Së fundmi, Check Point prezantoi një platformë të re të shkallëzueshme . Ne kemi botuar tashmë një artikull të tërë rreth . Me pak fjalë, ju lejon të rritni pothuajse në mënyrë lineare performancën e portës së sigurisë duke kombinuar pajisje të shumta dhe duke balancuar ngarkesën midis tyre. Çuditërisht, ekziston ende një mit që kjo platformë e shkallëzueshme është e përshtatshme vetëm për qendra të mëdha të dhënash ose rrjete gjigante. Kjo nuk është absolutisht e vërtetë.
Check Point Maestro u zhvillua për disa kategori përdoruesish menjëherë (do t'i shikojmë ato pak më vonë), duke përfshirë bizneset e mesme. Në këtë seri të shkurtër artikujsh do të përpiqem të reflektoj avantazhet teknike dhe ekonomike të Check Point Maestro për organizatat e mesme (nga 500 përdorues) dhe pse ky opsion mund të jetë më i mirë se një grup klasik.
Audienca e synuar e Check Point Maestro
Së pari, le të shohim segmentet e përdoruesve për të cilët është krijuar Check Point Maestro. Janë vetëm 4 prej tyre:
1. Kompanitë të cilave u mungonin aftësitë e shasisë. Check Point Maestro nuk është platforma e parë e shkallëzueshme e Check Point. Ne kemi shkruar tashmë se më parë kishte modele të tilla si 64000 dhe 44000. Edhe pse ata kishin performancë të MIRË, ende kishte kompani për të cilat kjo NUK MJAFTON. Maestro e eliminon këtë pengesë, sepse... ju lejon të grumbulloni deri në 31 pajisje në një grup me performancë të lartë. Në të njëjtën kohë, ju mund të grumbulloni një grup nga pajisjet e nivelit të lartë (23900, 26000), duke arritur kështu një xhiro kolosale.
Në fakt, në fushën e portave të sigurisë, Check Point është aktualisht e vetmja që zbaton një aftësi të tillë.
2. Kompanitë që duan të jenë në gjendje të zgjedhin harduerin e tyre. Një nga disavantazhet e platformave më të vjetra të shkallëzueshme është nevoja për të përdorur "module teh" të përcaktuara rreptësisht (Check Point SGM). Platforma e re Check Point Maestro ju lejon të përdorni një numër të madh pajisjesh të ndryshme. Ju mund të zgjidhni të dy modelet nga segmenti i mesëm (5600, 5800, 5900, 6500, 6800) dhe nga segmenti High End (seri 15000, seri 23000, seri 26000). Për më tepër, ju mund t'i kombinoni ato, në varësi të detyrave.
Kjo është shumë e përshtatshme nga pikëpamja e përdorimit optimal të burimeve. Ju mund të blini vetëm performancën që ju nevojitet duke zgjedhur modelin e duhur.
3. Kompanitë për të cilat shasia është shumë, por duhet ende shkallëzim. Një tjetër "disvantazh" i platformave të vjetra të shkallëzueshme (64000, 44000) ishte pragu i lartë i hyrjes (nga pikëpamja ekonomike). Për një kohë të gjatë, platformat e shkallëzueshme ishin të disponueshme vetëm për bizneset e mëdha me buxhete "të mira" të TI-së. Me ardhjen e Check Point Maestro, gjithçka ka ndryshuar. Kostoja e paketës minimale (orkestruesi + dy porta) është e krahasueshme (dhe ndonjëherë më e ulët) me një grup klasik aktiv/të gatishmërisë. Ato. pragu i hyrjes ka rënë ndjeshëm. Kur zgjedh një zgjidhje, një kompani mund të vendosë menjëherë një arkitekturë të shkallëzuar, pa paguar më shumë për një rritje të mundshme të mëvonshme të nevojave. A ka më shumë përdorues një vit pas zbatimit të Check Point Maestro? Ju thjesht shtoni një ose dy porta, pa asnjë zëvendësim të atyre ekzistuese. Ju as nuk keni nevojë të ndryshoni topologjinë. Thjesht lidhni portat e reja me orkestruesin dhe aplikoni cilësimet në to me vetëm disa klikime.
4. Kompanitë që duan të përdorin në mënyrë optimale pajisjet ekzistuese. Unë mendoj se shumë njerëz janë të njohur me procedurën e Trade-In. Kur performanca e pajisjeve ekzistuese nuk është më e mjaftueshme dhe hardueri duhet të përditësohet për të përmbushur nevojat aktuale. Një procedurë mjaft e shtrenjtë. Plus, mjaft shpesh ekziston një situatë kur një klient ka disa grupe Check Point për detyra të ndryshme. Për shembull, një grup për mbrojtjen e perimetrit, një grup për qasje në distancë (RA VPN), një grup për VSX, etj. Për më tepër, një grup mund të mos ketë burime të mjaftueshme, ndërsa një tjetër ka një bollëk prej tyre. Check Maestro është një mundësi e shkëlqyer për të optimizuar përdorimin e këtyre burimeve duke shpërndarë në mënyrë dinamike ngarkesën midis tyre.
Ato. ju merrni përfitimet e mëposhtme:
- Nuk ka nevojë të "hedhni tutje" pajisjet ekzistuese. Ju mund të blini një ose dy porta shtesë, ose...
- Konfiguro balancimin dinamik të ngarkesës midis portave të tjera ekzistuese për përdorim më optimal të burimeve. Nëse ngarkesa në portën rrethuese rritet ndjeshëm, atëherë orkestratori do të jetë në gjendje të përdorë burimet "të mërzitura" të portave të hyrjes në distancë dhe anasjelltas. Kjo ndihmon në zbutjen e majave të ngarkesës sezonale (ose të përkohshme).
Siç ndoshta e kuptoni, dy segmentet e fundit lidhen posaçërisht me bizneset e mesme, të cilat tani mund të përballojnë edhe përdorimin e platformave të shkallëzueshme të sigurisë. Sidoqoftë, mund të lindë një pyetje e arsyeshme: "Pse Check Point Maestro është më i mirë se një grup i rregullt?“Ne do të përpiqemi t'i përgjigjemi kësaj pyetjeje.
Grupi klasik kundër Check Point Maestro
Nëse flasim për grupin klasik të pikës së kontrollit, atëherë mbështeten dy mënyra funksionimi: Disponueshmëria e lartë (d.m.th. Active/Standby) dhe Ndarja e Ngarkesës (d.m.th. Active/Active). Ne do të përshkruajmë shkurtimisht kuptimin e tyre të punës, si dhe të mirat dhe të këqijat e tyre.
Disponueshmëri e lartë (aktiv/në gatishmëri)
Siç sugjeron emri, në këtë modalitet operimi, një nyje kalon të gjithë trafikun përmes vetes, dhe e dyta është në modalitetin e gatishmërisë dhe merr trafikun nëse nyja aktive fillon të ketë ndonjë problem.
Pro:
- Mënyra më e qëndrueshme;
- Mekanizmi i pronarit SecureXL mbështetet për të përshpejtuar përpunimin e trafikut;
- Nëse nyja aktive dështon, e dyta është e garantuar të jetë në gjendje të "tretë" të gjithë trafikun (sepse është saktësisht e njëjtë).
Cons:
Në fakt, ka vetëm një minus - një nyje është plotësisht e papunë. Nga ana tjetër, për shkak të kësaj, ne jemi të detyruar të blejmë pajisje më të fuqishme në mënyrë që të përballojë trafikun i vetëm.
Sigurisht, modaliteti HA është më i besueshëm se "Ndarja e ngarkesës", por optimizimi i burimeve lë shumë për të dëshiruar.
Ndarja e ngarkimit (aktiv/aktiv)
Në këtë mënyrë, të gjitha nyjet në grup përpunojnë trafikun. Mund të kombinoni deri në 8 pajisje në një grup të tillë (më shumë se 4 ).
Pro:
- Ju mund të shpërndani ngarkesën midis nyjeve, gjë që kërkon pajisje më pak të fuqishme;
- Mundësia e shkallëzimit të qetë (duke shtuar deri në 8 nyje në grup).
Cons:
- Mjaft e çuditshme, të mirat menjëherë kthehen në kundër. Ata pëlqejnë të përdorin modalitetin e ndarjes së ngarkesës edhe kur kompania ka vetëm dy nyje. Duke dashur të kursejnë para, ata blejnë pajisje, secila prej të cilave është e ngarkuar me 40-50%. Dhe gjithçka duket se është në rregull. Por nëse një nyje dështon, ne kemi një situatë ku e gjithë ngarkesa transferohet në atë të mbetur, e cila thjesht nuk mund të përballojë. Si rezultat, nuk ka tolerancë ndaj gabimeve si e tillë në një skemë të tillë.
- Shtojini kësaj një sërë kufizimesh të Ndarjes së Ngarkesës (). Dhe kufizimi më i rëndësishëm është se SecureXL nuk mbështetet, një mekanizëm që shpejton ndjeshëm përpunimin e trafikut;
- Sa i përket shkallëzimit duke shtuar nyje të reja në grup, fatkeqësisht Load Sharing nuk është aspak ideale këtu. Nëse më shumë se 4 pajisje shtohen në grup, atëherë performanca fillon .
Duke marrë parasysh dy disavantazhet e para, për të zbatuar tolerancën e gabimeve gjatë përdorimit të dy nyjeve, ne jemi gjithashtu të detyruar të blejmë pajisje më produktive në mënyrë që të mund të "tretet" trafikun në një situatë kritike. Si rrjedhojë nuk kemi asnjë përfitim ekonomik, por marrim një shumë të madhe . Për më tepër, vlen të përmendet se duke filluar nga versioni R80.20, modaliteti i ndarjes së ngarkesës nuk mbështetet. Kjo i kufizon përdoruesit nga përditësimet e kërkuara. Nuk dihet ende nëse Load Sharing do të mbështetet në versionet më të reja.
Kontrolloni Point Maestro si një alternativë
Nga pikëpamja e grupimit, Check Point Maestro mori avantazhet kryesore të mënyrave të Disponueshmërisë së Lartë dhe Ndarjes së Ngarkesës:
- Portat e lidhura me orkestruesin mund të përdorin SecureXL, i cili siguron shpejtësi maksimale të përpunimit të trafikut. Nuk ka kufizime të tjera të natyrshme në ndarjen e ngarkesës;
- Trafiku shpërndahet ndërmjet portave në një Grup Sigurie (një portë logjike e përbërë nga disa grupe fizike). Falë kësaj, ne mund të instalojmë pajisje më pak produktive, sepse nuk kemi më porta boshe, si në modalitetin e disponueshmërisë së lartë. Në të njëjtën kohë, fuqia mund të rritet pothuajse në mënyrë lineare, pa humbje të tilla serioze si në modalitetin e ndarjes së ngarkesës (më shumë detaje më vonë).
E gjithë kjo është e mrekullueshme, por le të shohim dy shembuj specifikë.
Shembulli Nr. 1
Lëreni kompaninë X të synojë të instalojë një grup portash në perimetrin e rrjetit. Ata tashmë janë njohur me të gjitha kufizimet e ndarjes së ngarkesës (të cilat janë të papranueshme për ta) dhe po konsiderojnë ekskluzivisht modalitetin e disponueshmërisë së lartë. Pas përmasave, rezulton se për ta është e përshtatshme porta 6800, e cila nuk duhet të ngarkohet më shumë se 50% (në mënyrë që të ketë të paktën një rezervë të performancës). Meqenëse ky do të jetë një grup, ju duhet të blini një pajisje të dytë, e cila thjesht do të "tymojë" ajrin në modalitetin e gatishmërisë. Është një duhanpirëse shumë e shtrenjtë.
Por ka një alternativë. Merrni një pako nga orkestratori dhe tre porta 6500. Në këtë rast, trafiku do të shpërndahet midis të tre pajisjeve. Nëse shikoni specifikimet e dy modeleve, do të shihni se tre porta 6500 janë më të fuqishme se një 6800.
Kështu, kur zgjedh Check Point Maestro, kompania X merr përparësitë e mëposhtme:
- Kompania vendos menjëherë një platformë të shkallëzueshme. Një rritje e mëvonshme e performancës do të zbresë në shtimin e një pajisjeje tjetër prej 6500. Çfarë mund të jetë më e thjeshtë?
- Zgjidhja është ende tolerante ndaj gabimeve, sepse Nëse një nyje dështon, dy të tjerët do të jenë në gjendje të përballojnë ngarkesën.
- Një avantazh po aq i rëndësishëm dhe befasues është se është më i lirë! Fatkeqësisht, nuk mund të postoj çmime publikisht, por nëse jeni të interesuar, mundeni
Shembulli Nr. 2
Le të ketë kompania Y tashmë një grup HA prej 6500 modelesh. Nyja aktive është e ngarkuar me 85%, gjë që gjatë ngarkesave të pikut çon në humbje në trafikun produktiv. Zgjidhja logjike e problemit duket se është përditësimi i harduerit. Modeli tjetër është 6800. Dmth. kompanisë do t'i duhet të kthejë portat përmes programit Trade-In dhe të blejë dy pajisje të reja (më të shtrenjta).
Por ka një opsion alternativ. Bleni një orkestrator dhe një tjetër saktësisht të njëjtën nyje (6500). Mblidhni një grup prej tre pajisjesh dhe "përndani" këtë 85% të ngarkesës në tre porta. Si rezultat, ju do të merrni një diferencë të madhe të performancës (tre pajisje do të ngarkohen me vetëm 30% mesatarisht). Edhe nëse një nga tre nyjet vdes, dy të tjerat do të përballen përsëri me trafikun me një ngarkesë mesatare prej 45%. Për më tepër, për ngarkesat maksimale, një grup prej tre portash aktive 6500 do të jetë më i fuqishëm se një portë 6800, e cila ndodhet në grupin HA (d.m.th. aktiv/gatishmëri). Përveç kësaj, nëse pas një ose dy viti nevojat e kompanisë Y rriten përsëri, atëherë gjithçka që do të duhet të bëjnë është të shtojnë një ose dy nyje të tjera 6500. Mendoj se përfitimi ekonomik këtu është i dukshëm.
Përfundim
Po, Check Point Maestro nuk është një zgjidhje për SMB. Por edhe një biznes i mesëm tashmë mund të mendojë për këtë platformë dhe të paktën të përpiqet të llogarisë efiçencën ekonomike. Do të habiteni kur zbuloni se platformat e shkallëzueshme mund të jenë më fitimprurëse sesa një grup klasik. Në të njëjtën kohë, ka avantazhe jo vetëm ekonomike, por edhe teknike. Mirëpo, për to do të flasim në artikullin vijues, ku përveç trukeve teknike, do të përpiqem të tregoj edhe disa raste tipike (topologji, skenarë).
Ju gjithashtu mund të abonoheni në faqet tona publike (, , , ), ku mund të ndiqni shfaqjen e materialeve të reja në Check Point dhe produkte të tjera sigurie.
Burimi: www.habr.com