Solusi UKM Check Point. Model baru untuk perusahaan kecil dan cabang

Relatif baru (tahun 2016), perusahaan Check Point menyajikan perangkat barunya (baik gateway maupun server kontrol). Perbedaan utama dari lini sebelumnya adalah peningkatan produktivitas secara signifikan.

Pada artikel ini kami akan fokus secara eksklusif pada model yang lebih rendah. Kami akan menjelaskan kelebihan perangkat baru dan kemungkinan kendala yang tidak selalu dibahas. Kami juga akan membagikan kesan pribadi tentang penggunaannya.

Daftar Periksa Poin

Seperti yang Anda lihat dari gambar, Check Point membagi perangkatnya menjadi tiga kategori besar:

• Perusahaan Kelas Atas dan Pusat Data (model 23800, 23500, 15600, 15400)
• Enterprise (model 5900, 5800, 5600, 5400, 5200, 5100)
• Usaha Kecil dan Menengah (model 3200, 3100, 1490, 1470, 1450, 1430, 1200R)

Dalam hal ini, salah satu ciri utamanya adalah apa yang disebut SPU - Unit Daya Keamanan. Ini adalah ukuran milik Check Point yang mencirikan kinerja sebenarnya suatu perangkat. Sebagai contoh, mari kita bandingkan metode tradisional dalam mengukur kinerja Firewall (Mbps) dengan teknik “baru” dari Check Point (SPU).

Teknik tradisional - Throughput Firewall

• Pengukuran dilakukan dalam kondisi laboratorium pada lalu lintas “buatan”.
• Kinerja hanya fungsi Firewall yang dievaluasi, tanpa modul tambahan seperti IPS, Kontrol Aplikasi, dll.
• Pengujian biasanya dilakukan dengan satu aturan Firewall.

Metodologi Check Point - Kekuatan Keamanan

• Pengukuran lalu lintas pengguna sebenarnya.
• Kinerja semua fungsi (Firewall, IPS, Kontrol Aplikasi, pemfilteran URL, dll.) dinilai.
• Diuji pada kebijakan standar yang mencakup banyak aturan.

Alat Pengukur Ukuran Peralatan Titik Periksa

Oleh karena itu, ketika memilih model Check Point yang sesuai, lebih baik mengandalkan parameternya Unit Daya Keamanan. Hal ini ditunjukkan dalam lembar data apa pun untuk perangkat. Anda tidak akan dapat menghitung sendiri SPU yang sesuai untuk jaringan Anda. Hal ini hanya dapat dilakukan dengan bantuan mitra yang memiliki akses ke alat tersebut Alat Pengukur Ukuran Peralatan Titik Periksa:

Untuk memilih solusi optimal, Anda perlu mempertimbangkan parameter seperti:

• lebar saluran internet;
• Total throughput gateway (mungkin berbeda dari saluran Internet jika, misalnya, Anda melakukan segmentasi jaringan lokal menggunakan Check Point);
• Jumlah pengguna di jaringan;
• Fungsi yang diperlukan (Firewall, Anti-Virus, Anti-Bot, Kontrol Aplikasi, Pemfilteran URL, IPS, Emulasi Ancaman, dll.).

Ada juga pengaturan yang lebih halus yang menjelaskan pada lalu lintas apa bilah ini akan diterapkan:

Setelah menentukan semua karakteristik, Anda dapat menerima laporan yang menjelaskan perangkat yang sesuai:

Di sini Anda dapat melihat SPU yang diperlukan (72 dalam kasus kami) dan yang direkomendasikan (144). Dan juga modelnya sendiri dengan deskripsi muatannya dan “cadangan” untuk lalu lintas dan bilahnya. Saat memilih model, selalu disarankan untuk mengambil perangkat dari zona hijau (yaitu memuat hingga 50 persen):

Hal ini memastikan tidak ada masalah selama beban puncak atau rencana penambahan lebar saluran Internet. Saat memilih perangkat, selalu minta pasangan Anda untuk memberikan laporan serupa. Contohnya dapat diunduh di sini.

Lama vs Baru

Setelah memahami parameter utama yang menjadi ciri kinerja perangkat, kita dapat melihat lebih dekat model-model baru untuk usaha kecil dan menengah. Seperti disebutkan di atas, Check Point memiliki seluruh segmen - Usaha Kecil dan Menengah (model 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Perangkat ini bisa disebut sebagai pembaruan dari seri lama 2012 (2200, 1180, 1140, 1120). Untuk memahami perbedaan utamanya, perhatikan gambar di bawah ini:

(harga dalam GPL, tidak termasuk PPN dan dukungan teknis)

Seperti yang Anda lihat, seri 2016 mengalami peningkatan kinerja (SPU) yang signifikan, dan harga tetap pada level yang sama (dengan pengecualian model 3200). Baris baru juga menyertakan model 3100, tapi belum tidak ada pemberitahuan dan impor ke Rusia dilarang! Ingat ini!

Jika kita menghitung ulang harga satu SPU, maka model 1450 adalah yang paling seimbang. Di bawah ini kita akan melihat lebih dekat seri Check Point yang baru.

Skema untuk mengimplementasikan perangkat SMB

Seperti terlihat pada gambar, ada dua skenario implementasi utama untuk perangkat SMB:

1. Dalam mode gerbang default. Dalam hal ini, Check Point dipasang sebagai perangkat perimeter dan dikelola secara lokal.
2. Gerbang cabang. Dalam hal ini, perangkat keras cabang dikelola secara terpusat (menggunakan server Manajemen) dari kantor pusat.

Untuk seri 3000 и 1400 Ada beberapa fitur di setiap mode. Kami akan melihatnya di bawah.

Seri UKM 3000

Saat ini ada dua "potongan besi" - 3200 и 3100. Seperti disampaikan sebelumnya, 3100 belum bisa diimpor ke dalam negeri. Sedangkan untuk 3200, ini merupakan pengganti yang sangat baik untuk seri lama 2200. Perangkat ini menjalankan versi lengkap Gaia (R77.30 dan R80.10). Jika Anda menggunakan perangkat sebagai gerbang utama dalam bisnis kecil, Anda dapat mengharapkan kinerja berikut:

1. Saluran Internet - 50 Mbit;
2. Bandwidth totalnya adalah 300 Mbit;
3. Jumlah pengguna - 200.

Seperti yang Anda lihat, beban perangkat dalam hal ini adalah 47% dan ini dengan manajemen lokal, mis. Standalone konfigurasi (lebih lanjut tentang mandiri dan terdistribusi di sini). Dari pengalaman pribadi saya dapat mengatakan bahwa dengan manajemen lokal tidak disarankan melebihi beban 50%, karena... Mungkin ada masalah dengan kontrol (ini akan melambat).
Jika perangkat dianggap sebagai perangkat cabang (yaitu dengan manajemen terpusat yang terpisah), maka indikatornya akan jauh lebih tinggi. Dan Anda sudah bisa memasuki zona kuning dalam ukuran (yaitu dengan beban 50% hingga 70%). Anda dapat melihat lembar data perangkat di sini.

Seri UKM 1400

Seri ini mencakup beberapa perangkat sekaligus: 1490, 1470, 1450, 1430 (Pengganti logis dari 1120, 1140 dan 1180 yang sudah ketinggalan zaman).

Terlepas dari kenyataan bahwa ini adalah model Check Point termuda, mereka memiliki semua fungsi yang diperlukan:

• Perangkat SMB dapat dirakit menjadi cluster HA (Aktif/Siaga);
• Hampir semua bilah perangkat lunak tersedia (seperti pada perangkat keras “besar”);
• dapat dikelola baik secara lokal maupun terpusat (menggunakan Server Manajemen tradisional);
• ada modifikasi dengan WiFi, ADSL dan PoE;
• Anda dapat menghubungkan modem 3G;
• Kit pemasangan rak tersedia.

Namun, perlu diperingatkan tentang beberapa batasan/fitur:

• Perangkat ini memiliki Gaia yang rusak, dan Gaia 77.20 Tertanam. Keterbatasan ini disebabkan oleh arsitektur perangkat (prosesor ARM yang digunakan). Dalam hal kontrol lokal (mandiri), Anda tidak akan dapat menggunakan SmartConsole biasa. Sebaliknya, ada antarmuka web. Anda dapat melihatnya di video ini:
  
  Contohnya adalah seri 700, tetapi pada prinsipnya tidak dijual di Rusia.
• Fungsi Ekstraksi Ancaman tidak berfungsi. Emulasi Ancaman saja. Anda dapat melihat apa itu di sini
• Tidak mungkin untuk merakit cluster dalam mode Load Sharing. Itu. curang dengan membeli dua perangkat keras “murah” dan mendistribusikan beban dalam cluster di antara keduanya tidak akan berhasil.
• Dengan manajemen lokal, terdapat batasan serius terkait pemeriksaan HTTPS.
• Pemindaian arsip dengan anti-Virus tidak berfungsi.
• Tidak ada fungsi DLP.

Poin terakhir mungkin merupakan batasan paling penting yang sering kali diabaikan. Untuk pemeriksaan HTTPS penuh, Anda akan dipaksa untuk menggunakan server Manajemen khusus tradisional. Dalam hal ini, Anda akan mengontrol perangkat sebagai gateway dengan Gaia versi lengkap (hampir lengkap).

Batasan lain dari Gaia Embedded dapat ditemukan di sini di sini. Pastikan untuk memeriksanya sebelum membuat keputusan pembelian.

Misalnya, pertimbangkan sebuah kantor kecil dengan parameter berikut:

• Saluran Internet - 50 Mbit;
• Bandwidth totalnya adalah 200 Mbit;
• Jumlah pengguna - 200;
• Manajemen lokal (antarmuka web).

Dilihat dari ukurannya, model 1490 berhasil mengatasi tugas ini dengan beban 46% (tanpa meninggalkan zona hijau). Dengan manajemen yang berdedikasi, 1470 akan mengatasi tugas ini.
Lembar data untuk perangkat seri 1400 dapat dilihat di sini.

Model 1200R

Model ini hampir tidak bisa disebut SMB. Ini sudah merupakan solusi industri dan mungkin memerlukan artikel terpisah. Sekarang kami tidak akan mempertimbangkan model ini secara detail.

Webinar

Detail selengkapnya tentang perangkat UKM dapat ditemukan di webinar kami sebelumnya:

Temuan

Menurut saya, model UKM baru ternyata cukup sukses. Kinerja perangkat telah meningkat secara signifikan dengan tetap menjaga tingkat harga. Saya belum siap berbicara tentang mahalnya/murahnya perangkat, karena Konsep-konsep ini sangat berbeda untuk perusahaan yang berbeda.

Model 3200 Saya akan merekomendasikannya kepada perusahaan kecil yang tertarik dengan tingkat perlindungan maksimum dengan harga yang wajar. Selain itu, ini adalah pilihan bagus bagi mereka yang sudah terbiasa menggunakan Gaia versi lengkap. Versi R80.10 juga tersedia di sini. Ketika pemberitahuan untuk 3100 diterima, label harga akan turun sedikit lagi. Ini adalah pilihan ideal untuk cabang.

Perangkat seri 1400 merupakan kompromi yang baik dan memiliki rasio harga/kualitas terbaik (terutama dalam hal harga per 1 SPU). Perangkat ini bagus untuk cabang dengan anggaran terbatas. Dengan menggunakan manajemen terpusat, Anda dapat mengelola perangkat seperti gateway biasa dengan Gaia versi lengkap. Tapi, sekali lagi, jangan lupakan pembatasan, yang pastinya harus Anda pahami.

PS Saya ingin mengucapkan terima kasih kepada Alexei Matveev (perusahaan RRC) untuk bantuan dalam mempersiapkan materi.

Sumber: www.habr.com