CHKP1 R80.10 Chapitre02-Produits

Chapitre II : les produits Check Point

Présentation Check Point Software :
• Société israélienne créée en 1993 par Gil Shwed, Marius Nacht et Shlomo
Kramer.
• Siège social à Tel Aviv.
• Le CEO est Gil Shwed.
• Centres de développement en Israël (cœur du produit), Californie
(ZoneLabs), Suède (ProtectData) et Biélorussie.
• S’est imposée sur le marché avec Firewall-1, suivi plus tard de VPN-1 et
FloodGate-1.
• Environ 2900 salariés (2014), 3900 (2016), 4300 (2017)
• Présence massive chez les grands comptes (100% des entreprises du
Fortune100).
• Plusieurs anciens employés ont créé des startups dans la sécurité : Nir Zuk
(Palo Alto Networks), Shlomo Kramer (Imperva), Ruvi Kitov & Reuven
Harrison (Tufin).
Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 2

Historique – Années 1990 :
Check Point, créé en 1993 est l’inventeur de la technologie brevetée « Stateful
Inspection ».
Les premiers produits sont distribués par Sun Microsystems

(« Solstice Firewall-1 »).
Le produit se distingue par son interface graphique et son système « 3 tiers ».
La société est uniquement logicielle.
Ses produits s’appellent : Firewall-1, VPN-1, FloodGate-1.
Check Point Software impose sa technologie stateful inspection, et son interface

graphique chez les grands comptes. La société s’introduit en bourse (IPO au Nasdaq) en
1996.
Check Point R80.10 Niveau 1

Secureware, Copyright © 2017 3
Diversification sur le poste de travail avec le rachat de ZoneLabs, ProtectData.
Présentation de l’un des premiers OS dédiés, Secure Platform, à base de Linux (Red Hat).
En 2006, démarrage des ventes d’appliances (UTM-1, Power-1, Connectra…) pour résister
aux vendeurs de matériel.
Efforts pour percer sur le marché de l’IPS : tentative avortée du rachat de Sourcefire, puis
rachat de NFR Security.

Développement accru du concept Software Blade.
Mise en œuvre du concept « Next Generation Firewall » dès la version R75 pour contrer
Palo Alto Networks : sortie de Identity Awareness et Application Control.
Arrêt des gammes de produits non profitables : Check Point GO, Connectra,…
Sortie de nouvelles appliances dédiées (DDoS Protector, …).
Unification des O.S. avec l’apparition de Gaïa et la disparition progressive d’IPSO,

SecurePlatform (prochainement) et des firmware UTM-1 Edge.
Effort important à partir de 2015 sur la sécurité des terminaux mobiles (iOS, Androïd,…)
et la détection des menaces 0-Day.
Sortie de R80.10 en Mai 2017 et du concept « Check Point Infinity »

Acquisitions anciennes.
• Check Point a racheté ZoneLabs en 2003.

• En 2006, Check Point s’est porté acquéreur de ProtectData (développeur
de Pointsec).
• En Mars 2009, Check Point s’est porté acquéreur de l’entité Nokia IP
Security.
• En Juin 2010, Check Point a racheté Liquid Machines, active sur le marché
de la conformité (Enterprise Rights Management Software).
• L’année suivante, Check Point a racheté Dynasec, dont le produit a donné
la « Compliance Software Blade ».

Acquisitions récentes.
• En Avril 2015 Check Point Software a annoncé l'acquisition de Hyperwise,

une société, qui a développé un moteur de prévention des menaces au
niveau du CPU.
Les produits de Hyperwise viennent renforcer les capacités des Software
Blades Threat Prevention et Threat Emulation.
• Check Point a également racheté Lacoon Mobile Security, une société lui
permettant de développer ses offres de protection des terminaux mobiles
en Avril 2015.
L’offre Lacoon est à la base de l’offre Check Point Mobile Threat Prevention.

L’analyse du Gartner – Segment « Enterprise Network Firewalls »

Depuis de nombreuses années, le cabinet de recherche Gartner a consacré la
stratégie de Check Point sur le marché des grandes entreprises.

Le Gartner – Segment « Enterprise Network Firewalls » en 2017
Le rapport du Gartner de Juillet 2017

L’analyse du Gartner
Sur le segment UTM (Unified Threat Management), le Gartner considère que Check
Point a rattrapé son retard sur l’essentiel des acteurs à l’exception de Fortinet.

Principaux concurrents :
Cisco : Cisco s’est renforcé par le rachat de Sourcefire.

Cisco TalOS compte parmi les centres de recherche de vulnérabilités les plus réputés
au monde.
Fortinet : le champion de l’UTM. Présente une offre très large, un grand nombre de
fonctionnalités, et à un prix compétitif. A sorti en Avril 2017, FortiOS 5.6.
Palo Alto Networks : inventeur du concept du « Next Generation Firewall », attaque

en priorité le haut de gamme. A présenté en Février 2017 la version PAN-OS 8.0.
Autres challengers : Dell (Sonicwall), WatchGuard, Intel (McAfee), Sophos, Juniper.

Segment de la protection des données mobiles.

Sur le segment « Mobile Data Protection », le Gartner place encore une fois Check
Point parmi les leaders.


L’offre appliances.
• Small, Remote Office & Enterprise Appliances : gamme des boitiers 1400 (4
modèles), 3200 (2 modèles) et 5000 (6 modèles).
• High End Enterprises & Data Centers appliances : gamme des boitiers 15000 (2
modèles) et 23000 (2 modèles)
• Chassis pour Data Centers, opérateurs et fournisseurs de services cloud :
gammes des boitiers 44000 et 64000.
• IAS D Series : boitiers conçus par HP.
• IAS R Series : boitiers conçus par Fujitsu.
• IAS X Series : boitiers conçus par Crossbeam Systems (Symantec).
Ces boitiers fonctionnent sous SecurePlatform ou Gaïa.

A partir de R80.10, ces boitiers fonctionnent sous Gaïa.
Boitiers IAS R Series de Fujitsu. Check Point Security Systems 44000 et 64000.

Appliances Check Point 2016 – extrait :
Appliance « Support Timeline » :



Appliances de Data Center:

Security Systems 44000 et 64000.
Il s’agit de l’offre haut de gamme actuelle.

Spécifications matérielles des appliances 44000 et 64000

Appliances Smart-1

Appliances Smart-1

Boitiers spécialisés.
• DDoS Protector.
Les boitiers de la gamme DDoS Protector intègrent des cartes Ethernet 40 Gbps,
fonctionnent en mode transparent (« fail close » ou « fail open ») et gèrent un
temps de latence inférieur à 60 microsecondes.
Les boitiers DDoS sont construits par Radware.
• Secure Web Gateway.

Il s’agit des appliances de la gamme Enterprise repackagés pour intégrer les
Software Blades nécessaires à la sécurité Web.
• Check Point SandBlast appliances.

Ces boitiers, sortis en 2015, déploient la Software Blade « Threat Emulation ».

Produits en fin de vie (end of sale / end of support).

• DLP-1 : équipement dédié à la prévention des fuites d’informations (« Data
Leakage Prevention »)
• UTM-1 : l’offre historique milieu et entrée de gamme des firewalls Check
Point.
• Power-1 : l’offre historique haut de gamme des firewalls Check Point.
• IP Appliances : l’offre de boitiers issue du rachat de Nokia IP Security,
intégrant le système IPSO (version 6.2).
• Safe@Office : les boitiers entrée de gamme pour le marché SOHO, issus du
rachat de SofaWare Technologies (2002).
• UTM-1 Edge : les boitiers entrée de gamme, disposant d’un firmware
spécifique.
• Connectra appliances : les boitiers dédiés au VPN SSL.
• Boitiers VSX-1 : spécialement conditionnés pour utiliser la technologie VSX
(firewalls virtuels).
• IAS M Series appliances : boitiers conçus en collaboration avec IBM.

L’offre Check Point dans les environnements SCADA.

Check Point a récemment (Septembre 2015) sorti le boitier 1200R, spécialement
conçu pour les systèmes industriels compatibles avec la norme SCADA (Supervisory
Control And Data Acquisition).
Appliance 1200R – SPU : 49

Les SPUs.
• Permettent d’évaluer et de comparer les performances relatives des
différents boitiers Check Point.
• Facilite le « sizing » des appliances.

Les SPUs des modèles 2012.

TPE, Filiales Entreprises Datacenters
3850
2600
1750
950
S
P 2175
2050
U 600
1185
811
425 673
75- 250 405
233 230
49 114 121
37
Modèles 1400 3200 5200 5400 5600 5800 23500 23800

2016
Modèles 1100 1200R 2200 4200 4400 4600 4800 12200 12400 12600 21400
2012

Réseaux de grande Datacenters, opérateurs,
taille, Datacenters Fournisseurs 33000
de services cloud
6200
11000
4900
S
P
3800 4100
U 3200 3300
Modèles 23500 23800

2016
Modèles 13500 21700 13800 21800

2012
41000 61000
La technologie des « Software Blades »

– Lors de la sortie de la version R70, en Mars 2009, Check Point a inauguré une
architecture plus modulaire, intitulée « Software Blades » (lames logicielles).
– Une « Software Blade » est un module indépendant géré centralement et qui peut
être activé rapidement et configuré sur mesure.
Les Software Blades peuvent être empilées pour arriver spécifiquement à une solution
taillée sur mesure aux besoins du client.
– Dans la pratique, Check Point propose un certain nombre de packages comprenant
des packs de Software Blades :
 NGFW – Next Generation Firewall (IPS et App Control)
 NGTP – Next Generation Threat Prevention (Antivirus, Anti-Bot, IPS, App Control,
URL Filtering and Identity Awareness)
 NGTX – NGTP + Threat Extraction et Threat Emulation
 Next Generation Secure Web Gateway (App Control, URL Filtering, Antivirus).
 Next Generation Data Protection (IPS, App Control, DLP).


Récapitulatif des Security Gateways Software Blades R80.10 :

• Firewall : le module de base pour le filtrage « stateful ».
• IPSEC VPN : permet la mise en place de VPN site à site et client vers site.
• Mobile Access : technologie VPN SSL de Check Point
• IPS (anciennement SmartDefense) : protection contre les vulnérabilités systèmes et
applicatives.
• URL Filtering : filtrage d’adresses Internet par catégories.
• Antivirus & Anti-malware : protection contre les virus et les logiciels malveillants.
• Antispam & Email Security : filtrage antispam.
• Data Loss Prevention : permet de se prémunir des fuites d’information
• Content Awareness : fournit une visibilité sur les données et les types de fichiers
• Application Control : restreint l’accès aux applications
• Advanced Networking : routage dynamique, support du multicast et de la QoS.
• Acceleration & Clustering : intègre les technologies SecureXL et ClusterXL.
• Threat Extraction : technologie de sandboxing permettant de supprimer les malwares
de manière préventive.
• Threat Prevention : analyse des documents Office et PDF pour la suppression des
contenus actifs.

Les « Software Blades » du SMS (Security Management

Server) ou Smartcenter :

Récapitulatif des Security Management Software Blades R80.10 :

• Network Policy Management : console de gestion unifiée.
• Endpoint Policy Management : gestion des produits Enpoint Security sur les ordinateurs.
• Logging & Status : gestion des logs (SmartView Tracker).
• MultiDomain Security Management (anciennement Provider-1) : segmente le management en plusieurs
domaines virtuels.
• Monitoring : gestion du status (SmartView Monitor).
• User Directory : authentification SSO intégrée à l’annuaire Active Directory.
• SmartEvent Server : outil d’analyse des événements.
• SmartEvent Correlation Unit : outil de SIEM
• Provisioning : administration et gestion centralisée des appliances Check Point.
• SmartWorkflow : gestion et suivi des processus de changement de politique.
• Compliance : une Software Blade de mise en conformité avec les principales normes du marché ( PCI
DSS, ISO 27001,…).

Check Point et la virtualisation.

L’offre Vsec de Check Point s’interface avec l’API NSX de Vmware.

L’offre Check Point est l’une des plus étendues en termes de plateformes sur lesquelles le
produit peut être installé.

L’offre Cloud de Check Point.
Check Point est présent sur les offres AWS d’Amazon, Azure de Microsoft, Google
Cloud et VMware vCloud Air.
Ces offres sont disponibles en « Pay As You Go » (PAYG) ou bien « Bring Your Own
License » (BYOL).
La solution vCloud Air de VMware permet de monter

des infrastructures de IaaS.

Check Point est membre de l’alliance NSX de VMware.

Les politiques sont liées dynamiquement aux groupes de
sécurité VMware NSX.
Check Point vSEC pour l’ACI Cisco permet le déploiement

rapide d’applications.
Il est intégré avec le contrôleur APIC Cisco.
Check Point est par ailleurs membre de l’architecture

OpenStack pour la construction de « nuages » privés et
publics.

Check Point et la virtualisation.

La technologie VSX est désormais embarquée dans les boitiers Check Point. Selon les
configurations, elle intègre plus ou moins de « Virtual Systems » et il est possible
d’étendre ce nombre.

Anciennes solutions de virtualisation

Check Point disposait également de 2 solutions.
• VSX : permet de faire fonctionner plusieurs instances de firewalls Check
Point avec un environnement de routage spécifique sur un seul
équipement matériel.
La technologie VSX est désormais intégrée aux appliances.
• VPN-1 VE [Virtual Edition] : la solution de Check Point en environnement

VMware.

Desktop Security
Check Point a segmenté son offre autour de 3 gammes :
 Mobile Threat Prevention

 Endpoint Security
 Check Point Capsule

Check Point Capsule.
Check Point Capsule est le nom de la nouvelle offre de sécurité mobile de Check Point
Software. Il remplace en particulier Check Point Go.
Concrètement, cela représente 3 familles de produits :

 Capsule Workspace
 Capsule Docs
 Capsule Cloud

Check Point Capsule.
Capsule Workspace créé un espace isolé et sécurisé au sein des ordinateurs et

smartphones personnels, permettant d’exécuter en toute sécurité différentes
applications.
Il fonctionne sous iOS et Android (4+).
Capsule Docs permet de chiffrer les documents et de contrôler leur partage par les
différents utilisateurs. Il est compatible Windows 7,8 et MacOS X.
Il fonctionne avec la suite Office et Acrobat (PDF).
Capsule Cloud est une solution de protection du poste de travail, prévue pour
fonctionner avec les équipements distants sous Mac & Windows. Il étend la politique
de sécurité du firewall périmétrique, même quand les postes en question ne sont pas
connectés au réseau.

Support technique
Check Point propose 2 types de support :

 Direct Enterprise Support (assuré par le TAC de Check Point)
 Collaborative Enterprise Support assuré par un Certified Support Provider, en
général le grossiste, en collaboration avec le revendeur.
Le Direct Enterprise Support se décline en 5 gammes :

Support technique
Le Collaborative Enterprise Support est le plus répandu.

Il se décline en 3 gammes de services.

Politique de RMA
Les détails de la politique de RMA (Return Merchandise Authorization) sont explicités ici :
http://www.checkpoint.com/support-services/rma-return-process/
La méthode et le délai d’envoi du boitier dépend du type de support retenu par le client.
La qualification d’un RMA est effectuée en général par le grossiste en liaison avec Check
Point Software.
Elle est effectuée directement par le client dans le cadre d’un support de type
« Diamond ».
Le renvoi du boitier défectueux (ou des pièces) est en général à la charge du client.

UPGRADE WIZARD
L’upgrade Wizard donne le chemin de
mise à jour des versions Check Point.
https://supportcenter.checkpoint.com/su
pportcenter/portal?eventSubmit_doSho
wupgradewizard
Pour R80.10, la seule solution d’OS

proposée est Gaïa.

Threat Cloud Intellistore

Enterprise Support Timeline.

Disponible ici : http://www.checkpoint.com/support-services/support-life-cycle-
policy/enterprise-software-support-timeline/index.html

QUESTIONS DE BASE
– L’offre Check Point est-elle logicielle, matérielle ou les deux ?
– Comment s’appelle la Software Blade permettant de gérer

dynamiquement l’association utilisateur / adresse IP ?
– Comment s’appelle l’offre permettant de sécuriser les fichiers de la

suite Microsoft Office ?

REPONSES AUX QUESTIONS DE BASE.
 L’offre Check Point est-elle logicielle, matérielle ou les deux ?

L’offre Check Point est à la fois logicielle (Check Point R80.10) et matérielle
(Gamme Check Point 2016, IAS X Series,…).
 Comment s’appelle la Software Blade permettant de gérer dynamiquement

l’association utilisateur / adresse IP ?
Identity Awareness.
 Comment s’appelle l’offre permettant de sécuriser les fichiers de la suite

Microsoft Office ?
Il s’agit de Capsule Docs.

QUESTIONS AVANCEES
– Comment redimensionner une partition Gaïa ?
– Comment vérifier la compatibilité de Secure Platform / Gaïa avec un

Open Server ?
– Comment utilise-t-on le Check Point Appliance Diagnostic Tool ?

REPONSES AUX QUESTIONS AVANCEES.
 Comment redimensionner une partition Gaia ?

Il faut utiliser lvm_manager (cf sk95566)
 Comment vérifier la compatibilité de Secure Platform / Gaïa avec un Open

Server ?
Le lien vers la Hardware Compatibility List (HCL) se trouve ici :
http://www.checkpoint.com/services/techsupport/hcl/
 Comment utilise-t-on le Check Point Appliance Diagnostic Tool ?

Le Diagnostic Tool est un logiciel qui se branche sur le port USB d’un boitier
et vérifie au démarrage (au « boot ») que le matériel fonctionne
conformément aux spécifications de Check Point.
Le Diagnostic Tool n’est opérationnel que sur les appliances Check Point.

CHKP1 R80.10 Chapitre02-Produits

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CHKP1 R80.10 Chapitre02-Produits

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre II : les produits Check Point

Chapitre II : les produits Check Point

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 2

Les premiers produits sont distribués par Sun Microsystems

Le produit se distingue par son interface graphique et son système « 3 tiers ».

La société est uniquement logicielle.

Ses produits s’appellent : Firewall-1, VPN-1, FloodGate-1.

Check Point Software impose sa technologie stateful inspection, et son interface

Check Point R80.10 Niveau 1

Diversification sur le poste de travail avec le rachat de ZoneLabs, ProtectData.

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 4

Sortie de nouvelles appliances dédiées (DDoS Protector, …).

Unification des O.S. avec l’apparition de Gaïa et la disparition progressive d’IPSO,

Sortie de R80.10 en Mai 2017 et du concept « Check Point Infinity »

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 5

• Check Point a racheté ZoneLabs en 2003.

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 6

• En Avril 2015 Check Point Software a annoncé l'acquisition de Hyperwise,

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 7

L’analyse du Gartner – Segment « Enterprise Network Firewalls »

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 8

Le Gartner – Segment « Enterprise Network Firewalls » en 2017

Le rapport du Gartner de Juillet 2017

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 9

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 10

Cisco : Cisco s’est renforcé par le rachat de Sourcefire.

Palo Alto Networks : inventeur du concept du « Next Generation Firewall », attaque

Autres challengers : Dell (Sonicwall), WatchGuard, Intel (McAfee), Sophos, Juniper.

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 11

Segment de la protection des données mobiles.

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 12

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 13

Ces boitiers fonctionnent sous SecurePlatform ou Gaïa.

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 14

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 15

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 16

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 17

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 18

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 19

Spécifications matérielles des appliances 44000 et 64000

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 20

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 21

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 22

• Secure Web Gateway.

• Check Point SandBlast appliances.

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 23

Produits en fin de vie (end of sale / end of support).

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 24

L’offre Check Point dans les environnements SCADA.

Appliance 1200R – SPU : 49

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 25

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 26

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 27

Modèles 1400 3200 5200 5400 5600 5800 23500 23800

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 28

Modèles 23500 23800

Modèles 13500 21700 13800 21800

La technologie des « Software Blades »

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 30

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 31

Récapitulatif des Security Gateways Software Blades R80.10 :

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 32

Les « Software Blades » du SMS (Security Management

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 33