SMB рашэння Check Point. Новыя мадэлі для невялікіх кампаній і філіялаў

Адносна нядаўна (у 2016 годзе) кампанія Пункт кантролю прэзентавала свае новыя прылады (як шлюзы, так і сервера кіравання). Ключавое адрозненне ад папярэдняй лінейкі - значна павялічаная прадукцыйнасць.

У дадзеным артыкуле мы засяродзімся выключна на малодшых мадэлях. Апішам перавагі новых прылад і магчымыя падводныя камяні, пра якія не заўсёды гавораць. Таксама падзелімся асабістымі ўражаннямі ад іх выкарыстання.

Мадэльны шэраг Check Point

Як відаць з карцінкі, Check Point дзеліць свае прылады на тры вялікія катэгорыі:

• High End Enterprise and Data Center (мадэлі 23800, 23500, 15600, 15400)
• прадпрыемства (мадэлі 5900, 5800, 5600, 5400, 5200, 5100)
• Малое і сярэдняе прадпрымальніцтва (мадэлі 3200, 3100, 1490, 1470, 1450, 1430, 1200R)

Пры гэтым адной з галоўных характарыстык з'яўляецца так званы SPU – Security Power Units. Гэта ўласная мера Check Point, якая характарызуе рэальную прадукцыйнасць прылады. Для прыкладу давайце параўнаем традыцыйны метад вымярэння прадукцыйнасці Міжсеткавых экранаў (Мбіт/з), з "новай" методыкай ад Check Point (SPU).

Традыцыйная методыка – Firewall Throughput

• Замеры ажыццяўляюцца ў лабараторных умовах на "штучным" трафіку.
• Ацэньваецца прадукцыйнасць толькі функцыі Міжсеткавага экрана, без дадатковых модуляў, такіх як IPS, Application Control і г.д.
• Тэставанні як правіла праводзяцца з адным правілам Firewall.

Методыка Check Point - Security Power

• Замеры на рэальна карыстацкім трафіку.
• Ацэньваецца прадукцыйнасць за ўсё функцыяналу (Firewall, IPS, Application Control, URL-filtering і г.д.).
• Тэстуецца на тыпавой палітыцы, якая ўключае мноства правіл.

Check Point Appliance Sizing Tool

Такім чынам пры выбары прыдатнай мадэлі Check Point лепш спадзявацца на параметр Security Power Unit. Ён паказваецца ў любым даташыце на прыладу. Самастойна разлічыць прыдатны SPU для вашай сеткі не атрымаецца. Зрабіць гэта можна толькі з дапамогай партнёра, якому даступны інструмент Check Point Appliance Sizing Tool:

Для падбору аптымальнага рашэння трэба ўлічваць такія параметры як:

• Шырыня Інтэрнэт канала;
• Агульная прапускная здольнасць шлюза (можа адрознівацца ад Інтэрнэту канала, калі вы да прыкладу сегментавалі лакальную сетку з дапамогай Check Point);
• Колькасць карыстальнікаў у сетцы;
• Патрабаваныя функцыі (Firewall, Anti-Virus, Anti-Bot, Application Control, URL Filtering, IPS, Threat Emulation і г.д.).

Ёсць і больш тонкія налады, якія апісваюць да якога трафіку будуць прымяняцца гэтыя блейды:

Пасля ўказання ўсіх характарыстык, можна атрымаць справаздачу з апісаннем прыдатных прылад:

Тутака ж можна ўбачыць патрабаванае SPU (72 у нашым выпадку) і рэкамендуемае (144). А гэтак жа самі мадэлі з апісаннем іх загрузкі і "запасу" па трафіку і блейдам. Пры выбары мадэлі, заўсёды рэкамендуецца браць прыладу з зялёнай зоны (г.зн. загрузка да 50 працэнтаў):

Гэта гарантуе адсутнасць праблем пры пікавай нагрузцы ці планавым павелічэнні шырыні канала Інтэрнэт. Пры выбары прылады, заўсёды прасіце партнёра падаць падобную справаздачу. Прыклад можна спампаваць тут.

Старое vs Новае

Разабраўшыся з асноўным параметрам, які характарызуе прадукцыйнасць прылад, можна больш падрабязна разгледзець новыя мадэлі для малога і сярэдняга бізнэсу. Як было сказана вышэй, у Check Point ёсць цэлы сегмент Малое і сярэдняе прадпрымальніцтва (мадэлі 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Гэтыя прылады можна назваць абнаўленнем старой серыі 2012 года (2200, 1180, 1140, 1120). Каб зразумець ключавыя адрозненні разгледзім карцінку ніжэй:

(цэны пазначаны ў GPL, без ПДВ і тэхнічнай падтрымкі)

Як відаць, у серыі 2016 істотна вырасла прадукцыйнасць (SPU), а кошты засталіся прыкладна на тым жа ўзроўні (за выключэннем мадэлі 3200). У новай лінейцы таксама з'явілася мадэль 3100, але на яе пакуль яшчэ няма натыфікацыі і ўвоз у Расію забаронены! Памятайце пра гэта!

Калі пералічыць кошт аднаго SPU, то мадэль 1450 з'яўляецца найболей збалансаванай. Ніжэй мы разгледзім больш падрабязна новыя серыі Check Point.

Схемы ўкаранення SMB прылад

Як відаць з малюнка, для SMB прылад ёсць два асноўных сцэнара ўкаранення:

1. У рэжыме асноўнага шлюза. У гэтым выпадку Check Point усталёўваецца як прылада перыметра і адмініструецца лакальна.
2. Шлюз для філіяла. У гэтым выпадку філіяльная "жалязяк" кіруецца цэнтралізавана (з дапамогай Management сервера) з галаўнога офіса.

Для серый 3000 и 1400 ёсць некаторыя асаблівасці ў кожным з рэжымаў. Мы разгледзім іх ніжэй.

SMB серыя 3000

На дадзены момант ёсць дзве "жалязякі". 3200 и 3100. Як было сказана раней, 3100 пакуль яшчэ нельга завезці ў краіну. Што да 3200, то гэта выдатная замена старой серыі 2200. На борце прылады працуе паўнавартасная версія Gaia (як R77.30, так і R80.10). У выпадку выкарыстання прылады як асноўнага шлюза ў малым прадпрыемствы можна разлічваць на наступную прадукцыйнасць:

1. Інтэрнэт канал - 50 Мбіт;
2. Агульная прапускная здольнасць - 300 Мбіт;
3. Колькасць карыстальнікаў - 200.

Як бачыце загрузка прылады ў гэтым выпадку складае 47% і гэта пры лакальным менеджменце, г.зн. Аўтаномныя канфігурацыя (падрабязней аб standalone і distributed тут). Па асабістым досведзе магу сказаць, што пры лакальным менеджменце не рэкамендуецца перавышаць загрузку ў 50%, т.я. могуць з'явіцца праблемы з кіраваннем (будзе прытармажваць).
Калі ж прылада разглядаць як філіяльнае (г.зн. з асобным цэнтралізаваным мэнэджментам) то паказчыкі будуць значна вышэй. І можна ўжо выходзіць у жоўтую зону ў сайзінгу (г.зн. з загрузкай ад 50% да 70%). Даташыт прылады можна паглядзець тут.

SMB серыя 1400

Дадзеная серыя ўключае адразу некалькі прылад: 1490, 1470, 1450, 1430 (Лагічная замена састарэлых 1120, 1140 і 1180).

Нягледзячы на ​​тое, што гэта самыя малодшыя мадэлі Check Point, яны валодаюць усім неабходным функцыяналам:

• SMB прылады можна сабраць у HA кластар (Acitive/Standby);
• даступныя практычна ўсе праграмныя блейды (як на "вялікіх" жалязяках);
• можна кіраваць як лакальна, так і цэнтралізавана (з дапамогай традыцыйнага Management Server);
• ёсць мадыфікацыі з WiFi, ADSL і PoE;
• можна падключаць 3G мадэмы;
• ёсць камплекты для мацавання ў стойку.

Аднак варта папярэдзіць аб некаторых абмежаваннях/асаблівасцях:

• На борце прылады непаўнавартасная Gaia, а Gaia 77.20 Embedded. Гэта абмежаванне звязана з архітэктурай прылад (Выкарыстоўваюцца ARM працэсары). У выпадку лакальнага кіравання (standalone), вы не зможаце карыстацца звыклай SmartConsole. Замест гэтага ёсць вэб-інтэрфейс. Азнаёміцца ​​з ім можна ў гэтым відэа:
  
  У прыкладзе разглядаецца серыя 700, але яна ў прынцыпе не прадаецца ў Расіі.
• Не працуе функцыя Threat Extraction. Толькі Threat Emulation. Пра тое, што гэта такое, можна паглядзець тут
• Нельга сабраць кластар у рэжым Load Sharing. Г.зн. схітрыць, купіўшы дзве "танныя" жалязякі і размеркаваць паміж імі нагрузку ў кластары - не атрымаецца.
• Пры лакальным менеджменце ёсць сур'ёзныя абмежаванні ў частцы HTTPS інспекцыі.
• Не працуе сканіраванне архіваў Антывірусам.
• Няма функцыі DLP.

Апошнія пункты мабыць самыя галоўныя абмежаванні аб якіх часта замоўчваюць. Для паўнавартаснай HTTPS інспекцыі вы будзеце вымушаныя выкарыстоўваць традыцыйны выдзелены Management сервер. У гэтым выпадку вы будзеце кіраваць прыладай, як шлюзам з паўнавартаснай (амаль паўнавартаснай) версіяй Gaia.

З іншымі абмежаваннямі Gaia Embedded можна азнаёміцца тут. Абавязкова азнаёмцеся з імі перад прыняццем рашэння аб пакупцы.

Для прыкладу разгледзім невялікі офіс са наступнымі параметрамі:

• Інтэрнэт канал - 50 Мбіт;
• Агульная прапускная здольнасць - 200 Мбіт;
• Колькасць карыстальнікаў - 200;
• Мэнэджмент лакальны (Web-інтэрфейс).

Як відаць з сайзінгу, з дадзенай задачай паспяхова спраўляецца мадэль 1490 з загрузкай у 46% (не вылазячы з зялёнай зоны). Пры выдзеленым менеджменце з гэтай задачай справіцца і 1470.
Даташыт на прылады серыі 1400 можна паглядзець тут.

Мадэль 1200R

Дадзеную мадэль складана назваць SMB. Гэта ўжо рашэнне ў прамысловым выкананні і магчыма заслугоўвае асобнага артыкула. Цяпер мы не будзем падрабязна разглядаць дадзеную мадэль.

Вебинар

Больш падрабязна пра SMB прылады можна паглядзець у нашым папярэднім вэбінары:

Высновы

На мой погляд, новыя SMB мадэлі атрымаліся даволі ўдалымі. Істотна павялічана прадукцыйнасць прылад пры захаванні ўзроўню цаны. На рахунак дарагоўлі/таннасці прылад разважаць не готаў, т.к. для розных кампаній гэтыя паняцці моцна адрозніваюцца.

Мадэль 3200 я б рэкамендаваў невялікім кампаніям, якіх цікавіць максімальны ўзровень абароны за разумныя грошы. Плюс гэта ўдалы выбар для тых, хто ўжо абвык працаваць з паўнавартаснай версіяй Gaia. Тут таксама даступная версія R80.10. Калі будзе атрымана натыфікацыя на 3100, то цэннік яшчэ крыху знізіцца. Для філіялаў гэта ідэальны варыянт.

Прылады серыі 1400 з'яўляюцца добрым кампрамісам і валодаюць лепшым суадносінамі кошт / якасць (асабліва ў пераліку на кошт за 1 SPU). Гэтыя прылады выдатна падыходзяць для філіялаў пры абмежаваным бюджэце. Выкарыстоўваючы цэнтралізаваны менеджмент можна кіраваць прыладамі як звычайным шлюзамі з паўнавартаснай версіяй Gaia. Але, паўтаруся, не варта забываць пра абмежаваннях, з якімі трэба абавязкова азнаёміцца.

PS Хацеў бы падзякаваць Мацвееву Аляксею (кампанія RRC) за дапамогай пры падрыхтоўцы матэрыялу.

Крыніца: habr.com