ProHoster > Blog > administration > Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales

Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales

Relativement récemment (en 2016), l'entreprise Check Point a présenté ses nouveaux appareils (passerelles et serveurs de contrôle). La principale différence par rapport à la ligne précédente est une productivité considérablement accrue.

Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales

Dans cet article, nous nous concentrerons exclusivement sur les modèles inférieurs. Nous décrirons les avantages des nouveaux appareils et les pièges possibles qui ne sont pas toujours évoqués. Nous partagerons également des impressions personnelles sur leur utilisation.

Gamme Check Point

Comme vous pouvez le voir sur l'image, Check Point divise ses appareils en trois grandes catégories :

Dans ce cas, l'une des principales caractéristiques est ce qu'on appelle SPU - Unités d'alimentation de sécurité. Il s'agit de la mesure exclusive de Check Point qui caractérise les performances réelles d'un appareil. A titre d'exemple, comparons la méthode traditionnelle de mesure des performances du pare-feu (Mbps) avec la « nouvelle » technique de Check Point (SPU).

Technique traditionnelle - Débit du pare-feu

  • Les mesures sont réalisées en conditions de laboratoire sur du trafic « artificiel ».
  • Seules les performances de la fonction Pare-feu sont évaluées, sans modules supplémentaires tels que IPS, Application Control, etc.
  • Les tests sont généralement effectués avec une seule règle de pare-feu.

Méthodologie Check Point - Puissance de sécurité

  • Mesures sur le trafic réel des utilisateurs.
  • Les performances de toutes les fonctionnalités (Firewall, IPS, Application Control, filtrage d'URL, etc.) sont évaluées.
  • Testé sur une politique standard qui comprend de nombreuses règles.

Outil de dimensionnement des appareils Check Point

Ainsi, lors du choix d'un modèle Check Point approprié, il est préférable de se fier au paramètre Unité d'alimentation de sécurité. Il est indiqué dans n'importe quelle fiche technique de l'appareil. Vous ne pourrez pas calculer vous-même le SPU approprié pour votre réseau. Cela ne peut se faire qu’avec l’aide d’un partenaire ayant accès à l’outil Outil de dimensionnement des appareils Check Point:

Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales

Pour sélectionner la solution optimale, vous devez prendre en compte des paramètres tels que :

  • Largeur du canal Internet ;
  • Le débit total de la passerelle (peut différer du canal Internet si, par exemple, vous avez segmenté le réseau local à l'aide de Check Point) ;
  • Nombre d'utilisateurs sur le réseau ;
  • Fonctions requises (Pare-feu, Anti-Virus, Anti-Bot, Contrôle des applications, Filtrage d'URL, IPS, Émulation des menaces, etc.).

Il existe également des paramètres plus subtils qui décrivent le trafic auquel ces lames seront appliquées :

Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales

Après avoir précisé toutes les caractéristiques, vous pouvez recevoir un rapport décrivant les appareils adaptés :

Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales

Ici vous pouvez voir le SPU requis (72 dans notre cas) et celui recommandé (144). Et aussi les modèles eux-mêmes avec une description de leur charge et de leur « réserve » pour le trafic et les pales. Lors du choix d'un modèle, il est toujours recommandé de prendre un appareil de la zone verte (c'est-à-dire charger jusqu'à 50 %) :

Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales

Cela garantit qu'il n'y aura aucun problème lors des pics de charge ou des augmentations planifiées de la largeur du canal Internet. Lorsque vous choisissez un appareil, demandez toujours à votre partenaire de fournir un rapport similaire. L'exemple peut être téléchargé ici.

Ancien vs Nouveau

Après avoir compris le principal paramètre caractérisant les performances des appareils, nous pouvons examiner de plus près les nouveaux modèles destinés aux petites et moyennes entreprises. Comme mentionné ci-dessus, Check Point a un segment entier - Petites et moyennes entreprises (modèles 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Ces appareils peuvent être qualifiés de mise à jour de l'ancienne série 2012 (2200, 1180, 1140, 1120). Pour comprendre les principales différences, considérez l’image ci-dessous :

Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales
(les prix sont en GPL, hors TVA et hors support technique)

Comme vous pouvez le constater, la série 2016 a considérablement augmenté les performances (SPU) et les prix sont restés à peu près au même niveau (à l'exception du modèle 3200). La nouvelle ligne comprend également un modèle 3100, mais pas encore il n'y a aucune notification et l'importation en Russie est interdite ! Souviens-toi de ça!

Si l'on recalcule le coût d'un SPU, alors le modèle 1450 est le plus équilibré. Ci-dessous, nous examinerons de plus près la nouvelle série Check Point.

Schémas de mise en œuvre des appareils PME

Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales

Comme le montre la figure, il existe deux principaux scénarios de mise en œuvre pour les appareils PME :

  1. En mode passerelle par défaut. Dans ce cas, Check Point est installé en tant que périphérique périmétrique et administré localement.
  2. Passerelle de succursale. Dans ce cas, le matériel de l'agence est géré de manière centralisée (à l'aide du serveur de gestion) depuis le siège social.

Pour les séries 3000 и 1400 Il existe certaines fonctionnalités dans chaque mode. Nous les examinerons ci-dessous.

PME série 3000

Il existe actuellement deux "morceaux de fer" - 3200 и 3100. Comme indiqué précédemment, 3100 3200 ne peuvent pas encore être importés dans le pays. Quant au 2200, il constitue un excellent remplacement pour l'ancienne série 77.30. L'appareil exécute une version à part entière de Gaia (à la fois R80.10 et RXNUMX). Si vous utilisez l'appareil comme passerelle principale dans une petite entreprise, vous pouvez vous attendre aux performances suivantes :

  1. Canal Internet - 50 Mbits ;
  2. Bande passante totale - 300 Mbits ;
  3. Nombre d'utilisateurs - 200.

Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales

Comme vous pouvez le constater, la charge de l'appareil dans ce cas est de 47 % et ceci avec une gestion locale, c'est-à-dire Standalone configuration (en savoir plus sur les applications autonomes et distribuées) ici). Par expérience personnelle, je peux dire qu'avec la gestion locale, il n'est pas recommandé de dépasser la charge de 50%, car... Il peut y avoir des problèmes de contrôle (cela va ralentir).
Si l'appareil est considéré comme un appareil de branche (c'est-à-dire avec une gestion centralisée séparée), les indicateurs seront alors nettement plus élevés. Et vous pouvez déjà entrer dans la zone jaune en dimensionnement (c'est-à-dire avec une charge de 50% à 70%). Vous pouvez consulter la fiche technique de l'appareil ici.

PME série 1400

Cette série comprend plusieurs appareils à la fois : 1490, 1470, 1450, 1430 (remplacement logique des obsolètes 1120, 1140 et 1180).

Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales

Bien qu'il s'agisse des modèles Check Point les plus récents, ils disposent de toutes les fonctionnalités nécessaires :

  • Les appareils SMB peuvent être assemblés dans un cluster HA (actif/veille) ;
  • Presque toutes les lames logicielles sont disponibles (comme sur les « gros » matériels) ;
  • peut être géré à la fois localement et de manière centralisée (à l'aide d'un serveur de gestion traditionnel) ;
  • il existe des modifications avec WiFi, ADSL et PoE ;
  • vous pouvez connecter des modems 3G ;
  • Des kits de montage en rack sont disponibles.

Cependant, il convient d'avertir de certaines limitations/fonctionnalités :

  • L'appareil a un Gaia défectueux à bord, et Gaia 77.20 intégré. Cette limitation est due à l'architecture de l'appareil (des processeurs ARM sont utilisés). En cas de contrôle local (autonome), vous ne pourrez pas utiliser la SmartConsole habituelle. Au lieu de cela, il existe une interface Web. Vous pouvez le voir dans cette vidéo :


    L'exemple considère la série 700, mais en principe elle n'est pas vendue en Russie.
  • La fonction d’extraction des menaces ne fonctionne pas. Émulation des menaces uniquement. Vous pouvez voir ce que c'est ici
  • Il est impossible d'assembler un cluster en mode Load Sharing. Ceux. tricher en achetant deux éléments matériels « bon marché » et en répartissant la charge du cluster entre eux ne fonctionnera pas.
  • Avec la gestion locale, il existe de sérieuses restrictions concernant l'inspection HTTPS.
  • L'analyse antivirus des archives ne fonctionne pas.
  • Pas de fonction DLP.

Ces derniers points constituent peut-être les restrictions les plus importantes qui sont souvent passées sous silence. Pour une inspection HTTPS complète, vous serez obligé d’utiliser un serveur de gestion dédié traditionnel. Dans ce cas, vous contrôlerez l'appareil comme une passerelle avec une version complète (presque complète) de Gaia.

D'autres restrictions de Gaia Embedded peuvent être trouvées ici ici. Assurez-vous de les vérifier avant de prendre une décision d’achat.

Par exemple, considérons un petit bureau avec les paramètres suivants :

  • Canal Internet - 50 Mbits ;
  • Bande passante totale - 200 Mbits ;
  • Nombre d'utilisateurs - 200 ;
  • Gestion locale (interface Web).

Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales

Comme le montrent les dimensions, le modèle 1490 s'acquitte avec succès de cette tâche avec une charge de 46 % (sans sortir de la zone verte). Avec une gestion dédiée, le 1470 fera face à cette tâche.
La fiche technique des appareils de la série 1400 peut être consultée ici.

Modèle 1200R

Solutions Check Point pour PME. Nouveaux modèles pour les petites entreprises et les succursales

Ce modèle peut difficilement être qualifié de PME. Il s’agit déjà d’une solution industrielle et mérite peut-être un article à part. Nous n'examinerons pas ce modèle en détail.

Webinar

Vous trouverez plus de détails sur les appareils PME dans notre précédent webinaire :

résultats

À mon avis, les nouveaux modèles PME se sont avérés assez réussis. Les performances des appareils ont été considérablement augmentées tout en maintenant le niveau de prix. Je ne suis pas prêt à parler du coût élevé/bon marché des appareils, car Ces concepts sont très différents selon les entreprises.

Modèle 3200 Je le recommanderais aux petites entreprises qui souhaitent bénéficier d’un niveau de protection maximal à un prix raisonnable. De plus, c'est un bon choix pour ceux qui sont déjà habitués à travailler avec la version complète de Gaia. La version R80.10 est également disponible ici. Lorsque la notification pour 3100 est reçue, le prix baissera un peu plus. C'est une option idéale pour les succursales.

Appareils de série 1400 sont un bon compromis et ont le meilleur rapport qualité/prix (notamment en termes de prix par 1 SPU). Ces appareils sont parfaits pour les succursales à petit budget. Grâce à la gestion centralisée, vous pouvez gérer des appareils comme des passerelles classiques avec une version complète de Gaia. Mais encore une fois, n'oubliez pas restrictions, avec lequel vous devez absolument vous familiariser.

PS Je voudrais remercier Alexey Matveev (Société RRC) pour obtenir de l'aide dans la préparation du matériel.

Source: habr.com

Ajouter un commentaire