Check Point的完整性闪耀在NAC策略管理

Check Point的完整性NGX带来的成果与Check Point的ZoneLabs收购购买endpoint-安全技术的整合和Check Point的防火墙签名产品线。

Check Point的完整性

成本：37000 $为1000用户许可证

得分：3.7

检查点诚信NGX带来的成果与Check Point的ZoneLabs收购购买了端点安全技术的整合与Check Point的签名火墙-生产线。

你有这个产品的一些选项。在这两种情况下，诚信客户进行所有的端点评估的。从那里，你就可以有诚信的客户端通过也许在桌面防火墙规则捞出来块的网络接入执行NAC实施。

这不是理想的，但是，因为你可能不希望所有的安全拦截功能上可能会大打折扣终点坐了。为此，Check Point的报价所谓的“联合执法”（所有其他供应商只是指这个过程平原，老执法）。Check Point的方案意味着完整性客户端软件可以与网络接入设备，如企业防火墙，远程访问相结合VPN集中器或一个802.1X-支持开关阻止物理网络访问，如果该端点不在合规。

为了进行测试，我们选择了联合执法和Windows 2003服务器上安装的完整性，并与Check Point的NG它集成防火墙LAN访问。我们还测试了诚信的整合思科的安全对于远程访问的关系VPN连接。虽然你可以从相对干净的管理界面告诉检查点是推动管理于一体的综合时尚所有这些必要的NAC件，但该公司在没有完全那里。全部瞻博网络NAC工作起来更彻底，以提供更多的NAC功能，以及用于设置和保持政策的粒度。

对于访客访问，检查点不具有圈养门户选项，这是整个竞争产品相当标准。公司的代表解释说，你可以实现放置Check Point的防火墙NG针对来宾端点的一些限制性规定或引导他们到网页从一个自定义消息安全管理员告诉他们如何准备自己的机器更好的访问。但是，这还远远没有客人的无缝访问。

诚信使用两种类型的代理。标准代理商提供由IT普遍定义的策略选项组可以从用户完全隐藏，由诚信管理员维护的所有控制。Flex的代理商提供的接口给用户，让他们除了公司策略创建自己的个人安全策略。

有些公司会希望保持对网络的访问控制策略的完全控制，而其他想提供一些功能给他们的用户。例如，一个公司可能决定分发代理的员工在家里在个人电脑上使用。它们可以运行于家庭网络和互联网接入的大部分时间自己的政策，但随后将需要遵守公司的政策，如果他们想通过远程访问系统公司的网络连接。

Flex的代理提供这种双重功能。我们测试，看看这两套政策如何整合，并确保个人政策没有覆盖的完整性管理员的策略集过程中使用了Flex剂。为什么在这里需要实施某种当管理员希望用户使用它可以翻转到启用代理的个人政策转变的二级代理，而不是目前尚不清楚。

诚信集成与Active Directory，轻量级目录访问协议，NT域和半径用于认证目的。用户身份验证与Windows集成到机器和网络访问提供单点登录的过程。

我们配置的集成与Active Directory通过LDAP进行用户和组的初始导入到诚信和预定夜间同步没有问题。这种夜间同步计划将其拉入从政策分配使用企业目录的完整性更新的用户和组信息。

如果新用户尝试验证之前，信息是同步的，诚信将应用配置的默认策略，由管理员定义。

无论是代理收集量好客户信息，包括一般系统信息，如MAC地址，操作系统，相关的用户和IP地址，合规性状况和近期引起负合规性状态的大多数问题的细节。

在诚信，最小的端点评估可用。开箱即用，五大杀毒产品的支持。Check Point的同时也提供了恶意代码防护，完整性客户端的一个组成部分，有助于确定六大协议，如HTTP和FTP活动性感染。诚信还可以检查自己的状态。

评估补丁状态，桌面防火墙状况和一般端点漏洞信息的能力，默认情况下不支持。定制检查可以创建寻找某些注册表项和文件属性。

对于执法 - 点通常所说的“补救”的检查 - 这些选项包括根据管理员的策略集或完全终止网络连接限制的网络访问。

健康检查的时间是持续的，但网络限制和完整连接终止是基于通过betgween代理和中央服务器的并发心跳数。如果一个端点是遵守出来时，它最初放置在限制（基本上，隔离）。这意味着访问可以被配置为限制端点特定的网络位置，如在哪里下载把端点到遵从所需的软件。如果设定的时间，以诚信经营为代理和服务器之间通过心跳次数表示后，端点没有达到符合性，它完全从网络访问被封锁。这是一个独特的功能，因为它提供了机会，以补救合规性问题在禁区状态的用户，但不离开用户永远存在。

其他补救选项包括从网络管理员提供了一个消息，一个URL指向有关如何达到让你的系统，以鼻烟或推一个文件上传和执行..

我们配置的检查，获得Sophos AV，注册表项，并确定击键记录程序。诚信正确识别端点的特点，实施正确执行政策和通知的必要补救措施，用户的预期。

诚信也有一个应用-identification服务称为程序顾问，以帮助识别端点上还有详细的即时通讯安全工具，加密IM流量，阻止可执行链接和有潜在危险的脚本运行的恶意应用程序。我们与雅虎Messenger测试的即时通讯安全工具，并如预期中的链接被封锁。

诚信是通过Web图形用户界面，使用直观，易于操作管理。该政策定义窗格具有通过标签，带有介绍详细的选项打破所有主要组件。有很多的灵活性和复杂性，但检查点使得很容易理解。完整的产品和防火墙规则的管理是分开的产品检查点发送测试。然而，在测试过程中，检查点发布了全新的，结合NAC和防火墙管理组件集成到所谓的SmartCenter一个应用程序。我们没有测试这种集成视图。

诚信包含了一些内置的报告和图表，但同时可以打印出来，就不能出口。您不能定义自定义报表或除非您购买使用Eventia记者安排标准报表将运行，Check Point的集中式报告工具。然而，完整性日志可以被集成到Check Point的免费的SmartView跟踪日志查看器。要获取连接端点的风险即时状态的能力是最小的。报告提供哪些终端连接和应用什么样的政策总结细节，但有多少失败的完整性检查没有总结。

总体而言，诚信是非常适合已经运行Check Point防火墙基础架构的组织，因为最小的基础设施的变化是必需的。

---

<上一个故事：布拉德福德网|接下来的故事：思科>

了解更多关于这个话题

采购指南：网络访问控制

Check Point防火墙成为后入场NAC策略引擎

07年3月6日

Check Point的增加了新的功能，NAC

07年3月5日