Check Point SMB megoldások. Új modellek kis cégek és fióktelepek számára

Viszonylag nemrég (2016-ban) a cég Check Point bemutatta új eszközeit (átjárókat és vezérlőszervereket egyaránt). A legfontosabb különbség az előző sorhoz képest a jelentősen megnövekedett termelékenység.

Ebben a cikkben kizárólag az alacsonyabb modellekre összpontosítunk. Leírjuk az új eszközök előnyeit és a lehetséges buktatókat, amelyekről nem mindig esik szó. A használatukkal kapcsolatos személyes benyomásainkat is megosztjuk.

Check Point felállás

Amint a képen látható, a Check Point három nagy kategóriába sorolja készülékeit:

• Csúcskategóriás vállalati és adatközpont (modellek 23800, 23500, 15600, 15400)
• Vállalkozás (modellek 5900, 5800, 5600, 5400, 5200, 5100)
• Kis- és középvállalkozás (modellek 3200, 3100, 1490, 1470, 1450, 1430, 1200R)

Ebben az esetben az egyik fő jellemző az ún SPU – Biztonsági tápegységek. Ez a Check Point saját fejlesztésű mérőszáma, amely az eszköz tényleges teljesítményét jellemzi. Példaként hasonlítsuk össze a tűzfal teljesítményének (Mbps) hagyományos mérési módszerét a Check Point (SPU) „új” technikájával.

Hagyományos technika - Tűzfal áteresztőképesség

• A méréseket laboratóriumi körülmények között „mesterséges” forgalomban végezzük.
• A rendszer csak a tűzfal funkció teljesítményét értékeli, további modulok, például IPS, alkalmazásvezérlés stb. nélkül.
• A tesztelést általában egy tűzfalszabállyal végzik.

Check Point módszertana – Biztonsági erő

• Valós felhasználói forgalom mérései.
• Az összes funkció (tűzfal, IPS, alkalmazásvezérlés, URL-szűrés stb.) teljesítményét értékelik.
• Szabványos szabályzat alapján tesztelve, amely számos szabályt tartalmaz.

Check Point Appliance Sizing Tool

Így a megfelelő Check Point modell kiválasztásakor jobb, ha a paraméterre hagyatkozik Biztonsági tápegység. A készülék bármely adatlapján fel van tüntetve. Ön nem fogja tudni kiszámítani a hálózatának megfelelő SPU-t. Ezt csak olyan partner segítségével lehet megtenni, aki hozzáfér az eszközhöz Check Point Appliance Sizing Tool:

Az optimális megoldás kiválasztásához olyan paramétereket kell figyelembe vennie, mint:

• Internet csatorna szélessége;
• Az átjáró teljes átviteli sebessége (eltérhet az internetes csatornától, ha például a Check Point segítségével szegmentálta a helyi hálózatot);
• Felhasználók száma a hálózaton;
• Szükséges funkciók (tűzfal, víruskereső, robotszűrő, alkalmazásvezérlés, URL-szűrés, IPS, fenyegetés-emuláció stb.).

Vannak finomabb beállítások is, amelyek leírják, hogy ezek a lapátok milyen forgalomra vonatkoznak:

Az összes jellemző megadása után jelentést kaphat a megfelelő eszközökről:

Itt látható a szükséges SPU (esetünkben 72) és az ajánlott (144). Valamint maguk a modellek a terhelésük leírásával és a forgalom és a lapátok „tartalékával”. A modell kiválasztásakor mindig ajánlott a zöld zónából származó eszközt venni (tehát legfeljebb 50 százalékos terhelés):

Ez biztosítja, hogy ne legyenek problémák csúcsterhelések vagy az internetes csatornaszélesség tervezett növelése során. Készülék kiválasztásakor mindig kérje meg partnerét, hogy készítsen hasonló jelentést. A példa letölthető itt.

Régi vs Új

Az eszközök teljesítményét jellemző fő paraméterek megértése után közelebbről is szemügyre vehetjük a kis- és középvállalkozások számára készült új modelleket. Mint fentebb említettük, a Check Point egy teljes szegmenssel rendelkezik - Kis- és középvállalkozás (3200, 3100, 1490, 1470, 1450, 1430, 1200R modellek). Ezeket az eszközöket a régi 2012-es sorozat (2200, 1180, 1140, 1120) frissítésének nevezhetjük. A fő különbségek megértéséhez tekintse meg az alábbi képet:

(az árak GPL-ben értendők, nem tartalmazzák az áfát és a technikai támogatást)

Mint látható, a 2016-os sorozat jelentősen növelte a teljesítményt (SPU), és az árak megközelítőleg ugyanazon a szinten maradtak (a 3200-as modell kivételével). Az új sorozat modellt is tartalmaz 3100, de még nem nincs értesítés és tilos az oroszországi behozatal! Emlékezz erre!

Ha újraszámoljuk egy SPU költségét, akkor az 1450-es modell a legkiegyensúlyozottabb. Az alábbiakban az új Check Point sorozatot vesszük közelebbről szemügyre.

Sémák az SMB eszközök megvalósításához

Amint az ábrán látható, két fő megvalósítási forgatókönyv létezik az SMB-eszközök számára:

1. Alapértelmezett átjáró módban. Ebben az esetben a Check Point kerületi eszközként van telepítve és helyileg adminisztrálva.
2. Fiók átjárója. Ebben az esetben a fiók hardverének kezelése központilag (a Kezelőszerver segítségével) a központi irodából történik.

Sorozatokhoz 3000 и 1400 Mindegyik módban van néhány funkció. Az alábbiakban megnézzük őket.

SMB sorozat 3000

Jelenleg két „vasdarab” van - 3200 и 3100. Mint korábban elhangzott, 3100 darabot még nem lehet behozni az országba. Ami a 3200-at illeti, kiválóan helyettesíti a régi 2200-as sorozatot.A készülék a Gaia teljes értékű verzióját futtatja (mind R77.30, mind R80.10). Ha az eszközt fő átjáróként használja egy kisvállalkozásban, akkor a következő teljesítményre számíthat:

1. Internet csatorna - 50 Mbit;
2. Teljes sávszélesség - 300 Mbit;
3. Felhasználók száma - 200.

Mint látható, az eszköz terhelése ebben az esetben 47% és ez helyi kezeléssel, pl. Önálló konfiguráció (további információ az önálló és elosztott itt). Személyes tapasztalatból mondhatom, hogy helyi irányítás mellett nem javasolt az 50%-os terhelés túllépése, mert... Problémák lehetnek a szabályozással (lelassul).
Ha az eszközt fióktelepnek tekintjük (azaz külön központi kezeléssel), akkor a mutatók lényegesen magasabbak lesznek. És máris be lehet lépni a sárga zónába a méretezésnél (azaz 50-70%-os terheléssel). Megtekintheti a készülék adatlapját itt.

SMB sorozat 1400

Ez a sorozat több eszközt tartalmaz egyszerre: 1490, 1470, 1450, 1430 (az elavult 1120, 1140 és 1180 logikai cseréje).

Annak ellenére, hogy ezek a legfiatalabb Check Point modellek, minden szükséges funkcióval rendelkeznek:

• Az SMB eszközök összeállíthatók HA klaszterbe (Active/Standby);
• Szinte az összes szoftver penge elérhető (mint a „nagy” hardverdaraboknál);
• helyileg és központilag is felügyelhető (hagyományos Management Server segítségével);
• vannak módosítások WiFi-vel, ADSL-lel és PoE-vel;
• csatlakoztathat 3G modemeket;
• Rack rögzítő készletek kaphatók.

Érdemes azonban figyelmeztetni néhány korlátozásra/szolgáltatásra:

• A készülék fedélzetén hibás Gaia van, és Gaia 77.20 Embedded. Ez a korlátozás az eszköz architektúrájából adódik (ARM processzorokat használnak). Helyi vezérlés esetén (önálló) nem tudja használni a szokásos SmartConsole-t. Ehelyett van egy webes felület. Ebben a videóban láthatod:
  
  A példa a 700-as sorozatot veszi figyelembe, de elvileg nem értékesítik Oroszországban.
• A fenyegetés eltávolítása funkció nem működik. Csak fenyegetés emuláció. Láthatod, mi az itt
• Lehetetlen fürt összeállítása Load Sharing módban. Azok. A csalás két „olcsó” hardver megvásárlásával és a terhelés elosztásával a klaszterben nem fog működni.
• A helyi menedzsment komoly korlátozásokat támaszt a HTTPS-vizsgálattal kapcsolatban.
• Az archívumok víruskereső vizsgálata nem működik.
• Nincs DLP funkció.

Az utolsó pontok talán a legfontosabb korlátozások, amelyeket gyakran elhallgatnak. A teljes HTTPS ellenőrzéshez kénytelen lesz hagyományos dedikált felügyeleti kiszolgálót használni. Ebben az esetben az eszközt átjáróként fogja vezérelni a Gaia teljes (majdnem teljes) verziójával.

A Gaia Embedded egyéb korlátozásai itt találhatók itt. A vásárlási döntés meghozatala előtt feltétlenül nézze meg őket.

Vegyünk például egy kis irodát a következő paraméterekkel:

• Internet csatorna - 50 Mbit;
• Teljes sávszélesség - 200 Mbit;
• Felhasználók száma - 200;
• Helyi kezelés (Web felület).

Ahogy a méretezésből is látszik, az 1490-es modell 46%-os terheléssel (a zöld zóna elhagyása nélkül) sikeresen megbirkózik ezzel a feladattal. Dedikált kezeléssel az 1470 megbirkózik ezzel a feladattal.
Az 1400-as sorozatú készülékek adatlapja megtekinthető itt.

1200R modell

Ez a modell aligha nevezhető SMB-nek. Ez már ipari megoldás, és talán megérdemel egy külön cikket. Most nem fogjuk ezt a modellt részletesen megvizsgálni.

Webinar

További részletek az SMB-eszközökről korábbi webináriumunkban találhatók:

Álláspontja

Véleményem szerint az új SMB modellek meglehetősen sikeresnek bizonyultak. A készülékek teljesítményét az árszint megtartása mellett jelentősen növelték. Nem állok készen az eszközök magas költségéről/olcsóságáról beszélni, mert Ezek a fogalmak nagyon eltérőek a különböző cégeknél.

Modell 3200 Kis cégeknek ajánlom, akik érdeklődnek a maximális védelem iránt, elfogadható áron. Ráadásul ez jó választás azok számára, akik már hozzászoktak a Gaia teljes verziójához. Itt érhető el az R80.10-es verzió is. Amikor megérkezik a 3100-as értesítés, az árcédula még egy kicsit csökken. Ez egy ideális lehetőség ágak számára.

Sorozatos készülékek 1400 jó kompromisszum, és a legjobb ár/minőség aránnyal rendelkeznek (különösen az 1 SPU-nkénti ár tekintetében). Ezek az eszközök kiválóan alkalmasak alacsony költségvetésű fióktelepek számára. A központosított felügyelet használatával a Gaia teljes verziójával olyan eszközöket kezelhet, mint a hagyományos átjárók. De ismételten ne feledkezzünk meg róla korlátozásokat, amit mindenképpen érdemes megismerned.

PS Szeretnék köszönetet mondani Alekszej Matvejevnek (RRC cég) segítségért az anyag elkészítésében.

Forrás: will.com