チェック・ポイントの SMB ソリューション。 中小企業および支店向けの新しいモデル

比較的最近（2016 年）、同社は チェックポイント は、新しいデバイス (ゲートウェイと制御サーバーの両方) を発表しました。 以前のラインとの主な違いは、生産性が大幅に向上したことです。

この記事では下位モデルのみに焦点を当てます。 新しいデバイスの利点と、必ずしも議論されるわけではない潜在的な落とし穴について説明します。 個人的な使用感についても紹介していきます。

チェックポイントのラインナップ

写真からわかるように、Check Point はデバイスを XNUMX つの大きなカテゴリに分類しています。

• ハイエンドエンタープライズおよびデータセンター (モデル 23800、23500, 15600、15400)
• Enterprise (モデル 5900、5800、5600、5400、5200、5100)
• 中小企業 (モデル 3200, 3100, 1490, 1470, 1450, 1430、1200R)

この場合、主な特徴の XNUMX つは、いわゆる SPU - セキュリティ電源ユニット。 これは、デバイスの実際のパフォーマンスを特徴付ける Check Point 独自の尺度です。 例として、ファイアウォールのパフォーマンス (Mbps) を測定する従来の方法と、Check Point (SPU) の「新しい」技術を比較してみましょう。

従来の手法 - ファイアウォールのスループット

• 測定は、「人工」交通の実験室条件で実行されます。
• IPS、Application Control などの追加モジュールなしで、ファイアウォール機能のみのパフォーマンスが評価されます。
• テストは通常​​、XNUMX つのファイアウォール ルールを使用して実行されます。

チェックポイント手法 - セキュリティパワー

• 実際のユーザートラフィックの測定。
• すべての機能 (ファイアウォール、IPS、アプリケーション コントロール、URL フィルタリングなど) のパフォーマンスが評価されます。
• 多くのルールを含む標準ポリシーでテストされました。

Check Point アプライアンスサイジングツール

したがって、適切な Check Point モデルを選択するときは、パラメータに依存することをお勧めします。 セキュリティ電源ユニット。 これはデバイスのデータシートに記載されています。 ネットワークに適切な SPU を自分で計算することはできません。 これは、ツールにアクセスできるパートナーの助けが必要な場合にのみ実行できます。 Check Point アプライアンスサイジングツール:

最適なソリューションを選択するには、次のようなパラメーターを考慮する必要があります。

• インターネットチャネル幅。
• ゲートウェイの合計スループット (たとえば、Check Point を使用してローカル ネットワークをセグメント化した場合、インターネット チャネルとは異なる場合があります)。
• ネットワーク上のユーザーの数。
• 必要な機能 (ファイアウォール、ウイルス対策、ボット対策、アプリケーション制御、URL フィルタリング、IPS、脅威エミュレーションなど)。

これらのブレードがどのトラフィックに適用されるかを記述する、より微妙な設定もあります。

すべての特性を指定すると、適切なデバイスを説明するレポートを受け取ることができます。

ここでは、必要な SPU (この例では 72) と推奨 SPU (144) が表示されます。 また、トラフィックとブレードの負荷と「予約」の説明を含むモデル自体も含まれます。 モデルを選択するときは、常にグリーン ゾーン (つまり、最大 50 パーセントの負荷) からデバイスを選択することをお勧めします。

これにより、ピーク負荷時やインターネット チャネル幅の計画的な増加時に問題が発生しないことが保証されます。 デバイスを選択するときは、必ずパートナーに同様のレポートを提供するように依頼してください。 サンプルはダウンロードできます ここで.

古いものと新しいもの

デバイスのパフォーマンスを特徴付ける主なパラメータを理解したので、中小企業向けの新しいモデルを詳しく見てみましょう。 上で述べたように、Check Point にはセグメント全体があります。 中小企業 (モデル 3200、3100、1490、1470、1450、1430、1200R)。 これらのデバイスは、古い 2012 シリーズ (2200、1180、1140、1120) のアップデートと呼ぶことができます。 主な違いを理解するには、以下の図を考慮してください。

(価格は GPL で表示されており、VAT とテクニカル サポートは含まれていません)

ご覧のとおり、2016 シリーズではパフォーマンス (SPU) が大幅に向上しており、価格はほぼ同じレベルに保たれています (3200 モデルを除く)。 新しいラインにはモデルも含まれています 3100、しかしまだ 届出がなく、ロシアへの輸入は禁止されています。 これを覚えて！

1450 つの SPU のコストを再計算すると、XNUMX モデルが最もバランスが取れています。 以下では、新しいCheck Pointシリーズについて詳しく見ていきます。

SMB デバイスの実装スキーム

図からわかるように、SMB デバイスには XNUMX つの主な実装シナリオがあります。

1. デフォルトゲートウェイモードの場合。 この場合、Check Point は境界デバイスとしてインストールされ、ローカルに管理されます。
2. ブランチゲートウェイ。 この場合、支店のハードウェアは本社から (管理サーバーを使用して) 集中管理されます。

シリーズ用 3000 и 1400 各モードにはいくつかの機能があります。 以下でそれらを見ていきます。

SMBシリーズ3000

現時点では「鉄片」は XNUMX つあります。 3200 и 3100。 前述したように、3100 はまだ国内に輸入できません。 3200 に関しては、古い 2200 シリーズの優れた代替品であり、本格的なバージョンの Gaia (R77.30 と R80.10 の両方) を実行します。 中小企業のメイン ゲートウェイとしてデバイスを使用する場合、次のパフォーマンスが期待できます。

1. インターネット チャネル - 50 Mbit;
2. 総帯域幅 - 300 Mbit。
3. ユーザー数 - 200。

ご覧のとおり、この場合のデバイス負荷は 47% であり、これはローカル管理によるものです。 スタンドアロン 構成 (スタンドアロンと分散の詳細) ここで）。 個人的な経験から言えば、ローカル管理では 50% の負荷を超えることはお勧めできません。 制御に問題がある可能性があります（速度が低下します）。
デバイスがブランチ デバイス (つまり、個別に集中管理されている) とみなされる場合、指標は大幅に高くなります。 そして、サイジングではすでにイエロー ゾーンに入ることができます (つまり、負荷が 50% ～ 70% の場合)。 デバイスのデータシートを表示できます ここで.

SMBシリーズ1400

このシリーズには、1490、1470、1450、1430 (古い 1120、1140、および 1180 の論理的な置き換え) という複数のデバイスが同時に含まれています。

これらは Check Point の最も若いモデルであるにもかかわらず、必要な機能をすべて備えています。

• SMB デバイスは HA クラスター (アクティブ/スタンバイ) に組み立てることができます。
• ほぼすべてのソフトウェア ブレードが (「大型」ハードウェアと同様に) 利用可能です。
• ローカルと集中管理 (従来の管理サーバーを使用) の両方で管理できます。
• WiFi、ADSL、PoE の変更があります。
• 3G モデムを接続できます。
• ラックマウントキットも用意されています。

ただし、いくつかの制限/機能については警告する価値があります。

• このデバイスには欠陥のある Gaia が搭載されており、 ガイア 77.20 埋め込み型。 この制限は、デバイス アーキテクチャ (ARM プロセッサが使用されている) によるものです。 ローカル制御（スタンドアロン）の場合、通常のSmartConsoleは使用できません。 代わりに、Web インターフェイスがあります。 このビデオでそれを見ることができます。
  
  この例では 700 シリーズを考慮していますが、原則としてロシアでは販売されていません。
• 脅威抽出機能が動作しない。 脅威エミュレーションのみ。 それが何であるかがわかります ここで
• 負荷共有モードでクラスターを構築することはできません。 それらの。 XNUMX つの「安価な」ハードウェアを購入し、それらの間でクラスター内の負荷を分散するという不正行為は機能しません。
• ローカル管理では、HTTPS 検査に関して重大な制限があります。
• アーカイブのウイルス対策スキャンが機能しません。
• DLP機能はありません。

最後の点はおそらく、沈黙されがちな最も重要な制限です。 完全な HTTPS 検査を行うには、従来の専用管理サーバーを使用する必要があります。 この場合、Gaia のフル (ほぼフル) バージョンを使用してデバイスをゲートウェイとして制御します。

Gaia Embedded のその他の制限については、こちらをご覧ください。 ここで。 購入を決定する前に必ずチェックしてください。

たとえば、次のパラメータを持つ小規模オフィスを考えてみましょう。

• インターネット チャネル - 50 Mbit;
• 総帯域幅 - 200 Mbit。
• ユーザー数 - 200;
• ローカル管理 (Web インターフェイス)。

サイジングからわかるように、1490 モデルは 46% の負荷でこのタスクに正常に対処しています (グリーン ゾーンを離れることなく)。 1470 は専用の管理機能を使用してこのタスクに対処します。
1400 シリーズ デバイスのデータシートを表示できます ここで.

モデル1200R

このモデルは SMB とは言えません。 これはすでに産業用のソリューションであり、おそらく別の記事に値するでしょう。 ここでは、このモデルについて詳しくは説明しません。

ウェビナー

SMB デバイスの詳細については、以前のウェビナーをご覧ください。

所見

私の意見では、新しい SMB モデルは非常に成功したと判明しました。 価格水準を維持しながら、デバイスの性能が大幅に向上しました。 デバイスの高さ、安さについて話すつもりはありません。 これらの概念は企業によって大きく異なります。

モデル 3200 手頃な価格で最大レベルの保護に興味がある小規模企業にお勧めします。 さらに、これはすでに Gaia のフルバージョンの操作に慣れている人にとっては良い選択です。 R80.10 バージョンもここから入手できます。 3100の通知が届くともう少し値下がりします。 これはブランチにとって理想的なオプションです。

シリーズデバイス 1400 これらは適切な妥協点であり、価格と品質の比率が最も優れています (特に 1 SPU あたりの価格の点で)。 これらのデバイスは、予算が限られている支店に最適です。 集中管理を使用すると、Gaia のフルバージョンで通常のゲートウェイと同様にデバイスを管理できます。 しかし、もう一度忘れないでください 制限、必ずよく理解しておく必要があります。

PS アレクセイ・マトヴェエフに感謝したいと思います（RRC社) 資料の準備を手伝ってください。

出所： habr.com