Labing bag-o, ang Check Point nagpresentar ug bag-ong scalable nga plataporma . Nakapatik na kami ug tibuok artikulo bahin sa . Sa laktud, kini nagtugot kanimo sa halos linearly nga pagdugang sa performance sa gateway sa seguridad pinaagi sa paghiusa sa daghang mga himan ug pagbalanse sa load tali kanila. Katingad-an, adunay usa ka tumotumo nga kini nga scalable nga plataporma angay lamang alang sa dagkong mga sentro sa datos o higanteng mga network. Kini mao ang hingpit nga dili tinuod.
Ang Check Point Maestro gihimo alang sa daghang mga kategorya sa mga tiggamit sa usa ka higayon (atong tan-awon sila sa ulahi), lakip ang mga medium-sized nga negosyo. Niining mubo nga serye sa mga artikulo akong sulayan sa pagpamalandong teknikal ug ekonomikanhon nga mga bentaha sa Check Point Maestro alang sa medium-sized nga mga organisasyon (gikan sa 500 ka tiggamit) ug nganong kini nga opsyon mahimong mas maayo kay sa classic cluster.
Check Point Maestro nga target audience
Una, atong tan-awon ang mga bahin sa tiggamit nga gidisenyo alang sa Check Point Maestro. Adunay 4 ra kanila:
1. Mga kompanya nga kulang sa kapabilidad sa chassis. Ang Check Point Maestro dili ang unang scalable nga plataporma sa Check Point. Gisulat na namo nga kaniadto adunay mga modelo sama sa 64000 ug 44000. Bisan tuod sila adunay DAKONG pasundayag, aduna gihapoy mga kompanya diin kini DILI IGO. Giwagtang ni Maestro kini nga kakulangan, tungod kay ... nagtugot kanimo sa pag-assemble hangtod sa 31 ka mga aparato sa usa ka kumpol nga adunay taas nga performance. Sa parehas nga oras, mahimo nimong mag-assemble ang usa ka kumpol gikan sa mga top-end nga aparato (23900, 26000), sa ingon nakab-ot ang dako nga throughput.
Sa tinuud, sa natad sa mga ganghaan sa seguridad, ang Check Point sa pagkakaron mao ra ang nagpatuman sa ingon nga kapabilidad.
2. Mga kompanya nga gustong makapili sa ilang hardware. Usa sa mga disbentaha sa mas karaan nga scalable nga mga plataporma mao ang panginahanglan sa paggamit sa hugot nga gihubit nga "blade modules" (Check Point SGM). Ang bag-ong platform sa Check Point Maestro nagtugot kanimo sa paggamit sa daghang lainlaing mga aparato. Mahimo nimong pilion ang duha ka modelo gikan sa tunga nga bahin (5600, 5800, 5900, 6500, 6800) ug gikan sa High End nga bahin (15000 series, 23000 series, 26000 series). Dugang pa, mahimo nimong ikombinar sila, depende sa mga buluhaton.
Kini sayon ββββkaayo gikan sa punto sa panglantaw sa kamalaumon nga paggamit sa mga kahinguhaan. Makapalit ka lamang sa pasundayag nga imong gikinahanglan pinaagi sa pagpili sa husto nga modelo.
3. Mga kompanya nga sobra ra ang chassis, pero gikinahanglan gihapon ang scalability. Ang laing "kakulangan" sa daan nga scalable nga mga plataporma (64000, 44000) mao ang taas nga threshold sa pagsulod (gikan sa ekonomikanhong panglantaw). Sa dugay nga panahon, ang mga scalable platform magamit ra sa mga dagkong negosyo nga adunay "maayo" nga mga badyet sa IT. Sa pag-abot sa Check Point Maestro, nausab ang tanan. Ang gasto sa minimum nga bundle (orchestrator + duha ka gateway) ikatandi (ug usahay mas ubos) sa classic active/standby cluster. Mga. ang entry threshold mius-os pag-ayo. Kung nagpili usa ka solusyon, ang usa ka kompanya mahimo dayon nga ibutang ang usa ka scalable nga arkitektura, nga walaβy sobra nga pagbayad alang sa usa ka posible nga sunod-sunod nga pagtaas sa mga panginahanglanon. Aduna bay dugang mga tiggamit sa usa ka tuig human sa pagpaila sa Check Point Maestro? Idugang lang nimo ang usa o duha ka mga ganghaan, nga walaβy bisan unsang kapuli sa mga naa na. Dili nimo kinahanglan nga usbon ang topology. Ikonektar lang ang bag-ong mga ganghaan sa orkestra ug i-apply ang mga setting niini sa pipila lang ka pag-klik.
4. Mga kompanya nga gusto sa paghimo sa labing maayo nga paggamit sa kasamtangan nga mga himan. Sa akong hunahuna daghang mga tawo ang pamilyar sa pamaagi sa Trade-In. Sa diha nga ang performance sa kasamtangan nga mga himan dili na igo ug ang hardware kinahanglan nga updated sa pagsugat sa kasamtangan nga mga panginahanglan. Usa ka mahal nga pamaagi. Dugang pa, kanunay adunay usa ka sitwasyon kung ang usa ka kustomer adunay daghang mga cluster sa Check Point alang sa lainlaing mga buluhaton. Pananglitan, usa ka cluster alang sa proteksyon sa perimeter, usa ka cluster alang sa hilit nga pag-access (RA VPN), usa ka cluster alang sa VSX, ug uban pa. Dugang pa, ang usa ka pungpong mahimong walay igong kahinguhaan, samtang ang lain adunay daghan niini. Ang Check Maestro usa ka maayo kaayo nga higayon aron ma-optimize ang paggamit niini nga mga kahinguhaan pinaagi sa dinamikong pag-apod-apod sa load sa taliwala nila.
Mga. makuha nimo ang mosunod nga mga benepisyo:
- Dili kinahanglan nga "ilabay" ang kasamtangan nga hardware. Makapalit ka og usa o duha ka dugang nga mga ganghaan, o...
- I-configure ang dinamikong pagbalanse sa load tali sa uban nga kasamtangan nga mga ganghaan alang sa mas maayo nga paggamit sa mga kapanguhaan. Kung ang load sa perimeter gateway motaas pag-ayo, nan ang orkestra makahimo sa paggamit sa "bored" nga mga kapanguhaan sa mga remote access gateway ug vice versa. Kini makatabang sa pagpahapsay sa mga seasonal (o temporaryo) nga load peak.
Sama sa tingali imong nasabtan, ang katapusan nga duha ka mga bahin partikular nga may kalabutan sa mga medium-sized nga negosyo, nga karon mahimo usab nga magamit ang mga scalable nga platform sa seguridad. Bisan pa, ang usa ka makatarunganon nga pangutana mahimong motungha: "Ngano nga mas maayo ang Check Point Maestro kaysa usa ka regular nga cluster?βAtong paningkamutan nga tubagon kini nga pangutana.
Classic cluster batok sa Check Point Maestro
Kung maghisgot kita bahin sa klasiko nga Check Point cluster, nan duha ka mga mode sa pag-opera ang gisuportahan: High Availability (ie Active/Standby) ug Load Sharing (ie Active/Active). Atong ihulagway sa daklit ang ilang kahulogan sa trabaho, ingon man ang ilang mga bentaha ug disbentaha.
Taas nga Availability (Aktibo/Standby)
Sama sa gisugyot sa ngalan, niining operating mode, ang usa ka node moagi sa tanan nga trapiko pinaagi sa iyang kaugalingon, ug ang ikaduha anaa sa standby mode ug mokuha sa trapiko kung ang aktibo nga node magsugod sa pagsinati sa bisan unsa nga mga problema.
Mga Pro:
- Ang labing lig-on nga mode;
- Ang proprietary SecureXL nga mekanismo gisuportahan aron mapadali ang pagproseso sa trapiko;
- Kung mapakyas ang aktibo nga node, ang ikaduha gigarantiyahan nga "makahilis" sa tanan nga trapiko (tungod kay parehas ra kini).
Kahinumduman:
Sa pagkatinuod, adunay usa lamang ka minus - usa ka node ang hingpit nga walay trabaho. Sa baylo, tungod niini, napugos kita sa pagpalit sa mas gamhanan nga hardware aron kini makasagubang sa trapiko nga mag-inusara.
Siyempre, ang HA mode mas kasaligan kay sa Load Sharing, apan ang resource optimization nagbilin ug daghan nga gitinguha.
Pagpakigbahin sa Pag-load (Aktibo/Aktibo)
Niini nga mode, ang tanan nga mga node sa trapiko sa proseso sa cluster. Mahimo nimong isagol ang hangtod sa 8 nga mga aparato sa ingon nga usa ka kumpol (labaw sa 4 ).
Mga Pro:
- Mahimo nimong ipang-apod-apod ang load tali sa mga node, nga nanginahanglan dili kaayo kusog nga mga aparato;
- Posibilidad sa hapsay nga scaling (pagdugang hangtod sa 8 nodes sa cluster).
Kahinumduman:
- Sa katingad-an, ang mga pro diha-diha dayon nahimong kontra. Ganahan silang mogamit sa Load Sharing mode bisan kung ang kompanya adunay duha ra ka node. Gusto nga makadaginot og kwarta, namalit sila og mga himan, nga ang matag usa gikarga sa 40-50%. Ug morag maayo ra ang tanan. Apan kung mapakyas ang usa ka node, makakuha kita usa ka kahimtang diin ang tibuuk nga karga gibalhin sa nahabilin, nga dili gyud makaya. Ingon usa ka sangputanan, walaβy pagtugot sa sayup nga ingon sa ingon nga laraw.
- Idugang niini ang usa ka hugpong sa mga pagdili sa Pagpakigbahin sa Pag-load (). Ug ang labing hinungdanon nga limitasyon mao nga ang SecureXL wala gisuportahan, usa ka mekanismo nga labi nga nagpadali sa pagproseso sa trapiko;
- Sama sa alang sa scaling pinaagi sa pagdugang sa bag-ong mga node sa cluster, subo nga ang Load Sharing layo sa maayo dinhi. Kung labaw pa sa 4 nga mga aparato ang idugang sa cluster, unya magsugod ang pasundayag .
Sa pagkonsiderar sa unang duha ka mga disadvantages, aron sa pagpatuman sa fault tolerance sa diha nga ang paggamit sa duha ka nodes, kita usab napugos sa pagpalit sa mas produktibo nga hardware aron kini "makahilis" trapiko sa usa ka kritikal nga sitwasyon. Ingon usa ka sangputanan, wala kami bisan unsang benepisyo sa ekonomiya, apan nakakuha kami daghang kantidad . Dugang pa, angay nga matikdan nga sugod sa bersyon R80.20, ang Load Sharing mode dili suportado. Gilimitahan niini ang mga tiggamit gikan sa gikinahanglan nga mga update. Wala pa mahibal-an kung suportahan ba ang Pagpaambit sa Pag-load sa mga bag-ong pagpagawas.
Check Point Maestro isip alternatibo
Gikan sa usa ka cluster point of view, ang Check Point Maestro mikuha sa mga nag-unang bentaha sa High Availability ug Load Sharing modes:
- Ang mga ganghaan nga konektado sa orkestra mahimong mogamit sa SecureXL, nga nagsiguro sa labing taas nga katulin sa pagproseso sa trapiko. Walay laing mga pagdili nga anaa sa Load Sharing;
- Ang trapiko giapod-apod tali sa mga ganghaan sa usa ka Security Group (usa ka lohikal nga ganghaan nga naglangkob sa daghang mga pisikal). Salamat niini, mahimo namong i-install ang dili kaayo produktibo nga mga aparato, tungod kay wala na kami mga idle nga mga ganghaan, sama sa mode nga High Availability. Sa parehas nga oras, ang gahum mahimong madugangan hapit sa linya, nga walaβy grabe nga pagkawala sama sa mode sa Pagpaambit sa Pag-load (dugang mga detalye sa ulahi).
Nindot kini tanan, apan atong tan-awon ang duha ka piho nga mga pananglitan.
Pananglitan # 1
Tugoti ang kompanya X nga magbutang usa ka kumpol sa mga ganghaan sa perimeter sa network. Nasinati na nila ang tanang mga pagdili sa Load Sharing (nga dili madawat kanila) ug gikonsiderar ang High Availability mode nga eksklusibo. Pagkahuman sa pagsukod, nahimo nga ang 6800 nga ganghaan angay alang kanila, nga dili kinahanglan nga ma-load sa labaw sa 50% (aron adunay labing menos pipila nga reserba sa pasundayag). Tungod kay kini usa ka kumpol, kinahanglan ka nga mopalit usa ka ikaduha nga aparato, nga "mo-aso" lang sa hangin sa standby mode. Kini usa ka mahal kaayo nga smokehouse.
Apan adunay usa ka alternatibo. Pagkuha usa ka bugkos gikan sa orkestra ug tulo nga mga ganghaan sa 6500. Sa kini nga kaso, ang trapiko ipang-apod-apod tali sa tanan nga tulo nga mga aparato. Kung imong tan-awon ang mga specs sa duha ka mga modelo, imong makita nga ang tulo ka 6500 nga mga ganghaan mas gamhanan kay sa usa ka 6800.
Busa, sa pagpili sa Check Point Maestro, ang kompanya X nakadawat sa mosunod nga mga bentaha:
- Nagbutang dayon ang kompanya og usa ka scalable nga plataporma. Ang sunod-sunod nga pag-usbaw sa pasundayag mokanaog sa pagdugang lamang og laing 6500 ka piraso sa hardware. Unsa man ang mas simple?
- Fault-tolerant gihapon ang solusyon, kay Kung ang usa ka node mapakyas, ang nahabilin nga duha makahimo sa pagsagubang sa load.
- Ang parehas nga hinungdanon ug makapakurat nga bentaha mao nga kini mas barato! Ikasubo, dili ako maka-post sa mga presyo sa publiko, apan kung interesado ka, mahimo nimo
Pananglitan # 2
Himoa nga ang kompanya nga Y adunay usa ka HA cluster sa mga modelo nga 6500. Ang aktibo nga node gikarga sa 85%, nga sa panahon sa peak load mosangpot sa pagkawala sa produktibo nga trapiko. Ang lohikal nga solusyon sa problema daw nag-update sa hardware. Ang sunod nga modelo mao ang 6800. Kana mao. ang kompanya kinahanglan nga ibalik ang mga ganghaan pinaagi sa Trade-In nga programa ug mopalit og duha ka bag-o (mas mahal) nga mga himan.
Apan adunay usa ka alternatibo nga kapilian. Pagpalit usa ka orkestra ug lain nga parehas nga node (6500). Tiguma ang usa ka pungpong sa tulo ka mga himan ug "ipakaylap" kining 85% sa load sa tulo ka mga ganghaan. Ingon usa ka sangputanan, makakuha ka usa ka dako nga margin sa pasundayag (tulo ka mga aparato ang makarga sa kasagaran nga 30%). Bisan kung ang usa sa tulo ka mga node mamatay, ang nahabilin nga duha makasagubang gihapon sa trapiko nga adunay average nga load nga 45%. Dugang pa, alang sa peak loads, ang usa ka cluster sa tulo ka aktibo nga 6500 gateways mahimong mas gamhanan kay sa usa ka 6800 gateway, nga nahimutang sa HA cluster (ie aktibo/standby). Dugang pa, kung sa usa o duha ka tuig nga mga panginahanglanon sa kompanya Y modaghan pag-usab, nan ang tanan nga kinahanglan nilang buhaton mao ang pagdugang usa o duha pa nga mga node sa 6500. Sa akong hunahuna ang kaayohan sa ekonomiya dinhi klaro.
konklusyon
Oo, ang Check Point Maestro dili solusyon alang sa SMB. Apan bisan ang usa ka medium-sized nga negosyo mahimo nang maghunahuna bahin sa kini nga plataporma ug labing menos pagsulay sa pagkalkulo sa kahusayan sa ekonomiya. Mahibulong ka nga mahibal-an nga ang mga scalable nga mga platform mahimong mas mapuslanon kaysa usa ka klasiko nga cluster. Sa samang higayon, adunay mga bentaha dili lamang sa ekonomiya, kondili usab sa teknikal. Bisan pa, hisgutan naton kini sa sunod nga artikulo, diin, dugang sa mga teknikal nga mga limbong, sulayan nako nga ipakita ang daghang mga tipikal nga kaso (topology, mga senaryo).
Mahimo ka usab nga mag-subscribe sa among mga panid sa publiko (, , , ), diin mahimo nimong sundon ang pagtungha sa mga bag-ong materyales sa Check Point ug uban pang mga produkto sa seguridad.
Source: www.habr.com