Vor relativ kurzer Zeit (im Jahr 2016) hat das Unternehmen präsentierte seine neuen Geräte (sowohl Gateways als auch Steuerungsserver). Der wesentliche Unterschied zur Vorgängerlinie ist die deutlich gesteigerte Produktivität.
In diesem Artikel konzentrieren wir uns ausschließlich auf die unteren Modelle. Wir beschreiben die Vorteile neuer Geräte und mögliche Fallstricke, die nicht immer diskutiert werden. Wir werden auch persönliche Eindrücke von ihrer Verwendung teilen.
Check Point-Aufstellung
Wie Sie auf dem Bild sehen können, unterteilt Check Point seine Geräte in drei große Kategorien:
- High-End-Unternehmen und Rechenzentrum (Modelle , )
- Unternehmen (Modelle )
- Kleine und mittlere Unternehmen (Modelle , , , , , , 1200R)
In diesem Fall ist eines der Hauptmerkmale das sogenannte SPU – Sicherheitsstromaggregate. Dies ist das proprietäre Maß von Check Point, das die tatsächliche Leistung eines Geräts charakterisiert. Vergleichen wir als Beispiel die traditionelle Methode zur Messung der Firewall-Leistung (Mbps) mit der „neuen“ Technik von Check Point (SPU).
Traditionelle Technik – Firewall-Durchsatz
- Die Messungen werden unter Laborbedingungen am „künstlichen“ Verkehr durchgeführt.
- Es wird nur die Leistung der Firewall-Funktion bewertet, ohne zusätzliche Module wie IPS, Anwendungskontrolle usw.
- Der Test wird üblicherweise mit einer Firewall-Regel durchgeführt.
Check-Point-Methodik – Sicherheitsmacht
- Messungen am realen Benutzerverkehr.
- Bewertet wird die Leistung aller Funktionen (Firewall, IPS, Anwendungskontrolle, URL-Filterung usw.).
- Getestet anhand einer Standardrichtlinie, die viele Regeln enthält.
Check Point-Tool zur Gerätedimensionierung
Daher ist es bei der Auswahl eines geeigneten Check Point-Modells besser, sich auf den Parameter zu verlassen Sicherheits-Stromversorgungseinheit. Es ist in jedem Datenblatt des Geräts angegeben. Sie können die passende SPU für Ihr Netzwerk nicht alleine berechnen. Dies kann nur mit Hilfe eines Partners erfolgen, der Zugriff auf das Tool hat Check Point-Tool zur Gerätedimensionierung:
Um die optimale Lösung auszuwählen, müssen Sie folgende Parameter berücksichtigen:
- Breite des Internetkanals;
- Der Gesamtdurchsatz des Gateways (kann vom Internetkanal abweichen, wenn Sie beispielsweise das lokale Netzwerk mit Check Point segmentiert haben);
- Anzahl der Benutzer im Netzwerk;
- Erforderliche Funktionen (Firewall, Anti-Virus, Anti-Bot, Anwendungskontrolle, URL-Filterung, IPS, Bedrohungsemulation usw.).
Es gibt auch subtilere Einstellungen, die beschreiben, auf welchen Datenverkehr diese Blades angewendet werden:
Nach Angabe aller Merkmale erhalten Sie einen Bericht mit der Beschreibung geeigneter Geräte:
Hier sehen Sie die erforderliche SPU (in unserem Fall 72) und die empfohlene (144). Und auch die Modelle selbst mit einer Beschreibung ihrer Belastung und „Reserve“ für Verkehr und Rotorblätter. Bei der Modellwahl empfiehlt es sich immer, ein Gerät aus dem grünen Bereich (also bis zu 50 Prozent laden) zu nehmen:
Dadurch ist sichergestellt, dass es bei Spitzenlast oder einer geplanten Erweiterung der Internet-Kanalbreite zu keinen Problemen kommt. Bitten Sie Ihren Partner bei der Auswahl eines Geräts immer um einen ähnlichen Bericht. Das Beispiel kann heruntergeladen werden .
Alt gegen Neu
Nachdem wir die wichtigsten Parameter verstanden haben, die die Leistung von Geräten charakterisieren, können wir uns neue Modelle für kleine und mittlere Unternehmen genauer ansehen. Wie oben erwähnt, hat Check Point ein ganzes Segment – Kleine und mittlere Unternehmen (Modelle 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Diese Geräte können als Update der alten 2012er Serie (2200, 1180, 1140, 1120) bezeichnet werden. Um die wichtigsten Unterschiede zu verstehen, betrachten Sie das Bild unten:
(Preise sind in GPL, exklusive Mehrwertsteuer und technischer Support)
Wie Sie sehen, hat die 2016er-Serie die Leistung (SPU) deutlich gesteigert und die Preise blieben ungefähr auf dem gleichen Niveau (mit Ausnahme des 3200-Modells). Zur neuen Linie gehört auch ein Modell 3100, aber noch nicht Es gibt keine Benachrichtigung und die Einfuhr nach Russland ist verboten! Denken Sie daran!
Wenn wir die Kosten einer SPU neu berechnen, ist das 1450-Modell das ausgewogenste. Im Folgenden werfen wir einen genaueren Blick auf die neue Check Point-Serie.
Schemata zur Implementierung von SMB-Geräten
Wie aus der Abbildung ersichtlich ist, gibt es zwei Hauptimplementierungsszenarien für SMB-Geräte:
- Im Standard-Gateway-Modus. In diesem Fall wird Check Point als Perimetergerät installiert und lokal verwaltet.
- Filial-Gateway. In diesem Fall wird die Filial-Hardware zentral (über den Management-Server) von der Zentrale aus verwaltet.
Für Serien и In jedem Modus gibt es einige Funktionen. Wir werden sie uns unten ansehen.
SMB 3000-Serie
Im Moment gibt es zwei „Stücke Eisen“ - 3200 и 3100. Wie bereits erwähnt, kann 3100 noch nicht in das Land importiert werden. Der 3200 ist ein hervorragender Ersatz für die alte 2200-Serie. Auf dem Gerät läuft eine vollwertige Version von Gaia (sowohl R77.30 als auch R80.10). Wenn Sie das Gerät als Hauptgateway in einem Kleinunternehmen nutzen, können Sie mit folgender Leistung rechnen:
- Internetkanal - 50 Mbit;
- Gesamtbandbreite - 300 Mbit;
- Anzahl der Benutzer - 200.
Wie Sie sehen, beträgt die Geräteauslastung in diesem Fall 47 % und dies bei lokaler Verwaltung, d. h. Standalone Konfiguration (mehr über Standalone und verteilt). ). Aus eigener Erfahrung kann ich sagen, dass es bei lokaler Bewirtschaftung nicht empfehlenswert ist, die Auslastung von 50 % zu überschreiten, weil... Möglicherweise gibt es Probleme mit der Steuerung (es wird langsamer).
Wenn das Gerät als Zweiggerät betrachtet wird (d. h. mit separater zentraler Verwaltung), sind die Indikatoren deutlich höher. Und bereits bei der Dimensionierung (also bei einer Belastung von 50 % bis 70 %) kann man in den gelben Bereich vordringen. Sie können das Gerätedatenblatt einsehen .
SMB 1400-Serie
Diese Serie umfasst mehrere Geräte gleichzeitig: 1490, 1470, 1450, 1430 (Logischer Ersatz der veralteten 1120, 1140 und 1180).
Obwohl es sich um die jüngsten Check Point-Modelle handelt, verfügen sie über alle notwendigen Funktionen:
- SMB-Geräte können zu einem HA-Cluster (Aktiv/Standby) zusammengestellt werden;
- Fast alle Software-Blades sind verfügbar (wie bei „großen“ Hardware-Teilen);
- kann sowohl lokal als auch zentral verwaltet werden (mithilfe eines herkömmlichen Verwaltungsservers);
- es gibt Modifikationen mit WiFi, ADSL und PoE;
- Sie können 3G-Modems anschließen;
- Rackmontage-Kits sind erhältlich.
Es lohnt sich jedoch, vor einigen Einschränkungen/Funktionen zu warnen:
- Das Gerät hat defektes Gaia an Bord, und Gaia 77.20 Eingebettet. Diese Einschränkung ist auf die Gerätearchitektur zurückzuführen (es werden ARM-Prozessoren verwendet). Bei lokaler Steuerung (Standalone) können Sie die bekannte SmartConsole nicht nutzen. Stattdessen gibt es ein Webinterface. Sie können es in diesem Video sehen:
Das Beispiel betrachtet die 700er-Serie, die jedoch grundsätzlich nicht in Russland verkauft wird. - Die Bedrohungsextraktionsfunktion funktioniert nicht. Nur Bedrohungsemulation. Sie können sehen, was es ist
- Es ist nicht möglich, einen Cluster im Lastverteilungsmodus zusammenzustellen. Diese. Schummeln, indem man zwei „billige“ Hardwareteile kauft und die Last im Cluster zwischen ihnen verteilt, funktioniert nicht.
- Bei lokaler Verwaltung gibt es gravierende Einschränkungen hinsichtlich der HTTPS-Inspektion.
- Die Virenprüfung von Archiven funktioniert nicht.
- Keine DLP-Funktion.
Die letzten Punkte sind vielleicht die wichtigsten Einschränkungen, die oft verschwiegen werden. Für eine vollständige HTTPS-Überprüfung müssen Sie einen herkömmlichen dedizierten Verwaltungsserver verwenden. In diesem Fall steuern Sie das Gerät als Gateway mit einer vollständigen (fast vollständigen) Version von Gaia.
Weitere Einschränkungen von Gaia Embedded finden Sie hier . Schauen Sie sich diese unbedingt an, bevor Sie eine Kaufentscheidung treffen.
Stellen Sie sich beispielsweise ein kleines Büro mit den folgenden Parametern vor:
- Internetkanal - 50 Mbit;
- Gesamtbandbreite - 200 Mbit;
- Anzahl der Benutzer - 200;
- Lokale Verwaltung (Weboberfläche).
Wie aus der Dimensionierung hervorgeht, meistert das Modell 1490 diese Aufgabe auch bei einer Auslastung von 46 % (ohne den grünen Bereich zu verlassen). Mit einem dedizierten Management wird der 1470 diese Aufgabe meistern.
Datenblätter für Geräte der Serie 1400 können eingesehen werden .
Modell 1200R
Dieses Modell kann kaum als SMB bezeichnet werden. Dies ist bereits eine industrielle Lösung und verdient möglicherweise einen separaten Artikel. Jetzt werden wir dieses Modell nicht im Detail betrachten.
Webinar
Weitere Details zu SMB-Geräten finden Sie in unserem vorherigen Webinar:
Befund
Meiner Meinung nach sind die neuen SMB-Modelle durchaus gelungen. Die Leistung der Geräte wurde bei Beibehaltung des Preisniveaus deutlich gesteigert. Ich bin nicht bereit, über die hohen Kosten/Billigkeit von Geräten zu sprechen, weil Diese Konzepte sind für verschiedene Unternehmen sehr unterschiedlich.
Modell Ich würde es kleinen Unternehmen empfehlen, die an maximalem Schutz zu einem vernünftigen Preis interessiert sind. Außerdem ist dies eine gute Wahl für diejenigen, die bereits daran gewöhnt sind, mit der Vollversion von Gaia zu arbeiten. Die R80.10-Version ist auch hier verfügbar. Wenn die Benachrichtigung für 3100 eingeht, wird der Preis noch etwas sinken. Dies ist eine ideale Option für Filialen.
Seriengeräte sind ein guter Kompromiss und haben das beste Preis-/Leistungsverhältnis (insbesondere im Hinblick auf den Preis pro 1 SPU). Diese Geräte eignen sich hervorragend für Filialen mit kleinem Budget. Mithilfe der zentralen Verwaltung können Sie Geräte wie normale Gateways mit einer Vollversion von Gaia verwalten. Aber vergessen Sie es auch hier nicht , mit dem Sie sich unbedingt vertraut machen sollten.
PS: Ich möchte mich bei Alexey Matveev bedanken () für Hilfe bei der Vorbereitung des Materials.
Source: habr.com