check point reporting module

CHECK POINT HIGH AVAILABILITY
MODULE
Często zadawane pytania
Zawartość
•
•
•
Opis produktu
Stosowanie
Pytania związane z rozwiązaniami OPSEC
Opis produktu
P. Co to jest Check Point High Availability Module?
O. High Availability Module to opcja (osobna licencja) dla modułów VPN-1/FireWall-1.
Rozwiązanie umożliwia bezbolesne wdrożenie instalacji wysokiej odporności dla instalacji o
krytycznym znaczeniu poprzez tworzenie klastrów nadmiarowych pomostów VPN-1/FireWall-1. W
przypadku awarii pomostu podstawowego cały ruch jest przekazywany w przeźroczysty sposób
do pomostów zapasowych. Produkt realizuje synchronizację tablicy stanu pomiędzy składowymi
klastra, co gwarantuje przekazywanie w przypadku awarii wszystkich aktywnych połączeń nawet
typu IPSec/IKE VPN.
P. Jaka jest podstawowa korzyść?
O. Odporność na awarie dla instalacji o krytycznym znaczeniu.
P. Jakie są podstawowe własności?
O.
•
Integracja - parametry modułu High Availability są konfigurowane z GUI administrtora I
przekazywane do serwera zarządzającego (Check Point Management Server). Ten
poziom integracji gwarantuje prostotę użycia i wdrożenia nawet w dużych rozwiązaniach
korporacyjnych.
•
VPN Fail-Over - Dzięki synchronizacji tablicy stanu z uwzględnieniem informacji o
kluczach moduł bezproblemowo obsługuje zestawione kanały VPN bazujące na IKE. W
przypadku braku tego modułu (np. w innych rozwiązaniach high availability) wszystkie
połączenia VPN są odrzucane w przypadku awarii i użytkownicy muszą zestawiać kanał
VPN na nowo ponownie dokonując re-autentykacji. IKE fail-over jest zatem kompletnie
przeźroczystym rozwiązaniem z punktu widzenia odległego użytkownika, który nawet nie
zauważy awarii pomostu podstawowego.
•
Programowalne sprawdzanie “stanu zdrowia” (Health Check) - “Health Check” w
nieprzerwany sposób monitoruje procesy maszyny w celu wykrycia ewentualnej awarii.
Dodatkowo, w celu określenia poprawnego funkcjonowania wybranych elementów
decydujących o kondycji maszyny, moduł ma możliwość zaprogramowanej komunikacji z
innymi aplikacjami współużytkującymi ten sam sprzęt. Przykładowo, aplikacja
monitorująca zużycie zasobów CPU może poinformować “Health Check” o osiągnięciu
określonego, krytycznego poziomu.
P. Jak pracuje High Availability Module?
O. Wybrana, pojedyncza maszyna jest zdefiniowana jako pomost podstawowy, a do siedmiu
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
02.2000 1/3
innych maszyn może być określone jako maszyny zapasowe. Taka grupa nazywana jest klastrem
pomostów VPN-1/FireWall-1. Każda maszyna zapasowa nieprzerwanie synchronizuje tablicę
stanu z maszyną podstawowową i wszystkie maszyny monitorują stan pozostałych maszyn.
Jeżeli maszyna podstawowa ulegnie awarii, pierwsza maszyna zapasowa przejmuje jej funkcje.
Jeżeli z kolei ta maszyna przestanie pracować, sterowanie przekazywane jest do następnej
maszyny zapasowej, ... itd.
P. Czy High Availability Module realizuje równoważenie obciążeń?
O. Nie. Równoważenie obciążeń (Load Sharing) będzię obsługiwane w następnej wersji modułu
High Availability (prawdopodobnie VPN-1/FireWall-1 4.1 SP2). Ta własność pozwoli dzielić
obciążenia wszystkich maszyn w klastrze w celu zwiększenia sumarycznej przepustowości
systemu.
Stosowanie
P. Czy wszystkie produkty VPN-1/FireWall-1 są obsługiwane?
O. To zależy w jakim rozumieniu. Jest to opcjonalny moduł dla wersji 4.1 FireWall-1, VPN-1, i
FloodGate-1.
P. Jakie systemy operacyjne są obsługiwane?
O. Windows NT 4.0, Solaris 2.6, Solaris 7 (w trybie 32 bity) i Red Hat Linux Ver. 6.0/6.1.
P. Czy moduł wymaga instalacji dodatkowego oprogramowania?
O. Nie - jest konfigurowalny ze standardowego edytora polityki bezpieczeństwa (Check Point
Policy Editor) i nie wymaga instalacji dodatkowego oprogramowania, a jedynie dodatkowej
(płatnej) licencji.
P. Czy moduł wymaga dodatkowego sprzętu do swojej pracy?
O: Zbudowanie klastra wymaga minimalnie dwu pomostów FireWall-1/VPN-1 Gateways i dwu
hubów. Zaleca się także udostępnienie dodatkowego interfejsu sieciowego na każdej maszynie.
P. Jakie interfejsy sieciowe są obsługiwane?
O. Ethernet i Fast Ethernet
P. Z ilu maszyn może być zbudowany klaster?
O. Do ośmiu maszyn w każdym klastrze.
P. Czy serwer zarządzający (Management Server) może pracować na maszynie będącej
częścią klastra?
O. Nie, serwer zarządzający (management server, console) musi pracować na niezależnej
maszynie. Oznacza to, że musimy mieć do dyspozycji konsolę typu Enterprise i nie możemy użyć
konsoli dostępnych w ramach VPN-1/FireWall-1 Internet Gateway.
Pytania związane z OPSEC
P. Dlaczego Check Point opracował rozwiązanie wysokiej niezawodności (HA)?
O. Konfiguracje HA są obecnie wymagane w wielu zastosowaniach o krytycznym znaczeniu.
Wielu klientów oczekiwało od Check Point dostarczenia własnego rozwiązania HA w pełni
zintegrowanego z pozostałymi pakietami. Oczywiście Check Point będzie nadal wspierał
partnerów OPSEC oferujących własne rozwiązania HA, co umożliwi odbiorcy wybranie
najlepszego dla niego rozwiązania.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
02.2000 2/3
P. Czym różni się Check Point High Availability Module od rozwiązań OPSEC?
O. Partnerzy OPSEC oferują rozwiązania, które mogą być wdrożone w odniesieniu do wielu
typów serwerów (web, email, firewall, etc.) i środowisk sieciowych. Rozwiązanie Check Point jest
silnie zogniskowane na VPN-1/Firewall-1. Dzięki OPSEC mamy możliwość zaoferowania
szerokiego zakresu alternatyw HA.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
02.2000 3/3