ProHoster > Blog > Adminisztráció > Check Point SMB megoldások. Új modellek kis cégek és fióktelepek számára
Check Point SMB megoldások. Új modellek kis cégek és fióktelepek számára
Viszonylag nemrég (2016-ban) a cég Check Point bemutatta új eszközeit (átjárókat és vezérlőszervereket egyaránt). A legfontosabb különbség az előző sorhoz képest a jelentősen megnövekedett termelékenység.
Ebben a cikkben kizárólag az alacsonyabb modellekre összpontosítunk. Leírjuk az új eszközök előnyeit és a lehetséges buktatókat, amelyekről nem mindig esik szó. A használatukkal kapcsolatos személyes benyomásainkat is megosztjuk.
Check Point felállás
Amint a képen látható, a Check Point három nagy kategóriába sorolja készülékeit:
Ebben az esetben az egyik fő jellemző az ún SPU – Biztonsági tápegységek. Ez a Check Point saját fejlesztésű mérőszáma, amely az eszköz tényleges teljesítményét jellemzi. Példaként hasonlítsuk össze a tűzfal teljesítményének (Mbps) hagyományos mérési módszerét a Check Point (SPU) „új” technikájával.
Hagyományos technika - Tűzfal áteresztőképesség
A méréseket laboratóriumi körülmények között „mesterséges” forgalomban végezzük.
A rendszer csak a tűzfal funkció teljesítményét értékeli, további modulok, például IPS, alkalmazásvezérlés stb. nélkül.
A tesztelést általában egy tűzfalszabállyal végzik.
Check Point módszertana – Biztonsági erő
Valós felhasználói forgalom mérései.
Az összes funkció (tűzfal, IPS, alkalmazásvezérlés, URL-szűrés stb.) teljesítményét értékelik.
Szabványos szabályzat alapján tesztelve, amely számos szabályt tartalmaz.
Check Point Appliance Sizing Tool
Így a megfelelő Check Point modell kiválasztásakor jobb, ha a paraméterre hagyatkozik Biztonsági tápegység. A készülék bármely adatlapján fel van tüntetve. Ön nem fogja tudni kiszámítani a hálózatának megfelelő SPU-t. Ezt csak olyan partner segítségével lehet megtenni, aki hozzáfér az eszközhöz Check Point Appliance Sizing Tool:
Az optimális megoldás kiválasztásához olyan paramétereket kell figyelembe vennie, mint:
Internet csatorna szélessége;
Az átjáró teljes átviteli sebessége (eltérhet az internetes csatornától, ha például a Check Point segítségével szegmentálta a helyi hálózatot);
Felhasználók száma a hálózaton;
Szükséges funkciók (tűzfal, víruskereső, robotszűrő, alkalmazásvezérlés, URL-szűrés, IPS, fenyegetés-emuláció stb.).
Vannak finomabb beállítások is, amelyek leírják, hogy ezek a lapátok milyen forgalomra vonatkoznak:
Az összes jellemző megadása után jelentést kaphat a megfelelő eszközökről:
Itt látható a szükséges SPU (esetünkben 72) és az ajánlott (144). Valamint maguk a modellek a terhelésük leírásával és a forgalom és a lapátok „tartalékával”. A modell kiválasztásakor mindig ajánlott a zöld zónából származó eszközt venni (tehát legfeljebb 50 százalékos terhelés):
Ez biztosítja, hogy ne legyenek problémák csúcsterhelések vagy az internetes csatornaszélesség tervezett növelése során. Készülék kiválasztásakor mindig kérje meg partnerét, hogy készítsen hasonló jelentést. A példa letölthető itt.
Régi vs Új
Az eszközök teljesítményét jellemző fő paraméterek megértése után közelebbről is szemügyre vehetjük a kis- és középvállalkozások számára készült új modelleket. Mint fentebb említettük, a Check Point egy teljes szegmenssel rendelkezik - Kis- és középvállalkozás (3200, 3100, 1490, 1470, 1450, 1430, 1200R modellek). Ezeket az eszközöket a régi 2012-es sorozat (2200, 1180, 1140, 1120) frissítésének nevezhetjük. A fő különbségek megértéséhez tekintse meg az alábbi képet:
(az árak GPL-ben értendők, nem tartalmazzák az áfát és a technikai támogatást)
Mint látható, a 2016-os sorozat jelentősen növelte a teljesítményt (SPU), és az árak megközelítőleg ugyanazon a szinten maradtak (a 3200-as modell kivételével). Az új sorozat modellt is tartalmaz 3100, de még nem nincs értesítés és tilos az oroszországi behozatal! Emlékezz erre!
Ha újraszámoljuk egy SPU költségét, akkor az 1450-es modell a legkiegyensúlyozottabb. Az alábbiakban az új Check Point sorozatot vesszük közelebbről szemügyre.
Sémák az SMB eszközök megvalósításához
Amint az ábrán látható, két fő megvalósítási forgatókönyv létezik az SMB-eszközök számára:
Alapértelmezett átjáró módban. Ebben az esetben a Check Point kerületi eszközként van telepítve és helyileg adminisztrálva.
Fiók átjárója. Ebben az esetben a fiók hardverének kezelése központilag (a Kezelőszerver segítségével) a központi irodából történik.
Sorozatokhoz 3000 и 1400 Mindegyik módban van néhány funkció. Az alábbiakban megnézzük őket.
SMB sorozat 3000
Jelenleg két „vasdarab” van - 3200 и 3100. Mint korábban elhangzott, 3100 darabot még nem lehet behozni az országba. Ami a 3200-at illeti, kiválóan helyettesíti a régi 2200-as sorozatot.A készülék a Gaia teljes értékű verzióját futtatja (mind R77.30, mind R80.10). Ha az eszközt fő átjáróként használja egy kisvállalkozásban, akkor a következő teljesítményre számíthat:
Internet csatorna - 50 Mbit;
Teljes sávszélesség - 300 Mbit;
Felhasználók száma - 200.
Mint látható, az eszköz terhelése ebben az esetben 47% és ez helyi kezeléssel, pl. Önálló konfiguráció (további információ az önálló és elosztott itt). Személyes tapasztalatból mondhatom, hogy helyi irányítás mellett nem javasolt az 50%-os terhelés túllépése, mert... Problémák lehetnek a szabályozással (lelassul).
Ha az eszközt fióktelepnek tekintjük (azaz külön központi kezeléssel), akkor a mutatók lényegesen magasabbak lesznek. És máris be lehet lépni a sárga zónába a méretezésnél (azaz 50-70%-os terheléssel). Megtekintheti a készülék adatlapját itt.
SMB sorozat 1400
Ez a sorozat több eszközt tartalmaz egyszerre: 1490, 1470, 1450, 1430 (az elavult 1120, 1140 és 1180 logikai cseréje).
Annak ellenére, hogy ezek a legfiatalabb Check Point modellek, minden szükséges funkcióval rendelkeznek:
Az SMB eszközök összeállíthatók HA klaszterbe (Active/Standby);
Szinte az összes szoftver penge elérhető (mint a „nagy” hardverdaraboknál);
helyileg és központilag is felügyelhető (hagyományos Management Server segítségével);
vannak módosítások WiFi-vel, ADSL-lel és PoE-vel;
csatlakoztathat 3G modemeket;
Rack rögzítő készletek kaphatók.
Érdemes azonban figyelmeztetni néhány korlátozásra/szolgáltatásra:
A készülék fedélzetén hibás Gaia van, és Gaia 77.20 Embedded. Ez a korlátozás az eszköz architektúrájából adódik (ARM processzorokat használnak). Helyi vezérlés esetén (önálló) nem tudja használni a szokásos SmartConsole-t. Ehelyett van egy webes felület. Ebben a videóban láthatod:
A példa a 700-as sorozatot veszi figyelembe, de elvileg nem értékesítik Oroszországban.
A fenyegetés eltávolítása funkció nem működik. Csak fenyegetés emuláció. Láthatod, mi az itt
Lehetetlen fürt összeállítása Load Sharing módban. Azok. A csalás két „olcsó” hardver megvásárlásával és a terhelés elosztásával a klaszterben nem fog működni.
A helyi menedzsment komoly korlátozásokat támaszt a HTTPS-vizsgálattal kapcsolatban.
Az archívumok víruskereső vizsgálata nem működik.
Nincs DLP funkció.
Az utolsó pontok talán a legfontosabb korlátozások, amelyeket gyakran elhallgatnak. A teljes HTTPS ellenőrzéshez kénytelen lesz hagyományos dedikált felügyeleti kiszolgálót használni. Ebben az esetben az eszközt átjáróként fogja vezérelni a Gaia teljes (majdnem teljes) verziójával.
A Gaia Embedded egyéb korlátozásai itt találhatók itt. A vásárlási döntés meghozatala előtt feltétlenül nézze meg őket.
Vegyünk például egy kis irodát a következő paraméterekkel:
Internet csatorna - 50 Mbit;
Teljes sávszélesség - 200 Mbit;
Felhasználók száma - 200;
Helyi kezelés (Web felület).
Ahogy a méretezésből is látszik, az 1490-es modell 46%-os terheléssel (a zöld zóna elhagyása nélkül) sikeresen megbirkózik ezzel a feladattal. Dedikált kezeléssel az 1470 megbirkózik ezzel a feladattal.
Az 1400-as sorozatú készülékek adatlapja megtekinthető itt.
1200R modell
Ez a modell aligha nevezhető SMB-nek. Ez már ipari megoldás, és talán megérdemel egy külön cikket. Most nem fogjuk ezt a modellt részletesen megvizsgálni.
Webinar
További részletek az SMB-eszközökről korábbi webináriumunkban találhatók:
Álláspontja
Véleményem szerint az új SMB modellek meglehetősen sikeresnek bizonyultak. A készülékek teljesítményét az árszint megtartása mellett jelentősen növelték. Nem állok készen az eszközök magas költségéről/olcsóságáról beszélni, mert Ezek a fogalmak nagyon eltérőek a különböző cégeknél.
Modell 3200 Kis cégeknek ajánlom, akik érdeklődnek a maximális védelem iránt, elfogadható áron. Ráadásul ez jó választás azok számára, akik már hozzászoktak a Gaia teljes verziójához. Itt érhető el az R80.10-es verzió is. Amikor megérkezik a 3100-as értesítés, az árcédula még egy kicsit csökken. Ez egy ideális lehetőség ágak számára.
Sorozatos készülékek 1400 jó kompromisszum, és a legjobb ár/minőség aránnyal rendelkeznek (különösen az 1 SPU-nkénti ár tekintetében). Ezek az eszközök kiválóan alkalmasak alacsony költségvetésű fióktelepek számára. A központosított felügyelet használatával a Gaia teljes verziójával olyan eszközöket kezelhet, mint a hagyományos átjárók. De ismételten ne feledkezzünk meg róla korlátozásokat, amit mindenképpen érdemes megismerned.
PS Szeretnék köszönetet mondani Alekszej Matvejevnek (RRC cég) segítségért az anyag elkészítésében.