Check Point Firewall-1 Licensing
Transkrypt
Check Point Firewall-1 Licensing
Check PointLICENCJONOWANIE FIREWALL-1/VPN-1 WSTĘP Licencjonowanie pomostów bezpieczeństwa (w aktualnej nomenklaturze FireWall-1 Security Gateway/Module, VPN-1 Pro Security Gateway/Module, SVN Security Gateway/Module) Check Point VPN-1/FireWall-1 bazuje na zasadzie wielkości chronionej sieci. Dla celów licencyjnych przyjęto, że o wielkości sieci decyduje każde urządzenie posiadające adres IP znajdujące się po stronie interfejsów wewnętrznych pomostu FireWall-1/VPN-1. Ilość IP, kanałów VPN w module VPN-1 Pro, ilość połączeń po stronie interfejsu zewnętrznego nie ma tu żadnego znaczenia. Oznacza to, że chronionymi urządzeniami są: stacje robocze, rutery, huby zarządzalne, drukarki, itp. Jeżeli dany system ma więcej niż jeden adres IP to należy założyć, że licencja obejmuje wszystkie IP. FireWall-1/VPN-1 zlicza ilość różnych adresów IP na wszystkich wewnętrznych interfejsach sieciowych. Operacja ta realizowana jest od początku instalacji i żaden zaliczony adres IP nie będzie nigdy usunięty z listy. W przypadku stacji wielo-interfejsowych (multi-homed) ilość IP równa jest ilości sieciowych interfejsów komputera. Oczywiście wielodostępny system z jedną kartą sieciową traktowany jest jak jeden IP. Kiedy FireWall-1/VPN-1 napotka adres IP, który przepełnia ilość dopuszczalnych adresów na liście wysyłany jest komunikat do konsoli zapory ogniowej oraz list do administratora FireWall-1/VPN-1 z informacją, że przekroczone zostały warunki licencji i system powinien być natychmiast uaktualniony w celu obsługi określonej ilości IP. Oczywiście, system pracuje nadal, ale ilość komunikatów może być bardzo duża i osiągnąć np. kilka tysięcy w ciągu jednego dnia Licencjonowanie bazujące na ilości chronionych IP wydaje się być najprostszym podejściem i gwarantuje, że wszystkie wewnętrzne urządzenia i użytkownicy będą bezpieczni. UWAGA: niniejszy dokument nie dotyczy modułów VPN-1 Net Clico Sp. z o.o., al. 3-go Maja 7, 30-063 Kraków. Tel: (12) 6325166; (12) 2927522 ... 25 Telefaks: (12) 6323698, e-mail: [email protected]; http://www.clico.pl 1998-2002 polska wersja językowa PRZYKŁAD 1 Poniższy rysunek przedstawia prostą konfigurację sieci z zabezpieczeniem realizowanym przez FireWall-1/VPN-1. W tym przykładzie potrzebny będzie produkt z licencją na "n" IP. Node n Node 2 Node 1 FW-1 VPN-1 Sieć zewnętrzna PRZYKŁAD 2 W tym przykładzie mamy do czynienia z siecią obsługiwaną przez dwa systemy FireWall-1: jeden zabezpieczający przed dostępem z Internetu, a drugi realizujący zabezpieczenie intranetu. Node A Node N Node n Node 2 Node 1 FW-1 Node B Intranet Firewall Internet Firewall FW-1 Router Sieć zewnętrzna Licencjonowanie FireWall-1/VPN-1 bazuje na sumarycznej ilości chronionych IP w firmie. Liczba ta obejmuje wszystkie IP podłączone do wewnętrznej sieci bezpośrednio jak i pośrednio (np. zagęszczone podsieci, pomosty, rutery). W tym przykładzie potrzebny będzie produkt z licencją na “N+n+1” IP. Jedna dodatkowa licencja obejmuje IP maszyny "Intranet Firewall" (wewnętrznej zapory ogniowej). PRZYKŁAD 3 Clico Sp. z o.o., al. 3-go Maja 7, 30-063 Kraków. Tel: (12) 6325166; (12) 2927522 ... 25 Telefaks: (12) 6323698, e-mail: [email protected]; http://www.clico.pl 1998-2002 polska wersja językowa Poniższy rysunek przedstawia sieć, w której zastosowano mechanizm translacji adresów tuż za maszyną firewall. Node 2 Node n Proxy Node 1 Wewnętrzne adresy IP ukryte przez proxy FW-1/ VPN-1 Sieć zewnętrzna Wymaganie co do oparcia licencjonowania FireWall-1 i VPN-1 na sumarycznej ilości chronionych nodów nie zmienia się w przypadku zastosowania mechanizmu translacji adresów. Dlatego też w tej sytuacji potrzebować będziemy licencji dla "n+1" nodów. Jeden dodatkowy nod dotyczy urządzenia Proxy. PRZYKŁAD 4 W tym przykładzie wykorzystane są dwa pomosty FireWall-1/VPN-1 do ochrony wspólnej sieci wewnętrznej. Każdy z pomostów FireWall-1/VPN-1 wymaga licencji, która obsługuje "n" IP, ponieważ Node 2 Node n FW-1/ VPN-1 Node 1 FW-1/ VPN-1 Sieć zewnętrzna każdy FireWall-1/VPN-1 FireWall-1/VPN-1 chroni wszystkie wewnętrzne systemy. Clico Sp. z o.o., al. 3-go Maja 7, 30-063 Kraków. Tel: (12) 6325166; (12) 2927522 ... 25 Telefaks: (12) 6323698, e-mail: [email protected]; http://www.clico.pl 1998-2002 polska wersja językowa