🥇Check Point SMB soluzioak. Enpresa txiki eta sukurtsalentzako eredu berriak

Duela gutxi (2016an), konpainia Check Point bere gailu berriak aurkeztu zituen (bai pasabideak eta kontrol zerbitzariak). Aurreko lerroarekiko funtsezko aldea produktibitatea nabarmen handitzea da.

Artikulu honetan beheko ereduetan zentratuko gara soilik. Gailu berrien abantailak eta beti eztabaidatzen ez diren akats posibleak deskribatuko ditugu. Erabilerari buruzko inpresio pertsonalak ere partekatuko ditugu.

Check Point hamaikakoa

Irudian ikus dezakezun bezala, Check Pointek bere gailuak hiru kategoria handitan banatzen ditu:

Goi mailako Enpresa eta Datu Zentroa (ereduak 23800, 23500, 15600, 15400)
Enterprise (ereduak 5900, 5800, 5600, 5400, 5200, 5100)
Enpresa Txiki eta Ertainak (ereduak 3200, 3100, 1490, 1470, 1450, 1430, 1200R)

Kasu honetan, ezaugarri nagusietako bat izenekoa da SPU - Segurtasun Potentzia Unitateak. Gailu baten benetako errendimendua ezaugarritzen duen Check Point-en neurri jabeduna da. Adibide gisa, konparatu dezagun Suebakiaren errendimendua (Mbps) neurtzeko metodo tradizionala Check Point-eko (SPU) teknika "berriarekin".

Teknika tradizionala - Suebakiaren errendimendua

Neurketak laborategiko baldintzetan egiten dira trafiko "artifiziala".
Firewall funtzioaren errendimendua soilik ebaluatzen da, IPS, Aplikazioen Kontrola, etab bezalako modulu gehigarririk gabe.
Probak Firewall arau batekin egiten dira normalean.

Check Point Metodologia - Segurtasun Potentzia

Erabiltzaileen benetako trafikoari buruzko neurketak.
Funtzionalitate guztien errendimendua (Suebakia, IPS, Aplikazioen Kontrola, URLen iragazketa, etab.) ebaluatzen da.
Arau asko biltzen dituen politika estandar batean probatua.

Check Point Appliance dimentsionatzeko tresna

Beraz, Check Point eredu egokia aukeratzerakoan, hobe da parametroan fidatzea Segurtasun Potentzia Unitatea. Gailuaren edozein fitxan adierazten da. Ezin izango duzu zure sarerako SPU egokia kalkulatu zure kabuz. Hau tresnarako sarbidea duen bazkide baten laguntzarekin bakarrik egin daiteke Check Point Appliance dimentsionatzeko tresna:

Irtenbide optimoa hautatzeko, honako parametro hauek hartu behar dituzu kontuan:

Interneteko kanalaren zabalera;
Atebidearen guztizkoa (Interneteko kanaletik desberdina izan daiteke, adibidez, Check Point erabiliz sarea lokala segmentatu baduzu);
Sareko erabiltzaile kopurua;
Beharrezko funtzioak (Suebakia, Birusaren aurkakoa, Botaren aurkakoa, Aplikazioen kontrola, URL-iragazkia, IPS, Mehatxuen emulazioa, etab.).

Ezarpen sotilagoak ere badaude, blade horiek zer trafikotan aplikatuko diren deskribatzen dutenak:

Ezaugarri guztiak zehaztu ondoren, gailu egokiak deskribatzen dituen txostena jaso dezakezu:

Hemen beharrezkoa den SPU (72 gure kasuan) eta gomendatutakoa (144) ikus ditzakezu. Eta ereduak beraiek beren zamaren deskribapenarekin eta trafikorako eta paletarako "erreserba"rekin. Eredu bat aukeratzerakoan, beti gomendatzen da gailu bat eremu berdetik hartzea (hau da, ehuneko 50 arte kargatzea):

Horrek bermatzen du ez dela arazorik egongo karga gailurretan edo Interneteko kanalaren zabaleran aurreikusitako handitzeetan. Gailu bat aukeratzerakoan, eskatu beti bikotekideari antzeko txosten bat emateko. Adibidea deskargatu daiteke Hemen.

Zaharra vs Berria

Gailuen errendimendua ezaugarritzen duen parametro nagusia ulertuta, negozio txiki eta ertainentzako eredu berriak gertutik aztertu ahal izango ditugu. Goian esan bezala, Check Pointek segmentu oso bat du - Enpresa Txiki eta Ertainak (3200, 3100, 1490, 1470, 1450, 1430, 1200R ereduak). Gailu horiei 2012 serie zaharraren eguneraketa dei daiteke (2200, 1180, 1140, 1120). Desberdintasun nagusiak ulertzeko, kontuan hartu beheko irudia:

(prezioak GPLn daude, BEZa eta laguntza teknikoa gabe)

Ikus dezakezunez, 2016 serieak errendimendua (SPU) nabarmen handitu du, eta prezioak gutxi gorabehera maila berean mantendu dira (3200 eredua izan ezik). Lerro berriak maketa bat ere badu 3100, baina oraindik ez ez dago jakinarazpenik eta Errusiara inportatzea debekatuta dago! Gogoratu hau!

SPU baten kostua berriro kalkulatzen badugu, orduan 1450 eredua da orekatuena. Jarraian, Check Point serie berria gertutik ikusiko dugu.

SMB gailuak ezartzeko eskemak

Irudian ikus daitekeenez, bi inplementazio-egoera nagusi daude SMB gailuetarako:

Pasabide modu lehenetsian. Kasu honetan, Check Point gailu perimetral gisa instalatzen da eta lokalean administratzen da.
Sukurtsaleko pasabidea. Kasu honetan, sukurtsalaren hardwarea zentralki kudeatzen da (Kudeaketa zerbitzaria erabiliz) egoitzatik.

Serierako 3000 и 1400 Modu bakoitzean ezaugarri batzuk daude. Jarraian ikusiko ditugu.

SMB serie 3000

Momentuz bi "burdina" daude - 3200 и 3100. Lehen esan bezala, 3100 oraindik ezin dira herrialdera inportatu. 3200-ari dagokionez, 2200 serie zaharraren ordezko bikaina da. Gailuak Gaiaren bertsio oso bat exekutatzen du (biak R77.30 eta R80.10). Gailua negozio txiki batean atebide nagusi gisa erabiltzen baduzu, honako errendimendu hau espero dezakezu:

Interneteko kanala - 50 Mbit;
Banda zabalera osoa - 300 Mbit;
Erabiltzaile kopurua - 200.

Ikus dezakezunez, kasu honetan gailuaren karga %47koa da eta hau tokiko kudeaketarekin gertatzen da, hau da. Bakarka konfigurazioa (autonomoari eta banatuari buruz gehiago Hemen). Esperientzia pertsonaletik esan dezaket tokiko kudeaketarekin ez dela gomendagarria %50eko karga gainditzea, izan ere... Kontrolarekin arazoak egon daitezke (moteldu egingo da).
Gailua adar-gailu gisa hartzen bada (hau da, kudeaketa zentralizatu bereizia duena), orduan adierazleak nabarmen handiagoak izango dira. Eta jadanik zona horia sar dezakezu dimentsionan (hau da, % 50 eta % 70 arteko kargarekin). Gailuaren fitxa ikus dezakezu Hemen.

SMB serie 1400

Serie honek hainbat gailu biltzen ditu aldi berean: 1490, 1470, 1450, 1430 (1120, 1140 eta 1180 zaharkituen ordezkapen logikoa).

Check Point modelo gazteenak izan arren, beharrezko funtzionalitate guztiak dituzte:

SMB gailuak HA kluster batean munta daitezke (Aktibo/Egonean);
Ia software blade guztiak eskuragarri daude (hardware "handietan" bezala);
lokalean zein zentralean kudeatu daiteke (Kudeaketa zerbitzari tradizionala erabiliz);
aldaketak daude WiFi, ADSL eta PoErekin;
3G modemak konekta ditzakezu;
Rack muntatzeko kitak eskuragarri daude.

Hala ere, merezi du abisua muga/ezaugarri batzuei buruz:

Gailuak Gaia akastuna du taula gainean, eta Gaia 77.20 Txertatuta. Muga hori gailuaren arkitekturari dagokio (ARM prozesadoreak erabiltzen dira). Tokiko kontrolaren kasuan (autonomoa), ezin izango duzu ohiko SmartConsole erabili. Horren ordez, web interfaze bat dago. Bideo honetan ikus dezakezu:

Adibideak 700 seriea hartzen du kontuan, baina printzipioz ez da Errusian saltzen.
Mehatxuak erauzteko funtzioak ez du funtzionatzen. Mehatxuen emulazioa soilik. Ikus dezakezue zer den Hemen
Ezinezkoa da kluster bat muntatzea Load Sharing moduan. Horiek. Bi hardware "merke" erosiz eta karga bien artean klusterrean banatzeak ez du funtzionatuko iruzur egitea.
Tokiko kudeaketarekin muga handiak daude HTTPS ikuskapenari dagokionez.
Artxiboen birusen aurkako bilaketak ez du funtzionatzen.
DLP funtziorik ez.

Azken puntuak dira beharbada askotan isiltzen diren murrizketa garrantzitsuenak. HTTPS osoa ikuskatzeko, Kudeaketa zerbitzari dedikatu tradizionala erabiltzera behartuta egongo zara. Kasu honetan, Gaia-ren bertsio osoa (ia osoa) duen atebide gisa kontrolatuko duzu gailua.

Gaia Embedded-en beste muga batzuk hemen aurki daitezke Hemen. Ziurtatu egiaztatzea erosketa erabakia hartu aurretik.

Adibidez, kontuan hartu bulego txiki bat parametro hauek dituena:

Interneteko kanala - 50 Mbit;
Banda zabalera osoa - 200 Mbit;
Erabiltzaile kopurua - 200;
Tokiko kudeaketa (Web interfazea).

Tamainatik ikus daitekeenez, 1490 modeloak arrakastaz aurre egiten dio zeregin honi %46ko kargarekin (gune berdetik irten gabe). Kudeaketa dedikatuarekin, 1470-ak zeregin horri aurre egingo dio.
1400 serieko gailuen fitxa teknikoa ikus daiteke Hemen.

1200R eredua

Eredu honi nekez deitu daiteke SMB. Hau dagoeneko irtenbide industrial bat da eta agian aparteko artikulu bat merezi du. Orain ez dugu eredu hau zehatz-mehatz aztertuko.

Webinar

SMB gailuei buruzko xehetasun gehiago gure aurreko web-mintegian aurki ditzakezu:

Findings

Nire ustez, SMB eredu berriak nahiko arrakastatsuak izan ziren. Gailuen errendimendua nabarmen handitu da prezio maila mantenduz. Ez nago prest gailuen kostu/merketasunari buruz hitz egiteko, zeren Kontzeptu hauek oso desberdinak dira enpresa ezberdinentzat.

Model 3200 Gomendatuko nieke gehieneko babes mailan interesa duten enpresa txikiei arrazoizko prezioan. Gainera, aukera ona da Gaia-ren bertsio osoarekin lan egiten ohituta daudenentzat. R80.10 bertsioa ere eskuragarri dago hemen. 3100-ren jakinarazpena jasotzen denean, prezio-etiketa pixka bat gehiago jaitsiko da. Aukera ezin hobea da adarretarako.

Serieko gailuak 1400 konpromiso ona dira eta prezio/kalitate erlaziorik onena dute (batez ere 1 SPU bakoitzeko prezioari dagokionez). Gailu hauek ezin hobeak dira aurrekontua duten sukurtsaletarako. Kudeaketa zentralizatua erabiliz, Gaia-ren bertsio osoa duten atebide arruntak bezalako gailuak kudea ditzakezu. Baina, berriro ere, ez ahaztu murrizketak, behin betiko ezagutu beharko zenukeena.

PS Eskerrak eman nahi nizkioke Alexey Matveev (RRC konpainia) materiala prestatzen laguntzeko.

Iturria: www.habr.com

Check Point SMB irtenbideak. Enpresa txiki eta sukurtsalentzako eredu berriak