Aktar reċentement, Check Point ippreżenta pjattaforma skalabbli ġdida . Diġà ppubblikajna artiklu sħiħ dwar . Fil-qosor, jippermettilek li kważi b'mod lineari żżid il-prestazzjoni tal-portal tas-sigurtà billi tgħaqqad apparati multipli u tibbilanċja t-tagħbija bejniethom. B'mod sorprendenti, għad hemm ħrafa li din il-pjattaforma skalabbli hija adattata biss għal ċentri tad-dejta kbar jew netwerks ġganti. Dan assolutament mhux veru.
Check Point Maestro ġie żviluppat għal diversi kategoriji ta 'utenti f'daqqa (se nħarsu lejhom ftit aktar tard), inklużi negozji ta' daqs medju. F’din is-sensiela qasira ta’ artikli ser nipprova nirrifletti vantaġġi tekniċi u ekonomiċi ta' Check Point Maestro għal organizzazzjonijiet ta' daqs medju (minn 500 utent) u għaliex din l-għażla tista' tkun aħjar minn cluster klassiku.
Check Point Maestro udjenza fil-mira
L-ewwel, ejja nħarsu lejn is-segmenti tal-utent li Check Point Maestro kien iddisinjat għalihom. Hemm 4 minnhom biss:
1. Kumpaniji li ma kellhomx kapaċitajiet tax-chassis. Check Point Maestro mhix l-ewwel pjattaforma skalabbli ta' Check Point. Diġà ktibna li qabel kien hemm mudelli bħal 64000 u 44000. Għalkemm kellhom prestazzjoni KBIRA, xorta kien hemm kumpaniji li għalihom dan MHUX KIENET BIŻŻEJJED. Maestro jelimina dan l-iżvantaġġ, għax... jippermettilek tiġbor sa 31 apparat f'grupp wieħed ta' prestazzjoni għolja. Fl-istess ħin, tista 'tiġbor cluster minn apparati top-end (23900, 26000), u b'hekk tikseb throughput kolossali.
Fil-fatt, fil-qasam tal-gateways tas-sigurtà, Check Point bħalissa huwa l-uniku wieħed li jimplimenta tali kapaċità.
2. Kumpaniji li jridu jkunu jistgħu jagħżlu l-ħardwer tagħhom. Wieħed mill-iżvantaġġi ta 'pjattaformi skalabbli anzjani huwa l-ħtieġa li jintużaw "moduli blade" definiti b'mod strett (Check Point SGM). Il-pjattaforma l-ġdida ta 'Check Point Maestro tippermettilek tuża numru kbir ta' apparati differenti. Tista 'tagħżel iż-żewġ mudelli mis-segment tan-nofs (5600, 5800, 5900, 6500, 6800) u mis-segment High End (serje 15000, serje 23000, serje 26000). Barra minn hekk, tista 'tgħaqqadhom, skond il-kompiti.
Dan huwa konvenjenti ħafna mil-lat tal-aħjar użu tar-riżorsi. Tista 'tixtri biss il-prestazzjoni li għandek bżonn billi tagħżel il-mudell it-tajjeb.
3. Kumpaniji li għalihom ix-chassis huwa wisq, iżda l-iskalabbiltà għadha meħtieġa. "Żvantaġġ" ieħor tal-pjattaformi skalabbli qodma (64000, 44000) kien il-limitu ta 'dħul għoli (minn perspettiva ekonomika). Għal żmien twil, pjattaformi skalabbli kienu disponibbli biss għal negozji kbar b'baġits tal-IT "tajbin". Bil-miġja ta’ Check Point Maestro, kollox inbidel. L-ispiża tal-pakkett minimu (orkestratur + żewġ gateways) hija komparabbli (u xi kultant aktar baxxa) ma 'cluster klassiku attiv/standby. Dawk. il-limitu tad-dħul naqas b'mod sinifikanti. Meta tagħżel soluzzjoni, kumpanija tista 'minnufih tistabbilixxi arkitettura skalabbli, mingħajr ma tħallas żejda għal żieda possibbli sussegwenti fil-ħtiġijiet. Hemm aktar utenti sena wara l-introduzzjoni ta' Check Point Maestro? Inti sempliċiment żid wieħed jew żewġ gateways, mingħajr ebda sostituzzjoni ta 'dawk eżistenti. Inti lanqas biss għandek tibdel it-topoloġija. Sempliċement qabbad bibien ġodda mal-orkestratur u applika s-settings għalihom fi ftit klikks biss.
4. Kumpaniji li jridu jagħmlu l-aħjar użu mill-apparat eżistenti. Naħseb li ħafna nies huma familjari mal-proċedura Trade-In. Meta l-prestazzjoni tal-apparat eżistenti ma tibqax biżżejjed u l-ħardwer jeħtieġ li jiġi aġġornat biex jissodisfa l-ħtiġijiet attwali. Proċedura pjuttost għalja. Barra minn hekk, ħafna drabi jkun hemm sitwazzjoni meta klijent ikollu diversi clusters ta' Check Point għal ħidmiet differenti. Pereżempju, cluster għall-protezzjoni tal-perimetru, cluster għal aċċess remot (RA VPN), cluster għal VSX, eċċ. Barra minn hekk, cluster wieħed jista' ma jkollux biżżejjed riżorsi, filwaqt li ieħor għandu abbundanza minnhom. Check Maestro hija opportunità eċċellenti biex tottimizza l-użu ta 'dawn ir-riżorsi billi tqassam dinamikament it-tagħbija bejniethom.
Dawk. ikollok il-benefiċċji li ġejjin:
- M'hemmx bżonn li "jarmi" hardware eżistenti. Tista 'tixtri wieħed jew żewġ gateways addizzjonali, jew...
- Ikkonfigura l-ibbilanċjar dinamiku tat-tagħbija bejn gateways eżistenti oħra għal użu aħjar tar-riżorsi. Jekk it-tagħbija fuq il-portal tal-perimetru tiżdied f'daqqa, allura l-orkestratur ikun jista 'juża r-riżorsi "bored" tal-gateways tal-aċċess mill-bogħod u viċi versa. Dan jgħin biex itaffu l-qċaċet tat-tagħbija staġjonali (jew temporanji).
Kif probabilment tifhem, l-aħħar żewġ segmenti jirrelataw speċifikament ma 'negozji ta' daqs medju, li issa jistgħu wkoll jaffordjaw li jużaw pjattaformi ta 'sigurtà skalabbli. Madankollu, tista’ tqum mistoqsija raġonevoli: “Għaliex Check Point Maestro huwa aħjar minn cluster regolari?“Se nippruvaw inwieġbu din il-mistoqsija.
Classic cluster vs Check Point Maestro
Jekk nitkellmu dwar il-cluster klassiku Check Point, allura żewġ modi operattivi huma appoġġjati: Disponibbiltà Għolja (jiġifieri Attiva/Standby) u Kondiviżjoni tat-Tagħbija (jiġifieri Attiva/Attiva). Se niddeskrivu fil-qosor it-tifsira tax-xogħol tagħhom, kif ukoll il-vantaġġi u l-iżvantaġġi tagħhom.
Disponibbiltà Għolja (Attiva/Standby)
Kif jissuġġerixxi l-isem, f'dan il-mod operattiv, nodu wieħed jgħaddi t-traffiku kollu minnu nnifsu, u t-tieni wieħed ikun fil-modalità standby u jiġbor it-traffiku jekk in-nodu attiv jibda jesperjenza xi problemi.
Pros:
- L-aktar mod stabbli;
- Il-mekkaniżmu proprjetarju SecureXL huwa appoġġjat biex iħaffef l-ipproċessar tat-traffiku;
- Jekk in-nodu attiv ifalli, it-tieni wieħed huwa garantit li jkun jista '"diġerixxi" it-traffiku kollu (għax huwa eżattament l-istess).
Cons:
Fil-fatt, hemm minus wieħed biss - node wieħed huwa kompletament idle. Min-naħa tagħha, minħabba dan, aħna sfurzati nixtru ħardwer aktar b'saħħtu sabiex ikun jista 'jimmaniġġja t-traffiku waħdu.
Naturalment, il-mod HA huwa aktar affidabbli mill-Kondiviżjoni tat-Tagħbija, iżda l-ottimizzazzjoni tar-riżorsi tħalli ħafna x'jixtieq.
Kondiviżjoni tat-Tagħbija (Attiva/Attiva)
F'dan il-mod, in-nodi kollha fil-cluster jipproċessaw it-traffiku. Tista 'tgħaqqad sa 8 apparati f'tali cluster (aktar minn 4 ).
Pros:
- Tista 'tqassam it-tagħbija bejn in-nodi, li teħtieġ apparati inqas b'saħħithom;
- Possibbiltà ta 'skala bla xkiel (li żżid sa 8 nodi mal-cluster).
Cons:
- B'mod stramb, il-vantaġġi immedjatament jinbidlu f'iżvantaġġi. Huma jħobbu jużaw il-mod ta 'Kondiviżjoni tat-Tagħbija anki meta l-kumpanija għandha biss żewġ nodi. Waqt li jixtiequ jiffrankaw il-flus, jixtru apparat, li kull wieħed minnhom huwa mgħobbi f'40-50%. U kollox jidher li hu tajjeb. Imma jekk node wieħed jonqos, ikollna sitwazzjoni fejn it-tagħbija kollha tiġi trasferita għal dik li jifdal, li sempliċement ma tistax tlaħħaq. Bħala riżultat, m'hemm l-ebda tolleranza għal ħtija bħala tali fi skema bħal din.
- Żid ma' dan mazz ta' restrizzjonijiet tal-Kondiviżjoni tat-Tagħbija (). U l-aktar limitazzjoni importanti hija li SecureXL mhuwiex appoġġjat, mekkaniżmu li jħaffef b'mod sinifikanti l-ipproċessar tat-traffiku;
- Fir-rigward tal-iskala billi żżid nodi ġodda mal-cluster, sfortunatament il-Kondiviżjoni tat-Tagħbija hija 'l bogħod milli tkun ideali hawn. Jekk aktar minn 4 apparati huma miżjuda mal-cluster, allura l-prestazzjoni tibda .
Meta wieħed iqis l-ewwel żewġ żvantaġġi, sabiex tiġi implimentata t-tolleranza tal-ħsarat meta nużaw żewġ nodi, aħna wkoll sfurzati li nixtru ħardwer aktar produttiv sabiex ikun jista '"diġerixxi" traffiku f'sitwazzjoni kritika. Bħala riżultat, m'għandna l-ebda benefiċċju ekonomiku, iżda nġibu ammont kbir . Barra minn hekk, ta 'min jinnota li tibda mill-verżjoni R80.20, il-mod ta' Qsim tat-Tagħbija mhuwiex appoġġjat. Dan jillimita l-utenti mill-aġġornamenti meħtieġa. Għadu mhux magħruf jekk il-Kondiviżjoni tat-Tagħbija hux se tkun appoġġjata f'rilaxxi aktar ġodda.
Check Point Maestro bħala alternattiva
Mil-lat ta 'cluster, Check Point Maestro ħa l-vantaġġi ewlenin tal-modi ta' Disponibbiltà Għolja u Kondiviżjoni tat-Tagħbija:
- Gateways konnessi mal-orkestratur jistgħu jużaw SecureXL, li jiżgura veloċità massima tal-ipproċessar tat-traffiku. M'hemm l-ebda restrizzjonijiet oħra inerenti fil-Kondiviżjoni tat-Tagħbija;
- It-traffiku jitqassam bejn il-gateways fi Grupp ta' Sigurtà wieħed (portal loġiku li jikkonsisti f'diversi dawk fiżiċi). Grazzi għal dan, nistgħu ninstallaw apparati inqas produttivi, minħabba li m'għadx għandna gateways idle, bħal fil-mod ta 'Disponibbiltà Għolja. Fl-istess ħin, il-qawwa tista 'tiżdied kważi b'mod lineari, mingħajr telf serju bħal fil-mod ta' Kondiviżjoni tat-Tagħbija (aktar dettalji aktar tard).
Dan kollu huwa kbir, imma ejja nħarsu lejn żewġ eżempji speċifiċi.
Eżempju # 1
Ħalli l-kumpanija X bi ħsiebha tinstalla grupp ta' bibien fuq il-perimetru tan-netwerk. Diġà saru familjari mar-restrizzjonijiet kollha tal-Kondiviżjoni tat-Tagħbija (li mhumiex aċċettabbli għalihom) u qed jikkunsidraw esklussivament il-mod ta 'Disponibbiltà Għolja. Wara d-daqs, jirriżulta li l-portal 6800 huwa adattat għalihom, li m'għandux jitgħabba b'aktar minn 50% (sabiex ikollu mill-inqas xi riżerva ta 'prestazzjoni). Peress li dan se jkun raggruppament, għandek bżonn tixtri t-tieni apparat, li sempliċement "duħħan" l-arja fil-modalità standby. Huwa smokehouse għali ħafna.
Iżda hemm alternattiva. Ħu pakkett mill-orkestratur u tliet gateways 6500. F'dan il-każ, it-traffiku se jitqassam bejn it-tliet apparati. Jekk tħares lejn l-ispeċifikazzjonijiet taż-żewġ mudelli, se tara li tliet 6500 gateways huma aktar b'saħħithom minn 6800 wieħed.
Għalhekk, meta tagħżel Check Point Maestro, il-kumpanija X tirċievi l-vantaġġi li ġejjin:
- Il-kumpanija immedjatament tistabbilixxi pjattaforma skalabbli. Żieda sussegwenti fil-prestazzjoni se tinżel biex sempliċement iżżid biċċa hardware oħra 6500. X'jista 'jkun aktar sempliċi?
- Is-soluzzjoni għadha tolleranti għall-ħsarat, għax Jekk nodu wieħed ifalli, it-tnejn li jifdal ikunu jistgħu jlaħħqu mat-tagħbija.
- Vantaġġ ugwalment importanti u sorprendenti huwa li huwa orħos! Sfortunatament, ma nistax inpoġġi l-prezzijiet pubblikament, imma jekk int interessat, tista '
Eżempju # 2
Ħalli l-kumpanija Y diġà għandha cluster HA ta 'mudelli 6500. In-nodu attiv huwa mgħobbi f'85%, li waqt l-ogħla tagħbija jwassal għal telf fit-traffiku produttiv. Is-soluzzjoni loġika għall-problema tidher li qed taġġorna l-ħardwer. Il-mudell li jmiss huwa 6800. Jiġifieri. il-kumpanija jkollha bżonn tirritorna l-gateways permezz tal-programm Trade-In u tixtri żewġ apparati ġodda (aktar għaljin).
Iżda hemm għażla alternattiva. Ixtri orkestratur u ieħor eżattament l-istess node (6500). Arma grupp ta 'tliet apparati u "ferrex" dan 85% tat-tagħbija fuq tliet gateways. Bħala riżultat, ikollok marġni ta 'prestazzjoni enormi (tliet apparati se jitgħabbew b'medja ta' 30% biss). Anke jekk wieħed mit-tliet nodi jmut, it-tnejn li jifdal xorta se jlaħħqu mat-traffiku b'tagħbija medja ta '45%. Barra minn hekk, għall-ogħla tagħbija, raggruppament ta 'tliet gateways 6500 attivi se jkun aktar b'saħħtu minn gateway 6800 wieħed, li jinsab fil-cluster HA (jiġifieri attiv/standby). Barra minn hekk, jekk f'sena jew tnejn il-ħtiġijiet tal-kumpanija Y jerġgħu jiżdiedu, allura kull ma jkollhom bżonn jagħmlu huwa li jżidu wieħed jew tnejn aktar nodi 6500. Naħseb li l-benefiċċju ekonomiku hawnhekk huwa ovvju.
Konklużjoni
Iva, Check Point Maestro mhix soluzzjoni għal SMB. Iżda anke negozju ta 'daqs medju diġà jista' jaħseb dwar din il-pjattaforma u għall-inqas jipprova jikkalkula l-effiċjenza ekonomika. Int tkun sorpriż li ssib li pjattaformi skalabbli jistgħu jkunu aktar profittabbli minn cluster klassiku. Fl-istess ħin, hemm vantaġġi mhux biss ekonomiċi, iżda wkoll tekniċi. Madankollu, se nitkellmu dwarhom fl-artiklu li jmiss, fejn, minbarra tricks tekniċi, nipprova nuri diversi każijiet tipiċi (topoloġija, xenarji).
Tista' wkoll tabbona għall-paġni pubbliċi tagħna (, , , ), fejn tista 'ssegwi l-emerġenza ta' materjali ġodda fuq Check Point u prodotti oħra ta 'sigurtà.
Sors: www.habr.com