Pinakabago, ang Check Point ay nagpakita ng bagong scalable na platform . Nai-publish na namin ang isang buong artikulo tungkol sa . Sa madaling salita, pinapayagan ka nitong halos linearly na taasan ang pagganap ng gateway ng seguridad sa pamamagitan ng pagsasama-sama ng maraming device at pagbabalanse ng load sa pagitan ng mga ito. Nakapagtataka, mayroon pa ring alamat na ang scalable na platform na ito ay angkop lamang para sa malalaking data center o higanteng network. Ito ay ganap na hindi totoo.
Ang Check Point Maestro ay binuo para sa ilang kategorya ng mga user nang sabay-sabay (titingnan natin sila sa ibang pagkakataon), kabilang ang mga medium-sized na negosyo. Sa maikling serye ng mga artikulong ito ay susubukan kong pagnilayan teknikal at pang-ekonomiyang mga bentahe ng Check Point Maestro para sa mga medium-sized na organisasyon (mula sa 500 user) at kung bakit maaaring mas mahusay ang opsyong ito kaysa sa isang classic na cluster.
Target na audience ng Check Point Maestro
Una, tingnan natin ang mga segment ng user kung saan idinisenyo ang Check Point Maestro. Mayroon lamang 4 sa kanila:
1. Mga kumpanyang kulang sa mga kakayahan ng chassis. Ang Check Point Maestro ay hindi ang unang nasusukat na platform ng Check Point. Naisulat na namin na dati ay may mga modelong tulad ng 64000 at 44000. Bagama't sila ay may MAGANDANG pagganap, mayroon pa ring mga kumpanya kung saan ito ay HINDI SAPAT. Tinatanggal ng Maestro ang disbentaha na ito, dahil... ay nagbibigay-daan sa iyong mag-assemble ng hanggang 31 device sa isang high-performance cluster. Kasabay nito, maaari kang mag-assemble ng cluster mula sa mga top-end na device (23900, 26000), sa gayon ay makakamit ang napakalaking throughput.
Sa katunayan, sa larangan ng mga gateway ng seguridad, ang Check Point ay kasalukuyang nag-iisang nagpapatupad ng gayong kakayahan.
2. Mga kumpanyang gustong makapili ng kanilang hardware. Ang isa sa mga disadvantage ng mas lumang scalable platform ay ang pangangailangang gumamit ng mahigpit na tinukoy na "blade modules" (Check Point SGM). Binibigyang-daan ka ng bagong Check Point Maestro na platform na gumamit ng malaking bilang ng iba't ibang device. Maaari mong piliin ang parehong mga modelo mula sa gitnang segment (5600, 5800, 5900, 6500, 6800) at mula sa High End segment (15000 series, 23000 series, 26000 series). Bukod dito, maaari mong pagsamahin ang mga ito, depende sa mga gawain.
Ito ay napaka-maginhawa mula sa punto ng view ng pinakamainam na paggamit ng mga mapagkukunan. Maaari kang bumili lamang ng pagganap na kailangan mo sa pamamagitan ng pagpili ng tamang modelo.
3. Mga kumpanya kung saan ang chassis ay masyadong marami, ngunit scalability ay kailangan pa rin. Ang isa pang "kapinsalaan" ng mga lumang scalable na platform (64000, 44000) ay ang mataas na threshold ng pagpasok (mula sa pang-ekonomiyang punto ng view). Sa mahabang panahon, ang mga nasusukat na platform ay magagamit lamang sa malalaking negosyo na may "magandang" mga badyet sa IT. Sa pagdating ng Check Point Maestro, nagbago ang lahat. Ang halaga ng minimum na bundle (orchestrator + dalawang gateway) ay maihahambing (at minsan ay mas mababa) sa isang classic na active/standby na cluster. Yung. ang entry threshold ay makabuluhang bumaba. Kapag pumipili ng isang solusyon, ang isang kumpanya ay maaaring agad na maglatag ng isang nasusukat na arkitektura, nang walang labis na pagbabayad para sa isang posibleng kasunod na pagtaas ng mga pangangailangan. Mayroon bang mas maraming gumagamit sa isang taon pagkatapos ng pagpapakilala ng Check Point Maestro? Magdaragdag ka lang ng isa o dalawang gateway, nang walang anumang kapalit ng mga umiiral na. Hindi mo na kailangang baguhin ang topology. Ikonekta lamang ang mga bagong gateway sa orkestra at ilapat ang mga setting sa mga ito sa loob lamang ng ilang pag-click.
4. Mga kumpanyang gustong gamitin nang husto ang mga kasalukuyang device. Sa tingin ko maraming tao ang pamilyar sa pamamaraang Trade-In. Kapag ang pagganap ng mga kasalukuyang device ay hindi na sapat at ang hardware ay kailangang i-update upang matugunan ang mga kasalukuyang pangangailangan. Medyo mahal na procedure. Dagdag pa, madalas na mayroong isang sitwasyon kapag ang isang customer ay may ilang mga cluster ng Check Point para sa iba't ibang mga gawain. Halimbawa, isang cluster para sa proteksyon ng perimeter, isang cluster para sa malayuang pag-access (RA VPN), isang cluster para sa VSX, atbp. Bukod dito, ang isang kumpol ay maaaring walang sapat na mapagkukunan, habang ang isa ay may kasaganaan ng mga ito. Ang Check Maestro ay isang mahusay na pagkakataon upang ma-optimize ang paggamit ng mga mapagkukunang ito sa pamamagitan ng dynamic na pamamahagi ng load sa pagitan ng mga ito.
Yung. makukuha mo ang mga sumusunod na benepisyo:
- Hindi na kailangang "itapon" ang umiiral na hardware. Maaari kang bumili ng isa o dalawang karagdagang gateway, o...
- I-configure ang dynamic na pagbalanse ng load sa pagitan ng iba pang umiiral na gateway para sa mas mahusay na paggamit ng mga mapagkukunan. Kung ang pag-load sa perimeter gateway ay tumaas nang husto, kung gayon ang orkestra ay magagamit ang "nababato" na mga mapagkukunan ng mga remote access gateway at vice versa. Nakakatulong ito na pakinisin ang mga seasonal (o pansamantalang) load peak.
Tulad ng malamang na naiintindihan mo, ang huling dalawang segment ay partikular na nauugnay sa mga katamtamang laki ng mga negosyo, na ngayon ay kayang-kaya na ring gumamit ng mga scalable na platform ng seguridad. Gayunpaman, maaaring lumitaw ang isang makatwirang tanong: "Bakit mas mahusay ang Check Point Maestro kaysa sa isang regular na cluster?βSusubukan naming sagutin ang tanong na ito.
Classic cluster vs Check Point Maestro
Kung pag-uusapan natin ang klasikong Check Point cluster, dalawang operating mode ang sinusuportahan: High Availability (i.e. Active/Standby) at Load Sharing (i.e. Active/Active). Ilalarawan namin nang maikli ang kanilang kahulugan ng trabaho, pati na rin ang kanilang mga kalamangan at kahinaan.
Mataas na Availability (Aktibo/Standby)
Gaya ng ipinahihiwatig ng pangalan, sa operating mode na ito, ang isang node ay dumadaan sa lahat ng trapiko sa pamamagitan ng sarili nito, at ang pangalawa ay nasa standby mode at kumukuha ng trapiko kung ang aktibong node ay nagsimulang makaranas ng anumang mga problema.
Pros:
- Ang pinaka-matatag na mode;
- Sinusuportahan ang proprietary SecureXL na mekanismo upang mapabilis ang pagproseso ng trapiko;
- Kung nabigo ang aktibong node, ang pangalawa ay garantisadong magagawang "digest" ang lahat ng trapiko (dahil ito ay eksaktong pareho).
Cons:
Sa katunayan, mayroon lamang isang minus - isang node ay ganap na walang ginagawa. Dahil dito, napipilitan tayong bumili ng mas makapangyarihang hardware upang ito ay makayanan ang trapiko nang mag-isa.
Siyempre, ang HA mode ay mas maaasahan kaysa sa Pagbabahagi ng Pag-load, ngunit ang pag-optimize ng mapagkukunan ay nag-iiwan ng maraming nais.
Pagbabahagi ng Pag-load (Aktibo/Aktibo)
Sa mode na ito, lahat ng node sa trapiko ng proseso ng cluster. Maaari mong pagsamahin ang hanggang 8 device sa naturang cluster (higit sa 4 ).
Pros:
- Maaari mong ipamahagi ang load sa pagitan ng mga node, na nangangailangan ng hindi gaanong makapangyarihang mga device;
- Posibilidad ng makinis na pag-scale (pagdaragdag ng hanggang 8 node sa cluster).
Cons:
- Kakatwa, ang mga kalamangan ay agad na nagiging kahinaan. Gusto nilang gumamit ng Load Sharing mode kahit na dalawa lang ang node ng kumpanya. Nais na makatipid ng pera, bumili sila ng mga aparato, na ang bawat isa ay na-load sa 40-50%. At mukhang maayos naman ang lahat. Ngunit kung nabigo ang isang node, nakakakuha tayo ng isang sitwasyon kung saan ang buong pagkarga ay inililipat sa natitira, na hindi maaaring makayanan. Bilang isang resulta, walang fault tolerance tulad nito sa gayong pamamaraan.
- Idagdag dito ang isang grupo ng mga paghihigpit sa Pagbabahagi ng Pag-load (). At ang pinakamahalagang limitasyon ay ang SecureXL ay hindi suportado, isang mekanismo na makabuluhang nagpapabilis sa pagproseso ng trapiko;
- Tulad ng para sa pag-scale sa pamamagitan ng pagdaragdag ng mga bagong node sa cluster, sa kasamaang-palad, ang Pagbabahagi ng Pag-load ay malayo sa perpekto dito. Kung higit sa 4 na device ang idinagdag sa cluster, magsisimula ang performance .
Isinasaalang-alang ang unang dalawang disadvantages, upang maipatupad ang fault tolerance kapag gumagamit ng dalawang node, napipilitan din kaming bumili ng mas produktibong hardware upang ito ay "matunaw" ang trapiko sa isang kritikal na sitwasyon. Bilang resulta, wala tayong anumang benepisyong pang-ekonomiya, ngunit nakakakuha tayo ng malaking halaga . Bukod dito, ito ay nagkakahalaga ng noting na simula sa bersyon R80.20, Load Sharing mode ay hindi suportado. Nililimitahan nito ang mga user mula sa mga kinakailangang update. Hindi pa alam kung ang Pagbabahagi ng Pag-load ay susuportahan sa mga mas bagong release.
Check Point Maestro bilang alternatibo
Mula sa isang cluster point of view, kinuha ng Check Point Maestro ang mga pangunahing bentahe ng High Availability at Load Sharing mode:
- Ang mga gateway na konektado sa orkestra ay maaaring gumamit ng SecureXL, na nagsisiguro ng maximum na bilis ng pagproseso ng trapiko. Walang ibang mga paghihigpit na likas sa Pagbabahagi ng Pag-load;
- Ang trapiko ay ipinamamahagi sa pagitan ng mga gateway sa isang Security Group (isang lohikal na gateway na binubuo ng ilang mga pisikal na gateway). Dahil dito, makakapag-install kami ng mga hindi gaanong produktibong device, dahil wala na kaming mga idle na gateway, tulad ng sa High Availability mode. Kasabay nito, ang kapangyarihan ay maaaring tumaas nang halos linearly, nang walang malubhang pagkalugi tulad ng sa Load Sharing mode (higit pang mga detalye sa ibang pagkakataon).
Ang lahat ng ito ay mahusay, ngunit tingnan natin ang dalawang partikular na halimbawa.
Halimbawa # 1
Hayaang ang kumpanya X ay naglalayon na mag-install ng isang kumpol ng mga gateway sa perimeter ng network. Naging pamilyar na sila sa lahat ng mga paghihigpit ng Pagbabahagi ng Pag-load (na hindi katanggap-tanggap sa kanila) at eksklusibong isinasaalang-alang ang High Availability mode. Pagkatapos ng sizing, lumalabas na ang 6800 gateway ay angkop para sa kanila, na hindi dapat ma-load ng higit sa 50% (upang magkaroon ng hindi bababa sa ilang reserbang pagganap). Dahil ito ay magiging isang kumpol, kailangan mong bumili ng pangalawang aparato, na simpleng "uusok" ng hangin sa standby mode. Ito ay isang napakamahal na smokehouse.
Ngunit mayroong isang alternatibo. Kumuha ng bundle mula sa orkestra at tatlong 6500 na gateway. Sa kasong ito, ang trapiko ay ipapamahagi sa pagitan ng lahat ng tatlong device. Kung titingnan mo ang mga spec ng dalawang modelo, makikita mo na ang tatlong 6500 gateway ay mas malakas kaysa sa isang 6800.
Kaya, kapag pumipili ng Check Point Maestro, natatanggap ng kumpanya X ang mga sumusunod na pakinabang:
- Ang kumpanya ay agad na naglalagay ng isang nasusukat na plataporma. Ang isang kasunod na pagtaas sa pagganap ay bababa sa simpleng pagdaragdag ng isa pang 6500 piraso ng hardware. Ano ang maaaring mas simple?
- Fault-tolerant pa rin ang solusyon, kasi Kung nabigo ang isang node, ang natitirang dalawa ay makakayanan ang pagkarga.
- Ang isang pare-parehong mahalaga at nakakagulat na bentahe ay na ito ay mas mura! Sa kasamaang palad, hindi ako makakapag-post ng mga presyo sa publiko, ngunit kung interesado ka, magagawa mo
Halimbawa # 2
Hayaan ang kumpanyang Y na magkaroon na ng HA cluster ng 6500 na mga modelo. Ang aktibong node ay na-load sa 85%, na sa panahon ng peak load ay humahantong sa pagkalugi sa produktibong trapiko. Ang lohikal na solusyon sa problema ay tila ina-update ang hardware. Ang susunod na modelo ay 6800. Iyon ay. kakailanganin ng kumpanya na ibalik ang mga gateway sa pamamagitan ng Trade-In program at bumili ng dalawang bagong (mas mahal) na device.
Ngunit mayroong isang alternatibong opsyon. Bumili ng isang orkestra at isa pang eksaktong kaparehong node (6500). Magtipon ng isang kumpol ng tatlong device at "ipakalat" ang 85% ng load sa tatlong gateway. Bilang isang resulta, makakakuha ka ng isang malaking margin ng pagganap (tatlong aparato ang ilo-load sa average na 30% lamang). Kahit na mamatay ang isa sa tatlong node, makakayanan pa rin ng natitirang dalawa ang trapiko na may average na load na 45%. Bukod dito, para sa mga peak load, ang isang cluster ng tatlong aktibong 6500 gateway ay magiging mas malakas kaysa sa isang 6800 gateway, na matatagpuan sa HA cluster (ibig sabihin, active/standby). Bilang karagdagan, kung sa isang taon o dalawang kumpanya ay tataas muli ang mga pangangailangan ng kumpanya, kung gayon ang kailangan lang nilang gawin ay magdagdag ng isa o dalawa pang 6500 node. Sa palagay ko ay kitang-kita ang benepisyo sa ekonomiya dito.
Konklusyon
Oo, ang Check Point Maestro ay hindi solusyon para sa SMB. Ngunit kahit na ang isang medium-sized na negosyo ay maaari nang mag-isip tungkol sa platform na ito at hindi bababa sa subukang kalkulahin ang kahusayan sa ekonomiya. Magugulat kang malaman na ang mga nasusukat na platform ay maaaring maging mas kumikita kaysa sa isang klasikong cluster. Kasabay nito, may mga pakinabang hindi lamang pang-ekonomiya, kundi pati na rin sa teknikal. Gayunpaman, pag-uusapan natin ang mga ito sa susunod na artikulo, kung saan, bilang karagdagan sa mga teknikal na trick, susubukan kong ipakita ang ilang mga tipikal na kaso (topology, mga sitwasyon).
Maaari ka ring mag-subscribe sa aming mga pampublikong pahina (, , , ), kung saan maaari mong sundin ang paglitaw ng mga bagong materyales sa Check Point at iba pang mga produkto ng seguridad.
Pinagmulan: www.habr.com