Penyelesaian Check Point SMB. Model baharu untuk syarikat dan cawangan kecil

Baru-baru ini (pada 2016), syarikat itu Check Point mempersembahkan peranti baharunya (kedua-dua gerbang dan pelayan kawalan). Perbezaan utama dari baris sebelumnya ialah peningkatan produktiviti dengan ketara.

Dalam artikel ini kita akan memberi tumpuan secara eksklusif pada model yang lebih rendah. Kami akan menerangkan kelebihan peranti baharu dan kemungkinan perangkap yang tidak selalu dibincangkan. Kami juga akan berkongsi tanggapan peribadi tentang penggunaannya.

Barisan Check Point

Seperti yang anda boleh lihat daripada gambar, Check Point membahagikan perantinya kepada tiga kategori besar:

• High End Enterprise dan Pusat Data (model 23800, 23500, 15600, 15400)
• Enterprise (model 5900, 5800, 5600, 5400, 5200, 5100)
• Perusahaan Kecil dan Sederhana (model 3200, 3100, 1490, 1470, 1450, 1430, 1200R)

Dalam kes ini, salah satu ciri utama ialah apa yang dipanggil SPU - Unit Kuasa Keselamatan. Ini ialah ukuran proprietari Check Point yang mencirikan prestasi sebenar peranti. Sebagai contoh, mari kita bandingkan kaedah tradisional untuk mengukur prestasi Firewall (Mbps) dengan teknik “baharu” daripada Check Point (SPU).

Teknik tradisional - Firewall Throughput

• Pengukuran dijalankan dalam keadaan makmal pada lalu lintas "buatan".
• Prestasi hanya fungsi Firewall dinilai, tanpa modul tambahan seperti IPS, Kawalan Aplikasi, dsb.
• Ujian biasanya dijalankan dengan satu peraturan Firewall.

Kaedah Check Point - Kuasa Keselamatan

• Pengukuran pada trafik pengguna sebenar.
• Prestasi semua fungsi (Firewall, IPS, Kawalan Aplikasi, penapisan URL, dll.) dinilai.
• Diuji pada dasar standard yang merangkumi banyak peraturan.

Alat Saiz Perkakas Titik Semak

Oleh itu, apabila memilih model Check Point yang sesuai, lebih baik bergantung pada parameter Unit Kuasa Keselamatan. Ia ditunjukkan dalam mana-mana lembaran data untuk peranti. Anda tidak akan dapat mengira SPU yang sesuai untuk rangkaian anda sendiri. Ini hanya boleh dilakukan dengan bantuan rakan kongsi yang mempunyai akses kepada alat tersebut Alat Saiz Perkakas Titik Semak:

Untuk memilih penyelesaian yang optimum, anda perlu mengambil kira parameter seperti:

• Lebar saluran Internet;
• Jumlah pemprosesan get laluan (mungkin berbeza daripada saluran Internet jika, sebagai contoh, anda membahagikan rangkaian tempatan menggunakan Check Point);
• Bilangan pengguna pada rangkaian;
• Fungsi yang diperlukan (Firewall, Anti-Virus, Anti-Bot, Kawalan Aplikasi, Penapisan URL, IPS, Emulasi Ancaman, dll.).

Terdapat juga tetapan yang lebih halus yang menerangkan trafik bilah ini akan digunakan:

Selepas menyatakan semua ciri, anda boleh menerima laporan yang menerangkan peranti yang sesuai:

Di sini anda boleh melihat SPU yang diperlukan (72 dalam kes kami) dan yang disyorkan (144). Dan juga model itu sendiri dengan penerangan tentang beban mereka dan "rizab" untuk trafik dan bilah. Apabila memilih model, sentiasa disyorkan untuk mengambil peranti dari zon hijau (iaitu memuatkan sehingga 50 peratus):

Ini memastikan tiada masalah semasa beban puncak atau peningkatan yang dirancang dalam lebar saluran Internet. Apabila memilih peranti, sentiasa minta pasangan anda memberikan laporan yang serupa. Contoh boleh dimuat turun di sini.

Lama vs Baru

Setelah memahami parameter utama yang mencirikan prestasi peranti, kami boleh melihat dengan lebih dekat model baharu untuk perniagaan kecil dan sederhana. Seperti yang dinyatakan di atas, Check Point mempunyai keseluruhan segmen - Perusahaan Kecil dan Sederhana (model 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Peranti ini boleh dipanggil kemas kini siri 2012 lama (2200, 1180, 1140, 1120). Untuk memahami perbezaan utama, pertimbangkan gambar di bawah:

(harga adalah dalam GPL, tidak termasuk VAT dan sokongan teknikal)

Seperti yang anda lihat, siri 2016 telah meningkatkan prestasi (SPU) dengan ketara dan harga kekal pada tahap yang lebih kurang sama (kecuali model 3200). Barisan baharu ini juga termasuk model 3100, tapi belum lagi tiada pemberitahuan dan import ke Rusia adalah dilarang! Ingat ini!

Jika kita mengira semula kos satu SPU, maka model 1450 adalah yang paling seimbang. Di bawah ini kita akan melihat dengan lebih dekat siri Check Point baharu.

Skim untuk melaksanakan peranti SMB

Seperti yang dapat dilihat daripada rajah, terdapat dua senario pelaksanaan utama untuk peranti SMB:

1. Dalam mod get laluan lalai. Dalam kes ini, Check Point dipasang sebagai peranti perimeter dan ditadbir secara tempatan.
2. Gerbang cawangan. Dalam kes ini, perkakasan cawangan diuruskan secara berpusat (menggunakan pelayan Pengurusan) dari ibu pejabat.

Untuk siri 3000 и 1400 Terdapat beberapa ciri dalam setiap mod. Kami akan melihat mereka di bawah.

SMB siri 3000

Pada masa ini terdapat dua "kepingan besi" - 3200 и 3100. Seperti yang dinyatakan sebelum ini, 3100 masih belum boleh diimport ke negara ini. Bagi 3200, ia merupakan pengganti yang sangat baik untuk siri 2200 lama. Peranti ini menjalankan versi penuh Gaia (kedua-dua R77.30 dan R80.10). Jika anda menggunakan peranti sebagai pintu masuk utama dalam perniagaan kecil, anda boleh mengharapkan prestasi berikut:

1. Saluran Internet - 50 Mbit;
2. Jumlah lebar jalur - 300 Mbit;
3. Bilangan pengguna - 200.

Seperti yang anda lihat, beban peranti dalam kes ini ialah 47% dan ini adalah dengan pengurusan tempatan, i.e. Standalone konfigurasi (lebih lanjut mengenai kendiri dan diedarkan di sini). Dari pengalaman peribadi saya boleh mengatakan bahawa dengan pengurusan tempatan tidak disyorkan untuk melebihi beban 50%, kerana... Mungkin terdapat masalah dengan kawalan (ia akan menjadi perlahan).
Jika peranti itu dianggap sebagai peranti cawangan (iaitu dengan pengurusan berpusat yang berasingan), maka penunjuk akan menjadi lebih tinggi dengan ketara. Dan anda sudah boleh memasuki zon kuning dalam saiz (iaitu, dengan beban 50% hingga 70%). Anda boleh melihat lembaran data peranti di sini.

SMB siri 1400

Siri ini termasuk beberapa peranti sekaligus: 1490, 1470, 1450, 1430 (Penggantian logik 1120, 1140 dan 1180 yang lapuk).

Walaupun fakta bahawa ini adalah model Check Point termuda, mereka mempunyai semua fungsi yang diperlukan:

• Peranti SMB boleh dipasang ke dalam kelompok HA (Aktif/Sedia);
• Hampir semua bilah perisian tersedia (seperti pada perkakasan "besar");
• boleh diuruskan secara tempatan dan berpusat (menggunakan Pelayan Pengurusan tradisional);
• terdapat pengubahsuaian dengan WiFi, ADSL dan PoE;
• anda boleh menyambungkan modem 3G;
• Kit pemasangan rak boleh didapati.

Walau bagaimanapun, adalah wajar diberi amaran tentang beberapa batasan/ciri:

• Peranti ini mempunyai Gaia yang rosak di atas kapal, dan Gaia 77.20 Terbenam. Had ini disebabkan oleh seni bina peranti (pemproses ARM digunakan). Dalam kes kawalan setempat (berdiri sendiri), anda tidak akan dapat menggunakan SmartConsole biasa. Sebaliknya, terdapat antara muka web. Anda boleh melihatnya dalam video ini:
  
  Contoh menganggap siri 700, tetapi pada dasarnya ia tidak dijual di Rusia.
• Fungsi Pengekstrakan Ancaman tidak berfungsi. Emulasi Ancaman sahaja. Anda boleh melihat apa itu di sini
• Adalah mustahil untuk memasang kluster dalam mod Perkongsian Muatan. Itu. menipu dengan membeli dua perkakasan "murah" dan mengagihkan beban dalam kelompok di antara mereka tidak akan berfungsi.
• Dengan pengurusan tempatan terdapat sekatan yang serius mengenai pemeriksaan HTTPS.
• Pengimbasan arkib anti-Virus tidak berfungsi.
• Tiada fungsi DLP.

Perkara terakhir mungkin merupakan sekatan paling penting yang sering didiamkan. Untuk pemeriksaan penuh HTTPS, anda akan terpaksa menggunakan pelayan Pengurusan khusus tradisional. Dalam kes ini, anda akan mengawal peranti sebagai pintu masuk dengan versi penuh (hampir penuh) Gaia.

Sekatan lain bagi Gaia Embedded boleh didapati di sini di sini. Pastikan anda menyemaknya sebelum membuat keputusan pembelian.

Sebagai contoh, pertimbangkan pejabat kecil dengan parameter berikut:

• Saluran Internet - 50 Mbit;
• Jumlah lebar jalur - 200 Mbit;
• Bilangan pengguna - 200;
• Pengurusan tempatan (antara muka web).

Seperti yang dapat dilihat dari saiz, model 1490 berjaya mengatasi tugas ini dengan beban 46% (tanpa meninggalkan zon hijau). Dengan pengurusan yang berdedikasi, 1470 akan menangani tugas ini.
Helaian data untuk peranti 1400 siri boleh dilihat di sini.

Model 1200R

Model ini hampir tidak boleh dipanggil SMB. Ini sudah menjadi penyelesaian perindustrian dan mungkin patut diberi artikel berasingan. Sekarang kami tidak akan mempertimbangkan model ini secara terperinci.

Webinar

Butiran lanjut tentang peranti SMB boleh didapati dalam webinar kami sebelum ini:

Penemuan

Pada pendapat saya, model SMB baru ternyata agak berjaya. Prestasi peranti telah meningkat dengan ketara sambil mengekalkan tahap harga. Saya tidak bersedia untuk bercakap tentang kos tinggi/murahnya peranti, kerana Konsep ini sangat berbeza untuk syarikat yang berbeza.

Model 3200 Saya akan mengesyorkannya kepada syarikat kecil yang berminat dengan tahap perlindungan maksimum untuk harga yang berpatutan. Selain itu, ini adalah pilihan yang baik untuk mereka yang sudah biasa bekerja dengan versi penuh Gaia. Versi R80.10 juga boleh didapati di sini. Apabila pemberitahuan untuk 3100 diterima, tanda harga akan turun sedikit lagi. Ini adalah pilihan ideal untuk cawangan.

Peranti bersiri 1400 adalah kompromi yang baik dan mempunyai nisbah harga/kualiti terbaik (terutamanya dari segi harga setiap 1 SPU). Peranti ini bagus untuk cawangan pada bajet. Menggunakan pengurusan terpusat, anda boleh mengurus peranti seperti get laluan biasa dengan versi penuh Gaia. Tetapi, sekali lagi, jangan lupa tentang sekatan, yang anda pasti perlu membiasakan diri anda.

PS Saya ingin mengucapkan terima kasih kepada Alexey Matveev (syarikat RRC) untuk bantuan dalam menyediakan bahan.

Sumber: www.habr.com