Terbaru, Check Point mempersembahkan platform berskala baharu . Kami telah menerbitkan keseluruhan artikel tentang . Ringkasnya, ia membolehkan anda meningkatkan prestasi gerbang keselamatan secara hampir secara linear dengan menggabungkan berbilang peranti dan mengimbangi beban di antaranya. Anehnya, masih terdapat mitos bahawa platform berskala ini hanya sesuai untuk pusat data besar atau rangkaian gergasi. Ini sama sekali tidak benar.
Check Point Maestro telah dibangunkan untuk beberapa kategori pengguna sekaligus (kami akan melihatnya sedikit kemudian), termasuk perniagaan bersaiz sederhana. Dalam siri artikel pendek ini saya akan cuba renungkan kelebihan teknikal dan ekonomi Check Point Maestro untuk organisasi bersaiz sederhana (daripada 500 pengguna) dan sebab pilihan ini mungkin lebih baik daripada kelompok klasik.
Khalayak sasaran Check Point Maestro
Mula-mula, mari kita lihat segmen pengguna yang direka untuknya Check Point Maestro. Terdapat hanya 4 daripadanya:
1. Syarikat yang tidak mempunyai keupayaan casis. Check Point Maestro bukanlah platform berskala pertama Check Point. Kami telah pun menulis bahawa sebelum ini terdapat model seperti 64000 dan 44000. Walaupun mereka mempunyai prestasi yang HEBAT, masih terdapat syarikat yang ini TIDAK CUKUP. Maestro menghapuskan kelemahan ini, kerana... membolehkan anda memasang sehingga 31 peranti ke dalam satu kelompok berprestasi tinggi. Pada masa yang sama, anda boleh memasang kluster daripada peranti atasan (23900, 26000), dengan itu mencapai daya pemprosesan yang besar.
Malah, dalam bidang pintu masuk keselamatan, Check Point kini merupakan satu-satunya yang melaksanakan keupayaan sedemikian.
2. Syarikat yang ingin boleh memilih perkakasan mereka. Salah satu kelemahan platform berskala yang lebih lama ialah keperluan untuk menggunakan "modul bilah" yang ditetapkan dengan ketat (Check Point SGM). Platform Check Point Maestro baharu membolehkan anda menggunakan sejumlah besar peranti berbeza. Anda boleh memilih kedua-dua model daripada segmen tengah (5600, 5800, 5900, 6500, 6800) dan daripada segmen High End (siri 15000, siri 23000, siri 26000). Selain itu, anda boleh menggabungkannya, bergantung pada tugas.
Ini sangat mudah dari sudut penggunaan sumber yang optimum. Anda boleh membeli hanya prestasi yang anda perlukan dengan memilih model yang betul.
3. Syarikat yang casisnya terlalu banyak, tetapi kebolehskalaan masih diperlukan. Satu lagi "kelemahan" platform berskala lama (64000, 44000) ialah ambang kemasukan yang tinggi (dari sudut pandangan ekonomi). Untuk masa yang lama, platform berskala hanya tersedia untuk perniagaan besar dengan belanjawan IT yang "baik". Dengan adanya Check Point Maestro, segala-galanya telah berubah. Kos himpunan minimum (orkestra + dua get laluan) adalah setanding (dan kadangkala lebih rendah) dengan kluster aktif/siap sedia klasik. Itu. ambang kemasukan telah menurun dengan ketara. Apabila memilih penyelesaian, syarikat boleh segera meletakkan seni bina berskala, tanpa membayar lebih untuk kemungkinan peningkatan keperluan berikutnya. Adakah terdapat lebih ramai pengguna setahun selepas pengenalan Check Point Maestro? Anda hanya menambah satu atau dua gerbang, tanpa sebarang penggantian yang sedia ada. Anda tidak perlu menukar topologi. Hanya sambungkan get laluan baharu kepada pengatur dan gunakan tetapan padanya dalam beberapa klik sahaja.
4. Syarikat yang ingin menggunakan peranti sedia ada secara optimum. Saya rasa ramai orang sudah biasa dengan prosedur Trade-In. Apabila prestasi peranti sedia ada tidak lagi mencukupi dan perkakasan perlu dikemas kini untuk memenuhi keperluan semasa. Prosedur yang agak mahal. Selain itu, selalunya terdapat situasi apabila pelanggan mempunyai beberapa kelompok Check Point untuk tugasan yang berbeza. Contohnya, kluster untuk perlindungan perimeter, kluster untuk akses jauh (RA VPN), kluster untuk VSX, dsb. Lebih-lebih lagi, satu kluster mungkin tidak mempunyai sumber yang mencukupi, sementara yang lain mempunyai banyak sumber. Semak Maestro ialah peluang terbaik untuk mengoptimumkan penggunaan sumber ini dengan mengagihkan beban secara dinamik di antara mereka.
Itu. anda mendapat faedah berikut:
- Tidak perlu "membuang" perkakasan sedia ada. Anda boleh membeli satu atau dua gerbang tambahan, atau...
- Konfigurasikan pengimbangan beban dinamik antara gerbang sedia ada yang lain untuk penggunaan sumber yang lebih optimum. Sekiranya beban pada pintu masuk perimeter meningkat dengan mendadak, maka orkestra akan dapat menggunakan sumber "bosan" pintu masuk jauh dan sebaliknya. Ini membantu melancarkan puncak beban bermusim (atau sementara).
Seperti yang anda mungkin faham, dua segmen terakhir berkaitan khusus dengan perniagaan bersaiz sederhana, yang kini juga mampu menggunakan platform keselamatan berskala. Walau bagaimanapun, soalan yang munasabah mungkin timbul: "Mengapa Check Point Maestro lebih baik daripada kelompok biasa?βKami akan cuba menjawab soalan ini.
Kelompok klasik lwn Maestro Check Point
Jika kita bercakap tentang gugusan Check Point klasik, maka dua mod pengendalian disokong: Ketersediaan Tinggi (iaitu Aktif/Siaga) dan Perkongsian Muatan (iaitu Aktif/Aktif). Kami akan menerangkan secara ringkas maksud kerja mereka, serta kebaikan dan keburukan mereka.
Ketersediaan Tinggi (Aktif/Bersedia)
Seperti namanya, dalam mod pengendalian ini, satu nod melepasi semua trafik melalui dirinya sendiri, dan yang kedua berada dalam mod siap sedia dan mengambil trafik jika nod aktif mula mengalami sebarang masalah.
Kelebihan:
- Mod yang paling stabil;
- Mekanisme SecureXL proprietari disokong untuk mempercepatkan pemprosesan trafik;
- Jika nod aktif gagal, nod kedua dijamin dapat "mencerna" semua trafik (kerana ia betul-betul sama).
Cons:
Malah, terdapat hanya satu tolak - satu nod terbiar sepenuhnya. Sebaliknya, kerana ini, kami terpaksa membeli perkakasan yang lebih berkuasa supaya ia boleh mengendalikan lalu lintas sahaja.
Sudah tentu, mod HA lebih dipercayai daripada Perkongsian Muatan, tetapi pengoptimuman sumber meninggalkan banyak perkara yang diingini.
Perkongsian Muatan (Aktif/Aktif)
Dalam mod ini, semua nod dalam trafik proses kelompok. Anda boleh menggabungkan sehingga 8 peranti ke dalam kelompok sedemikian (lebih daripada 4 ).
Kelebihan:
- Anda boleh mengagihkan beban antara nod, yang memerlukan peranti yang kurang berkuasa;
- Kemungkinan penskalaan lancar (menambah sehingga 8 nod pada kelompok).
Cons:
- Anehnya, kebaikan segera berubah menjadi keburukan. Mereka suka menggunakan mod Perkongsian Muatan walaupun syarikat hanya mempunyai dua nod. Ingin menjimatkan wang, mereka membeli peranti, yang masing-masing dimuatkan pada 40-50%. Dan semuanya kelihatan baik-baik saja. Tetapi jika satu nod gagal, kita mendapat situasi di mana keseluruhan beban dipindahkan ke baki yang lain, yang tidak dapat diatasi. Akibatnya, tidak ada toleransi kesalahan seperti itu dalam skim sedemikian.
- Tambahkan pada ini sekumpulan sekatan Perkongsian Muatan (). Dan had yang paling penting ialah SecureXL tidak disokong, mekanisme yang mempercepatkan pemprosesan trafik dengan ketara;
- Bagi penskalaan dengan menambah nod baharu pada kluster, malangnya Perkongsian Muatan jauh dari ideal di sini. Jika lebih daripada 4 peranti ditambahkan pada kluster, maka prestasi bermula .
Memandangkan dua kelemahan pertama, untuk melaksanakan toleransi kesalahan apabila menggunakan dua nod, kami juga terpaksa membeli perkakasan yang lebih produktif supaya ia boleh "mencerna" trafik dalam keadaan kritikal. Akibatnya, kita tidak mendapat apa-apa faedah ekonomi, tetapi kita mendapat jumlah yang besar . Selain itu, perlu diperhatikan bahawa bermula dari versi R80.20, mod Perkongsian Muatan tidak disokong. Ini mengehadkan pengguna daripada kemas kini yang diperlukan. Tidak diketahui sama ada Perkongsian Muatan akan disokong dalam keluaran yang lebih baharu.
Check Point Maestro sebagai alternatif
Dari sudut pandangan kelompok, Check Point Maestro mengambil kelebihan utama mod Ketersediaan Tinggi dan Perkongsian Muatan:
- Gerbang yang disambungkan kepada orkestra boleh menggunakan SecureXL, yang memastikan kelajuan pemprosesan trafik maksimum. Tiada sekatan lain yang wujud dalam Perkongsian Muatan;
- Trafik diedarkan antara pintu masuk dalam satu Kumpulan Keselamatan (pintu masuk logik yang terdiri daripada beberapa pintu masuk fizikal). Terima kasih kepada ini, kami boleh memasang peranti yang kurang produktif, kerana kami tidak lagi mempunyai get laluan terbiar, seperti dalam mod Ketersediaan Tinggi. Pada masa yang sama, kuasa boleh ditingkatkan hampir secara linear, tanpa kehilangan yang serius seperti dalam mod Perkongsian Muatan (butiran lanjut kemudian).
Ini semua bagus, tetapi mari kita lihat dua contoh khusus.
Contoh β1
Biarkan syarikat X berhasrat untuk memasang sekumpulan get laluan pada perimeter rangkaian. Mereka sudah biasa dengan semua sekatan Perkongsian Muatan (yang tidak boleh diterima oleh mereka) dan sedang mempertimbangkan mod Ketersediaan Tinggi secara eksklusif. Selepas saiz, ternyata pintu masuk 6800 sesuai untuk mereka, yang tidak boleh dimuatkan lebih daripada 50% (untuk mempunyai sekurang-kurangnya beberapa rizab prestasi). Oleh kerana ini akan menjadi kluster, anda perlu membeli peranti kedua, yang hanya akan "menghisap" udara dalam mod siap sedia. Ia adalah rumah asap yang sangat mahal.
Tetapi ada alternatif. Ambil satu bundle daripada orkestra dan tiga get laluan 6500. Dalam kes ini, trafik akan diedarkan antara ketiga-tiga peranti. Jika anda melihat spesifikasi kedua-dua model, anda akan melihat bahawa tiga gerbang 6500 lebih berkuasa daripada satu 6800.
Oleh itu, apabila memilih Check Point Maestro, syarikat X menerima kelebihan berikut:
- Syarikat itu segera meletakkan platform berskala. Peningkatan seterusnya dalam prestasi akan turun kepada hanya menambah 6500 lagi perkakasan. Apakah yang lebih mudah?
- Penyelesaiannya masih toleran kesalahan, kerana Jika satu nod gagal, dua yang selebihnya akan dapat menampung beban.
- Kelebihan yang sama penting dan mengejutkan ialah ia lebih murah! Malangnya, saya tidak boleh menyiarkan harga secara terbuka, tetapi jika anda berminat, anda boleh
Contoh β2
Biarkan syarikat Y sudah mempunyai gugusan HA model 6500. Nod aktif dimuatkan pada 85%, yang semasa beban puncak membawa kepada kerugian dalam trafik yang produktif. Penyelesaian logik kepada masalah itu nampaknya mengemas kini perkakasan. Model seterusnya ialah 6800. Iaitu. syarikat perlu memulangkan pintu masuk melalui program Trade-In dan membeli dua peranti baharu (lebih mahal).
Tetapi ada pilihan alternatif. Beli orkestra dan satu lagi nod yang sama (6500). Pasang sekumpulan tiga peranti dan "sebarkan" 85% beban ini ke tiga pintu masuk. Akibatnya, anda akan mendapat margin prestasi yang besar (tiga peranti akan dimuatkan pada purata 30% sahaja). Walaupun salah satu daripada tiga nod mati, dua yang selebihnya masih akan menghadapi trafik dengan purata beban 45%. Selain itu, untuk beban puncak, gugusan tiga get laluan 6500 aktif akan lebih berkuasa daripada satu get laluan 6800, yang terletak dalam gugusan HA (iaitu aktif/siap sedia). Di samping itu, jika dalam satu atau dua tahun keperluan syarikat Y meningkat lagi, maka semua yang mereka perlu lakukan ialah menambah satu atau dua lagi 6500 nod. Saya rasa faedah ekonomi di sini adalah jelas.
Kesimpulan
Ya, Check Point Maestro bukan penyelesaian untuk SMB. Tetapi perniagaan bersaiz sederhana pun sudah boleh memikirkan tentang platform ini dan sekurang-kurangnya cuba mengira kecekapan ekonomi. Anda akan terkejut apabila mendapati bahawa platform berskala boleh menjadi lebih menguntungkan daripada kelompok klasik. Pada masa yang sama, terdapat kelebihan bukan sahaja ekonomi, tetapi juga teknikal. Walau bagaimanapun, kami akan membincangkannya dalam artikel seterusnya, di mana, sebagai tambahan kepada helah teknikal, saya akan cuba menunjukkan beberapa kes biasa (topologi, senario).
Anda juga boleh melanggan halaman awam kami (, , , ), di mana anda boleh mengikuti kemunculan bahan baharu di Check Point dan produk keselamatan lain.
Sumber: www.habr.com