Распределенная архитектура системы безопасности FireWall-1/VPN-1 и ее централизованное управление как нельзя лучше подходят для организации контроля доступа и образования защищенных каналов VPN в нескольких точках корпоративной сети.
В точках контроля доступа в центральной сети предприятия, а также в удаленных сетях его филиалов могут быть установлены модули шлюзов FireWall-1/VPN-1, защищающие все узлы, находящиеся в подсетях предприятия. Шлюзы могут быть установлены в виде программных модулей на стандартные платформы (Windows NT, Solaris, HP-UX, IBM AIX, Linux и Windows 2000), либо в виде специализированного аппаратно-программного комплекса.
Для защиты удаленных компьютеров предназначены продукты VPN-1 SecureClient, которые наряду с возможностью установления защищенного канала с соответствующим шлюзом выполняют такой же полнофункциональный контроль доступа, как и экраны FireWall-1. Эта возможность особенно полезна при постоянных соединениях удаленных пользователей с Internet (например, с помощью xDSL или кабельных модемов), когда клиентский компьютер в течение длительного времени может подвергаться атакам злоумышленников. С помощью продукта VPN-1 SecureServer можно аналогичным образом защитить отдельный сервер приложений, работающий в сети предприятия, что может быть полезно для увеличения гибкости политики доступа, либо для дополнительной защиты ответственного сервера.
Количество точек, в которых контролируется прохождение трафика, можно также увеличить, установив на маршрутизаторы и коммутаторы сети Inspection Module, который выполняет базовые функции контроля доступа технологии Stateful Inspection. Сегодня список моделей, для которых выпускается Inspection Module, включает маршрутизаторы Nortel Networks, а также коммутаторы Xylan и Nortel Contivity, и в дальнейшем он будет пополняться.
Все модули FireWall-1/VPN-1 предприятия, установленные в центральной сети, в сетях филиалов и на отдельных компьютерах удаленных пользователей, управляются централизованно и координировано. Сервер политики Management Server хранит общий для предприятия набор правил доступа и защиты, который загружается для исполнения во все модули FireWall-1/VPN-1, в какой области корпоративной сети они бы не находились. Правила политики могут создаваться и редактироваться удаленно несколькими администраторами безопасности с разграничением между ними полномочий.
Все модули FireWall-1/VPN-1 предприятия могут при необходимости синхронизировать свою работу, что позволяет корректно поддерживать сессии при динамических изменениях маршрутов.
Таки образом, система безопасности, построенная на продуктах FireWall-1/VPN-1, обеспечивает координированную и синхронную работу всего набора межсетевых экранов, шлюзов VPN, а также индивидуальных экранов и VPN-клиентов, необходимых для надежной и гибкой защиты информационных ресурсов предприятия.