Relativně nedávno (v roce 2016) se spol představila svá nová zařízení (brány i řídicí servery). Klíčovým rozdílem oproti předchozí řadě je výrazně zvýšená produktivita.
V tomto článku se zaměříme výhradně na nižší modely. Popíšeme si výhody nových zařízení a možná úskalí, o kterých se ne vždy mluví. Podělíme se také o osobní dojmy z jejich používání.
Sestava Check Point
Jak můžete vidět z obrázku, Check Point rozděluje svá zařízení do tří velkých kategorií:
- Špičkové podnikové a datové centrum (modely , )
- Enterprise (modely )
- Malý a střední podnik (modely , , , , , , 1200 R)
V tomto případě je jednou z hlavních charakteristik tzv SPU - Bezpečnostní napájecí jednotky. Toto je vlastní měření společnosti Check Point, které charakterizuje skutečný výkon zařízení. Jako příklad porovnejme tradiční metodu měření výkonu Firewallu (Mbps) s „novou“ technikou od Check Point (SPU).
Tradiční technika - Propustnost firewallu
- Měření se provádějí v laboratorních podmínkách na „umělém“ provozu.
- Hodnotí se výkon pouze funkce Firewall, bez přídavných modulů jako IPS, Řízení aplikací atp.
- Testování se obvykle provádí s jedním pravidlem brány firewall.
Metodika kontrolních bodů – bezpečnostní síla
- Měření na reálném provozu uživatelů.
- Posuzuje se výkon všech funkcí (Firewall, IPS, Řízení aplikací, filtrování URL atd.).
- Testováno na standardní politice, která obsahuje mnoho pravidel.
Check Point Appliance Sizing Tool
Při výběru vhodného modelu Check Point je tedy lepší spolehnout se na parametr Bezpečnostní napájecí jednotka. Je uveden v libovolném technickém listu zařízení. Sami nebudete schopni vypočítat vhodný SPU pro vaši síť. To lze provést pouze s pomocí partnera, který má k nástroji přístup Check Point Appliance Sizing Tool:
Chcete-li vybrat optimální řešení, musíte vzít v úvahu takové parametry, jako jsou:
- šířka internetového kanálu;
- Celková propustnost brány (může se lišit od internetového kanálu, pokud jste například segmentovali místní síť pomocí Check Point);
- Počet uživatelů v síti;
- Požadované funkce (Firewall, Anti-Virus, Anti-Bot, Kontrola aplikací, Filtrování URL, IPS, Emulace hrozeb atd.).
K dispozici jsou také jemnější nastavení, která popisují, na jaký provoz budou tyto čepele použity:
Po zadání všech charakteristik můžete obdržet zprávu popisující vhodná zařízení:
Zde vidíte požadované SPU (v našem případě 72) a doporučené (144). A také samotné modely s popisem jejich zatížení a „rezervy“ pro provoz a radlice. Při výběru modelu se vždy doporučuje vzít zařízení ze zelené zóny (tj. zatížení do 50 procent):
To zajišťuje, že nedojde k žádným problémům během špičkového zatížení nebo plánovaného zvýšení šířky internetového kanálu. Při výběru zařízení vždy požádejte partnera, aby poskytl podobnou zprávu. Příklad lze stáhnout .
Starý vs Nový
Po pochopení hlavního parametru charakterizujícího výkon zařízení se můžeme blíže podívat na nové modely pro malé a střední podniky. Jak bylo uvedeno výše, Check Point má celý segment – Malý a střední podnik (modely 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Tato zařízení lze nazvat aktualizací staré řady 2012 (2200, 1180, 1140, 1120). Chcete-li porozumět hlavním rozdílům, zvažte následující obrázek:
(ceny jsou v GPL, bez DPH a technické podpory)
Jak vidíte, řada 2016 výrazně zvýšila výkon (SPU) a ceny zůstaly přibližně na stejné úrovni (s výjimkou modelu 3200). Součástí nové řady je i model 3100, ale ještě ne není žádné upozornění a dovoz do Ruska je zakázán! Pamatujte si to!
Pokud přepočítáme náklady na jedno SPU, pak je model 1450 nejvyváženější. Níže se blíže podíváme na novou sérii Check Point.
Schémata pro implementaci SMB zařízení
Jak je vidět z obrázku, existují dva hlavní scénáře implementace pro SMB zařízení:
- V režimu výchozí brány. V tomto případě je Check Point instalován jako perimetrické zařízení a spravován lokálně.
- Pobočková brána. V tomto případě je hardware pobočky spravován centrálně (pomocí Management serveru) z centrály.
Pro série и V každém režimu jsou některé funkce. Podíváme se na ně níže.
SMB série 3000
V tuto chvíli existují dva „kusy železa“ - 3200 и 3100. Jak bylo uvedeno dříve, 3100 zatím nelze do země dovézt. Pokud jde o 3200, je to vynikající náhrada za starou řadu 2200. Na zařízení běží plnohodnotná verze Gaia (jak R77.30, tak R80.10). Pokud zařízení používáte jako hlavní bránu v malé firmě, můžete očekávat následující výkon:
- Internetový kanál - 50 Mbit;
- Celková šířka pásma - 300 Mbit;
- Počet uživatelů - 200.
Jak vidíte, zatížení zařízení je v tomto případě 47% a to je s místní správou, tzn. Samostatný konfigurace (více o samostatných a distribuovaných ). Z osobní zkušenosti mohu říci, že s lokálním managementem se nedoporučuje překračovat zátěž 50 %, protože... Mohou nastat problémy s ovládáním (zpomalí se).
Pokud je zařízení považováno za pobočkové zařízení (tj. se samostatnou centralizovanou správou), budou ukazatele výrazně vyšší. A do žluté zóny už můžete vstoupit v dimenzování (tedy se zátěží 50 % až 70 %). Můžete si prohlédnout datový list zařízení .
SMB série 1400
Tato řada obsahuje několik zařízení najednou: 1490, 1470, 1450, 1430 (Logická náhrada zastaralých 1120, 1140 a 1180).
Navzdory skutečnosti, že se jedná o nejmladší modely Check Point, mají všechny potřebné funkce:
- SMB zařízení lze sestavit do HA clusteru (aktivní/pohotovostní);
- K dispozici jsou téměř všechny softwarové blade servery (jako na „velkých“ kusech hardwaru);
- lze spravovat lokálně i centrálně (pomocí tradičního Management Serveru);
- existují modifikace s WiFi, ADSL a PoE;
- můžete připojit 3G modemy;
- K dispozici jsou sady pro montáž do racku.
Je však vhodné upozornit na některá omezení/funkce:
- Zařízení má vadnou Gaia na palubě a Gaia 77.20 Embedded. Toto omezení je způsobeno architekturou zařízení (jsou použity procesory ARM). V případě lokálního ovládání (samostatného) nebudete moci používat obvyklou SmartConsole. Místo toho je zde webové rozhraní. Můžete to vidět v tomto videu:
Příklad uvažuje řadu 700, ale v zásadě se v Rusku neprodává. - Funkce Threat Extraction nefunguje. Pouze emulace hrozeb. Můžete vidět, co to je
- Není možné sestavit cluster v režimu sdílení zátěže. Tito. podvádění nákupem dvou „levných“ kusů hardwaru a rozdělením zátěže v clusteru mezi ně nebude fungovat.
- S místní správou existují vážná omezení týkající se kontroly HTTPS.
- Antivirová kontrola archivů nefunguje.
- Žádná funkce DLP.
Poslední body jsou možná nejdůležitější omezení, o kterých se často mlčí. Pro úplnou kontrolu HTTPS budete nuceni použít tradiční vyhrazený server pro správu. V tomto případě budete zařízení ovládat jako bránu s plnou (téměř plnou) verzí Gaia.
Další omezení Gaia Embedded naleznete zde . Před rozhodnutím o nákupu je nezapomeňte zkontrolovat.
Zvažte například malou kancelář s následujícími parametry:
- Internetový kanál - 50 Mbit;
- Celková šířka pásma - 200 Mbit;
- Počet uživatelů - 200;
- Místní správa (webové rozhraní).
Jak je patrné z dimenzování, model 1490 se s tímto úkolem úspěšně vypořádá se zátěží 46 % (aniž by opustil zelenou zónu). Díky specializované správě se 1470 s tímto úkolem vypořádá.
Lze si prohlédnout datový list pro zařízení řady 1400 .
Model 1200R
Tento model lze jen stěží nazvat SMB. To už je průmyslové řešení a snad si zaslouží samostatný článek. Nyní nebudeme tento model podrobně zvažovat.
Webináře
Další podrobnosti o zařízeních pro malé a střední podniky naleznete v našem předchozím webináři:
Závěry
Nové SMB modely se podle mého názoru docela povedly. Výkon zařízení byl výrazně zvýšen při zachování cenové hladiny. Nejsem připraven mluvit o vysoké ceně/levnosti zařízení, protože Tyto koncepty se u různých společností velmi liší.
model Doporučil bych ho malým firmám, které mají zájem o maximální úroveň ochrany za rozumnou cenu. Navíc je to dobrá volba pro ty, kteří jsou již zvyklí pracovat s plnou verzí Gaia. K dispozici je zde také verze R80.10. Když přijde upozornění na 3100, cenovka ještě o něco klesne. Pro ratolesti je to ideální varianta.
Sériová zařízení jsou dobrým kompromisem a mají nejlepší poměr cena/kvalita (zejména pokud jde o cenu za 1 SPU). Tato zařízení jsou skvělá pro pobočky s omezeným rozpočtem. Pomocí centralizované správy můžete spravovat zařízení jako běžné brány s plnou verzí Gaia. Ale znovu, nezapomeňte , se kterým byste se rozhodně měli seznámit.
PS Chtěl bych poděkovat Alexey Matveevovi () za pomoc s přípravou materiálu.
Zdroj: www.habr.com