Stosunkowo niedawno (w 2016 r.) firma zaprezentowała swoje nowe urządzenia (zarówno bramy, jak i serwery sterujące). Kluczową różnicą w stosunku do poprzedniej linii jest znacznie zwiększona wydajność.
W tym artykule skupimy się wyłącznie na niższych modelach. Opiszemy zalety nowych urządzeń i możliwe pułapki, które nie zawsze są omawiane. Podzielimy się także osobistymi wrażeniami z ich użytkowania.
Skład Check Point
Jak widać na obrazku, Check Point dzieli swoje urządzenia na trzy duże kategorie:
- Wysokiej klasy przedsiębiorstwa i centra danych (modele , )
- Enterprise (modele )
- Małe i średnie przedsiębiorstwa (modele , , , , , , 1200R)
W tym przypadku jedną z głównych cech jest tzw SPU - Jednostki zasilania bezpieczeństwa. Jest to autorska miara firmy Check Point, która charakteryzuje rzeczywistą wydajność urządzenia. Jako przykład porównajmy tradycyjną metodę pomiaru wydajności zapory sieciowej (Mbps) z „nową” techniką firmy Check Point (SPU).
Tradycyjna technika - przepustowość zapory ogniowej
- Pomiary przeprowadzane są w warunkach laboratoryjnych na „sztucznym” ruchu.
- Oceniana jest tylko wydajność funkcji Firewall, bez dodatkowych modułów, takich jak IPS, Kontrola aplikacji itp.
- Testowanie jest zwykle przeprowadzane z jedną regułą zapory sieciowej.
Metodologia punktu kontrolnego – moc bezpieczeństwa
- Pomiary rzeczywistego ruchu użytkowników.
- Oceniana jest wydajność wszystkich funkcjonalności (zapora ogniowa, IPS, kontrola aplikacji, filtrowanie adresów URL itp.).
- Testowano na standardowej polisie, która zawiera wiele zasad.
Narzędzie do doboru urządzeń Check Point
Dlatego wybierając odpowiedni model Check Point, lepiej zdać się na parametr Jednostka zasilania bezpieczeństwa. Jest to wskazane w każdym arkuszu danych urządzenia. Nie będziesz w stanie samodzielnie obliczyć odpowiedniego SPU dla swojej sieci. Można tego dokonać jedynie przy pomocy partnera, który ma dostęp do narzędzia Narzędzie do doboru urządzeń Check Point:
Aby wybrać optymalne rozwiązanie należy wziąć pod uwagę takie parametry jak:
- szerokość kanału internetowego;
- Całkowita przepustowość bramy (może różnić się od kanału internetowego, jeśli np. segmentowałeś sieć lokalną za pomocą Check Point);
- Liczba użytkowników w sieci;
- Wymagane funkcje (Firewall, Anti-Virus, Anti-Bot, Kontrola aplikacji, Filtrowanie adresów URL, IPS, Emulacja zagrożeń itp.).
Istnieją również bardziej subtelne ustawienia, które opisują, do jakiego ruchu będą stosowane te bloki:
Po określeniu wszystkich cech możesz otrzymać raport opisujący odpowiednie urządzenia:
Tutaj możesz zobaczyć wymagany SPU (72 w naszym przypadku) i zalecany (144). A także same modele z opisem ich obciążenia i „rezerwy” na ruch i łopaty. Przy wyborze modelu zawsze warto wziąć urządzenie z zielonej strefy (czyli załadować do 50 procent):
Dzięki temu nie wystąpią żadne problemy podczas szczytowych obciążeń lub planowanych wzrostów szerokości kanału internetowego. Wybierając urządzenie, zawsze poproś partnera o przedstawienie podobnego raportu. Przykład można pobrać .
Stare kontra nowe
Po zrozumieniu głównego parametru charakteryzującego wydajność urządzeń, możemy przyjrzeć się bliżej nowym modelom dla małych i średnich firm. Jak wspomniano powyżej, Check Point ma cały segment - Małe i średnie przedsiębiorstwa (modele 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Urządzenia te można nazwać aktualizacją starej serii 2012 (2200, 1180, 1140, 1120). Aby zrozumieć kluczowe różnice, spójrz na poniższy obrazek:
(ceny podane są na licencji GPL, nie zawierają podatku VAT i wsparcia technicznego)
Jak widać, seria 2016 znacznie zwiększyła wydajność (SPU), a ceny pozostały na mniej więcej tym samym poziomie (z wyjątkiem modelu 3200). W nowej linii dostępny jest także model 3100, ale jeszcze nie teraz nie ma zgłoszenia, a import do Rosji jest zabroniony! Pamiętaj to!
Jeśli przeliczymy koszt jednego SPU, to model 1450 jest najbardziej zrównoważony. Poniżej przyjrzymy się bliżej nowej serii Check Point.
Schematy wdrażania urządzeń SMB
Jak widać na rysunku, istnieją dwa główne scenariusze implementacji urządzeń SMB:
- W trybie bramy domyślnej. W tym przypadku Check Point instalowany jest jako urządzenie peryferyjne i zarządzany lokalnie.
- Brama oddziału. W tym przypadku sprzęt oddziałowy jest zarządzany centralnie (za pomocą serwera zarządzającego) z centrali.
Dla serii и W każdym trybie dostępne są pewne funkcje. Przyjrzymy się im poniżej.
Seria SMB 3000
W tej chwili są dwa „kawałki żelaza” - 3200 и 3100. Jak wspomniano wcześniej, 3100 nie może jeszcze zostać zaimportowanych do kraju. Jeśli chodzi o 3200, jest to doskonały zamiennik starej serii 2200. Na urządzeniu działa pełnoprawna wersja Gaia (zarówno R77.30, jak i R80.10). Jeśli używasz urządzenia jako głównej bramy w małej firmie, możesz spodziewać się następującej wydajności:
- Kanał internetowy - 50 Mbit;
- Całkowita przepustowość - 300 Mbit;
- Liczba użytkowników - 200.
Jak widać obciążenie urządzenia w tym przypadku wynosi 47% i to przy zarządzaniu lokalnym, czyli tj. Standalone konfiguracja (więcej o trybie samodzielnym i rozproszonym ). Z własnego doświadczenia mogę powiedzieć, że w przypadku lokalnego zarządzania nie zaleca się przekraczania obciążenia 50%, ponieważ... Mogą wystąpić problemy z kontrolą (będzie zwalniać).
Jeśli urządzenie zostanie uznane za urządzenie oddziałowe (tj. Z oddzielnym scentralizowanym zarządzaniem), wówczas wskaźniki będą znacznie wyższe. A w wymiarowanie można już wejść w żółtą strefę (czyli z obciążeniem od 50% do 70%). Możesz wyświetlić arkusz danych urządzenia .
Seria SMB 1400
Ta seria obejmuje kilka urządzeń jednocześnie: 1490, 1470, 1450, 1430 (Logiczna wymiana przestarzałych 1120, 1140 i 1180).
Pomimo tego, że są to najmłodsze modele firmy Check Point, posiadają wszystkie niezbędne funkcjonalności:
- Urządzenia SMB można połączyć w klaster HA (aktywny/gotowy);
- Dostępne są prawie wszystkie moduły oprogramowania (tak jak w przypadku „dużych” elementów sprzętu);
- można zarządzać zarówno lokalnie, jak i centralnie (za pomocą tradycyjnego serwera zarządzającego);
- istnieją modyfikacje z WiFi, ADSL i PoE;
- możesz podłączyć modemy 3G;
- Dostępne są zestawy do montażu w stojaku.
Warto jednak ostrzec o pewnych ograniczeniach/funkcjach:
- Urządzenie ma wadliwą Gaię na pokładzie i Wbudowana Gaia 77.20. Ograniczenie to wynika z architektury urządzenia (stosowane są procesory ARM). W przypadku sterowania lokalnego (samodzielnego) nie będzie możliwości korzystania ze zwykłej konsoli SmartConsole. Zamiast tego istnieje interfejs sieciowy. Można to zobaczyć na tym filmie:
Przykład dotyczy serii 700, ale w zasadzie nie jest ona sprzedawana w Rosji. - Funkcja wyodrębniania zagrożeń nie działa. Tylko emulacja zagrożeń. Możesz zobaczyć, co to jest
- Nie da się złożyć klastra w trybie Load Sharing. Te. oszukiwanie poprzez zakup dwóch „tanich” sprzętów i rozłożenie między nie obciążenia w klastrze nie zadziała.
- Lokalne kierownictwo nakłada poważne ograniczenia dotyczące inspekcji HTTPS.
- Skanowanie antywirusowe archiwów nie działa.
- Brak funkcji DLP.
Ostatnie punkty to być może najważniejsze ograniczenia, o których często się milczy. Do pełnej inspekcji HTTPS będziesz zmuszony użyć tradycyjnego dedykowanego serwera zarządzającego. W tym przypadku będziesz sterował urządzeniem jako bramką z pełną (prawie pełną) wersją Gaia.
Inne ograniczenia Gaia Embedded można znaleźć tutaj . Koniecznie zapoznaj się z nimi przed podjęciem decyzji o zakupie.
Rozważmy na przykład małe biuro o następujących parametrach:
- Kanał internetowy - 50 Mbit;
- Całkowita przepustowość - 200 Mbit;
- Liczba użytkowników - 200;
- Zarządzanie lokalne (interfejs sieciowy).
Jak widać z wymiarowania, model 1490 z powodzeniem radzi sobie z tym zadaniem przy obciążeniu 46% (nie wychodząc poza zieloną strefę). Dzięki dedykowanemu zarządzaniu model 1470 poradzi sobie z tym zadaniem.
Można wyświetlić arkusz danych dla urządzeń serii 1400 .
Model 1200R
Model ten trudno nazwać SMB. Jest to już rozwiązanie przemysłowe i być może zasługuje na osobny artykuł. Teraz nie będziemy szczegółowo rozważać tego modelu.
Webinar
Więcej szczegółów na temat urządzeń SMB znajdziesz w naszym poprzednim webinarze:
odkrycia
Moim zdaniem nowe modele SMB okazały się całkiem udane. Wydajność urządzeń została znacząco zwiększona przy zachowaniu poziomu cenowego. Nie jestem gotowy, aby rozmawiać o wysokich kosztach/taniości urządzeń, ponieważ Koncepcje te są bardzo różne dla różnych firm.
Model Polecam małym firmom, którym zależy na maksymalnym poziomie ochrony za rozsądną cenę. Poza tym jest to dobry wybór dla tych, którzy są już przyzwyczajeni do pracy z pełną wersją Gai. Wersja R80.10 jest również dostępna tutaj. Po otrzymaniu powiadomienia o cenie 3100 cena spadnie jeszcze bardziej. Jest to idealna opcja dla oddziałów.
Urządzenia serii stanowią dobry kompromis i mają najlepszy stosunek ceny do jakości (zwłaszcza jeśli chodzi o cenę za 1 SPU). Urządzenia te doskonale sprawdzają się w oddziałach z ograniczonym budżetem. Korzystając ze scentralizowanego zarządzania, możesz zarządzać urządzeniami jak zwykłymi bramami za pomocą pełnej wersji Gaia. Ale znowu nie zapomnij o z którym zdecydowanie warto się zapoznać.
PS Chciałbym podziękować Aleksiejowi Matwiejewowi () za pomoc w przygotowaniu materiału.
Źródło: www.habr.com