1. NGFW для малого бизнеса. Новая линейка CheckPoint 1500 Security Gateway

После публикации статьи прошло уже более двух лет, модели 1400 серии на сегодняшний день убраны из продажи. Пришло время для изменений и новшеств, эту задачу CheckPoint постарался реализовать в 1500 серии. В статье мы рассмотрим модели для защиты небольших офисов или филиалов компании, будут представлены технические характеристики, особенности поставки (лицензирование, схемы управления и администрирования), коснемся новых технологий и опций.

Модельный ряд

В качестве новых SMB моделей представлены: 1530, 1550, 1570, 1570R. Ознакомиться с продуктами возможно на странице портала CheckPoint. Логически мы разделим их на три группы: офисный шлюз безопасности с поддержкой WIFI (1530, 1550), офисный шлюз безопасности с поддержкой WIFI + 4G/LTE (1570, 1550), шлюз безопасности для промышленности (1570R).

Cерия 1530, 1550

Модели имеют 5 сетевых интерфейсов для локальный сети и 1 интерфейс для выхода в Интернет, их пропускная способность 1 ГБ. Также в наличие USB-C Сonsole. Что касается технических характеристик, то DataSheet к этим моделям предлагает большое количество измеряемых параметров, мы же остановимся на наиболее важных ( по нашему мнению).

Характеристики

1530

1550

Максимальное количество соединений в сек

10 500

14 000

Максимальное количество конкурентных соединений

500 000

500 000

Пропускная способность при Firewall + Threat Prevention (Мбит/C)

340

450

Пропускная способность при Firewall + IPS (Мбит/C)

600

800

Пропускная способность Firewall (Мбит/C)

1000

1000

* Под Threat Prevention подразумеваются следующие запущенные блейды: Firewall, Application Control и IPS.

Модели 1530, 1550 имеют ряд функциональных возможностей:

• Gaia 80.20 Embedded перечень опций представлен в SK СheckPoint
• Лицензия Mobile Access на 100 конкурентных подключений поставляется при покупке любого из устройств. Стоит учитывать что эта особенность модельного ряда SMB NGFW, позволяющая вам экономить на отдельной покупке лицензий Mobile Access, которые не идут в комплекте при покупке других серий моделей CheckPoint.
• Возможность управлять шлюзом безопасности с помощью мобильного приложения Watch Tower (более подробно было написано в нашей статье.)

Для кого серия 1530, 1550: данная линейка подойдет для филиальных офисов до 100 человек, обеспечивает удаленное подключение, в наличие различные способы администрирования.

Cерия 1570, 1590

Старшие модели в линейке 1500 серии обладают 8 интерфейсами для локальных подключений, 1 интерфейсов для DMZ и 1 интерфейсом для соединения Интернет (пропускная способность всех портов 1 ГБ/c). Также в наличие USB 3.0 Port и USB-C Console. Модели идут с поддержкой 4G/LTE модемов. Включена поддержка Micro-SD карт для расширения внутренней памяти устройства.

Технические характеристики представлены ниже:

Характеристики

1570

1590

Максимальное количество соединений в сек

15 750

21 000

Максимальное количество конкурентных соединений

500 000

500 000

Пропускная способность при Threat Prevention (Мбит/C)

500

660

Пропускная способность при Firewall + IPS (Мбит/C)

970

1300

Пропускная способность Firewall (Мбит/C)

2800

2800

Модели 1570, 1590 имеют ряд функциональных возможностей:

• Gaia 80.20 Embedded перечень опций представлен в SK.
• Лицензия Mobile Access на 200 конкурентных подключений
  поставляется при покупке любого из устройств. Стоит учитывать что эта особенность модельного ряда SMB NGFW, позволяющая вам экономить на отдельной покупке лицензий Mobile Access, которые не идут в комплекте при покупке других серий моделей CheckPoint.
• Возможность управлять шлюзом безопасности с помощью мобильного приложения Watch Tower (более подробно было написано в нашей статье).

Для кого серия 1570, 1590: данная линейка подойдет для офисов до 200 человек, обеспечивает удаленное подключение, имеет наиболее высокие показатели среди семейства SMB.

Для сравнения показатели предыдущих моделей:

Характеристики

1470

1490

Пропускная способность при Threat Prevention + Firewall (Мбит/C)

500

550

Пропускная способность при Firewall + IPS (Мбит/C)

625

800

1570R

Отдельного внимания заслуживает NGFW 1570R СheckPoint. Она разработана специально для промышленной индустрии и будет интересна компаниям работающим в сфере: транспортировка, добыча полезных ресурсов (нефть, газ и т.д), производство различных продуктов.

1570R спроектирована с учетом особенностей и условий ее использования:

• безопасность периметра сети и контроль за умными устройствами;
• поддержка промышленных протоколов ICS/SCADA, наличие GPS коннектора;
• отказоустойчивость при работе в экстремальных условиях (высокая/низкая температура, осадки, повышенная вибрация).

Характеристики NGFW

1570 Rugged

Максимальное количество соединений в сек

13 500

Максимальное количество конкурентных соединений

500 000

Пропускная способность при Threat Prevention (Мбит/C)

400

Пропускная способность при Firewall + IPS (Мбит/C)

700

Пропускная способность Firewall (Мбит/C)

1900

Рабочие условия применения

-40ºC ~ 75ºC (-40ºF ~ +167ºF)

Cертификаты на прочность

EN/IEC 60529, IEC 60068-2-27 shock, IEC 60068-2-6 vibration

Кроме этого выделим отдельно ряд функциональных возможностей 1570R:

• Gaia 80.20 Embedded перечень опций представлен в SK.
• Лицензия Mobile Access на 200 конкурентных подключений
  поставляется при покупке устройства. Стоит учитывать что эта особенность нового модельного ряда SMB NGFW, позволяющая вам экономить на отдельной покупке лицензий Mobile Access, которые не идут в комплекте при покупке других серий моделей CheckPoint.
• Возможность управлять шлюзом безопасности с помощью мобильного приложения Watch Tower (более подробно было написано в нашей статье)
• Автоматическое формирование политик/правил для IoT устройств, в момент их подключения в вашу локальную сеть. Правило генерируется для каждого умного устройства и разрешает только те протоколы, которые ему необходимы для корректной работы.

Управление 1500 серией

Рассмотрев технические характеристики и возможности новых устройств семейства SMB, стоит отметить что существуют различные подходы в части их управления и администрирования. Существуют следующие типовые схемы:

1. Локальное управление.

   Оно как правило используется в компаниях малого бизнеса, где существует несколько офисов и отсутствует централизованное управление за инфраструктурой. К плюсам можно отнести: доступное развертывание и администрирование NGFW, возможность взаимодействовать с устройствами локально. К минусам относятся ограничения, связанные с возможностями Gaia: отсутствие уровня разделения правил, ограниченные средства мониторинга, отсутствие централизованного хранения логов.

   

2. Централизованное управление через выделенный Management Server. Данный подход применяется в случае, когда администратор может управлять несколькими NGFW, они могут находиться на различных площадках. Преимуществом данного подхода является гибкость и контроль за общим состоянием инфраструктуры, также некоторые опции Gaia 80.20 Embedded доступны только при такой схеме.

   

3. Централизованное управление через Smart-1 Cloud. Это новый сценарий для управления NGFW от CheckPoint. Ваш Management Server разворачивается в облачной среде, все управление происходит через Web-Интерфейс, позволяя не зависеть от ОС вашего ПК. В дополнение обслуживание сервера управления остается за специалистами CheckPoint, его производительность напрямую зависит от выбранных параметров и легко масштабируема.

   

4. Централизованное управление через SMP (Security Management Portal). Это решение включает в себя развертывание в облаке или локально одного общего веб-портала, способного одновременно управлять до 10 000 SMB устройств.
5. Возможность управления через мобильное устройство Watch Tower, доступно только после развертывания полноценного варианта управления (см. пункты 1-4). Подробно об этой функции в нашей статье.

Отметим наиболее важные на наш взгляд:

1. Отсутствие возможности развернуть Mobile Access Portal. Пользователи смогут использовать Remote Access для доступа к внутренним ресурсам компании, но не будут иметь возможности подключаться на SSL-портал c вашим опубликованным приложениям.
2. Не поддерживаются следующие блейды или опции: Content Awareness, DLP, Updatable Objects, SSL инспекция без категоризации, Threat Extraction, MTA c проверкой Threat Emulation, Antivirus для сканирования архивов, ClusterXL в режиме Load Sharing.

В конце статьи хотелось бы отметить, что тема NGFW решения для SMB перешла на новый уровень поддержки и взаимодействия, за счет релиза версии 80.20 Embedded достигнут баланс между опциями полноценной версии Gaia и возможностями аппаратной части оборудования для малых офисов. Мы планируем продолжать публиковать цикл обучающих статей, где будем рассматривать базовую настройку SMB-решений, тюнинг производительности и их новые опции.

Большая подборка материалов по Check Point от TS Solution. Следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

Источник: habr.com