check point reporting module
Transkrypt
check point reporting module
CHECK POINT HIGH AVAILABILITY MODULE Często zadawane pytania Zawartość • • • Opis produktu Stosowanie Pytania związane z rozwiązaniami OPSEC Opis produktu P. Co to jest Check Point High Availability Module? O. High Availability Module to opcja (osobna licencja) dla modułów VPN-1/FireWall-1. Rozwiązanie umożliwia bezbolesne wdrożenie instalacji wysokiej odporności dla instalacji o krytycznym znaczeniu poprzez tworzenie klastrów nadmiarowych pomostów VPN-1/FireWall-1. W przypadku awarii pomostu podstawowego cały ruch jest przekazywany w przeźroczysty sposób do pomostów zapasowych. Produkt realizuje synchronizację tablicy stanu pomiędzy składowymi klastra, co gwarantuje przekazywanie w przypadku awarii wszystkich aktywnych połączeń nawet typu IPSec/IKE VPN. P. Jaka jest podstawowa korzyść? O. Odporność na awarie dla instalacji o krytycznym znaczeniu. P. Jakie są podstawowe własności? O. • Integracja - parametry modułu High Availability są konfigurowane z GUI administrtora I przekazywane do serwera zarządzającego (Check Point Management Server). Ten poziom integracji gwarantuje prostotę użycia i wdrożenia nawet w dużych rozwiązaniach korporacyjnych. • VPN Fail-Over - Dzięki synchronizacji tablicy stanu z uwzględnieniem informacji o kluczach moduł bezproblemowo obsługuje zestawione kanały VPN bazujące na IKE. W przypadku braku tego modułu (np. w innych rozwiązaniach high availability) wszystkie połączenia VPN są odrzucane w przypadku awarii i użytkownicy muszą zestawiać kanał VPN na nowo ponownie dokonując re-autentykacji. IKE fail-over jest zatem kompletnie przeźroczystym rozwiązaniem z punktu widzenia odległego użytkownika, który nawet nie zauważy awarii pomostu podstawowego. • Programowalne sprawdzanie “stanu zdrowia” (Health Check) - “Health Check” w nieprzerwany sposób monitoruje procesy maszyny w celu wykrycia ewentualnej awarii. Dodatkowo, w celu określenia poprawnego funkcjonowania wybranych elementów decydujących o kondycji maszyny, moduł ma możliwość zaprogramowanej komunikacji z innymi aplikacjami współużytkującymi ten sam sprzęt. Przykładowo, aplikacja monitorująca zużycie zasobów CPU może poinformować “Health Check” o osiągnięciu określonego, krytycznego poziomu. P. Jak pracuje High Availability Module? O. Wybrana, pojedyncza maszyna jest zdefiniowana jako pomost podstawowy, a do siedmiu Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl 02.2000 1/3 innych maszyn może być określone jako maszyny zapasowe. Taka grupa nazywana jest klastrem pomostów VPN-1/FireWall-1. Każda maszyna zapasowa nieprzerwanie synchronizuje tablicę stanu z maszyną podstawowową i wszystkie maszyny monitorują stan pozostałych maszyn. Jeżeli maszyna podstawowa ulegnie awarii, pierwsza maszyna zapasowa przejmuje jej funkcje. Jeżeli z kolei ta maszyna przestanie pracować, sterowanie przekazywane jest do następnej maszyny zapasowej, ... itd. P. Czy High Availability Module realizuje równoważenie obciążeń? O. Nie. Równoważenie obciążeń (Load Sharing) będzię obsługiwane w następnej wersji modułu High Availability (prawdopodobnie VPN-1/FireWall-1 4.1 SP2). Ta własność pozwoli dzielić obciążenia wszystkich maszyn w klastrze w celu zwiększenia sumarycznej przepustowości systemu. Stosowanie P. Czy wszystkie produkty VPN-1/FireWall-1 są obsługiwane? O. To zależy w jakim rozumieniu. Jest to opcjonalny moduł dla wersji 4.1 FireWall-1, VPN-1, i FloodGate-1. P. Jakie systemy operacyjne są obsługiwane? O. Windows NT 4.0, Solaris 2.6, Solaris 7 (w trybie 32 bity) i Red Hat Linux Ver. 6.0/6.1. P. Czy moduł wymaga instalacji dodatkowego oprogramowania? O. Nie - jest konfigurowalny ze standardowego edytora polityki bezpieczeństwa (Check Point Policy Editor) i nie wymaga instalacji dodatkowego oprogramowania, a jedynie dodatkowej (płatnej) licencji. P. Czy moduł wymaga dodatkowego sprzętu do swojej pracy? O: Zbudowanie klastra wymaga minimalnie dwu pomostów FireWall-1/VPN-1 Gateways i dwu hubów. Zaleca się także udostępnienie dodatkowego interfejsu sieciowego na każdej maszynie. P. Jakie interfejsy sieciowe są obsługiwane? O. Ethernet i Fast Ethernet P. Z ilu maszyn może być zbudowany klaster? O. Do ośmiu maszyn w każdym klastrze. P. Czy serwer zarządzający (Management Server) może pracować na maszynie będącej częścią klastra? O. Nie, serwer zarządzający (management server, console) musi pracować na niezależnej maszynie. Oznacza to, że musimy mieć do dyspozycji konsolę typu Enterprise i nie możemy użyć konsoli dostępnych w ramach VPN-1/FireWall-1 Internet Gateway. Pytania związane z OPSEC P. Dlaczego Check Point opracował rozwiązanie wysokiej niezawodności (HA)? O. Konfiguracje HA są obecnie wymagane w wielu zastosowaniach o krytycznym znaczeniu. Wielu klientów oczekiwało od Check Point dostarczenia własnego rozwiązania HA w pełni zintegrowanego z pozostałymi pakietami. Oczywiście Check Point będzie nadal wspierał partnerów OPSEC oferujących własne rozwiązania HA, co umożliwi odbiorcy wybranie najlepszego dla niego rozwiązania. Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl 02.2000 2/3 P. Czym różni się Check Point High Availability Module od rozwiązań OPSEC? O. Partnerzy OPSEC oferują rozwiązania, które mogą być wdrożone w odniesieniu do wielu typów serwerów (web, email, firewall, etc.) i środowisk sieciowych. Rozwiązanie Check Point jest silnie zogniskowane na VPN-1/Firewall-1. Dzięki OPSEC mamy możliwość zaoferowania szerokiego zakresu alternatyw HA. Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl 02.2000 3/3