1. 中小企業向けの NGFW。 新しい CheckPoint 1500 セキュリティ ゲートウェイ ライン

出版後 記事 1400 年以上が経過し、1500 シリーズ モデルは現在販売から削除されています。 CheckPoint が XNUMX シリーズに実装しようとした課題である、変化と革新の時期が来ました。 この記事では、小規模オフィスや企業の支店を保護するためのモデルを検討し、技術的特徴、提供機能 (ライセンス、管理、管理スキーム) を紹介し、新しいテクノロジーとオプションについても触れます。

ラインナップ

新しい SMB モデルは、1530、1550、1570、1570R です。 製品は以下でご覧いただけます。 ページ チェックポイントポータル。 論理的には、WIFI サポート付きオフィス セキュリティ ゲートウェイ (1530、1550)、WIFI + 4G/LTE サポート付きオフィス セキュリティ ゲートウェイ (1570、1550)、産業用セキュリティ ゲートウェイ (1570R) の XNUMX つのグループに分けます。

1530系、1550系

このモデルには、ローカル ネットワーク用に 5 つのネットワーク インターフェイスと、インターネットにアクセスするための 1 つのインターフェイスがあり、帯域幅は 1 GB です。 USB-C コンソールも利用可能です。 技術的な特徴としては、 データシート これらのモデルは多数の測定パラメータを提供しますが、(私たちの意見では) 最も重要なパラメータに焦点を当てます。

の特性

1530

1550

XNUMX 秒あたりの最大接続数

10 500

14 000

最大同時接続数

500 000

500 000

ファイアウォール + 脅威防御を使用した場合のスループット (Mbit/C)

340

450

ファイアウォール + IPS によるスループット (Mbit/C)

600

800

ファイアウォール帯域幅 (Mbps)

1000

1000

* 脅威対策とは、ファイアウォール、アプリケーション コントロール、IPS の稼働ブレードを指します。

モデル 1530、1550 には多くの機能があります。

• Gaia 80.20 のオプションの埋め込みリストは、次のとおりです。 SK チェックポイント
• デバイスの購入には、同時接続 100 件のモバイル アクセス ライセンスが含まれています。 SMB NGFW モデル範囲のこの機能により、他の CheckPoint モデル シリーズの購入には含まれない Mobile Access ライセンスの個別購入を節約できることを考慮する価値があります。
• Watch Tower モバイル アプリケーションを使用してセキュリティ ゲートウェイを管理する機能 (詳細については、 記事。)

誰がために1530系、1550系: この回線は最大 100 人の支店に適しており、リモート接続を提供し、さまざまな管理方法が利用可能です。

1570系、1590系

1500 シリーズの古いモデルには、ローカル接続用に 8 つのインターフェイス、DMZ 用に 1 つのインターフェイス、インターネット接続用に 1 つのインターフェイスがあります (すべてのポートの帯域幅は 1 GB/秒)。 USB 3.0 ポートと USB-C コンソールも利用できます。 4G/LTE モデムをサポートするモデルがあります。 デバイスの内部メモリを拡張するために、Micro-SD カードのサポートが含まれています。

仕様は以下に示されています。

の特性

1570

1590

XNUMX 秒あたりの最大接続数

15 750

21 000

最大同時接続数

500 000

500 000

脅威防御スループット (Mbps)

500

660

ファイアウォール + IPS によるスループット (Mbit/C)

970

1300

ファイアウォール帯域幅 (Mbps)

2800

2800

モデル 1570、1590 には多くの機能があります。

• Gaia 80.20 のオプションの埋め込みリストは、次のとおりです。 SK.
• 200 同時接続用のモバイル アクセス ライセンス
  いずれかのデバイスの購入に付属しています。 SMB NGFW モデル範囲のこの機能により、他の CheckPoint モデル シリーズの購入には含まれない Mobile Access ライセンスの個別購入を節約できることを考慮する価値があります。
• Watch Tower モバイル アプリケーションを使用してセキュリティ ゲートウェイを管理する機能 (詳細については、 статье).

誰がために1570系、1590系: この回線は最大 200 人のオフィスに適しており、リモート接続を提供し、SMB ファミリの中で最高のパフォーマンスを備えています。

比較のために データ 以前のモデル:

の特性

1470

1490

脅威防御 + ファイアウォールによるスループット (Mbit/C)

500

550

ファイアウォール + IPS によるスループット (Mbit/C)

625

800

1570R

NGFW 1570R CheckPoint は特に注目に値します。 これは産業業界向けに特別に開発されたもので、輸送、鉱物資源 (石油、ガスなど) の採掘、さまざまな製品の生産の分野に取り組む企業にとって興味深いものとなるでしょう。

1570R は、次のような機能と使用条件を考慮して設計されています。

• ネットワーク境界のセキュリティとスマート デバイスの制御。
• 産業用 ICS/SCADA プロトコル、GPS コネクタのサポート。
• 極端な条件（高温/低温、降水、振動の増加）で作業する場合の耐障害性。

NGFWの特徴

1570 頑丈

XNUMX 秒あたりの最大接続数

13 500

最大同時接続数

500 000

脅威防御スループット (Mbps)

400

ファイアウォール + IPS によるスループット (Mbit/C)

700

ファイアウォール帯域幅 (Mbps)

1900

使用条件

-40°C ～ 75°C (-40°F ～ +167°F)

強度の証明書

EN/IEC 60529、IEC 60068-2-27 衝撃、IEC 60068-2-6 振動

さらに、1570R の多くの機能を個別に紹介します。

• Gaia 80.20 のオプションの埋め込みリストは、次のとおりです。 SK.
• 200 同時接続用のモバイル アクセス ライセンス
  デバイスの購入に付属しています。 新しい SMB NGFW モデル範囲のこの機能により、他の CheckPoint モデル シリーズの購入には含まれない Mobile Access ライセンスの個別購入を節約できることを考慮する価値があります。
• Watch Tower モバイル アプリケーションを使用してセキュリティ ゲートウェイを管理する機能 (詳細については、 статье)
• IoT デバイスがローカル ネットワークに接続された瞬間に、そのデバイスのポリシー/ルールが自動生成されます。 ルールはスマート デバイスごとに生成され、正しく動作するために必要なプロトコルのみを許可します。

1500シリーズ制御

SMB ファミリの新しいデバイスの技術的特性と機能を考慮すると、それらの管理にはさまざまなアプローチがあることに注意してください。 次のような典型的なスキームが存在します。

1. ローカルコントロール。

   通常、複数のオフィスがあり、インフラストラクチャの一元管理が行われていない中小企業で使用されます。 利点としては、NGFW の展開と管理がアクセスしやすいこと、デバイスをローカルで操作できることなどが挙げられます。 欠点には、ルール分離レベルの欠如、監視ツールの制限、ログの集中ストレージの欠如など、Gaia の機能に関連する制限が含まれます。

   

2. 専用の管理サーバーによる一元管理。 このアプローチは、管理者が複数の NGFW を管理でき、それらが異なるサイトに存在する可能性がある場合に使用されます。 このアプローチの利点は、インフラストラクチャ全体の状態に対する柔軟性と制御であり、一部の Gaia 80.20 Embedded オプションはこのスキームでのみ利用可能です。

   

3. による一元管理 スマート1クラウド。 これは、CheckPoint の NGFW 管理用の新しいスクリプトです。 管理サーバーはクラウド環境に展開され、すべての管理が Web インターフェイスを通じて行われるため、PC の OS に依存する必要がありません。 さらに、管理サーバーは CheckPoint の専門家によって保守されており、そのパフォーマンスは選択されたパラメータに直接依存しており、簡単に拡張できます。

   

4. による一元管理 SMP (セキュリティ管理ポータル)。 このソリューションには、最大 10 台の SMB デバイスを同時に管理できる単一の共有 Web ポータルのクラウドまたはオンプレミス展開が含まれます。
5. Watch Tower モバイル デバイスを介して制御する機能は、本格的な制御オプションを展開した後にのみ使用できます (ポイント 1 ～ 4 を参照)。 この機能の詳細については、 記事。

私たちの意見では最も重要なことを強調しましょう:

1. モバイル アクセス ポータルを展開する能力の欠如。 ユーザーはリモート アクセスを使用して社内リソースにアクセスできますが、公開アプリケーションを使用して SSL ポータルに接続することはできません。
2. 次のブレードまたはオプションはサポートされていません: コンテンツ認識、DLP、更新可能なオブジェクト、分類なしの SSL 検査、脅威抽出、脅威エミュレーション チェックを備えた MTA、アーカイブをスキャンするためのウイルス対策、負荷共有モードの ClusterXL。

記事の最後では、SMB 向けの NGFW ソリューションのトピックがサポートとインタラクションの新しいレベルに移行したことに注意したいと思います。バージョン 80.20 Embedded のリリースにより、オプション間のバランスが達成されました。 Gaia のフルバージョンと小規模オフィス向けの機器のハードウェア機能。 今後も、SMB ソリューションの基本構成、パフォーマンス チューニング、およびその新しいオプションについて検討する一連のトレーニング記事を公開していく予定です。

TS ソリューションの Check Point に関する豊富な資料。 乞うご期待 （Telegram, Facebook, VK, TSソリューションブログ, Yandex.Den).

出所： habr.com