Πιο πρόσφατα, η Check Point παρουσίασε μια νέα κλιμακούμενη πλατφόρμα . Έχουμε ήδη δημοσιεύσει ολόκληρο άρθρο για . Με λίγα λόγια, σας επιτρέπει να αυξήσετε σχεδόν γραμμικά την απόδοση της πύλης ασφαλείας συνδυάζοντας πολλές συσκευές και εξισορροπώντας το φορτίο μεταξύ τους. Παραδόξως, εξακολουθεί να υπάρχει ένας μύθος ότι αυτή η κλιμακούμενη πλατφόρμα είναι κατάλληλη μόνο για μεγάλα κέντρα δεδομένων ή γιγαντιαία δίκτυα. Αυτό δεν είναι απολύτως αλήθεια.
Το Check Point Maestro αναπτύχθηκε για πολλές κατηγορίες χρηστών ταυτόχρονα (θα τις εξετάσουμε λίγο αργότερα), συμπεριλαμβανομένων των μεσαίων επιχειρήσεων. Σε αυτή τη σύντομη σειρά άρθρων θα προσπαθήσω να αναλογιστώ τεχνικά και οικονομικά πλεονεκτήματα του Check Point Maestro για μεσαίου μεγέθους οργανισμούς (από 500 χρήστες) και γιατί αυτή η επιλογή μπορεί να είναι καλύτερη από ένα κλασικό σύμπλεγμα.
Κοινό-στόχος Check Point Maestro
Αρχικά, ας δούμε τα τμήματα χρηστών για τα οποία σχεδιάστηκε το Check Point Maestro. Υπάρχουν μόνο 4 από αυτά:
1. Εταιρείες που δεν είχαν δυνατότητες σασί. Το Check Point Maestro δεν είναι η πρώτη κλιμακούμενη πλατφόρμα του Check Point. Έχουμε ήδη γράψει ότι παλαιότερα υπήρχαν μοντέλα όπως τα 64000 και 44000. Αν και είχαν ΜΕΓΑΛΗ απόδοση, υπήρχαν ακόμα εταιρείες για τις οποίες αυτό ΔΕΝ ΑΡΚΕΤΟ. Ο Maestro εξαλείφει αυτό το μειονέκτημα, γιατί... σας επιτρέπει να συναρμολογήσετε έως και 31 συσκευές σε ένα σύμπλεγμα υψηλής απόδοσης. Ταυτόχρονα, μπορείτε να συναρμολογήσετε ένα σύμπλεγμα από συσκευές κορυφαίας τεχνολογίας (23900, 26000), επιτυγχάνοντας έτσι κολοσσιαία απόδοση.
Μάλιστα, στον τομέα των πυλών ασφαλείας, η Check Point είναι αυτή τη στιγμή η μόνη που υλοποιεί μια τέτοια δυνατότητα.
2. Εταιρείες που θέλουν να μπορούν να επιλέγουν το υλικό τους. Ένα από τα μειονεκτήματα των παλαιότερων κλιμακούμενων πλατφορμών είναι η ανάγκη χρήσης αυστηρά καθορισμένων «μονάδων λεπίδων» (Check Point SGM). Η νέα πλατφόρμα Check Point Maestro σάς επιτρέπει να χρησιμοποιείτε έναν τεράστιο αριθμό διαφορετικών συσκευών. Μπορείτε να επιλέξετε και τα δύο μοντέλα από τη μεσαία κατηγορία (5600, 5800, 5900, 6500, 6800) και από την κατηγορία High End (σειρά 15000, σειρά 23000, σειρά 26000). Επιπλέον, μπορείτε να τα συνδυάσετε, ανάλογα με τις εργασίες.
Αυτό είναι πολύ βολικό από την άποψη της βέλτιστης χρήσης των πόρων. Μπορείτε να αγοράσετε μόνο την απόδοση που χρειάζεστε επιλέγοντας το σωστό μοντέλο.
3. Εταιρείες για τις οποίες το σασί είναι υπερβολικό, αλλά χρειάζεται ακόμα επεκτασιμότητα. Ένα άλλο «μειονέκτημα» των παλαιών κλιμακούμενων πλατφορμών (64000, 44000) ήταν το υψηλό όριο εισόδου (από οικονομική άποψη). Για μεγάλο χρονικό διάστημα, οι επεκτάσιμες πλατφόρμες ήταν διαθέσιμες μόνο σε μεγάλες επιχειρήσεις με «καλούς» προϋπολογισμούς πληροφορικής. Με την έλευση του Check Point Maestro, όλα έχουν αλλάξει. Το κόστος του ελάχιστου πακέτου (ενορχηστρωτής + δύο πύλες) είναι συγκρίσιμο (και μερικές φορές χαμηλότερο) με ένα κλασικό σύμπλεγμα ενεργού/αναμονής. Εκείνοι. το όριο εισόδου έχει μειωθεί σημαντικά. Κατά την επιλογή μιας λύσης, μια εταιρεία μπορεί αμέσως να καθορίσει μια κλιμακούμενη αρχιτεκτονική, χωρίς να πληρώσει υπερβολικά για μια πιθανή επακόλουθη αύξηση των αναγκών. Υπάρχουν περισσότεροι χρήστες ένα χρόνο μετά την εισαγωγή του Check Point Maestro; Απλώς προσθέτετε μία ή δύο πύλες, χωρίς καμία αντικατάσταση των υπαρχόντων. Δεν χρειάζεται καν να αλλάξετε την τοπολογία. Απλώς συνδέστε νέες πύλες στον ενορχηστρωτή και εφαρμόστε ρυθμίσεις σε αυτές με λίγα μόνο κλικ.
4. Εταιρείες που θέλουν να κάνουν βέλτιστη χρήση των υπαρχουσών συσκευών. Νομίζω ότι πολλοί άνθρωποι είναι εξοικειωμένοι με τη διαδικασία Trade-In. Όταν η απόδοση των υπαρχουσών συσκευών δεν είναι πλέον επαρκής και το υλικό πρέπει να ενημερωθεί για να καλύψει τις τρέχουσες ανάγκες. Αρκετά ακριβή διαδικασία. Επιπλέον, πολύ συχνά υπάρχει μια κατάσταση όταν ένας πελάτης έχει πολλά συμπλέγματα Σημείων ελέγχου για διαφορετικές εργασίες. Για παράδειγμα, ένα σύμπλεγμα για περιμετρική προστασία, ένα σύμπλεγμα για απομακρυσμένη πρόσβαση (RA VPN), ένα σύμπλεγμα για VSX κ.λπ. Επιπλέον, ένα σύμπλεγμα μπορεί να μην έχει αρκετούς πόρους, ενώ ένα άλλο έχει αφθονία από αυτούς. Το Check Maestro είναι μια εξαιρετική ευκαιρία να βελτιστοποιήσετε τη χρήση αυτών των πόρων κατανέμοντας δυναμικά το φορτίο μεταξύ τους.
Εκείνοι. έχετε τα ακόλουθα οφέλη:
- Δεν χρειάζεται να "πετάξετε" το υπάρχον υλικό. Μπορείτε να αγοράσετε μία ή δύο επιπλέον πύλες ή...
- Διαμορφώστε τη δυναμική εξισορρόπηση φορτίου μεταξύ άλλων υφιστάμενων πυλών για βέλτιστη χρήση των πόρων. Εάν το φορτίο στην περιμετρική πύλη αυξηθεί απότομα, τότε ο ενορχηστρωτής θα μπορεί να χρησιμοποιήσει τους «βαριεμένους» πόρους των πυλών απομακρυσμένης πρόσβασης και αντίστροφα. Αυτό βοηθά στην εξομάλυνση των εποχιακών (ή προσωρινών) κορυφών φορτίου.
Όπως πιθανότατα καταλαβαίνετε, τα δύο τελευταία τμήματα σχετίζονται ειδικά με μεσαίες επιχειρήσεις, οι οποίες μπορούν πλέον να αντέξουν οικονομικά να χρησιμοποιούν κλιμακούμενες πλατφόρμες ασφαλείας. Ωστόσο, μπορεί να προκύψει ένα εύλογο ερώτημα: «Γιατί το Check Point Maestro είναι καλύτερο από ένα κανονικό σύμπλεγμα;«Θα προσπαθήσουμε να απαντήσουμε σε αυτό το ερώτημα.
Κλασικό σύμπλεγμα εναντίον Check Point Maestro
Αν μιλάμε για το κλασικό σύμπλεγμα Σημείων ελέγχου, τότε υποστηρίζονται δύο τρόποι λειτουργίας: Υψηλή διαθεσιμότητα (δηλαδή Ενεργό/Αναμονή) και Κοινή χρήση φορτίου (δηλαδή Ενεργός/Ενεργός). Θα περιγράψουμε εν συντομία την έννοια της εργασίας τους, καθώς και τα πλεονεκτήματα και τα μειονεκτήματά τους.
Υψηλή διαθεσιμότητα (Ενεργή/Αναμονή)
Όπως υποδηλώνει το όνομα, σε αυτόν τον τρόπο λειτουργίας, ένας κόμβος περνάει όλη την κίνηση μέσω του εαυτού του και ο δεύτερος βρίσκεται σε κατάσταση αναμονής και λαμβάνει κίνηση εάν ο ενεργός κόμβος αρχίσει να αντιμετωπίζει προβλήματα.
Πλεονεκτήματα:
- Η πιο σταθερή λειτουργία.
- Ο ιδιόκτητος μηχανισμός SecureXL υποστηρίζεται για την επιτάχυνση της επεξεργασίας της κυκλοφορίας.
- Εάν ο ενεργός κόμβος αποτύχει, ο δεύτερος είναι εγγυημένο ότι μπορεί να «χωνέψει» όλη την κίνηση (γιατί είναι ακριβώς το ίδιο).
Μειονεκτήματα:
Στην πραγματικότητα, υπάρχει μόνο ένα μείον - ένας κόμβος είναι εντελώς αδρανής. Με τη σειρά του, λόγω αυτού, αναγκαζόμαστε να αγοράσουμε πιο ισχυρό υλικό, ώστε να μπορεί να χειρίζεται μόνος του την κίνηση.
Φυσικά, η λειτουργία HA είναι πιο αξιόπιστη από το Load Sharing, αλλά η βελτιστοποίηση πόρων αφήνει πολλά να είναι επιθυμητά.
Κοινή χρήση φορτίου (Ενεργό/Ενεργό)
Σε αυτήν τη λειτουργία, όλοι οι κόμβοι στο σύμπλεγμα επεξεργάζονται την κυκλοφορία. Μπορείτε να συνδυάσετε έως και 8 συσκευές σε ένα τέτοιο σύμπλεγμα (περισσότερες από 4 ).
Πλεονεκτήματα:
- Μπορείτε να κατανείμετε το φορτίο μεταξύ κόμβων, κάτι που απαιτεί λιγότερο ισχυρές συσκευές.
- Δυνατότητα ομαλής κλιμάκωσης (προσθήκη έως και 8 κόμβων στο σύμπλεγμα).
Μειονεκτήματα:
- Παραδόξως, τα πλεονεκτήματα μετατρέπονται αμέσως σε μειονεκτήματα. Τους αρέσει να χρησιμοποιούν τη λειτουργία Load Sharing ακόμα και όταν η εταιρεία έχει μόνο δύο κόμβους. Θέλοντας να εξοικονομήσουν χρήματα, αγοράζουν συσκευές, καθεμία από τις οποίες φορτώνεται στο 40-50%. Και όλα δείχνουν να είναι καλά. Αλλά αν ένας κόμβος αποτύχει, έχουμε μια κατάσταση όπου ολόκληρο το φορτίο μεταφέρεται στον υπόλοιπο, ο οποίος απλά δεν μπορεί να αντεπεξέλθει. Ως αποτέλεσμα, δεν υπάρχει ανοχή σφαλμάτων καθαυτή σε ένα τέτοιο σχήμα.
- Προσθέστε σε αυτό μια δέσμη περιορισμών κοινής χρήσης φορτίου (). Και ο πιο σημαντικός περιορισμός είναι ότι δεν υποστηρίζεται το SecureXL, ένας μηχανισμός που επιταχύνει σημαντικά την επεξεργασία της κυκλοφορίας.
- Όσον αφορά την κλιμάκωση με την προσθήκη νέων κόμβων στο σύμπλεγμα, δυστυχώς το Load Sharing απέχει πολύ από το ιδανικό εδώ. Εάν προστεθούν περισσότερες από 4 συσκευές στο σύμπλεγμα, τότε ξεκινά η απόδοση .
Λαμβάνοντας υπόψη τα δύο πρώτα μειονεκτήματα, για να εφαρμόσουμε ανοχή σφαλμάτων κατά τη χρήση δύο κόμβων, αναγκαζόμαστε επίσης να αγοράσουμε πιο παραγωγικό υλικό, ώστε να μπορεί να «χωνέψει» την κίνηση σε μια κρίσιμη κατάσταση. Ως αποτέλεσμα, δεν έχουμε κανένα οικονομικό όφελος, αλλά παίρνουμε ένα μεγάλο ποσό . Επιπλέον, αξίζει να σημειωθεί ότι από την έκδοση R80.20, η λειτουργία Load Sharing δεν υποστηρίζεται. Αυτό περιορίζει τους χρήστες από τις απαιτούμενες ενημερώσεις. Δεν είναι ακόμη γνωστό εάν το Load Sharing θα υποστηρίζεται σε νεότερες εκδόσεις.
Ελέγξτε το Point Maestro ως εναλλακτική λύση
Από άποψη συμπλέγματος, το Check Point Maestro έλαβε τα κύρια πλεονεκτήματα των λειτουργιών High Availability και Load Sharing:
- Οι πύλες που συνδέονται με τον ενορχηστρωτή μπορούν να χρησιμοποιήσουν το SecureXL, το οποίο διασφαλίζει τη μέγιστη ταχύτητα επεξεργασίας της κυκλοφορίας. Δεν υπάρχουν άλλοι εγγενείς περιορισμοί στην Κοινή χρήση φορτίου.
- Η κίνηση κατανέμεται μεταξύ πυλών σε μία ομάδα ασφαλείας (μια λογική πύλη που αποτελείται από πολλές φυσικές). Χάρη σε αυτό, μπορούμε να εγκαταστήσουμε λιγότερο παραγωγικές συσκευές, επειδή δεν έχουμε πλέον αδρανείς πύλες, όπως στη λειτουργία υψηλής διαθεσιμότητας. Ταυτόχρονα, η ισχύς μπορεί να αυξηθεί σχεδόν γραμμικά, χωρίς τόσο σοβαρές απώλειες όπως στη λειτουργία Load Sharing (περισσότερες λεπτομέρειες αργότερα).
Όλα αυτά είναι υπέροχα, αλλά ας δούμε δύο συγκεκριμένα παραδείγματα.
Παράδειγμα # 1
Αφήστε την εταιρεία X να σκοπεύει να εγκαταστήσει ένα σύμπλεγμα πυλών στην περίμετρο του δικτύου. Έχουν ήδη εξοικειωθεί με όλους τους περιορισμούς του Load Sharing (που είναι απαράδεκτοι για αυτούς) και εξετάζουν αποκλειστικά τη λειτουργία High Availability. Μετά το μέγεθος, αποδεικνύεται ότι η πύλη 6800 είναι κατάλληλη για αυτούς, η οποία δεν θα πρέπει να φορτώνεται περισσότερο από 50% (για να υπάρχει τουλάχιστον κάποιο απόθεμα απόδοσης). Δεδομένου ότι αυτό θα είναι ένα σύμπλεγμα, πρέπει να αγοράσετε μια δεύτερη συσκευή, η οποία απλά θα "καπνίζει" αέρα σε κατάσταση αναμονής. Είναι ένα πανάκριβο καπνιστήριο.
Υπάρχει όμως μια εναλλακτική. Πάρτε ένα πακέτο από τον ενορχηστρωτή και τρεις πύλες 6500. Σε αυτήν την περίπτωση, η κίνηση θα κατανεμηθεί και στις τρεις συσκευές. Αν κοιτάξετε τις προδιαγραφές των δύο μοντέλων, θα δείτε ότι τρεις πύλες 6500 είναι πιο ισχυρές από μία 6800.
Έτσι, όταν επιλέγει το Check Point Maestro, η εταιρεία Χ λαμβάνει τα ακόλουθα πλεονεκτήματα:
- Η εταιρεία δημιουργεί αμέσως μια κλιμακούμενη πλατφόρμα. Μια επακόλουθη αύξηση της απόδοσης θα συνεπάγεται απλώς την προσθήκη ενός άλλου εξαρτήματος υλικού 6500. Τι θα μπορούσε να είναι πιο απλό;
- Η λύση εξακολουθεί να είναι ανεκτική σε σφάλματα, γιατί Εάν ένας κόμβος αποτύχει, οι υπόλοιποι δύο θα μπορούν να αντιμετωπίσουν το φορτίο.
- Ένα εξίσου σημαντικό και εκπληκτικό πλεονέκτημα είναι ότι είναι φθηνότερο! Δυστυχώς, δεν μπορώ να δημοσιεύσω τιμές δημόσια, αλλά αν σας ενδιαφέρει, μπορείτε
Παράδειγμα # 2
Έστω ότι η εταιρεία Y έχει ήδη ένα σύμπλεγμα HA 6500 μοντέλων. Ο ενεργός κόμβος φορτώνεται στο 85%, το οποίο κατά τα φορτία αιχμής οδηγεί σε απώλειες στην παραγωγική κίνηση. Η λογική λύση στο πρόβλημα φαίνεται να είναι η ενημέρωση του υλικού. Το επόμενο μοντέλο είναι το 6800. Δηλαδή. η εταιρεία θα χρειαστεί να επιστρέψει τις πύλες μέσω του προγράμματος Trade-In και να αγοράσει δύο νέες (πιο ακριβές) συσκευές.
Υπάρχει όμως μια εναλλακτική επιλογή. Αγοράστε έναν ενορχηστρωτή και έναν άλλο ακριβώς τον ίδιο κόμβο (6500). Συγκεντρώστε ένα σύμπλεγμα τριών συσκευών και «διαδώστε» αυτό το 85% του φορτίου σε τρεις πύλες. Ως αποτέλεσμα, θα έχετε ένα τεράστιο περιθώριο απόδοσης (τρεις συσκευές θα φορτωθούν μόνο με 30% κατά μέσο όρο). Ακόμα κι αν ένας από τους τρεις κόμβους πεθάνει, οι υπόλοιποι δύο θα εξακολουθούν να αντιμετωπίζουν την κίνηση με μέσο φορτίο 45%. Επιπλέον, για φορτία αιχμής, ένα σύμπλεγμα τριών ενεργών πυλών 6500 θα είναι πιο ισχυρό από μία πύλη 6800, η οποία βρίσκεται στο σύμπλεγμα HA (δηλαδή ενεργή/αναμονή). Επιπλέον, αν σε ένα ή δύο χρόνια οι ανάγκες της εταιρείας Υ αυξηθούν ξανά, τότε το μόνο που θα χρειαστεί να κάνουν είναι να προσθέσουν έναν ή δύο ακόμη κόμβους 6500. Νομίζω ότι το οικονομικό όφελος εδώ είναι προφανές.
Συμπέρασμα
Ναι, το Check Point Maestro δεν είναι λύση για μικρομεσαίες επιχειρήσεις. Αλλά ακόμη και μια μεσαία επιχείρηση μπορεί ήδη να σκεφτεί αυτήν την πλατφόρμα και τουλάχιστον να προσπαθήσει να υπολογίσει την οικονομική απόδοση. Θα εκπλαγείτε όταν διαπιστώσετε ότι οι κλιμακούμενες πλατφόρμες μπορεί να είναι πιο κερδοφόρες από ένα κλασικό σύμπλεγμα. Ταυτόχρονα, υπάρχουν πλεονεκτήματα όχι μόνο οικονομικά, αλλά και τεχνικά. Ωστόσο, για αυτά θα μιλήσουμε σε επόμενο άρθρο, όπου εκτός από τεχνικά κόλπα, θα προσπαθήσω να δείξω αρκετές χαρακτηριστικές περιπτώσεις (τοπολογία, σενάρια).
Μπορείτε επίσης να εγγραφείτε στις δημόσιες σελίδες μας (, , , ), όπου μπορείτε να παρακολουθήσετε την εμφάνιση νέων υλικών στο Check Point και σε άλλα προϊόντα ασφαλείας.
Πηγή: www.habr.com