Informacje podstawowe (dotyczy wersji przed 15.09.2003).

Licencjonowanie podstawowych produktów FireWall-1/VPN-1 firmy Check Point, takich jak:

• FireWall-1 Security Gateway/Module
• VPN-1 Pro Security Gateway/Module
• SVN Security Gateway/Module
• Enterpise Bundles

bazuje na prostej zasadzie wielkości chronionej sieci. Pozostałe elementy (ilość połączeń, ilość użytkowników, ilość interfejsów wewnętrznych) nie mają żadnych licencyjnych ograniczeń. Z licencyjnego (a także częściowo technicznego) punktu widzenia przyjęto zasadę, że każdy FireWall-1/VPN-1 ma jeden interfejs zewnętrzny i dowolną ilość (limitowaną tylko przez możliwości systemu operacyjnego) interfejsów wewnętrznych. Wielkość chronionej sieci określa sumaryczna ilość adresów IP (pochodzących od dowolnych urządzeń), które podpięte są do interfejsów wewnętrznych. Oprogramowanie tworzy pulę adresów chronionych wliczając do niej każdy adres urządzenia z dowolnego pakietu (poza rozgłoszeniami broadcast), który pojawił się na interfejsie wewnętrznym. Oznacza to, że jeżeli FireWall-1/VPN-1 zabrania dostępu do Internetu określonej stacji z sieci wewnętrznej to też ją chroni! - bowiem ochronie nie podlegają tylko połączenia które przeszły poprzez FireWall-1/VPN-1 ale także te, które zostały przez niego zatrzymane.

Jeżeli FireWall-1/VPN-1 zobaczy nowy adres z sieci chronionej, którego dołożenie do puli powoduje przekroczenie limitu wysyłane jest ostrzeżenie do administratora systemu o możliwości złamania warunków licencji i konieczności ewentualnego rozszerzenia licencji. W takim przypadku FireWall-1/VPN-1 nie dokonuje żadnych zmian w swojej pracy, a wysyłanie komunikatów jest jedyną konsekwencją przekroczenia licencyjnego limitu. Adresy wpisane w pulę nigdy nie wygasają. W niektórych przypadkach związanych np. ze zmianą konfiguracji sieci istnieje możliwość zainicjowania naliczania puli od początku i wyeliminowanie uciążliwych komunikatów.

Ilość połączeń z Internetem

W wielu konfiguracjach stosuje się więcej niż jedno połączenie z Internetem (ogólnie - siecią zewnętrzną) np. w celu zwiększenia przepustowości sieci lub tworzenia połączeń zabezpieczających (backup-owych). Każde połączenie z Internetem (gateway) musi być zabezpieczone osobnym modułem FireWall-1/VPN-1. Jeżeli mamy, zatem dwa wejścia/wyjścia do sieci rozległej musimy mieć dwa moduły FireWall-1/VPN-1. Możemy także zastosować rozwiązanie z jednym modułem FireWall-1/VPN-1 i wieloma interfejsami zewnętrznymi, ale w takiej sytuacji nie możemy zrealizować rutingu pomiędzy tymi interfejsami.

Administracja

Proces administracji (zarządzania) FireWall-1/VPN-1 ma związek z trzema elementami:

1. Moduł FireWall-1/VPN-1 (Module). Pełni funkcję właściwego firewall-a oferując mechanizmy takie jak: sterowanie/filtrowanie ruchu, autentykacja użytkowników, autentykacja klientów i sesji, translacja adresów NAT, serwery bezpieczeństwa (aplikacyjne proxy), itd. [patrz opis funkcjonalny FireWall-1/VPN-1].
2. Moduł zarządzający (SmartCenter). Moduł ten nazywany był konsolą zarządzającą. Przeznaczony jest do dystrybucji polityki bezpieczeństwa do wszystkich modułów FireWall-1/VPN-1. Moduł ten z jednej strony kontaktuje się z modułem (modułami) FireWall-1/VPN-1, z drugiej z interfejsem graficznym GUI. Moduł ten także gromadzi informacje pochodzące z modułów FireWall-1/VPN-1 tworząc dziennik pracy chronionego systemu jako całości. Technologicznie moduł ten jest oddzielnym procesem systemu operacyjnego, niezależnym od modułu FireWall-1/VPN-1.
3. GUI. Interfejs graficzny administratora komunikujący się z modułem zarządzającym. Pozwala zrealizować wszystkie operacje jak np.: definicja polityki bezpieczeństwa, przeglądanie dziennika, badanie stanu modułów FireWall-1/VPN-1. W wersji VPN-1 komunikacja z modułem zarządzającym jest szyfrowana. Poza systemami obsługiwanymi przez FireWall-1/VPN-1 GUI dostępne jest także dla Windows 95/98/Me. Każdy pakiet FireWall-1/VPN-1 sprzedawany jest z bezpłatnym GUI dla systemów Windows. GUI specyficzne dla systemów UNIX (Motif GUI) jest płatną opcją. Każde GUI może współpracować z dowolnym modułem zarządzającym. W szczególności możemy zarządzać GUI Windows modułem pracującym na systemie UNIX czy SIEMENS.

Każdy z w/w elementów może być zainstalowany na innej maszynie i w otoczeniu innego systemu operacyjnego (o ile pozwalają na to warunki licencyjne - patrz niżej).

Check Point oferuje następujące zestawy:

1. Zestaw typu Security Gateway + SmartCenter (dawniej Internet Gateway). Jest to kompletny zestaw przeznaczony do ochrony pojedynczego pomostu z Internetem. Zawiera:
• Moduł FireWall-1/VPN-1 przeznaczony do ochrony sieci o określonej ilości adresów IP (np. VPN-1 Gateway Bundle/25 chroni sieć zbudowaną z maksymalnie 25 urządzeń, którym przypisano adres IP). Licencyjnie i funkcjonalnie jest to ten sam produkt co FireWall-1/VPN-1 Module (który można zakupić oddzielnie).
• Moduł zarządzający SmartCenter przeznaczony do współpracy tylko z jednym modułem FireWall-1/VPN-1 zawartym w zestawie (patrz punkt wyżej). Musi on być zainstalowany dokładnie na tej samej maszynie co moduł FireWall-1/VPN-1. W przypadku kiedy chcemy budować klaster modułów dla celów równoważenia obciążeń lub konstrukcji systemów bezawaryjnych, należy kupić SmartCenter jako osobny produkt (z licencją do obsługi modułów do 250 IP lub be limitu).
• GUI dla systemów Windows.
2. Zestaw typu Enterprise (Bundles of Gateway + SmartCenter or SmartCenter Pro). Jest to również kompletny pakiet, różniący się od Security Gateway + SmartCenter następującymi własnościami:
• Posiada jeden moduł FireWall-1/VPN-1 chroniący sieć o nieograniczonej ilości adresów IP. Oznacza to także, że chroni jeden pomost z Internetem.
• Posiada moduł zarządzający SmartCenter w wersji Enterprise. Dzięki niemu mamy możliwość zarządzania dowolną liczbą modułów FireWall-1/VPN-1 pracujących na dowolnych systemach operacyjnych, w tym np. na ruterach czy przełącznikach. Moduł ten może być także zainstalowany na innej maszynie niż moduł FireWall-1/VPN-1. Licencyjnie i funkcjonalnie jest to dokładnie ten sam produkt co SmartCenter lub SmartCenter Pro.

VPN-1 Pro

• Pakiety VPN-1 Pro są licencjonowanie identycznie jak FireWall-1 - licencji podlega tylko wielkość chronionej sieci (patrz powyżej).
• Tylko wersja VPN-1 ma możliwość zestawiania kanałów wirtualnej sieci prywatnej. Także tylko w tej wersji transmisja pomiędzy GUI a modułem zarządzającym jest szyfrowana. Każdy moduł bez VPN (szyfrowania) można wymienić na moduł z szyfrowaniem na bazie tzw. poszerzania funkcjonalności (TradeUp).
• Każda wersja VPN-1 może zestawić kanał VPN pomiędzy innym (innymi) modułami VPN-1 tworząc w ten sposób stałe połączenie VPN pomiędzy dwoma sieciami. W tym samym czasie każda wersja VPN-1 może zestawiać kanały VPN pomiędzy ruchomymi klientami SecuRemote/SecureClient lub stałymi klientami SecureClient. W wersji VPN-1 Pro (ale nie VPN-1 Net) nie ma ograniczeń na ilość zestawianych kanałów VPN, choć kanał VPN można zestawić tylko z interfejsem zewnętrznym.
• Ilość klientów VPN (SecuRemote) nie podlega żadnym ograniczeniom. Jedynym wymogiem jest zamówienie darmowej licencji na określoną ilość klientów (którą można powiększyć w każdej chwili). SecureClient jest płatną, wzbogaconą (personalny system zaporowy) wersją SecuRemote.
• Począwszy od wersji NG VPN-1 dostarczane jest powszechnie, bez ograniczeń z kluczem 3DES (168 bitów) - poza sprzedażą na rynek francuski.

Opcje

• Check Point oferuje szereg uzupełnień podnoszących funkcjonalność systemu. W ramach porozumienia OPSEC mamy także możliwość wykorzystania produktów (np. skanery anty-wirusowe, systemy wykrywania intruzów, systemy HA, itp.), pochodzących od innych (ponad 300) producentów współpracujących z FireWall-1/VPN-1 (patrz http://www.opsec.com).
• Od wersji 4.1 FloodGate-1 jest modułem podlegającym takim samym zasadom licencjonowania jak moduły FireWall-1/VPN-1. W szczególności dostępny jest także zestaw (Secure Virtual Network) złożony z: FireWall-1 + VPN-1 + FloodGate-1.

Więcej

• ZOBACZ PRZYKŁADY LICENCJONOWANIA