Bu yaxınlarda Check Point yeni genişləndirilə bilən platforma təqdim etdi . Haqqında artıq tam bir məqalə dərc etmişik . Bir sözlə, birdən çox cihazı birləşdirərək və onlar arasında yükü tarazlaşdırmaqla təhlükəsizlik şlüzünün performansını demək olar ki, xətti artırmağa imkan verir. Təəccüblüdür ki, bu genişləndirilə bilən platformanın yalnız böyük məlumat mərkəzləri və ya nəhəng şəbəkələr üçün uyğun olduğuna dair bir mif hələ də mövcuddur. Bu, qətiyyən doğru deyil.
Check Point Maestro eyni anda bir neçə istifadəçi kateqoriyası (onlara bir az sonra baxacağıq), o cümlədən orta biznes üçün hazırlanmışdır. Bu qısa məqalə silsiləsində əks etdirməyə çalışacağam Check Point Maestro-nun orta ölçülü təşkilatlar üçün texniki və iqtisadi üstünlükləri (500 istifadəçidən) və niyə bu seçim klassik klasterdən daha yaxşı ola bilər.
Check Point Maestro hədəf auditoriyası
Əvvəlcə Check Point Maestro-nun nəzərdə tutulduğu istifadəçi seqmentlərinə baxaq. Onlardan yalnız 4-ü var:
1. Şassi imkanlarından məhrum olan şirkətlər. Check Point Maestro Check Point-in ilk genişlənə bilən platforması deyil. Artıq yazmışdıq ki, əvvəllər 64000 və 44000 kimi modellər var idi. ƏLA performansa malik olsalar da, hələ də BU KƏFİN OLMAYAN şirkətlər var idi. Maestro bu çatışmazlığı aradan qaldırır, çünki... bir yüksək performanslı klasterdə 31-ə qədər cihazı toplamaq imkanı verir. Eyni zamanda, ən yüksək səviyyəli cihazlardan (23900, 26000) bir klaster yığa bilərsiniz və bununla da böyük ötürmə qabiliyyətinə nail ola bilərsiniz.
Əslində, təhlükəsizlik şlüzləri sahəsində, Check Point hazırda belə bir qabiliyyəti həyata keçirən yeganə şirkətdir.
2. Avadanlıqlarını seçə bilmək istəyən şirkətlər. Köhnə miqyaslana bilən platformaların çatışmazlıqlarından biri ciddi şəkildə müəyyən edilmiş “bıçaq modullarından” (Check Point SGM) istifadə ehtiyacıdır. Yeni Check Point Maestro platforması çoxlu sayda müxtəlif cihazlardan istifadə etməyə imkan verir. Siz hər iki modeli orta seqmentdən (5600, 5800, 5900, 6500, 6800) və High End seqmentindən (15000 seriyası, 23000 seriyası, 26000 seriyası) seçə bilərsiniz. Üstəlik, tapşırıqlardan asılı olaraq onları birləşdirə bilərsiniz.
Bu, resurslardan optimal istifadə baxımından çox əlverişlidir. Doğru modeli seçməklə yalnız sizə lazım olan performansı əldə edə bilərsiniz.
3. Şassinin çox olduğu, lakin miqyaslılığın hələ də tələb olunduğu şirkətlər. Köhnə miqyaslı platformaların (64000, 44000) başqa bir "dezavantajı" yüksək giriş həddi (iqtisadi baxımdan) idi. Uzun müddətdir ki, genişləndirilə bilən platformalar yalnız “yaxşı” İT büdcələri olan böyük bizneslər üçün mövcud idi. Check Point Maestro-nun gəlişi ilə hər şey dəyişdi. Minimum paketin (orkestrator + iki şlüz) qiyməti klassik aktiv/gözləmə klasteri ilə müqayisə edilə bilər (və bəzən daha aşağıdır). Bunlar. giriş həddi xeyli aşağı düşüb. Bir həll seçərkən, bir şirkət ehtiyacların sonrakı mümkün artması üçün həddindən artıq ödəmədən dərhal genişlənə bilən bir arxitektura qura bilər. Check Point Maestro tətbiqindən bir il sonra daha çox istifadəçi varmı? Mövcud olanları dəyişdirmədən sadəcə bir və ya iki şlüz əlavə edirsiniz. Topologiyanı dəyişməyə belə ehtiyac yoxdur. Sadəcə bir neçə kliklə orkestratora yeni şlüzləri birləşdirin və onlara parametrlər tətbiq edin.
4. Mövcud cihazlardan optimal istifadə etmək istəyən şirkətlər. Düşünürəm ki, çoxları Trade-In proseduru ilə tanışdır. Mövcud cihazların performansı artıq kifayət etmədikdə və cari ehtiyacları ödəmək üçün avadanlıq yenilənməlidir. Olduqca bahalı prosedur. Üstəlik, tez-tez müştərinin müxtəlif tapşırıqlar üçün bir neçə Check Point klasterinə sahib olduğu bir vəziyyət var. Məsələn, perimetrin qorunması üçün klaster, uzaqdan giriş üçün klaster (RA VPN), VSX üçün klaster və s. Üstəlik, bir çoxluqda kifayət qədər resurs olmaya bilər, digərində isə onların bolluğu. Check Maestro bu resurslardan yükü dinamik şəkildə paylayaraq onların istifadəsini optimallaşdırmaq üçün əla fürsətdir.
Bunlar. aşağıdakı üstünlükləri əldə edirsiniz:
- Mövcud avadanlıqları “atmağa” ehtiyac yoxdur. Siz bir və ya iki əlavə şlüz ala bilərsiniz və ya...
- Resurslardan daha optimal istifadə etmək üçün digər mövcud şlüzlər arasında dinamik yük balansını konfiqurasiya edin. Perimetr şlüzündəki yük kəskin şəkildə artarsa, orkestrator uzaqdan giriş şlüzlərinin "darıxdırıcı" resurslarından istifadə edə biləcək və əksinə. Bu, mövsümi (və ya müvəqqəti) yük zirvələrini hamarlaşdırmağa kömək edir.
Yəqin ki, başa düşdüyünüz kimi, son iki seqment xüsusi olaraq orta ölçülü bizneslərə aiddir və onlar indi genişlənən təhlükəsizlik platformalarından da istifadə edə bilirlər. Bununla belə, ağlabatan sual yarana bilər: “Nə üçün Check Point Maestro adi klasterdən yaxşıdır?“Bu suala cavab verməyə çalışacağıq.
Check Point Maestro ilə müqayisədə klassik klaster
Klassik Check Point klasterindən danışırıqsa, onda iki iş rejimi dəstəklənir: Yüksək Əlçatımlılıq (yəni Aktiv/Gözləmə rejimi) və Yük Paylaşımı (yəni Aktiv/Aktiv). Onların işin mənasını, eləcə də müsbət və mənfi cəhətlərini qısaca təsvir edəcəyik.
Yüksək Əlçatımlılıq (Aktiv/Gözləmə rejimi)
Adından da göründüyü kimi, bu iş rejimində bir qovşaq bütün trafiki özündən keçir, ikincisi isə gözləmə rejimindədir və aktiv node hər hansı problem yaşamağa başlayarsa, trafiki götürür.
Pros:
- Ən stabil rejim;
- Mülkiyyət SecureXL mexanizmi trafikin işlənməsini sürətləndirmək üçün dəstəklənir;
- Aktiv node uğursuz olarsa, ikincinin bütün trafiki "həzm edə" biləcəyinə zəmanət verilir (çünki bu, tamamilə eynidir).
Eksiler:
Əslində, yalnız bir mənfi var - bir node tamamilə boşdur. Öz növbəsində, buna görə biz daha güclü avadanlıq almağa məcbur oluruq ki, o, təkbaşına trafiki idarə edə bilsin.
Əlbəttə ki, HA rejimi Yük Paylaşımından daha etibarlıdır, lakin resursun optimallaşdırılması çox şey arzulayır.
Yük Paylaşımı (Aktiv/Aktiv)
Bu rejimdə klasterdəki bütün qovşaqlar trafiki emal edir. Belə bir klasterdə 8-ə qədər cihazı birləşdirə bilərsiniz (4 ).
Pros:
- Daha az güclü cihazlar tələb edən qovşaqlar arasında yükü paylaya bilərsiniz;
- Hamar miqyaslama imkanı (klasterə 8 qovşaq əlavə etmək).
Eksiler:
- Qəribədir ki, müsbətlər dərhal mənfi cəhətlərə çevrilir. Şirkət yalnız iki qovşaq olduqda belə Yük Paylaşma rejimindən istifadə etməyi xoşlayırlar. Qənaət etmək istəyənlər hər biri 40-50% yüklənmiş cihazlar alırlar. Və hər şey yaxşı görünür. Ancaq bir node uğursuz olarsa, bütün yükün qalan birinə köçürüldüyü bir vəziyyət alırıq, sadəcə öhdəsindən gələ bilməz. Nəticə etibarı ilə, belə bir sxemdə qüsurlara qarşı dözümlülük yoxdur.
- Buna bir sıra Yük Paylaşım məhdudiyyətləri əlavə edin (). Və ən mühüm məhdudiyyət SecureXL-in dəstəklənməməsidir, bu mexanizm trafikin işlənməsini əhəmiyyətli dərəcədə sürətləndirir;
- Klasterə yeni qovşaqlar əlavə etməklə miqyaslandırmaya gəlincə, təəssüf ki, Yük Paylaşımı burada idealdan uzaqdır. Klasterə 4-dən çox cihaz əlavə edilərsə, performans başlayır .
İlk iki çatışmazlıqları nəzərə alaraq, iki qovşaqdan istifadə edərkən nasazlığa dözümlülüyü həyata keçirmək üçün biz də kritik vəziyyətdə trafiki "həzm edə" bilməsi üçün daha məhsuldar aparat almağa məcbur oluruq. Nəticədə heç bir iqtisadi səmərəmiz olmasa da, böyük məbləğ əldə edirik . Üstəlik, R80.20 versiyasından başlayaraq, Yük Paylaşma rejiminin dəstəklənmədiyini qeyd etmək lazımdır. Bu, istifadəçiləri tələb olunan yeniləmələrdən məhdudlaşdırır. Yük Paylaşımının yeni buraxılışlarda dəstəklənəcəyi hələ məlum deyil.
Alternativ olaraq Check Point Maestro
Klaster baxımından Check Point Maestro Yüksək Əlçatımlılıq və Yük Paylaşma rejimlərinin əsas üstünlüklərini götürdü:
- Orkestratora qoşulmuş şlüzlər maksimum trafikin emal sürətini təmin edən SecureXL-dən istifadə edə bilər. Yük Paylaşımına xas olan başqa məhdudiyyətlər yoxdur;
- Trafik bir Təhlükəsizlik Qrupunda (bir neçə fiziki olanlardan ibarət məntiqi şlüz) şlüzlər arasında paylanır. Bunun sayəsində daha az məhsuldar qurğular quraşdıra bilərik, çünki artıq Yüksək Əlçatımlılıq rejimində olduğu kimi boş şlüzlərimiz yoxdur. Eyni zamanda, güc, Yük Paylaşma rejimində olduğu kimi ciddi itkilər olmadan demək olar ki, xətti artırıla bilər (daha ətraflı məlumat sonra).
Bütün bunlar əladır, amma gəlin iki konkret misala baxaq.
Nümunə 1
X şirkəti şəbəkə perimetrində şlüzlər klasterini quraşdırmaq niyyətində olsun. Onlar artıq Yük Paylaşımının bütün məhdudiyyətləri ilə tanış olublar (bu, onlar üçün qəbuledilməzdir) və yalnız Yüksək Əlçatımlılıq rejimini nəzərdən keçirirlər. Ölçüdən sonra məlum olur ki, 6800 şlüz onlar üçün uyğundur, bu, 50% -dən çox yüklənməməlidir (ən azı bir qədər performans ehtiyatına sahib olmaq üçün). Bu bir çoxluq olacağından, gözləmə rejimində sadəcə havanı "çəkəcək" ikinci bir cihaz almalısınız. Çox bahalı siqaretxanadır.
Amma bir alternativ də var. Orkestratordan bir paket və üç 6500 şlüz götürün.Bu halda trafik hər üç cihaz arasında paylanacaq. İki modelin xüsusiyyətlərinə baxsanız, üç 6500 şlüzünün bir 6800-dən daha güclü olduğunu görəcəksiniz.
Beləliklə, Check Point Maestro-nu seçərkən X şirkəti aşağıdakı üstünlükləri əldə edir:
- Şirkət dərhal genişlənə bilən bir platforma hazırlayır. Performansın sonrakı yüksəldilməsi sadəcə olaraq daha 6500 aparatın əlavə edilməsi ilə nəticələnəcək.Daha sadə nə ola bilər?
- Həll hələ də səhvlərə dözümlüdür, çünki Bir node uğursuz olarsa, qalan ikisi yükün öhdəsindən gələ biləcək.
- Eyni dərəcədə vacib və təəccüblü bir üstünlük, daha ucuz olmasıdır! Təəssüf ki, qiymətləri açıq şəkildə dərc edə bilmərəm, amma maraqlanırsınızsa, edə bilərsiniz
Nümunə 2
Qoy Y şirkətində artıq 6500 modeldən ibarət HA klasteri olsun.Aktiv qovşaq 85% yüklənir ki, bu da pik yüklər zamanı məhsuldar trafikdə itkilərə səbəb olur. Problemin məntiqi həlli, deyəsən, avadanlığın yenilənməsidir. Növbəti model 6800. Yəni. şirkət Trade-In proqramı vasitəsilə şlüzləri qaytarmalı və iki yeni (daha bahalı) cihaz almalıdır.
Ancaq alternativ variant var. Bir orkestr və başqa bir tam eyni node (6500) alın. Üç cihazdan ibarət klaster yığın və yükün bu 85%-ni üç şlüz arasında “yayın”. Nəticədə, böyük bir performans marjası əldə edəcəksiniz (üç cihaz orta hesabla cəmi 30% yüklənəcək). Üç qovşaqdan biri ölsə belə, qalan ikisi orta hesabla 45% yüklə trafikin öhdəsindən gələcək. Üstəlik, pik yüklər üçün üç aktiv 6500 şlüzdən ibarət klaster HA klasterində (yəni aktiv/gözləmə rejimində) yerləşən bir 6800 şlüzdən daha güclü olacaq. Bundan əlavə, bir-iki ildən sonra Y şirkətinin ehtiyacları yenidən artarsa, o zaman onlara bir və ya iki daha 6500 qovşaq əlavə etmək kifayətdir.Hesab edirəm ki, burada iqtisadi fayda göz qabağındadır.
Nəticə
Bəli, Check Point Maestro SMB üçün həll yolu deyil. Ancaq hətta orta biznes də artıq bu platforma haqqında düşünə və ən azı iqtisadi səmərəliliyi hesablamağa çalışa bilər. Genişləndirilə bilən platformaların klassik klasterdən daha sərfəli ola biləcəyini görəndə təəccüblənəcəksiniz. Eyni zamanda, təkcə iqtisadi deyil, həm də texniki üstünlüklər var. Bununla belə, biz növbəti məqalədə onlar haqqında danışacağıq, burada texniki fəndlərlə yanaşı, bir neçə tipik halları (topologiya, ssenarilər) göstərməyə çalışacağam.
Siz həmçinin ictimai səhifələrimizə abunə ola bilərsiniz (, , , ), burada Check Point və digər təhlükəsizlik məhsullarında yeni materialların ortaya çıxmasını izləyə bilərsiniz.
Mənbə: www.habr.com