目前基于应用的攻击越来越多,黑客常常利用防火墙所打开的80、443等端口,通过利用Http直接侵入网络内部,简单的包过滤技术对此已无能为力,这就需要防火墙必须具有基于应用层的防护能力。CheckPoint i-Security SP-5500 是一款状态检测+应用智能的防火墙,Check Point的应用智能技术可以深入分析数据内容,判别通信是否遵循相关协议,且协议中的数据是否符合预期用法,这样可以做到P2P控制、蠕虫等应用层防护。 对于大型网络来说,需要7×24 无间断运行,CheckPoint i-Security SP-5500的硬盘和电源热插拔冗余保持了系统的高可用性。即使出现硬件或电源故障,其冗余配置也可以保障网络的无间断运行。此外, CheckPoint i-Security SP-5500独有的ISP链路备份功能可以在一个防火墙上连接多条服务供应商链路,当网络某条ISP链路因意外而中断时,CheckPoint i-Security SP-5500仍然可以使用其它链路继续运行,实现了全面的容灾能力。 CheckPoint i-Security SP-5500是基于标准用户接口,具有统一的管理架构,可以轻松与其它一切标准接口产品集成。它还具有丰富的可扩展选项:以太网卡、千兆光纤网口、 VPN 加速器、网络处理器等,给用户提供了多种网络连接方式和配件选项。CheckPoint i-Security SP-5500集成了Check Point SmartCenter集中管理模块,它的人性化管理界面可以方便地进行大规模、远程部署与管理。 产品测试 在本次性能测试中,在加载单条规则及100条规则的情况下,分别采用100对双向数据流,120秒时间进行测试。测试结果表明,在双向透明模式、双向路由模式基于64、128、256、512、1024、1280、1518这七种RFC2544标准包长测试过程中,CheckPoint i-Security SP-5500防火墙的吞吐能力表现整体良好,在双向透明和路由模式下,64字节测试时吞吐量测试成绩均为65.97%。128字节时双向透明模式的测试成绩都为88.40%,双向路由模式时测试成绩为86.85%,而且在这两种模式下,采用256以上字节的测试中吞吐量均能达到100%。在NAT单向路由模式下加载单条规则时,采用64字节包长进行测试,其吞吐量测试成绩为97.68%,当包长达到128字节以上时,其吞吐量均为100%。 在延迟测试中,同样选用上述七种RFC2544标准测试包长,当防火墙加载100条规则,在线速的20%、40%、60%的状态下对防火墙双向路由模式下的延迟进行测试。在测试过程中,CheckPoint i-Security SP-5500防火墙保持较低延迟,即使是在吞吐量为线速60%时,1518字节包长的平均延迟也只有28.04微秒(10-6秒)。 在安全性测试中,CheckPoint i-Security SP-5500也具有非常出色的表现,对于测试所选用的18种攻击扫描,绝大部分可以完全阻断。 小结 总体来讲,CheckPoint i-Security SP-5500是一款功能完备、性能优秀的千兆防火墙产品。状态检测与应用智能技术的应用,使用户的网络安全可以得到更深层次的保护。该防火墙适合于大中型企业网作为核心防火墙来使用。
CheckPoint i-Security SP-5500标配3个千兆以太网口,有应用需要时网口最多可以扩展到12个,有一个串型控制口。另外这款产品采用了冗余电源设计,增加了平台的运行稳定性和可维护性。
i-Security的硬件加速装置采用安全优化芯片和减负载引擎技术(TOE)的应用,分担了CPU大部分的底层检测负荷,使CPU处理能力更多应用在高层检测上,在遇到DoS攻击的情况下,也不会影响到防火墙的性能。