Relatívne nedávno (v roku 2016) sa spol predstavila svoje nové zariadenia (brány aj riadiace servery). Kľúčovým rozdielom oproti predchádzajúcemu radu je výrazne zvýšená produktivita.
V tomto článku sa zameriame výhradne na nižšie modely. Popíšeme si výhody nových zariadení a možné úskalia, o ktorých sa nie vždy hovorí. Podelíme sa aj o osobné dojmy z ich používania.
Zostava Check Point
Ako môžete vidieť na obrázku, Check Point rozdeľuje svoje zariadenia do troch veľkých kategórií:
- Špičkové podnikové a dátové centrum (modely , )
- podnik (modely )
- Malý a stredný podnik (modely , , , , , , 1200 R)
V tomto prípade je jednou z hlavných charakteristík tzv SPU - Bezpečnostné energetické jednotky. Toto je vlastné meranie spoločnosti Check Point, ktoré charakterizuje skutočný výkon zariadenia. Ako príklad si porovnajme tradičnú metódu merania výkonu brány firewall (Mbps) s „novou“ technikou od Check Point (SPU).
Tradičná technika - Priepustnosť brány firewall
- Merania sa vykonávajú v laboratórnych podmienkach na „umelej“ premávke.
- Hodnotí sa výkon iba funkcie Firewall, bez doplnkových modulov ako IPS, Kontrola aplikácií atď.
- Testovanie sa zvyčajne vykonáva s jedným pravidlom brány firewall.
Metodológia kontrolných bodov – bezpečnostná sila
- Merania na reálnej návštevnosti používateľov.
- Hodnotí sa výkon všetkých funkcií (Firewall, IPS, Kontrola aplikácií, filtrovanie adries URL atď.).
- Testované na štandardnej politike, ktorá obsahuje mnoho pravidiel.
Check Point Appliance Sizing Tool
Pri výbere vhodného modelu Check Point je teda lepšie spoľahnúť sa na parameter Bezpečnostná napájacia jednotka. Je to uvedené v každom údajovom liste zariadenia. Nebudete môcť vypočítať vhodný SPU pre vašu sieť sami. Dá sa to urobiť len s pomocou partnera, ktorý má k nástroju prístup Check Point Appliance Sizing Tool:
Ak chcete vybrať optimálne riešenie, musíte vziať do úvahy také parametre, ako sú:
- šírka internetového kanála;
- Celková priepustnosť brány (môže sa líšiť od internetového kanála, ak ste napríklad segmentovali lokálnu sieť pomocou Check Point);
- Počet používateľov v sieti;
- Požadované funkcie (Firewall, Anti-Virus, Anti-Bot, Kontrola aplikácií, Filtrovanie URL, IPS, Emulácia hrozieb atď.).
Existujú aj jemnejšie nastavenia, ktoré popisujú, na akú premávku sa tieto čepele použijú:
Po zadaní všetkých charakteristík môžete dostať správu s popisom vhodných zariadení:
Tu vidíte požadovaný SPU (v našom prípade 72) a odporúčaný (144). A tiež samotné modely s popisom ich zaťaženia a „rezervy“ pre premávku a radlice. Pri výbere modelu sa vždy odporúča zobrať zariadenie zo zelenej zóny (t.j. zaťaženie do 50 percent):
To zaisťuje, že počas špičky alebo plánovaného zvýšenia šírky internetového kanála nebudú žiadne problémy. Pri výbere zariadenia vždy požiadajte partnera, aby poskytol podobnú správu. Príklad je možné stiahnuť .
Starý vs Nový
Po pochopení hlavného parametra charakterizujúceho výkon zariadení sa môžeme bližšie pozrieť na nové modely pre malé a stredné podniky. Ako už bolo spomenuté vyššie, Check Point má celý segment - Malý a stredný podnik (modely 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Tieto zariadenia možno nazvať aktualizáciou starej série 2012 (2200, 1180, 1140, 1120). Ak chcete pochopiť hlavné rozdiely, zvážte nasledujúci obrázok:
(ceny sú v GPL, bez DPH a technickej podpory)
Ako vidíte, séria 2016 výrazne zvýšila výkon (SPU) a ceny zostali približne na rovnakej úrovni (s výnimkou modelu 3200). Súčasťou nového radu je aj model 3100, ale ešte nie neexistuje žiadne oznámenie a dovoz do Ruska je zakázaný! Zapamätaj si to!
Ak prepočítame náklady na jeden SPU, tak model 1450 je najvyváženejší. Nižšie sa bližšie pozrieme na novú sériu Check Point.
Schémy na implementáciu zariadení SMB
Ako je možné vidieť na obrázku, existujú dva hlavné scenáre implementácie pre SMB zariadenia:
- V režime predvolenej brány. V tomto prípade je Check Point nainštalovaný ako obvodové zariadenie a spravovaný lokálne.
- Pobočková brána. V tomto prípade je hardvér pobočky riadený centrálne (pomocou Management servera) z centrály.
Pre série и V každom režime sú niektoré funkcie. Pozrieme sa na ne nižšie.
SMB séria 3000
V súčasnosti existujú dva „kusy železa“ - 3200 и 3100. Ako už bolo spomenuté, 3100 zatiaľ nie je možné doviezť do krajiny. Čo sa týka 3200, ide o výbornú náhradu za starú sériu 2200. Na zariadení beží plnohodnotná verzia Gaia (R77.30 aj R80.10). Ak zariadenie používate ako hlavnú bránu v malom podniku, môžete očakávať nasledujúci výkon:
- Internetový kanál - 50 Mbit;
- Celková šírka pásma - 300 Mbit;
- Počet používateľov - 200.
Ako vidíte, zaťaženie zariadenia je v tomto prípade 47% a to je s lokálnou správou, t.j. Samostatný konfigurácia (viac o samostatnom a distribuovanom ). Z osobnej skúsenosti môžem povedať, že s lokálnym manažmentom sa neodporúča prekročiť záťaž 50%, pretože... Môžu sa vyskytnúť problémy s ovládaním (spomalí sa).
Ak sa zariadenie považuje za pobočkové zariadenie (t. j. so samostatným centralizovaným riadením), ukazovatele budú výrazne vyššie. A už môžete vstúpiť do žltej zóny v dimenzovaní (t.j. pri zaťažení 50% až 70%). Môžete si pozrieť údajový list zariadenia .
SMB séria 1400
Táto séria obsahuje niekoľko zariadení naraz: 1490, 1470, 1450, 1430 (Logická náhrada zastaraných 1120, 1140 a 1180).
Napriek tomu, že ide o najmladšie modely Check Point, majú všetky potrebné funkcie:
- Zariadenia SMB možno zostaviť do klastra HA (aktívny/pohotovostný);
- K dispozícii sú takmer všetky softvérové čepele (ako na „veľkých“ kusoch hardvéru);
- možno spravovať lokálne aj centrálne (pomocou tradičného servera na správu);
- existujú modifikácie s WiFi, ADSL a PoE;
- môžete pripojiť 3G modemy;
- K dispozícii sú súpravy na montáž do racku.
Je však potrebné upozorniť na niektoré obmedzenia/funkcie:
- Zariadenie má chybnú Gaiu na palube a Gaia 77.20 Vložená. Toto obmedzenie je spôsobené architektúrou zariadenia (používajú sa procesory ARM). V prípade lokálneho ovládania (samostatného) nebudete môcť používať známu SmartConsole. Namiesto toho je tu webové rozhranie. Môžete to vidieť v tomto videu:
Príklad uvažuje sériu 700, ale v zásade sa nepredáva v Rusku. - Funkcia Threat Extraction nefunguje. Iba emulácia hrozieb. Môžete vidieť, čo to je
- Nie je možné zostaviť klaster v režime zdieľania záťaže. Tie. podvádzanie nákupom dvoch „lacných“ kusov hardvéru a rozloženie záťaže v klastri medzi ne nebude fungovať.
- Pri lokálnej správe existujú vážne obmedzenia týkajúce sa kontroly HTTPS.
- Antivírusová kontrola archívov nefunguje.
- Žiadna funkcia DLP.
Posledné body sú možno najdôležitejšie obmedzenia, o ktorých sa často mlčí. Pre úplnú kontrolu HTTPS budete nútení použiť tradičný dedikovaný server na správu. V tomto prípade budete zariadenie ovládať ako bránu s plnou (takmer plnou) verziou Gaia.
Ďalšie obmedzenia Gaia Embedded nájdete tu . Pred rozhodnutím o kúpe ich nezabudnite skontrolovať.
Predstavte si napríklad malú kanceláriu s nasledujúcimi parametrami:
- Internetový kanál - 50 Mbit;
- Celková šírka pásma - 200 Mbit;
- Počet používateľov - 200;
- Lokálna správa (webové rozhranie).
Ako je zrejmé z dimenzovania, model 1490 sa s touto úlohou úspešne vyrovná so zaťažením 46% (bez opustenia zelenej zóny). Vďaka špecializovanému manažmentu sa 1470 s touto úlohou vyrovná.
Dátový list pre zariadenia série 1400 si môžete pozrieť .
Model 1200R
Tento model možno len ťažko nazvať SMB. Toto je už priemyselné riešenie a možno si zaslúži samostatný článok. Teraz nebudeme tento model podrobne zvažovať.
Webináre
Viac podrobností o zariadeniach SMB nájdete v našom predchádzajúcom webinári:
Závery
Nové SMB modely sa podľa mňa celkom podarili. Výrazne sa zvýšil výkon zariadení pri zachovaní cenovej hladiny. Nie som pripravený hovoriť o vysokej cene / lacnosti zariadení, pretože Tieto koncepty sú pre rôzne spoločnosti veľmi odlišné.
Model Odporúčal by som ho malým firmám, ktoré majú záujem o maximálnu úroveň ochrany za rozumnú cenu. Navyše je to dobrá voľba pre tých, ktorí sú už zvyknutí pracovať s plnou verziou Gaia. K dispozícii je aj verzia R80.10. Keď príde upozornenie na 3100, cenovka ešte o niečo klesne. Pre ratolesti je to ideálna možnosť.
Sériové zariadenia sú dobrým kompromisom a majú najlepší pomer cena/kvalita (najmä pokiaľ ide o cenu za 1 SPU). Tieto zariadenia sú skvelé pre pobočky s obmedzeným rozpočtom. Pomocou centralizovanej správy môžete spravovať zariadenia ako bežné brány s plnou verziou Gaia. Ale opäť nezabudnite , s ktorým by ste sa určite mali zoznámiť.
PS Chcel by som poďakovať Alexey Matveev () za pomoc pri príprave materiálu.
Zdroj: hab.com