ProHoster > Blog > administration > Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer

Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer

Relativt for nylig (i 2016) har virksomheden Check Point præsenterede sine nye enheder (både gateways og kontrolservere). Den vigtigste forskel fra den forrige linje er en markant øget produktivitet.

Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer

I denne artikel vil vi udelukkende fokusere på de lavere modeller. Vi vil beskrive fordelene ved nye enheder og mulige faldgruber, som ikke altid diskuteres. Vi vil også dele personlige indtryk af deres brug.

Check Point lineup

Som du kan se på billedet, opdeler Check Point sine enheder i tre store kategorier:

I dette tilfælde er en af ​​hovedegenskaberne den såkaldte SPU - Security Power Units. Dette er Check Points proprietære mål, der karakteriserer en enheds faktiske ydeevne. Lad os som et eksempel sammenligne den traditionelle metode til at måle Firewall-ydeevne (Mbps) med den "nye" teknik fra Check Point (SPU).

Traditionel teknik - Firewall-gennemstrømning

  • Målinger udføres i laboratorieforhold på "kunstig" trafik.
  • Ydeevnen af ​​kun Firewall-funktionen evalueres, uden yderligere moduler såsom IPS, Application Control osv.
  • Test udføres normalt med én firewall-regel.

Check Point Metodik - Sikkerhedskraft

  • Målinger på reel brugertrafik.
  • Ydeevnen af ​​al funktionalitet (Firewall, IPS, Application Control, URL-filtrering osv.) vurderes.
  • Testet på en standardpolitik, der indeholder mange regler.

Check Point Appliance Sizing Tool

Når du vælger en passende Check Point-model, er det således bedre at stole på parameteren Sikkerhed Power Unit. Det er angivet i ethvert datablad for enheden. Du vil ikke være i stand til selv at beregne den passende SPU til dit netværk. Dette kan kun lade sig gøre med hjælp fra en partner, der har adgang til værktøjet Check Point Appliance Sizing Tool:

Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer

For at vælge den optimale løsning skal du tage højde for sådanne parametre som:

  • Internet kanal bredde;
  • Gatewayens samlede gennemløb (kan afvige fra internetkanalen, hvis du f.eks. segmenterede det lokale netværk ved hjælp af Check Point);
  • Antal brugere på netværket;
  • Nødvendige funktioner (Firewall, Anti-Virus, Anti-Bot, Applikationskontrol, URL-filtrering, IPS, Threat Emulation osv.).

Der er også mere subtile indstillinger, der beskriver, hvilken trafik disse blade vil blive anvendt på:

Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer

Efter at have specificeret alle karakteristika, kan du modtage en rapport, der beskriver passende enheder:

Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer

Her kan du se den nødvendige SPU (72 i vores tilfælde) og den anbefalede (144). Og også selve modellerne med en beskrivelse af deres belastning og "reserve" til trafik og vinger. Når du vælger en model, anbefales det altid at tage en enhed fra den grønne zone (dvs. belastning op til 50 procent):

Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer

Dette sikrer, at der ikke er problemer under spidsbelastninger eller planlagte stigninger i internetkanalbredden. Når du vælger en enhed, skal du altid bede din partner om at give en lignende rapport. Eksemplet kan downloades her.

Gammel vs Ny

Efter at have forstået hovedparameteren, der karakteriserer enheders ydeevne, kan vi se nærmere på nye modeller til små og mellemstore virksomheder. Som nævnt ovenfor har Check Point et helt segment - Små og mellemstore virksomheder (modeller 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Disse enheder kan kaldes en opdatering af den gamle 2012-serie (2200, 1180, 1140, 1120). For at forstå de vigtigste forskelle, overvej billedet nedenfor:

Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer
(priserne er i GPL, eksklusiv moms og teknisk support)

Som du kan se, har 2016-serien øget ydeevnen (SPU) markant, og priserne forblev på nogenlunde samme niveau (med undtagelse af 3200-modellen). Den nye linje indeholder også en model 3100, men ikke endnu der er ingen meddelelse og import til Rusland er forbudt! Husk dette!

Hvis vi genberegner prisen på en SPU, så er 1450-modellen den mest afbalancerede. Nedenfor vil vi se nærmere på den nye Check Point-serie.

Skemaer til implementering af SMB-enheder

Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer

Som det kan ses af figuren, er der to hovedimplementeringsscenarier for SMB-enheder:

  1. I standard gateway-tilstand. I dette tilfælde installeres Check Point som en perimeterenhed og administreres lokalt.
  2. Filial gateway. I dette tilfælde styres filialhardwaren centralt (ved hjælp af Management-serveren) fra hovedkontoret.

Til serier 3000 и 1400 Der er nogle funktioner i hver tilstand. Vi vil se på dem nedenfor.

SMB serie 3000

I øjeblikket er der to "stykker jern" - 3200 и 3100. Som tidligere nævnt kan 3100 endnu ikke importeres til landet. Hvad angår 3200, er den en glimrende erstatning for den gamle serie 2200. Enheden kører en fuldgyldig version af Gaia (både R77.30 og R80.10). Hvis du bruger enheden som den primære gateway i en lille virksomhed, kan du forvente følgende ydeevne:

  1. Internetkanal - 50 Mbit;
  2. Samlet båndbredde - 300 Mbit;
  3. Antal brugere - 200.

Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer

Som du kan se, er enhedsbelastningen i dette tilfælde 47%, og det er med lokal styring, dvs. standalone konfiguration (mere om selvstændig og distribueret her). Af personlig erfaring kan jeg sige, at med lokal ledelse anbefales det ikke at overskride belastningen på 50%, fordi... Der kan være problemer med kontrol (det vil bremse).
Hvis enheden betragtes som en grenenhed (dvs. med separat centraliseret styring), så vil indikatorerne være væsentligt højere. Og du kan allerede gå ind i den gule zone i dimensionering (dvs. med en belastning på 50% til 70%). Du kan se enhedens datablad her.

SMB serie 1400

Denne serie inkluderer flere enheder på én gang: 1490, 1470, 1450, 1430 (Logisk erstatning af den forældede 1120, 1140 og 1180).

Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer

På trods af at disse er de yngste Check Point-modeller, har de al den nødvendige funktionalitet:

  • SMB-enheder kan samles i en HA-klynge (aktiv/standby);
  • Næsten alle softwareblade er tilgængelige (som på "store" stykker hardware);
  • kan administreres både lokalt og centralt (ved hjælp af en traditionel Management Server);
  • der er modifikationer med WiFi, ADSL og PoE;
  • du kan tilslutte 3G-modem;
  • Rackmonteringssæt er tilgængelige.

Det er dog værd at advare om nogle begrænsninger/funktioner:

  • Enheden har defekt Gaia ombord, og Gaia 77.20 Indlejret. Denne begrænsning skyldes enhedsarkitekturen (ARM-processorer bruges). I tilfælde af lokal styring (standalone), vil du ikke kunne bruge den sædvanlige SmartConsole. I stedet er der en webgrænseflade. Du kan se det i denne video:


    Eksemplet betragter 700-serien, men i princippet sælges den ikke i Rusland.
  • Threat Extraction-funktionen virker ikke. Kun trusselsemulering. Du kan se, hvad det er her
  • Det er umuligt at samle en klynge i Load Sharing-tilstand. De der. snyd ved at købe to "billige" stykker hardware og fordele belastningen i klyngen mellem dem vil ikke fungere.
  • Med lokal administration er der alvorlige begrænsninger med hensyn til HTTPS-inspektion.
  • Antivirus-scanning af arkiver virker ikke.
  • Ingen DLP funktion.

De sidste punkter er måske de vigtigste restriktioner, som ofte tie. For fuld HTTPS-inspektion vil du blive tvunget til at bruge en traditionel dedikeret administrationsserver. I dette tilfælde vil du styre enheden som en gateway med en fuld (næsten fuld) version af Gaia.

Andre begrænsninger af Gaia Embedded kan findes her her. Sørg for at tjekke dem ud, før du træffer en købsbeslutning.

Overvej for eksempel et lille kontor med følgende parametre:

  • Internetkanal - 50 Mbit;
  • Samlet båndbredde - 200 Mbit;
  • Antal brugere - 200;
  • Lokal styring (webgrænseflade).

Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer

Som det fremgår af dimensioneringen, klarer 1490-modellen denne opgave med succes med en belastning på 46 % (uden at forlade den grønne zone). Med dedikeret ledelse vil 1470'eren klare denne opgave.
Datablad for enheder i 1400-serien kan ses her.

Model 1200R

Check Point SMB-løsninger. Nye modeller til små virksomheder og filialer

Denne model kan næppe kaldes SMB. Dette er allerede en industriel løsning og fortjener måske en separat artikel. Nu vil vi ikke overveje denne model i detaljer.

Webinar

Flere detaljer om SMB-enheder kan findes i vores tidligere webinar:

Fund

Efter min mening viste de nye SMB-modeller sig at være ret vellykkede. Enhedernes ydeevne er blevet væsentligt øget, samtidig med at prisniveauet er bevaret. Jeg er ikke klar til at tale om de høje omkostninger/billigheden ved enheder, fordi Disse koncepter er meget forskellige for forskellige virksomheder.

Model 3200 Jeg vil anbefale det til små virksomheder, der er interesserede i det maksimale beskyttelsesniveau til en rimelig pris. Derudover er dette et godt valg for dem, der allerede er vant til at arbejde med den fulde version af Gaia. R80.10-versionen er også tilgængelig her. Når der modtages besked om 3100, vil prisskiltet falde lidt mere. Dette er en ideel mulighed for grene.

Serie enheder 1400 er et godt kompromis og har det bedste pris/kvalitetsforhold (især hvad angår pris pr. 1 SPU). Disse enheder er gode til filialer på et budget. Ved hjælp af centraliseret administration kan du administrere enheder som almindelige gateways med en fuld version af Gaia. Men igen, glem det ikke restriktioner, som du bestemt bør sætte dig ind i.

PS jeg vil gerne takke Alexey Matveev (RRC selskab) for at få hjælp til at forberede materialet.

Kilde: www.habr.com

Tilføj en kommentar