Check Point SMB լուծումներ: Նոր մոդելներ փոքր ընկերությունների և մասնաճյուղերի համար

Համեմատաբար վերջերս (2016 թ.) ընկերությունը Check Point ներկայացրել է իր նոր սարքերը (ինչպես gateways, այնպես էլ կառավարման սերվերներ): Նախորդ տողից հիմնական տարբերությունը արտադրողականության զգալի աճն է:

Այս հոդվածում մենք կկենտրոնանանք բացառապես ստորին մոդելների վրա: Մենք նկարագրելու ենք նոր սարքերի առավելությունները և հնարավոր որոգայթները, որոնք միշտ չէ, որ քննարկվում են: Մենք նաև կկիսվենք դրանց օգտագործման վերաբերյալ անձնական տպավորություններով:

Check Point-ի կազմը

Ինչպես երևում է նկարից, Check Point-ն իր սարքերը բաժանում է երեք խոշոր կատեգորիաների.

• High End Enterprise and Data Center (մոդելներ 23800, 23500, 15600, 15400)
• ձեռնարկություն (մոդելներ 5900, 5800, 5600, 5400, 5200, 5100)
• Փոքր և միջին ձեռնարկություն (մոդելներ 3200, 3100, 1490, 1470, 1450, 1430, 1200 R)

Այս դեպքում հիմնական բնութագրիչներից է այսպես կոչված SPU - Անվտանգության էներգաբլոկներ. Սա Check Point-ի սեփականության միջոցն է, որը բնութագրում է սարքի իրական աշխատանքը: Որպես օրինակ՝ եկեք համեմատենք Firewall-ի կատարողականությունը (Mbps) չափելու ավանդական մեթոդը Check Point-ի (SPU) «նոր» տեխնիկայի հետ:

Ավանդական տեխնիկա - Firewall Throughput

• Չափումները կատարվում են լաբորատոր պայմաններում «արհեստական» երթևեկության վրա։
• Գնահատվում է միայն Firewall ֆունկցիայի կատարումը՝ առանց լրացուցիչ մոդուլների, ինչպիսիք են IPS, Application Control և այլն։
• Փորձարկումը սովորաբար իրականացվում է Firewall-ի մեկ կանոնով:

Check Point Methodology - Security Power

• Օգտագործողի իրական տրաֆիկի չափումներ:
• Գնահատվում է բոլոր գործառույթների կատարումը (Firewall, IPS, Application Control, URL-ի զտում և այլն):
• Փորձարկվել է ստանդարտ քաղաքականության վրա, որը ներառում է բազմաթիվ կանոններ:

Check Point Appliance Sizing Tool

Այսպիսով, Check Point-ի համապատասխան մոդել ընտրելիս ավելի լավ է ապավինել պարամետրին Անվտանգության էներգաբլոկ. Այն նշված է սարքի ցանկացած տվյալների աղյուսակում: Դուք չեք կարողանա ինքնուրույն հաշվարկել ձեր ցանցի համապատասխան SPU-ն: Դա կարելի է անել միայն գործընկերոջ օգնությամբ, ով հասանելի է գործիքին Check Point Appliance Sizing Tool:

Օպտիմալ լուծում ընտրելու համար անհրաժեշտ է հաշվի առնել այնպիսի պարամետրեր, ինչպիսիք են.

• Ինտերնետ ալիքի լայնությունը;
• Դարպասի ընդհանուր թողունակությունը (կարող է տարբերվել ինտերնետ ալիքից, եթե, օրինակ, դուք բաժանել եք տեղական ցանցը Check Point-ի միջոցով);
• Ցանցում օգտագործողների թիվը;
• Պահանջվող գործառույթները (Firewall, Anti-Virus, Anti-Bot, Application Control, URL Filtering, IPS, Threat Emulation և այլն):

Կան նաև ավելի նուրբ կարգավորումներ, որոնք նկարագրում են, թե ինչ երթևեկության վրա են կիրառվելու այս շեղբերները.

Բոլոր բնութագրերը նշելուց հետո կարող եք ստանալ համապատասխան սարքերը նկարագրող հաշվետվություն.

Այստեղ դուք կարող եք տեսնել անհրաժեշտ SPU-ն (մեր դեպքում՝ 72) և առաջարկվողը (144): Եվ նաև իրենք՝ մոդելները՝ իրենց բեռի նկարագրությամբ և «պահուստով» երթևեկության և շեղբերների համար: Մոդել ընտրելիս միշտ խորհուրդ է տրվում սարքը վերցնել կանաչ գոտուց (այսինքն՝ բեռնվածությունը մինչև 50 տոկոս).

Սա ապահովում է, որ խնդիրներ չլինեն գագաթնակետային բեռների կամ ինտերնետ ալիքի լայնության պլանավորված մեծացման ժամանակ: Սարք ընտրելիս միշտ խնդրեք ձեր գործընկերոջը տրամադրել նմանատիպ հաշվետվություն: Օրինակը կարելի է ներբեռնել այստեղ.

Հին ընդդեմ Նոր

Հասկանալով սարքերի աշխատանքը բնութագրող հիմնական պարամետրը, մենք կարող ենք ավելի սերտորեն նայել փոքր և միջին բիզնեսի նոր մոդելներին: Ինչպես նշվեց վերևում, Check Point-ն ունի մի ամբողջ հատված. Փոքր և միջին ձեռնարկություն (մոդելներ 3200, 3100, 1490, 1470, 1450, 1430, 1200R): Այս սարքերը կարելի է անվանել 2012 թվականի հին սերիայի թարմացում (2200, 1180, 1140, 1120): Հիմնական տարբերությունները հասկանալու համար հաշվի առեք ստորև ներկայացված նկարը.

(գները GPL-ով են՝ առանց ԱԱՀ-ի և տեխնիկական աջակցության)

Ինչպես տեսնում եք, 2016-ի սերիան զգալիորեն բարձրացրել է կատարումը (SPU), և գները մնացել են մոտավորապես նույն մակարդակի վրա (բացառությամբ 3200 մոդելի): Նոր շարքը ներառում է նաև մոդել 3100, բայց դեռ ոչ ծանուցում չկա, և ներմուծումը Ռուսաստան արգելված է։ Հիշեք սա!

Եթե ​​վերահաշվարկենք մեկ SPU-ի արժեքը, ապա 1450 մոդելը ամենահավասարակշռվածն է։ Ստորև մենք ավելի մանրամասն կանդրադառնանք Check Point-ի նոր շարքին:

SMB սարքերի ներդրման սխեմաներ

Ինչպես երևում է նկարից, SMB սարքերի իրականացման երկու հիմնական սցենար կա.

1. Լռելյայն դարպասի ռեժիմում: Այս դեպքում Check Point-ը տեղադրվում է որպես պարագծային սարք և կառավարվում տեղական մակարդակում:
2. Մասնաճյուղի դարպաս: Այս դեպքում մասնաճյուղի սարքավորումները կառավարվում են կենտրոնական կարգով (Կառավարման սերվերի միջոցով) գլխամասային գրասենյակից:

Սերիաների համար 3000 и 1400 Յուրաքանչյուր ռեժիմում կան որոշ առանձնահատկություններ: Ստորև կանդրադառնանք դրանց:

SMB սերիա 3000

Այս պահին կա երկու «երկաթի կտոր». 3200 и 3100. Ինչպես ավելի վաղ ասվել էր, 3100-ը դեռ չի կարող ներմուծվել երկիր։ Ինչ վերաբերում է 3200-ին, ապա այն հիանալի փոխարինում է հին 2200 սերիայի համար: Սարքը աշխատում է Gaia-ի ամբողջական տարբերակով (ինչպես R77.30, այնպես էլ R80.10): Եթե ​​դուք օգտագործում եք սարքը որպես հիմնական դարպաս փոքր բիզնեսում, կարող եք ակնկալել հետևյալ կատարումը.

1. Ինտերնետ ալիք - 50 Մբիթ;
2. Ընդհանուր թողունակությունը - 300 Մբիթ;
3. Օգտագործողների թիվը՝ 200։

Ինչպես տեսնում եք, սարքի ծանրաբեռնվածությունը այս դեպքում կազմում է 47% և սա տեղական կառավարման հետ է, այսինքն. Անկախ կոնֆիգուրացիա (ավելի շատ ինքնուրույն և բաշխված այստեղ) Անձնական փորձից կարող եմ ասել, որ տեղական մենեջմենթով խորհուրդ չի տրվում գերազանցել 50%-ի բեռը, քանի որ... Կարող են խնդիրներ առաջանալ վերահսկողության հետ (այն կդանդաղի):
Եթե ​​սարքը դիտարկվի որպես ճյուղային սարք (այսինքն՝ առանձին կենտրոնացված կառավարմամբ), ապա ցուցանիշները զգալիորեն ավելի բարձր կլինեն։ Եվ դուք արդեն կարող եք մուտք գործել դեղին գոտի չափագրման մեջ (այսինքն, 50% -ից մինչև 70%) բեռով: Դուք կարող եք դիտել սարքի տվյալների թերթիկը այստեղ.

SMB սերիա 1400

Այս շարքը ներառում է միանգամից մի քանի սարքեր՝ 1490, 1470, 1450, 1430 (Հնացած 1120, 1140 և 1180-ի տրամաբանական փոխարինում):

Չնայած այն հանգամանքին, որ դրանք ամենաերիտասարդ Check Point մոդելներն են, նրանք ունեն բոլոր անհրաժեշտ ֆունկցիոնալությունը.

• SMB սարքերը կարող են հավաքվել HA կլաստերի մեջ (Ակտիվ/Սպասման);
• Գրեթե բոլոր ծրագրային շեղբերները հասանելի են (ինչպես ապարատային «խոշոր» մասերում);
• կարող է կառավարվել ինչպես տեղական, այնպես էլ կենտրոնական (օգտագործելով ավանդական կառավարման սերվեր);
• կան փոփոխություններ WiFi-ի, ADSL-ի և PoE-ի հետ;
• կարող եք միացնել 3G մոդեմներ;
• Հասանելի են դարակաշարերի տեղադրման հավաքածուներ:

Այնուամենայնիվ, արժե զգուշացնել որոշ սահմանափակումների / առանձնահատկությունների մասին.

• Սարքի վրա կա անսարք Gaia, և Gaia 77.20 Ներդրված. Այս սահմանափակումը պայմանավորված է սարքի ճարտարապետությամբ (օգտագործվում են ARM պրոցեսորներ): Տեղական կառավարման դեպքում (ինքնուրույն), դուք չեք կարողանա օգտագործել սովորական SmartConsole-ը: Փոխարենը կա վեբ ինտերֆեյս: Դուք կարող եք դա տեսնել այս տեսանյութում.
  
  Օրինակը համարում է 700 սերիան, բայց սկզբունքորեն այն չի վաճառվում Ռուսաստանում:
• Threat Extraction ֆունկցիան չի աշխատում: Միայն սպառնալիքների էմուլյացիա: Դուք կարող եք տեսնել, թե ինչ է դա այստեղ
• Անհնար է կլաստեր հավաքել Load Sharing ռեժիմում: Նրանք. խաբելը երկու «էժան» սարքաշար գնելով և բեռը կլաստերի մեջ բաշխելով նրանց միջև չի աշխատի:
• Տեղական կառավարման հետ կապված լուրջ սահմանափակումներ կան HTTPS-ի ստուգման հետ կապված:
• Արխիվների հակավիրուսային սկանավորումը չի աշխատում:
• DLP ֆունկցիա չկա:

Վերջին կետերը, թերեւս, ամենակարևոր սահմանափակումներն են, որոնք հաճախ լռում են: HTTPS-ի ամբողջական ստուգման համար դուք ստիպված կլինեք օգտագործել ավանդական նվիրված կառավարման սերվեր: Այս դեպքում դուք կկառավարեք սարքը որպես Gaia-ի ամբողջական (գրեթե ամբողջական) տարբերակով դարպաս:

Gaia Embedded-ի այլ սահմանափակումները կարող եք գտնել այստեղ այստեղ. Համոզվեք, որ ստուգեք դրանք նախքան գնման որոշում կայացնելը:

Օրինակ, հաշվի առեք փոքր գրասենյակ հետևյալ պարամետրերով.

• Ինտերնետ ալիք - 50 Մբիթ;
• Ընդհանուր թողունակությունը - 200 Մբիթ;
• Օգտագործողների թիվը - 200;
• Տեղական կառավարում (վեբ ինտերֆեյս):

Ինչպես երևում է չափերից, 1490 մոդելը հաջողությամբ հաղթահարում է այս խնդիրը 46% բեռով (առանց կանաչ գոտուց դուրս գալու): Նվիրված կառավարման դեպքում 1470-ը կհաղթահարի այս խնդիրը:
1400 սերիայի սարքերի տվյալների թերթիկը կարելի է դիտել այստեղ.

Մոդել 1200R

Այս մոդելը հազիվ թե կարելի է անվանել SMB: Սա արդեն արդյունաբերական լուծում է և թերևս արժանի է առանձին հոդվածի։ Այժմ մենք մանրամասն չենք քննարկի այս մոդելը:

Webinar

SMB սարքերի մասին ավելի շատ մանրամասներ կարելի է գտնել մեր նախորդ վեբինարում՝

Արդյունքները

Իմ կարծիքով, նոր SMB մոդելները բավականին հաջող են ստացվել։ Սարքերի արդյունավետությունը զգալիորեն բարձրացել է՝ պահպանելով գների մակարդակը։ Ես պատրաստ չեմ խոսել սարքերի բարձր արժեքի/էժանության մասին, քանի որ Այս հասկացությունները շատ տարբեր են տարբեր ընկերությունների համար:

Մոդել 3200 Ես խորհուրդ կտայի այն փոքր ընկերություններին, որոնք շահագրգռված են պաշտպանվածության առավելագույն մակարդակով ողջամիտ գնով: Բացի այդ, սա լավ ընտրություն է նրանց համար, ովքեր արդեն սովոր են աշխատել Gaia-ի ամբողջական տարբերակի հետ: Այստեղ հասանելի է նաև R80.10 տարբերակը: Երբ 3100-ի մասին ծանուցում ստացվի, գինը մի փոքր ավելի կիջնի: Սա իդեալական տարբերակ է մասնաճյուղերի համար։

Սերիայի սարքեր 1400 լավ փոխզիջում են և ունեն լավագույն գին/որակ հարաբերակցությունը (հատկապես 1 SPU-ի համար գնի առումով): Այս սարքերը մեծ են բյուջեով մասնաճյուղերի համար: Օգտագործելով կենտրոնացված կառավարում, դուք կարող եք կառավարել այնպիսի սարքեր, ինչպիսիք են սովորական դարպասները Gaia-ի ամբողջական տարբերակով: Բայց, կրկին, մի մոռացեք դրա մասին սահմանափակումներ, որին անպայման պետք է ծանոթանաք։

P.S. Ես ուզում եմ շնորհակալություն հայտնել Ալեքսեյ Մատվեևին (RRC ընկերություն) նյութի պատրաստման հարցում օգնության համար։

Source: www.habr.com