Arquitetura de Solues
Check Point
Junior, A. C. Aguiar Security Product Manager
Agenda
Software Blade O que ?
Blades de Gateway
Blades de Gerncia
Blades de Endpoint
Compondo as solues
Software Blade
O que ?
O que software blade?
Software blade
construir a segurana
em blocos
Independente
Modular
Gerenciamento
Centralizado
Como trabalha?
Selecione o container Selecione os blades Configure o sistema
Uma biblioteca de Software Blades
Netw
ork Firew
all
Application F
irewall
Policy M
anagement
VP
N
Anti-M
alware
Data S
ecurity
Endpoint S
ecurity Mngt
Log Managem
ent
Monitoring
Managem
ent Extensions
Multi D
omain M
gnt
Provisioning
Reporting
Event C
orrelation
IPS
Basic
UR
L Filtering
Anti V
irus
Messaging S
ecurity
Segurana de
Rede
Segurana
Endpoint
Gerenciamento
Blades de Gateway
Blade comum
sem data de expirao
necessita de suporte para renovar apenas a verso
Blade de servio
inativa aps expirao (normalmente 1 ano)
necessidade de renovao para funcionar
Blades de Gateway
Firewall (FW)
VPN IPSEC (VPN)
Mobile Access (MOB)
Identity Awareness (IA)
Advanced Networking (ADN)
Acceleration & Clustering (ACCL)
Web Security (WS)*
* Dependente da blade de IPS
Blades de Gateway (Comum)
IPS e IPS for Small Business (IPS-S / IPS / IPS-L)
Application Control (APCL)
URL Filtering (URLF)
Anti-Virus & Anti-Malware (AV)
Anti-Spam & Email Security (ASPM)
Total Security e TS for Small Business (TS-M / TS-L)
Data Loss Prevention (DLP-x)**
* Devem ser renovadas anualmente !!!
** Disponibilidade a partir da verso R75
Blades de Gateway (Servios*)
Mobile Access (MOB)
Acesso Remoto com Tecnologia SSL VPN Criptografada
Check Point Mobile Client
SSL VPN Portal
SSL Network Extender (On-demand client - SNX)
Blades de Gateway (Comum)
Mobile Access Software Blade
Easy Access to Email and Applications
Simple for end-user
Tap Check Point Mobile
Enter your password
Gain secure access to your data!
Mobile Access Software Blade
Identity Awareness (IA)
Regras de Acessos Configurveis
Mtodos de Identificao para Mltiplos Usurios:
Clientless
Captive Portal
Identity Agent
Deployment Wizard
Identity Sharing
Blades de Gateway (Comum)
IPS e IPS for Small Business (IPS-S / IPS /
IPS-L)*
IPS completo
NO o antigo SmartDefense (veio para substitu-lo)
Cdigo completamente novo
At 15 Gbps de throughput (Power-1 11085)
#1 em protees para Adobe / MS em 2008/2009
Premiado pela NSS Labs
* IPS-S licena mais barata para algumas
solues (veja http://pricelist.checkpoint.com)
Blades de Gateway (Servios)
Blades de Gateway (Servios)
Application Control (APCL)*
Controle de Deteco e Uso de Aplicaes
Biblioteca de Aplicaes Classificadas pela AppWiki
UserCheck
User and machine awareness
* Disponibilidade a partir da verso R75
Application Detection and
Usage Controls
Identify, allow, block or limit usage of applications at user or group level
Enable access for
support team
Application Detection
and Usage Controls
Total Security e TS for Small Business (TS-M / TS-S)
TS = IPS + APCL + URLF + AV + ASPM
$ TS < $ IPS + APCL + URLF + AV + ASPM
* TS-S licena mais barata para algumas solues
(veja http://pricelist.checkpoint.com)
Blades de Gateway (Servios)
Blades de Gerncia
Network Policy Management (NPM)
Endpoint Policy Management (EPM)
Logging & Status (LOGS)
Monitoring (MNTR)
SmartProvisioning (PRVS)
Management Portal (MPTL)
User Directory (UDIR)
SmartEvent Intro (EVNT-INT)
SmartEvent & SmartReporter (EVS-Cxxx)
SmartWorkflow (WKFL-x)
Blades de Gerncia
Network Policy Management (NPM)
SmartDashboard
Interface nica de configurao
Interface grfica intuitiva
Blades de Gerncia
Blades de Gerncia
Endpoint Policy Management (EPM)
NO licena de cliente
Habilita algumas funcionalidades de gerncia da soluo Endpoint Security
* Atualmente a gerncia completa da soluo
Endpoint Security realizada atravs de uma
console prpria
Blades de Gerncia
Logging & Status (LOGS)
Logs de eventos
Auditoria
Conexes ativas
Status dos Dispositivos
Blades de Gerncia
Blades de Gerncia
Blades de Gerncia
SmartWorkflow (WKFL-x)
Gerncia de mudanas da poltica de segurana
Fcil visualizao das mudanas propostas
Aprovao necessria para implementao
Licenciado pelo nmero de gateways
Blades de Gerncia
Blades de Gerncia
Blades de Gerncia
Blades de Gerncia
Blades de Endpoint
Blade perptua
sem data de expirao
necessita de suporte para renovar apenas a verso
Blade anual
inativa aps expirao (normalmente 1 ano)
necessidade de renovao para funcionar
* Gerenciamento da soluo Endpoint
j incluso em ambas opes.
Blades de Endpoint
Firewall (FW)
Full Disk Encryption (FDE-P)
Media Encryption (ME-P)
Remote Access VPN (VPN-P)
Web Check (WEBC-P)
Total Security (TS-P)*
* TS Perptua no inclui a blade de
Anti-Malware.
Blades de Endpoint (Perptua)
Blades de Endpoint (Anual*)
Firewall (FW)
Full Disk Encryption (FDE)
Media Encryption (ME)
Remote Access VPN (VPN)
Anti-Malware and Program Control (AM)
Web Check (WEBC)
Total Security (TS)**
* Devem ser renovadas anualmente !!!
** TS Annual inclui todas as blades,
inclusive Anti-Malware.
ATENO!!!
Notas importantes:
Blades de UTM (URLF, AV, ASPM, TS) no rodam em IP appliance.
Power-1 e IP appliance no tem gerncia inclusa. Devemos cotar parte.
Power-1 e IP appliance no possui part number de HA.
Blades de HA s podem ser utilizadas em containers de HA.
Bundles ou Packages no podem ter suas blades movidas. As nicas blades que podem ser movidas para outros containers
so aquelas adquiridas separadamente.
FERRAMENTAS TEIS
Lista de preos na web: Detalhes sobre a composio dos part numbers e informaes
sobre licenciamento, tais como restries, licenas adicionais
inclusas ou necessrias.
http://pricelist.checkpoint.com
Informaes sobre os appliances: Detalhes sobre os appliances, tais como nmero de interfaces,
tipo, throughput (FW, VPN e IPS), conexes simultneas, etc.
http://www.checkpoint.com/products/downloads/appliances/openchoice_brochure.pdf
http://www.checkpoint.com/products/downloads/appliances/appliance-comparison-chart.pdf
Compondo as solues
A primeira seo representa a famlia do produto: CPSG = Check Point Security Gateway
CPSM = Check Point Security Management
CPAP= Check Point Appliance
CPSB = Check Point Security Blade
A segunda seo representa a sub-famlia do produto: C101 = Container for 1 core hardware, includes 1 blade.
C401 = Container for 4 cores, includes 1 blade
P205 = Package (bundle) for 2 cores, includes 5 blades.
SG276 = Security Gateway appliance model 270, includes 6 blades.
SG9075 = Security Gateway appliance model 9070, includes 5 blades
PU007 = Package for Unlimited managed gateway, includes 7 blades.
Formato do Part Number / SKU
Formato do Part Number / SKU
Formato do Part Number / SKU
Formato do Part Number / SKU
Formato do Part Number / SKU
Formato do Part Number / SKU
Duas opes
Opo 1:
A La Carte
Opo 2:
Pre-Defined Systems*
SG103
1 core
3 blades
SG407
4 cores
7 blades
SG805
8 cores
5 blades
*Examples
Passo 1 Selecione o container
# ncleos
# usurios
Passo 2 Selecione as blades
Passo 3 Configure seu firewall
Compondo um gateway
Container*
CPSG-C801
CPSG-C401
CPSG-C201
CPSG-C101
Gateway
CPSB-VPN
CPSB-WS
CPSB-ADN
CPSB-ACCL
CPSB-VOIP
* O container j inclui a blade FW ( o significado do 1 no final do P/N)
* 8, 4, 2 e 1 a quantidade de ncleos em uso no hardware.
* SG100 limitado a 50 usurios. SG200 limitado a 500 usurios.
SG400 e SG800 so para ilimitados usurios.
Sufixo HA - Part numbers com desconto para membros adicionais de um cluster
(ex: CPSB-WS-HA)
Compondo um gateway
Gateway Servios CPSB-TS-M
CPSB-TS-S*
CPSB-IPS
CPSB-IPS-S*
CPSB-URLF
CPSB-AV
CPSB-ASPM
* Blades para Small Business
** Mais de 1.500 usurios, at 250.000 e-mails por hora e mximo de 2,5 Gbps de throughput
*** De 500 a 1.500 usurios, at 50.000 e-mails por hora e mximo de 1,5 Gbps de throughput
**** At 500 usurios, at 15.000 e-mails por hora e mximo de 700 Mbps
Sufixo HA - Part numbers com desconto para membros adicionais de um cluster
(ex: CPSB-IPS-HA)
Compondo um gateway
CPSB-DLP-U **
CPSB-DLP-1500 ***
CPSP-DLP-500 ****
SG1207 - 12 ncleos - ilimitado - FW, IA, VPN, AND, ACCL, IPS e APCL
SG807 - 8 ncleos - ilimitado - FW, IA, VPN, AND, ACCL, IPS e APCL
SG409 - 4 ncleos - ilimitado - FW, IA, VPN, ACC, IPS, ASPM, URLF, AV e
APCL
SG407i - 4 ncleos - ilimitado - FW, IA, VPN, ADN, ACCL, IPS e ACCL
SG405 - 4 ncleos - ilimitado - FW, VPN, IPS, ADN e ACCL
SG203U - 2 ncleos - ilimitado - FW, VPN e IPS
SG209 - 2 ncleos - 500 usurios - FW, IA, VPN, ACCL, IPS, ASPM, URLF, AV e
APCL
SG207i - 2 ncleos - 500 usurios - FW, IA, VPN, ADN, ACCL, IPS e APCL
SG205i - 2 ncleos - 500 usurios - FW, IA, VPN, IPS e APCL
SG205U - 2 ncleos - ilimitado - FW, IA, VPN, IPS e APCL
SG205 - 2 ncleos - 500 usurios - FW, VPN, IPS, ADN e ACCL
SG203 - 2 ncleos - 500 usurios - FW, VPN e IPS
SG108 - 1 ncleo - 50 usurios - FW, IA, VPN, IPS, ASPM, URLF, AV e APCL
SG103 - 1 ncleo - 50 usurios - FW, VPN e IPS
Gateways pr-definidos
Sufixo HA - Part numbers com desconto para membros adicionais de um cluster (ex: CPSB-WS-HA)
Passo 1 Selecione o container
# gateways
Passo 2 Selecione as blades
Passo 3 Configure seu
SmartCenter
Unlimited Gateways
25 Gateways
10 Gateways
NPM
EPM
LOGS
MNTR
NP
M
EP
M
LO
GS
MN
TR
Compondo uma gerncia
Container*
CPSM-CU000
CPSM-C2500
CPSM-C1000
Blades
CPSB-NPM
CPSB-EPM
CPSB-LOGS
* Part number para ilimitados, 25 e 10 gateways respectivamente
** xxx = U000, 2500 ou 1000 (para container ilimitado, 25 ou 10 gateways)
*** y = U, 250, 100, 50, 25 ou 10 (nmero de gateways)
CPSM-C500 Aumenta o nmero de gateways suportados (5 gateways adicionais)
Para redundncia, duplique os part numbers
Compondo uma gerncia
Blades (cont.)
CPSB-MNTR
CPSB-MPTL
CPSB-UDIR
CPSB-EVNT-INT
CPSB-PRVS
CPSB-EVS-Cxxx **
CPSB-WKFL-y ***
SMU007 - ilimitado - NPM, EPM, LOGS, MNTR, IPSA, PRVS e UDIR
SMU003 - ilimitado - NPM, EPM e LOGS
SM2506 - 25 gateways - NPM, EPM, LOGS, MNTR, IPSA e PRVS
SM1007 - 10 gateways - NPM, EPM, LOGS, MNTR, IPSA, PRVS e UDIR
SM1003 - 10 gateways - NPM, EPM e LOGS
Gerncias pr-definidas
CPSG-P807-CPSM-PU007
CPSG-P407i-CPSM-PU003
CPSG-P407i-CPSM-P2506
CPSG-P407i-CPSM-P1003
CPSG-P203-CPSM-P1003
CPSG-P203-CPSM-P303
CPSG-P103-CPSM-P303
CPSG-P103-CPSM-P203
Bundles de gateway + gerncia
Compondo a soluo Endpoint
Passo 1 Selecione o container
# endpoints
Passo 2 Selecione as blades
Passo 3 Configure seu
Endpoint
NPM
EPM
LOGS
MNTR
1001-2500 Endpoints
101-1000 Endpoints
1-100 Endpoints
+2500 Endpoints
NP
M
EP
M
LO
GS
MN
TR
+2500 Endpoints
Container
CPEP-C1-1TO100
CPEP-C1-101TO1000
CPEP-C1-1001TO2500
CPEP-C1-2501TOU
De uma faixa para a outra o preo cai pela metade
Gerncia do Endpoint j inclusa no licenciamento da soluo
No existe a opo perptua para a blade Anti-Malware.
Blades
CPSB-EP-FW (ou -P)
CPSB-EP-FDE (ou -P)
CPSB-EP-ME (ou -P)
CPSB-EP-VPN (ou -P)
CPSB-EP-WEBC (ou -P)
CPSB-EP-TS (ou -P)
CPSB-EP-AM
Compondo a soluo Endpoint
DICAS!!!
Faa simulaes entre as vrias opes:
Existem vrias possibilidades para atender a mesma solicitao. Avaliar algumas opes pode fazer muita diferena no valor do
projeto. Por exemplo:
O part number CPSG-P103-CPSM-P203 pode ser uma boa opo para atender clientes que desejam um appliance que no
tem gerncia. Mais em conta do que a SM1003.
Faixas superiores da soluo Endpoint equivalem a metade do valor das faixas inferiores. Avalie!!!
REDUO DO VALOR DO PROJETO!!!
Junior, A. C. Aguiar
Security Product Manager
+55 11 5186.4316
+55 11 9655.6250
Obrigado!!!
Top Related