Firewall Software Blade

Check Point Firewall Software Bladeは、チェック・ポイントの名を世に知らしめたFireWall-1以来、多くのアワードを受賞してきた技術に基づいたソリューションで、業界で最強レベルのゲートウェイ・セキュリティとユーザ認識を提供します。チェック・ポイントのファイアウォールは、Fortune 100社のすべての企業、また17万を超える顧客企業に採用されている業界最先端のファイアウォール・ソリューションです。 1994年の登場以来、その革新性とリーダーシップで各方面から高い評価を受けています。

概要

チェック・ポイントは、適応性に優れるインテリジェントなネットワーク・トラフィック検査技術である、ステートフル・パケット・インスペクション技術を開発し、今日ではすべてのファイアウォールがその技術を使っています。また、長年ガートナー社の「Enterprise Network Firewalls Magic Quadrant」でリーダーとして評価されるなど、多くの調査会社から高い評価をいただいています。チェック・ポイントのFirewall Software Bladeは、革新的なFireWall-1で培った技術と性能を包括し、さらにユーザ認識機能を組み込むことで、きめ細かなイベント認識とポリシー強化を実現しました。

実績あるセキュリティ

  • Fortune 100社のすべての企業を含む、17万以上の顧客企業に採用
  • 特許技術のステートフル・パケット・インスペクションを包含
  • 実運用環境を想定したトラフィック(IMIX トラフィック)で最大40Gbpsのファイアウォール・スループットを実現

セキュリティとビジネス要件を両立させるユーザとマシンの認識

  • ユーザやグループごとにきめ細かなポリシー定義が可能
  • Active Directory とのシームレスな統合
  • ソーシャル・メディアやインターネット・アプリケーションを多く使う環境の保護に最適

Software Blade アーキテクチャとの統合

  • シングル・コンソールによるログやレポートなどを含む集中管理
  • システム上でFirewall Software Bladeを自動で有効化
  • アプライアンス2012年モデル、IP アプライアンス、IAS アプライアンスを含むチェック・ポイントのすべてのセキュリティ・ゲートウェイで利用可能

アクセス制御

Firewall Software Blade は、クライアントやサーバ、アプリケーションへのアクセスを確実に制御します。 ユーザやグループ、アプリケーション、マシン、そして接続タイプを詳細に把握できるため、セキュリティ・ゲートウェイ全体での強固な防御が実現可能です。


ユーザとマシンの認識

ユーザとマシンの認識に対応しており、セキュリティ・ポリシーをきめ細かく定義して、ユーザやグループ、コンテンツ、帯域ごとに特定のポリシーを適用できます。 また Active Directory とのシームレスかつエージェントレスな統合によってユーザを完全に特定すれば、ユーザまたはグループごとのアプリケーション・ベース・ポリシーをファイアウォールから直接、簡単に定義することができます。

ユーザのアイデンティティは、次の3つのいずれかの方法で簡単に取得できます。

  • Active Directory への問い合わせ
  • 専用ポータルの利用
  • クライアントへのシン・エージェントのインストール(エージェントのインストールは1回のみ)

認証

ネットワークのセキュリティ維持のためには、ネットワークへのアクセスを試みるすべてのユーザのアイデンティティを確認する必要があります。 認証機能では、組織における職責や役職のレベルに基づいて、個人やグループにアクセス権限を割り当てます。

Firewall Software Blade には強固な認証機能が用意されています。業界最先端のアイデンティティ認識機能に基づいて、すべてのユーザのアイデンティティを確認し、そのユーザに付与された権限を有効化できます。

Firewall Software Blade の認証機能には次の特徴があります。

  • アイデンティティを認識するための複数の手法(補完的な手法を含む)を採用
  • セキュリティ・ゲートウェイと管理ソリューションが連携してユーザとマシンを認識

ネットワーク・アドレス変換(NAT)

コンピュータのアドレスがルーティング可能かどうかに関係なく、実際のアドレスを隠蔽することが必要になる場合があります。例えば、組織外や組織内の他の部署にアドレスを見られないようにしたいという場合です。 ネットワークの内部アドレスにはネットワークのトポロジが含まれているため、アドレスを隠蔽することでセキュリティを大幅に強化できます。


ブリッジ・モード

ブリッジ・モードのセキュリティ・ゲートウェイは、トラフィックを検査して不正なトラフィックや危険なトラフィックを除去またはブロックするファイアウォールとして機能します。 ブリッジ・モードのセキュリティ・ゲートウェイは、すべてのレイヤ3トラフィックから隠ぺいされます。 許可されたトラフィックがゲートウェイに届くと、ブリッジと呼ばれる手続きによって、あるインタフェースから別のインタフェースにトラフィックが渡されます。 ブリッジによって複数のインタフェース間にレイヤ2関係が構築され、あるインタフェースから入ったトラフィックは必ず別のトラフィックから出る、という状態になります。 この方法により、元々の IP ルーティングを妨げることなく、ファイアウォールでトラフィックを検査して転送できます。


Software Blade アーキテクチャとの統合

Firewall Software Blade は Software Blade アーキテクチャ に統合され、セキュリティ・ゲートウェイ・コンテナに含まれています。

仕様

機能詳細
プロトコル/アプリケーション・サポート500以上のプロトコル・タイプ
VoIP 保護SIP、H.323、MGCP、および SIP-NAT をサポート
ネットワーク・アドレス変換( NAT )手動または自動ルールでスタティック NAT/HideNAT をサポート
DHCP ゲートウェイセキュリティ・ゲートウェイに動的な IP アドレスを割り当て可能
VLAN最大256 VLAN
リンク・アグリゲーション802.3ad パッシブおよび 802.3ad アクティブ
ブリッジ・モード/透過モードIPルーティングを妨害することなくトラフィックの検査可能
ポリシー・オブジェクトの拡張セット個別のノード、ネットワーク、グループ、動的オブジェクト
IP バージョンIPv4 および IPv6
フェイルセーフ保護デフォルト・フィルタによりブート時および初期ポリシー適用前の保護を提供
Secure Internal Communications (SIC)単一の管理ドメインに属すチェック・ポイント・コンポーネントが分散している場合に、すべてのコンポーネント間で安全に通信できる証明書ベースの通信チャネルを提供
認証
複数の認証方法ユーザ認証、クライアント認証、セッション認証
ローカル・ユーザデータベース・ユーザ・ストアをローカルに内蔵
RADIUS と RADIUS グループ複数のサーバと MS-CHAPv2、MS-PAP メソッド
LDAP と LDAP グループMicrosoft Active Directory、Novell Directory Server、Red Hat Directory Server、OPSEC 認定の LDAP サーバ
TACACS+サポート
RSA SecurIDサポート
X.509 証明書サポート(内部認証局またはサードパーティの認証局を使用)
カスタマイズ可能な認証メッセージサポート