1. NGFW לעסקים קטנים. קו שער אבטחה חדש של CheckPoint 1500

לאחר הפרסום מאמרים יותר משנתיים חלפו, דגמי סדרת 1400 הוסרו כעת מהמכירה. הגיע הזמן לשינויים וחידושים, משימה ש-CheckPoint ניסתה ליישם בסדרת 1500. במאמר נבחן מודלים להגנה על משרדים קטנים או סניפי חברה, נציג מאפיינים טכניים, תכונות מסירה (סכימות רישוי, ניהול וניהול), ונגע בטכנולוגיות ואפשרויות חדשות.

ההרכב

דגמי ה-SMB החדשים הם: 1530, 1550, 1570, 1570R. ניתן לצפות במוצרים בכתובת דף פורטל צ'ק פוינט. באופן הגיוני, נחלק אותם לשלוש קבוצות: שער אבטחה משרדי עם תמיכה ב-WIFI (1530, 1550), שער אבטחה משרדי עם תמיכה ב-WIFI + 4G/LTE (1570, 1550), שער אבטחה לתעשייה (1570R).

סדרות 1530, 1550

לדגמים 5 ממשקי רשת לרשת המקומית וממשק 1 לגישה לאינטרנט, רוחב הפס שלהם הוא 1 GB. זמין גם קונסולת USB-C. לגבי מאפיינים טכניים, אז טופס מידע מודלים אלו מציעים מספר רב של פרמטרים מדודים, אך נתמקד בחשובים ביותר (לדעתנו).

מאפייני

1530

1550

מספר מקסימלי של חיבורים בשנייה

10 500

14 000

מספר מקסימלי של חיבורים במקביל

500 000

500 000

תפוקה עם חומת אש + מניעת איומים (Mbit/C)

340

450

תפוקה עם חומת אש + IPS (Mbit/C)

600

800

רוחב פס של חומת אש (Mbps)

1000

1000

* מניעת איומים מתייחסת ללהבים הבאים: חומת אש, בקרת יישומים ו-IPS.

לדגמים 1530, 1550 יש מספר פונקציות:

• Gaia 80.20 רשימה מוטבעת של אפשרויות מוצגת ב SK CheckPoint
• רישיון גישה ניידת ל-100 חיבורים במקביל כלול ברכישת כל מכשיר. כדאי לקחת בחשבון שתכונה זו של מגוון דגמי SMB NGFW מאפשרת לך לחסוך ברכישה נפרדת של רישיונות Mobile Access, שאינם כלולים בעת רכישת סדרות דגמי CheckPoint אחרות.
• היכולת לנהל את שער האבטחה באמצעות אפליקציית Watch Tower לנייד (פרטים נוספים נכתבו אצלנו מאמר.)

למי סדרות 1530, 1550: קו זה מתאים לסניפים של עד 100 איש, מספק חיבור מרחוק וקיימות שיטות ניהול שונות.

סדרות 1570, 1590

לדגמים הישנים יותר בסדרת 1500 יש 8 ממשקים לחיבורים מקומיים, ממשק 1 ל-DMZ וממשק 1 לחיבור לאינטרנט (רוחב הפס של כל היציאות הוא 1 GB/s). זמינים גם יציאת USB 3.0 ומסוף USB-C. הדגמים מגיעים עם תמיכה במודמים 4G/LTE. תמיכה בכרטיסי Micro-SD כלולה כדי להרחיב את הזיכרון הפנימי של המכשיר.

מפרטים מוצגים להלן:

מאפייני

1570

1590

מספר מקסימלי של חיבורים בשנייה

15 750

21 000

מספר מקסימלי של חיבורים במקביל

500 000

500 000

תפוקה למניעת איומים (Mbps)

500

660

תפוקה עם חומת אש + IPS (Mbit/C)

970

1300

רוחב פס של חומת אש (Mbps)

2800

2800

לדגמים 1570, 1590 יש מספר פונקציות:

• Gaia 80.20 רשימה מוטבעת של אפשרויות מוצגת ב SK.
• רישיון גישה ניידת ל-200 חיבורים במקביל
  מגיע עם רכישת כל אחד מהמכשירים. כדאי לקחת בחשבון שתכונה זו של מגוון דגמי SMB NGFW מאפשרת לך לחסוך ברכישה נפרדת של רישיונות Mobile Access, שאינם כלולים בעת רכישת סדרות דגמי CheckPoint אחרות.
• היכולת לנהל את שער האבטחה באמצעות אפליקציית Watch Tower לנייד (פרטים נוספים נכתבו אצלנו статье).

למי סדרות 1570, 1590: קו זה מתאים למשרדים של עד 200 איש, מספק חיבור מרחוק ובעל הביצועים הגבוהים ביותר מבין משפחת ה-SMB.

לשם השוואה אינדיקטורים דגמים קודמים:

מאפייני

1470

1490

תפוקה עם מניעת איומים + חומת אש (Mbit/C)

500

550

תפוקה עם חומת אש + IPS (Mbit/C)

625

800

1570R

NGFW 1570R CheckPoint ראוי לתשומת לב מיוחדת. הוא פותח במיוחד עבור התעשייה התעשייתית ויעניין חברות העוסקות בתחום: הובלה, הפקת משאבים מינרליים (נפט, גז וכו'), ייצור מוצרים שונים.

ה-1570R תוכנן תוך התחשבות בתכונות ובתנאי השימוש בו:

• אבטחה היקפית של רשת ובקרה על מכשירים חכמים;
• תמיכה בפרוטוקולי ICS/SCADA תעשייתיים, מחבר GPS;
• סובלנות לתקלות בעת עבודה בתנאים קיצוניים (טמפרטורות גבוהות/נמוכות, משקעים, רטט מוגבר).

מאפיינים של NGFW

1570 מחוספס

מספר מקסימלי של חיבורים בשנייה

13 500

מספר מקסימלי של חיבורים במקביל

500 000

תפוקה למניעת איומים (Mbps)

400

תפוקה עם חומת אש + IPS (Mbit/C)

700

רוחב פס של חומת אש (Mbps)

1900

תנאי שימוש

-40ºC ~ 75ºC (-40ºF ~ +167ºF)

תעודות כוח

EN/IEC 60529, IEC 60068-2-27 זעזוע, IEC 60068-2-6 רטט

בנוסף, נדגיש בנפרד מספר פונקציות של 1570R:

• Gaia 80.20 רשימה מוטבעת של אפשרויות מוצגת ב SK.
• רישיון גישה ניידת ל-200 חיבורים במקביל
  מסופק עם רכישת המכשיר. כדאי לקחת בחשבון שתכונה זו של מגוון הדגמים החדשים של SMB NGFW מאפשרת לך לחסוך ברכישה נפרדת של רישיונות Mobile Access, שאינם כלולים בעת רכישת סדרות דגמי CheckPoint אחרות.
• היכולת לנהל את שער האבטחה באמצעות אפליקציית Watch Tower לנייד (פרטים נוספים נכתבו אצלנו статье)
• יצירה אוטומטית של מדיניות/כללים עבור מכשירי IoT ברגע שהם מחוברים לרשת המקומית שלך. הכלל נוצר עבור כל מכשיר חכם ומאפשר רק את אותם פרוטוקולים שהוא צריך לפעול בצורה נכונה.

שליטה מסדרת 1500

לאחר ששקלנו את המאפיינים הטכניים והיכולות של המכשירים החדשים של משפחת ה-SMB, ראוי לציין שיש גישות שונות לניהולם ולניהולם. קיימות הסכימות האופייניות הבאות:

1. שליטה מקומית.

   הוא משמש בדרך כלל בעסקים קטנים בהם ישנם מספר משרדים ואין ניהול מרוכז של התשתית. היתרונות כוללים: פריסה נגישה וניהול של NGFW, יכולת אינטראקציה עם מכשירים מקומית. החסרונות כוללים מגבלות הקשורות ליכולות של Gaia: היעדר רמת הפרדת חוקים, כלי ניטור מוגבלים, היעדר אחסון מרכזי של יומנים.

   

2. ניהול מרכזי באמצעות שרת ניהול ייעודי. גישה זו משמשת במקרה שבו המנהל יכול לנהל מספר NGFWs; הם יכולים להיות ממוקמים באתרים שונים. היתרון של גישה זו הוא גמישות ושליטה על המצב הכללי של התשתית, וחלק מהאפשרויות של Gaia 80.20 Embedded זמינות רק עם תכנית זו.

   

3. ניהול מרכזי באמצעות Smart-1 Cloud. זהו סקריפט חדש לניהול NGFW מ-CheckPoint. שרת הניהול שלך פרוס בסביבת ענן, כל הניהול מתבצע דרך ממשק האינטרנט, מה שמאפשר לך לא להיות תלוי במערכת ההפעלה של המחשב האישי שלך. בנוסף, שרת הניהול מתוחזק על ידי מומחי CheckPoint, הביצועים שלו תלויים ישירות בפרמטרים שנבחרו וניתנים להרחבה בקלות.

   

4. ניהול מרכזי באמצעות SMP (פורטל ניהול אבטחה). פתרון זה כולל פריסה בענן או בפריסה מקומית של פורטל אינטרנט משותף יחיד המסוגל לנהל עד 10 מכשירי SMB בו-זמנית.
5. היכולת לשלוט באמצעות מכשיר נייד של מגדל השמירה זמינה רק לאחר פריסת אפשרות שליטה מלאה (ראה נקודות 1-4). קרא עוד על תכונה זו אצלנו מאמר.

הבה נדגיש את החשוב ביותר לדעתנו:

1. חוסר יכולת לפרוס את Portal Access Mobile. משתמשים יוכלו להשתמש בגישה מרחוק כדי לגשת למשאבים פנימיים של החברה, אך לא יוכלו להתחבר לפורטל SSL עם היישומים שפורסמו.
2. הלהבים או האפשרויות הבאים אינם נתמכים: מודעות לתוכן, DLP, אובייקטים הניתנים לעדכון, בדיקת SSL ללא סיווג, חילוץ איומים, MTA עם בדיקת איומים, אנטי וירוס לסריקת ארכיונים, ClusterXL במצב שיתוף עומסים.

בסוף המאמר, ברצוני לציין שהנושא של פתרונות NGFW עבור SMB עבר לרמה חדשה של תמיכה ואינטראקציה; עקב שחרורו של גרסה 80.20 Embedded, הושג איזון בין האפשרויות של גרסה מלאה של Gaia ויכולות החומרה של ציוד למשרדים קטנים. אנו מתכננים להמשיך ולפרסם סדרת מאמרי הדרכה, בהם נשקול את התצורה הבסיסית של פתרונות SMB, כוונון הביצועים והאפשרויות החדשות שלהם.

מבחר גדול של חומרים בצ'ק פוינט מבית TS Solution. המשך לעקוב (מברק, פייסבוק, VK, בלוג פתרונות TS, יאנדקס זן).

מקור: www.habr.com