ProHoster > وبلاگ > اداره > 2. موارد استفاده معمول برای Check Point Maestro

2. موارد استفاده معمول برای Check Point Maestro

2. موارد استفاده معمول برای Check Point Maestro

اخیراً، Check Point یک پلتفرم مقیاس پذیر جدید ارائه کرده است معلم. ما قبلاً یک مقاله کامل در مورد آن منتشر کرده ایم این چیست و چگونه کار میکند. به طور خلاصه، این امکان را به شما می دهد تا با ترکیب چندین دستگاه و متعادل کردن بار بین آنها، عملکرد دروازه امنیتی را تقریباً به صورت خطی افزایش دهید. با کمال تعجب، هنوز این افسانه وجود دارد که این پلت فرم مقیاس پذیر فقط برای مراکز داده بزرگ یا شبکه های غول پیکر مناسب است. این مطلقا درست نیست.

Check Point Maestro برای چندین دسته از کاربران به طور همزمان توسعه داده شد (ما کمی بعد به آنها خواهیم پرداخت)، از جمله مشاغل متوسط. در این سری کوتاه از مقالات سعی خواهم کرد تامل کنم مزایای فنی و اقتصادی Check Point Maestro برای سازمان های متوسط ​​(از 500 کاربر) و اینکه چرا این گزینه ممکن است بهتر از یک کلاستر کلاسیک باشد..

مخاطب هدف Maestro را بررسی کنید

ابتدا، بیایید به بخش های کاربری که Check Point Maestro برای آنها طراحی شده است نگاه کنیم. فقط 4 مورد از آنها وجود دارد:

1. شرکت هایی که فاقد قابلیت شاسی بلند بودند. Check Point Maestro اولین پلت فرم مقیاس پذیر Check Point نیست. قبلاً نوشته‌ایم که قبلاً مدل‌هایی مانند 64000 و 44000 وجود داشت. اگرچه آنها عملکرد عالی داشتند، اما هنوز شرکت‌هایی وجود داشتند که این برای آنها کافی نبود. استاد این اشکال را برطرف می کند، زیرا ... به شما امکان می دهد تا 31 دستگاه را در یک کلاستر با عملکرد بالا جمع آوری کنید. در همان زمان، می توانید یک خوشه از دستگاه های رده بالا (23900، 26000) جمع آوری کنید، و در نتیجه به توان عملیاتی عظیمی دست یابید.

2. موارد استفاده معمول برای Check Point Maestro

در واقع در زمینه درگاه های امنیتی، چک پوینت در حال حاضر تنها شرکتی است که چنین قابلیتی را پیاده سازی می کند.

2. شرکت هایی که می خواهند بتوانند سخت افزار خود را انتخاب کنند. یکی از معایب پلتفرم های مقیاس پذیر قدیمی نیاز به استفاده از "ماژول های تیغه" کاملاً تعریف شده (Check Point SGM) است. پلتفرم جدید Check Point Maestro به شما امکان می دهد از تعداد زیادی دستگاه مختلف استفاده کنید. شما می توانید هر دو مدل را از بخش میانی (5600، 5800، 5900، 6500، 6800) و از بخش High End (سری 15000، سری 23000، سری 26000) انتخاب کنید. علاوه بر این، بسته به وظایف، می توانید آنها را ترکیب کنید.

2. موارد استفاده معمول برای Check Point Maestro

این از نقطه نظر استفاده بهینه از منابع بسیار راحت است. شما می توانید با انتخاب مدل مناسب فقط عملکرد مورد نیاز خود را خریداری کنید.

3. شرکت هایی که شاسی برای آنها زیاد است، اما هنوز مقیاس پذیری مورد نیاز است. یکی دیگر از "مضرات" پلت فرم های قدیمی مقیاس پذیر (64000، 44000) آستانه ورود بالا (از نقطه نظر اقتصادی) بود. برای مدت طولانی، پلتفرم‌های مقیاس‌پذیر فقط برای کسب‌وکارهای بزرگ با بودجه‌های «خوب» فناوری اطلاعات در دسترس بودند. با ظهور Check Point Maestro همه چیز تغییر کرده است. هزینه حداقل بسته نرم افزاری (ارکستراتور + دو دروازه) با یک خوشه کلاسیک فعال / آماده به کار قابل مقایسه (و گاهی کمتر) است. آن ها آستانه ورود به طور قابل توجهی کاهش یافته است. هنگام انتخاب یک راه حل، یک شرکت می تواند بلافاصله یک معماری مقیاس پذیر ایجاد کند، بدون اینکه برای افزایش احتمالی بعدی نیازها هزینه اضافی بپردازد. آیا یک سال پس از معرفی Check Point Maestro کاربران بیشتری وجود دارد؟ شما فقط یک یا دو گیت‌وی اضافه می‌کنید، بدون اینکه هیچ جایگزینی برای دروازه‌های موجود داشته باشید. شما حتی نیازی به تغییر توپولوژی ندارید. به سادگی دروازه های جدید را به ارکستراتور متصل کنید و تنها با چند کلیک تنظیمات را روی آنها اعمال کنید.

2. موارد استفاده معمول برای Check Point Maestro

4. شرکت هایی که می خواهند از دستگاه های موجود استفاده بهینه کنند. من فکر می کنم بسیاری از مردم با روش Trade-In آشنا هستند. زمانی که عملکرد دستگاه های موجود دیگر کافی نیست و سخت افزار باید برای رفع نیازهای فعلی به روز شود. یک روش کاملا گران قیمت به علاوه، اغلب اوقات شرایطی پیش می‌آید که یک مشتری چندین گروه Check Point برای وظایف مختلف دارد. به عنوان مثال، یک خوشه برای حفاظت محیطی، یک خوشه برای دسترسی از راه دور (RA VPN)، یک خوشه برای VSX و غیره. علاوه بر این، یک خوشه ممکن است منابع کافی نداشته باشد، در حالی که خوشه دیگر دارای فراوانی از آنها باشد. Check Maestro یک فرصت عالی برای بهینه سازی استفاده از این منابع با توزیع پویا بار بین آنها است.

2. موارد استفاده معمول برای Check Point Maestro

آن ها شما مزایای زیر را دریافت می کنید:

  • نیازی به "دور انداختن" سخت افزارهای موجود نیست. می توانید یک یا دو دروازه اضافی بخرید یا ...
  • برای استفاده بهینه تر از منابع، تعادل بار پویا را بین سایر دروازه های موجود پیکربندی کنید. اگر بار روی دروازه محیطی به شدت افزایش یابد، ارکستراتور قادر خواهد بود از منابع "بی حوصله" دروازه های دسترسی از راه دور و بالعکس استفاده کند. این به صاف کردن پیک های بار فصلی (یا موقت) کمک می کند.

همانطور که احتمالا متوجه شده اید، دو بخش آخر به طور خاص به مشاغل متوسط ​​مربوط می شود، که اکنون می توانند از پلتفرم های امنیتی مقیاس پذیر نیز استفاده کنند. با این حال، ممکن است یک سوال منطقی مطرح شود:چرا Check Point Maestro بهتر از یک کلاستر معمولی است؟"ما سعی خواهیم کرد به این سوال پاسخ دهیم.

کلاستر کلاسیک در مقابل Check Point Maestro

اگر در مورد کلاستر Check Point صحبت کنیم، دو حالت عملیاتی پشتیبانی می شود: در دسترس بودن بالا (به عنوان مثال فعال / آماده به کار) و اشتراک گذاری بار (به عنوان مثال فعال / فعال). ما به طور خلاصه معنای کار و همچنین مزایا و معایب آنها را شرح خواهیم داد.

در دسترس بودن بالا (فعال/آماده به کار)

همانطور که از نام آن پیداست، در این حالت عملیاتی، یک گره تمام ترافیک را از خود عبور می دهد و گره دوم در حالت آماده به کار است و اگر گره فعال شروع به بروز هر گونه مشکلی کند، ترافیک را دریافت می کند.
مزایا:

  • پایدارترین حالت؛
  • مکانیسم اختصاصی SecureXL برای سرعت بخشیدن به پردازش ترافیک پشتیبانی می شود.
  • اگر گره فعال شکست بخورد، گره دوم تضمین می شود که می تواند تمام ترافیک را "هضم" کند (زیرا دقیقاً یکسان است).

منفی:
در واقع، تنها یک منهای وجود دارد - یک گره کاملاً بیکار است. به نوبه خود، به همین دلیل، ما مجبور به خرید سخت افزار قدرتمندتر هستیم تا بتواند به تنهایی از پس ترافیک برآید.

2. موارد استفاده معمول برای Check Point Maestro

البته، حالت HA از Load Sharing قابل اعتمادتر است، اما بهینه سازی منابع چیزهای زیادی را باقی می گذارد.

اشتراک گذاری بار (فعال/فعال)

در این حالت، تمام گره های خوشه، ترافیک را پردازش می کنند. می توانید حداکثر 8 دستگاه را در چنین خوشه ای ترکیب کنید (بیش از 4 توصیه نمی شود).
مزایا:

  • شما می توانید بار را بین گره ها توزیع کنید، که به دستگاه های کمتر قدرتمندی نیاز دارد.
  • امکان مقیاس بندی صاف (افزودن تا 8 گره به خوشه).

منفی:

  • به اندازه کافی عجیب، جوانب مثبت بلافاصله به منفی تبدیل می شوند. آنها دوست دارند از حالت اشتراک بار استفاده کنند حتی زمانی که شرکت فقط دو گره دارد. برای صرفه جویی در پول، آنها دستگاه هایی را خریداری می کنند که هر یک از آنها 40-50٪ بارگیری می شود. و به نظر می رسد همه چیز خوب است. اما اگر یک گره از کار بیفتد، وضعیتی دریافت می کنیم که کل بار به گره باقی مانده منتقل می شود، که به سادگی نمی تواند با آن مقابله کند. در نتیجه، هیچ گونه تحمل خطا در چنین طرحی وجود ندارد.
    2. موارد استفاده معمول برای Check Point Maestro
  • به این یک دسته از محدودیت های اشتراک گذاری بار اضافه کنید (sk101539). و مهمترین محدودیت این است که SecureXL پشتیبانی نمی شود، مکانیزمی که به طور قابل توجهی پردازش ترافیک را سرعت می بخشد.
  • در مورد مقیاس‌بندی با افزودن گره‌های جدید به خوشه، متأسفانه Load Sharing در اینجا ایده‌آل نیست. اگر بیش از 4 دستگاه به خوشه اضافه شود، عملکرد شروع می شود سقوط چشمگیر.

با توجه به دو معایب اول، برای پیاده سازی تحمل خطا در هنگام استفاده از دو گره، ما همچنین مجبور به خرید سخت افزار پربازده هستیم تا بتواند ترافیک را در شرایط بحرانی "هضم" کند. در نتیجه هیچ سود اقتصادی نداریم اما مبلغ زیادی می گیریم محدودیت های. علاوه بر این، شایان ذکر است که از نسخه R80.20، حالت Load Sharing پشتیبانی نمی شود. این امر کاربران را از به روز رسانی های مورد نیاز محدود می کند. هنوز مشخص نیست که آیا اشتراک گذاری بار در نسخه های جدیدتر پشتیبانی می شود یا خیر.

نقطه Maestro را به عنوان جایگزین بررسی کنید

از نقطه نظر خوشه‌ای، Check Point Maestro از مزایای اصلی حالت‌های High Availability و Load Sharing استفاده کرد:

  • دروازه های متصل به ارکستراتور می توانند از SecureXL استفاده کنند که حداکثر سرعت پردازش ترافیک را تضمین می کند. هیچ محدودیت دیگری در اشتراک بار وجود ندارد.
  • ترافیک بین دروازه ها در یک گروه امنیتی (یک دروازه منطقی متشکل از چندین درگاه فیزیکی) توزیع می شود. به لطف این، می‌توانیم دستگاه‌های کم‌بازده را نصب کنیم، زیرا مانند حالت دسترسی بالا، دیگر دروازه‌های بی‌کار نداریم. در همان زمان، قدرت را می توان تقریباً به صورت خطی، بدون تلفات جدی مانند حالت اشتراک بار (جزئیات بیشتر در آینده) افزایش داد.

همه اینها عالی است، اما اجازه دهید به دو مثال خاص نگاه کنیم.

به عنوان مثال №1

اجازه دهید شرکت X قصد داشته باشد مجموعه ای از دروازه ها را در محیط شبکه نصب کند. آنها قبلاً با تمام محدودیت های Load Sharing (که برای آنها غیرقابل قبول است) آشنا شده اند و به طور انحصاری حالت High Availability را در نظر گرفته اند. بعد از سایز بندی معلوم می شود که گیت وی 6800 برای آنها مناسب است که نباید بیش از 50 درصد بارگذاری شود (برای داشتن حداقل ذخیره عملکرد). از آنجایی که این یک خوشه خواهد بود، شما باید یک دستگاه دوم بخرید که به سادگی هوا را در حالت آماده به کار "دود می کند". این یک دودخانه بسیار گران است.
اما یک جایگزین وجود دارد. یک بسته از ارکستراتور و سه دروازه 6500 بگیرید در این صورت ترافیک بین هر سه دستگاه توزیع می شود. اگر به مشخصات این دو مدل نگاه کنید، می بینید که سه گیت وی 6500 از یک 6800 قدرتمندتر هستند.

2. موارد استفاده معمول برای Check Point Maestro

بنابراین، هنگام انتخاب Check Point Maestro، شرکت X مزایای زیر را دریافت می کند:

  • این شرکت بلافاصله یک پلت فرم مقیاس پذیر ایجاد می کند. افزایش بعدی در عملکرد به سادگی به افزودن 6500 قطعه سخت افزاری دیگر منجر می شود. چه چیزی می تواند ساده تر باشد؟
  • راه حل هنوز هم عیب‌پذیر است، زیرا اگر یک گره از کار بیفتد، دو گره باقی مانده قادر خواهند بود با بار مقابله کنند.
  • یک مزیت به همان اندازه مهم و شگفت‌انگیز این است که ارزان‌تر است! متأسفانه، من نمی توانم قیمت ها را به صورت عمومی ارسال کنم، اما اگر علاقه مند هستید، می توانید برای محاسبات با ما تماس بگیرید

به عنوان مثال №2

اجازه دهید شرکت Y در حال حاضر یک خوشه HA از 6500 مدل داشته باشد. گره فعال در 85٪ بارگذاری می شود که در زمان اوج بار منجر به ضرر در ترافیک مولد می شود. به نظر می رسد راه حل منطقی مشکل به روز رسانی سخت افزار است. مدل بعدی 6800. یعنی. شرکت باید از طریق برنامه Trade-In دروازه ها را بازگرداند و دو دستگاه جدید (گران تر) خریداری کند.
اما یک گزینه جایگزین وجود دارد. یک ارکستراتور و یک نود دیگر دقیقاً مشابه بخرید (6500). دسته ای از سه دستگاه را جمع آوری کنید و این 85 درصد بار را در سه دروازه "گسترش دهید". در نتیجه، حاشیه عملکرد بسیار زیادی دریافت خواهید کرد (سه دستگاه به طور متوسط ​​تنها با 30٪ بارگذاری می شوند). حتی اگر یکی از سه گره از بین برود، دو گره باقی مانده همچنان با بار متوسط ​​45 درصد با ترافیک کنار می آیند. علاوه بر این، برای بارهای اوج، یک خوشه از سه دروازه فعال 6500 قدرتمندتر از یک دروازه 6800 است که در خوشه HA (یعنی فعال / آماده به کار) قرار دارد. علاوه بر این، اگر بعد از یک یا دو سال نیازهای شرکت Y دوباره افزایش یابد، تنها کاری که آنها باید انجام دهند این است که یک یا دو 6500 گره دیگر اضافه کنند. من فکر می کنم سود اقتصادی در اینجا آشکار است.

نتیجه

بله، Check Point Maestro راه حلی برای SMB نیست. اما حتی یک کسب و کار متوسط ​​می تواند از قبل به این پلت فرم فکر کند و حداقل سعی کند بازده اقتصادی را محاسبه کند. اگر متوجه شوید که پلتفرم های مقیاس پذیر می توانند سودآورتر از یک کلاستر کلاسیک باشند، شگفت زده خواهید شد. در عین حال، مزایای نه تنها اقتصادی، بلکه فنی نیز وجود دارد. با این حال، در مقاله بعدی در مورد آنها صحبت خواهیم کرد، جایی که، علاوه بر ترفندهای فنی، سعی خواهم کرد چندین مورد معمولی (توپولوژی، سناریو) را نشان دهم.

شما همچنین می توانید در صفحات عمومی ما مشترک شوید (تلگرام, فیس بوک, VK, وبلاگ راه حل TS، جایی که می توانید ظهور مواد جدید را در Check Point و سایر محصولات امنیتی دنبال کنید.

منبع: www.habr.com

اضافه کردن نظر