Check Point begon 2019 frij fluch troch ferskate oankundigingen tagelyk te meitsjen. It is ûnmooglik om oer alles yn ien artikel te praten, dus litte wy begjinne mei it wichtichste ding - . Maestro is in nij scalable platfoarm wêrmei jo te fergrutsjen de "krêft" fan de feiligens poarte nei "ûnfatsoenlike" nûmers en hast lineêr. Dit wurdt natuerlik berikt troch de lading te balansearjen tusken yndividuele poarten dy't wurkje yn in kluster as ien entiteit. Immen kin sizze - "Was! Der binne al 44000 blêdplatfoarms/64000". Maestro is lykwols in folslein oare saak. Yn dit artikel sil ik koart besykje út te lizzen wat it is, hoe't it wurket en hoe't dizze technology sil helpe bewarje op netwurk perimeter beskerming.
Wie - Is wurden
De maklikste manier om te begripen is hoe't it nije skalberbere platfoarm ferskilt fan 'e goede âlde 44000/64000 is sjoch nei de ôfbylding hjirûnder:
It ferskil is dúdlik.
Legacy Check Point 44000 platfoarm/64000
Lykas te sjen is út 'e foto hjirboppe, is de earste opsje in fêst platfoarm (chassis), wêryn in beheind oantal spesjale "blade modules" kinne wurde ynfoege (Kontrolearje Point SGM). Dit alles is ferbûn mei Feiligens Switch Module (SSM), dy't ferkear tusken poarten balansearret. De ôfbylding hjirûnder lit de komponinten fan dit platfoarm yn mear detail sjen:
Dit is in poerbêst platfoarm as jo krekt witte hokker prestaasjes jo no nedich binne en hoefolle it kin groeie. Lykwols, troch de fêste foarm faktor (12 of 6 blêden), Jo binne beheind yn fierdere scalability. Derneist binne jo twongen om allinich SGM-blêden te brûken, sûnder de mooglikheid om konvinsjonele uplines te ferbinen, dy't in folle breder oanbod fan modellen hawwe. Mei de komst Maestro Hyperscale Network Security de situaasje feroaret dramatysk.
Nij Check Point Maestro Hyperscale Network Security Platform
Check Point Maestro waard foar it earst yntrodusearre op 22 jannewaris op 'e CPX-konferinsje yn Bangkok. De wichtichste skaaimerken kinne sjoen wurde yn de foto hjirûnder:
Sa't jo sjen kinne, is it wichtichste foardiel fan Check Point Maestro de mooglikheid om reguliere poarten (apparaten) te brûken foar balâns. Dy. Wy binne net langer beheind ta SGM blêden. Jo kinne de lading fersprieden tusken alle apparaten fanôf it 5600-model (SMB-modellen en Chassis 44000)/64000 wurde net stipe). De foto hjirboppe toant de wichtichste yndikatoaren dy't kinne wurde berikt by it brûken fan it nije platfoarm. Wy kinne kombinearje yn ien komputerboarne oant 31! poarte. No kin jo firewall der sa útsjen:
Maestro Hyperscale Orchestrator
Ik bin der wis fan dat in protte minsken al frege hawwe: "Wat foar orkestrator is dit?"No, moetsje my. Maestro Hyperscale Orchestrator - it is dit ding dat ferantwurdlik is foar load balancing. It bestjoeringssysteem ynstalleare op dit apparaat is Gaia R80.20 SP. D'r binne op it stuit twa modellen fan Orchestrators - MHO-140 и MHO-170. Funksjes yn 'e foto hjirûnder:
Op it earste each kin it lykje dat dit in gewoane switch is. Yn feite is it "switch + balancer + boarnebehearsysteem." Alles yn ien doaze.
Gateways binne ferbûn mei dizze Orchestrators. As de balancers fouttolerant binne, dan is elke poarte ferbûn mei elke orkestrator. Foar ferbining kin "optyk" (sfp+ / qsfp+ / qsfp28+) of DAC-kabel (Direct Attach Copper) brûkt wurde. Yn dit gefal moat der fansels in syngronisaasjeferbining wêze tusken de orkestrators:
Op de foto hjirûnder kinne jo sjen hoe't de havens fan dizze orkestrators binne ferdield:
Feiligensgroepen
Om de lading te fersprieden tusken poarten, moatte dizze poarten yn deselde Feiligensgroep wêze. Feiligensgroep it is in logyske groep apparaten dy't funksjonearret as in aktyf / aktyf kluster. Dizze groep funksjonearret ûnôfhinklik fan oare Feiligensgroepen. Ut it eachpunt fan 'e behearserver sjocht de Feiligensgroep as ien apparaat mei ien IP-adres.
As it nedich is, kinne wy ien of mear poarten ferpleatse nei in aparte Feiligensgroep en dizze groep brûke foar oare doelen, lykas in aparte brânmuorre út in behearspunt. In foarbyld fan gebrûk wurdt werjûn yn 'e ôfbylding hjirûnder:
Wichtige beheining, allinnich identike poarten (model) kin brûkt wurde yn ien Security Group. Dy. as jo de kapasiteit fan jo feiligensgateway lineêr groeie wolle (dat is in kluster fan ferskate apparaten), dan moatte jo krekt deselde gateways tafoegje. Dizze beheining moat ferdwine yn 'e folgjende softwareferzjes.
Yn 'e fideo hjirûnder kinne jo it proses sjen foar it meitsjen fan in befeiligingsgroep. De proseduere is yntuïtyf.
Nochris, as jo de Maestro-komponinten fergelykje mei it chassisplatfoarm, krije jo wat as de folgjende ôfbylding:
Wat binne de foardielen fan it nije platfoarm?
Der binne eins in protte foardielen, sawol út in technysk en ekonomysk eachpunt. Ik sil koart de wichtichste beskriuwe:
- Wy binne praktysk ûnbeheind yn skaalfergrutting. Oant 31 poarten binnen ien feiligensgroep.
- Wy kinne tafoegje poarten as nedich. De minimale set foar oankeap is ien orkestrator + twa poarten. D'r is gjin need om modellen "foar groei" te lizzen.
- In oare plus folget út it foarige punt. Wy hoege net mear poarten te feroarjen dy't de lading net mear oan kinne. Earder waard dit probleem oplost mei de ynruilproseduere - se oerdroegen âlde hardware en krigen nije mei koarting. Mei sa'n skema binne finansjele "ferlies" ûnûntkomber. De nije skaalfergrutting proseduere elimineert dizze faktor. Jo moatte neat oerjaan, jo kinne gewoan trochgean mei it fergrutsjen fan produktiviteit mei help fan ekstra hardware.
- De mooglikheid om besteande boarnen te kombinearjen om de lading te fersprieden. Jo kinne bygelyks al jo klusters "slepe" nei it Maestro-platfoarm en ferskate feiligensgroepen gearstalle, ôfhinklik fan 'e lading.
Maestro Hyperscale Network Security bondels
Op it stuit binne d'r ferskate opsjes foar it keapjen fan saneamde bondels mei it Maestro-platfoarm. Oplossing basearre op gateways 23800, 6800 en 6500:
Yn dit gefal kinne jo kieze út twa standert soarten apparatuer:
- Ien orkestrator en twa poarten;
- Ien orkestrator en trije poarten.
kinne jo de rûsde prizen sjen. Fansels kinne jo ek in oare orkestrator tafoegje en safolle poarten as jo wolle. Oanfoljende ynformaasje oer spesifikaasjes kinne wurde oanfrege .
Apparaten 6500 и 6800 Dit binne de lêste modellen dy't ek earder dit jier yntrodusearre binne. Mar wy sille prate oer harren yn mear detail yn it folgjende artikel.
Wannear kin ik it keapje?
D'r is hjir gjin dúdlik antwurd. Op it stuit is d'r gjin notifikaasje foar de ymport fan dizze oplossingen yn ús lân. Sadree't ynformaasje oer de timing beskikber is, sille wy fuortendaliks in oankundiging meitsje op ús iepenbiere siden (, , ). Derneist is in webinar wijd oan 'e Check Point Maestro-oplossing yn' e heine takomst pland, wêr't alle technyske funksjes besprutsen wurde. En fansels kinne jo fragen stelle. Bliuw op 'e hichte!
konklúzje
Nei alle gedachten in nij platfoarm is in poerbêste oanfolling op Check Point hardware oplossings. Yn feite iepenet dit produkt in nij segmint, wêrfoar net elke ferkeaper fan ynformaasjefeiligens in ferlykbere oplossing hat. Boppedat hat Check Point Maestro hjoed praktysk gjin alternativen as it giet om it leverjen fan sa'n ungewoane "feiligensmacht". Maestro Hyperscale Network Security sil lykwols fan belang wêze net allinich foar eigners fan datacenters, mar ek foar gewoane bedriuwen. Dejingen dy't eigner hawwe of plannen hawwe om apparaten te keapjen dy't begjinne mei it model 5600, kinne Maestro al neier besjen. Yn guon gefallen kin it brûken fan Maestro Hyperscale Network Security in tige rendabele oplossing wêze, sawol út in ekonomysk as technysk eachpunt.
PS Dit artikel waard taret mei de dielname fan Anatoly Masover - Scalable Platform Expert, Check Point Software Technologies.
Boarne: www.habr.com