ProHoster > Blog > Pangangasiwa > Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay

Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay

Kamakailan lamang (noong 2016), ang kumpanya Suriin ang Point ipinakita ang mga bagong device nito (parehong gateway at control server). Ang pangunahing pagkakaiba mula sa nakaraang linya ay makabuluhang tumaas ang produktibo.

Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay

Sa artikulong ito ay eksklusibo kaming tumutok sa mas mababang mga modelo. Ilalarawan namin ang mga pakinabang ng mga bagong device at posibleng mga pitfalls na hindi palaging tinatalakay. Ibabahagi din namin ang mga personal na impression ng kanilang paggamit.

Lineup ng Check Point

Gaya ng nakikita mo mula sa larawan, hinahati ng Check Point ang mga device nito sa tatlong malalaking kategorya:

Sa kasong ito, ang isa sa mga pangunahing katangian ay ang tinatawag na SPU - Security Power Units. Ito ang pagmamay-ari ng Check Point na nagpapakilala sa aktwal na pagganap ng isang device. Bilang halimbawa, ihambing natin ang tradisyunal na paraan ng pagsukat ng pagganap ng Firewall (Mbps) sa "bagong" diskarte mula sa Check Point (SPU).

Tradisyunal na pamamaraan - Throughput ng Firewall

  • Ang mga sukat ay isinasagawa sa mga kondisyon ng laboratoryo sa "artipisyal" na trapiko.
  • Ang pagganap lamang ng function ng Firewall ay sinusuri, nang walang karagdagang mga module tulad ng IPS, Application Control, atbp.
  • Karaniwang isinasagawa ang pagsubok gamit ang isang panuntunan sa Firewall.

Pamamaraan ng Check Point - Kapangyarihan ng Seguridad

  • Mga sukat sa totoong trapiko ng gumagamit.
  • Ang pagganap ng lahat ng functionality (Firewall, IPS, Application Control, URL filtering, atbp.) ay sinusuri.
  • Sinubok sa isang karaniwang patakaran na kinabibilangan ng maraming panuntunan.

Check Point Appliance Sizing Tool

Kaya, kapag pumipili ng angkop na modelo ng Check Point, mas mahusay na umasa sa parameter Security Power Unit. Ito ay ipinahiwatig sa anumang datasheet para sa device. Hindi mo magagawang kalkulahin ang naaangkop na SPU para sa iyong network nang mag-isa. Magagawa lang ito sa tulong ng isang kasosyo na may access sa tool Check Point Appliance Sizing Tool:

Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay

Upang piliin ang pinakamainam na solusyon, kailangan mong isaalang-alang ang mga parameter tulad ng:

  • Lapad ng channel sa Internet;
  • Ang kabuuang throughput ng gateway (maaaring mag-iba sa Internet channel kung, halimbawa, na-segment mo ang lokal na network gamit ang Check Point);
  • Bilang ng mga gumagamit sa network;
  • Mga kinakailangang function (Firewall, Anti-Virus, Anti-Bot, Application Control, URL Filtering, IPS, Threat Emulation, atbp.).

Mayroon ding mas banayad na mga setting na naglalarawan kung saan ilalapat ang mga blade na ito:

Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay

Pagkatapos tukuyin ang lahat ng katangian, makakatanggap ka ng ulat na naglalarawan ng mga angkop na device:

Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay

Dito makikita mo ang kinakailangang SPU (72 sa aming kaso) at ang inirerekomendang isa (144). At gayundin ang mga modelo mismo na may isang paglalarawan ng kanilang pagkarga at "reserba" para sa trapiko at mga blades. Kapag pumipili ng modelo, palaging inirerekomendang kumuha ng device mula sa green zone (ibig sabihin, mag-load ng hanggang 50 porsiyento):

Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay

Tinitiyak nito na walang mga problema sa panahon ng mga peak load o nakaplanong pagtaas sa lapad ng channel ng Internet. Kapag pumipili ng device, palaging hilingin sa iyong partner na magbigay ng katulad na ulat. Maaaring ma-download ang halimbawa dito.

Luma vs Bago

Kapag naunawaan ang pangunahing parameter na nagpapakilala sa pagganap ng mga device, maaari nating tingnan ang mga bagong modelo para sa maliliit at katamtamang laki ng mga negosyo. Gaya ng nabanggit sa itaas, ang Check Point ay may buong segment - Maliit at Katamtamang Enterprise (mga modelo 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Ang mga device na ito ay maaaring tawaging update ng lumang 2012 series (2200, 1180, 1140, 1120). Upang maunawaan ang mga pangunahing pagkakaiba, isaalang-alang ang larawan sa ibaba:

Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay
(ang mga presyo ay nasa GPL, hindi kasama ang VAT at teknikal na suporta)

Tulad ng nakikita mo, ang serye ng 2016 ay may makabuluhang pagtaas ng pagganap (SPU), at ang mga presyo ay nanatili sa humigit-kumulang sa parehong antas (maliban sa 3200 na modelo). Kasama rin sa bagong linya ang isang modelo 3100, ngunit hindi pa walang notification at ipinagbabawal ang pag-import sa Russia! Tandaan mo ito!

Kung muling kalkulahin ang halaga ng isang SPU, kung gayon ang modelong 1450 ang pinakabalanse. Sa ibaba ay titingnan natin ang bagong serye ng Check Point.

Mga scheme para sa pagpapatupad ng mga SMB device

Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay

Tulad ng makikita mula sa figure, mayroong dalawang pangunahing senaryo ng pagpapatupad para sa mga SMB device:

  1. Sa default na gateway mode. Sa kasong ito, ang Check Point ay naka-install bilang isang perimeter device at pinangangasiwaan nang lokal.
  2. Branch gateway. Sa kasong ito, ang hardware ng sangay ay pinamamahalaan sa gitna (gamit ang server ng Pamamahala) mula sa punong tanggapan.

Para sa serye 3000 ΠΈ 1400 Mayroong ilang mga tampok sa bawat mode. Titingnan natin sila sa ibaba.

Serye ng SMB 3000

Sa ngayon mayroong dalawang "piraso ng bakal" - 3200 ΠΈ 3100. Gaya ng nasabi kanina, 3100 ay hindi pa ma-import sa bansa. Tulad ng para sa 3200, ito ay isang mahusay na kapalit para sa lumang serye ng 2200. Ang aparato ay nagpapatakbo ng isang ganap na bersyon ng Gaia (parehong R77.30 at R80.10). Kung gagamitin mo ang device bilang pangunahing gateway sa isang maliit na negosyo, maaari mong asahan ang sumusunod na pagganap:

  1. Channel sa Internet - 50 Mbit;
  2. Kabuuang bandwidth - 300 Mbit;
  3. Bilang ng mga gumagamit - 200.

Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay

Tulad ng nakikita mo, ang pag-load ng device sa kasong ito ay 47% at ito ay kasama ng lokal na pamamahala, i.e. standalone configuration (higit pa tungkol sa standalone at distributed dito). Mula sa personal na karanasan masasabi ko na sa lokal na pamamahala ay hindi inirerekomenda na lumampas sa pagkarga ng 50%, dahil... Maaaring may mga problema sa kontrol (mabagal ito).
Kung ang device ay itinuturing bilang isang branch device (ibig sabihin, may hiwalay na sentralisadong pamamahala), ang mga indicator ay magiging mas mataas. At maaari ka nang pumasok sa yellow zone sa sizing (i.e., na may load na 50% hanggang 70%). Maaari mong tingnan ang datasheet ng device dito.

Serye ng SMB 1400

Kasama sa seryeng ito ang ilang device nang sabay-sabay: 1490, 1470, 1450, 1430 (Lohikal na pagpapalit ng hindi napapanahong 1120, 1140 at 1180).

Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay

Sa kabila ng katotohanan na ito ang mga pinakabatang modelo ng Check Point, mayroon silang lahat ng kinakailangang pag-andar:

  • Ang mga SMB device ay maaaring tipunin sa isang HA cluster (Active/Standby);
  • Halos lahat ng software blades ay magagamit (tulad ng sa "malaking" piraso ng hardware);
  • maaaring pamahalaan sa lokal at sentral (gamit ang isang tradisyunal na Server ng Pamamahala);
  • may mga pagbabago sa WiFi, ADSL at PoE;
  • maaari mong ikonekta ang 3G modem;
  • Available ang mga rack mount kit.

Gayunpaman, ito ay nagkakahalaga ng babala tungkol sa ilang mga limitasyon/tampok:

  • Ang device ay may depektong Gaia na sakay, at Gaia 77.20 Naka-embed. Ang limitasyong ito ay dahil sa arkitektura ng device (mga ARM processor ang ginagamit). Sa kaso ng lokal na kontrol (standalone), hindi mo magagamit ang karaniwang SmartConsole. Sa halip, mayroong isang web interface. Makikita mo ito sa video na ito:


    Isinasaalang-alang ng halimbawa ang serye ng 700, ngunit sa prinsipyo hindi ito ibinebenta sa Russia.
  • Hindi gumagana ang Threat Extraction function. Threat Emulation lang. Makikita mo kung ano ito dito
  • Imposibleng mag-assemble ng cluster sa Load Sharing mode. Yung. pandaraya sa pamamagitan ng pagbili ng dalawang "murang" piraso ng hardware at pamamahagi ng load sa cluster sa pagitan ng mga ito ay hindi gagana.
  • Sa lokal na pamamahala may mga seryosong paghihigpit patungkol sa inspeksyon ng HTTPS.
  • Hindi gumagana ang anti-Virus scanning ng mga archive.
  • Walang function ng DLP.

Ang mga huling punto ay marahil ang pinakamahalagang mga paghihigpit na kadalasang pinananatiling tahimik. Para sa buong inspeksyon ng HTTPS, mapipilitan kang gumamit ng isang tradisyunal na dedikadong server ng Pamamahala. Sa kasong ito, kokontrolin mo ang device bilang gateway na may buong (halos buo) na bersyon ng Gaia.

Ang iba pang mga paghihigpit ng Gaia Embedded ay matatagpuan dito dito. Tiyaking suriin ang mga ito bago gumawa ng desisyon sa pagbili.

Halimbawa, isaalang-alang ang isang maliit na opisina na may mga sumusunod na parameter:

  • Channel sa Internet - 50 Mbit;
  • Kabuuang bandwidth - 200 Mbit;
  • Bilang ng mga gumagamit - 200;
  • Lokal na pamamahala (Web interface).

Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay

Tulad ng makikita mula sa sizing, matagumpay na nakayanan ng modelong 1490 ang gawaing ito na may load na 46% (nang hindi umaalis sa green zone). Sa dedikadong pamamahala, haharapin ng 1470 ang gawaing ito.
Maaaring matingnan ang Datasheet para sa 1400 series na device dito.

Modelo 1200R

Mga solusyon sa Check Point SMB. Mga bagong modelo para sa maliliit na kumpanya at sangay

Ang modelong ito ay halos hindi matatawag na SMB. Isa na itong solusyong pang-industriya at marahil ay nararapat sa isang hiwalay na artikulo. Ngayon hindi namin isasaalang-alang ang modelong ito nang detalyado.

Webinar

Higit pang mga detalye tungkol sa mga SMB device ay matatagpuan sa aming nakaraang webinar:

Natuklasan

Sa palagay ko, ang mga bagong modelo ng SMB ay naging matagumpay. Ang pagganap ng mga aparato ay makabuluhang nadagdagan habang pinapanatili ang antas ng presyo. Hindi ako handang makipag-usap tungkol sa mataas na halaga/kamura ng mga device, dahil Ang mga konseptong ito ay ibang-iba para sa iba't ibang kumpanya.

Modelo 3200 Irerekomenda ko ito sa maliliit na kumpanya na interesado sa pinakamataas na antas ng proteksyon para sa isang makatwirang presyo. Dagdag pa, ito ay isang mahusay na pagpipilian para sa mga nakasanayan nang magtrabaho kasama ang buong bersyon ng Gaia. Ang R80.10 na bersyon ay makukuha rin dito. Kapag natanggap ang notification para sa 3100, bababa ng kaunti ang tag ng presyo. Ito ay isang perpektong opsyon para sa mga sanga.

Mga aparatong serye 1400 ay isang mahusay na kompromiso at may pinakamahusay na ratio ng presyo/kalidad (lalo na sa mga tuntunin ng presyo bawat 1 SPU). Ang mga device na ito ay mahusay para sa mga sangay sa isang badyet. Gamit ang sentralisadong pamamahala, maaari mong pamahalaan ang mga device tulad ng mga regular na gateway na may buong bersyon ng Gaia. Ngunit, muli, huwag kalimutan ang tungkol sa mga paghihigpit, na tiyak na dapat mong pamilyar sa iyong sarili.

PS Gusto kong pasalamatan si Alexey Matveev (kumpanya ng RRC) para sa tulong sa paghahanda ng materyal.

Pinagmulan: www.habr.com

Magdagdag ng komento