Check Point comezou o 2019 con bastante rapidez facendo varios anuncios á vez. É imposible falar de todo nun artigo, entón imos comezar polo máis importante:
Foi - Converteuse
A forma máis sinxela de entender é como se diferencia a nova plataforma escalable do bo vello 44000/64000 é mira a seguinte imaxe:
A diferenza é obvia.
Plataforma herdada Check Point 44000/64000
Como se pode ver na imaxe superior, a primeira opción é unha plataforma fixa (chasis), na que se pode inserir un número limitado de "módulos de láminas" especiais (Check Point SGM). Todo isto está conectado Módulo de interruptor de seguridade (SSM), que equilibra o tráfico entre pasarelas. A seguinte imaxe mostra os compoñentes desta plataforma con máis detalle:
Esta é unha excelente plataforma se sabes exactamente o rendemento que necesitas agora e canto pode crecer. Non obstante, debido ao factor de forma fixo (12 ou 6 láminas), ten unha maior escalabilidade. Ademais, está obrigado a utilizar exclusivamente as láminas SGM, sen a posibilidade de conectar liñas ascendentes convencionais, que teñen unha gama de modelos moito máis ampla. Coa chegada Maestro Hyperscale Network Security a situación está cambiando drasticamente.
Nova plataforma de seguridade de rede de hiperescala Check Point Maestro
Check Point Maestro presentouse por primeira vez o 22 de xaneiro na conferencia CPX en Bangkok. As principais características pódense ver na seguinte imaxe:
Como podes ver, a principal vantaxe de Check Point Maestro é a posibilidade de usar pasarelas (electrodomésticos) habituais para o equilibrio. Eses. Xa non nos limitamos ás láminas SGM. Pode distribuír a carga entre calquera dispositivo a partir do modelo 5600 (modelos SMB e Chassis 44000)./64000 non son compatibles). A imaxe de arriba mostra os principais indicadores que se poden conseguir cando se utiliza a nova plataforma. Podemos combinar nun só recurso informático ata 31! pasarela. Agora o teu firewall pode verse así:
Mestre Hyperscale Orchestrator
Estou seguro de que moita xente xa preguntou: "Que tipo de orquestrador é este?"Ben, coñece-me. Mestre Hyperscale Orchestrator — É esta cousa a que se encarga do equilibrio de carga. O sistema operativo instalado neste dispositivo é Gaia R80.20 SP. Actualmente hai dous modelos de orquestradores: MHO-140 и MHO-170. Características na seguinte imaxe:
A primeira vista pode parecer que este é un interruptor común. De feito, é "switch + balance + sistema de xestión de recursos". Todo nunha caixa.
As pasarelas están conectadas a estes orquestadores. Se os equilibradores son tolerantes a fallos, entón cada pasarela está conectada a cada orquestrador. Para a conexión, pódese usar "óptica" (sfp+ / qsfp+ / qsfp28+) ou cable DAC (cobre de conexión directa). Neste caso, naturalmente debe haber unha ligazón de sincronización entre os orquestadores:
Na seguinte imaxe podes ver como están distribuídos os portos destes orquestadores:
Grupos de seguridade
Para que a carga se distribúa entre pasarelas, estas pasarelas deben estar no mesmo grupo de seguridade. Grupo de seguridade é un grupo lóxico de dispositivos que funciona como un clúster activo/activo. Este grupo funciona independentemente doutros grupos de seguridade. Desde o punto de vista do servidor de xestión, o Grupo de Seguridade parece un dispositivo cun enderezo IP.
Se é necesario, podemos mover unha ou máis pasarelas a un grupo de seguranza independente e usar este grupo para outros fins, como un firewall separado desde o punto de vista da xestión. Un exemplo de uso móstrase na seguinte imaxe:
Limitación importante, só se poden usar pasarelas (modelo) idénticas nun grupo de seguridade. Eses. se queres aumentar linealmente a capacidade da túa pasarela de seguranza (que é un clúster de varios dispositivos), debes engadir exactamente as mesmas pasarelas. Esta limitación debería desaparecer nas próximas versións de software.
No seguinte vídeo podes ver o proceso de creación dun grupo de seguridade. O procedemento é intuitivo.
De novo, se comparas os compoñentes Maestro coa plataforma do chasis, obtén algo así como a seguinte imaxe:
Cales son os beneficios da nova plataforma?
En realidade, hai moitas vantaxes, tanto desde o punto de vista técnico como económico. Vou describir brevemente os máis importantes:
- Somos practicamente ilimitados na escala. Ata 31 pasarelas dentro dun grupo de seguridade.
- Podemos engadir pasarelas segundo sexa necesario. O conxunto mínimo para a compra é un orquestrador + dúas pasarelas. Non hai que establecer modelos "para o crecemento".
- Outro plus segue do punto anterior. Xa non necesitamos cambiar as pasarelas que xa non poden soportar a carga. Anteriormente, este problema resolveuse mediante o procedemento de intercambio: entregaron hardware antigo e recibiron outros novos con desconto. Con tal esquema, as "perdas" financeiras son inevitables. O novo procedemento de escalado elimina este factor. Non necesitas entregar nada, podes seguir aumentando a produtividade coa axuda de hardware adicional.
- A capacidade de combinar os recursos existentes para distribuír a carga. Por exemplo, pode "arrastrar" todos os seus clústeres á plataforma Maestro e montar varios grupos de seguranza, dependendo da carga.
Paquetes de seguridade de rede Maestro Hyperscale
Actualmente, existen varias opcións para adquirir os chamados paquetes coa plataforma Maestro. Solución baseada nas pasarelas 23800, 6800 e 6500:
Neste caso, podes escoller entre dous tipos de equipamento estándar:
- Un orquestrador e dúas pasarelas;
- Un orquestrador e tres pasarelas.
Dispositivos 6500 и 6800 Estes son os últimos modelos que tamén se presentaron a principios deste ano. Pero falaremos deles con máis detalle no seguinte artigo.
Cando podo mercalo?
Non hai unha resposta clara aquí. Polo momento, non existe ningunha notificación para a importación destas solucións ao noso país. En canto se dispoña de información sobre o horario, publicaremos inmediatamente un anuncio nas nosas páxinas públicas (
Conclusión
Sen dúbida unha nova plataforma
PD Este artigo foi preparado coa participación de Anatoly Masover — Experto en plataformas escalables, Check Point Software Technologies.
Fonte: www.habr.com