Check Point SMB oplossings. Nije modellen foar lytse bedriuwen en filialen

Relatyf koartlyn (yn 2016), it bedriuw Check Point presintearre syn nije apparaten (sawol poarten as kontrôle tsjinners). It wichtichste ferskil fan 'e foarige line is signifikant ferhege produktiviteit.

Yn dit artikel sille wy allinich rjochtsje op 'e legere modellen. Wy sille beskriuwe de foardielen fan nije apparaten en mooglike falkûlen dy't net altyd besprutsen. Wy sille ek persoanlike yndrukken fan har gebrûk diele.

Check Point opstelling

Lykas jo kinne sjen op 'e foto, ferdielt Check Point har apparaten yn trije grutte kategoryen:

• High End Enterprise en Data Center (modellen 23800, 23500, 15600, 15400)
• Enterprise (modellen 5900, 5800, 5600, 5400, 5200, 5100)
• Lytse en middelgrutte bedriuwen (modellen 3200, 3100, 1490, 1470, 1450, 1430, 1200R)

Yn dit gefal is ien fan 'e wichtichste skaaimerken de saneamde SPU - Security Power Units. Dit is de proprietêre maatregel fan Check Point dy't de eigentlike prestaasjes fan in apparaat karakterisearret. Litte wy as foarbyld de tradisjonele metoade foar it mjitten fan Firewall-prestaasjes (Mbps) fergelykje mei de "nije" technyk fan Check Point (SPU).

Tradisjoneel technyk - Firewall Trochfier

• Mjittingen wurde útfierd yn laboratoariumbetingsten op "keunstmjittich" ferkear.
• De prestaasjes fan allinich de Firewall-funksje wurdt evaluearre, sûnder ekstra modules lykas IPS, Application Control, ensfh.
• Testen wurdt normaal útfierd mei ien Firewall-regel.

Check Point Methodology - Feiligens Power

• Metingen op echte brûkersferkear.
• De prestaasjes fan alle funksjonaliteit (firewall, IPS, Application Control, URL-filtering, ensfh.) wurdt evaluearre.
• Teste op in standert belied dat in protte regels omfettet.

Check Point Appliance Sizing Tool

Sa, by it kiezen fan in gaadlik Check Point model, is it better om te fertrouwe op de parameter Feiligens Power Unit. It wurdt oanjûn yn alle gegevensblêd foar it apparaat. Jo sille de passende SPU foar jo netwurk net op jo eigen kinne berekkenje. Dit kin allinich dien wurde mei help fan in partner dy't tagong hat ta it ark Check Point Appliance Sizing Tool:

Om de optimale oplossing te selektearjen, moatte jo rekken hâlde mei sokke parameters as:

• Ynternet kanaal breedte;
• De totale trochfier fan 'e poarte (kin ferskille fan it ynternetkanaal as jo bygelyks it lokale netwurk segmentearre hawwe mei Check Point);
• Oantal brûkers op it netwurk;
• Fereaske funksjes (brânmuorre, anty-firus, anty-bot, applikaasjekontrôle, URL-filtering, IPS, bedrigingsemulaasje, ensfh.).

D'r binne ek subtilere ynstellingen dy't beskriuwe op hokker ferkear dizze blêden sille wurde tapast:

Nei it oantsjutte fan alle skaaimerken, kinne jo in rapport krije dy't gaadlike apparaten beskriuwt:

Hjir kinne jo de fereaske SPU sjen (72 yn ús gefal) en de oanrikkemandearre (144). En ek de modellen sels mei in beskriuwing fan har lading en "reserve" foar ferkear en blêden. By it kiezen fan in model is it altyd oan te rieden om in apparaat út 'e griene sône te nimmen (dus laden oant 50 prosint):

Dit soarget derfoar dat d'r gjin problemen binne tidens pykladen of plande ferhegingen fan ynternetkanaalbreedte. As jo ​​​​in apparaat kieze, freegje jo partner altyd om in ferlykber rapport te leverjen. It foarbyld kin ynladen wurde hjir.

Ald vs Nij

Nei't wy de haadparameter hawwe begrepen dy't de prestaasjes fan apparaten karakterisearje, kinne wy ​​​​nije modellen foar lytse en middelgrutte bedriuwen in tichterby besjen. Lykas hjirboppe neamd, hat Check Point in folslein segmint - Lytse en middelgrutte bedriuwen (modellen 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Dizze apparaten kinne neamd wurde in update fan 'e âlde 2012-searje (2200, 1180, 1140, 1120). Om de wichtichste ferskillen te begripen, beskôgje de ôfbylding hjirûnder:

(prizen binne yn GPL, eksklusyf BTW en technyske stipe)

As jo ​​​​sjogge, hat de 2016-searje de prestaasjes (SPU) signifikant ferhege, en de prizen bleaunen op sawat itselde nivo (mei útsûndering fan it 3200-model). De nije line befettet ek in model 3100, mar noch net d'r is gjin notifikaasje en ymport yn Ruslân is ferbean! Ûnthâld dit!

As wy de kosten fan ien SPU opnij berekkenje, dan is it 1450-model it meast balansearre. Hjirûnder sille wy de nije Check Point-searje fan tichterby besjen.

Regelings foar it útfieren fan SMB-apparaten

Lykas út 'e figuer kin wurde sjoen, binne d'r twa wichtige ymplemintaasje-senario's foar SMB-apparaten:

1. Yn standert gateway modus. Yn dit gefal wurdt Check Point ynstalleare as in perimeterapparaat en lokaal bestjoerd.
2. Branch poarte. Yn dit gefal wurdt de filiaalhardware sintraal beheard (mei de Management-tsjinner) fanút it haadkantoar.

Foar rige 3000 и 1400 D'r binne guon funksjes yn elke modus. Wy sille se hjirûnder besjen.

SMB rige 3000

Op it stuit binne d'r twa "stikken izer" - 3200 и 3100. Lykas earder sein, 3100 kin noch net ymportearre yn it lân. As foar de 3200, it is in poerbêste ferfanging foar de âlde rige 2200. It apparaat rint in folsleine ferzje fan Gaia (sawol R77.30 as R80.10). As jo ​​​​it apparaat brûke as de haadpoarte yn in lyts bedriuw, kinne jo de folgjende prestaasjes ferwachtsje:

1. Ynternet kanaal - 50 Mbit;
2. Totale bânbreedte - 300 Mbit;
3. Oantal brûkers - 200.

Sa't jo sjen kinne, is de apparaatlading yn dit gefal 47% en dit is mei lokaal behear, d.w.s. Standalone konfiguraasje (mear oer standalone en ferspraat hjir). Ut persoanlike ûnderfining kin ik sizze dat mei lokaal behear it net oan te rieden is om de lading fan 50% te oersjen, om't ... D'r kinne problemen wêze mei kontrôle (it sil fertrage).
As it apparaat wurdt beskôge as in branch apparaat (dus mei apart sintralisearre behear), dan de yndikatoaren sille wêze signifikant heger. En jo kinne al ynfiere de giele sône yn sizing (dat wol sizze, mei in lading fan 50% oant 70%). Jo kinne it apparaatgegevensblêd besjen hjir.

SMB rige 1400

Dizze rige befettet ferskate apparaten tagelyk: 1490, 1470, 1450, 1430 (Logyske ferfanging fan de ferâldere 1120, 1140 en 1180).

Nettsjinsteande it feit dat dit de jongste Check Point-modellen binne, hawwe se alle nedige funksjonaliteit:

• SMB-apparaten kinne wurde gearstald yn in HA-kluster (aktyf / standby);
• Hast alle software blêden binne beskikber (lykas op "grutte" stikken fan hardware);
• kin sawol lokaal as sintraal beheard wurde (mei in tradisjonele Management Server);
• der binne wizigingen mei WiFi, ADSL en PoE;
• kinne jo ferbine 3G modems;
• Rack mount kits binne beskikber.

It is lykwols wurdich te warskôgjen oer guon beheiningen / funksjes:

• It apparaat hat defect Gaia oan board, en Gaia 77.20 Ynsletten. Dizze beheining komt troch de apparaatarsjitektuer (ARM-processors wurde brûkt). Yn gefal fan lokale kontrôle (standalone), kinne jo de gewoane SmartConsole net brûke. Ynstee is d'r in webynterface. Jo kinne it sjen yn dizze fideo:
  
  It foarbyld beskôget de 700-searje, mar yn prinsipe wurdt it net ferkocht yn Ruslân.
• Threat Extraction funksje wurket net. Threat Emulation allinne. Jo kinne sjen wat it is hjir
• It is ûnmooglik om in kluster te sammeljen yn Load Sharing-modus. Dy. cheat troch it keapjen fan twa "goedkeape" stikken fan hardware en fersprieden fan de lading yn it kluster tusken harren sil net wurkje.
• Mei lokaal behear binne d'r serieuze beheiningen oangeande HTTPS-ynspeksje.
• Anti-Virus skennen fan argiven wurket net.
• Gjin DLP-funksje.

De lêste punten binne faaks de wichtichste beheiningen dy't faak stilhâlden wurde. Foar folsleine HTTPS-ynspeksje wurde jo twongen om in tradisjonele tawijde Management-tsjinner te brûken. Yn dit gefal sille jo it apparaat kontrolearje as in poarte mei in folsleine (hast folsleine) ferzje fan Gaia.

Oare beheiningen fan Gaia Embedded kinne jo hjir fine hjir. Wês wis dat jo se kontrolearje foardat jo in oankeapbeslút meitsje.

Tink bygelyks oan in lyts kantoar mei de folgjende parameters:

• Ynternet kanaal - 50 Mbit;
• Totale bânbreedte - 200 Mbit;
• Oantal brûkers - 200;
• Lokaal behear (webynterface).

Sa't te sjen is út de grutte, it model 1490 mei súkses omgaat mei dizze taak mei in lading fan 46% (sûnder it ferlitten fan de griene sône). Mei tawijd behear sil de 1470 dizze taak omgean.
Gegevensblêd foar apparaten fan 1400-searje kinne wurde besjoen hjir.

Model 1200R

Dit model kin amper wurde neamd SMB. Dit is al in yndustriële oplossing en fertsjinnet miskien in apart artikel. No sille wy dit model net yn detail beskôgje.

Webinar

Mear details oer SMB-apparaten kinne fûn wurde yn ús foarige webinar:

befinings

Yn myn miening bliken de nije SMB-modellen frij suksesfol te wêzen. De prestaasjes fan apparaten binne signifikant ferhege mei it behâld fan it priisnivo. Ik bin net ree om te praten oer de hege kosten / goedkeapheid fan apparaten, omdat Dizze konsepten binne heul ferskillend foar ferskate bedriuwen.

It model 3200 Ik soe it oanrikkemandearje foar lytse bedriuwen dy't ynteressearre binne yn it maksimale nivo fan beskerming foar in ridlike priis. Plus, dit is in goede kar foar dyjingen dy't al wend binne om te wurkjen mei de folsleine ferzje fan Gaia. De ferzje fan R80.10 is hjir ek beskikber. As notifikaasje foar 3100 wurdt ûntfongen, sil it priiskaartsje in bytsje mear sakje. Dit is in ideale opsje foar tûken.

Series apparaten 1400 binne in goed kompromis en hawwe de bêste priis / kwaliteit ferhâlding (benammen yn termen fan priis per 1 SPU). Dizze apparaten binne geweldich foar tûken op in budzjet. Mei sintralisearre behear kinne jo apparaten beheare lykas gewoane poarten mei in folsleine ferzje fan Gaia. Mar, wer, ferjit net oer beheinings, dêr't jo seker mei fertroud wurde moatte.

PS Ik wol Alexey Matveev betankje (It bedriuw RRC) foar help by it tarieden fan it materiaal.

Boarne: www.habr.com