Меню
Бесплатно
Регистрация
Главная  /  Лечение  /  Решения CheckPoint от компании Check Point Software Technologies. Check Point. Что это, с чем его едят или коротко о главном

Решения CheckPoint от компании Check Point Software Technologies. Check Point. Что это, с чем его едят или коротко о главном

Одним из ведущих и актуальнейших направлений системной интеграции в отрасли информационных технологий является обеспечение информационной безопасности (ИБ). Мы в нашей Компании уделяем значительное внимание этому направлению , т.к. считаем, что информация - это самое ценное и дорогое чем владеет бизнес. Соответственно, обеспечение защиты информации - одна из приоритетных задач любой компании.

Генерация информации, ее обработка и обмен ею осуществляются в различных информационных системах. Классически считается, что обеспечение безопасности информации в таких системах выполняется, когда можно сказать, что информация конфиденциальна, цела и доступна. Для этого обеспечение безопасности информации должно выполняться на уровне аппаратного обеспечения, программного обеспечения и на уровне обеспечения связи. Уделяя повышенное внимание обеспечению информационной и сетевой безопасности, наша Компания предлагает для Заказчиков консалтинг , проекты, интеграцию и обслуживание программно-аппаратных средств мирового лидера в области решений для защиты информации в Интернет - компании Check Point Software Technologies .

Решения Check Point успешно применяются на всех вышеописанных уровнях и полностью справляются с задачами обеспечения безопасности информации в любых информационных системах.
Компания CheckPoint разрабатывает и производит программные и аппаратные системы, обеспечивающие функционал межсетевых экранов (firewall) , а также средства организации защищенных каналов взаимодействия (VPN) и решения для защиты конечных компьютеров. Также Check Point представляет на рынке продукты менеджмента безопасности . На протяжении последних 16 лет Check Point постоянно находится на лидирующей позиции среди межсетевых экранов корпоративного уровня. Этот факт подтверждается аналитической компанией Gartner и иллюстрируется знаменитым «магическим квадрантом». Также немалым доказательством преимуществ Check Point перед конкурентами является факт использования продукции вендора всеми компаниями известного списка «Fortune 100» и 98% компаний списка «Fortune 500».

С помощью набора продуктов Check Point наша Компания может решить все задачи обеспечения безопасности информации и сетевой инфраструктуры компании Заказчика. Благодаря широкой линейке продуктов Check Point и большому диапазону предлагаемых средств защиты, мы можем спроектировать и внедрить эффективные и функциональные решения Заказчику любого уровня. Это могут быть филиальные или региональные представительства, это могут быть головные компании с распределенной сетью или просто крупные офисы и, наконец, мы можем обеспечивать максимальную безопасность и защиту высокопроизводительных и многогигабитных сред, таких как крупные кампусные сети, центры обработки данных , операторы телематических и облачных услуг. В самом сложном случае, благодаря топологии управления устройствами безопасности Check Point, осуществляемом с единых серверов управления CheckPoint , обеспечивающих централизованное управление политиками безопасности всех узлов с единой консоли управления, мы имеем возможность подготовить проект и провести инсталляцию решения на базе CheckPoint в так называемых мульти-доменных зонах, т.е. на общих сетях Заказчика, разделённых на отдельные сегменты по географическому принципу, по принадлежности к бизнес-подразделению или по функциональности.

Для организации системы защиты любой информационной системы необходимо использовать комплекс средств защиты информации (СЗИ), состоящий из межсетевого экрана (firewall) , системы предупреждения/предотвращения вторжений (IDS/IPS) , средств криптографической защиты передаваемых данных , систем защищенного доступа к данным , средств строгой аутентификации . В качестве основы такого комплекса СЗИ мы всегда стараемся выбирать продукты Check Point. Повышение эффективности проекта корпоративной системы информационной безопасности достигается за счет гибкой системы набора функционала в продуктах Check Point . Это возможно благодаря использованию архитектуры Check Point, называемой «программные блейды».

Программные блейды представляют собой независимые, модульные, централизованно управляемые приложения безопасности, каждое из которых решает свои функционально разделенные задачи. Данная архитектура Check Point позволяет инженерам нашей Компании быстро создавать и конфигурировать унифицированную инфраструктуру безопасности, которая соответствует специфическим требованиям бизнеса Заказчика. Для устранения новых угроз безопасности и при изменении потребностей бизнеса Заказчика, мы сможем активировать дополнительные программные блейды без необходимости добавления аппаратного обеспечения, благодаря чему затраты Заказчика снижаются. Данная архитектура позволяет реализовать и полностью раскрыть на объектах Заказчика функционал новой концепции - Next Generation Firewall (NGFW) . В рамках этой концепции межсетевые экраны становятся полноценным бизнес-инструментом, с помощью которого компания может решать гораздо более широкий спектр задач. В настоящее время в состав реализующей NGFW архитектуры у CheckPoint входит функционал, описанный ниже.

Межсетевой экран (firewall) Check Point

Межсетевой экран (firewall) Check Point - визитная карточка компании. Обеспечивает высочайший уровень защиты, с контролем доступа, защитой приложений, аутентификацией и трансляцией сетевых адресов. Отдельного слова заслуживает разработанная именно Check Point технология SPI, присутствующая в firewall. SPI позволяет контролировать сетевой трафик и содержит гибкий механизм проверки потока данных и принятия решений в отношении его защиты на основе предварительно сохраненной таблицы состояний. Имеющееся у Check Point решение антивирусной защиты , работающее на движке знаменитой компании этой отрасли Kaspersky lab, предотвращает попадание угроз от обычных вирусов, сетевых червей и троянов до комплексных угроз (blended threats), использующих уязвимости и имеющие вредоносный код, внутрь защищаемого периметра, что позволяет избежать вмешательства вирусов в работу пользователей и краха информационных систем предприятия. Наличие антивируса подобного класса на шлюзе компании также предотвращает распространение вируса по сети Заказчика. Кроме этого, Check Point предоставляет дополнительный функционал, позволяющий обнаружить, заблокировать, а в дальнейшем предотвратить и удалить программное обеспечение, включающее рабочие станции внутри защищаемого периметра в мировую бот-сеть. Также Check Point предоставляет функционал для комплексной защиты инфраструктуры почты предприятия. Многоуровневый подход обеспечивает безопасность инфраструктуры электронной почты и ее эффективную защиту от спама, вирусов и другого вредоносного ПО . Движок характеризуется высоким процентом обнаружения спама, использованием DNSBL-технологии и низким процентом ложных срабатываний. Функционал фильтрации посещаемых пользователями ресурсов и контроля за используемыми ими приложениями (включая сетевые и online-версии) позволяет поднять репутацию компании, бороться с вредоносным и нежелательным web-контентом, эффективнее использовать рабочее время, предотвращать антикорпоративные действия и нецелевое или нелегальное использование ресурсов компании, включая сетевые и т.д. Одним из наиболее набирающих популярность трендов NGFW-концепции является использование средств предотвращения потери данных (DLP) . Конкурентным преимуществом Check Point в этом пункте является реализация механизмов активного предотвращения потерь данных по сравнению с простым инертным обнаружением как у других производителей DLP. В состав предлагаемого решения входят инновационная система, представляющая собой многофакторный механизм классификации данных (связей между пользователями, типами данных и процессами) для принятия решений, а также система, позволяющая устранять инциденты информационной безопасности в режиме реального времени.

Для обратившегося к нам Заказчика менеджерами нашей Компании с помощью технических инженеров составляется необходимый набор модулей программного обеспечения Check Point из представленного выше. Данный набор составляется либо на основании технического задания по защите данных Заказчика, либо на основании перечня актуальных угроз (модели угроз) , которую специалисты нашей Компании могут предварительно составить индивидуально. Также возможен вариант предварительного аудита существующей системы информационной безопасности , если планируется переход с нее на CheckPoint . В случае, если Заказчик имеет в своих информационных системах различные публичные ресурсы или специфические системы (особенно системы управления и SCADA-системы), а также, если требуется повышенная устойчивость защищаемого сетевого периметра к сетевым вторжениям, мы рекомендуем усиливать систему информационной безопасности функционалом средств отражения атак (IPS) . Такой функционал также имеется в ряду продуктов Check Point, как в виде аппаратных устройств (полноценная IPS-система и IDS-сенсор) , так и в виде программного модуля. Квалификация наших сотрудников позволит грамотно разместить и гибко настроить данное решение в сетевой инфраструктуре Заказчика. Check Point по праву гордится своим IPS, т.к. по результатам исследования нескольких влиятельных сетевых лабораторий Check Point IPS занимает лидирующую позицию как IPS Out-of-the Box и прочное второе место среди IPS, прошедших специальную настройку. Кроме того, Check Point IPS показывает лучшую в отрасли производительность на многогибатных скоростях.

Многие корпоративные Заказчики используют публичную сеть Интернет для решения таких задач, как: связь между двумя или более офисами или головного офиса с филиалами ; доступ к информации в офисе для фрилансеров или пользователей из дома или командировки; доступ к внутренней информации партнеров и клиентов. В этом случае передаваемая за пределы защищаемого периметра информация особенно уязвима и подвержена угрозам кражи, копирования, видоизменения и т.д. Для защиты информации в этом случае применяются криптозащищенные туннели удаленного доступа или «точка-точка», что позволяет полностью обезопасить информацию от выше перечисленных угроз при передачи ее через публичную сеть. В линейке своих продуктов CheckPoint имеет широкий спектр функционала для обеспечения описываемой технологии, называемой VPN. Ключевыми по сравнению с другими производителями решениями в этой отрасли у CheckPoint являются наличие устройств в удаленные офисы, управляемые центрально и реализующие услугу «VPN по запросу»; установка VPN до офиса удаленным пользователем без установки дополнительно ПО (VPN-клиента); автоматическая проверка удаленных компьютеров, подключающихся к офису, на вирусы, шпионское ПО, проверку соответствия корпоративным правилам операционной системы и прикладного ПО; VPN-клиенты с встроенным персональным межсетевым экраном, центрально управляемые из единой консоли системным администратором; реализация защищенного подключения к корпоративным ресурсам офиса с любых мобильных устройств и планшетов; и многое другое.

Сделав безопасным периметр головного офиса и филиалов, обезопасив каналы передачи данных между ними, Check Point не забыл и про защиту конечных точек сети, т.е. обычных рабочих станций пользователей. Для решения этой задачи компания Check Point первой среди остальных выпустила единый клиент безопасности для конечных компьютеров пользователей. И слово «клиент» не является лишним, т.к. весь спектр решаемых этим ПО задач управляется и отслеживается через единую консоль, развернутую в центральном офисе, куда и стекается вся представляющая интерес информация с этого ПО. Данное решение устанавливается на пользовательские компьютеры и, являясь, также как и корпоративные шлюзы, модульным, состоит из следующих компонент: межсетевой экран (firewall), антивирусное и антишпионское ПО, средства контроля доступа к сети (NAC), контроль за поведением установленных программ, средства защиты данных, организация удаленного доступа (VPN). Кроме того, в описываемый клиент безопасности может быть включен функционал полной шифрации данных на диске с различными вариантами авторизованного доступа (это решение особенно актуально для ноутбуков и прочих мобильных решений, где всегда велик риск кражи устройства с корпоративной информацией). Вторым дополнительным решением для ПО клиента является модуль шифрования переносных устройств данных (флешки, компакт-диски и т.д.). Сочетание в себе всего выше обозначенного функционала исключает необходимость в установке и управлении разнородного программного обеспечения, что позволяет снизить совокупную стоимость владения и обеспечить непревзойдённый уровень защиты на конечных компьютерах с его эффективным управлением из единой точки.

Конечно же, никакой богатый функционал и поражающие показатели производительности не будут эффективно помогать в решении задач безопасности, если затруднён анализ происходящих на сети процессов, неудобна работа над решением инцидентов, время реакции на угрозы велико, компоненты сложны в понимании и управлении, логика фильтрации трафика неясна. Понимая это, Check Point предлагает не менее эффективную, чем сама система защиты, систему управления ею, мониторинга и создания гибких отчетов. Эта система менеджмента Check Point построена по тому же самому модульному принципу, как и основная система, что позволяет нашим специалистами предлагать Заказчику только необходимый ему функционал, что в свою очередь экономит его деньги и снижает совокупную стоимость владения. Все управление безопасностью и всеми устройствами по идеологии Check Point осуществляется с единой централизованной консоли управления. На этот же узел управления централизованно складываются все записи о событиях на всех точках присутствия Check Point, что дает возможность анализировать происходящую ситуацию и решать инциденты тоже с одной централизованной оболочки, не обращаясь к другим ресурсам и не тратя время на сопоставление данных различных источников. Ряд модулей Check Point позволяет в режиме реального времени вести полный обзор сетевой активности и событий безопасности, а также обеспечение централизованной корреляции и управления событиями безопасности. Есть также модули отчетности, превращающие массивы данных сетевой активности и событий безопасности в гибкие графические наглядные отчеты, которые будут полезны не только специалистам по безопасности и системным администраторам, но и руководству компании.

Нам известны случаи, когда на основании таких отчетов руководство видело новые перспективы и цели для развития или наоборот - скрытые до этого проблемы, и принимало стратегические решения.

Всё программное обеспечение Check Point может быть установлено на аппаратную архитектуру Open Server, т.е. на серверные платформы различных производителей . Таким образом, Заказчик имеет возможность выбрать серверную платформу в соответствии со своими корпоративными стандартами. Check Point непрерывно проводит тестирования различных аппаратных платформ на совместимость со своими продуктами и обновляет так называемый «лист совместимости». В случае выбора данной архитектуры для установки решения Check Point наши инженеры в рамках проекта проведут качественный подбор необходимого аппаратного обеспечения нужной Вам или оптимальной марки и его характеристик. Это крайне важный и ответственный процесс, т.к. только правильно спланированная и сэмулированная шаблонная нагрузка сетевым трафиком, характерная будущей эксплуатации в бизнес-среде Заказчика, позволит гарантировать, что проектируемое решение в последствии не окажется недостаточно производительным или, наоборот, не будет простаивать и подвергнет сомнению вложенные в оборудование деньги.

Все тоже самое касается и альтернативы архитектуре открытых серверов - специализированным аппаратным платформам Check Point . Check Point имеет несколько линеек программно-аппаратных решений с гарантированной производительностью и различным функционалом, которые подходят маленьким компаниям от 3-5 человек до гигантских датацентров и операторов мультисервисных услуг и провайдеров облачных технологий. Помимо этого, Check Point предлагает ряд standalone-решений, т.е. специализированных программно-аппаратных комплексов. В их числе есть устройства сетевого контроля приложений и запрашиваемых пользователями сетевых ресурсов; устройства, блокирующие вредоносные программные средства, как то: вирусы, трояны, черви, шпионское ПО; устройства обнаружения и защиты от DDoS-атак; системы обнаружения и предотвращения вторжений (IDS/IPS); устройства предотвращения утечек данных (DLP).

Все инсталляции Check Point могут быть расширены функционалом, увеличивающим производительность и пропускную способность, а также обеспечивающим более равномерную балансировку между ядрами многоядерных процессоров. Кроме того, функционал будет включать в себя функции отказоустойчивости - это и балансировка нагрузки и обеспечение кластеризации.
Одним из главенствующих факторов выбора продуктов Check Point российскими Заказчиками является то, что Check Point является одним из немногих вендоров на российском рынке, полностью удовлетворяющих российскому законодательству в сфере ввоза, сертификации, эксплуатации и обслуживания программно-аппаратных средств, содержащих в себе функции межсетевого экрана (фаервола) и криптографии, а также удовлетворяющих требованиям федерального закона №152 «О защите персональных данных» . По желанию Заказчика наша Компания может осуществить поставку оборудования со специальным сертификатом, что оборудование прошло сертификацию в соответствии с российскими стандартами безопасности. Во все модули Check Point, шифрующие передаваемые по сети данные, инженерами нашей Компании по согласованной с Check Point процедуре может быть выполнено встраивание российской сертифицированной криптобиблиотеки, что позволит привести зашифрованный трафик в соответствии с требованиями российских стандартов.

Наша Компания является официально зарегистрированным партнером Check Point в России . Все инженеры нашей Компании, работающие с продуктами Check Point, прошли соответствующую сертификацию и являются подтвержденными экспертами в области сетевой безопасности. Они с радостью проконсультируют Вас по всему перечню продукции производителя и помогут оптимально подобрать оборудование. Кроме того, мы будем рады выполнить для Вас весь проект по защите информации на базе продуктов Check Point с его последующей интеграцией в Вашу инфраструктуру.

Также наша Компания готова предложить Вашему вниманию услугу получения оборудования Check Point на тесты на Ваш объект. Эта услуга гармонично дополняет еще один имеющийся у нас сервис - демонстрация работы решений Check Point в нашей лаборатории. Вы имеете возможность протестировать или изучить заинтересовавший Вас продукт Check Point прямо в Вашем офисе, на реальной нагрузке, с Вашим реальным трафиком и повседневными задачами. Это поможет Вам лучше понять необходимую Вам конфигурацию, тонко сформулировать требования к оборудованию и программному обеспечению в части производительности, а также Вы сможете протестировать необходимый Вам богатый функционал решений Check Point и убедиться в их эффективности. Услуга может быть предоставлена Вам просто как демо оборудование, а может также сопровождаться сервисным инженером, который проведёт необходимую демонстрацию решения у Вас или же, подготовив заранее соответствующий мини-проект, проведёт временное внедрение демо оборудования вместо имеющегося. Эта услуга также полезна тем компаниям, которые знают продукты Check Point, но до сих пор не нашли в них требуемого функционала или не уверены в корректности его работы в своих IT-инфраструктурах. Наши инженеры постараются подобрать под Ваши требования необходимый набор из актуального программно-аппаратного обеспечения и окажут содействие в его интеграции для дальнейшего тестирования и изучения. Необходимо особо отметить, что многие из продуктов Check Point позволяют проводить их демонстрацию и тестирование на реальном трафике Заказчика без необходимости организации сервисных окон, т.е. без необходимости остановки рабочего и бизнес процессов для переключения между существующими действующими устройствами и демо оборудованием. В большинстве случаев это дает Заказчику реальную возможность увидеть богатый функционал Check Point и убедиться в его эффективности без каких-либо затрат. Кроме того, зачастую это приводит к раскрытию и обнаружению присутствующих на сети Заказчика различных проблем с безопасностью, ранее не определявшихся на текущем решении.

Кроме того, наша Компания сертифицирована Check Point для оказания всего комплекса технической поддержки как решений, реализованных нами, так и решений на базе Check Point, реализованных другими системными интеграторами .

Чекпоинт - это многозначное слово, которое пришло из английского языка (от английского checkpoint). Дословно этот термин переводится как "контрольная точка". На сегодняшний день указанное понятие нашло широкое применение в различных сферах современной жизни. Каждую из них стоит рассмотреть в отдельности, чтобы полнее раскрыть смысл и суть этого понятия.

Возможные трактовки

Существует несколько значений слова "чекпоинт". Но по сути так называется некий момент времени, когда оценивается и фиксируется достижение в том или ином деле, проекте, прогресс его реализации. Исполняется такая фиксация на уровне команды.

Основные значения термина таковы:

  1. Чекпоинт - это контрольная точка английского слова checkpoint). На игровом жаргоне среди геймеров принято так называть точки сохранения в любой игре. То есть это та самая точка, к которой персонаж может вернуться, продолжить игру с этого момента в случае неудачи. Необходимость в возвращении к чекпоинту возникает в случае провала игровой задачи, а также при гибели основного героя, персонажа. В этом значении термин является синонимом слова "сохранение". Актуален для любой игры, где разработчики предоставляют такую возможность.
  2. В маркетинговой, рекламной сфере предлагается иное значение, похожее по сути , но отличное по содержанию. В этом случае чекпоинт - это одна из разновидностей рекламной конструкции. Устанавливают её в районе выхода из магазина либо входа в него. Основное ее предназначение состоит в том, чтобы спрятать от посторонних глаз противокражные ворота. Помимо этого, чекпоинты остаются важнейшей рекламной площадкой. Ведь они позволяют донести до покупателей важнейшие сведения не только на входе в магазин, но и на выходе из него.

Чекпоинт в игровой сфере

При упоминании игровой сферы у большинства людей возникает ассоциация с компьютерными играми. Но это не совсем верно. Опытные спортсмены хорошо знают, что такое чекпоинт (checkpoint) на соревнованиях. Так называют определённый пункт на маршруте, будь то игровая компьютерная трасса или настоящая гонка (автомобильная, велосипедная или любая другая). В этих точках все участники отмечаются, что не даёт им возможности искусственно укоротить свой путь.

Значение checkpoint на спортивных соревнованиях состоит в том, что пока участник не пройдёт одну точку, ему не будет засчитана последующая.

Итак, в дословном варианте "чекпоинт" - это некая контрольная отметка, пункт:

  • В реальном соревновании, где каждому участнику необходимо отметиться на всех контрольных точках по очереди, чтобы пройти маршрут.
  • В компьютерной игре, где он позволяет «сохраниться». То есть, даже если персонаж погибнет или игрок сделает что-то не так, провалит миссию, он всегда сможет вернуться и продолжить прохождение с контрольной точки.

В любой игре, соревновании каждый, кто достиг очередного чекпоинта , отметился, уже молодец.

Чекпоинт в рекламной сфере

Рекламщики по-другому трактуют, что значит checkpoint. В этом случае за этим термином скрывается разновидность POS-материалов, находящихся в районе входной группы. На конструкцию возлагается сразу несколько функций - она не только скрывает от глаз посетителей установленные при входе в торговую точку охранные системы, но и привлекает покупателей, доносит до них некую информацию.

По сути, это чехол, скрывающий действующие противокражные рамки.

Роль чекпоинта в магазине

Итак, чекпоинт - один из типов рекламной конструкции. Он всегда находится неподалёку от касс на выходе из магазина. Он подойдёт как для крупных торговых точек, так и для мелких пунктов продаж.

Изначально это были исключительно элементы в рамках инновационной системы «антикража ». Позднее маркетологи заметили, что именно на них смотрит каждый покупатель, входя в магазин и покидая его. Поэтому со временем здесь начали размещать рекламную информацию и иные сведения для посетителей.

Предназначение чекпоинта в торговле таково:

  • донесение информации до покупателей;
  • привлечение клиентов в магазин;
  • сокрытие компонентов систем, выявляющих и предотвращающих кражу.

Конструктивные особенности чекпоинта в магазинах

Несмотря на столь широкую значимость чекпоинта , устройство его предельно просто. Внешне этот элемент представляет собой простую обёртку , выполненную в форме коробки. Многие именуют её чехлом. Вне зависимости от конструктивных особенностей, такая обёртка будет иметь все четыре боковых грани. Верхняя сторона у приспособления отсутствует, равно как и дно.

На сегодняшний день чекпоинты производятся из самых разных материалов. Но наиболее актуальны и популярны конструкции из гофрокартона , а также из пластика. Последний является удобным в использовании материалом. На него легко нанести необходимую информацию. При этом пластиковый чекпоинт при необходимости хорошо моется, что также важно для любой точки продаж.

Рекламное предназначение рамок чекпоинт

Несмотря на то, что первоначально чехлы или рамки чекпоинт применялись исключительно для того, чтобы скрыть от посторонних глаз размещённые в торговых точках противокражные системы, со временем им нашлось дополнительное применение.

Данные прямоугольные рамки - это первое, что видит любой покупатель, заходя в торговое помещение. Их же он лицезреет и на выходе из него.

На сегодняшний день чекпоинт представляет собой одно из наиболее эффективных рекламных средств для крупных и мелких торговых точек среди всевозможных маркетинговых материалов, применяемых во время их оформления. Он широко используется в торговых точках по всему миру, и не имеет значения, насколько велик магазин, где он применяется. Положительный эффект в рекламе ощущается везде.

Таким образом, единого значения термина checkpoint нет - в каждой сфере оно своё . «Контрольные точки» бывают разными. Вне зависимости от их особенностей, возможно применение термина "чекпоинт" для их обозначения, будь то зона в магазине для контроля за действиями покупателей или определённый этап игры, выполнения игровой миссии, прохождения спортивной трассы.

Давайте узнаем об этом месте поподробнее. Занимая более 500 кв м, антикафе «Чекпоинт» является самым большим не только в России, но и в мире. Как минимум, по этому показателю у них нет равных. Здесь вас встретят 16 современных залов, оформленных в уникальном стиле. Каждый из них имеет свое предназначение и сможет угодить гостям с абсолютно разными вкусами. «Чекпоинт» по праву можно назвать интернациональным антикафе и коворкингом.

Идея создания антикафе «Чекпоинт»

Основателям «Чекпоинта» хотелось реализовать творческие идеи, сделать что-то для души. В итоге, появилось антикафе, понравившиеся не только им, но и многим другим. У большинства антикафе домашний дизайн, интерьер выполнен в стиле квартиры и мало места. Создатели «Чекпоинта» хотели яркости и стильного оформления, где можно встретиться с друзьями поиграть в настольные игры и просто пообщаться, а то и вовсе обрести новых друзей. У них это получилось и даже больше.

Основателям очень нравится идея мирового гражданства, заложенная в основу антикафе «Чекпоинт». Приходя сюда, вы автоматически становитесь гражданином мира и всегда будете желанным гостем. Здесь все пропитано духом путешествий. Переходя из одного зала в другой, вы словно попадаете в другое государство.

Как появилось название антикафе «Чекпоинт»

Название «CheckPoint» появилось не сразу. Сначала основатели антикафе продумали концепцию заведения – уникальный дизайн каждого зала и привязка к определенному городу. Поэтому первое, что пришло в голову в качестве наименования – «Большие города». Это показалось не интересным и скучным. Потом придумали «Check-in», как в известной соц сети FourSquare, но при быстром выговаривании получалась курица (chiken).

После очередного мозгового штурма появилось интересное название «Чекпоинт», как в аэропорту. Это своего рода контрольная точка, где посетитель попадает в другой мир и отправляется в путешествие. В итоге, было создано 16 уникальных залов со своей атмосферой.

Ресепшн и кухня

Первое, что видят гости, это ресепшн и кухню. Раньше это был отдельный зал и назывался «Москвой». Почему такое наименование? Здесь почти все красное: пол, коммунистические плакаты и подсветка. На плакате особо отмечается, что здесь не курят и не пьют и что заведение образцовое.

Еще одна причина такого названия – это постоянное наличие еды. Всевозможные сладости, горячий шоколад, более 7 видов кофе и более 20 видов чая, который заваривают в специальных чугунных чайничках. Согласно правилам чайной церемонии, именно в такой посуде необходимо заваривать этот напиток. Традиция зародилась в древнем Китае.

Пришедшие с 8:00 до 12:00 смогут позавтракать кашей с медом или вареньем. Кроме обычных сладостей в вашем распоряжении разные полуфабрикаты, мороженое и газировка, но это за отдельную плату. Цены соответствуют магазинным. Также можете взять еду с собой или заказать доставку прямо в антикафе.

Имейте в виду, что алкоголь, кальян и подобные вещи здесь категорически запрещены, поэтому смело можете приходить сюда с детьми, праздновать дни рождения, работать и просто приятно проводить время. Исключение составляет, когда арендуют все антикафе «Чекпоинт».

Перед ресепшн находится маленькое помещение, где продают здоровое питание. Здесь представлены разные продукты питания, без содержания сахара и каких-либо вредных примесей.


Безопасность и забота о гостях

Администрация антикафе действительно заботится о своих гостях и делает все возможное, чтобы создать атмосферу комфорта и уюта. Если вам чего-то не хватает, то обратитесь к администратору и вам помогут. К примеру, одни гости посетовали на отсутствие экрана и проектора, и через пару дней оборудование было закуплено и установлено.

Здесь всерьез позаботились о безопасности посетителей. В антикафе «Чекпоинт» установлено около 35 видеокамер наблюдения, тревожная кнопка и охрана во дворе дома. Двор перед входом в антикафе также оборудован 25 видеокамерами.

Залы антикафе «Чекпоинт» и не только

Перед путешествием обратите внимание на вывеску над дверью. На ней указаны все комнаты антикафе «Чекпоинт», а также количество шагов до каждого из них. Количество шагов измеряли несколько раз, в итоге, получилась своего рода мини карта.

«Чекпоинт» является единственным лингво-кафе в России, где проводят постоянные мастер-классы, курсы, открытые уроки по английскому, французскому, испанскому, китайскому и другим языкам. Интерьер и расположение в центре как нельзя кстати способствует развитию иностранных клубов по интересам, а 16 полноценных залов смогут вместить почти любую группу желающих.

«Кембридж»

Немного странно, но в «Кембридже» гости играют в приставку (Х-боксы). Перед тем как дать такое название были проведены некоторые исследования. Оказывается, что первая игра в крестики нолики на компьютере была разработана в Кембридже аж в 1952 году. Вторая причина более прозаичная – просто здорово, что посетители антикафе играют в библиотеке Кембриджа. На стенах разместили электронные книги в виде QR-кодов и любой желающий может закачать их в телефон или планшет.


«Париж»

В антикафе «Чекпоинт» не обошлось без романтики. Париж ассоциируется со встречей влюбленных, местом, где только два человека, а это создает определенную атмосферу и, конечно же, приглушенный свет. Поэтому стены зала покрашены в черный цвет с неярким освещением. Со временем «Париж» примкнул к «Кембриджу» и стал частью игровой зоны.

Кстати, оформлением «Парижа» занимался друг основателей антикафе «Чекпоинт» – дизайнер из Санкт-Петербурга, которому было очень интересно творить вместе с другими и создавать это уютное место.


«Монте-Карло»

С площадью более 50 кв м это помещение является самым большим в антикафе «Чекпоинт». Здесь вас встретит около 50 настольных игр, немного книг и импровизированная сцена. Зал назвали в честь одного из самых известных игровых городов. Известность во многом получена благодаря фильмам про Джеймс Бонда, где он часто бывает в казино.

По центру комнаты находится «доска общения». Здесь гости оставляют абсолютно разное: пожелания администрации, отзывы об антикафе, номер телефона для знакомств. Это своего рода «чат» для посетителей антикафе «Чекпоинт».

Также здесь можно найти местную библиотеку: книги, которые приносят гости заведения. Тематика книг начинается с программирования и заканчивается бульварными романами. Вы можете взять любую из них с собой, но желательно принести ее обратно или другую.


Удивительное, а может и нет, дело, но «Лондоном» в антикафе назвали туалет. Изначально планировалось выполнить злачное место в виде древнего города Мохенджо-Даро. Основатели были уверены, что это название одного из городов Майя, но позже выяснилось – это в Пакистане и Майя здесь не причем.

После этого дизайнер предложил оформить местечко в виде красных будок в стиле Лондона. Ассоциация следующая: в столице туманного Альбиона всегда сыро и влажно… прям как… ну вы поняли. В общем, получился «Лондон» и, надо сказать, довольно стильно. Внесу ремарку – владельцы антикафе «Чекпоинт» ни в коем случае не хотели подшутить над зарубежными товарищами. Так получилось.


«Голливуд»

Голливуд ассоциируется с фильмами, синематографом и кинотеатром. Все правильно – здесь находится кинотеатр. Кроме этого, здесь проводят семинары, мастер-классы и презентации. Не обошлось без игровых приставок – Х-бокс.


«Лас-Вегас»

Это вторая игровая комната и назвали ее соответственно. На стенах американский флаг, вывеска Лас-Вегаса и знаменитый Большой каньон. Здесь установили магнитную доску, на которую все желающие прикрепляют магнитики, привезенные из разных уголков планеты. Магнитики часто бьются, поэтому, если захотите прикрепить свой, то лучше выбирайте резиновый.


«Пекин»

«Пекин» в «Чекпоинт» получился случайно. Изначально хотели назвать Гонконг, но дизайнер оформил все в коммунистических цветах, поэтому имя дали в честь столицы наших китайских соседей, где труд стоит на первом месте. А это уже не случайно – здесь как веселятся, так и работают: раньше комната полностью использовалась в качестве коворкинга.


«Амстердам»

Нет, здесь вы не найдете «интересные» пирожные или «красную» улицу. Зато в вашем распоряжении яркая, стильная комната с диванчиками, где можно подключить проектор и посмотреть фильм или сыграть в «Мафию» (игры проводят каждую пятницу).


Трансильвания – родина Дракулы. Единственная комната, кроме «МКС», где отсутствуют окна. Интерьер выполнен в черно-красных цветах, на стенах развешаны, соответствующие тематике, вещи. Зачастую сюда люди приходят поработать, но здесь довольно специфичная атмосфера. Место идеально подходит для игры в мафию.


«Барселона»

«Барселона» выполнена в ярких, сочных цветах и больше напоминает мозайку. Именно из порта Барселоны шоколад начал свое победоносное шествие по Европе и всему миру, когда Картес привез неизвестный, но очень вкусный напиток.


«Бродвей»

Возможно, название дали потому, что зал очень похож на самую длинную улицу Нью-Йорка – бродвей. Фактически, это своего рода коридор с столами, стульями и диваном. Здесь вы сможете сыграть в настольные игры и на гитаре (по субботам). Благодаря плотным шторам есть возможность закрыться от посторонних глаз.


«Рио-де-Жанейро»

Карнавал, бразильские танцы и доброжелательные люди – первое, что приходит в голову, когда слышишь Рио-де-Жанейро. Казалось бы, причем здесь антикафе? Но в «Чекпоинте» есть зал с таким названием. Оформлен также в красочных тонах.


«Венеция»

«Венецией» назвали то же, что и «Лондоном» – туалет. Название подбирали по принципу «какие города подвергнуты затоплению» и первое, что пришло на ум это «Венеция». Внесу ремарку – никакого издевательства над одноименным городом, просто так получилось. Получилось также стильно, как и с «Лондоном».

«Нью-Йорк»

Один из крупнейших залов антикафе «Чекпоинт», который вмещает до 50 человек. На стенах тематические фотографии и рисунки. В «Нью-Йорке» часто проводят корпоративные встречи, семинары, мастер-классы и другие мероприятия. В этом вам помогут флипчарты, проектор и просторное помещение.


«МКС»

Едва ли это можно назвать залом, скорее местом для двоих, ровно столько человек сможет здесь разместиться. «МКС» идеально подходит для просмотра фильмов вдвоем. Можно заказать еды, поставить ее на столик, обнять свою вторую половинку и насладиться шедеврами кинематографа. На стене разместили фото космической станции.


«Дания», «Швеция», «Норвегия»

Три небольших комнаты отданы под коворкинг. Все выполнено в минималистичном стиле: столы, стулья, освещение и флаги на стенах. Здесь вы сможете спокойно поработать, не отвлекаясь ни на что.

Приложение антикафе «Чекпоинт»

У «Чекпоинта» есть свое приложение для телефонов. Оно дает возможность получать подарки и скидки от антикафе, высказывать предложения о проводимых мероприятиях, оставлять отзывы. Чтобы не пропустить ничего интересного вы можете подписаться на рассылку и всегда быть в курсе всех событий, проходящих в антикафе.


Цены и комплектация в антикафе «Чекпоинт»

Стоимость одной минуты (за первый час пребывания) в антикафе составляет 2,99 р., все последующие – по 2 р. Дети до 3-х лет пребывают в антикафе бесплатно. Бронирование Х-бокс или караоке – 100 р. (на 3 часа). Бронирование столика – 50 р/чел. (оплачивается отдельно).

Общая площадь и вместимость

  • площадь помещения – 500 кв м;
  • количество залов – 16;
  • общая вместимость – до 140 человек;
  • посадочных мест – 80.

Абонементы

  • 8 000 р – месячный (действителен 1 месяц);
  • 3 000 р – недельный (действителен 1 неделю);
  • 500 р – дневной (действителен 1 день, по будням, с 9:00 до 19:00);
  • 600 р – ночной (действителен 1 ночь, с 23:00 до 9:00).

Для развлечений

  • 120 настольных игр;
  • библиотека;
  • 6 приставок (х-бокс);
  • 1 кинект;
  • 3 телевизора;
  • синтезатор;
  • акустическая гитара;
  • караоке (2 микрофона, акустическая система).

Для работы

  • 5 компьютеров;
  • 5 флипчартов;
  • wi-fi;
  • 3 проектора;
  • канцелярия.

Для желудка

  • 20 видов листового чая;
  • кофе зерновой, 2 кофе-машины (латте, горячий шоколад, черный кофе);
  • 7 видов печенья;
  • кулер;
  • холодильник;
  • полуфабрикаты, мороженное, газировка (за отдельную плату);
  • каша с 8:00 до 12:00.

К оплате принимаются

  • банковские карты;
  • электронные деньги;
  • наличные.

Мероприятия

В «Чекпоинте» почти каждый день проходят разные события и мероприятия. Мы отобрали парочку из них.

Испанский клуб

). Начнем мы наш блог с небольшого введения в технологии Check Point.

Мы долго размышляли над тем, стоит ли писать данную статью, т.к. в ней нет ничего нового, чего нельзя было бы найти в сети Интернет. Однако, несмотря на такое обилие информации при работе с клиентами и партнерами мы довольно часто слышим одни и те же вопросы. Поэтому было решено написать некое введение в мир технологий Check Point и раскрыть суть архитектуры их решений. И все это в рамках одного “небольшого” поста, так сказать быстрый экскурс. Причем мы постараемся не вдаваться в маркетинговые войны, т.к. мы не вендор, а просто системный интегратор (хоть мы и очень любим Check Point) и просто рассмотрим основные моменты без их сравнения с другими производителями (таких как Palo Alto, Cisco, Fortinet и т.д.). Статья получилась довольно объемной, зато отсекает большую часть вопросов на этапе ознакомления с Check Point. Если вам это интересно, то добро пожаловать под кат…

UTM/NGFW

Начиная разговор о Check Point первое с чего стоить начать, так это с объяснения, что такое UTM, NGFW и чем они отличаются. Сделаем мы это весьма лаконично, дабы пост не получился слишком большим (возможно в будущем мы рассмотрим этот вопрос немного подробнее)

UTM - Unified Threat Management

Если коротко, то суть UTM - консолидация нескольких средств защиты в одном решении. Т.е. все в одной коробке или некий all inclusive. Что понимается под “несколько средств защиты”? Самый распространенный вариант это: Межсетевой экран, IPS, Proxy (URL фильтрация), потоковый Antivirus, Anti-Spam, VPN и так далее. Все это объединяется в рамках одного UTM решения, что проще с точки зрения интеграции, настройки, администрирования и мониторинга, а это в свою очередь положительно сказывается на общей защищенности сети. Когда UTM решения только появились, то их рассматривали исключительно для небольших компаний, т.к. UTM не справлялись с большими объемами трафика. Это было по двум причинам:

  1. Способ обработки пакетов. Первые версии UTM решений обрабатывали пакеты последовательно, каждым “модулем”. Пример: сначала пакет обрабатывается межсетевым экраном, затем IPS, потом его проверяет Антивирус и так далее. Естественно такой механизм вносил серьезные задержки в трафик и сильно расходовал ресурсы системы (процессор, память).
  2. Слабое “железо”. Как было сказано выше, последовательная обработка пакетов сильно отъедала ресурсы и “железо” тех времен (1995-2005) просто не справлялось с большим трафиком.
Но прогресс не стоит на месте. С тех пор значительно увеличились аппаратные мощности, а обработка пакетов изменилась (надо признать, что далеко не у всех вендоров) и стала позволять практически одновременный анализ сразу в нескольких модулях (МЭ, IPS, AntiVirus и т.д.). Современные UTM решения могут “переваривать” десятки и даже сотни гигабит в режиме глубокого анализа, что дает возможность использовать их в сегменте крупного бизнеса или даже датацентов.

Ниже представлен знаменитый магический квадрант Гартнера для UTM решений за август 2016 года:

Не буду сильно комментировать данную картинку, просто скажу, что в верхнем правом углу находятся лидеры.

NGFW - Next Generation Firewall

Название говорит само за себя - межсетевой экран следующего поколения. Данный концепт появился значительно позже, чем UTM. Главная идея NGFW - глубокий анализ пакетов (DPI) c помощью встроенного IPS и разграничение доступа на уровне приложений (Application Control). В данном случае IPS как раз и нужен, чтобы в потоке пакетов выявлять то или иное приложение, что позволяет разрешить, либо запретить его. Пример: Мы можем разрешить работу Skype, но запретить передачу файлов. Можем запретить использовать Torrent или RDP. Также поддерживаются веб-приложения: Можно разрешить доступ к VK.com, но запретить игры, сообщения или просмотр видео. По сути, качество NGFW зависит от количества приложений, которые он может определять. Многие считают, что появление понятия NGFW было обычным маркетинговым ходом на фоне которого начала свой бурный рост компания Palo Alto.

Магический квадрант Гартнера для NGFW за май 2016:

UTM vs NGFW

Очень частый вопрос, что же лучше? Однозначного ответа тут нет и быть не может. Особенно если учитывать тот факт, что почти все современные UTM решения содержат функционал NGFW и большинство NGFW содержат функции присущие UTM (Antivirus, VPN, Anti-Bot и т.д.). Как всегда “дьявол кроется в мелочах”, поэтому в первую очередь нужно решить, что нужно конкретно Вам, определиться с бюджетом. На основе этих решений можно выбрать несколько вариантов. И все нужно однозначно тестировать, не веря маркетинговым материалам.

Мы в свою очередь в рамках нескольких статей попытаемся рассказать про Check Point, как его можно попробовать и что в принципе можно попробовать (практически весь функционал).

Три сущности Check Point

При работе с Check Point вы обязательно столкнетесь с тремя составляющими этого продукта:


Операционная система Check Point

Говоря об операционной системе Check Point можно вспомнить сразу три: IPSO, SPLAT и GAIA.

  1. IPSO - операционная система компании Ipsilon Networks, которая принадлежала компании Nokia. В 2009 года Check Point купила этот бизнес. Больше не развивается.
  2. SPLAT - собственная разработка Check Point, основана на ядре RedHat. Больше не развивается.
  3. Gaia - актуальная операционная система от Check Point, которая появилась в результате слияния IPSO и SPLAT, вобрав в себя все самое лучшее. Появилась в 2012 году и продолжает активно развиваться.
Говоря о Gaia следует сказать, что на текущий момент самая распространенная версия это R77.30. Относительно недавно появилась версия R80, которая существенно отличается от предыдущей (как в плане функциональности, так и управления). Теме их отличий мы посвятим отдельный пост. Еще один важный момент - на текущий момент сертификат ФСТЭК имеет только версия R77.10 и идет сертификация версии R77.30.

Варианты исполнения (Check Point Appliance, Virtual machine, OpenSerever)

Здесь нет ничего удивительного, как и многие вендоры Check Point имеет несколько вариантов продукта:


Варианты внедрения (Distributed или Standalone)

Чуть выше мы уже обсудили что такое шлюз (SG) и сервер управления (SMS). Теперь обсудим варианты их внедрения. Есть два основных способа:


Как я уже говорил чуть выше, у Check Point есть собственная SIEM система - Smart Event. Использовать ее вы сможете только в случае Distributed установки.

Режимы работы (Bridge, Routed)
Шлюз безопасности (SG) может работать в двух основных режимах:

  • Routed - самый распространенный вариант. В этом случае шлюз используется как L3 устройство и маршрутизирует трафик через себя, т.е. Check Point является шлюзом по умолчанию для защищаемой сети.
  • Bridge - прозрачный режим. В этом случае шлюз устанавливается как обычный “мост” и пропускает через себя трафик на втором уровне (OSI). Такой вариант обычно применяется, когда нет возможности (или желания) изменить уже существующую инфраструктуру. Вам практически не придется менять топологию сети и не надо задумываться о смене IP - адресации.
Хотелось бы отметить, что в Bridge режиме есть некоторые ограничения по функционалу, поэтому мы как интегратор советуем всем своим клиентам использовать именно Routed режим, конечно если это возможно.

Программные блейды (Check Point Software Blades)

Мы добрались чуть ли не до самой главной темы Check Point, которая вызывает больше всего вопросов у клиентов. Что такое эти “программные блейды”? Под блейдами подразумеваются определенные функции Check Point.

Данные функции могут включаться или выключаться в зависимости от нужд. При этом есть блейды которые активируются исключительно на шлюзе (Network Security) и только на сервере управления (Management). На картинках ниже приведены примеры для обоих случаев:

1) Для Network Security (функционал шлюза)

Опишем вкратце, т.к. каждый блейд заслуживает отдельной статьи.

  • Firewall - функционал межсетевого экрана;
  • IPSec VPN - построение частные виртуальных сетей;
  • Mobile Access - удаленный доступ с мобильных устройств;
  • IPS - система предотвращения вторжений;
  • Anti-Bot - защита от ботнет сетей;
  • AntiVirus - потоковый антивирус;
  • AntiSpam & Email Security - защита корпоративной почты;
  • Identity Awareness - интеграция со службой Active Directory;
  • Monitoring - мониторинг практически всех параметров шлюза (load, bandwidth, VPN статус и т.д.)
  • Application Control - межсетевой экран уровня приложений (функционал NGFW);
  • URL Filtering - безопасность Web (+функционал proxy);
  • Data Loss Prevention - защита от утечек информации (DLP);
  • Threat Emulation - технология песочниц (SandBox);
  • Threat Extraction - технология очистки файлов;
  • QoS - приоритезация трафика.
Буквально через несколько статей мы подробно рассмотрим блейды Threat Emulation и Threat Extraction, уверен что будет интересно.

2) Для Management (функционал сервера управления)

  • Network Policy Management - централизованное управление политиками;
  • Endpoint Policy Management - централизованное управление агентами Check Point (да, Check Point производит решения не только для сетевой защиты, но и для защиты рабочих станций (ПК) и смартфонов);
  • Logging & Status - централизованный сбор и обработка логов;
  • Management Portal - управление безопасностью из браузера;
  • Workflow - контроль над изменением политик, аудит изменений и т.д.;
  • User Directory - интеграция с LDAP;
  • Provisioning - автоматизация управления шлюзами;
  • Smart Reporter - система отчетности;
  • Smart Event - анализ и корреляция событий (SIEM);
  • Compliance - автоматическая проверка настроек и выдача рекомендаций.
Мы не будем сейчас подробно рассматривать вопросы лицензирования, дабы не раздувать статью и не запутать читателя. Скорее всего мы вынесем это в отдельный пост.

Архитектура блейдов позволяет использовать только действительно нужные функции, что сказывается на бюджете решения и общей производительности устройства. Логично, что чем больше блейдов вы активируете, тем меньше трафика можно “прогнать”. Именно поэтому к каждой модели Check Point прилагается следующая таблица производительности (для примера взяли характеристики модели 5400):

Как видите здесь приводятся две категории тестов: на синтетическом трафике и на реальном - смешанном. Вообще говоря, Check Point просто вынужден публиковать синтетические тесты, т.к. некоторые вендоры используют подобные тесты как эталонные, не исследуя производительность своих решений на реальном трафике (либо намеренно скрывают подобные данные ввиду их неудовлетворительности).

В каждом типе теста можно заметить несколько вариантов:

  1. тест только для Firewall;
  2. тест Firewall+IPS;
  3. тест Firewall+IPS+NGFW (Application control);
  4. тест Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (песочница)
Внимательно смотрите на эти параметры при выборе своего решения, либо обратитесь за консультацией .

Думаю на этом можно закончить вводную статью, посвященную технологиям Check Point. Далее мы рассмотрим, как можно протестировать Check Point и как бороться с современными угрозами информационной безопасности (вирусы, фишинг, шифровальщики, zero-day).

P.S. Важный момент. Несмотря на зарубежное (израильское) происхождение, решение имеет сертификацию в РФ в надзорных органах, что автоматом легализует их наличие в гос.учреждениях (комментарий by ).

). Начнем мы наш блог с небольшого введения в технологии Check Point.

Мы долго размышляли над тем, стоит ли писать данную статью, т.к. в ней нет ничего нового, чего нельзя было бы найти в сети Интернет. Однако, несмотря на такое обилие информации при работе с клиентами и партнерами мы довольно часто слышим одни и те же вопросы. Поэтому было решено написать некое введение в мир технологий Check Point и раскрыть суть архитектуры их решений. И все это в рамках одного “небольшого” поста, так сказать быстрый экскурс. Причем мы постараемся не вдаваться в маркетинговые войны, т.к. мы не вендор, а просто системный интегратор (хоть мы и очень любим Check Point) и просто рассмотрим основные моменты без их сравнения с другими производителями (таких как Palo Alto, Cisco, Fortinet и т.д.). Статья получилась довольно объемной, зато отсекает большую часть вопросов на этапе ознакомления с Check Point. Если вам это интересно, то добро пожаловать под кат…

UTM/NGFW
Начиная разговор о Check Point первое с чего стоить начать, так это с объяснения, что такое UTM, NGFW и чем они отличаются. Сделаем мы это весьма лаконично, дабы пост не получился слишком большим (возможно в будущем мы рассмотрим этот вопрос немного подробнее)

UTM - Unified Threat Management
Если коротко, то суть UTM - консолидация нескольких средств защиты в одном решении. Т.е. все в одной коробке или некий all inclusive. Что понимается под “несколько средств защиты”? Самый распространенный вариант это: Межсетевой экран, IPS, Proxy (URL фильтрация), потоковый Antivirus, Anti-Spam, VPN и так далее. Все это объединяется в рамках одного UTM решения, что проще с точки зрения интеграции, настройки, администрирования и мониторинга, а это в свою очередь положительно сказывается на общей защищенности сети. Когда UTM решения только появились, то их рассматривали исключительно для небольших компаний, т.к. UTM не справлялись с большими объемами трафика. Это было по двум причинам:

  • Способ обработки пакетов. Первые версии UTM решений обрабатывали пакеты последовательно, каждым “модулем”. Пример: сначала пакет обрабатывается межсетевым экраном, затем IPS, потом его проверяет Антивирус и так далее. Естественно такой механизм вносил серьезные задержки в трафик и сильно расходовал ресурсы системы (процессор, память).

  • Слабое “железо”. Как было сказано выше, последовательная обработка пакетов сильно отъедала ресурсы и “железо” тех времен (1995-2005) просто не справлялось с большим трафиком.

    • Но прогресс не стоит на месте. С тех пор значительно увеличились аппаратные мощности, а обработка пакетов изменилась (надо признать, что далеко не у всех вендоров) и стала позволять практически одновременный анализ сразу в нескольких модулях (МЭ, IPS, AntiVirus и т.д.). Современные UTM решения могут “переваривать” десятки и даже сотни гигабит в режиме глубокого анализа, что дает возможность использовать их в сегменте крупного бизнеса или даже датацентов.
    Ниже представлен знаменитый магический квадрант Гартнера для UTM решений за август 2016 года:

    Не буду сильно комментировать данную картинку, просто скажу, что в верхнем правом углу находятся лидеры.

    NGFW - Next Generation Firewall
    Название говорит само за себя - межсетевой экран следующего поколения. Данный концепт появился значительно позже, чем UTM. Главная идея NGFW - глубокий анализ пакетов (DPI) c помощью встроенного IPS и разграничение доступа на уровне приложений (Application Control). В данном случае IPS как раз и нужен, чтобы в потоке пакетов выявлять то или иное приложение, что позволяет разрешить, либо запретить его. Пример: Мы можем разрешить работу Skype, но запретить передачу файлов. Можем запретить использовать Torrent или RDP. Также поддерживаются веб-приложения: Можно разрешить доступ к VK.com, но запретить игры, сообщения или просмотр видео. По сути, качество NGFW зависит от количества приложений, которые он может определять. Многие считают, что появление понятия NGFW было обычным маркетинговым ходом на фоне которого начала свой бурный рост компания Palo Alto.
    Магический квадрант Гартнера для NGFW за май 2016:

    UTM vs NGFW
    Очень частый вопрос, что же лучше? Однозначного ответа тут нет и быть не может. Особенно если учитывать тот факт, что почти все современные UTM решения содержат функционал NGFW и большинство NGFW содержат функции присущие UTM (Antivirus, VPN, Anti-Bot и т.д.). Как всегда “дьявол кроется в мелочах”, поэтому в первую очередь нужно решить, что нужно конкретно Вам, определиться с бюджетом. На основе этих решений можно выбрать несколько вариантов. И все нужно однозначно тестировать, не веря маркетинговым материалам.
    Мы в свою очередь в рамках нескольких статей попытаемся рассказать про Check Point, как его можно попробовать и что в принципе можно попробовать (практически весь функционал).

    Три сущности Check Point
    При работе с Check Point вы обязательно столкнетесь с тремя составляющими этого продукта:

  • Security Gateway (SG) - собственно сам шлюз безопасности, который как правило ставится на периметр сети и выполняет функции межсетевого экрана, потокового антивируса, антибота, IPS и т.д.

  • Security Management Server (SMS) - сервер управления шлюзами. Практически все настройки на шлюзе (SG) выполняются с помощью данного сервера. SMS также может выступать в качестве Лог-сервера и обрабатывать их встроенной системой анализа и корреляции событий - Smart Event (подобие SIEM для Check Point), но об этом чуть позже. SMS используется для централизованного управления несколькими шлюзами (кол-во шлюзов зависит от модели SMS, либо от лицензии), однако вы обязаны его использовать, даже если у вас всего один шлюз. Тут следует отметить, что Check Point одни из первых стали применять подобную централизованную систему управления, которая уже много лет подряд признается “золотым стандартом” по отчетам компании Gartner. Есть даже шутка: “Если у бы Cisco была нормальная система управления, то Check Point бы никогда не появился”.

  • Smart Console - клиентская консоль для подключения к серверу управления (SMS). Как правило устанавливается на компьютер администратора. Через эту консоль осуществляются все изменения на сервере управления, а уже после этого можно применить настройки к шлюзам безопасности (Install Policy).

    • Операционная система Check Point
    Говоря об операционной системе Check Point можно вспомнить сразу три: IPSO, SPLAT и GAIA.

  • IPSO - операционная система компании Ipsilon Networks, которая принадлежала компании Nokia. В 2009 года Check Point купила этот бизнес. Больше не развивается.

  • SPLAT - собственная разработка Check Point, основана на ядре RedHat. Больше не развивается.

  • Gaia - актуальная операционная система от Check Point, которая появилась в результате слияния IPSO и SPLAT, вобрав в себя все самое лучшее. Появилась в 2012 году и продолжает активно развиваться.

    • Говоря о Gaia следует сказать, что на текущий момент самая распространенная версия это R77.30. Относительно недавно появилась версия R80, которая существенно отличается от предыдущей (как в плане функциональности, так и управления). Теме их отличий мы посвятим отдельный пост. Еще один важный момент - на текущий момент сертификат ФСТЭК имеет только версия R77.10 и идет сертификация версии R77.30.

    Варианты исполнения (Check Point Appliance, Virtual machine, OpenSerever)
    Здесь нет ничего удивительного, как и многие вендоры Check Point имеет несколько вариантов продукта:

  • Appliance - программно-аппаратное устройство, т.е. своя “железка”. Моделей очень много, которые отличаются по производительности, функционалу и исполнению (есть варианты для промышленных сетей).

  • Virtual Machine - виртуальная машина Check Point с ОС Gaia. Поддерживаются гипервизоры ESXi, Hyper-V, KVM. Лицензируются по кол-ву ядер процессора.

  • OpenServer - установка Gaia непосредственно на сервер в качестве основной операционной системы (так называемый “Bare metal”). Поддерживается только определенное “железо”. Есть рекомендации по этому железу, которые нужно соблюдать, иначе могут возникнуть проблемы с драйверами и тех. поддержка вам может отказать в обслуживании.

    • Варианты внедрения (Distributed или Standalone)
    Чуть выше мы уже обсудили что такое шлюз (SG) и сервер управления (SMS). Теперь обсудим варианты их внедрения. Есть два основных способа:

  • Standalone (SG+SMS) - вариант, когда и шлюз и сервер управления устанавливаются в рамках одного устройства (или виртуальной машины).

    Такой вариант подходит когда у вас всего один шлюз, который слабо нагружен пользовательским трафиком. Этот вариант наиболее экономичен, т.к. нет необходимости покупать сервер управления (SMS). Однако при серьезной нагрузке шлюза вы можете получить “тормозящую” систему управления. Поэтому перед выбором Standalone решения лучше всего проконсультироваться или даже протестировать данный вариант.

  • Distributed - сервер управления устанавливается отдельно от шлюза.

    Оптимальный вариант в плане удобства и производительности. Используется когда необходимо управлять сразу несколькими шлюзами, например центральным и филиальными. В этом случае требуется покупка сервера управления (SMS), который также может быть в виде appliance (железки) или виртуальной машины.

    • Как я уже говорил чуть выше, у Check Point есть собственная SIEM система - Smart Event. Использовать ее вы сможете только в случае Distributed установки.

    Режимы работы (Bridge, Routed)
    Шлюз безопасности (SG) может работать в двух основных режимах:


    • Routed - самый распространенный вариант. В этом случае шлюз используется как L3 устройство и маршрутизирует трафик через себя, т.е. Check Point является шлюзом по умолчанию для защищаемой сети.

    • Bridge - прозрачный режим. В этом случае шлюз устанавливается как обычный “мост” и пропускает через себя трафик на втором уровне (OSI). Такой вариант обычно применяется, когда нет возможности (или желания) изменить уже существующую инфраструктуру. Вам практически не придется менять топологию сети и не надо задумываться о смене IP - адресации.

    Хотелось бы отметить, что в Bridge режиме есть некоторые ограничения по функционалу, поэтому мы как интегратор советуем всем своим клиентам использовать именно Routed режим, конечно если это возможно.

    Программные блейды (Check Point Software Blades)
    Мы добрались чуть ли не до самой главной темы Check Point, которая вызывает больше всего вопросов у клиентов. Что такое эти “программные блейды”? Под блейдами подразумеваются определенные функции Check Point.


    Данные функции могут включаться или выключаться в зависимости от нужд. При этом есть блейды которые активируются исключительно на шлюзе (Network Security) и только на сервере управления (Management). На картинках ниже приведены примеры для обоих случаев:
    1) Для Network Security (функционал шлюза)


    Опишем вкратце, т.к. каждый блейд заслуживает отдельной статьи.


    • Firewall - функционал межсетевого экрана;

    • IPSec VPN - построение частные виртуальных сетей;

    • Mobile Access - удаленный доступ с мобильных устройств;

    • IPS - система предотвращения вторжений;

    • Anti-Bot - защита от ботнет сетей;

    • AntiVirus - потоковый антивирус;

    • AntiSpam & Email Security - защита корпоративной почты;

    • Identity Awareness - интеграция со службой Active Directory;

    • Monitoring - мониторинг практически всех параметров шлюза (load, bandwidth, VPN статус и т.д.)

    • Application Control - межсетевой экран уровня приложений (функционал NGFW);

    • URL Filtering - безопасность Web (+функционал proxy);

    • Data Loss Prevention - защита от утечек информации (DLP);

    • Threat Emulation - технология песочниц (SandBox);

    • Threat Extraction - технология очистки файлов;

    • QoS - приоритезация трафика.

    Буквально через несколько статей мы подробно рассмотрим блейды Threat Emulation и Threat Extraction, уверен что будет интересно.

    2) Для Management (функционал сервера управления)


    • Network Policy Management - централизованное управление политиками;

    • Endpoint Policy Management - централизованное управление агентами Check Point (да, Check Point производит решения не только для сетевой защиты, но и для защиты рабочих станций (ПК) и смартфонов);

    • Logging & Status - централизованный сбор и обработка логов;

    • Management Portal - управление безопасностью из браузера;

    • Workflow - контроль над изменением политик, аудит изменений и т.д.;

    • User Directory - интеграция с LDAP;

    • Provisioning - автоматизация управления шлюзами;

    • Smart Reporter - система отчетности;

    • Smart Event - анализ и корреляция событий (SIEM);

    • Compliance - автоматическая проверка настроек и выдача рекомендаций.

    Мы не будем сейчас подробно рассматривать вопросы лицензирования, дабы не раздувать статью и не запутать читателя. Скорее всего мы вынесем это в отдельный пост.

    Архитектура блейдов позволяет использовать только действительно нужные функции, что сказывается на бюджете решения и общей производительности устройства. Логично, что чем больше блейдов вы активируете, тем меньше трафика можно “прогнать”. Именно поэтому к каждой модели Check Point прилагается следующая таблица производительности (для примера взяли характеристики модели 5400):


    Как видите здесь приводятся две категории тестов: на синтетическом трафике и на реальном - смешанном. Вообще говоря, Check Point просто вынужден публиковать синтетические тесты, т.к. некоторые вендоры используют подобные тесты как эталонные, не исследуя производительность своих решений на реальном трафике (либо намеренно скрывают подобные данные ввиду их неудовлетворительности).
    В каждом типе теста можно заметить несколько вариантов:

  • тест только для Firewall;

  • тест Firewall+IPS;

  • тест Firewall+IPS+NGFW (Application control);

  • тест Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (песочница)

    • Внимательно смотрите на эти параметры при выборе своего решения, либо обратитесь за .

    Думаю на этом можно закончить вводную статью, посвященную технологиям Check Point. Далее мы рассмотрим, как можно протестировать Check Point и как бороться с современными угрозами информационной безопасности (вирусы, фишинг, шифровальщики, zero-day).

    А какие UTM/NGFW средства используете вы?
















































    Check Point

    Cisco Firepower

    Fortinet

    Palo Alto

    Sophos

    Dell SonicWALL

    Huawei

    WatchGuard

    Juniper

    UserGate

    Traffic inspector

    Рубикон

    Ideco

    OpenSource решение

    Другое

    Только зарегистрированные пользователи могут участвовать в опросе. , пожалуйста.