チェック・ポイントは、適応性に優れるインテリジェントなネットワーク・トラフィック検査技術である、ステートフル・パケット・インスペクション技術を開発し、今日ではすべてのファイアウォールがその技術を使っています。また、長年ガートナー社の「Enterprise Network Firewalls Magic Quadrant」でリーダーとして評価されるなど、多くの調査会社から高い評価をいただいています。チェック・ポイントのFirewall Software Bladeは、革新的なFireWall-1で培った技術と性能を包括し、さらにユーザ認識機能を組み込むことで、きめ細かなイベント認識とポリシー強化を実現しました。
実績あるセキュリティ
セキュリティとビジネス要件を両立させるユーザとマシンの認識
Software Blade アーキテクチャとの統合
Firewall Software Blade は、クライアントやサーバ、アプリケーションへのアクセスを確実に制御します。 ユーザやグループ、アプリケーション、マシン、そして接続タイプを詳細に把握できるため、セキュリティ・ゲートウェイ全体での強固な防御が実現可能です。
ユーザとマシンの認識に対応しており、セキュリティ・ポリシーをきめ細かく定義して、ユーザやグループ、コンテンツ、帯域ごとに特定のポリシーを適用できます。 また Active Directory とのシームレスかつエージェントレスな統合によってユーザを完全に特定すれば、ユーザまたはグループごとのアプリケーション・ベース・ポリシーをファイアウォールから直接、簡単に定義することができます。
ユーザのアイデンティティは、次の3つのいずれかの方法で簡単に取得できます。
ネットワークのセキュリティ維持のためには、ネットワークへのアクセスを試みるすべてのユーザのアイデンティティを確認する必要があります。 認証機能では、組織における職責や役職のレベルに基づいて、個人やグループにアクセス権限を割り当てます。
Firewall Software Blade には強固な認証機能が用意されています。業界最先端のアイデンティティ認識機能に基づいて、すべてのユーザのアイデンティティを確認し、そのユーザに付与された権限を有効化できます。
Firewall Software Blade の認証機能には次の特徴があります。
コンピュータのアドレスがルーティング可能かどうかに関係なく、実際のアドレスを隠蔽することが必要になる場合があります。例えば、組織外や組織内の他の部署にアドレスを見られないようにしたいという場合です。 ネットワークの内部アドレスにはネットワークのトポロジが含まれているため、アドレスを隠蔽することでセキュリティを大幅に強化できます。
ブリッジ・モードのセキュリティ・ゲートウェイは、トラフィックを検査して不正なトラフィックや危険なトラフィックを除去またはブロックするファイアウォールとして機能します。 ブリッジ・モードのセキュリティ・ゲートウェイは、すべてのレイヤ3トラフィックから隠ぺいされます。 許可されたトラフィックがゲートウェイに届くと、ブリッジと呼ばれる手続きによって、あるインタフェースから別のインタフェースにトラフィックが渡されます。 ブリッジによって複数のインタフェース間にレイヤ2関係が構築され、あるインタフェースから入ったトラフィックは必ず別のトラフィックから出る、という状態になります。 この方法により、元々の IP ルーティングを妨げることなく、ファイアウォールでトラフィックを検査して転送できます。
Firewall Software Blade は Software Blade アーキテクチャ に統合され、セキュリティ・ゲートウェイ・コンテナに含まれています。
| 機能 | 詳細 |
|---|---|
| プロトコル/アプリケーション・サポート | 500以上のプロトコル・タイプ |
| VoIP 保護 | SIP、H.323、MGCP、および SIP-NAT をサポート |
| ネットワーク・アドレス変換( NAT ) | 手動または自動ルールでスタティック NAT/HideNAT をサポート |
| DHCP ゲートウェイ | セキュリティ・ゲートウェイに動的な IP アドレスを割り当て可能 |
| VLAN | 最大256 VLAN |
| リンク・アグリゲーション | 802.3ad パッシブおよび 802.3ad アクティブ |
| ブリッジ・モード/透過モード | IPルーティングを妨害することなくトラフィックの検査可能 |
| ポリシー・オブジェクトの拡張セット | 個別のノード、ネットワーク、グループ、動的オブジェクト |
| IP バージョン | IPv4 および IPv6 |
| フェイルセーフ保護 | デフォルト・フィルタによりブート時および初期ポリシー適用前の保護を提供 |
| Secure Internal Communications (SIC) | 単一の管理ドメインに属すチェック・ポイント・コンポーネントが分散している場合に、すべてのコンポーネント間で安全に通信できる証明書ベースの通信チャネルを提供 |
| 認証 | |
| 複数の認証方法 | ユーザ認証、クライアント認証、セッション認証 |
| ローカル・ユーザ | データベース・ユーザ・ストアをローカルに内蔵 |
| RADIUS と RADIUS グループ | 複数のサーバと MS-CHAPv2、MS-PAP メソッド |
| LDAP と LDAP グループ | Microsoft Active Directory、Novell Directory Server、Red Hat Directory Server、OPSEC 認定の LDAP サーバ |
| TACACS+ | サポート |
| RSA SecurID | サポート |
| X.509 証明書 | サポート(内部認証局またはサードパーティの認証局を使用) |
| カスタマイズ可能な認証メッセージ | サポート |
