چک پوینت سال 2019 را به سرعت با چند اعلامیه به طور همزمان آغاز کرد. غیرممکن است که در مورد همه چیز در یک مقاله صحبت کنیم، بنابراین بیایید با مهمترین چیز شروع کنیم -
بود - تبدیل شده است
ساده ترین راه برای درک تفاوت پلت فرم مقیاس پذیر جدید با 44000 خوب قدیمی است./64000 به تصویر زیر نگاه کنید:
تفاوت آشکار است.
پلت فرم Legacy Check Point 44000/64000
همانطور که در تصویر بالا مشاهده می شود، اولین گزینه یک پلت فرم ثابت (شاسی) است که می توان تعداد محدودی از "ماژول های تیغه" ویژه را در آن قرار داد.نقطه SGM را بررسی کنید). همه اینها متصل است ماژول سوئیچ امنیتی (SSM)، که ترافیک بین دروازه ها را متعادل می کند. تصویر زیر اجزای این پلتفرم را با جزئیات بیشتری نشان می دهد:
اگر دقیقاً بدانید که اکنون به چه عملکردی نیاز دارید و چقدر می تواند رشد کند، این یک پلت فرم عالی است. با این حال، به دلیل ضریب فرم ثابت (12 یا 6 تیغه)، شما در مقیاس پذیری بیشتر محدود هستید. علاوه بر این، شما مجبور هستید که به طور انحصاری از تیغه های SGM استفاده کنید، بدون اینکه قابلیت اتصال بالابرهای معمولی را داشته باشید، که دارای طیف وسیع تری از مدل ها هستند. با ظهور Maestro Hyperscale Network Security وضعیت به طور چشمگیری در حال تغییر است.
پلتفرم امنیتی شبکه جدید Check Point Maestro Hyperscale
Check Point Maestro برای اولین بار در 22 ژانویه در کنفرانس CPX در بانکوک معرفی شد. مشخصات اصلی را می توان در تصویر زیر مشاهده کرد:
همانطور که می بینید، مزیت اصلی Check Point Maestro، امکان استفاده از دروازه های معمولی (لوازم خانگی) برای بالانس کردن است. آن ها ما دیگر محدود به تیغه های SGM نیستیم. می توانید بار را بین هر دستگاهی از مدل 5600 (مدل های SMB و شاسی 44000) توزیع کنید./64000 پشتیبانی نمی شود). تصویر بالا شاخص های اصلی را نشان می دهد که هنگام استفاده از پلت فرم جدید می توان به آنها دست یافت. ما می توانیم در یک منبع محاسباتی ترکیب کنیم تا 31! دروازه. حالا فایروال شما ممکن است به شکل زیر باشد:
ارکستراتور فوق مقیاس بزرگ
من مطمئن هستم که بسیاری از مردم قبلاً پرسیده اند:این چه جور ارکستراست؟"خب، با من ملاقات کن. ارکستراتور فوق مقیاس بزرگ - این چیزی است که مسئول تعادل بار است. سیستم عامل نصب شده بر روی این دستگاه می باشد Gaia R80.20 SP. در حال حاضر دو مدل ارکستراتور وجود دارد - MHO-140 и MHO-170. ویژگی ها در تصویر زیر:
در نگاه اول ممکن است به نظر برسد که این یک سوئیچ معمولی است. در واقع، این سیستم "سوئیچ + متعادل کننده + سیستم مدیریت منابع" است. همه چیز در یک جعبه
دروازه ها به این ارکستراتورها متصل هستند. اگر متعادل کننده ها تحمل خطا داشته باشند، هر دروازه به هر ارکستراتور متصل می شود. برای اتصال، می توان از "اپتیک" (sfp+ / qsfp+ / qsfp28+) یا کابل DAC (مستقیم اتصال مس) استفاده کرد. در این مورد، طبیعتاً باید یک پیوند همگام سازی بین ارکستراتورها وجود داشته باشد:
در تصویر زیر نحوه توزیع پورت های این ارکستراتورها را مشاهده می کنید:
گروههای امنیتی
برای اینکه بار بین دروازه ها توزیع شود، این دروازه ها باید در همان Security Group باشند. گروه امنیتی این یک گروه منطقی از دستگاه ها است که به عنوان یک خوشه فعال/فعال عمل می کند. این گروه مستقل از سایر گروه های امنیتی عمل می کند. از دیدگاه سرور مدیریت، گروه امنیتی مانند یک دستگاه با یک آدرس IP به نظر می رسد.
در صورت لزوم، میتوانیم یک یا چند دروازه را به یک گروه امنیتی جداگانه منتقل کنیم و از این گروه برای مقاصد دیگر مانند یک فایروال جداگانه از نظر مدیریت استفاده کنیم. نمونه ای از استفاده در تصویر زیر نشان داده شده است:
محدودیت مهم، فقط دروازه های یکسان (مدل) را می توان در یک گروه امنیتی استفاده کرد. آن ها اگر می خواهید ظرفیت دروازه امنیتی خود را به صورت خطی افزایش دهید (که مجموعه ای از چندین دستگاه است)، باید دقیقاً همان دروازه ها را اضافه کنید. این محدودیت باید در نسخه های بعدی نرم افزار ناپدید شود.
در ویدیوی زیر می توانید مراحل ایجاد یک گروه امنیتی را مشاهده کنید. روش بصری است.
مجدداً، اگر اجزای Maestro را با پلت فرم شاسی مقایسه کنید، چیزی شبیه به تصویر زیر دریافت می کنید:
مزایای پلتفرم جدید چیست؟
در واقع مزایای زیادی هم از نظر فنی و هم از نظر اقتصادی وجود دارد. مهم ترین آنها را به اختصار شرح می دهم:
- ما عملاً در مقیاس بندی نامحدود هستیم. حداکثر 31 دروازه در یک گروه امنیتی.
- در صورت نیاز می توانیم دروازه ها را اضافه کنیم. حداقل مجموعه برای خرید یک ارکستراتور + دو دروازه است. نیازی به ارائه الگوهای "برای رشد" نیست.
- نکته مثبت دیگری نیز از نکته قبلی بر می آید. ما دیگر نیازی به تغییر دروازه هایی نداریم که دیگر قادر به مقابله با بار نیستند. قبلاً این مشکل با استفاده از روش تجارت حل شد - آنها سخت افزار قدیمی را تحویل دادند و موارد جدید را با تخفیف دریافت کردند. با چنین طرحی، "زیان" مالی اجتناب ناپذیر است. روش جدید پوسته ریزی این عامل را حذف می کند. شما نیازی به تحویل چیزی ندارید، فقط می توانید با کمک سخت افزار اضافی به افزایش بهره وری ادامه دهید.
- توانایی ترکیب منابع موجود برای توزیع بار. برای مثال، میتوانید تمام خوشههای خود را روی پلتفرم Maestro بکشید و بسته به بار، چندین گروه امنیتی را جمعآوری کنید.
بسته های امنیتی شبکه Maestro Hyperscale
در حال حاضر چندین گزینه برای خرید به اصطلاح باندل با پلتفرم Maestro وجود دارد. راه حل مبتنی بر دروازه های 23800، 6800 و 6500:
در این مورد، می توانید از دو نوع استاندارد تجهیزات انتخاب کنید:
- یک ارکستر و دو دروازه.
- یک ارکستر و سه دروازه.
دستگاهها 6500 и 6800 اینها جدیدترین مدل هایی هستند که اوایل امسال نیز معرفی شدند. اما در مقاله بعدی در مورد آنها با جزئیات بیشتری صحبت خواهیم کرد.
چه زمانی می توانم آن را بخرم؟
در اینجا پاسخ روشنی وجود ندارد. در حال حاضر هیچ اطلاعیه ای برای واردات این محلول ها به کشورمان وجود ندارد. به محض اینکه اطلاعات مربوط به زمان در دسترس قرار گرفت، ما بلافاصله در صفحات عمومی خود اعلامیه خواهیم کرد (
نتیجه
قطعا یک پلتفرم جدید
PS این مقاله با مشارکت تهیه شده است آناتولی مازوور - کارشناس پلتفرم مقیاس پذیر، فناوری های نرم افزار Check Point.
منبع: www.habr.com