Check Point Next Generation Firewall

Check Point Next Generation Firewallは、不正アクセスを防止するファイアウォールを基盤に、IPSとアプリケーション制御の機能が追加されたソリューションです。環境の規模に合わせた幅広いモデルが用意されており、最大で110Gbpsのスループットを提供します。

概要

1台のアプライアンスで高機能な次世代ファイアウォールを実現

  • ファイアウォール専用のアプライアンス
  • アプリケーション制御とIPSを搭載
  • 統合管理機能により、セキュリティ・イベントを素早く正確に把握

実績あるゲートウェイ・セキュリティ技術と業界最高水準のファイアウォール・パフォーマンス

  • Fortune 100の全社を含む17万社への導入実績
  • 特許技術のステートフル・パケット・インスペクションを搭載
  • 実運用環境を想定したトラフィック(IMIXトラフィック)で最大40 Gbpsのファイアウォール・スループットを実現

ユーザやマシンのアイデンティティを認識し、業務上の必要性とセキュリティの最適なバランスを実現

  • ユーザやグループごとにきめ細かなポリシーを定義
  • Active Directoryとシームレスに統合
  • ソーシャル・メディアやインターネット・アプリケーションを利用する環境の保護に最適

Software Bladeアーキテクチャとの統合

  • ロギングやレポーティングなどの管理作業を単一のコンソールに一元化
  • Firewall Software Bladeはセキュリティ・ゲートウェイ・システムで自動的に有効化

詳細

アクセス制御

Firewall Software Bladeにより、クライアントやサーバ、アプリケーションへのアクセスを厳密に制御できます。ユーザやグループ、アプリケーション、マシン、そして接続タイプを詳細に把握できるため、セキュリティ・ゲートウェイ全体での強固な防御が実現可能です。


ユーザとマシンの認識

ユーザとマシンの認識に対応しており、ユーザやグループごとにきめ細かなポリシーを定義して、業務上の必要性とセキュリティの最適なバランスを実現できます。
またActive Directoryとのシームレスかつエージェントレスな統合によってユーザを完全に特定できるため、ユーザまたはグループごとのアプリケーション・ベース・ポリシーをファイアウォールから直接、簡単に定義することが可能です。

ユーザのアイデンティティは、次の3つのいずれかの方法で簡単に取得できます。

  • Active Directoryへの問い合わせ
  • 専用ポータルの利用
  • クライアントへのシン・エージェントのインストール(エージェントのインストールは1回のみ)

認証

ネットワークのセキュリティ維持のためには、ネットワークへのアクセスを試みるすべてのユーザのアイデンティティを確認する必要があります。認証機能では、組織における職責や役職のレベルに基づいて、個人やグループにアクセス権限を割り当てます。 Firewall Software Bladeでは、業界最先端のアイデンティティ認識機能に基づく強固な認証機能により、すべてのユーザのアイデンティティを確認し、そのユーザに付与された権限を有効化できます。

Firewall Software Bladeの認証機能は次の特徴を備えています。

  • アイデンティティを認識するための複数の手法(補完的な手法を含む)を採用
  • セキュリティ・ゲートウェイと管理ソリューションが連携してユーザとマシンを認識

ネットワーク・アドレス変換(NAT)

コンピュータのアドレスがルーティング可能かどうかに関係なく、実際のアドレスを隠蔽することが必要になる場合があります。例えば、組織外や組織内の他の部署にアドレスを見られないようにしたいという場合です。ネットワークの内部アドレスにはネットワークのトポロジが含まれているため、アドレスを隠蔽することでセキュリティを大幅に強化できます。


ブリッジ・モード

ブリッジ・モードのセキュリティ・ゲートウェイは、トラフィックを検査して不正なトラフィックや危険なトラフィックを破棄またはブロックするファイアウォールとして機能し、すべてのレイヤ3トラフィックから隠蔽されます。許可されたトラフィックがゲートウェイに届くと、ブリッジと呼ばれる手続きによって、あるインタフェースから別のインタフェースにトラフィックが渡されます。ブリッジによって複数のインタフェース間にレイヤ2関係が構築され、あるインタフェースから入ったトラフィックは必ず別のトラフィックから出る、という状態になります。この方法により、元々のIPルーティングを妨げることなく、ファイアウォールでトラフィックを検査して転送できます。


IPS

IPS Software Bladeにより、包括的かつプロアクティブな侵入防御機能が提供されます。IPS Software Bladeは、拡張性に優れる統合型の次世代ファイアウォール・ソリューションの一部として提供されるため、容易に導入および管理することが可能です。IPS Software Bladeは、チェック・ポイントのファイアウォール技術を補完し、ゲートウェイを通過しようとするパケットを検査してネットワークのセキュリティを強化します。Geo-Protectionを含むフル装備のIPS機能を提供するほか、最新の脅威に対応できる新しい防御機能が随時追加されます。


アプリケーション制御

対応アプリケーションは業界最大規模を誇り、4,800以上のアプリケーションと24万以上のソーシャル・ネットワーク・ウィジェットへのアクセスを制御できます。ユーザまたはグループに基づいてきめ細かなセキュリティ・ポリシーを作成し、インスタント・メッセンジャーやソーシャル・ネットワーク、動画のストリーミング、VoIP、ゲームなど幅広いWebアプリケーションやウィジェットの利用を把握、禁止、制御できます。これにより、業務上の必要性とセキュリティの最適なバランスが実現します。


アイデンティティ認識

ユーザやグループ、マシンを詳細に把握できます。アイデンティティに基づく正確なポリシーの作成が可能なため、アプリケーションやアクセスの高度な制御が実現します。


ログおよびステータス管理

複数の期間やドメインにまたがる数十億件ものログ・データをリアルタイムに検索して必要な情報を瞬時に見つけ出す高度なログ分析ソリューションSmartLogにより、単なるデータを一瞬で意味のあるセキュリティ情報に変えることができます。


セキュリティ管理の統合

幅広いセキュリティ管理機能が統合されており、単一のコンソールから状況の概要と詳細を確認し、レポートを参照できるため、増加の一途を辿る脅威、デバイス、ユーザにも効率よく対処できます。包括的な機能を備えた集中セキュリティ管理システムSmartDashboardを使用して、チェック・ポイントのすべてのゲートウェイとSoftware Bladeを一元的に管理することが可能です。使いやすいグラフィカル・ユーザ・インタフェースが用意されているため、多彩なセキュリティ管理機能もスムーズに使いこなせます。


必要に応じて機能を追加

環境のセキュリティ・ニーズの変化に応じて新しいソフトウェア機能を追加できます。Data Loss Prevention Software BladeなどのSoftware Bladeをシームレスに追加することが可能です。

仕様

Next Generation Firewall

アプライアンス筐体デザイン1GbEポートの最大数10GbEポートの最大数ファイアウォール・スループット(Gbps)SecurityPower
1120 NGFWデスクトップ10-750 (Mbps)28
2200 NGFWデスクトップ6-3114
4200 NGFW1U8-3121
4400 NGFW1U12-5230
4600 NGFW1U12-9405
4800 NGFW1U16211673
12200 NGFW1U16415811
12400 NGFW2U2612251185
12600 NGFW2U2612302050
21400 NGFW2U371250/11012175/2900 1
21600 NGFW2U371275/11012788/3300 1
21700 NGFW2U371278/11013300/3551 1
1  Security Acceleration Module使用時