به تازگی (در سال 2016)، این شرکت دستگاه های جدید خود (هم دروازه ها و هم سرورهای کنترلی) را ارائه کرد. تفاوت اصلی با خط قبلی افزایش قابل توجه بهره وری است.
در این مقاله به طور انحصاری بر روی مدل های پایین تر تمرکز خواهیم کرد. ما مزایای دستگاه های جدید و مشکلات احتمالی که همیشه مورد بحث قرار نمی گیرند را شرح خواهیم داد. ما همچنین برداشت های شخصی از استفاده از آنها را به اشتراک خواهیم گذاشت.
ترکیب نقطه را بررسی کنید
همانطور که در تصویر می بینید، Check Point دستگاه های خود را به سه دسته بزرگ تقسیم می کند:
- Enterprise و Data Center High End (مدل ها , )
- سرمایه گذاری (مدل ها )
- شرکت کوچک و متوسط (مدل ها , , , , , 1200R)
در این مورد، یکی از ویژگی های اصلی به اصطلاح است SPU - واحدهای قدرت امنیتی. این معیار اختصاصی Check Point است که عملکرد واقعی یک دستگاه را مشخص می کند. به عنوان مثال، اجازه دهید روش سنتی اندازه گیری عملکرد فایروال (Mbps) را با تکنیک "جدید" از Check Point (SPU) مقایسه کنیم.
تکنیک سنتی - توان عملیاتی فایروال
- اندازه گیری ها در شرایط آزمایشگاهی در ترافیک "مصنوعی" انجام می شود.
- عملکرد تنها عملکرد فایروال بدون ماژول های اضافی مانند IPS، Application Control و غیره ارزیابی می شود.
- تست معمولا با یک قانون فایروال انجام می شود.
روش چک پوینت - قدرت امنیتی
- اندازه گیری ترافیک واقعی کاربر
- عملکرد تمام عملکردها (دیوار آتش، IPS، کنترل برنامه، فیلتر URL و غیره) ارزیابی می شود.
- تست شده بر روی یک خط مشی استاندارد که شامل قوانین بسیاری است.
ابزار اندازهگیری ابزار Point را بررسی کنید
بنابراین، هنگام انتخاب یک مدل Check Point مناسب، بهتر است بر روی پارامتر تکیه کنید واحد برق امنیتی. در هر برگه اطلاعات دستگاه نشان داده شده است. شما نمی توانید SPU مناسب برای شبکه خود را به تنهایی محاسبه کنید. این کار فقط با کمک شریکی که به ابزار دسترسی دارد قابل انجام است ابزار اندازهگیری ابزار Point را بررسی کنید:
برای انتخاب راه حل بهینه، باید پارامترهای زیر را در نظر بگیرید:
- عرض کانال اینترنت؛
- مجموع توان عملیاتی دروازه (ممکن است با کانال اینترنت متفاوت باشد اگر مثلاً شبکه محلی را با استفاده از Check Point تقسیم بندی کرده باشید).
- تعداد کاربران در شبکه؛
- توابع مورد نیاز (فایروال، آنتی ویروس، آنتی ربات، کنترل برنامه، فیلتر URL، IPS، شبیه سازی تهدید و غیره).
همچنین تنظیمات ظریف تری وجود دارد که توضیح می دهد این تیغه ها برای چه ترافیکی اعمال می شوند:
پس از مشخص کردن تمام مشخصات، می توانید گزارشی در مورد دستگاه های مناسب دریافت کنید:
در اینجا می توانید SPU مورد نیاز (در مورد ما 72) و مورد توصیه شده (144) را ببینید. و همچنین خود مدل ها با شرح بار و "رزرو" آنها برای ترافیک و تیغه ها. هنگام انتخاب یک مدل، همیشه توصیه می شود که یک دستگاه را از منطقه سبز بگیرید (یعنی بارگذاری تا 50 درصد):
این تضمین می کند که هیچ مشکلی در زمان اوج بار یا افزایش برنامه ریزی شده در عرض کانال اینترنت وجود ندارد. هنگام انتخاب دستگاه، همیشه از شریک زندگی خود بخواهید که گزارش مشابهی را ارائه دهد. نمونه را می توان دانلود کرد .
قدیمی در مقابل جدید
با درک پارامتر اصلی مشخص کننده عملکرد دستگاه ها، می توانیم نگاهی دقیق تر به مدل های جدید برای مشاغل کوچک و متوسط بیندازیم. همانطور که در بالا ذکر شد، Check Point یک بخش کامل دارد - شرکت کوچک و متوسط (مدل های 3200، 3100، 1490، 1470، 1450، 1430، 1200R). این دستگاه ها را می توان آپدیت سری قدیمی 2012 (2200، 1180، 1140، 1120) نامید. برای درک تفاوت های اصلی، تصویر زیر را در نظر بگیرید:
(قیمت ها به GPL بدون احتساب مالیات بر ارزش افزوده و پشتیبانی فنی می باشد)
همانطور که می بینید، سری 2016 عملکرد (SPU) را به طور قابل توجهی افزایش داده است و قیمت ها تقریباً در همان سطح باقی مانده است (به استثنای مدل 3200). خط جدید شامل یک مدل نیز می شود 3100، اما هنوز نه هیچ اطلاعیه ای وجود ندارد و واردات به روسیه ممنوع است! این را به خاطر بسپار!
اگر هزینه یک SPU را دوباره محاسبه کنیم، مدل 1450 متعادل ترین است. در زیر نگاهی دقیق تر به سری جدید Check Point خواهیم داشت.
طرح هایی برای پیاده سازی دستگاه های SMB
همانطور که از شکل مشاهده می شود، دو سناریو اصلی پیاده سازی برای دستگاه های SMB وجود دارد:
- در حالت دروازه پیش فرض. در این حالت، Check Point به عنوان یک دستگاه محیطی نصب شده و به صورت محلی اداره می شود.
- دروازه شعبه. در این حالت سخت افزار شعبه به صورت مرکزی (با استفاده از سرور مدیریت) از دفتر مرکزی مدیریت می شود.
برای سریال и در هر حالت چند ویژگی وجود دارد. در زیر به آنها نگاه خواهیم کرد.
SMB سری 3000
در حال حاضر دو "تکه آهن" وجود دارد - 3200 и 3100. همانطور که قبلا گفته شد، هنوز 3100 نمی تواند به کشور وارد شود. در مورد 3200، این یک جایگزین عالی برای سری قدیمی 2200 است. این دستگاه یک نسخه کامل از Gaia (هر دو R77.30 و R80.10) را اجرا می کند. اگر از دستگاه به عنوان دروازه اصلی در یک تجارت کوچک استفاده می کنید، می توانید عملکرد زیر را انتظار داشته باشید:
- کانال اینترنت - 50 مگابیت؛
- پهنای باند کل - 300 مگابیت؛
- تعداد کاربران - 200.
همانطور که می بینید، بارگذاری دستگاه در این مورد 47٪ است و این با مدیریت محلی است، i.e. رایج پیکربندی (بیشتر در مورد مستقل و توزیع شده ). از تجربه شخصی می توانم بگویم که با مدیریت محلی، بیش از 50 درصد توصیه نمی شود زیرا ... ممکن است مشکلاتی در کنترل وجود داشته باشد (سرعت آن کاهش می یابد).
اگر دستگاه به عنوان یک دستگاه شعبه (یعنی با مدیریت متمرکز جداگانه) در نظر گرفته شود، شاخص ها به طور قابل توجهی بالاتر خواهند بود. و در حال حاضر می توانید در اندازه گیری وارد منطقه زرد شوید (یعنی با بار 50٪ تا 70٪). می توانید دیتاشیت دستگاه را مشاهده کنید .
SMB سری 1400
این سری شامل چندین دستگاه به طور همزمان است: 1490، 1470، 1450، 1430 (جایگزینی منطقی 1120، 1140 و 1180 قدیمی).
علیرغم این واقعیت که اینها جوانترین مدلهای Check Point هستند، آنها تمام عملکردهای لازم را دارند:
- دستگاه های SMB را می توان در یک خوشه HA (Active/Standby) مونتاژ کرد.
- تقریباً تمام تیغه های نرم افزاری در دسترس هستند (مانند قطعات سخت افزاری "بزرگ").
- را می توان به صورت محلی و مرکزی (با استفاده از یک سرور مدیریت سنتی) مدیریت کرد.
- تغییراتی در WiFi، ADSL و PoE وجود دارد.
- شما می توانید مودم های 3G را متصل کنید.
- کیت های نصب قفسه در دسترس هستند.
با این حال، در مورد برخی محدودیت ها/ویژگی ها باید هشدار داد:
- دستگاه دارای Gaia معیوب در هیئت مدیره است، و Gaia 77.20 تعبیه شده. این محدودیت به دلیل معماری دستگاه است (از پردازنده های ARM استفاده می شود). در صورت کنترل محلی (مستقل)، نمی توانید از SmartConsole معمولی استفاده کنید. در عوض، یک رابط وب وجود دارد. می توانید آن را در این ویدیو ببینید:
نمونه سری 700 را در نظر می گیرد، اما در اصل در روسیه فروخته نمی شود. - عملکرد استخراج تهدید کار نمی کند. فقط شبیه سازی تهدید. می توانید ببینید چه چیزی است
- جمع آوری یک خوشه در حالت اشتراک بار غیرممکن است. آن ها تقلب با خرید دو قطعه سخت افزار "ارزان" و توزیع بار در خوشه بین آنها کارساز نخواهد بود.
- با مدیریت محلی محدودیت های جدی در مورد بازرسی HTTPS وجود دارد.
- اسکن آنتی ویروس آرشیوها کار نمی کند.
- بدون عملکرد DLP.
آخرین نکات شاید مهم ترین محدودیت هایی هستند که اغلب مسکوت مانده اند. برای بازرسی کامل HTTPS، مجبور خواهید بود از یک سرور مدیریت اختصاصی سنتی استفاده کنید. در این صورت، دستگاه را به عنوان یک دروازه با نسخه کامل (تقریباً کامل) Gaia کنترل خواهید کرد.
سایر محدودیت های Gaia Embedded را می توانید در اینجا بیابید . قبل از تصمیم گیری برای خرید حتما آنها را بررسی کنید.
به عنوان مثال، یک دفتر کوچک با پارامترهای زیر را در نظر بگیرید:
- کانال اینترنت - 50 مگابیت؛
- پهنای باند کل - 200 مگابیت؛
- تعداد کاربران - 200;
- مدیریت محلی (رابط وب).
همانطور که از اندازه گیری مشخص است، مدل 1490 با بار 46٪ (بدون خروج از منطقه سبز) با موفقیت از عهده این کار بر می آید. با مدیریت اختصاصی، 1470 با این کار کنار خواهد آمد.
دیتاشیت دستگاه های سری 1400 قابل مشاهده است .
مدل 1200R
این مدل را به سختی می توان SMB نامید. این در حال حاضر یک راه حل صنعتی است و شاید سزاوار مقاله جداگانه باشد. اکنون این مدل را به طور جزئی در نظر نخواهیم گرفت.
کنفرانس آن لاین
جزئیات بیشتر در مورد دستگاه های SMB را می توانید در وبینار قبلی ما پیدا کنید:
یافته ها
به نظر من، مدل های جدید SMB کاملاً موفق بودند. عملکرد دستگاه ها با حفظ سطح قیمت به میزان قابل توجهی افزایش یافته است. من حاضر نیستم در مورد هزینه / ارزان بودن دستگاه ها صحبت کنم، زیرا این مفاهیم برای شرکت های مختلف بسیار متفاوت است.
مدل من آن را به شرکت های کوچکی که علاقه مند به حداکثر سطح حفاظت با قیمت مناسب هستند توصیه می کنم. به علاوه، این یک انتخاب خوب برای کسانی است که قبلاً به کار با نسخه کامل Gaia عادت کرده اند. نسخه R80.10 نیز در اینجا موجود است. هنگامی که اعلان برای 3100 دریافت می شود، برچسب قیمت کمی بیشتر کاهش می یابد. این یک گزینه ایده آل برای شاخه ها است.
دستگاه های سری مصالحه خوبی هستند و بهترین نسبت قیمت/کیفیت را دارند (مخصوصاً از نظر قیمت هر 1 SPU). این دستگاه ها برای شعبه هایی با بودجه کم عالی هستند. با استفاده از مدیریت متمرکز، میتوانید دستگاههایی مانند دروازههای معمولی را با نسخه کامل Gaia مدیریت کنید. اما باز هم فراموش نکنید ، که حتما باید با آن آشنا شوید.
PS من می خواهم از الکسی ماتویف تشکر کنم () برای کمک در تهیه مطالب.
منبع: www.habr.com