ProHoster > blogg > administration > Check Point SMB-lösningar. Nya modeller för små företag och filialer

Check Point SMB-lösningar. Nya modeller för små företag och filialer

Relativt nyligen (2016) har företaget Check Point presenterade sina nya enheter (både gateways och kontrollservrar). Den viktigaste skillnaden från den tidigare raden är avsevärt ökad produktivitet.

Check Point SMB-lösningar. Nya modeller för små företag och filialer

I den här artikeln kommer vi att fokusera uteslutande på de lägre modellerna. Vi kommer att beskriva fördelarna med nya enheter och möjliga fallgropar som inte alltid diskuteras. Vi kommer också att dela personliga intryck av deras användning.

Check Point-uppställning

Som du kan se på bilden delar Check Point in sina enheter i tre stora kategorier:

I det här fallet är en av huvudegenskaperna den så kallade SPU - Säkerhet Power Units. Detta är Check Points egenutvecklade mått som kännetecknar en enhets faktiska prestanda. Som ett exempel, låt oss jämföra den traditionella metoden för att mäta brandväggsprestanda (Mbps) med den "nya" tekniken från Check Point (SPU).

Traditionell teknik - Firewall Throughput

  • Mätningar utförs i laboratorieförhållanden på "konstgjord" trafik.
  • Prestandan för endast brandväggsfunktionen utvärderas, utan ytterligare moduler som IPS, Application Control, etc.
  • Testning utförs vanligtvis med en brandväggsregel.

Check Point-metodik - Säkerhetskraft

  • Mätningar på verklig användartrafik.
  • Prestandan för all funktionalitet (brandvägg, IPS, applikationskontroll, URL-filtrering, etc.) utvärderas.
  • Testad på en standardpolicy som innehåller många regler.

Check Point Appliance Dimensioneringsverktyg

När du väljer en lämplig Check Point-modell är det därför bättre att lita på parametern Säkerhet Power Unit. Det anges i alla datablad för enheten. Du kommer inte att kunna beräkna lämplig SPU för ditt nätverk på egen hand. Detta kan endast göras med hjälp av en partner som har tillgång till verktyget Check Point Appliance Dimensioneringsverktyg:

Check Point SMB-lösningar. Nya modeller för små företag och filialer

För att välja den optimala lösningen måste du ta hänsyn till sådana parametrar som:

  • Internetkanalbredd;
  • Gatewayens totala genomströmning (kan skilja sig från internetkanalen om du till exempel segmenterade det lokala nätverket med Check Point);
  • Antal användare på nätverket;
  • Nödvändiga funktioner (brandvägg, antivirus, anti-bot, programkontroll, URL-filtrering, IPS, hotemulering, etc.).

Det finns också mer subtila inställningar som beskriver vilken trafik dessa blad kommer att tillämpas på:

Check Point SMB-lösningar. Nya modeller för små företag och filialer

Efter att ha angett alla egenskaper kan du få en rapport som beskriver lämpliga enheter:

Check Point SMB-lösningar. Nya modeller för små företag och filialer

Här kan du se den nödvändiga SPU (72 i vårt fall) och den rekommenderade (144). Och även själva modellerna med en beskrivning av deras last och "reserv" för trafik och blad. När du väljer en modell rekommenderas det alltid att ta en enhet från den gröna zonen (dvs ladda upp till 50 procent):

Check Point SMB-lösningar. Nya modeller för små företag och filialer

Detta säkerställer att det inte uppstår några problem under toppbelastningar eller planerade ökningar av internetkanalbredden. När du väljer en enhet, be alltid din partner att tillhandahålla en liknande rapport. Exemplet kan laddas ner här.

Gammal vs Ny

Efter att ha förstått huvudparametern som kännetecknar enheters prestanda kan vi titta närmare på nya modeller för små och medelstora företag. Som nämnts ovan har Check Point ett helt segment - Små och medelstora företag (modellerna 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Dessa enheter kan kallas en uppdatering av den gamla 2012-serien (2200, 1180, 1140, 1120). För att förstå de viktigaste skillnaderna, överväg bilden nedan:

Check Point SMB-lösningar. Nya modeller för små företag och filialer
(Priserna är i GPL, exklusive moms och teknisk support)

Som du kan se har 2016-serien ökat prestandan (SPU) avsevärt och priserna höll sig på ungefär samma nivå (med undantag för 3200-modellen). Den nya linjen innehåller även en modell 3100, men inte än det finns ingen anmälan och import till Ryssland är förbjuden! Kom ihåg det här!

Om vi ​​räknar om kostnaden för en SPU är 1450-modellen den mest balanserade. Nedan ska vi titta närmare på den nya Check Point-serien.

Schema för implementering av SMB-enheter

Check Point SMB-lösningar. Nya modeller för små företag och filialer

Som framgår av figuren finns det två huvudsakliga implementeringsscenarier för SMB-enheter:

  1. I standard gateway-läge. I det här fallet installeras Check Point som en perimeterenhet och administreras lokalt.
  2. Branch gateway. I detta fall hanteras filialhårdvaran centralt (med hjälp av Management-servern) från huvudkontoret.

För serier 3000 и 1400 Det finns några funktioner i varje läge. Vi ska titta på dem nedan.

SMB-serien 3000

För tillfället finns det två "järnbitar" - 3200 и 3100. Som tidigare nämnts kan 3100 ännu inte importeras till landet. När det gäller 3200 är den en utmärkt ersättare för den gamla serien 2200. Enheten kör en fullfjädrad version av Gaia (både R77.30 och R80.10). Om du använder enheten som huvudporten i ett litet företag kan du förvänta dig följande prestanda:

  1. Internetkanal - 50 Mbit;
  2. Total bandbredd - 300 Mbit;
  3. Antal användare - 200.

Check Point SMB-lösningar. Nya modeller för små företag och filialer

Som du kan se är enhetsbelastningen i detta fall 47% och detta är med lokal hantering, d.v.s. Fristående konfiguration (mer om fristående och distribuerad här). Av personlig erfarenhet kan jag säga att med lokal ledning rekommenderas det inte att överskrida belastningen på 50%, eftersom... Det kan finnas problem med kontrollen (den saktar ner).
Om enheten betraktas som en filialenhet (dvs med separat centraliserad hantering), kommer indikatorerna att vara betydligt högre. Och du kan redan gå in i den gula zonen i dimensionering (dvs med en belastning på 50% till 70%). Du kan se enhetens datablad här.

SMB-serien 1400

Denna serie innehåller flera enheter samtidigt: 1490, 1470, 1450, 1430 (Logisk ersättning av den föråldrade 1120, 1140 och 1180).

Check Point SMB-lösningar. Nya modeller för små företag och filialer

Trots att det här är de yngsta Check Point-modellerna har de all nödvändig funktionalitet:

  • SMB-enheter kan sättas ihop till ett HA-kluster (aktivt/standby);
  • Nästan alla mjukvarublad är tillgängliga (som på "stora" hårdvara);
  • kan hanteras både lokalt och centralt (med en traditionell Management Server);
  • det finns modifieringar med WiFi, ADSL och PoE;
  • du kan ansluta 3G-modem;
  • Rackmonteringssatser finns tillgängliga.

Det är dock värt att varna för några begränsningar/funktioner:

  • Enheten har defekt Gaia ombord, och Gaia 77.20 Inbäddad. Denna begränsning beror på enhetsarkitekturen (ARM-processorer används). Vid lokal kontroll (fristående) kommer du inte att kunna använda den vanliga SmartConsole. Istället finns ett webbgränssnitt. Du kan se det i den här videon:


    Exemplet tar hänsyn till 700-serien, men i princip säljs den inte i Ryssland.
  • Hotextraktionsfunktionen fungerar inte. Endast hotemulering. Du kan se vad det är här
  • Det är omöjligt att sätta ihop ett kluster i laddningsdelningsläge. De där. fusk genom att köpa två "billiga" hårdvaror och fördela belastningen i klustret mellan dem kommer inte att fungera.
  • Med lokal hantering finns det allvarliga begränsningar när det gäller HTTPS-inspektion.
  • Antivirusskanning av arkiv fungerar inte.
  • Ingen DLP-funktion.

De sista punkterna är kanske de viktigaste restriktionerna som ofta hålls tysta. För fullständig HTTPS-inspektion kommer du att tvingas använda en traditionell dedikerad hanteringsserver. I det här fallet kommer du att styra enheten som en gateway med en fullständig (nästan full) version av Gaia.

Andra restriktioner för Gaia Embedded finns här här. Se till att kolla upp dem innan du fattar ett köpbeslut.

Tänk till exempel på ett litet kontor med följande parametrar:

  • Internetkanal - 50 Mbit;
  • Total bandbredd - 200 Mbit;
  • Antal användare - 200;
  • Lokal hantering (webbgränssnitt).

Check Point SMB-lösningar. Nya modeller för små företag och filialer

Som framgår av dimensioneringen klarar 1490-modellen framgångsrikt denna uppgift med en belastning på 46% (utan att lämna den gröna zonen). Med dedikerad ledning kommer 1470 att klara denna uppgift.
Datablad för enheter i 1400-serien kan ses här.

Modell 1200R

Check Point SMB-lösningar. Nya modeller för små företag och filialer

Denna modell kan knappast kallas SMB. Detta är redan en industriell lösning och kanske förtjänar en separat artikel. Nu kommer vi inte att överväga denna modell i detalj.

Webinar

Mer information om SMB-enheter finns i vårt tidigare webinar:

Resultat

Enligt min mening visade sig de nya SMB-modellerna vara ganska framgångsrika. Enheters prestanda har ökat avsevärt samtidigt som prisnivån bibehålls. Jag är inte redo att prata om den höga kostnaden/billigheten för enheter, eftersom Dessa koncept är väldigt olika för olika företag.

Modell 3200 Jag skulle rekommendera det till små företag som är intresserade av maximal skyddsnivå till ett rimligt pris. Dessutom är detta ett bra val för dem som redan är vana vid att arbeta med den fullständiga versionen av Gaia. R80.10-versionen finns också tillgänglig här. När avisering för 3100 kommer in sjunker prislappen lite mer. Detta är ett idealiskt alternativ för grenar.

Serie enheter 1400 är en bra kompromiss och har det bästa pris/kvalitetsförhållandet (särskilt när det gäller pris per 1 SPU). Dessa enheter är bra för filialer på en budget. Med hjälp av centraliserad hantering kan du hantera enheter som vanliga gateways med en fullständig version av Gaia. Men återigen, glöm inte bort restriktioner, som du definitivt bör bekanta dig med.

PS Jag skulle vilja tacka Alexey Matveev (RRC företag) för hjälp med att förbereda materialet.

Källa: will.com

Lägg en kommentar