースに安全に接続し、個々のネットワーク間の安全な相互作用をも可能にします。
全てのセキュリティ・システムは、仮想化されているか否かに関わらず、チェック・ポイントの SmartCenter または Provider-1 による集約的な管理に対応しています。また簡単に導入ができるアプライアンス、VSX-1 アプライアンスは、データ・センターやキャリア規模の信頼性とスケーラビリティを確保しつつ低いコストでの導入が可能です。
サービス・プロバイダをはじめ大規模な分散ネットワークを有する企業は、VPN-1 Power VSX セキュリティ・オペレーション・プラットフォームを使用することで、ルータ、スイッチ、VPN-1 ゲートウェイからなるバーチャル・ネットワークを単体のハードウェアで運用できます。これにより、ハードウェアへの投資を最適化してコストを削減できるだけでなく、物理的なセキュリティ・デバイスやネットワーク・デバイスを集約し、ネットワーク全体にわたるセキュリティを実現するための物理スペースも削減できます。
製品の利点
- 比類無き仮想化セキュリティソリューションによるファイアウォール、VPN、IPS、および URL フィルタリング機能
- 数百にもおよぶセキュリティ・ゲートウェイをひとつのハードウェアに集約し最適化することにより、物理的なスペース、電力、人員の削減
- リニアなスケーラビリティにより最大 27Gbps のパフォーマンスを実現
- 導入先によりアプライアンスかソフトウェアを選択できる柔軟な導入オプション
- 新しいサービスを導入する際の運用効率を向上
- キャリア・クラスのハイ・アベイラビリティによる安定したサービス品質
- SmartDefense サービスにより、最新の脅威にも対応
柔軟な導入オプション
- アプライアンス - VSX-1 アプライアンスは、導入先が必要とするセキュリティ要件に柔軟に対応するラインナップです。
- ソフトウェア – VPN-1 Power VSX ソフトウェアは、SecurePlatform™ が動作するオープン・サーバ上にインストールし利用します。
特徴
- スケーラブルなバーチャル環境
- 柔軟なバーチャル接続
- ハイ・パフォーマンスなセキュリティ
- 包括的なセキュリティ・サービス
- 実績のある成熟したセキュリティ管理アーキテクチャ
- サービス・プロバイダ向けの機能
スケーラブルなバーチャル環境
VPN-1 アプライアンスおよび VSX ソフトウェアは、は、大規模なバーチャル環境のニーズに応えるマルチサービス・オペレーション・プラットフォームです。 VSX では、集中 DMZ やリモート DMZ といった従来の物理トポロジおよび設計をそのまま仮想化できます。単一のハードウェア・プラットフォーム、またはクラスタ化したハードウェア・プラットフォーム上に、完全に独立したセキュリティ・システムを最大250まで作成・管理できるため、ハードウェア・コスト、設置スペース、運用管理コストを削減しつつ、拡張性に優れたバーチャル・プラットフォームを実現できます。
柔軟なバーチャル接続
バーチャルなルータとスイッチを使用して、バーチャル・システムの背後にあるネットワーク間のトラフィックを物理的なネットワークとほぼ同じ方法で転送できます。VSX では、多彩なルーティング・パターンがサポートされているため、柔軟なネットワーク接続を構成できます。
- ブリッジ・モードのバーチャル・システム
VSX は、ルータ・モードだけでなくブリッジ・モードのバーチャル・システムもホストできます。これにより、IP ルーティングの代わりにネイティブなレイヤ2ブリッジを実装することや、ネットワークの設定やトポロジを再構成することなく、バーチャル・システムをネットワークに透過的に追加することを可能にしています。
- ルーティングの伝播
バーチャル・システムをバーチャル・ルータやバーチャル・スイッチに接続する場合、そのルーティング情報を周囲のバーチャル・デバイスに伝播するかどうかを選択できます。この機能により、周囲のバーチャル・システムの背後にあるネットワーク・モードが手動設定なしで通信することを可能にしています。
- IP アドレス空間の重複
VSX は、複数のネットワーク・セグメントで同じ IP アドレス範囲を共用する場合の接続も簡単に行えます。このような状況が考えられるのは、複数の独立したネットワークを1つの VSX ゲートウェイで保護し、それぞれのネットワークで同じ IP アドレス・プールからの IP アドレスをエンドポイントに割り当てる場合です。つまり、VSX 環境内の複数のエンドポイントが同じ IP アドレスを共用しているが、それぞれのエンドポイントは別々のバーチャル・システムの背後にある、という状況です。VSX 環境では、各バーチャル・システムが独自の状態テーブルとルーティング・テーブルを保持することで、このような IP アドレス空間の重複を可能にしています。これらのテーブルには、まったく同じエントリを、隔離された別々のコンテキストで格納できます。
- ソース・ベース・ルーティング
ソース・ベース・ルーティングを使用すると、通常の送信先ベースの経路決定よりも優先するルーティング定義を定義できます。これにより、パケットをその送信元 IP アドレス(または送信元 IP アドレスと送信先 IP アドレスの組み合わせ)に従ってルーティングできます。ソース・ベース・ルーティングは、セキュリティで保護されている複数の顧客ネットワークに、VLAN タグのない単一の物理インタフェースで接続する場合に便利です。各バーチャル・システムは、内部バーチャル・ルータに接続されます。このバーチャル・ルータは、ソース・ベースのルーティング・テーブルに定義されている送信元 IP アドレスに基づいて、トラフィックを適切なバーチャル・システムにルーティングします。
- ダイナミック・ルーティング
ダイナミック・ルーティングを使用すると、バーチャル・デバイス間で経路情報の交換や配信を行えます。VSX は、バーチャル・システムとバーチャル・ルータによるフル・レイヤ3のダイナミック・ルーティングを提供します。ユニキャストおよびマルチキャストのダイナミック・ルーティング・プロトコルとしては、OSPF、RIP-v2、BGP-v4、IGMP、PIM-SM、および PIM-DM をサポートしています。
ハイ・パフォーマンスなセキュリティ
高帯域ネットワークで何千ものユーザとアプリケーションをサポートするには、パフォーマンスの高いゲートウェイが必要になります。VSX は、セキュリティをワイヤ・スピードで提供するために、チェック・ポイントのハイ・パフォーマンス技術を使用して複数のキャリア・クラス・プラットフォームに導入できるようになっており、安全性と冗長性を兼ね備えたマルチ・ギガビット・スループットを実現できます。VSX は、パフォーマンス、キャパシティ、システムのスケーラビリティを最大限に引き出すため、以下の機能を備えています。
- バーチャル・システム・ロード・シェアリング(VSLS)機能を使用すると、バーチャル・システムの負荷を複数のクラスタ・メンバーで分担し、クラスタ内のトラフィック負荷を効率的に分散させることができます。
- VSX リソース制御機能を使用すると、各バーチャル・システムへの CPU 割り当てが最低限に抑えられるように処理負荷を管理できます。あるバーチャル・システムで不要になったリソースは、自動的に他のバーチャル・システムで使用できる状態になります。また、優先度の低いバーチャル・システムが使用できる CPU 時間を制限し、ミッション・クリティカルなバーチャル・システムにより多くのキャパシティを割り当てることもできます。
- VSX QoS 機能では、DiffServe プロトコルをサポートし、クラスが異なるサービスに別々の伝送特性を割り当てることで、VSX ネットワーク環境内のサービスのネットワーク品質を制御できます。これにより、負荷が大きくリソースが不足したときに、トラフィックを優先付けして処理することが可能になります。
- ClusterXL によりビジネスを常に継続するためのハイ・アベイラビリティおよびロード・シェアリングを提供します。この機能は、複数のゲートウェイ間でトラフィックを分散することで、スループットの大幅な向上も実現します。 クラスタを構成する機器に障害が発生した場合には、指定したバックアップのゲートウェイに通信を切断することなくリダイレクトします。
包括的なセキュリティ・サービス
FireWall-1® および SmartDefense™ による侵入防御技術をベースとした VSX は、複雑なインフラストラクチャ内の複数のネットワークや VLAN を包括的に保護し、インターネットや DMZ などの共有リソースに安全に接続します。VSX ゲートウェイは、チェック・ポイントが特許を取得し、インターネット・セキュリティの事実上の標準となっているステートフル・インスペクション技術をベースとしています。VSX は、初期設定の状態で、事前定義された150以上のアプリケーション、サービス、およびプロトコルを検査します。これにより、企業環境で使用される大半のアプリケーションのトラフィックが、ネットワークに入ってきたときには安全な状態であることが保証されます。保護されるアプリケーションの例を次に示します。
- URL フィルタリング: 常にアップデートされるコンテンツ情報によりユーザや不正な Web アクセスから保護します。
- Voice over IP: 通信コスト削減を図るために、VoIP アプリケーションの採用が多くの企業で急速に進んでいます。VSX は、VoIP プロトコルを包括的にサポートし、ビジネスにとって重要性の高い通信の安全性を確保します。 H.323、SIP、MGCP、Skinny(SCCP)などの VoIP プロトコルをサポートしています。
- インスタント・メッセンジャーおよび P2P アプリケーション: これらのアプリケーションは、しばしばワームやウイルス、スパイウェアの攻撃対象となっています。VSX では、トラフィックの内容を検査するかまたはそのトラフィックが企業ネットワークに入ることを禁止することによって、これらのアプリケーションのセキュリティを確保します。
VSX は、チェック・ポイントのセキュリティ・インフラストラクチャの事前防御的セキュリティを常に最新の状態に維持する SmartDefense サービスにも対応しています。また、VSX は IPSec、SSL VPN、モバイル・アクセスなど、ほとんどすべてのクライアント・アクセス・オプションをサポートしており、安全なリモート・アクセスを柔軟に実現できます。
実績のある成熟したセキュリティ管理アーキテクチャ
VSX は、チェック・ポイントの SmartCenter™ および Provider-1® 管理ソリューションで管理できます。どちらのソリューションも、複数の VSX セキュリティ・オペレーション・プラットフォーム、バーチャル・システム、および物理的な VPN-1 ゲートウェイを、一元的に構成、管理、監視できる強力なツールを備えています。チェック・ポイントのセキュリティ管理アーキテクチャである SMART に基づき、ネットワーク要件に応じて適切な管理ソリューションを柔軟に選択できます。また、チェック・ポイントのワン・クリック VPN 技術により、バーチャル・システムをVPNコミュニティにシームレスに追加することも可能です。新たに追加したバーチャル・システムは、適切なプロパティを自動的に継承し、直ちに企業ネットワーク内の他の VPN コミュニティ・メンバーと安全なセッションを確立できます。その他にもバーチャル・システムを作成するためのウィザードやテンプレートも用意されており、サーバ・イメージの標準化や VSX の導入や構成をさらなる合理化に役立てることができます。
VSX を Provider-1 と組み合わせると、事業グループや顧客をセグメントに分割したり、ネットワークを用途別やネットワーク・セグメント別に分類したりできます。ネットワーク・セグメントごとに異なるポリシーを管理・適用できるため、巨大なルール・ベースを複数の小さいルール・ベースに分割してネットワーク・セキュリティを管理しやすくすることができます。
サービス・プロバイダ向けの機能
VSX は、サービス・プロバイダができる限り低価格で仮想化されたセキュリティ・サービス提供するために、簡単な操作でサービスのプロビジョニングを行えます。 また、URL フィルタリング機能の 常にアップデートされるコンテンツ情報によりユーザや不正な Web アクセスから保護します。これらの追加機能により、クラス最高のセキュリティ・サービスを容易に実現することが可能になります。
仕様
VSX は、簡単に導入できるアプライアンスとして、またオープン・サーバ向けのソフトウェアとして導入することができます。
VSX-1 3070 |
VSX-1 9070 |
VSX-1 9090* |
|
|---|---|---|---|
| VSX バージョン | R65 | R65 | R65 |
仮想化システム
|
|||
| 初期構成 | 5 | 10 | 10 |
| 最大構成 | 10 | 150 | 150 |
パフォーマンス
|
|||
| ファイアウォール・スループット (Gbps) | 4.5 Gbps | 13.5 | 27 |
| VPN スループット (Gbps) | 1.1 | 3.5 | 7 |
| 同時接続数 | 100万 | 110万 | 180万 |
インターフェース
|
|||
| 内蔵インターフェース | 10 Copper GbE | 14 Copper GbE | 28 Copper GbE |
| オプションのインターフェース | N/A | LOM 2x4 1 GbE Fiber 2x4 1GbE Copper 2x2 10 GbE |
LOM 2x2x4 1 GbE Fiber 2x2x4 1GbE Copper 2x2x2 10 GbE |
ハードウェアの仕様
|
|||
| 筐体デザイン (高さ) | 1U | 2U | 4U |
| 寸法 (mm) | 443 x 381 x 44mm | 431 x 509.5 x 88mm | 431 x 509.5 x 176mm |
| 重量 | 6.5kg (14.3 lbs) | 16.5 kg (36.3 lbs) | 33 kg (72.6 lbs) |
電力
|
|||
| 二重化やホットスワップ | No | Yes | Yes |
| 電源 | 100 ~ 240V; 50 ~ 60Hz | ||
| 電源仕様(最大) | 250W | 400W | 800W |
| 消費電力(最大) | 77.5W | 200.7W | 400.5W |
| 使用環境 | Temperature: 5° to 40° C, Humidity: 10%-85% non-condensing, Altitude: 2,500m | ||
| 複合規格 | UL 60950; FCC Part 15, Subpart B, Class A; EN 55024; EN 55022; VCCI V-3AS/NZS 3548:1995; CNS 13438 Class A (test passed; country approval pending); KN22KN61000-4 Series, TTA; IC-950; ROHS | ||
*VSX-1 向けロード・シェアリング機能搭載
ソフトウェア
VPN-1 Power VSX ソフトウェアは、現在出荷されている、または出荷予定のハードウェア・プラットフォームで幅広く互換性を検証しております。
システム要件 |
|
|---|---|
| プラットフォーム | Check Point SecurePlatform™、Crossbeam X シリーズ、IBM BladeCenter (ファイアウォール・モジュールのみ)、Nokia IPSO |
| プロセッサ、ディスク容量、メモリ、 ネットワーク・インタフェース |
Intel Pentium II 1GHz 以上または同等のプロセッサ、 4 GB 256 MB、 最低3つ(VPN-1 Power VSX クラスタの場合は4つ) |
| SmartDashboard プラットフォーム、ディスク容量、メモリ | Windows 2000/2003/XP/ME/98、100 MB、 256 MB |
| Provider-1 プラットフォーム、ディスク容量、メモリ | SecurePlatform™、Linux、Solaris 800 MB (CMA ごとに50MB) 256 MB |
| リモート・アクセス・クライアント・プラットフォーム、ディスク容量、メモリ | Windows 2000/XP/2003、Macintosh、Linux, 20 MB、64 MB |
技術仕様 |
|
|---|---|
ファイアウォール
|
|
| プロトコル/アプリケーション・サポート | 200以上のアプリケーションとプロトコルを保護 |
| VoIP 保護 | Sip、H.323、MGCP、および SIP-NAT をサポート |
| インスタント・メッセージングの制御 | MSN、Yahoo、ICQ、および Skype(over HTTP および SSL を含む) |
| ピアツーピア・ブロック | Kazaa、GNUTella、BitTorrent、eMule、IRC(over HTTP を含む) |
| ネットワーク・アドレス変換(NAT) | 手動または自動ルールでスタティック NAT/HideNAT をサポート |
URL フィルタリング
|
|
| 安全なインターネット・アクセス | 仮想システムごとに稼動 |
| サイト・カテゴリ | 事前定義されたカテゴリに対する例外の定義 |
| モニタリング | オプションで使用可能 |
| ホワイト/ブラック・リスト | 特定のユーザー定義のサイトへのアクセスを制御 |
VPN
|
|
| 暗号化のサポート | AES 128-256ビット、3DES 56-168ビット |
| 認証方法 | パスワード、RADIUS、TACACS、X.509、SecurID |
| 認証局 | X.509 認証局を統合 |
| VPN コミュニティ | オブジェクトの作成時にサイト間接続を自動設定 |
| トポロジのサポート | スター型およびメッシュ型 |
| VPN ルータ | ダイナミックに割り当てられる IP アドレスによるゲートウェイのリンク選択、GRE (Generic Route Encapsulation) のサポート、ワイヤ・モード VPN |
| VPN クライアント | Check Point Endpoint Security、VPN-1 SecureClient、VPN-1 SecuRemote |
| SSL ベースのリモート・アクセス | 完全に統合された VPN ゲートウェイで SSL ベースのオンデマンド・アクセスを提供 |
| SSL ベースのエンドポイント・スキャン | ネットワークへの接続を許可する前にエンドポイントをスキャンして順守状況やマルウェアをチェック |
| サイト間 VPN | 複数のエントリ・ポイント(MEP)の明示的な構成をサポート |
| VPN トンネルの管理 | VPN リンクを常に有効な状態に構成可能 |
侵入防御
|
|
| ネットワーク層での保護 | DoS、ポート・スキャン、IP/ICMP/TCP 関連などの攻撃をブロック |
| アプリケーション層での保護 | DNS キャッシュ・ポイズニング、FTP バウンス、不正なコマンドなどの攻撃をブロック |
| 検出方法 | シグネチャ・ベースおよびプロトコル・アノーマリ(プロトコル異常) |
ネットワーク機能
|
|
| 仮想化 | バーチャル・ルータ、バーチャル・スイッチなど、すべてのネットワーク・コンポーネントを完全に仮想化 |
| VLAN インタフェース | 4096/クラスタ |
| ダイナミック・ルーティングのサポート | OSPF、BGP、RIP v1/2、複数のバーチャル・システム・モードでのマルチキャスト |
| DHCP のサポート | SecurePlatform™ DHCP サーバおよびリレー |
| レイヤ2ブリッジのサポート | 既存のネットワークに透過的に統合 |
パフォーマンスとアベイラビリティ
|
|
| フェイルオーバ復旧y | 瞬時のフェイルオーバを可能にするアクティブ/スタンバイ・ブリッジ・モード |
| ロード・バランシング | バーチャル・システム・ロード・シェアリング(VSLS)機能でバーチャル・システムの負荷を複数のクラスタ・メンバーで分担 |
| QoS(サービス品質) | 着信/発信トラフィックで Differentiated Services をサポート |
| ISP の冗長性 | トラフィックを2番目のインタフェースに自動的に再ルーティング |
| トラフィック・アクセラレーション | SecureXL によるセキュリティ上の判断の高速化 |
セキュリティ管理
|
|
| ポリシーの隔離 | 顧客のバーチャル(論理的)な分類、グローバルおよび顧客固有のセキュリティ・ポリシーと VPN ポリシー* |
| 集中管理 | ログ、モニタリング、イベントの相関分析、レポート、セキュリティ・アップデート、VPN および大規模ポリシー管理、Management High Availability 構成 |
| ロール・ベースの管理 | グローバルかつきめ細かい管理アクセス権限の設定、複数の管理者による同時アクセス* |
| ログ管理 | ログの自動メンテナンスと自動統合 |
*Provider-1 で提供
サポートと保証
チェック・ポイントでは、チェック・ポイント・アプライアンスのユーザが抱えるさまざまな問題を解決するため、ソフトウェアからハードウェアまでカバーした多彩なサポート・プログラムを用意しています。
サポートは、オンライン、電話、およびオンサイトで提供しています。これらのサポートは、チェック・ポイントまたはパートナー・ネットワークから受けることができます。 チェック・ポイント・サポートのチケットは、Check Point User Center からオンラインで発行できます。
アプライアンスのサポート・プログラム
チェック・ポイントの アプライアンス・サポート・プログラム では、テクニカル・サポート、ソフトウェアのアップデートおよびアップグレード、故障したハードウェアの交換サービスを提供しています。
アプライアンス・サポート・プログラムの詳細については サポート・プログラムについてのページ を、各プログラムの内容については プログラムの比較ページ をご覧ください。
ハードウェア保証
チェック・ポイントは、アプライアンスのハードウェア・コンポーネントの材料に重大な欠陥がないことを保証します。また、チェック・ポイントがアプライアンスをアクティベートした日より1年間は付属のドキュメントに記載されたとおりに機能することを保証します。 この保証期間内にハードウェアの故障が発生した場合は、RMA(Return Material Authorization)の手続きを取ることができます。 詳細については、 ハードウェア保証についてのページ をご覧ください。
チェック・ポイントのエンタープライズ・サポート・ライフサイクル・ポリシー
チェック・ポイントの エンタープライズ・サポート・ライフサイクル・ポリシー とは、製品のライフサイクルに関するサポート・ガイドラインをまとめたものです。 このポリシーの目的は、製品ライフサイクルの運用を標準化することを通じて、チェック・ポイント製品/サポートの購入やアップグレードを検討しているお客様に対し、より多くの判断材料を提供することにあります。
このポリシーは、すべてのチェック・ポイント製品(チェック・ポイントが販売するサードパーティ製品を除く)に適用されます。 有効なサポートおよび保守契約の下にチェック・ポイント製品をご使用のお客様は、このポリシーによる便益を享受することができます。
