1. NGFW для малога бізнэсу. Новая лінейка CheckPoint 1500 Security Gateway
Пасля публікацыі артыкулы прайшло ўжо больш за два гады, мадэлі 1400 серыі на сённяшні дзень прыбраныя з продажу. Прыйшоў час для змен і навін, гэтую задачу CheckPoint пастараўся рэалізаваць у 1500 серыі. У артыкуле мы разгледзім мадэлі для абароны невялікіх офісаў ці філіялаў кампаніі, будуць прадстаўлены тэхнічныя характарыстыкі, асаблівасці пастаўкі (ліцэнзаванне, схемы кіравання і адміністравання), кранем новых тэхналогій і опцый.
мадэльны шэраг
У якасці новых SMB мадэляў прадстаўлены: 1530, 1550, 1570, 1570R. Азнаёміцца з прадуктамі магчыма на старонцы партала CheckPoint. Лагічна мы падзелім іх на тры групы: офісны шлюз бяспекі з падтрымкай WIFI (1530, 1550), офісны шлюз бяспекі з падтрымкай WIFI + 4G/LTE (1570, 1550), шлюз бяспекі для прамысловасці (1570R).
Серыя 1530, 1550
Мадэлі маюць 5 сеткавых інтэрфейсаў для лакальных сетак і 1 інтэрфейс для выхаду ў Інтэрнэт, іх прапускная здольнасць 1 ГБ. Таксама ў наяўнасць USB-C Сonsole. Што да тэхнічных характарыстык, то Табліца даных да гэтых мадэляў прапануе вялікую колькасць вымяраных параметраў, мы ж спынімся на найболей важных ( па нашым меркаванні).
Характарыстыкі
1530
1550
Максімальная колькасць злучэнняў у сек
10 500
14 000
Максімальная колькасць канкурэнтных злучэнняў
500 000
500 000
Прапускная здольнасць пры Firewall + Threat Prevention (Мбіт/C)
340
450
Прапускная здольнасць пры Firewall + IPS (Мбіт/C)
600
800
Прапускная здольнасць Firewall (Мбіт/C)
1000
1000
* Пад Threat Prevention маюцца на ўвазе наступныя запушчаныя блейды: Firewall, Application Control і IPS.
Мадэлі 1530, 1550 маюць шэраг функцыянальных магчымасцяў:
Gaia 80.20 Embedded пералік опцый прадстаўлены ў SK СheckPoint
Ліцэнзія Mobile Access на 100 канкурэнтных падлучэнняў пастаўляецца пры куплі любога з прылад. Варта ўлічваць, што гэтая асаблівасць мадэльнага шэрагу SMB NGFW, якая дазваляе вам эканоміць на асобнай куплі ліцэнзій Mobile Access, якія не ідуць у камплекце пры куплі іншых серый мадэляў CheckPoint.
Магчымасць кіраваць шлюзам бяспекі з дапамогай мабільнага прыкладання Watch Tower (больш падрабязна было напісана ў нашай артыкуле.)
Для каго серыя 1530, 1550: дадзеная лінейка падыдзе для філіяльных офісаў да 100 чалавек, забяспечвае выдаленае падлучэнне, у наяўнасць розныя спосабы адміністравання.
Серыя 1570, 1590
Старэйшыя мадэлі ў лінейцы 1500 серыі валодаюць 8 інтэрфейсамі для лакальных падлучэнняў, 1 інтэрфейсаў для DMZ і 1 інтэрфейсам для злучэння Інтэрнэт (прапускная здольнасць усіх партоў 1 ГБ/c). Таксама ў наяўнасць USB 3.0 Port і USB-C Console. Мадэлі ідуць з падтрымкай 4G/LTE мадэмаў. Уключана падтрымка Micro-SD карт для пашырэння ўнутранай памяці прылады.
Тэхнічныя характарыстыкі прадстаўлены ніжэй:
Характарыстыкі
1570
1590
Максімальная колькасць злучэнняў у сек
15 750
21 000
Максімальная колькасць канкурэнтных злучэнняў
500 000
500 000
Прапускная здольнасць пры Threat Prevention (Мбіт/C)
500
660
Прапускная здольнасць пры Firewall + IPS (Мбіт/C)
970
1300
Прапускная здольнасць Firewall (Мбіт/C)
2800
2800
Мадэлі 1570, 1590 маюць шэраг функцыянальных магчымасцяў:
Gaia 80.20 Embedded пералік опцый прадстаўлены ў SK.
Ліцэнзія Mobile Access на 200 канкурэнтных падключэнняў
пастаўляецца пры куплі любога з прылад. Варта ўлічваць, што гэтая асаблівасць мадэльнага шэрагу SMB NGFW, якая дазваляе вам эканоміць на асобнай куплі ліцэнзій Mobile Access, якія не ідуць у камплекце пры куплі іншых серый мадэляў CheckPoint.
Магчымасць кіраваць шлюзам бяспекі з дапамогай мабільнага прыкладання Watch Tower (больш падрабязна было напісана ў нашай артыкуле).
Для каго серыя 1570, 1590: дадзеная лінейка падыдзе для офісаў да 200 чалавек, забяспечвае выдаленае падключэнне, мае найбольш высокія паказчыкі сярод сямейства SMB.
Прапускная здольнасць пры Threat Prevention + Firewall (Мбіт/C)
500
550
Прапускная здольнасць пры Firewall + IPS (Мбіт/C)
625
800
1570R
Асобнай увагі заслугоўвае NGFW 1570R СheckPoint. Яна распрацавана спецыяльна для прамысловай індустрыі і будзе цікавая кампаніям, якія працуюць у сферы: транспарціроўка, здабыча карысных рэсурсаў (нафта, газ і г.д), вытворчасць розных прадуктаў.
1570R спраектавана з улікам асаблівасцяў і ўмоў яе выкарыстання:
бяспека перыметра сеткі і кантроль за разумнымі прыладамі;
падтрымка прамысловых пратаколаў ICS/SCADA, наяўнасць GPS канектара;
адмоваўстойлівасць пры працы ў экстрэмальных умовах (высокая/нізкая тэмпература, ападкі, падвышаная вібрацыя).
Характарыстыкі NGFW
1570 Rugged
Максімальная колькасць злучэнняў у сек
13 500
Максімальная колькасць канкурэнтных злучэнняў
500 000
Прапускная здольнасць пры Threat Prevention (Мбіт/C)
Акрамя гэтага вылучым асобна шэраг функцыянальных магчымасцяў 1570R:
Gaia 80.20 Embedded пералік опцый прадстаўлены ў SK.
Ліцэнзія Mobile Access на 200 канкурэнтных падключэнняў
пастаўляецца пры куплі прылады. Варта ўлічваць, што гэтая асаблівасць новага мадэльнага шэрагу SMB NGFW, якая дазваляе вам эканоміць на асобнай куплі ліцэнзій Mobile Access, якія не ідуць у камплекце пры куплі іншых серый мадэляў CheckPoint.
Магчымасць кіраваць шлюзам бяспекі з дапамогай мабільнага прыкладання Watch Tower (больш падрабязна было напісана ў нашай артыкуле)
Аўтаматычнае фармаванне палітык/правілаў для IoT прылад, у момант іх падлучэння ў вашу лакальную сетку. Правіла генеруецца для кожнай разумнай прылады і дазваляе толькі тыя пратаколы, якія яму неабходны для карэктнай працы.
Упраўленне 1500 серыяй
Разгледзеўшы тэхнічныя характарыстыкі і магчымасці новых прылад сямейства SMB, варта адзначыць, што існуюць розныя падыходы ў частцы іх кіравання і адміністравання. Існуюць наступныя тыпавыя схемы:
Лакальнае кіраванне.
Яно як правіла выкарыстоўваецца ў кампаніях малога бізнэсу, дзе існуе некалькі офісаў і адсутнічае цэнтралізаванае кіраванне за інфраструктурай. Да плюсаў можна аднесці: даступнае разгортванне і адміністраванне NGFW, магчымасць узаемадзейнічаць з прыладамі лакальна. Да мінусаў ставяцца абмежаванні, звязаныя з магчымасцямі Gaia: адсутнасць узроўня падзелу правіл, абмежаваныя сродкі маніторынгу, адсутнасць цэнтралізаванага захоўвання логаў.
Цэнтралізаванае кіраванне праз выдзелены Management Server. Дадзены падыход прымяняецца ў выпадку, калі адміністратар можа кіраваць некалькімі NGFW, яны могуць знаходзіцца на розных пляцоўках. Перавагай дадзенага падыходу з'яўляецца гнуткасць і кантроль за агульным станам інфраструктуры, таксама некаторыя опцыі Gaia 80.20 Embedded даступныя толькі пры такой схеме.
Цэнтралізаванае кіраванне праз Smart-1 Cloud. Гэта новы сцэнар для кіравання NGFW ад CheckPoint. Ваш Management Server разгортваецца ў хмарным асяроддзі, усё кіраванне адбываецца праз Web-Інтэрфейс, дазваляючы не залежаць ад АС вашага ПК. У дадатак абслугоўванне сервера кіравання застаецца за адмыслоўцамі CheckPoint, яго прадукцыйнасць напроста залежыць ад абраных параметраў і лёгка якая маштабуецца.
Цэнтралізаванае кіраванне праз SMP (Security Management Portal). Гэтае рашэнне ўключае ў сябе разгортванне ў воблаку або лакальна аднаго агульнага вэб-партала, здольнага адначасова кіраваць да 10 000 SMB прылад.
Магчымасць кіравання праз мабільную прыладу Watch Tower, даступна толькі пасля разгортвання паўнавартаснага варыянту кіравання (гл. пункты 1-4). Падрабязна аб гэтай функцыі ў нашай артыкуле.
Адзначым найбольш важныя на наш погляд:
Адсутнасць магчымасці разгарнуць Mobile Access Portal. Карыстальнікі змогуць выкарыстоўваць Remote Access для доступу да ўнутраных рэсурсаў кампаніі, але не будуць мець магчымасці падлучацца на SSL-партал з вашым апублікаваным прыкладанням.
Не падтрымліваюцца наступныя блейды або опцыі: Content Awareness, DLP, Updateable Objects, SSL інспекцыя без катэгарызацыі, Threat Extraction, MTA c праверкай Threat Emulation, Antivirus для сканавання архіваў, ClusterXL у рэжыме Load Sharing.
У канцы артыкула хацелася б адзначыць, што тэма NGFW рашэння для SMB перайшла на новы ўзровень падтрымкі і ўзаемадзеяння, за кошт рэлізу версіі 80.20 Embedded дасягнуты баланс паміж опцыямі паўнавартаснай версіі Gaia і магчымасцямі апаратнай часткі абсталявання для малых офісаў. Мы плануем працягваць публікаваць цыкл навучальных артыкулаў, дзе будзем разглядаць базавую наладу SMB-рашэнняў, цюнінг прадукцыйнасці і іх новыя опцыі.