Check Point startade 2019 ganska snabbt med att göra flera tillkännagivanden samtidigt. Det är omöjligt att prata om allt i en artikel, så låt oss börja med det viktigaste -
Var - Har blivit
Det enklaste sättet att förstå är hur den nya skalbara plattformen skiljer sig från den gamla goda 44000/64000 är titta på bilden nedan:
Skillnaden är uppenbar.
Legacy Check Point 44000-plattform/64000
Som framgår av bilden ovan är det första alternativet en fast plattform (chassi), i vilken ett begränsat antal speciella "bladmoduler" kan sättas in (Check Point SGM). Allt detta är kopplat till Säkerhetsbrytarmodul (SSM), som balanserar trafik mellan gateways. Bilden nedan visar komponenterna i denna plattform mer detaljerat:
Det här är en utmärkt plattform om du vet exakt vilken prestanda du behöver nu och hur mycket den kan växa. Men på grund av den fasta formfaktorn (12 eller 6 blad) är du begränsad i ytterligare skalbarhet. Dessutom tvingas du använda uteslutande SGM-blad, utan möjlighet att ansluta konventionella uplines, som har ett mycket bredare utbud av modeller. Med advent Maestro Hyperscale Network Security situationen förändras dramatiskt.
Ny Check Point Maestro Hyperscale Network Security Platform
Check Point Maestro introducerades först den 22 januari på CPX-konferensen i Bangkok. De viktigaste egenskaperna kan ses på bilden nedan:
Som du kan se är den största fördelen med Check Point Maestro möjligheten att använda vanliga gateways (apparater) för balansering. De där. Vi är inte längre begränsade till SGM-blad. Du kan fördela belastningen mellan alla enheter från och med 5600-modellen (SMB-modeller och Chassis 44000)/64000 stöds inte). Bilden ovan visar de viktigaste indikatorerna som kan uppnås när du använder den nya plattformen. Vi kan kombinera till en datorresurs upp till 31! inkörsport. Nu kan din brandvägg se ut så här:
Maestro Hyperscale Orchestrator
Jag är säker på att många redan har frågat: "Vad är det här för orkesterare?"Tja, träffa mig. Maestro Hyperscale Orchestrator — det är den här saken som ansvarar för lastbalanseringen. Operativsystemet som är installerat på den här enheten är Gaia R80.20 SP. Det finns för närvarande två modeller av Orchestrators - MHO-140 и MHO-170. Funktioner på bilden nedan:
Vid första anblicken kan det tyckas att detta är en vanlig switch. I själva verket är det "växel + balanserar + resurshanteringssystem." Allt i en låda.
Gateways är anslutna till dessa Orchestrators. Om balanserarna är feltoleranta är varje gateway ansluten till varje orkestrator. För anslutning kan "optik" (sfp+ / qsfp+ / qsfp28+) eller DAC-kabel (Direct Attach Copper) användas. I detta fall måste det naturligtvis finnas en synkroniseringslänk mellan orkestrarna:
På bilden nedan kan du se hur dessa orkestratorers hamnar är fördelade:
Säkerhetsgrupper
För att lasten ska kunna fördelas mellan gateways måste dessa gateways finnas i samma säkerhetsgrupp. Säkerhetsgrupp det är en logisk grupp av enheter som fungerar som ett aktivt/aktivt kluster. Denna grupp fungerar oberoende av andra säkerhetsgrupper. Ur hanteringsserverns synvinkel ser säkerhetsgruppen ut som en enhet med en IP-adress.
Vid behov kan vi flytta en eller flera gateways till en separat säkerhetsgrupp och använda denna grupp för andra ändamål, som en separat brandvägg ur förvaltningssynpunkt. Ett exempel på användning visas på bilden nedan:
Viktig begränsning, endast identiska gateways (modell) kan användas i en säkerhetsgrupp. De där. om du vill öka kapaciteten för din säkerhetsgateway linjärt (som är ett kluster av flera enheter), måste du lägga till exakt samma gateways. Denna begränsning bör försvinna i nästa programvaruversioner.
I videon nedan kan du se processen för att skapa en säkerhetsgrupp. Proceduren är intuitiv.
Återigen, om du jämför Maestro-komponenterna med chassiplattformen får du ungefär följande bild:
Vilka är fördelarna med den nya plattformen?
Det finns faktiskt många fördelar, både ur teknisk och ekonomisk synvinkel. Jag ska kort beskriva de viktigaste:
- Vi är praktiskt taget obegränsade i skalning. Upp till 31 gateways inom en säkerhetsgrupp.
- Vi kan lägga till gateways efter behov. Minsta uppsättning för köp är en orkestrator + två gateways. Det finns inget behov av att fastställa modeller "för tillväxt".
- Ett annat plus följer av föregående punkt. Vi behöver inte längre byta gateways som inte längre klarar belastningen. Tidigare löstes detta problem med hjälp av inbytesproceduren - de lämnade över gammal hårdvara och fick ny till rabatterat pris. Med ett sådant system är ekonomiska "förluster" oundvikliga. Den nya skalningsproceduren eliminerar denna faktor. Du behöver inte lämna över något, du kan bara fortsätta att öka produktiviteten med hjälp av ytterligare hårdvara.
- Möjligheten att kombinera befintliga resurser för att fördela belastningen. Till exempel kan du "dra" alla dina kluster till Maestro-plattformen och sätta ihop flera säkerhetsgrupper, beroende på belastningen.
Maestro Hyperscale Network Security-paket
För närvarande finns det flera alternativ för att köpa så kallade buntar med Maestro-plattformen. Lösning baserad på gateways 23800, 6800 och 6500:
I det här fallet kan du välja mellan två standardtyper av utrustning:
- En orkestrator och två gateways;
- En orkestrator och tre gateways.
enheter 6500 и 6800 Det är de senaste modellerna som också introducerades tidigare i år. Men vi kommer att prata om dem mer i detalj i nästa artikel.
När kan jag köpa den?
Det finns inget tydligt svar här. För närvarande finns det ingen anmälan för import av dessa lösningar till vårt land. Så snart information om tidpunkten blir tillgänglig kommer vi omedelbart att göra ett tillkännagivande på våra offentliga sidor (
Slutsats
Helt klart en ny plattform
PS Denna artikel utarbetades med deltagande av Anatoly Masover — Skalbar plattformsexpert, Check Point Software Technologies.
Källa: will.com