Solucións Check Point SMB. Novos modelos para pequenas empresas e sucursais

Fai relativamente pouco tempo (en 2016), a empresa Punto de verificación presentou os seus novos dispositivos (tanto pasarelas como servidores de control). A diferenza fundamental coa liña anterior é un aumento significativo da produtividade.

Neste artigo centrarémonos exclusivamente nos modelos inferiores. Describiremos as vantaxes dos novos dispositivos e as posibles trampas que non sempre se comentan. Tamén compartiremos impresións persoais sobre o seu uso.

Alineación de Check Point

Como podes ver na imaxe, Check Point divide os seus dispositivos en tres grandes categorías:

• Centro de datos e empresas de gama alta (modelos 23800, 23500, 15600, 15400)
• Empresa (modelos 5900, 5800, 5600, 5400, 5200, 5100)
• Pequena e Mediana Empresa (modelos 3200, 3100, 1490, 1470, 1450, 1430, 1200R)

Neste caso, unha das principais características é o chamado SPU - Unidades de potencia de seguridade. Esta é a medida propietaria de Check Point que caracteriza o rendemento real dun dispositivo. A modo de exemplo, comparemos o método tradicional de medición do rendemento do Firewall (Mbps) coa "nova" técnica de Check Point (SPU).

Técnica tradicional - Rendimento do firewall

• As medicións realízanse en condicións de laboratorio sobre tráfico "artificial".
• Avalíase só o rendemento da función Firewall, sen módulos adicionais como IPS, Control de aplicacións, etc.
• As probas adoitan realizarse cunha regra de firewall.

Metodoloxía do punto de control - Poder de seguridade

• Medicións do tráfico real de usuarios.
• Avalíase o rendemento de todas as funcionalidades (Firewall, IPS, Control de aplicacións, filtrado de URL, etc.).
• Probado nunha política estándar que inclúe moitas regras.

Ferramenta de dimensionamento do aparello Check Point

Así, ao elixir un modelo de Check Point adecuado, é mellor confiar no parámetro Unidade de Potencia de Seguridade. Indícase en calquera ficha técnica do dispositivo. Non poderás calcular a SPU adecuada para a túa rede por ti mesmo. Isto só se pode facer coa axuda dun compañeiro que teña acceso á ferramenta Ferramenta de dimensionamento do aparello Check Point:

Para seleccionar a solución óptima, cómpre ter en conta parámetros como:

• ancho da canle de Internet;
• O rendemento total da pasarela (pode diferir da canle de Internet se, por exemplo, segmentou a rede local mediante Check Point);
• Número de usuarios na rede;
• Funcións necesarias (Firewall, Anti-Virus, Anti-Bot, Control de aplicacións, Filtrado de URL, IPS, Emulación de ameazas, etc.).

Tamén hai configuracións máis sutís que describen a que tráfico se aplicarán estas láminas:

Despois de especificar todas as características, pode recibir un informe que describe os dispositivos axeitados:

Aquí podes ver a SPU necesaria (72 no noso caso) e a recomendada (144). E tamén os propios modelos cunha descrición da súa carga e "reserva" para o tráfico e as palas. Ao elixir un modelo, sempre se recomenda levar un dispositivo da zona verde (é dicir, cargar ata un 50 por cento):

Isto garante que non haxa problemas durante os picos de carga ou aumentos previstos no ancho da canle de Internet. Ao escoller un dispositivo, pídelle sempre ao teu compañeiro que proporcione un informe similar. O exemplo pódese descargar aquí.

Antigo vs Novo

Unha vez entendido o principal parámetro que caracteriza o rendemento dos dispositivos, podemos analizar máis de preto os novos modelos para pequenas e medianas empresas. Como se mencionou anteriormente, Check Point ten un segmento completo: Pequena e Mediana Empresa (modelos 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Estes dispositivos pódense chamar unha actualización da antiga serie 2012 (2200, 1180, 1140, 1120). Para comprender as principais diferenzas, considere a seguinte imaxe:

(os prezos están en GPL, sen IVE e soporte técnico)

Como podes ver, a serie 2016 aumentou significativamente o rendemento (SPU) e os prezos mantivéronse aproximadamente ao mesmo nivel (a excepción do modelo 3200). A nova liña tamén inclúe un modelo 3100, pero aínda non non hai notificación e a importación a Rusia está prohibida! Lembra isto!

Se recalculamos o custo dunha SPU, entón o modelo 1450 é o máis equilibrado. A continuación, analizaremos a nova serie Check Point.

Esquemas de implantación de dispositivos SMB

Como se pode ver na figura, hai dous escenarios principais de implementación para dispositivos SMB:

1. No modo de pasarela predeterminado. Neste caso, Check Point instálase como dispositivo perimetral e adminístrase localmente.
2. Pasarela de sucursal. Neste caso, o hardware da sucursal xestionase de forma centralizada (mediante o servidor de xestión) desde a sede central.

Para series 3000 и 1400 Hai algunhas funcións en cada modo. Mirarémolos a continuación.

Serie SMB 3000

Neste momento hai dúas "pezas de ferro" - 3200 и 3100. Como se dixo anteriormente, 3100 aínda non se poden importar ao país. En canto ao 3200, é un excelente substituto para a antiga serie 2200. O dispositivo executa unha versión completa de Gaia (tanto R77.30 como R80.10). Se usas o dispositivo como pasarela principal nunha pequena empresa, podes esperar o seguinte rendemento:

1. Canle de Internet - 50 Mbit;
2. Ancho de banda total - 300 Mbit;
3. Número de usuarios: 200.

Como podes ver, a carga do dispositivo neste caso é do 47% e isto é coa xestión local, é dicir. Autónomo configuración (máis sobre autónomo e distribuído aquí). Por experiencia persoal podo dicir que coa xestión local non se recomenda superar a carga do 50%, porque... Pode haber problemas co control (ralentizarase).
Se o dispositivo se considera un dispositivo de sucursal (é dicir, cunha xestión centralizada separada), os indicadores serán significativamente máis altos. E xa podes entrar na zona amarela no tamaño (é dicir, cunha carga do 50% ao 70%). Podes ver a folla de datos do dispositivo aquí.

Serie SMB 1400

Esta serie inclúe varios dispositivos á vez: 1490, 1470, 1450, 1430 (substitución lóxica dos obsoletos 1120, 1140 e 1180).

A pesar de que estes son os modelos Check Point máis novos, teñen todas as funcionalidades necesarias:

• Os dispositivos SMB pódense montar nun clúster HA (Activo/En espera);
• Case todas as láminas de software están dispoñibles (como en pezas de hardware "grandes");
• pódese xestionar tanto local como centralmente (usando un servidor de xestión tradicional);
• hai modificacións con WiFi, ADSL e PoE;
• pode conectar módems 3G;
• Hai kits de montaxe en rack dispoñibles.

Non obstante, paga a pena advertir sobre algunhas limitacións/características:

• O dispositivo ten Gaia defectuoso a bordo e Gaia 77.20 Embedded. Esta limitación débese á arquitectura do dispositivo (utilízanse procesadores ARM). En caso de control local (autónomo), non poderás utilizar a SmartConsole habitual. Pola contra, hai unha interface web. Podes velo neste vídeo:
  
  O exemplo considera a serie 700, pero en principio non se vende en Rusia.
• A función de extracción de ameazas non funciona. Só emulación de ameazas. Podes ver o que é aquí
• É imposible montar un clúster no modo de compartir carga. Eses. facer trampas comprando dúas pezas de hardware "baratos" e distribuíndo a carga no clúster entre elas non funcionará.
• Coa xestión local hai serias restricións sobre a inspección HTTPS.
• A exploración antivirus dos arquivos non funciona.
• Sen función DLP.

Os últimos puntos son quizais as restricións máis importantes que adoitan gardar silencio. Para a inspección HTTPS completa, verá obrigado a utilizar un servidor de xestión dedicado tradicional. Neste caso, controlarás o dispositivo como pasarela cunha versión completa (case completa) de Gaia.

Outras restricións de Gaia Embedded pódense atopar aquí aquí. Asegúrese de comprobalos antes de tomar unha decisión de compra.

Por exemplo, considere unha pequena oficina cos seguintes parámetros:

• Canle de Internet - 50 Mbit;
• Ancho de banda total - 200 Mbit;
• Número de usuarios - 200;
• Xestión local (Interface web).

Como se pode ver no dimensionamento, o modelo 1490 afronta con éxito esta tarefa cunha carga do 46% (sen saír da zona verde). Cunha xestión dedicada, o 1470 fará fronte a esta tarefa.
Pódese ver a folla de datos dos dispositivos da serie 1400 aquí.

Modelo 1200R

Este modelo dificilmente se pode chamar SMB. Esta xa é unha solución industrial e quizais mereza un artigo aparte. Agora non imos considerar este modelo en detalle.

Webinar

Podes atopar máis detalles sobre os dispositivos SMB no noso webinar anterior:

Descubrimentos

Na miña opinión, os novos modelos SMB resultaron bastante exitosos. O rendemento dos dispositivos aumentou significativamente mantendo o nivel de prezos. Non estou preparado para falar do alto custo/barato dos dispositivos, porque Estes conceptos son moi diferentes para as diferentes empresas.

Modelo 3200 Recomendaríao ás pequenas empresas que estean interesadas no máximo nivel de protección por un prezo razoable. Ademais, esta é unha boa opción para aqueles que xa están afeitos a traballar coa versión completa de Gaia. A versión R80.10 tamén está dispoñible aquí. Cando se reciba a notificación de 3100, o prezo baixará un pouco máis. Esta é unha opción ideal para ramas.

Dispositivos da serie 1400 son un bo compromiso e teñen a mellor relación calidade/prezo (especialmente en termos de prezo por 1 SPU). Estes dispositivos son excelentes para sucursais cun orzamento. Usando a xestión centralizada, podes xestionar dispositivos como pasarelas normais cunha versión completa de Gaia. Pero, de novo, non te esquezas restricións, que definitivamente deberías familiarizarte.

PD Gustaríame agradecer a Alexey Matveev (empresa RRC) para axudar na preparación do material.

Fonte: www.habr.com