Check Point 2019-жылды бир эле учурда бир нече жарыялоо менен тез баштады. Бир макалада бардыгы жөнүндө сөз кылуу мүмкүн эмес, андыктан эң негизгиси менен баштайлы - . Maestro - бул коопсуздук шлюзунун "күчүн" "уятсыз" сандарга жана дээрлик сызыктуу жогорулатууга мүмкүндүк берген жаңы масштабдалуучу платформа. Бул табигый түрдө кластерде бирдиктүү объект катары иштеген жеке шлюздардын ортосундагы жүктү тең салмактоо аркылуу жетишилет. Кимдир бирөө айтышы мүмкүн - "болгон! Буга чейин 44000 blade платформалары бар/64000". Бирок, Maestro таптакыр башка маселе. Бул макалада мен кыскача бул эмне экенин, ал кантип иштейт жана бул технология кантип жардам берерин түшүндүрүүгө аракет кылам тармак периметрин коргоо боюнча сактоо.
Болду - болуп калды
Түшүнүүнүн эң оңой жолу - жаңы масштабдалуучу платформа эски жакшы 44000 платформасынан кандайча айырмаланат/64000 төмөнкү сүрөттү карап:
айырмасы айдан ачык.
Legacy Check Point 44000 платформасы/64000
Жогорудагы сүрөттөн көрүнүп тургандай, биринчи вариант - бул стационардык платформа (шасси), ага чектелген сандагы атайын "пычак модулдарын" киргизүүгө болот (Check Point SGM). Мунун баары байланыштуу Коопсуздук которуштуруу модулу (SSM), бул шлюздардын ортосундагы трафикти тең салмактайт. Төмөндөгү сүрөттө бул платформанын компоненттери кененирээк көрсөтүлгөн:
Бул эң сонун платформа, эгерде сиз азыр сизге кандай аткаруу керек экенин жана ал канчалык өсө аларын так билсеңиз. Бирок, белгиленген форма факторуна байланыштуу (12 же 6 бычак), сиз андан ары масштабдалуу мүмкүнчүлүгүңүз менен чектелип каласыз. Мындан тышкары, сиз моделдердин кыйла кеңири спектрине ээ болгон кадимки линияларды туташтыруу мүмкүнчүлүгү жок, бир гана SGM бычактарын колдонууга аргасыз болосуз. Келиши менен Maestro Hyperscale Network коопсуздук кырдаал кескин өзгөрүп жатат.
Жаңы Check Point Maestro Hyperscale Network коопсуздук платформасы
Check Point Maestro биринчи жолу 22-январда Бангкоктогу CPX конференциясында тааныштырылды. Негизги мүнөздөмөлөрдү төмөнкү сүрөттө көрүүгө болот:
Көрүнүп тургандай, Check Point Maestroнун негизги артыкчылыгы – балансташтыруу үчүн кадимки шлюздарды (тиричилик техникасын) колдонуу мүмкүнчүлүгү. Ошол. Биз мындан ары SGM бычактары менен чектелбейбиз. Сиз жүктү 5600 моделинен баштап каалаган түзмөктөрдүн ортосунда бөлүштүрө аласыз (SMB моделдери жана Chassis 44000/64000 колдоого алынбайт). Жогорудагы сүрөттө жаңы платформаны колдонууда жетишүүгө мүмкүн болгон негизги көрсөткүчтөр көрсөтүлгөн. Биз бир эсептөө ресурсуна бириктире алабыз 31ге чейин! шлюз. Эми сиздин брандмауэриңиз мындай көрүнүшү мүмкүн:
Maestro Hyperscale оркестри
Мен ишенем, көп адамдар буга чейин сурашкан: "Бул кандай оркестр?«Макул, мени менен тааныш. Maestro Hyperscale оркестри — дал ушул нерсе жүктөмдү теңдөө үчүн жооп берет. Бул түзмөктө орнотулган операциялык система болуп саналат Gaia R80.20 SP. Учурда оркестрлердин эки модели бар - MHO-140 и MHO-170. Төмөндөгү сүрөттөгү өзгөчөлүктөр:
Бир караганда, бул кадимки өчүргүч болуп сезилиши мүмкүн. Чынында, бул "которуу + баланстоочу + ресурстарды башкаруу системасы." Баары бир кутуда.
Шлюздар бул оркестрлерге туташтырылган. Эгерде баланстоочулар каталарга чыдамдуу болсо, анда ар бир шлюз ар бир оркестрге туташтырылган. Туташуу үчүн “оптика” (sfp+ / qsfp+ / qsfp28+) же DAC кабелин (Direct Attach Copper) колдонсо болот. Бул учурда, албетте, оркестрлердин ортосунда синхрондоштуруу байланышы болушу керек:
Төмөнкү сүрөттө сиз бул оркестрлердин порттору кантип бөлүштүрүлгөнүн көрө аласыз:
Коопсуздук топтору
Жүк шлюздардын ортосунда бөлүштүрүлүшү үчүн, бул шлюздар ошол эле Коопсуздук тобунда болушу керек. Коопсуздук тобу бул активдүү/активдүү кластер катары иштеген түзмөктөрдүн логикалык тобу. Бул топ башка Коопсуздук топторунан көз карандысыз иштейт. Башкаруу серверинин көз карашынан алганда, Коопсуздук тобу бир IP дареги бар бир түзмөккө окшош.
Керек болсо, биз бир же бир нече шлюзду өзүнчө Коопсуздук тобуна жылдырып, бул топту башкаруу көз карашынан өзүнчө брандмауэр сыяктуу башка максаттар үчүн колдоно алабыз. Колдонуунун мисалы төмөндөгү сүрөттө көрсөтүлгөн:
Маанилүү чектөө, бир коопсуздук тобунда бирдей шлюздар (модел) гана колдонулушу мүмкүн. Ошол. эгер сиз коопсуздук шлюзуңуздун кубаттуулугун сызыктуу түрдө өстүрүүнү кааласаңыз (бул бир нече түзмөктөрдүн кластери), анда сиз дал ошол шлюздарды кошушуңуз керек. Бул чектөө программалык камсыздоонун кийинки чыгарылыштарында жок болушу керек.
Төмөнкү видеодо сиз Коопсуздук тобун түзүү процессин көрө аласыз. Процедура интуитивдик.
Дагы бир жолу, Maestro компоненттерин шасси платформасы менен салыштырсаңыз, сиз төмөнкү сүрөттөгүдөй нерсени аласыз:
Жаңы платформанын кандай артыкчылыктары бар?
Чындыгында техникалык жана экономикалык жактан да көптөгөн артыкчылыктар бар. Мен эң негизгилерин кыскача айтып берейин:
- Биз масштабда иш жүзүндө чексизбиз. Бир коопсуздук тобунун ичинде 31ге чейин шлюз.
- Керек болсо шлюздарды кошо алабыз. Сатып алуу үчүн минималдуу топтом - бир оркестр + эки шлюз. "Өсүү үчүн" моделдерди коюунун кереги жок.
- Дагы бир плюс мурунку пункттан келип чыгат. Биз мындан ары жүктү көтөрө албаган шлюздарды алмаштыруунун кереги жок. Буга чейин бул маселе соода-сатык процедурасын колдонуу менен чечилчү - алар эски жабдууларды тапшырып, жаңыларын арзандатуу менен алышкан. Мындай схема менен каржылык "жоготуулар" сөзсүз болот. Жаңы масштабдоо процедурасы бул факторду жокко чыгарат. Эч нерсени тапшыруунун кажети жок, сиз жөн гана кошумча жабдыктардын жардамы менен өндүрүмдүүлүктү жогорулатууну уланта аласыз.
- жүктү бөлүштүрүү үчүн болгон ресурстарды бириктирүү мүмкүнчүлүгү. Мисалы, сиз бардык кластерлериңизди Maestro платформасына "сүйрөп" алып, жүккө жараша бир нече Коопсуздук топторун чогулта аласыз.
Maestro Hyperscale Network коопсуздук таңгактары
Учурда Maestro платформасы менен таңгактарды сатып алуунун бир нече варианттары бар. 23800, 6800 жана 6500 шлюздарына негизделген чечим:
Бул учурда, сиз жабдуулардын эки стандарттуу түрлөрүн тандай аласыз:
- Бир оркестр жана эки шлюз;
- Бир оркестр жана үч шлюз.
болжолдуу бааларды көрө аласыз. Албетте, сиз кошумча башка оркестрди жана каалагандай көп шлюз кошо аласыз. Техникалык мүнөздөмөлөр боюнча кошумча маалымат талап кылынышы мүмкүн .
түзмөктөр 6500 и 6800 Булар ушул жылдын башында киргизилген акыркы моделдер. Бирок алар тууралуу кийинки макалада кененирээк сөз кылабыз.
Качан сатып алсам болот?
Бул жерде так жооп жок. Учурда биздин өлкөгө бул чечимдерди импорттоо боюнча эч кандай билдирүү жок. Убактысы тууралуу маалымат чыгаары менен биз дароо ачык баракчаларыбызга жарыя кылабыз (, , ). Мындан тышкары, жакынкы арада Check Point Maestro чечимине арналган вебинар пландаштырылып, анда бардык техникалык мүмкүнчүлүктөр талкууланат. Анан, албетте, суроолорду бере аласыз. Байланыштуу болуңуз!
жыйынтыктоо
Албетте, жаңы платформа Check Point аппараттык чечимдерине эң сонун кошумча болуп саналат. Чынында, бул продукт жаңы сегментти ачат, ал үчүн ар бир маалымат коопсуздугун камсыздоочу ушундай чечимге ээ эмес. Анын үстүнө, бүгүнкү күндө Check Point Maestro мындай болуп көрбөгөндөй "коопсуздук күчүн" камсыз кылууга келгенде дээрлик эч кандай альтернатива жок. Бирок, Maestro Hyperscale Network Security маалымат борборунун ээлерин гана эмес, жөнөкөй компанияларды да кызыктырат. 5600 моделинен баштап түзмөктөргө ээлик кылгандар же сатып алууну пландап жаткандар Maestroну жакындан карап көрө алышат.Кээ бир учурларда Maestro Hyperscale Network Security колдонуу экономикалык жана техникалык көз караштан алганда абдан пайдалуу чечим болушу мүмкүн.
PS Бул макаланын катышуусу менен даярдалган Анатолий Масовер — Масштабдуу платформанын эксперти, Check Point Software Technologies.
Source: www.habr.com