Soluzioni Check Point SMB. Novi mudelli per i picculi imprese è rami

Relativamente ricenti (in 2016), a cumpagnia Check Point hà prisentatu i so novi dispositi (sia gateways è servitori di cuntrollu). A diferenza chjave da a linea precedente hè significativamente aumentata a produtividade.

In questu articulu avemu da fucalizza solu nantu à i mudelli più bassi. Descriveremu i vantaghji di i novi dispusitivi è i pussibili trappule chì ùn sò micca sempre discututi. Avemu da sparte ancu impressioni persunali di u so usu.

Linea di Check Point

Comu pudete vede da a stampa, Check Point divide i so dispositi in trè grandi categorie:

• High End Enterprise è Data Center (mudelli 23800, 23500, 15600, 15400)
• ingegneria (mudelli 5900, 5800, 5600, 5400, 5200, 5100)
• Piccole è Medie Imprese (mudelli 3200, 3100, 1490, 1470, 1450, 1430, 1200R)

In questu casu, una di e caratteristiche principali hè u cusì chjamatu SPU - Unità di putenza di sicurezza. Questa hè a misura proprietaria di Check Point chì caratterizeghja u rendimentu propiu di un dispositivu. Per esempiu, paragunemu u metudu tradiziunale di misurazione di u rendiment di u Firewall (Mbps) cù a tecnica "nova" da Check Point (SPU).

Tecnica tradiziunale - Firewall Throughput

• E misurazioni sò realizati in cundizioni di laboratoriu nantu à u trafficu "artificiale".
• U funziunamentu di solu a funzione Firewall hè evaluatu, senza moduli supplementari cum'è IPS, Application Control, etc.
• A prova hè generalmente realizata cù una regula Firewall.

Metodologia di Puntu di Verificazione - Potenza di Sicurezza

• Misurazioni nantu à u trafficu di l'utilizatori reale.
• U rendiment di tutte e funziunalità (Firewall, IPS, Control di l'Applicazione, filtrazione URL, etc.) hè evaluatu.
• Pruvatu nantu à una pulitica standard chì include parechje regule.

Strumentu di dimensionamentu di l'appliance Check Point

Cusì, quandu sceglite un mudellu di Check Point adattatu, hè megliu cunfidendu u paràmetru Unità di putenza di sicurità. Hè indicatu in ogni datasheet per u dispusitivu. Ùn puderà micca calculà u SPU adattatu per a vostra reta da u vostru propiu. Questu pò esse fattu solu cù l'aiutu di un cumpagnu chì hà accessu à u strumentu Strumentu di dimensionamentu di l'appliance Check Point:

Per selezziunà a suluzione ottima, avete bisognu di piglià in contu i parametri cum'è:

• larghezza di u canali Internet;
• U throughput tutale di u gateway (pò differisce da u canali Internet se, per esempiu, avete segmentatu a reta lucale cù Check Point);
• numeru di utilizatori nantu à a reta;
• Funzioni richieste (Firewall, Anti-Virus, Anti-Bot, Control di l'Applicazione, Filtru URL, IPS, Emulazione di Minaccia, etc.).

Ci sò ancu paràmetri più sottili chì descrizanu à quale trafficu seranu applicati sti lame:

Dopu avè specificatu tutte e caratteristiche, pudete riceve un rapportu chì descrive i dispositi adattati:

Quì pudete vede u SPU necessariu (72 in u nostru casu) è quellu cunsigliatu (144). È ancu i mudelli stessi cù una descrizzione di a so carica è "riserva" per u trafficu è e lame. Quandu sceglite un mudellu, hè sempre cunsigliatu di piglià un dispositivu da a zona verde (vale à dì, carica finu à 50 per centu):

Questu assicura chì ùn ci sò micca prublemi durante a carica di punta o un aumentu pianificatu di a larghezza di u canali Internet. Quandu sceglite un dispositivu, dumandate sempre à u vostru cumpagnu di furnisce un rapportu simili. L'esempiu pò esse telecaricatu ccà.

Vechju vs Novu

Dopu avè capitu u paràmetru principale chì carattirizza u funziunamentu di i dispositi, pudemu piglià un ochju più vicinu à novi mudelli per i picculi è mediani imprese. Cum'è l'esitatu sopra, Check Point hà un segmentu sanu - Piccole è Medie Imprese (mudelli 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Sti dispusitivi ponu esse chjamati un aghjurnamentu di l'antica serie 2012 (2200, 1180, 1140, 1120). Per capiscenu e differenze chjave, cunzidira l'imagine quì sottu:

(I prezzi sò in GPL, senza IVA è supportu tecnicu)

Comu pudete vede, a serie 2016 hà aumentatu significativamente u rendiment (SPU), è i prezzi sò stati apprussimatamente à u listessu livellu (cù l'eccezzioni di u mudellu 3200). A nova linea include ancu un mudellu 3100, ma micca ancora ùn ci hè micca notificazione è l'importazione in Russia hè pruibita! Ricurdativi di questu!

Se ricalculate u costu di una SPU, u mudellu 1450 hè u più equilibratu. Quì sottu daremu un ochju più attentu à a nova serie Check Point.

Schemi per implementà i dispositi SMB

Comu pò esse vistu da a figura, ci sò dui scenarii principali di implementazione per i dispositi SMB:

1. In modu di gateway predeterminatu. In questu casu, u Check Point hè stallatu cum'è un dispositivu perimetru è amministratu lucale.
2. Porta di filiale. In questu casu, u hardware di filiale hè amministratu cintrali (usendu u servitore di Gestione) da a sede centrale.

Per a serie 3000 и 1400 Ci sò qualchi funziunalità in ogni modu. Fighjemu quì sottu.

Serie SMB 3000

À u mumentu ci sò dui "pezzi di ferru" - 3200 и 3100. Cum'è dichjaratu prima, 3100 ùn pò ancu esse impurtatu in u paese. In quantu à u 3200, hè un sustitutu excelente per l'antica serie 2200. U dispusitivu corre una versione completa di Gaia (sia R77.30 è R80.10). Sè aduprate u dispusitivu cum'è a porta principale in una piccula impresa, pudete aspittà a seguente prestazione:

1. Canale Internet - 50 Mbit;
2. larghezza di banda tutale - 300 Mbit;
3. U numeru di utilizatori - 200.

Comu pudete vede, a carica di u dispusitivu in questu casu hè di 47% è questu hè cù a gestione locale, i.e. Standalone cunfigurazione (più nantu à standalone è distribuitu ccà). Da l'esperienza persunale, possu dì chì cù a gestione lucale ùn hè micca cunsigliatu per superà a carica di 50%, perchè ... Ci ponu esse prublemi cù u cuntrollu (si rallenta).
Se u dispusitivu hè cunsideratu cum'è un dispositivu di ramu (vale à dì cù una gestione centralizzata separata), l'indicatori seranu significativamente più altu. È pudete digià entre in a zona gialla in sizing (vale à dì, cù una carica di 50% à 70%). Pudete vede a datasheet di u dispusitivu ccà.

Serie SMB 1400

Sta serie include parechji dispusitivi in ​​una volta: 1490, 1470, 1450, 1430 (Sustituzione logica di l'antiquati 1120, 1140 è 1180).

Malgradu u fattu chì questi sò i più ghjovani mudelli Check Point, anu tutte e funziunalità necessariu:

• I dispositi SMB ponu esse assemblati in un cluster HA (Active / Standby);
• Quasi tutte e lame di software sò dispunibuli (cum'è nantu à i pezzi "grandi" di hardware);
• pò esse amministratu à tempu locale è cintrali (aduprendu un Servitore di Gestione tradiziunale);
• ci sò mudificazioni cù WiFi, ADSL è PoE;
• pudete cunnette modem 3G;
• I kit di montaggio in rack sò dispunibili.

Tuttavia, vale a pena avvistà circa alcune limitazioni / caratteristiche:

• U dispusitivu hà difettu Gaia à bordu, è Gaia 77.20 Embedded. Questa limitazione hè dovuta à l'architettura di u dispositivu (i processatori ARM sò usati). In casu di cuntrollu lucale (standalone), ùn puderete micca aduprà u solitu SmartConsole. Invece, ci hè una interfaccia web. Pudete vede in questu video:
  
  L'esempiu cunsidereghja a serie 700, ma in principiu ùn hè micca vindutu in Russia.
• A funzione di estrazione di minacce ùn funziona micca. Emulazione di minaccia solu. Pudete vede ciò chì hè ccà
• Hè impussibile di assemblà un cluster in modalità Load Sharing. Quelli. ingannà cumprà dui pezzi di hardware "ecunumia" è distribuzendu a carica in u cluster trà elli ùn funziona micca.
• Cù a gestione lucale, ci sò serii restrizioni in quantu à l'ispezione HTTPS.
• A scansione antivirus di l'archivi ùn funziona micca.
• Nisuna funzione DLP.

L'ultimi punti sò forse e restrizioni più impurtanti chì sò spessu silenziu. Per l'ispezione HTTPS cumpleta, sarete obligatu à utilizà un servitore tradiziunale di Gestione dedicatu. In questu casu, vi cuntrollà u dispusitivu cum'è una porta cù una versione piena (quasi piena) di Gaia.

Altre restrizioni di Gaia Embedded ponu esse truvate quì ccà. Assicuratevi di verificà prima di piglià una decisione di compra.

Per esempiu, cunzidira un picculu uffiziu cù i seguenti parametri:

• Canale Internet - 50 Mbit;
• larghezza di banda tutale - 200 Mbit;
• numeru di utilizatori - 200;
• Gestione locale (interfaccia Web).

Comu pò esse vistu da u sizing, u mudellu 1490 copre cun successu cù questa attività cù una carica di 46% (senza abbandunà a zona verde). Cù una gestione dedicata, u 1470 affruntà stu compitu.
A scheda di dati per i dispositi di a serie 1400 pò esse vista ccà.

U mudellu 1200R

Stu mudellu ùn pò micca esse chjamatu SMB. Questu hè digià una suluzione industriale è forse meriteghja un articulu separatu. Avà ùn avemu micca cunsideratu stu mudellu in detail.

Webinar

Più dettagli nantu à i dispositi SMB ponu esse truvati in u nostru webinar precedente:

scuperti

In u mo parè, i novi mudelli di SMB anu fattu un bellu successu. U rendiment di i dispositi hè statu aumentatu significativamente mentre mantene u livellu di prezzu. Ùn sò micca prontu à parlà di l'altu costu / cheapness di i dispositi, perchè Sti cuncetti sò assai diffirenti per e diverse cumpagnie.

U mudellu 3200 Avissi ricumandemu à e piccule imprese chì anu interessatu à u livellu massimu di prutezzione per un prezzu raghjone. In più, questu hè una bona scelta per quelli chì sò digià abituati à travaglià cù a versione completa di Gaia. A versione R80.10 hè ancu dispunibule quì. Quandu a notificazione per 3100 hè ricevutu, u prezzu di u prezzu scenderà un pocu più. Questa hè una opzione ideale per i rami.

Dispositivi di serie 1400 sò un bonu cumprumissu è avè u megliu rapportu prezzu / qualità (in particulare in termini di prezzu per 1 SPU). Sti dispusitivi sò grandi per rami nantu à un budgetu. Utilizendu a gestione centralizata, pudete gestisce i dispositi cum'è i gateway regulari cù una versione completa di Gaia. Ma, di novu, ùn vi scurdate micca restrizioni, chì duvete definitivamente familiarizà.

PS Vogliu ringrazià Alexey Matveev (Cumpagnia RRC) per aiutà à preparà u materiale.

Source: www.habr.com