Check Point Firewall-1 Licensing

Check PointLICENCJONOWANIE
FIREWALL-1/VPN-1
WSTĘP
Licencjonowanie pomostów bezpieczeństwa (w aktualnej nomenklaturze FireWall-1 Security
Gateway/Module, VPN-1 Pro Security Gateway/Module, SVN Security Gateway/Module) Check Point
VPN-1/FireWall-1 bazuje na zasadzie wielkości chronionej sieci. Dla celów licencyjnych przyjęto, że o
wielkości sieci decyduje każde urządzenie posiadające adres IP znajdujące się po stronie interfejsów
wewnętrznych pomostu FireWall-1/VPN-1. Ilość IP, kanałów VPN w module VPN-1 Pro, ilość
połączeń po stronie interfejsu zewnętrznego nie ma tu żadnego znaczenia. Oznacza to, że chronionymi
urządzeniami są: stacje robocze, rutery, huby zarządzalne, drukarki, itp. Jeżeli dany system ma więcej
niż jeden adres IP to należy założyć, że licencja obejmuje wszystkie IP.
FireWall-1/VPN-1 zlicza ilość różnych adresów IP na wszystkich wewnętrznych interfejsach
sieciowych. Operacja ta realizowana jest od początku instalacji i żaden zaliczony adres IP nie będzie
nigdy usunięty z listy. W przypadku stacji wielo-interfejsowych (multi-homed) ilość IP równa jest ilości
sieciowych interfejsów komputera. Oczywiście wielodostępny system z jedną kartą sieciową traktowany
jest jak jeden IP.
Kiedy FireWall-1/VPN-1 napotka adres IP, który przepełnia ilość dopuszczalnych adresów na liście
wysyłany jest komunikat do konsoli zapory ogniowej oraz list do administratora FireWall-1/VPN-1 z
informacją, że przekroczone zostały warunki licencji i system powinien być natychmiast uaktualniony w
celu obsługi określonej ilości IP. Oczywiście, system pracuje nadal, ale ilość komunikatów może być
bardzo duża i osiągnąć np. kilka tysięcy w ciągu jednego dnia
Licencjonowanie bazujące na ilości chronionych IP wydaje się być najprostszym podejściem i
gwarantuje, że wszystkie wewnętrzne urządzenia i użytkownicy będą bezpieczni.
UWAGA: niniejszy dokument nie dotyczy modułów VPN-1 Net
Clico Sp. z o.o., al. 3-go Maja 7, 30-063 Kraków. Tel: (12) 6325166; (12) 2927522 ... 25
Telefaks: (12) 6323698, e-mail: [email protected]; http://www.clico.pl
 1998-2002 polska wersja językowa
PRZYKŁAD 1
Poniższy rysunek przedstawia prostą konfigurację sieci z zabezpieczeniem realizowanym przez
FireWall-1/VPN-1.
W tym przykładzie potrzebny będzie produkt z licencją na "n" IP.
Node n
Node 2
Node 1
FW-1
VPN-1
Sieć zewnętrzna
PRZYKŁAD 2
W tym przykładzie mamy do czynienia z siecią obsługiwaną przez dwa systemy FireWall-1: jeden
zabezpieczający przed dostępem z Internetu, a drugi realizujący zabezpieczenie intranetu.
Node A
Node N
Node n
Node 2
Node 1
FW-1
Node B
Intranet
Firewall
Internet Firewall
FW-1
Router
Sieć zewnętrzna
Licencjonowanie FireWall-1/VPN-1 bazuje na sumarycznej ilości chronionych IP w firmie. Liczba ta
obejmuje wszystkie IP podłączone do wewnętrznej sieci bezpośrednio jak i pośrednio (np. zagęszczone
podsieci, pomosty, rutery). W tym przykładzie potrzebny będzie produkt z licencją na “N+n+1” IP.
Jedna dodatkowa licencja obejmuje IP maszyny "Intranet Firewall" (wewnętrznej zapory ogniowej).
PRZYKŁAD 3
Clico Sp. z o.o., al. 3-go Maja 7, 30-063 Kraków. Tel: (12) 6325166; (12) 2927522 ... 25
Telefaks: (12) 6323698, e-mail: [email protected]; http://www.clico.pl
 1998-2002 polska wersja językowa
Poniższy rysunek przedstawia sieć, w której zastosowano mechanizm translacji adresów tuż za maszyną
firewall.
Node 2
Node n
Proxy
Node 1
Wewnętrzne
adresy IP ukryte
przez proxy
FW-1/
VPN-1
Sieć zewnętrzna
Wymaganie co do oparcia licencjonowania FireWall-1 i VPN-1 na sumarycznej ilości chronionych
nodów nie zmienia się w przypadku zastosowania mechanizmu translacji adresów. Dlatego też w tej
sytuacji potrzebować będziemy licencji dla "n+1" nodów. Jeden dodatkowy nod dotyczy urządzenia
Proxy.
PRZYKŁAD 4
W tym przykładzie wykorzystane są dwa pomosty FireWall-1/VPN-1 do ochrony wspólnej sieci
wewnętrznej. Każdy z pomostów FireWall-1/VPN-1 wymaga licencji, która obsługuje "n" IP, ponieważ
Node 2
Node n
FW-1/
VPN-1
Node 1
FW-1/
VPN-1
Sieć zewnętrzna
każdy FireWall-1/VPN-1 FireWall-1/VPN-1 chroni wszystkie wewnętrzne systemy.
Clico Sp. z o.o., al. 3-go Maja 7, 30-063 Kraków. Tel: (12) 6325166; (12) 2927522 ... 25
Telefaks: (12) 6323698, e-mail: [email protected]; http://www.clico.pl
 1998-2002 polska wersja językowa