Check Point SMB lahendused. Uued mudelid väikeettevõtetele ja filiaalidele

Suhteliselt hiljuti (2016. aastal) ettevõte Check Point esitles oma uusi seadmeid (nii lüüsi kui ka juhtservereid). Peamine erinevus eelmisest reast on oluliselt suurenenud tootlikkus.

Selles artiklis keskendume ainult madalamatele mudelitele. Kirjeldame uute seadmete eeliseid ja võimalikke lõkse, millest alati ei räägita. Jagame ka isiklikke muljeid nende kasutamisest.

Check Pointi koosseis

Nagu pildilt näha, jagab Check Point oma seadmed kolme suurde kategooriasse:

• Tipptasemel ettevõte ja andmekeskus (mudelid 23800, 23500, 15600, 15400)
• ettevõte (mudelid 5900, 5800, 5600, 5400, 5200, 5100)
• Väike ja keskmine ettevõte (mudelid 3200, 3100, 1490, 1470, 1450, 1430, 1200R)

Sel juhul on üheks peamiseks tunnuseks nn SPU – turvajõuallikad. See on Check Pointi patenteeritud mõõdik, mis iseloomustab seadme tegelikku jõudlust. Võrrelgem näiteks traditsioonilist tulemüüri jõudluse (Mbps) mõõtmise meetodit Check Pointi (SPU) "uue" tehnikaga.

Traditsiooniline tehnika – tulemüüri läbilaskevõime

• Mõõtmised tehakse laboritingimustes “kunstlikul” liiklusel.
• Hinnatakse ainult tulemüüri funktsiooni jõudlust, ilma lisamooduliteta, nagu IPS, Application Control jne.
• Testimine toimub tavaliselt ühe tulemüürireegliga.

Kontrollpunkti metoodika – turvalisus

• Mõõtmised tegeliku kasutajaliikluse kohta.
• Hinnatakse kõigi funktsioonide (tulemüür, IPS, rakenduste juhtimine, URL-i filtreerimine jne) jõudlust.
• Testitud standardpoliitika alusel, mis sisaldab palju reegleid.

Check Pointi seadme suuruse määramise tööriist

Seega on sobiva Check Pointi mudeli valimisel parem tugineda parameetrile Turvatoiteplokk. See on märgitud seadme mis tahes andmelehel. Te ei saa oma võrgu jaoks sobivat SPU-d iseseisvalt arvutada. Seda saab teha ainult partneri abiga, kellel on tööriistale juurdepääs Check Pointi seadme suuruse määramise tööriist:

Optimaalse lahenduse valimiseks peate arvestama selliste parameetritega nagu:

• Interneti-kanali laius;
• Lüüsi kogu läbilaskevõime (võib erineda Interneti-kanalist, kui näiteks segmenteerisite kohaliku võrgu Check Pointi abil);
• Kasutajate arv võrgus;
• Vajalikud funktsioonid (tulemüür, viirusetõrje, robotitõrje, rakenduste juhtimine, URL-i filtreerimine, IPS, ohuemuleerimine jne).

Samuti on peenemad sätted, mis kirjeldavad, millisele liiklusele need labad rakendatakse:

Pärast kõigi omaduste täpsustamist saate sobivaid seadmeid kirjeldava aruande:

Siin näete vajalikku SPU-d (meie puhul 72) ja soovitatavat (144). Ja ka mudelid ise koos nende koormuse kirjeldusega ning liikluse ja labade “reserviga”. Mudeli valimisel on alati soovitatav võtta seade rohelisest tsoonist (st koormus kuni 50 protsenti):

See tagab, et tippkoormuse või Interneti-kanali laiuse kavandatud suurendamise ajal pole probleeme. Seadet valides paluge alati oma partneril esitada sarnane aruanne. Näidet saab alla laadida siin.

Vana vs uus

Olles mõistnud peamist seadmete jõudlust iseloomustavat parameetrit, saame lähemalt tutvuda väikeste ja keskmise suurusega ettevõtete uute mudelitega. Nagu eespool mainitud, on Check Pointil terve segment - Väike ja keskmine ettevõte (mudelid 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Neid seadmeid võib nimetada vana 2012. aasta seeria (2200, 1180, 1140, 1120) värskenduseks. Peamiste erinevuste mõistmiseks vaadake allolevat pilti:

(hinnad on GPL-is, ilma käibemaksuta ja tehnilise toe)

Nagu näete, on 2016. aasta seeria jõudlus (SPU) oluliselt suurendanud ja hinnad jäid ligikaudu samale tasemele (välja arvatud 3200 mudel). Uus rida sisaldab ka mudelit 3100, aga mitte veel teavitus puudub ja Venemaale import on keelatud! Mäleta seda!

Kui arvutame ümber ühe SPU maksumuse, siis on 1450 mudel kõige tasakaalukam. Allpool vaatame lähemalt uut Check Pointi seeriat.

SMB seadmete juurutamise skeemid

Nagu jooniselt näha, on SMB-seadmete jaoks kaks peamist rakendamise stsenaariumi:

1. Vaikimisi lüüsi režiimis. Sel juhul paigaldatakse Check Point perimeetriseadmena ja seda manustatakse kohapeal.
2. Filiaali värav. Sel juhul hallatakse haru riistvara tsentraalselt (haldusserveri abil) peakontorist.

Seeriate jaoks 3000 и 1400 Igas režiimis on mõned funktsioonid. Vaatleme neid allpool.

SMB seeria 3000

Praegu on kaks "rauatükki" - 3200 и 3100. Nagu varem öeldud, ei saa 3100 veel riiki importida. Mis puutub 3200-sse, siis see on suurepärane asendus vanale seeriale 2200. Seade jooksutab Gaia täisversiooni (nii R77.30 kui R80.10). Kui kasutate seadet väikeettevõtte peamise väravana, võite oodata järgmist jõudlust:

1. Interneti-kanal - 50 Mbit;
2. Kogu ribalaius - 300 Mbit;
3. Kasutajate arv - 200.

Nagu näete, on seadme koormus antud juhul 47% ja seda kohaliku juhtimisega, st. Standalone konfiguratsioon (lisateave eraldiseisva ja hajutatud siin). Isiklikust kogemusest võin öelda, et kohaliku juhtimisega ei soovita 50% koormust ületada, sest... Juhtimisega võib esineda probleeme (see aeglustub).
Kui seadet käsitleda haruseadmena (st eraldi tsentraliseeritud haldusega), on näitajad oluliselt kõrgemad. Ja juba saab sisestada kollasesse tsooni suuruse määramisel (st koormusega 50% kuni 70%). Saate vaadata seadme andmelehte siin.

SMB seeria 1400

See seeria sisaldab korraga mitut seadet: 1490, 1470, 1450, 1430 (aegunud 1120, 1140 ja 1180 loogiline asendus).

Vaatamata asjaolule, et need on Check Pointi kõige nooremad mudelid, on neil kõik vajalikud funktsioonid:

• SMB-seadmeid saab kokku panna HA-klastrisse (Active/Standby);
• Peaaegu kõik tarkvaralabad on saadaval (nagu "suurte" riistvaratükkide puhul);
• saab hallata nii lokaalselt kui ka tsentraalselt (kasutades traditsioonilist haldusserverit);
• on modifikatsioone WiFi, ADSL ja PoE;
• saate ühendada 3G-modemid;
• Saadaval on racki kinnituskomplektid.

Siiski tasub hoiatada mõningate piirangute/funktsioonide eest:

• Seadme pardal on defektne Gaia ja Gaia 77.20 Manustatud. See piirang on tingitud seadme arhitektuurist (kasutatakse ARM-protsessoreid). Kohaliku juhtimise (eraldiseisva) korral ei saa te tavalist SmartConsole'i ​​kasutada. Selle asemel on veebiliides. Näete seda selles videos:
  
  Näide käsitleb 700-seeriat, kuid põhimõtteliselt seda Venemaal ei müüda.
• Ohu eemaldamise funktsioon ei tööta. Ainult ohu emuleerimine. Saate näha, mis see on siin
• Koormuse jagamise režiimis on klastri koostamine võimatu. Need. petmine, ostes kaks "odavat" riistvara ja jaotades koormuse nende vahel klastris, ei toimi.
• Kohaliku haldusega on HTTPS-i kontrollimisel tõsised piirangud.
• Arhiivide viirusetõrje ei tööta.
• DLP-funktsioon puudub.

Viimased punktid on ehk kõige olulisemad piirangud, millest sageli vaikitakse. HTTPS-i täielikuks kontrollimiseks olete sunnitud kasutama traditsioonilist spetsiaalset haldusserverit. Sel juhul juhite seadet Gaia täisversiooni (peaaegu täisversiooniga) lüüsina.

Muud Gaia Embeddedi piirangud leiate siit siin. Enne ostuotsuse tegemist tutvuge nendega kindlasti.

Näiteks kaaluge väikest kontorit järgmiste parameetritega:

• Interneti-kanal - 50 Mbit;
• Kogu ribalaius - 200 Mbit;
• Kasutajate arv - 200;
• Kohalik haldus (veebi liides).

Nagu suurusest näha, saab 1490 mudel selle ülesandega edukalt hakkama 46% koormusega (rohelisest tsoonist lahkumata). Pühendatud juhtimisega saab 1470 selle ülesandega hakkama.
1400-seeria seadmete andmelehte saab vaadata siin.

Mudel 1200R

Seda mudelit saab vaevalt nimetada SMB-ks. See on juba tööstuslik lahendus ja väärib võib-olla eraldi artiklit. Nüüd me seda mudelit üksikasjalikult ei käsitle.

Aari

Lisateavet SMB seadmete kohta leiate meie eelmiselt veebiseminarilt:

Järeldused

Minu arvates osutusid uued SMB mudelid üsna edukaks. Seadmete jõudlust on hinnataseme säilitamisel oluliselt suurendatud. Ma ei ole valmis rääkima seadmete kõrgest hinnast/odavusest, sest Need mõisted on erinevate ettevõtete puhul väga erinevad.

Mudel 3200 Soovitaksin väikefirmadele, kes on huvitatud maksimaalsest kaitsetasemest mõistliku hinna eest. Lisaks on see hea valik neile, kes on juba harjunud töötama Gaia täisversiooniga. R80.10 versioon on saadaval ka siin. Kui teate 3100 kohta saab, langeb hinnasilt veel veidi. See on ideaalne võimalus okste jaoks.

Seeria seadmed 1400 on hea kompromiss ja parima hinna ja kvaliteedi suhtega (eriti 1 SPU hinna osas). Need seadmed sobivad suurepäraselt väikese eelarvega harudele. Tsentraliseeritud halduse abil saate Gaia täisversiooniga hallata selliseid seadmeid nagu tavalised lüüsid. Kuid jällegi, ärge unustage piiranguid, millega tasuks kindlasti tutvuda.

PS Tahaksin tänada Aleksei Matvejevit (RRC ettevõte) abi eest materjali ettevalmistamisel.

Allikas: www.habr.com