Plej lastatempe, Check Point prezentis novan skaleblan platformon . Ni jam publikigis tutan artikolon pri . Mallonge, ĝi permesas vin preskaŭ linie pliigi la agadon de la sekureca enirejo kombinante plurajn aparatojn kaj ekvilibrigante la ŝarĝon inter ili. Surprize, ankoraŭ ekzistas mito, ke ĉi tiu skalebla platformo taŭgas nur por grandaj datumcentroj aŭ gigantaj retoj. Ĉi tio absolute ne veras.
Check Point Maestro estis evoluigita por pluraj kategorioj de uzantoj samtempe (ni rigardos ilin iom poste), inkluzive de mezgrandaj entreprenoj. En ĉi tiu mallonga serio de artikoloj mi provos pripensi teknikaj kaj ekonomiaj avantaĝoj de Check Point Maestro por mezgrandaj organizoj (de 500 uzantoj) kaj kial ĉi tiu opcio povas esti pli bona ol klasika areto.
Check Point Maestro celgrupo
Unue, ni rigardu la uzantsegmentojn, por kiuj Check Point Maestro estis desegnita. Estas nur 4 el ili:
1. Firmaoj al kiuj mankis ĉasiokapabloj. Check Point Maestro ne estas la unua skalebla platformo de Check Point. Ni jam skribis, ke antaŭe ekzistis tiaj modeloj kiel 64000 kaj 44000. Kvankam ili havis GRAN agadon, ankoraŭ ekzistis kompanioj, por kiuj tio NE SUFIĈIS. Majstro forigas ĉi tiun malavantaĝon, ĉar... permesas vin kunveni ĝis 31 aparatojn en unu alt-efikecan areton. Samtempe, vi povas kunveni areton de plej altnivelaj aparatoj (23900, 26000), atingante tiel kolosan trairon.
Fakte, en la kampo de sekurecaj enirejoj, Check Point estas nuntempe la sola kiu efektivigas tian kapablon.
2. Firmaoj kiuj volas povi elekti sian aparataron. Unu el la malavantaĝoj de pli malnovaj skaleblaj platformoj estas la bezono uzi strikte difinitajn "klingomodulojn" (Check Point SGM). La nova platformo Check Point Maestro ebligas al vi uzi grandan nombron da malsamaj aparatoj. Vi povas elekti ambaŭ modelojn el la meza segmento (5600, 5800, 5900, 6500, 6800) kaj el la High End-segmento (15000 serioj, 23000 serioj, 26000 serioj). Krome, vi povas kombini ilin, depende de la taskoj.
Ĉi tio estas tre oportuna el la vidpunkto de optimuma uzo de rimedoj. Vi povas aĉeti nur la agadon, kiun vi bezonas elektante la ĝustan modelon.
3. Firmaoj por kiuj la ĉasio estas tro multe, sed skaleblo ankoraŭ bezonas. Alia "malavantaĝo" de la malnovaj skaleblaj platformoj (64000, 44000) estis la alta enira sojlo (de ekonomia vidpunkto). Dum longa tempo, skaleblaj platformoj estis nur haveblaj al grandaj entreprenoj kun "bonaj" IT-buĝetoj. Kun la apero de Check Point Maestro, ĉio ŝanĝiĝis. La kosto de la minimuma pakaĵo (orkestranto + du enirejoj) estas komparebla (kaj foje pli malalta) kun klasika aktiva/atenda areto. Tiuj. la enira sojlo grave malpliiĝis. Elektante solvon, firmao povas tuj starigi skaleblan arkitekturon, sen tropagi por ebla posta pliigo de bezonoj. Ĉu ekzistas pli da uzantoj jaron post la enkonduko de Check Point Maestro? Vi nur aldonu unu aŭ du enirejojn, sen ajna anstataŭigo de ekzistantaj. Vi eĉ ne devas ŝanĝi la topologion. Simple konektu novajn enirejojn al la orkestro kaj apliku al ili agordojn per nur kelkaj klakoj.
4. Firmaoj kiuj volas fari optimuman uzon de ekzistantaj aparatoj. Mi pensas, ke multaj homoj konas la Komercan proceduron. Kiam la agado de ekzistantaj aparatoj ne plu sufiĉas kaj la aparataro devas esti ĝisdatigita por renkonti aktualajn bezonojn. Sufiĉe multekosta proceduro. Krome, sufiĉe ofte estas situacio kiam kliento havas plurajn Check Point-grupojn por malsamaj taskoj. Ekzemple, areto por perimetra protekto, areto por fora aliro (RA VPN), areto por VSX, ktp. Krome, unu areto eble ne havas sufiĉe da rimedoj, dum alia havas abundon da ili. Check Maestro estas bonega okazo por optimumigi la uzon de ĉi tiuj rimedoj dinamike distribuante la ŝarĝon inter ili.
Tiuj. vi ricevas la jenajn avantaĝojn:
- Ne necesas "forĵeti" ekzistantan aparataron. Vi povas aĉeti unu aŭ du pliajn enirejojn, aŭ...
- Agordu dinamikan ŝarĝan ekvilibron inter aliaj ekzistantaj enirejoj por pli optimuma uzo de rimedoj. Se la ŝarĝo sur la perimetra enirejo akre pliiĝas, tiam la orkestranto povos uzi la "enuajn" rimedojn de la foraj alirpordoj kaj inverse. Ĉi tio helpas glatigi laŭsezonajn (aŭ provizorajn) ŝarĝpintojn.
Kiel vi verŝajne komprenas, la lastaj du segmentoj rilatas specife al mezgrandaj entreprenoj, kiuj nun ankaŭ povas pagi uzi skaleblajn sekurecajn platformojn. Tamen, akceptebla demando povas ekesti: "Kial Check Point Maestro estas pli bona ol regula areto?“Ni provos respondi ĉi tiun demandon.
Klasika areto kontraŭ Check Point Maestro
Se ni parolas pri la klasika Check Point-grupo, tiam du operaciaj reĝimoj estas subtenataj: Alta Havebleco (t.e. Aktiva/Vendemo) kaj Ŝarĝkundivido (t.e. Aktiva/Aktiva). Ni mallonge priskribos ilian signifon de laboro, same kiel iliajn avantaĝojn kaj malavantaĝojn.
Alta Havebleco (Aktiva/Vendema)
Kiel la nomo sugestas, en ĉi tiu operacia reĝimo, unu nodo pasas la tutan trafikon tra si mem, kaj la dua estas en standby kaj reprenas trafikon se la aktiva nodo komencas sperti iujn problemojn.
Pros:
- La plej stabila reĝimo;
- La propra SecureXL-mekanismo estas subtenata por akceli trafikan prilaboradon;
- Se la aktiva nodo malsukcesas, la dua garantias povi "digesti" la tutan trafikon (ĉar ĝi estas ĝuste la sama).
Kons:
Fakte, ekzistas nur unu minuso - unu nodo estas tute senaktiva. Siavice, pro tio, ni estas devigitaj aĉeti pli potencan aparataron por ke ĝi povu trakti la trafikon sole.
Kompreneble, HA-reĝimo estas pli fidinda ol Load Sharing, sed rimedoptimumigo lasas multon por deziri.
Kundivido de Ŝarĝo (Aktiva/Aktiva)
En ĉi tiu reĝimo, ĉiuj nodoj en la areto procesas trafikon. Vi povas kombini ĝis 8 aparatojn en tian areton (pli ol 4 ).
Pros:
- Vi povas distribui la ŝarĝon inter nodoj, kio postulas malpli potencajn aparatojn;
- Eblo de glata skalado (aldonante ĝis 8 nodojn al la areto).
Kons:
- Sufiĉe strange, la avantaĝoj tuj iĝas malavantaĝoj. Ili ŝatas uzi Ŝarĝkundividan reĝimon eĉ kiam la kompanio havas nur du nodojn. Volante ŝpari monon, ili aĉetas aparatojn, ĉiu el kiuj estas ŝarĝita je 40-50%. Kaj ĉio ŝajnas esti bona. Sed se unu nodo malsukcesas, ni ricevas situacion, kie la tuta ŝarĝo estas translokigita al la restanta, kiu simple ne povas elteni. Kiel rezulto, ekzistas neniu faŭltoleremo kiel tia en tia skemo.
- Aldonu al ĉi tio multajn limigojn pri Ŝarĝkunigo (). Kaj la plej grava limigo estas, ke SecureXL ne estas subtenata, mekanismo kiu signife akcelas trafikan prilaboradon;
- Koncerne grimpi per aldonado de novaj nodoj al la areto, bedaŭrinde Ŝarĝdividado estas malproksime de ideala ĉi tie. Se pli ol 4 aparatoj estas aldonitaj al la areto, tiam agado komenciĝas .
Konsiderante la unuajn du malavantaĝojn, por efektivigi misfunkciadon dum uzado de du nodoj, ni ankaŭ estas devigitaj aĉeti pli produktivan aparataron por ke ĝi povu "digesti" trafikon en kritika situacio. Kiel rezulto, ni ne havas ajnan ekonomian profiton, sed ni ricevas grandan kvanton . Krome, indas noti, ke ekde la versio R80.20, la reĝimo Load Sharing ne estas subtenata. Ĉi tio limigas uzantojn de postulataj ĝisdatigoj. Ankoraŭ ne scias ĉu Ŝarĝkunigo estos subtenata en pli novaj eldonoj.
Check Point Maestro kiel alternativo
De la vidpunkto de la areto, Check Point Maestro prenis la ĉefajn avantaĝojn de la reĝimoj de Alta Havebleco kaj Ŝarĝdivido:
- Enirejoj konektitaj al la orkestranto povas uzi SecureXL, kiu certigas maksimuman trafikan pretigan rapidecon. Ne ekzistas aliaj limigoj enecaj en Ŝarĝkundivido;
- Trafiko estas distribuita inter enirejoj en unu Sekureca Grupo (logika enirejo konsistanta el pluraj fizikaj). Danke al ĉi tio, ni povas instali malpli produktivajn aparatojn, ĉar ni ne plu havas neaktivajn enirejojn, kiel en High Availability mode. Samtempe, potenco povas esti pliigita preskaŭ linie, sen tiaj gravaj perdoj kiel en Ŝarĝkundivido-reĝimo (pli da detaloj poste).
Ĉio ĉi estas bonega, sed ni rigardu du specifajn ekzemplojn.
Ekzemplo # 1
Lasu firmaon X intenci instali areton da enirejoj sur la retperimetro. Ili jam konatiĝis kun ĉiuj limigoj de Ŝarĝkundivido (kiuj estas neakcepteblaj por ili) kaj konsideras la reĝimon de Alta Havebleco ekskluzive. Post dimensionado, rezultas, ke la enirejo 6800 taŭgas por ili, kiu ne devus esti ŝarĝita je pli ol 50% (por havi almenaŭ iom da rendimento-rezervo). Ĉar ĉi tio estos areto, vi devas aĉeti duan aparaton, kiu simple "fumos" aeron en standby. Ĝi estas tre multekosta fumejo.
Sed ekzistas alternativo. Prenu pakaĵon de la orkestranto kaj tri enirejoj 6500. En ĉi tiu kazo, la trafiko estos distribuita inter ĉiuj tri aparatoj. Se vi rigardas la specifojn de la du modeloj, vi vidos, ke tri 6500-enirejoj estas pli potencaj ol unu 6800.
Tiel, elektante Check Point Maestro, kompanio X ricevas la jenajn avantaĝojn:
- La kompanio tuj metas skaleblan platformon. Posta pliigo de rendimento estos simple aldoni alian aparataron de 6500. Kio povus esti pli simpla?
- La solvo estas ankoraŭ mistolerema, ĉar Se unu nodo malsukcesas, la ceteraj du povos elteni la ŝarĝon.
- Same grava kaj surpriza avantaĝo estas, ke ĝi estas pli malmultekosta! Bedaŭrinde, mi ne povas afiŝi prezojn publike, sed se vi interesiĝas, vi povas
Ekzemplo # 2
Lasu firmaon Y jam havu HA-grupon de modeloj 6500. La aktiva nodo estas ŝarĝita je 85%, kio dum pintaj ŝarĝoj kondukas al perdoj en produktiva trafiko. La logika solvo al la problemo ŝajnas esti ĝisdatigi la aparataron. La sekva modelo estas 6800. Tio estas. la firmao devos resendi la enirejojn per la Komerca programo kaj aĉeti du novajn (pli multekostajn) aparatojn.
Sed ekzistas alternativa eblo. Aĉetu orkestranton kaj alian ekzakte la saman nodon (6500). Kunvenu aron de tri aparatoj kaj "disvastigu" ĉi tiun 85% de la ŝarĝo tra tri enirejoj. Kiel rezulto, vi ricevos grandegan rendimentan marĝenon (tri aparatoj estos ŝarĝitaj je nur 30% averaĝe). Eĉ se unu el la tri nodoj mortos, la ceteraj du ankoraŭ traktos trafikon kun averaĝa ŝarĝo de 45%. Krome, por pintŝarĝoj, areto de tri aktivaj 6500 enirejoj estos pli potenca ol unu 6800 enirejo, kiu situas en la HA-areto (t.e. aktiva/ŝtendo). Krome, se en unu aŭ du jaroj la bezonoj de kompanio Y denove pliiĝas, tiam ĉio, kion ili devos fari, estas aldoni unu aŭ du pliajn nodojn 6500. Mi pensas, ke la ekonomia profito ĉi tie estas evidenta.
konkludo
Jes, Check Point Maestro ne estas solvo por SMB. Sed eĉ mezgranda komerco jam povas pensi pri ĉi tiu platformo kaj almenaŭ provi kalkuli la ekonomian efikecon. Vi surprizos trovi, ke skaleblaj platformoj povas esti pli profitaj ol klasika areto. Samtempe, estas avantaĝoj ne nur ekonomiaj, sed ankaŭ teknikaj. Tamen ni parolos pri ili en la sekva artikolo, kie, krom teknikaj lertaĵoj, mi provos montri plurajn tipajn kazojn (topologio, scenaroj).
Vi ankaŭ povas aboni niajn publikajn paĝojn (, , , ), kie vi povas sekvi la aperon de novaj materialoj pri Check Point kaj aliaj sekurecaj produktoj.
fonto: www.habr.com