Relatief recent (in 2016) heeft het bedrijf presenteerde zijn nieuwe apparaten (zowel gateways als controleservers). Het belangrijkste verschil met de vorige lijn is de aanzienlijk hogere productiviteit.
In dit artikel zullen we ons uitsluitend richten op de lagere modellen. We beschrijven de voordelen van nieuwe apparaten en mogelijke valkuilen die niet altijd aan bod komen. We zullen ook persoonlijke indrukken van het gebruik ervan delen.
Check Point-opstelling
Zoals u op de afbeelding kunt zien, verdeelt Check Point zijn apparaten in drie grote categorieën:
- High-end onderneming en datacenter (modellen , )
- Enterprise (modellen )
- Kleine en middelgrote onderneming (modellen , , , , , , 1200R)
In dit geval is een van de belangrijkste kenmerken de zogenaamde SPU - Beveiligingsstroomeenheden. Dit is de eigen maatstaf van Check Point die de daadwerkelijke prestaties van een apparaat karakteriseert. Laten we als voorbeeld de traditionele methode voor het meten van Firewall-prestaties (Mbps) vergelijken met de “nieuwe” techniek van Check Point (SPU).
Traditionele techniek - Firewall-doorvoer
- Metingen worden uitgevoerd in laboratoriumomstandigheden aan “kunstmatig” verkeer.
- De prestaties van alleen de Firewall-functie worden geëvalueerd, zonder extra modules zoals IPS, Applicatiecontrole, enz.
- Het testen wordt meestal uitgevoerd met één Firewall-regel.
Check Point-methodologie - Beveiligingskracht
- Metingen op echt gebruikersverkeer.
- De prestaties van alle functionaliteit (Firewall, IPS, Applicatiecontrole, URL-filtering, etc.) worden beoordeeld.
- Getest op een standaardbeleid dat veel regels omvat.
Check Point maathulpmiddel voor apparaten
Bij het kiezen van een geschikt Check Point-model is het dus beter om op de parameter te vertrouwen Beveiligingsvoedingseenheid. Dit wordt aangegeven in elk gegevensblad van het apparaat. U kunt niet zelf de juiste SPU voor uw netwerk berekenen. Dit kan alleen met de hulp van een partner die toegang heeft tot de tool Check Point maathulpmiddel voor apparaten:
Om de optimale oplossing te selecteren, moet u rekening houden met parameters als:
- Breedte internetkanaal;
- De totale doorvoer van de gateway (kan afwijken van het internetkanaal als u bijvoorbeeld het lokale netwerk hebt gesegmenteerd met behulp van Check Point);
- Aantal gebruikers op het netwerk;
- Vereiste functies (Firewall, Anti-Virus, Anti-Bot, Applicatiecontrole, URL-filtering, IPS, Bedreigingsemulatie, enz.).
Er zijn ook subtielere instellingen die beschrijven op welk verkeer deze blades worden toegepast:
Nadat u alle kenmerken heeft gespecificeerd, kunt u een rapport ontvangen met een beschrijving van geschikte apparaten:
Hier ziet u de vereiste SPU (in ons geval 72) en de aanbevolen SPU (144). En ook de modellen zelf met een beschrijving van hun lading en “reserve” voor verkeer en bladen. Bij de keuze voor een model is het altijd aan te raden om een toestel uit de groene zone te nemen (dat wil zeggen belasting tot 50 procent):
Dit zorgt ervoor dat er geen problemen optreden tijdens piekbelastingen of geplande uitbreidingen van de internetkanaalbreedte. Vraag bij het kiezen van een apparaat altijd aan uw partner om een soortgelijk rapport te verstrekken. Het voorbeeld is te downloaden .
Oud versus nieuw
Nu we de belangrijkste parameter hebben begrepen die de prestaties van apparaten kenmerkt, kunnen we nieuwe modellen voor kleine en middelgrote bedrijven nader bekijken. Zoals hierboven vermeld, heeft Check Point een heel segment: Kleine en middelgrote onderneming (modellen 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Deze apparaten kunnen een update van de oude 2012-serie (2200, 1180, 1140, 1120) worden genoemd. Bekijk de onderstaande afbeelding om de belangrijkste verschillen te begrijpen:
(prijzen zijn in GPL, exclusief BTW en technische ondersteuning)
Zoals u kunt zien, heeft de serie uit 2016 de prestaties (SPU) aanzienlijk verbeterd en bleven de prijzen op ongeveer hetzelfde niveau (met uitzondering van het 3200-model). De nieuwe lijn bevat ook een model 3100, maar nog niet er is geen melding en import in Rusland is verboden! Onthoud dit!
Als we de kosten van één SPU herberekenen, is het 1450-model het meest gebalanceerd. Hieronder gaan we dieper in op de nieuwe Check Point-serie.
Schema's voor het implementeren van SMB-apparaten
Zoals u in de afbeelding kunt zien, zijn er twee belangrijke implementatiescenario's voor SMB-apparaten:
- In standaard gatewaymodus. In dit geval wordt Check Point als perimeterapparaat geïnstalleerd en lokaal beheerd.
- Vestigingspoort. In dit geval wordt de filiaalhardware centraal beheerd (met behulp van de Managementserver) vanuit het hoofdkantoor.
Voor series и Er zijn enkele functies in elke modus. We zullen ze hieronder bekijken.
SMB-serie 3000
Op dit moment zijn er twee “stukken ijzer” - 3200 и 3100. Zoals eerder vermeld kunnen 3100 nog niet in het land geïmporteerd worden. De 3200 is een uitstekende vervanger voor de oude serie 2200. Het toestel draait op een volwaardige versie van Gaia (zowel R77.30 als R80.10). Als u het apparaat als hoofdgateway in een klein bedrijf gebruikt, kunt u de volgende prestaties verwachten:
- Internetkanaal - 50 Mbit;
- Totale bandbreedte - 300 Mbit;
- Aantal gebruikers - 200.
Zoals u kunt zien, is de apparaatbelasting in dit geval 47% en dit is bij lokaal beheer, d.w.z. Standalone configuratie (meer over standalone en gedistribueerd ). Uit persoonlijke ervaring kan ik zeggen dat het bij lokaal management niet aan te raden is om de belasting van 50% te overschrijden, omdat... Er kunnen problemen zijn met de controle (deze zal langzamer gaan).
Als het apparaat wordt beschouwd als een filiaalapparaat (d.w.z. met afzonderlijk gecentraliseerd beheer), zullen de indicatoren aanzienlijk hoger zijn. En qua maatvoering (dus met een belasting van 50% tot 70%) kun je al in de gele zone terecht. U kunt het gegevensblad van het apparaat bekijken .
SMB-serie 1400
Deze serie bevat meerdere apparaten tegelijk: 1490, 1470, 1450, 1430 (logische vervanging van de verouderde 1120, 1140 en 1180).
Ondanks dat dit de jongste Check Point-modellen zijn, beschikken ze over alle benodigde functionaliteit:
- SMB-apparaten kunnen worden samengevoegd tot een HA-cluster (Actief/Stand-by);
- Bijna alle softwareblades zijn beschikbaar (zoals op “grote” hardwarestukken);
- kan zowel lokaal als centraal worden beheerd (met behulp van een traditionele Management Server);
- er zijn aanpassingen met WiFi, ADSL en PoE;
- u kunt 3G-modems aansluiten;
- Er zijn rackmontagekits beschikbaar.
Het is echter de moeite waard om te waarschuwen voor enkele beperkingen/functies:
- Het apparaat heeft een defecte Gaia aan boord, en Gaia 77.20 ingebed. Deze beperking is te wijten aan de architectuur van het apparaat (er worden ARM-processors gebruikt). Bij lokale besturing (standalone) kunt u geen gebruik maken van de gebruikelijke SmartConsole. In plaats daarvan is er een webinterface. Je kunt het zien in deze video:
In het voorbeeld wordt gekeken naar de 700-serie, maar deze wordt in principe niet in Rusland verkocht. - De functie voor het extraheren van bedreigingen werkt niet. Alleen bedreigingsemulatie. Je kunt zien wat het is
- Het is onmogelijk om een cluster samen te stellen in de Load Sharing-modus. Die. valsspelen door twee “goedkope” hardwareonderdelen te kopen en de belasting in het cluster daartussen te verdelen zal niet werken.
- Bij lokaal beheer zijn er ernstige beperkingen met betrekking tot HTTPS-inspectie.
- Antivirusscannen van archieven werkt niet.
- Geen DLP-functie.
De laatste punten zijn misschien wel de belangrijkste beperkingen die vaak worden verzwegen. Voor volledige HTTPS-inspectie bent u genoodzaakt een traditionele speciale beheerserver te gebruiken. In dit geval bestuur je het apparaat als gateway met een volledige (bijna volledige) versie van Gaia.
Andere beperkingen van Gaia Embedded vindt u hier . Zorg ervoor dat u ze bekijkt voordat u een aankoopbeslissing neemt.
Overweeg bijvoorbeeld een klein kantoor met de volgende parameters:
- Internetkanaal - 50 Mbit;
- Totale bandbreedte - 200 Mbit;
- Aantal gebruikers - 200;
- Lokaal beheer (webinterface).
Zoals uit de maatvoering blijkt, kan het 1490-model deze taak met succes aan met een belasting van 46% (zonder de groene zone te verlaten). Met toegewijd beheer kan de 1470 deze taak aan.
Datasheet voor apparaten uit de 1400-serie kan worden bekeken .
Model 1200R
Dit model kan nauwelijks SMB worden genoemd. Dit is al een industriële oplossing en verdient misschien een apart artikel. Nu zullen we dit model niet in detail bekijken.
Webinar
Meer details over SMB-apparaten vindt u in ons vorige webinar:
Bevindingen
Naar mijn mening zijn de nieuwe SMB-modellen behoorlijk succesvol gebleken. De prestaties van apparaten zijn aanzienlijk verbeterd terwijl het prijsniveau behouden bleef. Ik ben nog niet klaar om te praten over de hoge kosten/goedkoopheid van apparaten, omdat Deze concepten zijn voor verschillende bedrijven heel verschillend.
Model Ik zou het aanbevelen aan kleine bedrijven die geïnteresseerd zijn in het maximale beschermingsniveau voor een redelijke prijs. Bovendien is dit een goede keuze voor degenen die al gewend zijn aan het werken met de volledige versie van Gaia. De R80.10-versie is ook hier beschikbaar. Wanneer er een melding voor 3100 wordt ontvangen, zal het prijskaartje nog iets verder dalen. Voor filialen is dit een ideale optie.
Serie apparaten zijn een goed compromis en hebben de beste prijs-kwaliteitverhouding (vooral qua prijs per 1 SPU). Deze apparaten zijn ideaal voor vestigingen met een beperkt budget. Met gecentraliseerd beheer kunt u apparaten zoals gewone gateways beheren met een volledige versie van Gaia. Maar nogmaals, vergeet het niet , waarmee u zich zeker vertrouwd moet maken.
PS Ik wil Alexey Matveev bedanken () voor hulp bij het voorbereiden van het materiaal.
Bron: www.habr.com