FireGate及CheckPoint对比.ppt

FireGate vs. CheckPoint EC-SYSTEM（内参） 2001.3 系统特点概述 操作与功能界面 FireGate具有统一的用户界面，只有一个入口。 CheckPoint的FireWall-1管理模块有策略编辑器、日 志查看器、系统状态查看器等好几部分，每一部分都有 各自的入口。其他模块、程序如Meta IP、RealSecure等 也都有各自独立的界面。 这一点上FireGate比较优越。但同时也反映了 CheckPoint具有良好的内部结构。 CheckPoint产品的核心在FireWall-1。 FireWall-1的主要功能体现在策略编辑器中。 下面主要按照FireGate用户手册的结构来介绍CheckPoint 的相应功能。FireGate部分参考用户使用手册。 全局配置 安全策略配置 地址转换配置 带宽策略配置 网络管理 代理服务器 无 日志管理 完 1、网络流量控制 通过制定带宽策略来进行流量控制。 2、网络地址转换 通过地址转换策略制定。 3、IP地址和MAC地址绑定 无 4、静态路由 无，CheckPoint可管理多种路由器。 5、双机热备份 由高可靠性模块管理，具有自动恢复/热交换功能及防火墙同步功能。 在一个正在运行的VPN-1/Firewall-1群集中增减网关可实时进行，且无需重新配置或重新启动群集。 不同的防火墙模块运行在不同的网关机器硬设备中可以互相共享资料及互相更新状况。另外同步防火墙模块还提供当有任一网关发生死机现象，可以互相取代，确保系统正常运行的功能。 高可靠性模块配置 * * 这里主要以FireGate的用户使用手册为依据，将FireGate的功能与CheckPoint 2000的相应功能进行对比。 主要从两个方面： 一是从系统特点方面进行概述的比较 二是从操作与功能界面方面进行较详细的比较 CheckPoint 2000是CheckPoint公司的安全产品套件，以下简称 CheckPoint，FireWall-1是CheckPoint产品的核心功能模块防火墙模块。 客户端管理模块可运行在WindowsNT 4.0 ；X/Motif 。 防火墙模块可运行在WinNT 4.0; Solaris, HP-UX, IBM AIX Red Hat Linux 6.x 软件部分可运行在Win9x、Win2000、Windows NT 4.0环境下 运行平台 采用纯软件实现。整个系统包括：FireWall-1/VPN-1、FloodGate-1、Reporting Module、Meta IP、SecuRemote、SecureClient、OPSEC SDK。 采用软硬件结合的一体化设计。整个系统包括：硬件系统FireGate Box，软件系统FireControl、FCInit和Log Service。防火墙功能由硬件实现，软件系统进行系统配置和远程控制管理。 体系结构 CheckPoint FireGate 功能 软件防火墙，依赖于硬件 可工作于桥模式和路由模式。在桥模式下，防火墙本身没有IP地址，在IP层透明。在路由模式下，本身构成具有3个网络界面的路由器，3个界面分别具有不同的IP地址。 工作模式 自动恢复/热交换功能。在一个正在运行的VPN-1/Firewall-1群集中增减网关可实时进行，且无需重新配置或重新启动群集。 不同的防火墙模块运行在不同的网关机器硬设备中可以互相共享资料及互相更新状况。另外同步防火墙模块还提供当有任一网关发生死机现象，可以互相取代，确保系统正常运行的功能。 备份防火墙服务器中存有主防火墙服务器的设置镜像，当主防火墙因为某些原因不能正常运作，备份服务器可以在12秒钟内取代主服务器运作。两台FG可以设置为主从备份或互为备份 可以同步两台FG的设备和权限信息。 双机热备 Sun/UltraSPARC-II/300 MHz，63M内存 PII300,64M内存。需要安装IE 4.01 SP1或以上版本。 基本配置 CheckPoint FireGate 功能 CheckPoint RealSecure能够按照制定的企业网络安全策略，进行配置，并实现对任何网络攻击和误用的防御。 另外，可以通过OPSEC接口接入第三方IDS。 采用了可扩展检测库的方法，目前可以抵御1000多种攻击方法，而且可以通过升级检测库的方法来不断的抵御新的攻击类型。用户还可以自定义攻击检测库来符合自己的要求。 入侵检测 FireWall-1的状态监测技术