ProHoster > Log > administrasjon > SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer

SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer

Relativt nylig (i 2016), selskapet Check Point presenterte sine nye enheter (både gatewayer og kontrollservere). Hovedforskjellen fra forrige linje er betydelig økt produktivitet.

SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer

I denne artikkelen vil vi fokusere utelukkende på de lavere modellene. Vi vil beskrive fordelene med nye enheter og mulige fallgruver som ikke alltid diskuteres. Vi vil også dele personlige inntrykk av bruken av dem.

Check Point-oppstilling

Som du kan se på bildet, deler Check Point inn enhetene sine i tre store kategorier:

I dette tilfellet er en av hovedkarakteristikkene den såkalte SPU - Security Power Units. Dette er Check Points proprietære mål som karakteriserer den faktiske ytelsen til en enhet. La oss som et eksempel sammenligne den tradisjonelle metoden for å måle brannmurytelse (Mbps) med den "nye" teknikken fra Check Point (SPU).

Tradisjonell teknikk - Brannmurgjennomstrømning

  • Målinger utføres i laboratorieforhold på «kunstig» trafikk.
  • Ytelsen til bare brannmurfunksjonen blir evaluert, uten tilleggsmoduler som IPS, Application Control, etc.
  • Testing utføres vanligvis med én brannmurregel.

Sjekkpunktmetodikk - Sikkerhetskraft

  • Målinger på reell brukertrafikk.
  • Ytelsen til all funksjonalitet (brannmur, IPS, applikasjonskontroll, URL-filtrering osv.) blir evaluert.
  • Testet på en standard policy som inkluderer mange regler.

Check Point Appliance Dimensjoneringsverktøy

Derfor, når du velger en passende Check Point-modell, er det bedre å stole på parameteren Sikkerhet Power Unit. Det er angitt i ethvert datablad for enheten. Du vil ikke kunne beregne riktig SPU for nettverket ditt på egen hånd. Dette kan kun gjøres ved hjelp av en partner som har tilgang til verktøyet Check Point Appliance Dimensjoneringsverktøy:

SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer

For å velge den optimale løsningen, må du ta hensyn til slike parametere som:

  • Internett-kanal bredde;
  • Den totale gjennomstrømningen til gatewayen (kan avvike fra Internett-kanalen hvis du for eksempel segmenterte det lokale nettverket ved hjelp av Check Point);
  • Antall brukere på nettverket;
  • Nødvendige funksjoner (brannmur, antivirus, anti-bot, applikasjonskontroll, URL-filtrering, IPS, trusselemulering, etc.).

Det er også mer subtile innstillinger som beskriver hvilken trafikk disse bladene vil bli brukt på:

SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer

Etter å ha spesifisert alle egenskapene, kan du motta en rapport som beskriver passende enheter:

SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer

Her kan du se nødvendig SPU (72 i vårt tilfelle) og den anbefalte (144). Og også modellene selv med en beskrivelse av deres last og "reserve" for trafikk og kniver. Når du velger en modell, anbefales det alltid å ta en enhet fra den grønne sonen (dvs. last opp til 50 prosent):

SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer

Dette sikrer at det ikke oppstår problemer under toppbelastninger eller planlagte økninger i Internett-kanalbredden. Når du velger en enhet, be alltid partneren din om å gi en lignende rapport. Eksemplet kan lastes ned her.

Gammel vs Ny

Etter å ha forstått hovedparameteren som karakteriserer ytelsen til enheter, kan vi se nærmere på nye modeller for små og mellomstore bedrifter. Som nevnt ovenfor har Check Point et helt segment - Små og mellomstore foretak (modeller 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Disse enhetene kan kalles en oppdatering av den gamle 2012-serien (2200, 1180, 1140, 1120). For å forstå de viktigste forskjellene, vurder bildet nedenfor:

SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer
(prisene er i GPL, eksklusive mva og teknisk støtte)

Som du kan se, har 2016-serien økt ytelsen (SPU) betydelig, og prisene holdt seg på omtrent samme nivå (med unntak av 3200-modellen). Den nye linjen inkluderer også en modell 3100, men ikke enda det er ingen varsling og import til Russland er forbudt! Husk dette!

Hvis vi beregner kostnaden for én SPU på nytt, er 1450-modellen den mest balanserte. Nedenfor skal vi se nærmere på den nye Check Point-serien.

Opplegg for implementering av SMB-enheter

SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer

Som det fremgår av figuren, er det to hovedimplementeringsscenarier for SMB-enheter:

  1. I standard gateway-modus. I dette tilfellet installeres Check Point som en perimeterenhet og administreres lokalt.
  2. Branch gateway. I dette tilfellet administreres filialmaskinvaren sentralt (ved hjelp av Management-serveren) fra hovedkontoret.

For serier 3000 и 1400 Det er noen funksjoner i hver modus. Vi skal se på dem nedenfor.

SMB-serien 3000

For øyeblikket er det to "jernstykker" - 3200 и 3100. Som nevnt tidligere kan 3100 ennå ikke importeres til landet. Når det gjelder 3200, er den en utmerket erstatning for den gamle 2200-serien. Enheten kjører en fullverdig versjon av Gaia (både R77.30 og R80.10). Hvis du bruker enheten som hovedporten i en liten bedrift, kan du forvente følgende ytelse:

  1. Internett-kanal - 50 Mbit;
  2. Total båndbredde - 300 Mbit;
  3. Antall brukere - 200.

SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer

Som du kan se er enhetsbelastningen i dette tilfellet 47% og dette er med lokal administrasjon, dvs. Frittstående konfigurasjon (mer om frittstående og distribuert her). Fra personlig erfaring kan jeg si at med lokal ledelse anbefales det ikke å overskride belastningen på 50%, fordi... Det kan være problemer med kontroll (det vil bremse ned).
Hvis enheten betraktes som en gren (dvs. med separat sentralisert administrasjon), vil indikatorene være betydelig høyere. Og du kan allerede gå inn i den gule sonen i dimensjonering (dvs. med en belastning på 50% til 70%). Du kan se enhetens dataark her.

SMB-serien 1400

Denne serien inkluderer flere enheter samtidig: 1490, 1470, 1450, 1430 (Logisk erstatning av utdaterte 1120, 1140 og 1180).

SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer

Til tross for at dette er de yngste Check Point-modellene, har de all nødvendig funksjonalitet:

  • SMB-enheter kan settes sammen til en HA-klynge (aktiv/standby);
  • Nesten alle programvareblader er tilgjengelige (som på "store" maskinvaredeler);
  • kan administreres både lokalt og sentralt (ved hjelp av en tradisjonell Management Server);
  • det er modifikasjoner med WiFi, ADSL og PoE;
  • du kan koble til 3G-modem;
  • Rackmonteringssett er tilgjengelig.

Det er imidlertid verdt å advare om noen begrensninger/funksjoner:

  • Enheten har defekt Gaia om bord, og Gaia 77.20 Embedded. Denne begrensningen skyldes enhetsarkitekturen (ARM-prosessorer brukes). Ved lokal kontroll (frittstående), vil du ikke kunne bruke den vanlige SmartConsole. I stedet er det et webgrensesnitt. Du kan se det i denne videoen:


    Eksemplet tar for seg 700-serien, men i prinsippet selges den ikke i Russland.
  • Threat Extraction-funksjonen fungerer ikke. Kun trusselemulering. Du kan se hva det er her
  • Det er umulig å sette sammen en klynge i Load Sharing-modus. De. juks ved å kjøpe to "billige" maskinvare og fordele belastningen i klyngen mellom dem vil ikke fungere.
  • Med lokal administrasjon er det alvorlige begrensninger angående HTTPS-inspeksjon.
  • Antivirusskanning av arkiver fungerer ikke.
  • Ingen DLP-funksjon.

De siste punktene er kanskje de viktigste restriksjonene som ofte holdes tause. For full HTTPS-inspeksjon vil du bli tvunget til å bruke en tradisjonell dedikert administrasjonsserver. I dette tilfellet vil du kontrollere enheten som en gateway med en full (nesten full) versjon av Gaia.

Andre restriksjoner for Gaia Embedded finner du her her. Sørg for å sjekke dem ut før du tar en kjøpsbeslutning.

Tenk for eksempel på et lite kontor med følgende parametere:

  • Internett-kanal - 50 Mbit;
  • Total båndbredde - 200 Mbit;
  • Antall brukere - 200;
  • Lokal administrasjon (webgrensesnitt).

SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer

Som det fremgår av dimensjoneringen, takler 1490-modellen denne oppgaven med en belastning på 46 % (uten å forlate den grønne sonen). Med dedikert ledelse vil 1470 takle denne oppgaven.
Dataark for enheter i 1400-serien kan sees her.

Modell 1200R

SMB-løsninger Check Point. Nye modeller for små bedrifter og filialer

Denne modellen kan neppe kalles SMB. Dette er allerede en industriell løsning og fortjener kanskje en egen artikkel. Nå skal vi ikke vurdere denne modellen i detalj.

Webinar

Flere detaljer om SMB-enheter finner du i vårt forrige nettseminar:

Funn

Etter min mening viste de nye SMB-modellene seg å være ganske vellykkede. Ytelsen til enhetene har blitt betydelig økt samtidig som prisnivået er opprettholdt. Jeg er ikke klar til å snakke om de høye kostnadene/billigheten til enheter, fordi Disse konseptene er svært forskjellige for ulike selskaper.

modell 3200 Jeg vil anbefale det til små selskaper som er interessert i maksimalt beskyttelsesnivå til en rimelig pris. I tillegg er dette et godt valg for de som allerede er vant til å jobbe med fullversjonen av Gaia. R80.10-versjonen er også tilgjengelig her. Når varsel for 3100 mottas, vil prislappen synke litt mer. Dette er et ideelt alternativ for grener.

Serie enheter 1400 er et godt kompromiss og har det beste pris/kvalitetsforholdet (spesielt når det gjelder pris per 1 SPU). Disse enhetene er flotte for filialer på et budsjett. Ved å bruke sentralisert administrasjon kan du administrere enheter som vanlige gatewayer med en fullversjon av Gaia. Men igjen, ikke glem det begrensninger, som du absolutt bør gjøre deg kjent med.

PS Jeg vil gjerne takke Alexey Matveev (RRC-selskap) for hjelp til å forberede materialet.

Kilde: www.habr.com

Legg til en kommentar