Check Point 防火墙竞争分析课件.ppt

* * ?2010 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties | ?2010 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties Check Point 防火墙竞争分析 面临的主要问题（1）-价格 宝马和桑塔纳的故事 XX防火墙价格很便宜，Check Point价格好像挺贵的 安全性 操控性 可靠性 面临的主要问题（2）-产品同质化 防火墙都和大白菜普及了，选哪个产品都一样嘛 其实不一样 “传统”防火墙已经无法满足安全防御的需求 “应用安全”已经成为防火墙发展的必然方向 防火墙安全管理已经仅仅在WEB界面上配置规则 如何方便的监控企业安全状况，分析事故，解决问题？ CISCO竞争分析 300M ASA 5510 产品对位分析表 Power-1 5075 9G ASA 5580 - 40 10G ASA 5580 - 20 5G 450M ASA 5520 ASA 5540 650M UTM-1 3073/3076 4.5G UTM-1 1073/1076 2G UTM-1 572/576 1.1G 600M UTM-1 272/6 400M UTM-1 132/136 Power-1 9075 16G UTM-1 Edge 190M 150M ASA 5505 1.2G ASA 5550 IP1285 10.3G IP565 6.3G IP295 1.5G 总体分析篇 市场面 Check Point是专业的安全厂商，专注于防火墙产品和技术的发展 Cisco是网络厂商，防火墙产品线不是其发展的重点 解决方案 Check Point提供了从网关安全、终端安全和安全管理的整体安全解决方案 Cisco终端软件功能薄弱，也无法提供”网关“和”终端“的统一管理方案。Cisco终端缺乏防病毒、数据加密、USB设备管理、程序控制等功能 用户希望面对更少的产品/服务提供商，更简单（统一）的管理功能 产品线 Check Point提供了吞吐量从190M~30G的防火墙产品线； Cisco最高端型号防火墙吞吐量为10G，无法满足企业未来的性能扩展需求； 传统功能篇（1）-防火墙 防火墙技术 Check Point是状态检测技术的发明者，引擎技术先进、成熟 Cisco防火墙技术来源于路由器ACL技术，现在也采用状态检测技术 精细粒度访问控制 Check Point可以实现基于用户的透明访问控制，日志可以详细记录用户,主机信息 Cisco无法实现基于用户的透明访问控制，日志无法记录用户、主机信息 传统功能篇（2）-VPN VPN技术-网关到网关VPN Check Point采用一键式VPN技术，集中配置VPN配置，管理1台设备和100台设备工作量相差不大； Cisco的VPN配置必须要在每台设备上进行，管理工作量随着设备数量线性增长配置1台1分钟，10台10分钟； Cisco不适合于大型VPN系统的配置和管理 VPN技术-VPN客户端认证 Check Point内置数字证书系统，提供免费的数字证书用于VPN客户端认证； Cisco不支持该功能； 为什么使用数字证书？数字证书认证将比user/password更加安全，且免费，免维护 VPN技术-VPN客户端安全检查 Check Point的VPN客户端提供健康检查功能，对于存在恶意软件、未升级补丁的客户端，将禁止其登录VPN； Cisco的VPN客户端自身无法提供健康检查功能； 传统功能篇（3）-高可用性 防火墙双机负载均衡 Check Point可以实现真正的双机负载均衡功能，对外提供单一虚拟IP地址； Cisco负载均衡功能无法对外提供单一虚拟IP地址，在真实网络环境中，无法实现负载均衡；如果要实现和Check Point相同的功能，必须购买额外的负载均衡交换机 Cluster动态流量分配 Check Point可以在Cluster的防火墙之间进行动态流量分配； Cisco无法实现该功能； 应用安全篇（1）-安全架构 应用安全架构 Check Point采用基于软件刀片的应用安全架构，每个应用安全功能模块（FW,VPN,AV,IPS…)，其本质是软件模块，通过鼠标就可以操作； Cisco应用安全模块为硬件，需要手工插拔模块，实现应用功能的开启； 应用安全管理 Check Point所有应用安全功能模块，通过单一界面实现集中管理； Cisco无