Word Template - Check Point France

CHECK POINT SOFTWARE TECHNOLOGIES
Appliances Check Point 1100
Foire aux questions
Table des matières
Vue d’ensemble :...................................................................................................................................................... 2
Pour commander :.................................................................................................................................. 3
Technologie :.................................................................................................................................................. 4
Matériel :..................................................................................................................................................... 6
Performance :................................................................................................................................................ 6
Mise à jour le 8 avril 2013
© 2013 Check Point Software Technologies Ltd. Tous droits
réservés.
P. 1
Vue d’ensemble :
Q. Quelle est la clientèle cible des Appliances 1100 ?
R. Les clients ciblés sont les entreprises avec de petits bureaux distants ou des succursales de 1 à 50 salariés.
Les appliances sont également adaptées aux petites entreprises de même taille :

TPE qui souhaitent une interface d'administration locale simple et intuitive via le web

Entreprises qui ont standardisé l'administration de leur infrastructure de sécurité, y compris les
bureaux distants, depuis leur siège via Single ou Multi-Domain Security Management
Trois modèles d'Appliances 1100 sont disponibles :



1120 : Idéale pour les bureaux distants jusqu'à 10 utilisateurs
1140 : Idéale pour les bureaux distants jusqu'à 25 utilisateurs
1180 : Idéale pour les bureaux distants jusqu'à 50 utilisateurs
Q. Quelles sont les différences entre les Appliances Safe@, UTM-1 Edge, série 80 et 1100 ?
R. Le tableau suivant précise les différences :
Safe@
UTM-1 Edge
Série 80
1100
6 GbE
6 GbE
10 GbE
10 GbE
ADSL
Oui
Oui
Non
Oui
Wifi
Oui
Oui
Non
Oui
TPE
Succursales
administrées de
manière centralisée
TPE et succursales
administrées de
manière centralisée
Ports réseau
Clients ciblés
Particuliers et TPE
Architecture
NGX embarqué
Blades
N/A
Blades
R71.45 :
FW, VPN, IPS, AV,
ASPM, URLF
Administration
Interface web
Interface web et
administration
centralisée
Déploiement
Standalone
Standalone et
distribué
Haute
disponibilité
Administration
à grande échelle
Non
SMP (Portail d'administration
de la protection)
Administration
centralisée
Distribué
R75.20 :
FW, VPN, IPS, AV,
ASPM, URLF, APCTL, IA
Interface web et
administration
centralisée
Standalone et
distribué
Active-Passive
Smartprovisioning
© 2013 Check Point Software Technologies Ltd. Tous droits
réservés.
P. 2
Q. Remplacent-elles les Appliances de la série 80 ?
R. Oui.
Q. Remplacent-elles les Appliances UTM-1 Edge et Safe@Office ?
R. Non. Les Appliances 1100 sont destinées aux entreprises ayant des succursales, tandis que les Appliances
UTM-1 Edge et Safe@Office sont destinées aux petites entreprises. Cependant, les petites entreprises peuvent
trouver un certain intérêt dans ce produit.
Q. J'ai récemment acheté une Appliance de la série 80. Puis-je mettre à jour son image pour bénéficier des
fonctionnalités des Appliances 1100 ?
R. Oui. Mettez également la licence à jour pour bénéficier des blades introduites avec les Appliances 1100,
notamment Identity Awareness et Application Control.
Pour commander :
Q. Quels sont les SKU disponibles pour les blades en bundle ?
R. Deux SKU sont disponibles pour le modèle 1120, l'un avec Firewall et VPN et l'autre avec Threat Prevention.
Les modèles 1140 et 1180 sont disponibles avec le bundle Threat Prevention uniquement.
Q. Puis-je acheter le package Appliance 1120 et Firewall, puis ensuite ajouter des blades supplémentaires ?
R. Oui, vous pouvez ajouter le package Threat Prevention à l'Appliance 1120.
Q. J'ai acheté une Appliance 1120. Puis-je passer à une Appliance 1140 ou 1180 ?
R. Oui.
Q. J'ai acheté le package Threat Prevention. Puis-je ajouter des blades supplémentaires ?
R. Ce n'est pas nécessaire car le package Threat Prevention intègre toutes les licences disponibles pour la blade
Threat Prevention.
Q. Dois-je renouveler les blades Threat Prevention pour obtenir des signatures à jour ?
R. Oui. Les blades sont disponibles avec des abonnements pour un, deux ou trois ans. Les abonnements
doivent être renouvelés à leur expiration pour pouvoir continuer de recevoir des mises à jour.
Q. Est-il possible de loger des Appliances 1100 côte à côte dans un rack de 19 pouces de large ?
R. Oui, le système a été conçu dans ce sens et nous allons ajouter prochainement un kit de montage en rack à
notre liste de prix.
Q. Puis-je ajouter la blade Advanced Networking & Clustering à une Appliance 1100 ?
R. La blade Advanced Networking & Clustering est déjà intégrée.
Q. Les Appliances 1100 prennent-elles en charge le routage dynamique ?
R. Oui.
Q. Les blades DLP et Anti-Bot seront-elles intégrées aux Appliances 1100 ?
R. L'intégration de la blade Anti-Bot est prévue. Mais aucune date n'est prévue pour la blade DLP.
Q. Quel type d'ADSL est pris en charge ?
R. ADSL2 Annexe A (RTC) et ADSL2 Annexe B (RNIS).
Q. Quelles sont les différences entre les SKU pour Wifi FCCA et Wifi monde, et lequel dois-je commander ?
R. Le SKU FCCA est prévu pour les États-Unis. Le SKU monde est prévu pour le reste du monde.
© 2013 Check Point Software Technologies Ltd. Tous droits
réservés.
P. 3
Technologie :
Q. Un correctif est-il nécessaire pour administrer les Appliances 1100 ?
R. Oui, initialement pour certaines fonctionnalités. Voir la page des Appliances 1100 sur le site web
d'assistance de Check Point pour obtenir plus d'informations. Les versions de Security Management Server
fonctionnant avec les Appliances Check Point 1100 sont R75.46, R76 et supérieures.
Q. Pourquoi la connexion au serveur d'administration de Check Point est-elle appelée « asynchrone » pour les
Appliances 1100 ?
R. Il est possible de configurer la passerelle 1100 sur le serveur d'administration sans avoir d'abord à établir de
connexion entre les deux. Notamment pour installer des règles de sécurité sur le serveur d'administration
avant même que la passerelle de série 80 ne soit effectivement déployée. Les règles sont placées en mode
« attente », en attendant qu'une Appliance 1100 les récupère une fois activée. C'est pourquoi nous qualifions
ce processus d'asynchrone. Par la suite, la récupération périodique des règles de sécurité peut être faite par
les Appliances 1100, en plus de la diffusion « poussée » à partir du serveur d'administration.
Q. Les Appliances 1100 peuvent-elles être administrées en local ?
R. Oui. Une interface web simplifiée pour l'administration locale est disponible. Voir le Guide d'administration
et les Notes de publication pour obtenir des informations complémentaires.
Q. GAiA est-il le système d'exploitation installé sur les Appliances 1100 ?
R. Oui. Mais il s'agit d'une version embarquée pour lui permettre de fonctionner avec des capacités de
traitement et de mémoire limitées.
Q. Toutes les fonctionnalités de sécurité standard de R75.20 sont-elles prises en charge par les Appliances
1100 ?
R. Non, pas toutes. Par exemple, la prévention des pertes de données et l'inspection HTTPS ne sont pas prises
en charge. Veuillez consulter les Notes de publication pour obtenir des informations sur les caractéristiques et
les fonctionnalités.
Q. Quelle sont les différences entre les Appliances 1100 et les Appliances UTM-1 Edge au niveau de la
fonctionnalité de « haute disponibilité » ?
R. Les Appliances 1100 permettent une « haute disponibilité » complète entre deux systèmes en mode actifpassif grâce aux technologies Check Point ClusterXL. Les Appliances UTM-1 Edge permettent à deux ou
plusieurs systèmes d'être implémentés en chaîne. Chaque Appliance UTM fonctionne alors en mode maîtreesclave pour envoyer leur trafic WAN en direction d'Internet vers le système maître via le port Ethernet reliant
les deux appliances. Lorsque l'appliance esclave perd sa connexion WAN, cette configuration maître-esclave
permet une connexion de secours.
Q. Est-il possible d'implémenter une « redondance FAI » avec les Appliances 1100 ?
R. Oui, une interface réseau Ethernet, une connexion 3G utilisant un modem Express Card/USB ou une
connexion série avec modem USB ou série, peuvent être utilisées pour implémenter la redondance FAI.
Q. Le VPN SSL est-il pris en charge sur les Appliances 1100 ?
R. Oui. Les Appliances intègrent une licence Mobile Access pour 5 utilisateurs. Une licence pour plus
d'utilisateurs est également disponible.
© 2013 Check Point Software Technologies Ltd. Tous droits
réservés.
P. 4
Q. Quels clients d'accès à distance sont pris en charge ?
R. Ces clients sont pris en charge par la version GA d'avril :



SecureClient (toutes les versions). Les Appliances 1100 n'intègrent cependant pas de serveur Policy
Server. (Fonctionnement possible sur un site multipasserelle, avec une autre passerelle configurée en
tant que serveur Policy Server.)
SNX (Mode Network uniquement)
L2TP (fonctionnant sur Windows, iOS et Mac OS X). La prise en charge de ce client est prévue.

Endpoint Connect (toutes les versions sauf « Endpoint Security VPN »)
Q. Le concept de « serveurs de sécurité » existe-t-il pour les Appliances 1100 ?
R. Non, toutes les protections nécessitant le concept de « serveurs de sécurité » sont désormais prises en
charge dans le noyau en natif.
Q. Existe-t-il une différence entre les fonctions UTM des modèles d'Appliances de 2012 et les Appliances
1100 ?
R. Oui, il existe quelques différences. L'antivirus fonctionne en mode « Stream » uniquement. Le mode proactif
n'est pas pris en charge.
La protection de la messagerie repose sur la « réputation IP » uniquement. L'analyse antispam des contenus
n'est pas prise en charge. Veuillez consulter la documentation utilisateur pour obtenir plus d'informations.
Q. Les Appliances 1100 prennent-elles en charge IPv6 ?
R. IPv6 n'est pas pris en charge dans la version GA d'avril. La prise en charge d'IPv6 est prévue.
Q. Quelle configuration doit être définie pour un déploiement USB ?
R. L'hôte, la configuration de l'interface, le fuseau horaire, la configuration NTP (Network Time Protocol), le
mot de passe SIC (Secure Internal Communication), l'adresse d'administration de la protection et le mot de
passe administrateur.
Q. La blade Monitoring est-elle intégrée aux Appliances 1100 ?
R. Lorsqu'elles sont administrées de manière centralisée, les Appliances 1100 sont supervisées comme
n'importe quelle autre passerelle à l'aide de la blade Monitoring.
Q. Quel type de supervision et d'outils sont disponibles dans l'interface utilisateur web locale ?
R. Journaux du système et de la protection, utilisation du CPU, de la mémoire et du disque, routage,
recherches DNS, ping, traceroute, capture de paquets, et cpinfo pour fournir des diagnostics du système à
l'assistance Check Point.
Q. Les Appliances prennent-elles en charge SNMP ?
R. Oui, SNMP v1/v2/v3 et l'envoi de traps SNMP. Les paramètres des traps SNMP peuvent également être
gérés de manière centralisée à l'aide de Security Management Server et de l'utilitaire thresholds_config.
Q. Quels types de connexion réseau sont disponibles ?
R. IP statique, DHCP, PPPoE, PPTP, L2TP, bridge ou Layer 2, 3G, ADSL et modem analogique.
Q. Quelles options DHCP sont prises en charge ?
R. Serveur DNS, passerelle par défaut, WINS, serveurs de temps, gestionnaire d'appel, serveur TFTP, fichier de
démarrage TFTP, gestionnaire d'affichage X-Windows, téléphone IP Avaya, téléphone IP Nortel, téléphone IP
Thomson et personnalisé.
© 2013 Check Point Software Technologies Ltd. Tous droits
réservés.
P. 5
Q. Un portail captif web (Hotspot) est-il intégré ?
R. Oui, lorsque cette option est activée, tout utilisateur connecté via les interfaces configurées est dirigé vers
un portail captif.
Q. Quelles méthodes d'authentification sont prises en charge par les Appliances 1100 pour l'accès
administratif et l'accès au portail captif ?
R. Les utilisateurs et les groupes définis en local, sur un serveur RADIUS distant ou un serveur Active Directory.
Matériel :
Q. Les 8 ports LAN peuvent-ils être configurés en tant que commutateur ?
R. Oui, et ils peuvent également être configurés en plusieurs groupes commutés. Les 8 ports n'ont pas besoin
d'appartenir au même groupe. Il est possible de configurer jusqu'à 4 groupes de commutateurs distincts.
Q. Les Appliances 1100 intègrent-elles des éléments mobiles ?
R. Non, il n'y a ni ventilateur ni disque dur, ce qui en fait un équipement de sécurité très silencieux.
Q. Puis-je utiliser le kit de montage en rack pour une seule Appliance 1100 que je souhaite loger dans mon
rack ?
R. Oui. Le kit de montage est prévu pour une seule appliance. Reportez-vous aux instructions fournies dans le
kit de montage pour obtenir plus d'informations.
Performance :
Q. Quelles sont les performances des Appliances 1100 ?
R. Les performances avec une seule règle de pare-feu (tout autoriser) sont : Voir la fiche produit pour plus
d'informations.
1120
1140
1180
Jusqu'à 10
Jusqu'à 25
Jusqu'à 50
Pare-feu, UDP 1518 octets (Mbps)
750
1 000
1 500
VPN, AES-128 (Mbps)
140
175
220
Nombre d'utilisateurs recommandé
Q. Lorsque les clients dépassent la limite recommandée quant au nombre d'utilisateurs, que se passe-t-il ? Par
exemple, l'Appliance 1120 est recommandée pour 10 utilisateurs. Le 11èmeet le 12ème utilisateurs sont-ils
bloqués ?
R. Non, il s'agit d'un nombre recommandé d'utilisateurs au regard des capacités de l'appliance en matière de
performance et d'exigence client.
Q. Un utilisateur peut générer beaucoup de trafic et dépasser la limite de capacité de la bande passante
recommandée pour l'appliance. Lorsque la limite de capacité est atteinte, que se passe-t-il ? Les connexions
sont-elles encore autorisées ?
R. Les connexions sont encore autorisées, mais elles sont potentiellement plus lentes.
© 2013 Check Point Software Technologies Ltd. Tous droits
réservés.
P. 6