ProHoster > Блог > Administracija > Check Point SMB rješenja. Novi modeli za male kompanije i filijale

Check Point SMB rješenja. Novi modeli za male kompanije i filijale

Relativno nedavno (2016. godine) kompanija Check Point predstavila svoje nove uređaje (kako gateway-e tako i upravljačke servere). Ključna razlika u odnosu na prethodnu liniju je značajno povećana produktivnost.

Check Point SMB rješenja. Novi modeli za male kompanije i filijale

U ovom članku ćemo se fokusirati isključivo na niže modele. Opisat ćemo prednosti novih uređaja i moguće zamke o kojima se ne govori uvijek. Također ćemo podijeliti lične utiske o njihovom korištenju.

Check Point sastav

Kao što možete vidjeti sa slike, Check Point svoje uređaje dijeli u tri velike kategorije:

U ovom slučaju, jedna od glavnih karakteristika je tzv SPU - Sigurnosne energetske jedinice. Ovo je vlasnička mjera kompanije Check Point koja karakterizira stvarne performanse uređaja. Kao primjer, uporedimo tradicionalnu metodu mjerenja performansi zaštitnog zida (Mbps) sa “novom” tehnikom iz Check Point-a (SPU).

Tradicionalna tehnika - Propusnost zaštitnog zida

  • Mjerenja se vrše u laboratorijskim uslovima na „vještačkom“ saobraćaju.
  • Procjenjuje se učinak samo funkcije Firewall, bez dodatnih modula kao što su IPS, kontrola aplikacija itd.
  • Testiranje se obično provodi s jednim pravilom zaštitnog zida.

Metodologija Check Point - Sigurnosna snaga

  • Mjerenja stvarnog korisničkog prometa.
  • Ocjenjuje se performanse svih funkcionalnosti (Firewall, IPS, Kontrola aplikacija, URL filtriranje, itd.).
  • Testirano na standardnoj politici koja uključuje mnoga pravila.

Alat za određivanje veličine uređaja Check Point

Stoga je pri odabiru odgovarajućeg modela Check Pointa bolje osloniti se na parametar Sigurnosna jedinica za napajanje. To je naznačeno u bilo kojoj tablici podataka za uređaj. Nećete moći sami da izračunate odgovarajući SPU za svoju mrežu. To se može učiniti samo uz pomoć partnera koji ima pristup alatu Alat za određivanje veličine uređaja Check Point:

Check Point SMB rješenja. Novi modeli za male kompanije i filijale

Da biste odabrali optimalno rješenje, morate uzeti u obzir takve parametre kao što su:

  • širina internet kanala;
  • Ukupna propusnost gateway-a (može se razlikovati od internetskog kanala ako ste, na primjer, segmentirali lokalnu mrežu koristeći Check Point);
  • Broj korisnika na mreži;
  • Potrebne funkcije (Firewall, Anti-Virus, Anti-Bot, Kontrola aplikacija, URL filtriranje, IPS, Threat Emulation, itd.).

Postoje i suptilnije postavke koje opisuju na koji promet će se ove oštrice primijeniti:

Check Point SMB rješenja. Novi modeli za male kompanije i filijale

Nakon navođenja svih karakteristika, možete dobiti izvještaj s opisom odgovarajućih uređaja:

Check Point SMB rješenja. Novi modeli za male kompanije i filijale

Ovdje možete vidjeti traženi SPU (72 u našem slučaju) i preporučeni (144). I sami modeli sa opisom njihovog opterećenja i "rezerve" za saobraćaj i noževe. Prilikom odabira modela uvijek je preporučljivo uzeti uređaj iz zelene zone (tj. opterećenje do 50 posto):

Check Point SMB rješenja. Novi modeli za male kompanije i filijale

Ovo osigurava da nema problema tokom vršnog opterećenja ili planiranog povećanja širine Internet kanala. Prilikom odabira uređaja uvijek zamolite svog partnera da dostavi sličan izvještaj. Primjer se može preuzeti ovdje.

Staro protiv novog

Pošto smo shvatili glavni parametar koji karakteriše performanse uređaja, možemo pobliže pogledati nove modele za mala i srednja preduzeća. Kao što je gore pomenuto, Check Point ima čitav segment - Mala i srednja preduzeća (modeli 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Ovi uređaji se mogu nazvati ažuriranjem stare serije iz 2012. (2200, 1180, 1140, 1120). Da biste razumjeli ključne razlike, razmotrite sliku ispod:

Check Point SMB rješenja. Novi modeli za male kompanije i filijale
(cijene su u GPL-u, bez PDV-a i tehničke podrške)

Kao što vidite, serija 2016 ima značajno povećane performanse (SPU), a cijene su ostale na približno istom nivou (sa izuzetkom modela 3200). Nova linija uključuje i model 3100, ali ne još nema obaveštenja i uvoz u Rusiju je zabranjen! Zapamtite ovo!

Ako preračunamo cijenu jednog SPU-a, onda je model 1450 najizbalansiraniji. U nastavku ćemo detaljnije pogledati novu Check Point seriju.

Šeme za implementaciju SMB uređaja

Check Point SMB rješenja. Novi modeli za male kompanije i filijale

Kao što se može vidjeti sa slike, postoje dva glavna scenarija implementacije za SMB uređaje:

  1. U zadanom načinu rada mrežnog prolaza. U ovom slučaju, Check Point se instalira kao perimetarski uređaj i administrira se lokalno.
  2. Branch gateway. U ovom slučaju, hardverom podružnice se upravlja centralno (pomoću upravljačkog servera) iz glavnog ureda.

Za serije 3000 и 1400 U svakom režimu postoje neke funkcije. Pogledat ćemo ih u nastavku.

SMB serija 3000

Trenutno postoje dva "komada gvožđa" - 3200 и 3100. Kao što je ranije rečeno, 3100 se još ne može uvesti u zemlju. Što se tiče 3200, on je odlična zamjena za staru seriju 2200. Uređaj radi na punoj verziji Gaie (i R77.30 i R80.10). Ako koristite uređaj kao glavni gateway u malom preduzeću, možete očekivati ​​sljedeće performanse:

  1. Internet kanal - 50 Mbit;
  2. Ukupna propusnost - 300 Mbit;
  3. Broj korisnika - 200.

Check Point SMB rješenja. Novi modeli za male kompanije i filijale

Kao što vidite, opterećenje uređaja u ovom slučaju je 47% i to kod lokalnog upravljanja, tj. samostalni konfiguraciju (više o samostalnom i distribuiranom ovdje). Iz ličnog iskustva mogu reći da kod lokalnog menadžmenta nije preporučljivo prekoračiti opterećenje od 50%, jer... Može doći do problema s kontrolom (usporit će se).
Ako se uređaj smatra ogrankom (tj. sa odvojenim centraliziranim upravljanjem), onda će pokazatelji biti znatno viši. I već možete ući u žutu zonu u dimenzioniranju (tj. sa opterećenjem od 50% do 70%). Možete pogledati tablicu sa podacima o uređaju ovdje.

SMB serija 1400

Ova serija uključuje nekoliko uređaja odjednom: 1490, 1470, 1450, 1430 (logična zamjena zastarjelih 1120, 1140 i 1180).

Check Point SMB rješenja. Novi modeli za male kompanije i filijale

Unatoč činjenici da su ovo najmlađi Check Point modeli, oni imaju sve potrebne funkcionalnosti:

  • SMB uređaji se mogu sastaviti u HA klaster (aktivan/standby);
  • Gotovo svi softverski blejdovi su dostupni (kao na „velikim“ komadima hardvera);
  • može se upravljati i lokalno i centralno (koristeći tradicionalni Server za upravljanje);
  • postoje modifikacije sa WiFi, ADSL i PoE;
  • možete povezati 3G modeme;
  • Dostupni su kompleti za montiranje na rack.

Međutim, vrijedi upozoriti na neka ograničenja/osobine:

  • Uređaj ima neispravan Gaia na brodu, i Gaia 77.20 Embedded. Ovo ograničenje je zbog arhitekture uređaja (koriste se ARM procesori). U slučaju lokalne kontrole (samostalno), nećete moći koristiti uobičajenu SmartConsole. Umjesto toga, postoji web interfejs. To možete vidjeti u ovom videu:


    Primjer razmatra seriju 700, ali u principu se ne prodaje u Rusiji.
  • Funkcija izdvajanja prijetnji ne radi. Samo emulacija prijetnje. Možete vidjeti šta je to ovdje
  • Nemoguće je sastaviti klaster u režimu dijeljenja opterećenja. One. varanje kupovinom dva "jeftina" komada hardvera i raspodjelom opterećenja u klasteru između njih neće uspjeti.
  • Kod lokalnog upravljanja postoje ozbiljna ograničenja u pogledu HTTPS inspekcije.
  • Antivirusno skeniranje arhiva ne radi.
  • Nema DLP funkcije.

Posljednje tačke su možda najvažnija ograničenja koja se često prešućuju. Za potpunu HTTPS inspekciju, bićete primorani da koristite tradicionalni namenski server za upravljanje. U tom slučaju ćete kontrolisati uređaj kao gateway sa punom (skoro punom) verzijom Gaie.

Ostala ograničenja za Gaia Embedded možete pronaći ovdje ovdje. Obavezno ih provjerite prije nego što donesete odluku o kupovini.

Na primjer, razmislite o malom uredu sa sljedećim parametrima:

  • Internet kanal - 50 Mbit;
  • Ukupna propusnost - 200 Mbit;
  • Broj korisnika - 200;
  • Lokalno upravljanje (Web interfejs).

Check Point SMB rješenja. Novi modeli za male kompanije i filijale

Kao što se može vidjeti iz dimenzioniranja, model 1490 uspješno se nosi sa ovim zadatkom sa opterećenjem od 46% (bez napuštanja zelene zone). Uz posvećeno upravljanje, 1470 će se nositi s ovim zadatkom.
Datasheet za uređaje serije 1400 se može pogledati ovdje.

Model 1200R

Check Point SMB rješenja. Novi modeli za male kompanije i filijale

Ovaj model se teško može nazvati SMB. Ovo je već industrijsko rješenje i možda zaslužuje poseban članak. Sada nećemo detaljno razmatrati ovaj model.

Webinar

Više detalja o SMB uređajima možete pronaći na našem prethodnom webinaru:

nalazi

Po mom mišljenju, novi SMB modeli su se pokazali prilično uspješnim. Performanse uređaja su značajno povećane uz zadržavanje nivoa cijena. Nisam spreman da pričam o visokoj ceni/jeftini uređaja, jer Ovi koncepti su veoma različiti za različite kompanije.

Model 3200 Preporučio bih ga malim kompanijama koje su zainteresovane za maksimalan nivo zaštite za razumnu cenu. Osim toga, ovo je dobar izbor za one koji su već navikli raditi s punom verzijom Gaie. Verzija R80.10 je također dostupna ovdje. Kada se primi obavijest za 3100, cijena će još malo pasti. Ovo je idealna opcija za grane.

Serijski uređaji 1400 su dobar kompromis i imaju najbolji omjer cijene i kvalitete (posebno u smislu cijene po 1 SPU). Ovi uređaji su odlični za filijale s ograničenim budžetom. Koristeći centralizirano upravljanje, možete upravljati uređajima kao što su obični gateway-i s punom verzijom Gaie. Ali, opet, ne zaboravite ograničenja, sa kojim bi se svakako trebali upoznati.

PS Želio bih da se zahvalim Alekseju Matvejevu (RRC kompanija) za pomoć u pripremi materijala.

izvor: www.habr.com

Dodajte komentar