Архитектура OPSEC (Open Platform for Secure Enterprise Connectivity) Check Point и линия продукции Firewall-1 предназначены для обеспечения всесторонней и многофункциональной защиты корпоративных сетей в среде Intranet и Internet.
Линия продукции Check Point состоит из следующих шести основных компонентов:
1. Консоль управления (Management Console) управляет одним или несколькими элементами защиты, распределенными по сети. Защита обеспечивается модулями Inspection Module и Firewall Module, каждый из который может закрывать различное число узлов сети (под понятием узел подразумевается любое устройство, обладающее IP адресом). Вторичный уровень защиты может быть обеспечен с помощью конфигурации списков доступа маршрутизаторов (пакетные фильтры), управлять которыми можно также с помощью Консоли Управления путем добавления модуля Single Router Extensions (см. Описание далее).
2. Инспекционный Модуль (Inspection Module) обеспечивает следующие функциональные возможности: контроль доступа к ресурсам, авторизацию сессий и клиентов, адресную трансляцию и протоколирование событий. Многочисленные дополнения возможны в зависимости от числа защищаемых узлов сети.
3. Firewall Module обладает всеми функциональными возможностями Инспекционного модуля: контроль доступа к ресурсам, авторизация сессий и клиентов, адресная трансляция и протоколирование событий. Кроме этого, в Firewall Module входят: авторизация пользователей, контроль содержимого пакетов и синхронизация с другими модулями FireWall. Многочисленные дополнения возможны в зависимости от числа защищаемых узлов сети.
4. Модуль шифрации (Encryption Module) обеспечивает создание шифрованных каналов между модулями FireWall или между клиентом и модулем FireWall. Существует два различных модуля с разными алгоритмами шифрации: DES (для северной Америки и контролируемого экспорта) и FWZ1 (для мирового экспорта). Модули с алгоритмом DES поддерживают три схемы шифрации: FWZ, SKIP и Manual IPSec в то время как модули FWZ1 поддерживают только алгоритм шифрации FWZ.
5. Connect Control Module предназначен для динамического контроля за загрузкой прикладных серверов и перераспределения трафика сети.
6. Модуль управления маршрутизатором (Router Security Management) предназначен для конфигурации списков доступа (пакетных фильтров) для маршрутизаторов Bay и Cisco. Управление списками доступа возможно как для отдельного маршрутизатора с помощью модуля Single Router Extension и Консоли Управления, так и для неограниченного числа маршрутизаторов, путем приобретения соответствующей лицензии
Следующая таблица кратко описывает основные возможности различных компонентов продукции CheckPoint:
| Product Component | Key Capabilities Summary |
| Management Console | Графический интерфейс для централизованного управления политикой защиты одного или нескольких модулей защиты |
| Inspection Module | Контроль доступа к ресурсам Авторизация сессии и клиента Адресная трансляция Протоколирование событий |
| Firewall Module | Все компоненты, относящиеся
к Inspection Module, плюс:
|
| Encryption Module | Кодирование информации |
| Connect Control Module | Контроль и манипулирование загрузкой прикладных серверов |
| Router Security Management | Управление списками доступа одного или нескольких маршрутизаторов |
1. Single Gateway Products - решения для защиты корпоративной сети на базе одного шлюза, в состав которого входит один Firewall модуль и связанная с ним Консоль Управления. Предлагаются разнообразные модификации в зависимости от числа узлов, защищаемых Firewall модулями. Консоль Управления, входящая в состав Single Gateway Product, позволяет осуществлять управление только модулем Firewall, установленным на том же компьютере (и не предназначена для управления распределенными Firewall или Inspection модулями). Различные модули и Single Router Extension могут быть приобретены отдельно и функционировать совместно с Single Gateway Product.
2. Enterprise Products - решения для защиты корпоративной сети на основе распределенной архитектуры, когда Консоль Управления может администрировать многочисленные элементы защиты: модули FireWall или Inspection и/или модули упарвления списками доступа маршрутизаторов. Firewall модуль, входящий в состав Enterprise Product предназначен для защиты сети с неограниченным количеством узлов.
3. Enterprise Management Console Products обеспечивают несколько программных возможностей для выбора местоположения Консоли Управления, включая: размещение на отдельно стоящей машине для управления различными модулями защиты; размещение на отдельно стоящей машине для управления списками доступа неограниченного числа маршрутизаторов и, наконец, single router extension для управления списками доступа одного конкретного маршрутизатора.
4. Inspection Modules (описаны в предыдущем разделе) функционируют совместно и требуют наличия или Enterprise Product или Enterprise Management Console. Дополнительные модули могут быть приобретены для функционирования совместно с Inspection Module.
5. Firewall Modules (описаны в предыдущем разделе) функционируют совместно и требуют наличия или Enterprise Product или Enterprise Management Console. Дополнительные модули могут быть приобретены для функционирования совместно с Firewall Module.
6. Дополнительные модули предназначены для: кодирования информации и/или контроля загрузки прикладных серверов. Дополнительные модули устанавливаются на шлюзах, обеспечивающих безопасность, требуют наличия и работают совместно со следующими продуктами: Single Gateway Product, Enterprise Product, FireWall Module или Inspection Module.
7. Годовая сервисная поддержка (Product Maintenance) - контракт на сервисное обслуживание и техническую поддержку для каждого продукта. Предусматривает получение новых и исправленных версий программного обеспечения, а также неограниченную телефонную и email поддержку в течение 1 года.
8. Upgrade функциональных возможностей и технической поддержки продукции (Product Functionality and Maintenance) - предусматривает для конечных пользователей добавление новых возможностей к существующей конфигурации. Пользователи имеют выбор по добавлению новых функциональных особенностей и сервисной поддержки к уже имеющимся. При любом сценарии, Check Point предусматривает существенную защиту инвестиций.
9. Одноразовый Upgrade версии предназначен для пользователей, не имеющих годового контракта на сервисное обслуживание. Определяет механизм обновления версии вплоть до поставляющейся в данный момент.
10. SecuRemote (клиентская часть программного обеспечения, работающая под управлением WindowsТ95 для создания защищенного канала передачи информации). Поставляется бесплатно вместе с Firewall-1. SecuRemote обеспечивает надежное соединение с Encryption Module для передачи конфиденциальной информации.
Реселлеры и партнеры компании CheckPoint могут получить список для заказа рекламных материалов с WWW-сервера компании CheckPoint.
CPFW-продукт-размер[-доп.]
CPFW Check Point firewall software продукт Аббревиатура имени продукта Размер Количество поддерживаемых узлов, маршрутизаторов или прикладных серверов Доп. Дополнительно. Используется для указания используемого алгоритма кодирования. (FWZ1 or DES)