Word Template - Check Point France
Transcription
Word Template - Check Point France
CHECK POINT SOFTWARE TECHNOLOGIES Appliances Check Point 1100 Foire aux questions Table des matières Vue d’ensemble :...................................................................................................................................................... 2 Pour commander :.................................................................................................................................. 3 Technologie :.................................................................................................................................................. 4 Matériel :..................................................................................................................................................... 6 Performance :................................................................................................................................................ 6 Mise à jour le 8 avril 2013 © 2013 Check Point Software Technologies Ltd. Tous droits réservés. P. 1 Vue d’ensemble : Q. Quelle est la clientèle cible des Appliances 1100 ? R. Les clients ciblés sont les entreprises avec de petits bureaux distants ou des succursales de 1 à 50 salariés. Les appliances sont également adaptées aux petites entreprises de même taille : TPE qui souhaitent une interface d'administration locale simple et intuitive via le web Entreprises qui ont standardisé l'administration de leur infrastructure de sécurité, y compris les bureaux distants, depuis leur siège via Single ou Multi-Domain Security Management Trois modèles d'Appliances 1100 sont disponibles : 1120 : Idéale pour les bureaux distants jusqu'à 10 utilisateurs 1140 : Idéale pour les bureaux distants jusqu'à 25 utilisateurs 1180 : Idéale pour les bureaux distants jusqu'à 50 utilisateurs Q. Quelles sont les différences entre les Appliances Safe@, UTM-1 Edge, série 80 et 1100 ? R. Le tableau suivant précise les différences : Safe@ UTM-1 Edge Série 80 1100 6 GbE 6 GbE 10 GbE 10 GbE ADSL Oui Oui Non Oui Wifi Oui Oui Non Oui TPE Succursales administrées de manière centralisée TPE et succursales administrées de manière centralisée Ports réseau Clients ciblés Particuliers et TPE Architecture NGX embarqué Blades N/A Blades R71.45 : FW, VPN, IPS, AV, ASPM, URLF Administration Interface web Interface web et administration centralisée Déploiement Standalone Standalone et distribué Haute disponibilité Administration à grande échelle Non SMP (Portail d'administration de la protection) Administration centralisée Distribué R75.20 : FW, VPN, IPS, AV, ASPM, URLF, APCTL, IA Interface web et administration centralisée Standalone et distribué Active-Passive Smartprovisioning © 2013 Check Point Software Technologies Ltd. Tous droits réservés. P. 2 Q. Remplacent-elles les Appliances de la série 80 ? R. Oui. Q. Remplacent-elles les Appliances UTM-1 Edge et Safe@Office ? R. Non. Les Appliances 1100 sont destinées aux entreprises ayant des succursales, tandis que les Appliances UTM-1 Edge et Safe@Office sont destinées aux petites entreprises. Cependant, les petites entreprises peuvent trouver un certain intérêt dans ce produit. Q. J'ai récemment acheté une Appliance de la série 80. Puis-je mettre à jour son image pour bénéficier des fonctionnalités des Appliances 1100 ? R. Oui. Mettez également la licence à jour pour bénéficier des blades introduites avec les Appliances 1100, notamment Identity Awareness et Application Control. Pour commander : Q. Quels sont les SKU disponibles pour les blades en bundle ? R. Deux SKU sont disponibles pour le modèle 1120, l'un avec Firewall et VPN et l'autre avec Threat Prevention. Les modèles 1140 et 1180 sont disponibles avec le bundle Threat Prevention uniquement. Q. Puis-je acheter le package Appliance 1120 et Firewall, puis ensuite ajouter des blades supplémentaires ? R. Oui, vous pouvez ajouter le package Threat Prevention à l'Appliance 1120. Q. J'ai acheté une Appliance 1120. Puis-je passer à une Appliance 1140 ou 1180 ? R. Oui. Q. J'ai acheté le package Threat Prevention. Puis-je ajouter des blades supplémentaires ? R. Ce n'est pas nécessaire car le package Threat Prevention intègre toutes les licences disponibles pour la blade Threat Prevention. Q. Dois-je renouveler les blades Threat Prevention pour obtenir des signatures à jour ? R. Oui. Les blades sont disponibles avec des abonnements pour un, deux ou trois ans. Les abonnements doivent être renouvelés à leur expiration pour pouvoir continuer de recevoir des mises à jour. Q. Est-il possible de loger des Appliances 1100 côte à côte dans un rack de 19 pouces de large ? R. Oui, le système a été conçu dans ce sens et nous allons ajouter prochainement un kit de montage en rack à notre liste de prix. Q. Puis-je ajouter la blade Advanced Networking & Clustering à une Appliance 1100 ? R. La blade Advanced Networking & Clustering est déjà intégrée. Q. Les Appliances 1100 prennent-elles en charge le routage dynamique ? R. Oui. Q. Les blades DLP et Anti-Bot seront-elles intégrées aux Appliances 1100 ? R. L'intégration de la blade Anti-Bot est prévue. Mais aucune date n'est prévue pour la blade DLP. Q. Quel type d'ADSL est pris en charge ? R. ADSL2 Annexe A (RTC) et ADSL2 Annexe B (RNIS). Q. Quelles sont les différences entre les SKU pour Wifi FCCA et Wifi monde, et lequel dois-je commander ? R. Le SKU FCCA est prévu pour les États-Unis. Le SKU monde est prévu pour le reste du monde. © 2013 Check Point Software Technologies Ltd. Tous droits réservés. P. 3 Technologie : Q. Un correctif est-il nécessaire pour administrer les Appliances 1100 ? R. Oui, initialement pour certaines fonctionnalités. Voir la page des Appliances 1100 sur le site web d'assistance de Check Point pour obtenir plus d'informations. Les versions de Security Management Server fonctionnant avec les Appliances Check Point 1100 sont R75.46, R76 et supérieures. Q. Pourquoi la connexion au serveur d'administration de Check Point est-elle appelée « asynchrone » pour les Appliances 1100 ? R. Il est possible de configurer la passerelle 1100 sur le serveur d'administration sans avoir d'abord à établir de connexion entre les deux. Notamment pour installer des règles de sécurité sur le serveur d'administration avant même que la passerelle de série 80 ne soit effectivement déployée. Les règles sont placées en mode « attente », en attendant qu'une Appliance 1100 les récupère une fois activée. C'est pourquoi nous qualifions ce processus d'asynchrone. Par la suite, la récupération périodique des règles de sécurité peut être faite par les Appliances 1100, en plus de la diffusion « poussée » à partir du serveur d'administration. Q. Les Appliances 1100 peuvent-elles être administrées en local ? R. Oui. Une interface web simplifiée pour l'administration locale est disponible. Voir le Guide d'administration et les Notes de publication pour obtenir des informations complémentaires. Q. GAiA est-il le système d'exploitation installé sur les Appliances 1100 ? R. Oui. Mais il s'agit d'une version embarquée pour lui permettre de fonctionner avec des capacités de traitement et de mémoire limitées. Q. Toutes les fonctionnalités de sécurité standard de R75.20 sont-elles prises en charge par les Appliances 1100 ? R. Non, pas toutes. Par exemple, la prévention des pertes de données et l'inspection HTTPS ne sont pas prises en charge. Veuillez consulter les Notes de publication pour obtenir des informations sur les caractéristiques et les fonctionnalités. Q. Quelle sont les différences entre les Appliances 1100 et les Appliances UTM-1 Edge au niveau de la fonctionnalité de « haute disponibilité » ? R. Les Appliances 1100 permettent une « haute disponibilité » complète entre deux systèmes en mode actifpassif grâce aux technologies Check Point ClusterXL. Les Appliances UTM-1 Edge permettent à deux ou plusieurs systèmes d'être implémentés en chaîne. Chaque Appliance UTM fonctionne alors en mode maîtreesclave pour envoyer leur trafic WAN en direction d'Internet vers le système maître via le port Ethernet reliant les deux appliances. Lorsque l'appliance esclave perd sa connexion WAN, cette configuration maître-esclave permet une connexion de secours. Q. Est-il possible d'implémenter une « redondance FAI » avec les Appliances 1100 ? R. Oui, une interface réseau Ethernet, une connexion 3G utilisant un modem Express Card/USB ou une connexion série avec modem USB ou série, peuvent être utilisées pour implémenter la redondance FAI. Q. Le VPN SSL est-il pris en charge sur les Appliances 1100 ? R. Oui. Les Appliances intègrent une licence Mobile Access pour 5 utilisateurs. Une licence pour plus d'utilisateurs est également disponible. © 2013 Check Point Software Technologies Ltd. Tous droits réservés. P. 4 Q. Quels clients d'accès à distance sont pris en charge ? R. Ces clients sont pris en charge par la version GA d'avril : SecureClient (toutes les versions). Les Appliances 1100 n'intègrent cependant pas de serveur Policy Server. (Fonctionnement possible sur un site multipasserelle, avec une autre passerelle configurée en tant que serveur Policy Server.) SNX (Mode Network uniquement) L2TP (fonctionnant sur Windows, iOS et Mac OS X). La prise en charge de ce client est prévue. Endpoint Connect (toutes les versions sauf « Endpoint Security VPN ») Q. Le concept de « serveurs de sécurité » existe-t-il pour les Appliances 1100 ? R. Non, toutes les protections nécessitant le concept de « serveurs de sécurité » sont désormais prises en charge dans le noyau en natif. Q. Existe-t-il une différence entre les fonctions UTM des modèles d'Appliances de 2012 et les Appliances 1100 ? R. Oui, il existe quelques différences. L'antivirus fonctionne en mode « Stream » uniquement. Le mode proactif n'est pas pris en charge. La protection de la messagerie repose sur la « réputation IP » uniquement. L'analyse antispam des contenus n'est pas prise en charge. Veuillez consulter la documentation utilisateur pour obtenir plus d'informations. Q. Les Appliances 1100 prennent-elles en charge IPv6 ? R. IPv6 n'est pas pris en charge dans la version GA d'avril. La prise en charge d'IPv6 est prévue. Q. Quelle configuration doit être définie pour un déploiement USB ? R. L'hôte, la configuration de l'interface, le fuseau horaire, la configuration NTP (Network Time Protocol), le mot de passe SIC (Secure Internal Communication), l'adresse d'administration de la protection et le mot de passe administrateur. Q. La blade Monitoring est-elle intégrée aux Appliances 1100 ? R. Lorsqu'elles sont administrées de manière centralisée, les Appliances 1100 sont supervisées comme n'importe quelle autre passerelle à l'aide de la blade Monitoring. Q. Quel type de supervision et d'outils sont disponibles dans l'interface utilisateur web locale ? R. Journaux du système et de la protection, utilisation du CPU, de la mémoire et du disque, routage, recherches DNS, ping, traceroute, capture de paquets, et cpinfo pour fournir des diagnostics du système à l'assistance Check Point. Q. Les Appliances prennent-elles en charge SNMP ? R. Oui, SNMP v1/v2/v3 et l'envoi de traps SNMP. Les paramètres des traps SNMP peuvent également être gérés de manière centralisée à l'aide de Security Management Server et de l'utilitaire thresholds_config. Q. Quels types de connexion réseau sont disponibles ? R. IP statique, DHCP, PPPoE, PPTP, L2TP, bridge ou Layer 2, 3G, ADSL et modem analogique. Q. Quelles options DHCP sont prises en charge ? R. Serveur DNS, passerelle par défaut, WINS, serveurs de temps, gestionnaire d'appel, serveur TFTP, fichier de démarrage TFTP, gestionnaire d'affichage X-Windows, téléphone IP Avaya, téléphone IP Nortel, téléphone IP Thomson et personnalisé. © 2013 Check Point Software Technologies Ltd. Tous droits réservés. P. 5 Q. Un portail captif web (Hotspot) est-il intégré ? R. Oui, lorsque cette option est activée, tout utilisateur connecté via les interfaces configurées est dirigé vers un portail captif. Q. Quelles méthodes d'authentification sont prises en charge par les Appliances 1100 pour l'accès administratif et l'accès au portail captif ? R. Les utilisateurs et les groupes définis en local, sur un serveur RADIUS distant ou un serveur Active Directory. Matériel : Q. Les 8 ports LAN peuvent-ils être configurés en tant que commutateur ? R. Oui, et ils peuvent également être configurés en plusieurs groupes commutés. Les 8 ports n'ont pas besoin d'appartenir au même groupe. Il est possible de configurer jusqu'à 4 groupes de commutateurs distincts. Q. Les Appliances 1100 intègrent-elles des éléments mobiles ? R. Non, il n'y a ni ventilateur ni disque dur, ce qui en fait un équipement de sécurité très silencieux. Q. Puis-je utiliser le kit de montage en rack pour une seule Appliance 1100 que je souhaite loger dans mon rack ? R. Oui. Le kit de montage est prévu pour une seule appliance. Reportez-vous aux instructions fournies dans le kit de montage pour obtenir plus d'informations. Performance : Q. Quelles sont les performances des Appliances 1100 ? R. Les performances avec une seule règle de pare-feu (tout autoriser) sont : Voir la fiche produit pour plus d'informations. 1120 1140 1180 Jusqu'à 10 Jusqu'à 25 Jusqu'à 50 Pare-feu, UDP 1518 octets (Mbps) 750 1 000 1 500 VPN, AES-128 (Mbps) 140 175 220 Nombre d'utilisateurs recommandé Q. Lorsque les clients dépassent la limite recommandée quant au nombre d'utilisateurs, que se passe-t-il ? Par exemple, l'Appliance 1120 est recommandée pour 10 utilisateurs. Le 11èmeet le 12ème utilisateurs sont-ils bloqués ? R. Non, il s'agit d'un nombre recommandé d'utilisateurs au regard des capacités de l'appliance en matière de performance et d'exigence client. Q. Un utilisateur peut générer beaucoup de trafic et dépasser la limite de capacité de la bande passante recommandée pour l'appliance. Lorsque la limite de capacité est atteinte, que se passe-t-il ? Les connexions sont-elles encore autorisées ? R. Les connexions sont encore autorisées, mais elles sont potentiellement plus lentes. © 2013 Check Point Software Technologies Ltd. Tous droits réservés. P. 6