Onlangs het Check Point 'n nuwe skaalbare platform aangebied . Ons het reeds 'n hele artikel oor . Kortom, dit laat jou toe om die werkverrigting van die sekuriteitspoort byna lineêr te verhoog deur verskeie toestelle te kombineer en die las tussen hulle te balanseer. Verbasend genoeg is daar steeds 'n mite dat hierdie skaalbare platform slegs geskik is vir groot datasentrums of reuse-netwerke. Dit is absoluut nie waar nie.
Check Point Maestro is ontwikkel vir verskeie kategorieë gebruikers gelyktydig (ons sal 'n bietjie later daarna kyk), insluitend mediumgrootte besighede. In hierdie kort reeks artikels sal ek probeer reflekteer tegniese en ekonomiese voordele van Check Point Maestro vir mediumgrootte organisasies (vanaf 500 gebruikers) en waarom hierdie opsie dalk beter is as 'n klassieke groepering.
Check Point Maestro teikengehoor
Kom ons kyk eers na die gebruikersegmente waarvoor Check Point Maestro ontwerp is. Daar is net 4 van hulle:
1. Maatskappye wat nie onderstelvermoëns gehad het nie. Check Point Maestro is nie Check Point se eerste skaalbare platform nie. Ons het reeds geskryf dat daar voorheen modelle soos 64000 en 44000 was. Alhoewel hulle GROOT prestasie gehad het, was daar steeds maatskappye waarvoor dit NIE GENOEG was nie. Maestro skakel hierdie nadeel uit, want... laat jou toe om tot 31 toestelle in een hoëprestasie-groepering saam te stel. Terselfdertyd kan u 'n groep saamstel van top-end toestelle (23900, 26000), en sodoende kolossale deurset bereik.
Trouens, op die gebied van sekuriteitspoorte is Check Point tans die enigste een wat so 'n vermoë implementeer.
2. Maatskappye wat hul hardeware wil kan kies. Een van die nadele van ouer skaalbare platforms is die behoefte om streng gedefinieerde "lemmodules" (Check Point SGM) te gebruik. Die nuwe Check Point Maestro-platform laat jou toe om 'n groot aantal verskillende toestelle te gebruik. Jy kan beide modelle kies uit die middelsegment (5600, 5800, 5900, 6500, 6800) en uit die High End-segment (15000-reeks, 23000-reeks, 26000-reeks). Boonop kan u dit kombineer, afhangende van die take.
Dit is baie gerieflik vanuit die oogpunt van optimale gebruik van hulpbronne. Jy kan net die werkverrigting koop wat jy nodig het deur die regte model te kies.
3. Maatskappye waarvoor die onderstel te veel is, maar skaalbaarheid steeds nodig is. Nog 'n "nadeel" van die ou skaalbare platforms (64000, 44000) was die hoë toegangsdrempel (uit 'n ekonomiese oogpunt). Vir 'n lang tyd was skaalbare platforms slegs beskikbaar vir groot besighede met "goeie" IT-begrotings. Met die koms van Check Point Maestro het alles verander. Die koste van die minimum bundel (orkeseerder + twee poorte) is vergelykbaar (en soms laer) met 'n klassieke aktiewe/bystandgroep. Dié. die toegangsdrempel het aansienlik gedaal. Wanneer 'n oplossing gekies word, kan 'n maatskappy onmiddellik 'n skaalbare argitektuur neerlê, sonder om te veel te betaal vir 'n moontlike daaropvolgende toename in behoeftes. Is daar meer gebruikers 'n jaar na die bekendstelling van Check Point Maestro? Jy voeg net een of twee poorte by, sonder enige vervanging van bestaande. Jy hoef nie eers die topologie te verander nie. Koppel eenvoudig nuwe poorte aan die orkeseerder en pas instellings daarop toe in net 'n paar kliks.
4. Maatskappye wat bestaande toestelle optimaal wil benut. Ek dink baie mense is vertroud met die Inruilprosedure. Wanneer die werkverrigting van bestaande toestelle nie meer voldoende is nie en die hardeware opgedateer moet word om aan huidige behoeftes te voldoen. Nogal 'n duur prosedure. Boonop is daar dikwels 'n situasie wanneer 'n kliënt verskeie Check Point-klusters vir verskillende take het. Byvoorbeeld, 'n cluster vir omtrekbeskerming, 'n cluster vir afstandtoegang (RA VPN), 'n cluster vir VSX, ens. Boonop het een groep moontlik nie genoeg hulpbronne nie, terwyl 'n ander 'n oorvloed daarvan het. Check Maestro is 'n uitstekende geleentheid om die gebruik van hierdie hulpbronne te optimaliseer deur die las dinamies tussen hulle te verdeel.
Dié. jy kry die volgende voordele:
- Dit is nie nodig om bestaande hardeware te "weggooi" nie. Jy kan een of twee bykomende poorte koop, of...
- Stel dinamiese lasbalansering tussen ander bestaande poorte op vir meer optimale gebruik van hulpbronne. As die las op die omtrekpoort skerp toeneem, sal die orkestreerder die "verveelde" hulpbronne van die afgeleë toegangspoorte kan gebruik en omgekeerd. Dit help om seisoenale (of tydelike) vragpieke glad te maak.
Soos u waarskynlik verstaan, hou die laaste twee segmente spesifiek verband met mediumgrootte ondernemings, wat nou ook kan bekostig om skaalbare sekuriteitsplatforms te gebruik. 'n Redelike vraag kan egter ontstaan: "Hoekom is Check Point Maestro beter as 'n gewone tros?“Ons sal probeer om hierdie vraag te beantwoord.
Klassieke groep vs Check Point Maestro
As ons praat oor die klassieke Check Point-groepering, word twee bedryfsmodusse ondersteun: Hoë Beskikbaarheid (d.w.s. aktief/standby) en laaideling (d.w.s. aktief/aktief). Ons sal kortliks hul betekenis van werk beskryf, sowel as hul voor- en nadele.
Hoë beskikbaarheid (aktief/standby)
Soos die naam aandui, gaan een nodus in hierdie bedryfsmodus alle verkeer deur homself, en die tweede een is in bystandmodus en tel verkeer op as die aktiewe nodus enige probleme begin ondervind.
Pros:
- Die mees stabiele modus;
- Die eie SecureXL-meganisme word ondersteun om verkeersverwerking te bespoedig;
- As die aktiewe nodus misluk, is die tweede een gewaarborg om al die verkeer te kan "verteer" (want dit is presies dieselfde).
Nadele:
Trouens, daar is net een minus - een nodus is heeltemal ledig. Op ons beurt word ons as gevolg hiervan gedwing om kragtiger hardeware te koop sodat dit die verkeer alleen kan hanteer.
Natuurlik is HA-modus meer betroubaar as Load Sharing, maar hulpbronoptimering laat veel te wense oor.
Laaideling (aktief/aktief)
In hierdie modus verwerk alle nodusse in die groep verkeer. Jy kan tot 8 toestelle in so 'n groep kombineer (meer as 4 ).
Pros:
- U kan die las tussen nodusse versprei, wat minder kragtige toestelle benodig;
- Moontlikheid van gladde skaal (wat tot 8 nodusse by die groep voeg).
Nadele:
- Vreemd genoeg verander die voordele dadelik in nadele. Hulle hou daarvan om Load Sharing-modus te gebruik, selfs wanneer die maatskappy net twee nodusse het. Om geld te spaar, koop hulle toestelle, wat elkeen teen 40-50% gelaai is. En alles blyk in orde te wees. Maar as een nodus misluk, kry ons 'n situasie waar die hele vrag oorgedra word na die oorblywende een, wat eenvoudig nie kan hanteer nie. Gevolglik is daar geen foutverdraagsaamheid as sodanig in so 'n skema nie.
- Voeg hierby 'n klomp lasdelingbeperkings (). En die belangrikste beperking is dat SecureXL nie ondersteun word nie, 'n meganisme wat verkeersverwerking aansienlik versnel;
- Wat skaal betref deur nuwe nodusse by die groepering by te voeg, is Load Sharing ongelukkig ver van ideaal hier. As meer as 4 toestelle by die groep gevoeg word, begin werkverrigting .
Met inagneming van die eerste twee nadele, om fouttoleransie te implementeer wanneer twee nodusse gebruik word, word ons ook gedwing om meer produktiewe hardeware aan te koop sodat dit verkeer in 'n kritieke situasie kan "verteer". As gevolg hiervan het ons geen ekonomiese voordeel nie, maar ons kry 'n groot bedrag . Boonop is dit opmerklik dat vanaf weergawe R80.20, Laaidelingmodus nie ondersteun word nie. Dit beperk gebruikers van vereiste opdaterings. Dit is nog nie bekend of laaideling in nuwer uitgawes ondersteun sal word nie.
Check Point Maestro as 'n alternatief
Vanuit 'n groep-oogpunt het Check Point Maestro die hoofvoordele van Hoë Beskikbaarheid en Ladingdeling-modusse benut:
- Poorte wat aan die orkeseerder gekoppel is, kan SecureXL gebruik, wat maksimum verkeersverwerkingspoed verseker. Daar is geen ander beperkings inherent aan laaideling nie;
- Verkeer word tussen poorte in een Sekuriteitsgroep versprei ('n logiese poort wat uit verskeie fisiese poorte bestaan). Danksy dit kan ons minder produktiewe toestelle installeer, want ons het nie meer ledige poorte nie, soos in Hoë Beskikbaarheid-modus. Terselfdertyd kan krag byna lineêr verhoog word, sonder sulke ernstige verliese soos in Load Sharing-modus (meer besonderhede later).
Dit is alles wonderlik, maar kom ons kyk na twee spesifieke voorbeelde.
Voorbeeld №1
Laat maatskappy X van plan is om 'n groep poorte op die netwerkomtrek te installeer. Hulle het reeds vertroud geraak met al die beperkings van Ladingdeling (wat vir hulle onaanvaarbaar is) en oorweeg uitsluitlik die Hoë Beskikbaarheid-modus. Na die grootte, blyk dit dat die 6800-poort vir hulle geskik is, wat nie met meer as 50% gelaai moet word nie (om ten minste 'n mate van prestasiereserwe te hê). Aangesien dit 'n groep sal wees, moet jy 'n tweede toestel koop, wat bloot lug in bystandmodus sal "rook". Dit is 'n baie duur rookhuis.
Maar daar is 'n alternatief. Neem 'n bondel van die orkeseerder en drie 6500-poorte. In hierdie geval sal die verkeer tussen al drie toestelle versprei word. As jy na die spesifikasies van die twee modelle kyk, sal jy sien dat drie 6500-poorte kragtiger is as een 6800.
Dus, wanneer jy Check Point Maestro kies, ontvang maatskappy X die volgende voordele:
- Die maatskappy lê onmiddellik 'n skaalbare platform neer. 'n Daaropvolgende toename in werkverrigting sal daarop neerkom om bloot nog 6500 stuk hardeware by te voeg. Wat kan eenvoudiger wees?
- Die oplossing is steeds fout-verdraagsaam, want As een nodus misluk, sal die oorblywende twee die las kan hanteer.
- ’n Ewe belangrike en verrassende voordeel is dat dit goedkoper is! Ongelukkig kan ek nie pryse publiek plaas nie, maar as jy belangstel, kan jy
Voorbeeld №2
Laat maatskappy Y reeds 'n HA-groepering van 6500 modelle hê. Die aktiewe nodus word teen 85% gelaai, wat tydens spitsladings tot verliese in produktiewe verkeer lei. Die logiese oplossing vir die probleem is blykbaar die opdatering van die hardeware. Die volgende model is 6800. Dit wil sê. die maatskappy sal die poorte deur die Inruilprogram moet terugbesorg en twee nuwe (duurder) toestelle moet koop.
Maar daar is 'n alternatiewe opsie. Koop 'n orkeseerder en 'n ander presies dieselfde nodus (6500). Stel 'n groep van drie toestelle bymekaar en "verspreid" hierdie 85% van die vrag oor drie poorte. As gevolg hiervan sal u 'n groot prestasiemarge kry (drie toestelle sal gemiddeld net 30% gelaai word). Selfs al sterf een van die drie nodusse, sal die oorblywende twee steeds verkeer met 'n gemiddelde vrag van 45% hanteer. Boonop sal 'n groep van drie aktiewe 6500-poorte kragtiger wees as een 6800-poort, wat in die HA-groepering geleë is (d.w.s. aktief/bystand) vir piekladings. Boonop, as die maatskappy Y se behoeftes oor 'n jaar of twee weer toeneem, is al wat hulle hoef te doen om nog een of twee 6500 nodusse by te voeg.Ek dink die ekonomiese voordeel hier is voor die hand liggend.
Gevolgtrekking
Ja, Check Point Maestro is nie 'n oplossing vir SMB nie. Maar selfs 'n mediumgrootte onderneming kan reeds oor hierdie platform dink en ten minste probeer om die ekonomiese doeltreffendheid te bereken. U sal verbaas wees om te vind dat skaalbare platforms meer winsgewend kan wees as 'n klassieke groepering. Terselfdertyd is daar voordele nie net ekonomiese nie, maar ook tegniese. Ons sal egter in die volgende artikel daaroor praat, waar ek, benewens tegniese truuks, verskeie tipiese gevalle (topologie, scenario's) sal probeer wys.
Jy kan ook inteken op ons publieke (, , , ), waar jy die verskyning van nuwe materiaal op Check Point en ander sekuriteitsprodukte kan volg.
Bron: will.com