Relativamente recentemente (nel 2016), l'azienda ha presentato i suoi nuovi dispositivi (sia gateway che server di controllo). La differenza fondamentale rispetto alla linea precedente è la produttività notevolmente aumentata.
In questo articolo ci concentreremo esclusivamente sui modelli inferiori. Descriveremo i vantaggi dei nuovi dispositivi e le possibili insidie che non sempre vengono discusse. Condivideremo anche le nostre impressioni personali sul loro utilizzo.
Formazione del Check Point
Come puoi vedere dall'immagine, Check Point divide i suoi dispositivi in tre grandi categorie:
- Enterprise e data center di fascia alta (Modelli , )
- Impresa (Modelli )
- Piccola e media impresa (Modelli , , , , , , 1200R)
In questo caso, una delle caratteristiche principali è la cosiddetta SPU - Unità di alimentazione di sicurezza. Questa è la misura proprietaria di Check Point che caratterizza le prestazioni effettive di un dispositivo. Ad esempio, confrontiamo il metodo tradizionale di misurazione delle prestazioni del Firewall (Mbps) con la “nuova” tecnica di Check Point (SPU).
Tecnica tradizionale: throughput del firewall
- Le misurazioni vengono effettuate in condizioni di laboratorio sul traffico “artificiale”.
- Vengono valutate le prestazioni della sola funzione Firewall, senza moduli aggiuntivi come IPS, Application Control, ecc.
- Il test viene solitamente eseguito con una regola del firewall.
Metodologia del Check Point: potere della sicurezza
- Misurazioni sul traffico degli utenti reali.
- Vengono valutate le prestazioni di tutte le funzionalità (Firewall, IPS, Controllo applicazioni, filtraggio URL, ecc.).
- Testato su una policy standard che include molte regole.
Strumento di dimensionamento degli elettrodomestici Check Point
Pertanto, quando si sceglie un modello Check Point adatto, è meglio fare affidamento sul parametro Unità di alimentazione di sicurezza. È indicato in qualsiasi scheda tecnica del dispositivo. Non sarai in grado di calcolare da solo la SPU appropriata per la tua rete. Questo può essere fatto solo con l'aiuto di un partner che ha accesso allo strumento Strumento di dimensionamento degli elettrodomestici Check Point:
Per selezionare la soluzione ottimale, è necessario tenere conto di parametri quali:
- Larghezza del canale Internet;
- Il throughput totale del gateway (potrebbe differire dal canale Internet se, ad esempio, hai segmentato la rete locale utilizzando Check Point);
- Numero di utenti sulla rete;
- Funzioni richieste (Firewall, Anti-Virus, Anti-Bot, Controllo Applicazioni, Filtro URL, IPS, Emulazione Minacce, ecc.).
Esistono anche impostazioni più sottili che descrivono il traffico a cui verranno applicati questi blade:
Dopo aver specificato tutte le caratteristiche è possibile ricevere un report con la descrizione dei dispositivi idonei:
Qui puoi vedere la SPU richiesta (72 nel nostro caso) e quella consigliata (144). E anche i modelli stessi con la descrizione del loro carico e della “riserva” per il traffico e le pale. Quando si sceglie un modello, si consiglia sempre di prendere un dispositivo dalla zona verde (ovvero caricare fino al 50%):
Ciò garantisce che non si verifichino problemi durante i picchi di carico o gli aumenti pianificati della larghezza del canale Internet. Quando scegli un dispositivo, chiedi sempre al tuo partner di fornire un rapporto simile. L'esempio può essere scaricato .
Vecchio contro Nuovo
Dopo aver compreso i principali parametri che caratterizzano le prestazioni dei dispositivi, possiamo dare uno sguardo più da vicino ai nuovi modelli per le piccole e medie imprese. Come accennato in precedenza, Check Point ha un intero segmento: Piccola e media impresa (modelli 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Questi dispositivi possono essere definiti un aggiornamento della vecchia serie 2012 (2200, 1180, 1140, 1120). Per comprendere le differenze principali, considera l'immagine seguente:
(i prezzi sono in GPL, IVA e supporto tecnico esclusi)
Come puoi vedere, la serie 2016 ha aumentato significativamente le prestazioni (SPU) e i prezzi sono rimasti approssimativamente allo stesso livello (ad eccezione del modello 3200). La nuova linea comprende anche un modello 3100, ma non ancora non c'è alcuna notifica e l'importazione in Russia è vietata! Ricorda questo!
Se ricalcoliamo il costo di una SPU, il modello 1450 è il più equilibrato. Di seguito daremo uno sguardo più da vicino alla nuova serie Check Point.
Schemi per l'implementazione dei dispositivi PMI
Come si può vedere dalla figura, esistono due principali scenari di implementazione per i dispositivi SMB:
- Nella modalità gateway predefinita. In questo caso Check Point viene installato come dispositivo perimetrale e amministrato localmente.
- Porta di filiale. In questo caso l'hardware della filiale viene gestito centralmente (utilizzando il Management Server) dalla sede centrale.
Per serie и Ci sono alcune funzionalità in ciascuna modalità. Li guarderemo di seguito.
PMI serie 3000
Al momento ci sono due “pezzi di ferro” - 3200 и 3100. Come affermato in precedenza, 3100 non possono ancora essere importati nel paese. Per quanto riguarda il 3200, è un eccellente sostituto della vecchia serie 2200. Il dispositivo esegue una versione completa di Gaia (sia R77.30 che R80.10). Se utilizzi il dispositivo come gateway principale in una piccola impresa, puoi aspettarti le seguenti prestazioni:
- Canale Internet - 50 Mbit;
- Larghezza di banda totale: 300 Mbit;
- Numero di utenti - 200.
Come puoi vedere, il carico del dispositivo in questo caso è del 47% e questo avviene con la gestione locale, ad es. Indipendente, autonomo configurazione (ulteriori informazioni su standalone e distribuito ). Per esperienza personale posso dire che con la gestione locale non è consigliabile superare il carico del 50%, perché... Potrebbero esserci problemi con il controllo (rallenterà).
Se il dispositivo è considerato come un dispositivo di filiale (cioè con gestione centralizzata separata), gli indicatori saranno significativamente più alti. E si può già entrare in zona gialla nel dimensionamento (cioè con un carico dal 50% al 70%). È possibile visualizzare la scheda tecnica del dispositivo .
PMI serie 1400
Questa serie comprende più dispositivi contemporaneamente: 1490, 1470, 1450, 1430 (Sostituzione logica degli obsoleti 1120, 1140 e 1180).
Nonostante questi siano i modelli Check Point più giovani, hanno tutte le funzionalità necessarie:
- I dispositivi PMI possono essere assemblati in un cluster HA (attivo/standby);
- Sono disponibili quasi tutti i blade software (come su componenti hardware “grandi”);
- può essere gestito sia localmente che centralmente (utilizzando un Management Server tradizionale);
- sono previste modifiche con WiFi, ADSL e PoE;
- puoi connettere modem 3G;
- Sono disponibili kit di montaggio su rack.
Tuttavia, vale la pena avvisare su alcune limitazioni/caratteristiche:
- Il dispositivo ha Gaia difettosa a bordo e Gaia 77.20 Incorporato. Questa limitazione è dovuta all'architettura del dispositivo (vengono utilizzati processori ARM). In caso di controllo locale (standalone), non sarà possibile utilizzare la consueta SmartConsole. Invece, c'è un'interfaccia web. Puoi vederlo in questo video:
L'esempio considera la serie 700, ma in linea di principio non è venduta in Russia. - La funzione di estrazione delle minacce non funziona. Solo emulazione di minacce. Puoi vedere di cosa si tratta
- È impossibile assemblare un cluster in modalità di condivisione del carico. Quelli. imbrogliare acquistando due componenti hardware “economici” e distribuendo il carico nel cluster tra di loro non funzionerà.
- Con la gestione locale esistono serie restrizioni relative all'ispezione HTTPS.
- La scansione antivirus degli archivi non funziona.
- Nessuna funzione DLP.
Gli ultimi punti sono forse le restrizioni più importanti che spesso vengono taciute. Per l'ispezione HTTPS completa, sarai costretto a utilizzare un tradizionale server di gestione dedicato. In questo caso controllerai il dispositivo come un gateway con una versione completa (quasi completa) di Gaia.
Altre restrizioni di Gaia Embedded possono essere trovate qui . Assicurati di controllarli prima di prendere una decisione di acquisto.
Consideriamo ad esempio un piccolo ufficio con i seguenti parametri:
- Canale Internet - 50 Mbit;
- Larghezza di banda totale: 200 Mbit;
- Numero di utenti - 200;
- Gestione locale (interfaccia Web).
Come si può vedere dal dimensionamento, il modello 1490 affronta con successo questo compito con un carico del 46% (senza uscire dalla zona verde). Con una gestione dedicata, il 1470 farà fronte a questo compito.
È possibile visualizzare la scheda tecnica dei dispositivi della serie 1400 .
Modello 1200R
Questo modello difficilmente può essere definito PMI. Questa è già una soluzione industriale e forse meriterebbe un articolo a parte. Ora non considereremo questo modello in dettaglio.
Webinar
Maggiori dettagli sui dispositivi PMI sono disponibili nel nostro webinar precedente:
risultati
A mio parere, i nuovi modelli PMI si sono rivelati un discreto successo. Le prestazioni dei dispositivi sono state notevolmente aumentate mantenendo il livello dei prezzi. Non sono pronto a parlare dell'alto costo/economicità dei dispositivi, perché Questi concetti sono molto diversi per le diverse aziende.
Modello Lo consiglierei alle piccole aziende interessate al massimo livello di protezione a un prezzo ragionevole. Inoltre, questa è una buona scelta per coloro che sono già abituati a lavorare con la versione completa di Gaia. La versione R80.10 è disponibile anche qui. Quando viene ricevuta la notifica per 3100, il prezzo scenderà leggermente. Questa è un'opzione ideale per le filiali.
Dispositivi in serie sono un buon compromesso e hanno il miglior rapporto qualità/prezzo (soprattutto in termini di prezzo per 1 SPU). Questi dispositivi sono ottimi per le filiali con un budget limitato. Utilizzando la gestione centralizzata, puoi gestire dispositivi come normali gateway con una versione completa di Gaia. Ma, ancora una volta, non dimenticarlo , con cui dovresti assolutamente familiarizzare.
PS Vorrei ringraziare Alexey Matveev () per ricevere aiuto nella preparazione del materiale.
Fonte: habr.com
