Check Point 2019-cu ilə eyni anda bir neçə elan etməklə kifayət qədər sürətlə başladı. Bir məqalədə hər şey haqqında danışmaq mümkün deyil, ona görə də ən vacib şeydən başlayaq - . Maestro, təhlükəsizlik şlüzünün "gücünü" "ədəbsiz" nömrələrə və demək olar ki, xətti olaraq artırmağa imkan verən yeni genişlənən platformadır. Bu, təbii olaraq, bir klasterdə tək bir qurum kimi fəaliyyət göstərən fərdi şlüzlər arasında yükü tarazlaşdırmaqla əldə edilir. Kimsə deyə bilər - "oldu! Artıq 44000 bıçaq platforması var/64000". Ancaq Maestro tamam başqa məsələdir. Bu yazıda bunun nə olduğunu, necə işlədiyini və bu texnologiyanın necə kömək edəcəyini qısaca izah etməyə çalışacağam şəbəkə perimetri qorunmasına qənaət edin.
Oldu - oldu
Anlamaq üçün ən asan yol, yeni genişlənə bilən platformanın köhnə yaxşı 44000-dən necə fərqlənməsidir./64000 aşağıdakı şəkilə baxın:
Fərq göz qabağındadır.
Legacy Check Point 44000 platforması/64000
Yuxarıdakı şəkildən göründüyü kimi, ilk seçim məhdud sayda xüsusi "bıçaq modulları" daxil edilə bilən sabit platformadır (şassi).Check Point SGM). Bütün bunlar bağlıdır Təhlükəsizlik keçid modulu Şlüzlər arasında trafiki tarazlayan (SSM). Aşağıdakı şəkildə bu platformanın komponentləri daha ətraflı göstərilir:
İndi hansı performansa ehtiyacınız olduğunu və onun nə qədər böyüyə biləcəyini dəqiq bilirsinizsə, bu əla platformadır. Bununla belə, sabit forma faktoruna görə (12 və ya 6 bıçaq) daha genişlənmə imkanınız məhduddur. Bundan əlavə, siz daha geniş model diapazonuna malik olan adi yuxarı xətləri birləşdirmək imkanı olmadan yalnız SGM bıçaqlarından istifadə etməyə məcbur olursunuz. Gəlişi ilə Maestro Hyperscale Network Security vəziyyət kəskin şəkildə dəyişir.
Yeni Check Point Maestro Hyperscale Şəbəkə Təhlükəsizlik Platforması
Check Point Maestro ilk dəfə yanvarın 22-də Banqkokdakı CPX konfransında təqdim edildi. Əsas xüsusiyyətləri aşağıdakı şəkildə görmək olar:
Gördüyünüz kimi, Check Point Maestro-nun əsas üstünlüyü balanslaşdırma üçün adi şlüzlərdən (texniki qurğulardan) istifadə etmək imkanıdır. Bunlar. Biz artıq SGM bıçaqları ilə məhdudlaşmırıq. Siz yükü 5600 modelindən (SMB modelləri və Şassi 44000) başlayaraq istənilən cihazlar arasında bölüşdürə bilərsiniz./64000 dəstəklənmir). Yuxarıdakı şəkildə yeni platformadan istifadə edərkən əldə edilə bilən əsas göstəricilər göstərilir. Biz bir hesablama resursunda birləşdirə bilərik 31-ə qədər! qapısı. İndi firewallınız belə görünə bilər:
Maestro Hipermiqyaslı Orkestr
Əminəm ki, bir çox insan artıq soruşub: "Bu nə cür orkestrdir?“Yaxşı, mənimlə tanış ol. Maestro Hipermiqyaslı Orkestr — yük balansına cavabdeh olan şey budur. Bu cihazda quraşdırılmış əməliyyat sistemi Gaia R80.20 SP. Hal-hazırda orkestrlərin iki modeli var - MHO-140 и MHO-170. Aşağıdakı şəkildəki xüsusiyyətlər:
İlk baxışdan görünə bilər ki, bu adi bir keçiddir. Əslində, bu, "keçid + balanslaşdırıcı + resurs idarəetmə sistemi" dir. Hər şey bir qutuda.
Şlüzlər bu Orkestrlərə bağlıdır. Əgər balanslaşdırıcılar nasazlığa dözümlüdürsə, onda hər bir şlüz hər bir orkestratora bağlıdır. Qoşulmaq üçün “optika” (sfp+ / qsfp+ / qsfp28+) və ya DAC kabelindən (Direct Attach Copper) istifadə edilə bilər. Bu halda, təbii olaraq orkestrlər arasında sinxronizasiya əlaqəsi olmalıdır:
Aşağıdakı şəkildə bu orkestrlərin portlarının necə paylandığını görə bilərsiniz:
Təhlükəsizlik qrupları
Yükün şlüzlər arasında bölüşdürülməsi üçün bu şlüzlər eyni Təhlükəsizlik Qrupunda olmalıdır. Təhlükəsizlik Qrupu aktiv/aktiv klaster kimi fəaliyyət göstərən məntiqi cihazlar qrupudur. Bu qrup digər Təhlükəsizlik Qruplarından asılı olmayaraq fəaliyyət göstərir. İdarəetmə serveri baxımından Təhlükəsizlik Qrupu bir IP ünvanı olan bir cihaz kimi görünür.
Lazım gələrsə, biz bir və ya bir neçə şlüzü ayrıca Təhlükəsizlik Qrupuna köçürə və bu qrupdan idarəetmə baxımından ayrı bir firewall kimi başqa məqsədlər üçün istifadə edə bilərik. İstifadə nümunəsi aşağıdakı şəkildə göstərilmişdir:
Əhəmiyyətli Məhdudiyyət, bir Təhlükəsizlik Qrupunda yalnız eyni şlüzlər (model) istifadə edilə bilər. Bunlar. təhlükəsizlik şlüzünüzün tutumunu xətti olaraq artırmaq istəyirsinizsə (bu, bir neçə cihazın klasteridir), onda siz tam olaraq eyni şlüzləri əlavə etməlisiniz. Növbəti proqram buraxılışlarında bu məhdudiyyət aradan qalxmalıdır.
Aşağıdakı videoda siz Təhlükəsizlik Qrupunun yaradılması prosesini görə bilərsiniz. Prosedur intuitivdir.
Yenə də Maestro komponentlərini şassi platforması ilə müqayisə etsəniz, aşağıdakı şəkil kimi bir şey əldə edəcəksiniz:
Yeni platformanın üstünlükləri nələrdir?
Əslində həm texniki, həm də iqtisadi baxımdan bir çox üstünlüklər var. Ən vaciblərini qısaca təsvir edəcəyəm:
- Biz miqyasda praktiki olaraq qeyri-məhduduq. Bir Təhlükəsizlik Qrupu daxilində 31-ə qədər şlüz.
- Lazım gələrsə, şlüzlər əlavə edə bilərik. Satınalma üçün minimum dəst bir orkestr + iki şlüzdür. “İnkişaf üçün” modellər qoymağa ehtiyac yoxdur.
- Başqa bir artı əvvəlki nöqtədən gəlir. Artıq yükün öhdəsindən gələ bilməyən şlüzləri dəyişməyə ehtiyacımız yoxdur. Əvvəllər bu problem ticarət prosedurundan istifadə etməklə həll olunurdu - köhnə avadanlıqları təhvil verdilər və endirimlə yenilərini aldılar. Belə bir sxemlə maliyyə “itkiləri” qaçılmazdır. Yeni miqyaslama proseduru bu amili aradan qaldırır. Heç bir şeyi təhvil verməyə ehtiyac yoxdur, sadəcə əlavə avadanlıqların köməyi ilə məhsuldarlığı artırmağa davam edə bilərsiniz.
- Yükü paylamaq üçün mövcud resursları birləşdirmək imkanı. Məsələn, siz bütün klasterlərinizi Maestro platformasına sürükləyə və yükdən asılı olaraq bir neçə Təhlükəsizlik Qrupunu toplaya bilərsiniz.
Maestro Hyperscale Network Security paketləri
Hazırda Maestro platforması ilə sözdə paketlərin alınması üçün bir neçə variant var. 23800, 6800 və 6500 şlüzlərinə əsaslanan həll:
Bu halda, iki standart avadanlıq növündən birini seçə bilərsiniz:
- Bir orkestr və iki şlüz;
- Bir orkestr və üç şlüz.
təxmini qiymətlərə baxa bilərsiniz. Təbii ki, əlavə olaraq başqa bir orkestr və istədiyiniz qədər şlüz əlavə edə bilərsiniz. Spesifikasiyalar haqqında əlavə məlumat tələb oluna bilər .
Cihazlar 6500 и 6800 Bunlar bu ilin əvvəlində də təqdim edilmiş ən son modellərdir. Ancaq onlar haqqında növbəti məqalədə daha ətraflı danışacağıq.
Nə vaxt ala bilərəm?
Burada aydın cavab yoxdur. Hazırda bu məhlulların ölkəmizə idxalı ilə bağlı heç bir bildiriş yoxdur. Vaxtla bağlı məlumat əldə olunan kimi dərhal ictimai səhifələrimizdə elan verəcəyik (, , ). Bundan əlavə, yaxın gələcəkdə bütün texniki xüsusiyyətlərin müzakirə olunacağı Check Point Maestro həllinə həsr olunmuş vebinarın keçirilməsi planlaşdırılır. Və əlbəttə ki, suallar verə bilərsiniz. Bizimlə qalın!
Nəticə
Şübhəsiz ki, yeni platforma Check Point aparat həllərinə əla əlavədir. Əslində, bu məhsul yeni bir seqment açır, bunun üçün hər bir informasiya təhlükəsizliyi satıcısının oxşar həlli yoxdur. Üstəlik, bu gün Check Point Maestro-nun belə görünməmiş “təhlükəsizlik gücünü” təmin etmək üçün praktiki olaraq heç bir alternativi yoxdur. Bununla belə, Maestro Hyperscale Network Security təkcə məlumat mərkəzi sahiblərini deyil, adi şirkətləri də maraqlandıracaq. 5600 modelindən başlayan cihazlara sahib olan və ya almağı planlaşdıranlar artıq Maestro ilə yaxından tanış ola bilərlər.Bəzi hallarda Maestro Hyperscale Network Security-dən istifadə həm iqtisadi, həm də texniki baxımdan çox sərfəli həll yolu ola bilər.
P.S. Bu məqalənin iştirakı ilə hazırlanmışdır Anatoli Masover — Ölçəklənən Platforma Mütəxəssisi, Check Point proqram təminatı texnologiyaları.
Mənbə: www.habr.com