Σχετικά πρόσφατα (το 2016), η εταιρεία παρουσίασε τις νέες συσκευές της (τόσο gateways όσο και control servers). Η βασική διαφορά από την προηγούμενη σειρά είναι η σημαντικά αυξημένη παραγωγικότητα.
Σε αυτό το άρθρο θα επικεντρωθούμε αποκλειστικά στα χαμηλότερα μοντέλα. Θα περιγράψουμε τα πλεονεκτήματα των νέων συσκευών και πιθανές παγίδες που δεν συζητούνται πάντα. Θα μοιραστούμε επίσης προσωπικές εντυπώσεις από τη χρήση τους.
Check Point lineup
Όπως μπορείτε να δείτε από την εικόνα, το Check Point χωρίζει τις συσκευές του σε τρεις μεγάλες κατηγορίες:
- High End Enterprise και Data Center (μοντέλα , )
- Εταιρεία (μοντέλα )
- Μικρομεσαία Επιχείρηση (μοντέλα , , , , , , 1200R)
Σε αυτή την περίπτωση, ένα από τα κύρια χαρακτηριστικά είναι το λεγόμενο SPU - Μονάδες ισχύος ασφαλείας. Αυτό είναι το αποκλειστικό μέτρο του Check Point που χαρακτηρίζει την πραγματική απόδοση μιας συσκευής. Για παράδειγμα, ας συγκρίνουμε την παραδοσιακή μέθοδο μέτρησης της απόδοσης του Τείχους προστασίας (Mbps) με τη «νέα» τεχνική από το Check Point (SPU).
Παραδοσιακή τεχνική - Διακίνηση τείχους προστασίας
- Οι μετρήσεις γίνονται σε εργαστηριακές συνθήκες σε «τεχνητή» κυκλοφορία.
- Αξιολογείται η απόδοση μόνο της λειτουργίας Τείχους προστασίας, χωρίς πρόσθετες ενότητες όπως IPS, Έλεγχος Εφαρμογών κ.λπ.
- Η δοκιμή πραγματοποιείται συνήθως με έναν κανόνα τείχους προστασίας.
Check Point Methodology - Security Power
- Μετρήσεις πραγματικής επισκεψιμότητας χρηστών.
- Αξιολογείται η απόδοση όλων των λειτουργιών (Firewall, IPS, Application Control, URL filtering κ.λπ.).
- Δοκιμασμένο σε μια τυπική πολιτική που περιλαμβάνει πολλούς κανόνες.
Check Point Appliance Sizing Tool
Επομένως, όταν επιλέγετε ένα κατάλληλο μοντέλο Check Point, είναι προτιμότερο να βασίζεστε στην παράμετρο Μονάδα ισχύος ασφαλείας. Υποδεικνύεται σε οποιοδήποτε φύλλο δεδομένων για τη συσκευή. Δεν θα μπορείτε να υπολογίσετε μόνοι σας την κατάλληλη SPU για το δίκτυό σας. Αυτό μπορεί να γίνει μόνο με τη βοήθεια ενός συνεργάτη που έχει πρόσβαση στο εργαλείο Check Point Appliance Sizing Tool:
Για να επιλέξετε τη βέλτιστη λύση, πρέπει να λάβετε υπόψη παραμέτρους όπως:
- Πλάτος καναλιού Διαδικτύου.
- Η συνολική απόδοση της πύλης (μπορεί να διαφέρει από το κανάλι Διαδικτύου εάν, για παράδειγμα, τμηματοποιήσατε το τοπικό δίκτυο χρησιμοποιώντας Σημείο ελέγχου).
- Αριθμός χρηστών στο δίκτυο.
- Απαιτούμενες λειτουργίες (Firewall, Anti-Virus, Anti-Bot, Application Control, URL Filtering, IPS, Threat Emulation κ.λπ.).
Υπάρχουν επίσης πιο λεπτές ρυθμίσεις που περιγράφουν σε ποια κίνηση θα εφαρμοστούν αυτά τα blades:
Αφού καθορίσετε όλα τα χαρακτηριστικά, μπορείτε να λάβετε μια αναφορά που περιγράφει τις κατάλληλες συσκευές:
Εδώ μπορείτε να δείτε την απαιτούμενη SPU (72 στην περίπτωσή μας) και την προτεινόμενη (144). Και επίσης τα ίδια τα μοντέλα με μια περιγραφή του φορτίου τους και της «ρεζέρβας» για κυκλοφορία και λεπίδες. Όταν επιλέγετε ένα μοντέλο, συνιστάται πάντα να παίρνετε μια συσκευή από την πράσινη ζώνη (δηλαδή φόρτωση έως και 50 τοις εκατό):
Αυτό διασφαλίζει ότι δεν υπάρχουν προβλήματα κατά τη διάρκεια φορτίων αιχμής ή προγραμματισμένες αυξήσεις στο πλάτος του καναλιού Διαδικτύου. Όταν επιλέγετε μια συσκευή, πάντα ζητάτε από τον συνεργάτη σας να παρέχει μια παρόμοια αναφορά. Μπορείτε να κατεβάσετε το παράδειγμα .
Παλιό vs Νέο
Έχοντας κατανοήσει την κύρια παράμετρο που χαρακτηρίζει την απόδοση των συσκευών, μπορούμε να ρίξουμε μια πιο προσεκτική ματιά σε νέα μοντέλα για μικρές και μεσαίες επιχειρήσεις. Όπως αναφέρθηκε παραπάνω, το Check Point έχει ένα ολόκληρο τμήμα - Μικρομεσαία Επιχείρηση (μοντέλα 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Αυτές οι συσκευές μπορούν να ονομαστούν ενημέρωση της παλιάς σειράς του 2012 (2200, 1180, 1140, 1120). Για να κατανοήσετε τις βασικές διαφορές, εξετάστε την παρακάτω εικόνα:
(οι τιμές είναι σε GPL, χωρίς ΦΠΑ και τεχνική υποστήριξη)
Όπως μπορείτε να δείτε, η σειρά 2016 έχει αυξήσει σημαντικά την απόδοση (SPU) και οι τιμές παρέμειναν περίπου στο ίδιο επίπεδο (με εξαίρεση το μοντέλο 3200). Η νέα σειρά περιλαμβάνει και μοντέλο 3100, αλλα οχι ακομα δεν υπάρχει καμία ειδοποίηση και η εισαγωγή στη Ρωσία απαγορεύεται! Να το θυμασαι!
Αν υπολογίσουμε ξανά το κόστος μιας SPU, τότε το μοντέλο 1450 είναι το πιο ισορροπημένο. Παρακάτω θα ρίξουμε μια πιο προσεκτική ματιά στη νέα σειρά Check Point.
Σχέδια για την υλοποίηση συσκευών SMB
Όπως φαίνεται από το σχήμα, υπάρχουν δύο κύρια σενάρια υλοποίησης για συσκευές SMB:
- Στην προεπιλεγμένη λειτουργία πύλης. Σε αυτήν την περίπτωση, το Check Point εγκαθίσταται ως περιμετρική συσκευή και χορηγείται τοπικά.
- Πύλη υποκαταστήματος. Σε αυτήν την περίπτωση, η διαχείριση του υλικού υποκαταστήματος γίνεται κεντρικά (χρησιμοποιώντας τον διακομιστή διαχείρισης) από τα κεντρικά γραφεία.
Για σειρές и Υπάρχουν ορισμένες δυνατότητες σε κάθε λειτουργία. Θα τα δούμε παρακάτω.
SMB σειρά 3000
Αυτή τη στιγμή υπάρχουν δύο "κομμάτια σιδήρου" - 3200 и 3100. Όπως αναφέρθηκε νωρίτερα, το 3100 δεν μπορεί ακόμη να εισαχθεί στη χώρα. Όσο για το 3200, είναι μια εξαιρετική αντικατάσταση της παλιάς σειράς 2200. Η συσκευή τρέχει μια πλήρη έκδοση του Gaia (τόσο R77.30 όσο και R80.10). Εάν χρησιμοποιείτε τη συσκευή ως την κύρια πύλη σε μια μικρή επιχείρηση, μπορείτε να περιμένετε την ακόλουθη απόδοση:
- Κανάλι Διαδικτύου - 50 Mbit;
- Συνολικό εύρος ζώνης - 300 Mbit;
- Αριθμός χρηστών - 200.
Όπως μπορείτε να δείτε, το φορτίο της συσκευής σε αυτήν την περίπτωση είναι 47% και αυτό είναι με τοπική διαχείριση, δηλ. Standalone διαμόρφωση (περισσότερα για αυτόνομη και διανεμημένη ). Από προσωπική εμπειρία μπορώ να πω ότι με την τοπική διαχείριση δεν συνιστάται η υπέρβαση του φορτίου του 50%, γιατί... Μπορεί να υπάρχουν προβλήματα με τον έλεγχο (θα επιβραδύνει).
Εάν η συσκευή θεωρείται ως συσκευή διακλάδωσης (δηλαδή με ξεχωριστή κεντρική διαχείριση), τότε οι δείκτες θα είναι σημαντικά υψηλότεροι. Και μπορείτε ήδη να εισέλθετε στην κίτρινη ζώνη στο μέγεθος (δηλαδή, με φορτίο 50% έως 70%). Μπορείτε να δείτε το φύλλο δεδομένων της συσκευής .
SMB σειρά 1400
Αυτή η σειρά περιλαμβάνει πολλές συσκευές ταυτόχρονα: 1490, 1470, 1450, 1430 (Λογική αντικατάσταση των ξεπερασμένων 1120, 1140 και 1180).
Παρά το γεγονός ότι αυτά είναι τα νεότερα μοντέλα Check Point, έχουν όλες τις απαραίτητες λειτουργίες:
- Οι συσκευές SMB μπορούν να συναρμολογηθούν σε ένα σύμπλεγμα HA (Active/Standby).
- Σχεδόν όλες οι λεπίδες λογισμικού είναι διαθέσιμες (όπως σε «μεγάλα» κομμάτια υλικού).
- μπορεί να διαχειρίζεται τόσο τοπικά όσο και κεντρικά (χρησιμοποιώντας έναν παραδοσιακό διακομιστή διαχείρισης).
- υπάρχουν τροποποιήσεις με WiFi, ADSL και PoE.
- Μπορείτε να συνδέσετε μόντεμ 3G.
- Διατίθενται κιτ τοποθέτησης σε rack.
Ωστόσο, αξίζει να προειδοποιήσετε για ορισμένους περιορισμούς/χαρακτηριστικά:
- Η συσκευή έχει ελαττωματική Gaia στο σκάφος και Gaia 77.20 Ενσωματωμένο. Αυτός ο περιορισμός οφείλεται στην αρχιτεκτονική της συσκευής (χρησιμοποιούνται επεξεργαστές ARM). Σε περίπτωση τοπικού ελέγχου (αυτόνομος), δεν θα μπορείτε να χρησιμοποιήσετε τη συνηθισμένη SmartConsole. Αντίθετα, υπάρχει μια διεπαφή ιστού. Μπορείτε να το δείτε σε αυτό το βίντεο:
Το παράδειγμα εξετάζει τη σειρά 700, αλλά κατ 'αρχήν δεν πωλείται στη Ρωσία. - Η λειτουργία εξαγωγής απειλών δεν λειτουργεί. Μόνο εξομοίωση απειλών. Μπορείτε να δείτε τι είναι
- Είναι αδύνατο να συναρμολογήσετε ένα σύμπλεγμα στη λειτουργία Κοινή χρήση φορτίου. Εκείνοι. Η εξαπάτηση αγοράζοντας δύο «φθηνά» κομμάτια υλικού και η διανομή του φορτίου στο σύμπλεγμα μεταξύ τους δεν θα λειτουργήσει.
- Με την τοπική διαχείριση υπάρχουν σοβαροί περιορισμοί σχετικά με την επιθεώρηση HTTPS.
- Η σάρωση αρχείων κατά των ιών δεν λειτουργεί.
- Χωρίς λειτουργία DLP.
Τα τελευταία σημεία είναι ίσως οι πιο σημαντικοί περιορισμοί που συχνά σιωπούν. Για πλήρη έλεγχο HTTPS, θα αναγκαστείτε να χρησιμοποιήσετε έναν παραδοσιακό αποκλειστικό διακομιστή διαχείρισης. Σε αυτήν την περίπτωση, θα ελέγξετε τη συσκευή ως πύλη με μια πλήρη (σχεδόν πλήρη) έκδοση του Gaia.
Άλλοι περιορισμοί του Gaia Embedded μπορείτε να βρείτε εδώ . Φροντίστε να τα ελέγξετε πριν πάρετε μια απόφαση αγοράς.
Για παράδειγμα, σκεφτείτε ένα μικρό γραφείο με τις ακόλουθες παραμέτρους:
- Κανάλι Διαδικτύου - 50 Mbit;
- Συνολικό εύρος ζώνης - 200 Mbit;
- Αριθμός χρηστών - 200;
- Τοπική διαχείριση (διασύνδεση Ιστού).
Όπως φαίνεται από το μέγεθος, το μοντέλο 1490 αντεπεξέρχεται με επιτυχία σε αυτό το έργο με φορτίο 46% (χωρίς να εγκαταλείψει την πράσινη ζώνη). Με αποκλειστική διαχείριση, το 1470 θα αντεπεξέλθει σε αυτό το έργο.
Μπορείτε να δείτε το φύλλο δεδομένων για συσκευές της σειράς 1400 .
Μοντέλο 1200R
Αυτό το μοντέλο δύσκολα μπορεί να ονομαστεί SMB. Αυτή είναι ήδη μια βιομηχανική λύση και ίσως αξίζει ένα ξεχωριστό άρθρο. Τώρα δεν θα εξετάσουμε αυτό το μοντέλο λεπτομερώς.
Webinar
Περισσότερες λεπτομέρειες σχετικά με τις συσκευές SMB μπορείτε να βρείτε στο προηγούμενο webinar μας:
Ευρήματα
Κατά τη γνώμη μου, τα νέα μοντέλα SMB αποδείχθηκαν αρκετά επιτυχημένα. Η απόδοση των συσκευών έχει αυξηθεί σημαντικά διατηρώντας παράλληλα το επίπεδο τιμών. Δεν είμαι έτοιμος να μιλήσω για το υψηλό κόστος/φθηνή των συσκευών, γιατί Αυτές οι έννοιες είναι πολύ διαφορετικές για διαφορετικές εταιρείες.
Μοντέλο Θα το συνιστούσα σε μικρές εταιρείες που ενδιαφέρονται για το μέγιστο επίπεδο προστασίας σε λογική τιμή. Επιπλέον, αυτή είναι μια καλή επιλογή για όσους έχουν ήδη συνηθίσει να εργάζονται με την πλήρη έκδοση του Gaia. Η έκδοση R80.10 είναι επίσης διαθέσιμη εδώ. Όταν ληφθεί ειδοποίηση για το 3100, η τιμή θα πέσει λίγο περισσότερο. Αυτή είναι μια ιδανική επιλογή για υποκαταστήματα.
Συσκευές σειράς είναι ένας καλός συμβιβασμός και έχουν την καλύτερη αναλογία τιμής/ποιότητας (ειδικά όσον αφορά την τιμή ανά 1 SPU). Αυτές οι συσκευές είναι εξαιρετικές για υποκαταστήματα με χαμηλό προϋπολογισμό. Χρησιμοποιώντας την κεντρική διαχείριση, μπορείτε να διαχειριστείτε συσκευές όπως κανονικές πύλες με μια πλήρη έκδοση του Gaia. Αλλά, και πάλι, μην ξεχνάτε , με το οποίο πρέπει οπωσδήποτε να εξοικειωθείτε.
ΥΓ Θα ήθελα να ευχαριστήσω τον Alexey Matveev () για βοήθεια στην προετοιμασία του υλικού.
Πηγή: www.habr.com