Arquitetura de Solues

Check Point

Junior, A. C. Aguiar
Security Product Manager
junior.aguiar@westcon.com.br

Agenda
Software Blade O que ?
Blades de Gateway
Blades de Gerncia
Blades de Endpoint
Compondo as solues

Software Blade
O que ?

O que software blade?

Software blade
construir a segurana
em blocos
Independente
Modular
Gerenciamento
Centralizado

Como trabalha?
Selecione o container

Selecione os blades

Configure o sistema

Uma biblioteca de Software Blades

Event Correlation
Reporting

Messaging Security
Management Extensions

Multi Domain Mgnt

Anti-Malware

Provisioning

Anti Virus
Monitoring

VPN

Data Security

URL Filtering
Log Management

Policy Management

Segurana
Endpoint

Network Firewall

Application Firewall

Gerenciamento

Endpoint Security Mngt

IPS Basic

Segurana de
Rede

Blades de Gateway

Blades de Gateway

Blade comum
sem data de expirao
necessita de suporte para renovar apenas a verso

Blade de servio
inativa aps expirao (normalmente 1 ano)
necessidade de renovao para funcionar

Blades de Gateway (Comum)

Firewall (FW)
VPN IPSEC (VPN)
Mobile Access (MOB)
Identity Awareness (IA)
Advanced Networking (ADN)
Acceleration & Clustering (ACCL)
Web Security (WS)*
* Dependente da blade de IPS

Blades de Gateway (Servios*)

IPS e IPS for Small Business (IPS-S / IPS / IPS-L)

Application Control (APCL)
URL Filtering (URLF)
Anti-Virus & Anti-Malware (AV)
Anti-Spam & Email Security (ASPM)
Total Security e TS for Small Business (TS-M / TS-L)
Data Loss Prevention (DLP-x)**
* Devem ser renovadas anualmente !!!
** Disponibilidade a partir da verso R75

Blades de Gateway (Comum)

Mobile Access (MOB)

Acesso Remoto com Tecnologia SSL VPN Criptografada

Check Point Mobile Client
SSL VPN Portal
SSL Network Extender (On-demand client - SNX)

Mobile Access Software Blade

Easy Access to Email and Applications

Mobile Access Software Blade

Simple for end-user

Tap Check
Point Mobile

Enter your
password

Gain secure
access to
your data!

Blades de Gateway (Comum)

Identity Awareness (IA)

Regras de Acessos Configurveis
Mtodos de Identificao para Mltiplos Usurios:
Clientless
Captive Portal
Identity Agent

Deployment Wizard
Identity Sharing

Blades de Gateway (Servios)

IPS e IPS for Small Business (IPS-S / IPS /

IPS-L)*
IPS completo
NO o antigo SmartDefense (veio para
substitu-lo)
Cdigo completamente novo
At 15 Gbps de throughput (Power-1 11085)
#1 em protees para Adobe / MS em 2008/2009
Premiado pela NSS Labs
* IPS-S licena mais barata para algumas
solues (veja http://pricelist.checkpoint.com)

Blades de Gateway (Servios)

Application Control (APCL)*

Controle de Deteco e Uso de Aplicaes

Biblioteca de Aplicaes Classificadas pela AppWiki
UserCheck
User and machine awareness

* Disponibilidade a partir da verso R75

Application Detection and

Usage Controls

Application Detection
and Usage Controls

Enable access for

support team

Identify, allow, block or limit usage of

applications at user or group level

Blades de Gateway (Servios)

Total Security e TS for Small Business (TS-M / TS-S)

TS = IPS + APCL + URLF + AV + ASPM
$ TS < $ IPS + APCL + URLF + AV + ASPM
* TS-S licena mais barata para algumas solues
(veja http://pricelist.checkpoint.com)

Blades de Gerncia

Blades de Gerncia

Network Policy Management (NPM)

Endpoint Policy Management (EPM)
Logging & Status (LOGS)
Monitoring (MNTR)
SmartProvisioning (PRVS)
Management Portal (MPTL)
User Directory (UDIR)
SmartEvent Intro (EVNT-INT)
SmartEvent & SmartReporter (EVS-Cxxx)
SmartWorkflow (WKFL-x)

Blades de Gerncia

Network Policy Management (NPM)

SmartDashboard
Interface nica de configurao
Interface grfica intuitiva

Blades de Gerncia

Blades de Gerncia

Endpoint Policy Management (EPM)

NO licena de cliente
Habilita algumas funcionalidades de
gerncia da soluo Endpoint Security
* Atualmente a gerncia completa da soluo
Endpoint Security realizada atravs de uma
console prpria

Blades de Gerncia

Logging & Status (LOGS)

Logs de eventos
Auditoria
Conexes ativas
Status dos Dispositivos

Blades de Gerncia

Blades de Gerncia

Blades de Gerncia

SmartWorkflow (WKFL-x)

Gerncia de mudanas da poltica de segurana

Fcil visualizao das mudanas propostas
Aprovao necessria para implementao
Licenciado pelo nmero de gateways

Blades de Gerncia

Blades de Gerncia

Blades de Gerncia

Blades de Endpoint

Blades de Endpoint

Blade perptua
sem data de expirao
necessita de suporte para renovar apenas a verso

Blade anual
inativa aps expirao (normalmente 1 ano)
necessidade de renovao para funcionar
* Gerenciamento da soluo Endpoint
j incluso em ambas opes.

Blades de Endpoint (Perptua)

Firewall (FW)
Full Disk Encryption (FDE-P)
Media Encryption (ME-P)
Remote Access VPN (VPN-P)
Web Check (WEBC-P)
Total Security (TS-P)*
* TS Perptua no inclui a blade de
Anti-Malware.

Blades de Endpoint (Anual*)

Firewall (FW)
Full Disk Encryption (FDE)
Media Encryption (ME)
Remote Access VPN (VPN)
Anti-Malware and Program Control (AM)
Web Check (WEBC)
Total Security (TS)**
* Devem ser renovadas anualmente !!!
** TS Annual inclui todas as blades,
inclusive Anti-Malware.

ATENO!!!

Notas importantes:
Blades de UTM (URLF, AV, ASPM, TS) no rodam em IP
appliance.
Power-1 e IP appliance no tem gerncia inclusa. Devemos
cotar parte.
Power-1 e IP appliance no possui part number de HA.
Blades de HA s podem ser utilizadas em containers de HA.
Bundles ou Packages no podem ter suas blades movidas. As
nicas blades que podem ser movidas para outros containers
so aquelas adquiridas separadamente.

FERRAMENTAS TEIS

Lista de preos na web:

Detalhes sobre a composio dos part numbers e informaes
sobre licenciamento, tais como restries, licenas adicionais
inclusas ou necessrias.
http://pricelist.checkpoint.com

Informaes sobre os appliances:

Detalhes sobre os appliances, tais como nmero de interfaces,
tipo, throughput (FW, VPN e IPS), conexes simultneas, etc.
http://www.checkpoint.com/products/downloads/appliances/ope
nchoice_brochure.pdf
http://www.checkpoint.com/products/downloads/appliances/appl
iance-comparison-chart.pdf

Compondo as solues

Formato do Part Number / SKU

A primeira seo representa a famlia do produto:

CPSG = Check Point Security Gateway

CPSM = Check Point Security Management
CPAP= Check Point Appliance
CPSB = Check Point Security Blade

A segunda seo representa a sub-famlia do produto:

C101 = Container for 1 core hardware, includes 1 blade.

C401 = Container for 4 cores, includes 1 blade
P205 = Package (bundle) for 2 cores, includes 5 blades.
SG276 = Security Gateway appliance model 270, includes 6 blades.
SG9075 = Security Gateway appliance model 9070, includes 5 blades
PU007 = Package for Unlimited managed gateway, includes 7 blades.

Formato do Part Number / SKU

Formato do Part Number / SKU

Formato do Part Number / SKU

Formato do Part Number / SKU

Formato do Part Number / SKU

Duas opes
Opo 1:
A La Carte

Opo 2:
Pre-Defined Systems*
SG103
1 core
3 blades

SG407
4 cores
7 blades

SG805
8 cores
5 blades
*Examples

Compondo um gateway
Passo 1

Passo 2

Passo 3

Selecione o container
# ncleos
# usurios

Selecione as blades

Configure seu firewall

Compondo um gateway

Container*

CPSG-C801
CPSG-C401
CPSG-C201
CPSG-C101

Gateway

CPSB-VPN
CPSB-WS
CPSB-ADN
CPSB-ACCL
CPSB-VOIP

* O container j inclui a blade FW ( o significado do 1 no final do P/N)

* 8, 4, 2 e 1 a quantidade de ncleos em uso no hardware.
* SG100 limitado a 50 usurios. SG200 limitado a 500 usurios.
SG400 e SG800 so para ilimitados usurios.
Sufixo HA - Part numbers com desconto para membros adicionais de um cluster
(ex: CPSB-WS-HA)

Compondo um gateway
Gateway Servios

CPSB-TS-M
CPSB-TS-S*
CPSB-IPS
CPSB-IPS-S*
CPSB-URLF
CPSB-AV
CPSB-ASPM

CPSB-DLP-U **
CPSB-DLP-1500 ***
CPSP-DLP-500 ****

* Blades para Small Business

** Mais de 1.500 usurios, at 250.000 e-mails por hora e mximo de 2,5 Gbps
de throughput
*** De 500 a 1.500 usurios, at 50.000 e-mails por hora e mximo de 1,5 Gbps
de throughput
**** At 500 usurios, at 15.000 e-mails por hora e mximo de 700 Mbps
Sufixo HA - Part numbers com desconto para membros adicionais de um cluster
(ex: CPSB-IPS-HA)

Gateways pr-definidos
SG1207 - 12 ncleos - ilimitado - FW, IA, VPN, AND, ACCL, IPS e APCL
SG807 - 8 ncleos - ilimitado - FW, IA, VPN, AND, ACCL, IPS e APCL
SG409 - 4 ncleos - ilimitado - FW, IA, VPN, ACC, IPS, ASPM, URLF, AV e
APCL
SG407i - 4 ncleos - ilimitado - FW, IA, VPN, ADN, ACCL, IPS e ACCL
SG405 - 4 ncleos - ilimitado - FW, VPN, IPS, ADN e ACCL
SG203U - 2 ncleos - ilimitado - FW, VPN e IPS
SG209 - 2 ncleos - 500 usurios - FW, IA, VPN, ACCL, IPS, ASPM, URLF, AV e
APCL
SG207i - 2 ncleos - 500 usurios - FW, IA, VPN, ADN, ACCL, IPS e APCL
SG205i - 2 ncleos - 500 usurios - FW, IA, VPN, IPS e APCL
SG205U - 2 ncleos - ilimitado - FW, IA, VPN, IPS e APCL
SG205 - 2 ncleos - 500 usurios - FW, VPN, IPS, ADN e ACCL
SG203 - 2 ncleos - 500 usurios - FW, VPN e IPS
SG108 - 1 ncleo - 50 usurios - FW, IA, VPN, IPS, ASPM, URLF, AV e APCL
SG103 - 1 ncleo - 50 usurios - FW, VPN e IPS
Sufixo HA - Part numbers com desconto para membros adicionais de um cluster (ex: CPSB-WS-HA)

Compondo uma gerncia

Passo 1

Passo 2

Passo 3

Selecione o container
# gateways

Selecione as blades

Configure seu
SmartCenter

LOGS

Unlimited Gateways

EPM

NPM

LOGS

MNTR

EPM

NPM

25 Gateways

MNTR

10 Gateways

Compondo uma gerncia

Container*
CPSM-CU000
CPSM-C2500
CPSM-C1000

Blades
CPSB-NPM
CPSB-EPM
CPSB-LOGS

Blades (cont.)

CPSB-MNTR
CPSB-MPTL
CPSB-UDIR
CPSB-EVNT-INT
CPSB-PRVS
CPSB-EVS-Cxxx **
CPSB-WKFL-y ***

* Part number para ilimitados, 25 e 10 gateways respectivamente

** xxx = U000, 2500 ou 1000 (para container ilimitado, 25 ou 10 gateways)
*** y = U, 250, 100, 50, 25 ou 10 (nmero de gateways)
CPSM-C500 Aumenta o nmero de gateways suportados (5 gateways adicionais)
Para redundncia, duplique os part numbers

Gerncias pr-definidas

SMU007 - ilimitado - NPM, EPM, LOGS, MNTR, IPSA, PRVS e UDIR

SMU003 - ilimitado - NPM, EPM e LOGS
SM2506 - 25 gateways - NPM, EPM, LOGS, MNTR, IPSA e PRVS
SM1007 - 10 gateways - NPM, EPM, LOGS, MNTR, IPSA, PRVS e UDIR
SM1003 - 10 gateways - NPM, EPM e LOGS

Bundles de gateway + gerncia

CPSG-P807-CPSM-PU007
CPSG-P407i-CPSM-PU003
CPSG-P407i-CPSM-P2506
CPSG-P407i-CPSM-P1003
CPSG-P203-CPSM-P1003
CPSG-P203-CPSM-P303
CPSG-P103-CPSM-P303
CPSG-P103-CPSM-P203

Compondo a soluo Endpoint

Passo 1

Passo 2

Passo 3

Selecione o container
# endpoints

Selecione as blades

Configure seu
Endpoint

1-100 Endpoints

MNTR

LOGS

1001-2500 Endpoints
EPM

+2500 Endpoints
+2500 Endpoints

NPM

MNTR

LOGS

EPM

NPM

101-1000 Endpoints

Compondo a soluo Endpoint

Container

CPEP-C1-1TO100
CPEP-C1-101TO1000
CPEP-C1-1001TO2500
CPEP-C1-2501TOU

Blades

CPSB-EP-FW (ou -P)

CPSB-EP-FDE (ou -P)
CPSB-EP-ME (ou -P)
CPSB-EP-VPN (ou -P)
CPSB-EP-WEBC (ou -P)
CPSB-EP-TS (ou -P)
CPSB-EP-AM

De uma faixa para a outra o preo cai pela metade

Gerncia do Endpoint j inclusa no licenciamento da soluo
No existe a opo perptua para a blade Anti-Malware.

DICAS!!!

Faa simulaes entre as vrias opes:

Existem vrias possibilidades para atender a mesma solicitao.
Avaliar algumas opes pode fazer muita diferena no valor do
projeto. Por exemplo:
O part number CPSG-P103-CPSM-P203 pode ser uma boa
opo para atender clientes que desejam um appliance que no
tem gerncia. Mais em conta do que a SM1003.
Faixas superiores da soluo Endpoint equivalem a metade do
valor das faixas inferiores. Avalie!!!

REDUO DO VALOR DO PROJETO!!!

Obrigado!!!
Junior, A. C. Aguiar
Security Product Manager
junior.aguiar@westcon.com.br
+55 11 5186.4316
+55 11 9655.6250