You are on page 1of 6

Brief technique

:
Check Point GAiA

DESCRIPTION DU PRODUIT
Check Point GAiA est le système
d'exploitation sécurisé de nouvelle
Check Point GAiA génération pour toutes les Appliances
Check Point, les serveurs ouverts
Le système d'exploitation et les passerelles virtualisées. En
sécurisé de nouvelle adoptant GAiA, les utilisateurs
bénéficient de meilleures capacités
génération de connexion, ainsi que de l'étendue
et de la puissance des technologies
de sécurité de Check Point.

Check Point GAiA™ FONCTIONNALITÉS CLÉS
■ Compatibilité totale avec IPSO
et SecurePlatform
Une plus grande efficacité opérationnelle, ■ Interface utilisateur riche en
fonctionnalités
sécurité IPv6, OS 64 bits ■ Sécurité IPv6 native avec capacités
de connexion élevées (OS 64 bits)

VOTRE PROBLÉMATIQUE AVANTAGES CLÉS
■ Combinaison des meilleures
Lorsque les entreprises doivent s'équiper d'une plate-forme de sécurité, elles ont en
général deux choix possibles : simplicité ou flexibilité. Si elles choisissent la simplicité caractéristiques d'IPSO et de SPLAT
■ Efficacité opérationnelle accrue
d'une appliance de sécurité, elles perdent la possibilité d'ajouter des technologies
lorsque leurs besoins changent. Ou bien elles déploient leur solution de sécurité ■ Plate-forme sécurisée pour les
sur un serveur ouvert souple et peu coûteux, qui doit être modifié, ou « durci », pour environnements les plus exigeants
le rendre plus sûr ; un processus pouvant s'avérer bien moins simple. Avec des
ressources limitées en financement et en personnel informatique, les entreprises ont
souvent l'impression qu'elles doivent choisir entre simplicité et flexibilité.

NOTRE SOLUTION
Le système d'exploitation Check Point GAiA allie simplicité et sécurité intégrée avec
la possibilité de faire fonctionner le même système d'exploitation pré-durci sur les
appliances, les serveurs ouverts et les passerelles virtualisées.

Les interfaces d'administration web et en ligne de commande (CLI) riches en
fonctionnalités de GAiA sont idéales aussi bien pour les novices que pour les
utilisateurs chevronnés. L'intégration d'interfaces d'administration standards telles
que RADIUS et TACACs+ pour l'authentification, et SNMP pour la surveillance,
garantit que le dispositif de sécurité s'intègre parfaitement aux environnements
d'administration les plus dynamiques. La prise en charge d'IPv4 et d'IPv6, des
protocoles de routage dynamique et d'agrégation des liens 802.3ad, garantit que le
dispositif s'intègre parfaitement dans les réseaux les plus complexes.

Avec les solutions de pointe de Check Point en matière de sécurité et la souplesse
de l'Architecture Software Blade fonctionnant sur le système d'exploitation pré-
durci GAiA, les administrateurs disposant de ressources limitées peuvent déployer
rapidement en tout point du réseau une protection complète avec la plate-forme
GAiA.

© 2012 Check Point Software Technologies Ltd. Tous droits réservés.
|
Catégorie : [Protégé] — Tous droits réservés 1

Tous droits réservés. SERVEURS OUVERTS ET PASSERELLES VIRTUALISÉES GAiA combine les meilleures technologies des systèmes d'exploitation SecurePlatform et IPSO pour proposer un système d'exploitation unifié et intégré pour toutes les Appliances Check Point.Installation en une étape .ClusterXL ou VRRP .Accélération SecureXL et CoreXL • Options supplémentaires de clustering • Options supplémentaires de clustering .Prise en charge de Dual Stack et de Tunneling .Délégation d'administration . | Catégorie : [Protégé] — Tous droits réservés 2 . SecurePlatform IPSO VMware et serveurs ouverts AVANTAGES DE GAIA POUR LES UTILISATEURS DE SECUREPLATFORM ET D'IPSO Utilisateurs IPSO Utilisateurs SecurePlatform • Facilité d'utilisation • Administration avancée .Assistants de configuration .Réplication . les serveurs ouverts et les environnements virtualisés.WebUI et CLI .OS 64 bits • Sécurité IPv6 • Sécurité IPv6 .Plusieurs ensembles de configuration • Prise en charge complète des blades • Routage dynamique configurable • Meilleures capacités de connexion • Meilleures capacités de connexion .ClusterXL ou VRRP • Gestion étendue du matériel • Gestion étendue du matériel .Snapshot .Réplication • Mises à jour logicielles automatiques • Mises à jour logicielles automatiques © 2012 Check Point Software Technologies Ltd.Accélération SecureXL et CoreXL .Snapshot .Brief technique : Check Point GAiA PLATE-FORME SÉCURISÉE POUR APPLIANCES.Prise en charge de Dual Stack et de Tunneling .OS 64 bits .Enregistrement en un clic .

Firefox et Safari. Explorer. Pour les utilisateurs préférant l'interface CLI. Des blades L'interface web utilisateur intuitive offre une expérience peuvent également être sélectionnées individuellement utilisateur novatrice aux administrateurs de sécurité.29.168. VPN IPSec.168. la messagerie).168. Mobile Access (accès VPN SSL).29. et améliore l'efficacité opérationnelle et le contrôle des activités administratives. Elle intègre pour constituer une solution personnalisée et répondre à toutes les fonctions d'administration dans un tableau de bord des besoins spécifiques.56 macaddress 0:a0:8e:7d:13:d0 add arp static ipv4-address 192. Application Control (contrôle fournit des résultats instantanés sur les commandes et les des applications). gateway address 192.54 mask-length 24 set interface eth1 ipv6-address 2607:f0b0:1:3800::1 mask-length 64 set interface eth1 state on ---configurer VRRP set vrrp interface eth1 on set vrrp coldstart-delay 60 © 2012 Check Point Software Technologies Ltd. GAiA prend également en charge les blades d'administration de la sécurité qui regroupent la configuration des règles de sécurité.168. la supervision. De nouvelles commandes et possibilités supplémentaires sont également ajoutées à Délégation d'administratif par rôle l'interface CLI de GAiA pour la rendre encore plus puissante et La séparation des droits fait partie d'une bonne politique de plus intuitive à utiliser. | Catégorie : [Protégé] — Tous droits réservés 3 . Chrome. L'accès administratif par rôle ---définir la passerelle par défaut apporte un contrôle granulaire aux utilisateurs de GAiA pour set static-route default nexthop gateway address leur permettre de personnaliser les règles de sécurité à leurs 192. Tous droits réservés. dans une seule interface pour minimiser le coût total de propriété.29.29. URL Filtering (filtrage des émulateur Shell est disponible en un un clic depuis l'interface URL).23. la journalisation.2 priority 1 on besoins particuliers. Des niveaux d'accès spécifiques peuvent ---ajouter des routes statiques ainsi être accordées en fonction du rôle et des responsabilités set static-route 172.29.57 macaddress 0:a0:8e:7d:13:d0 ---ajouter une interface set interface eth1 link-speed 1000M/full state on set interface eth1 ipv4-address 192. La recherche intégrée IPS (prévention d'intrusions). Les blades passerelles de sécurité accessible via les navigateurs web les plus populaires : Internet prises en charge comprennent Firewall (pare-feu).150/32 nexthop de chaque individu pour renforcer l'environnement de sécurité. Blades passerelles de sécurité Compatibilité complète avec IPSO et SPLAT La transition vers GAiA est un jeu d'enfant pour les administrateurs de sécurité.50 on ---ajouter un proxy ARP add arp static ipv4-address 192. Anti-Bot. un (prévention des pertes de données). Des solutions FONCTIONNALITÉS prépackagées proposent une sécurité clé en main pour Interface web utilisateur avec recherche différents scénarios de déploiement en entreprise. DLP propriétés. le reporting et la gestion des événements de sécurité.168.Brief technique : Check Point GAiA Prise en charge complète des blades AUGMENTATION DE L'EFFICACITÉ GAiA et la totalité des blades prises en charge fournissent OPÉRATIONNELLE GRÂCE À DE TRÈS NOMBREUSES une protection complète et multicouches. Par exemple : sécurité. Identity awareness (prise en charge des identités) et Advanced Networking & Clustering (routage dynamique et clustering). Anti-spam & Email Security (antispam et protection de web. Les puissantes commandes CLI (interface en ligne de commande) d'IPSO et de SPLAT sont parfaitement intégrées à GAiA.124.

Des commandes étendues donnent accès à des élevée pour le réseau. | Catégorie : [Protégé] — Tous droits réservés 4 . Les services internes peuvent être migrés sur IPv6 de manière progressive. Une fonctionnalité est un groupe de commandes maintenir de robustes performances de sécurité et une intégrité associées. C'est-à-dire que les paquets IPv4 et IPv6 contre la divulgation des contenus des messages SNMP. Tous droits réservés. Il peut également être utilisé comme System) sont des normes d'authentification client/serveur qui package de mise à niveau pour SmartUpdate. personnalisée d'IPSO vers GAiA. nouvelles versions et des correctifs peuvent être programmés à des horaires où l'impact sur l'activité est minimal. y compris les réseaux IP de future GAiA prend en charge le modèle de sécurité sur utilisateurs génération. des utilisateurs. GAiA implémente des modules PAM (Pluggable Authentication Modules). La blade Acceleration and Clustering intègre (USM). tel que défini dans la RFC 3414. et un mécanisme de vérification peut automatiquement revenir à la configuration précédente en cas de problème. En règle générale. le téléchargement et le déploiement automatiques des être définies en saisissant « add command ». Créez un modèle d'assistant d'installation Prise en charge des serveurs d'authentification initiale. Avec PAM. Avec USM. l'authentification. Les temps de mise à jour ont été réduits à quelques secondes seulement. et ceux migrant vers IPv6 bénéficieront des méthodes de l'accès au service SNMP est contrôlé sur la base des identités transition Dual Stack et Tunneling de GAiA. mettez la passerelle gestion des comptes et les algorithmes de gestion de session IPSO à niveau puis créez un package de mise à niveau sont intégrés à des modules partagés. GAiA s'intègre à ces bases de données centralisées résidant sur les PLATE-FORME SÉCURISÉE POUR LES serveurs d'authentification des entreprises pour authentifier les ENVIRONNEMENTS LES PLUS EXIGEANTS administrateurs et les opérateurs GAiA. et concernant l'état des mises à jour. AAA intègre l'authentification ---création d'un modèle pour le déploiement des (identification d'un utilisateur). un framework standard d'authentification et d'autorisation des utilisateurs. et la responsabilité config_system –create-template <path> (suivi de certains aspects de l'activité d'un utilisateur). Avec la prise en charge des protocoles réseau IPv4 et IPv6. GAiA fournit une protection efficace et complète pour tous Prise en charge des normes de supervision standards les réseaux modernes. et sont transmis et reçus par la équipements managés utilisent des messages d'interruption même interface. Des station de gestion de réseau (NMS). Des commandes étendues supplémentaires peuvent de GAiA. l'autorisation (pour déterminer passerelles ce qu'un utilisateur est autorisé à faire). Les transitent sur le même brin. © 2012 Check Point Software Technologies Ltd. un composant de SNMPv3 pour sécuriser les également la prise en charge d'IPv6. tels que pouvant parfois causer des perturbations des services réseau le système d'exploitation ou les utilitaires des passerelles de ou de votre activité. une phrase d'authentification pour identifier l'utilisateur. la Afin de faciliter les migrations depuis IPSO. Des emails de notification sont envoyés lorsque de nouvelles mises à jour ou des mises à jour recommandées sont disponibles. Cela comprend les liens Prise en charge native d'IPv4 et IPv6 configurables entre des groupes et des rôles. puis utilisez-le durant le processus de déploiement pour standards configurer automatiquement la passerelle. Avec les mises à jour logicielles intelligentes sécurité. Les clients qui ne peuvent pas utiliser IPv6 seront toujours en mesure d'accéder aux services via IPv4. Cette méthode reste la meilleure stratégie pour signaler des événements matériels et logiciels à une de transition pour la plupart des réseaux d'entreprise. Chaque utilisateur possède un nom. Le composant AAA de GAiA gère l'accès des utilisateurs à l'appliance.Brief technique : Check Point GAiA Les commandes GAiA sont organisées en fonctionnalités et Mises à jour logicielles automatiques commandes qui peuvent être affectées au besoin à des rôles Les mises à jour logicielles sont un processus important pour administratifs. politiques de sécurité pour IPv6 peuvent être mises en œuvre sur la base des politiques de sécurité existantes pour IPv4. Les utilisateurs d'IPv4 messages. et une La Dual Stack permet d'utiliser les protocoles IPv4 et IPv6 phrase de confidentialité optionnelle pour la protection en parallèle. prennent en charge les applications d'accès à distance. Il s'agit également d'un processus possibilités hors du domaine de la ligne de commande. Ce package de mise à niveau peut être utilisé pour mettre à niveau rapidement plusieurs RADIUS (Remote Authentication Dial-In User Service) et passerelles sans avoir à répéter les étapes de configuration de TACACS+ (Terminal Access Controller Access-Control la mise à niveau initiale. Automatisation des déploiements des passerelles de sécurité GAiA simplifie le processus de déploiement grâce à de nouveaux outils.

3 12200 4/12 1. managée similaires aux VPN.2/3. et prendre en charge aussi bien les routes statiques générique dans IPv6 » est la principale approche d'intégration que les protocoles de routage dynamique. l'utilisation de la technologie VPN est préférable pour la création GAiA est capable d'augmenter les capacités de connexion des de tunnels entre le réseau principal de l'entreprise et des sites Appliances Check Point. Les tunnels Meilleures capacités de connexion non chiffrés sont appropriés à l'intérieur d'une entreprise. Toutes les appliances qui intègrent un minimum de 6 Go de mémoire peuvent bénéficier de l'augmentation des capacités de connexion du système d'exploitation 64 bits. De même. connexions sur les OS 32 bits.5 IP 1280 4/8 1. | Catégorie : [Protégé] — Tous droits réservés 5 . mais (RFC 3768). La technologie VPN IPSEC peut également être utilisée pour créer des tunnels sécurisés et/ou authentifiés. ClusterXL et VRRP sont entièrement paquets IPv6 peuvent être intégrés à des paquets IPv4 pour pris en charge par GAiA.3 IP 2450 4/8 1. mais Grâce à l'efficacité de son système d'exploitation 64 bits. BGP et PIM-SM/DM.2/3. le « Tunneling sécurité. dont notamment d'IPv4 dans IPv6. Tous droits réservés. Le routage intégral permet de d'hôte à routeur ou de routeur à routeur. ce dernier étant disponible sur atteindre la partie d'Internet prenant en charge IPv6. GAiA prend en charge les tunnels configurés en plates-formes/fonctions de sécurité préférées.2 millions de distants. Clusters ClusterXL ou VRRP pour. Le cluster sert « IPv6 dans IPv4 » (RFC4213).2/5 12400 4/12 1.3 Serveurs ouverts Variable/24 Variable/24 © 2012 Check Point Software Technologies Ltd. y compris les réseaux exigeants et de hautes performances. Un exemple d'utilisation courant technologie Check Point ClusterXL ou le protocole VRRP est celui d'une petite entreprise qui veut accéder à IPv6.2/3. jusque-là limitées à 1. et jusqu'à 70 millions de connexions simultanées sur le système de sécurité 61000. transporter un paquet IPv6 dans la partie Que votre protocole de redondance réseau préféré soit la données d'un paquet IPv4. Modèle d'appliance Mémoire par défaut/maximale (Go) Connections simultanées par défaut/maximales (millions) 4800 4/8 1.5/5 21400 12/24 5/10 Power-1 11000 6/6 2. qui est la principale approche de système unique pour prendre en charge les applications de d'intégration d'IPv6 dans IPv4. les serveurs ouverts et exemple d'utilisation d'IPv6 sur un tunnel IPv4 en entreprise les environnements virtualisés. Cette solutions est idéale pour tous les environnements réseau. par exemple. trafic.Brief technique : Check Point GAiA Le Tunneling permet d'utiliser un protocole sur un autre. sauf qu'ils ne sécurisent ni n'authentifient le comme un système unique. il n'est plus nécessaire de faire le choix entre son FAI ne prend pas encore en charge IPv6. OSPF. Les capacités de connexion sont ainsi poussées jusqu'à 10 millions de connexions simultanées sur les appliances 2012. Un autre toutes les Appliances Check Point. les les deux avec GAiA. Vous n'avez plus à faire de consiste à relier ensemble les parties du réseau qui sont en IPv4 compromis entre les protocoles réseau nécessaires et les uniquement. Il peut s'agir de connexions d'hôte à hôte. Avec GAiA.2/5 12600 6/12 2. Ces tunnels sont très constituer une passerelle en haute disponibilité.

Le script s'exécute automatiquement . gérés selon vos préférences à partir de l'interface web ou de l'interface en ligne de commande. la connexion bascule automatiquement sur Onze protocoles de routage dynamique et de multicast sont l'interface esclave principale. • PIM-DM state permet de superviser complètement l'interface entre la 1966. Placez l'image ISO de GAiA sur un serveur FTP • Haute disponibilité (active/de réserve) : Redondance en 2. Copiez le package de mise à jour GAiA sur l'appliance IP cas de panne d'interface ou de lien. PROCHAINES ÉTAPES — MIGRATION VERS GAIA Routage sur politique Check Point GAiA est disponible pour évaluation. Cette stratégie prend 3. Exécutez : # patch add cd L'agrégation de liens est une technologie qui relie plusieurs 4. d'accès). 2918 refresh draft-ietf-pim.Active/de réserve — Si l'interface esclave active tombe Siège mondial CONTACTS 5 Ha’Solelim Street. France | Tél. Après la mise à niveau. refresh-02. Redémarrez aux pannes et augmente le débit en répartissant la charge sur 7. passerelle et un commutateur.Round Robin — Sélection de l'interface esclave active de • OSPFv2 RFC 2328 manière séquentielle. Confirmez manière séquentielle.802. Si l'interface esclave pris en charge par GAiA pour fournir une connectivité réseau principale n'est pas disponible. 7. y compris via • Longueur du masque source DVD ou clé USB. Ce protocole • BGP4 RFCs 1771. Connectez un lecteur DVD au port USB de l'ordinateur Agrégation de liens 3. 1997. la connexion bascule sur souple et sans interruption. : +33 (0)1 55 49 12 00 | Fax : +33 (0)1 55 49 12 01 Email : info_fr@checkpoint. consultez la vous créez des routes statiques et redirigez le trafic vers les page Essayez nos produits pour obtenir une licence de 30 jours tables appropriées en utilisant une liste ACL (liste de contrôle d'essai pour l'évaluation de Check Point GAiA.checkpoint. l'utilisation d'une liste ACL permet de rediriger le trafic en fonction de ces critères : Première installation • Adresse source Plusieurs options d'installation sont disponibles. 1963. Exécutez le package de mise à jour également en charge la redondance du commutateur dans 4.40 contrôle détaillé sur le transfert du trafic à l'aide du routage pour commencer l'évaluation dès aujourd'hui. Les Renardières. • Interface Vue d'ensemble de la mise à niveau à partir de Une future version de GAiA prendra en charge le routage PBR SecurePlatform en fonction du port ou du service. 1. La répartition de charge ne permet pas la redondance du commutateur. 92400 Courbevoie.com CHECK POINT Siège français 1 place Victor Hugo. connaissez pas encore les solutions Check Point. vous pouvez exercer un le site de Check Point et les pages d'assistance de R75. L'interface de liaison améliore la tolérance 6.3ad — Utilisation dynamique des esclaves actifs pour • OSPF NSSA RFC 3101 • PIM-DM RFC 3973 répartir la charge à l'aide du protocole LACP. Installez l'image et exécuter l'assistant de • Adresse de destination première installation à partir de l'interface web ou l'interface en • Longueur du masque destination ligne de commande. Si vous ne PBR (routage sur politique). De cette manière. Indiquez un modèle de mise à niveau (en option) . Installez une politique de sécurité plusieurs interfaces. Mardi 15 mai 2012 . Indiquez un emplacement de sauvegarde (en option) un des modes suivants : 5. Tel Aviv 67897.com © 2012 Check Point Software Technologies Ltd. : +972 3 753 4555 | Fax : +972 3 624 1100 | Email : info@checkpoint. Vous pouvez définir des interfaces de liaison en utilisant une des stratégies fonctionnelles suivantes : Vue d'ensemble de la mise à niveau à partir d'IPSO 1. Consultez En tant qu'administrateur réseau. • Répartition de charge (active/active) : Les interfaces esclaves sont actives simultanément. appelée 5.txt . Vous • RIP RFC 1058 • IGMPv2 RFC 2236 pouvez configurer la répartition de charge à l'aide d'un des • RIPv 2 (avec authentication) • IGMPv3 RFC 3376 modes suivants : RFC 1723 • PIM-SM RFC 4601 .XOR — Algorithme de sélection d'esclave en fonction de la couche TCP/IP. retirez le DVD du lecteur interface de liaison. Tous droits réservés. Sélectionnez l'option de mise à niveau souhaitée interfaces physiques en une seule interface virtuelle. Mettez à niveau les licences vers R75 ou supérieur 2. Le trafic est réparti entre les Protocoles de routage dynamique Protocoles multicast interfaces esclaves pour maximiser le débit.Round Robin — Sélection de l'interface esclave active de 6. Lorsque vous utilisez du PBR. • PIM-SSM RFC 4601 .Brief technique : Check Point GAiA Suite de routage dynamique en panne.com | www. Tous les protocoles peuvent être un autre esclave. Israël | Tél.