1. NGFW для бізнесу. Нова лінійка CheckPoint 1500 Security Gateway
після публікації статті пройшло вже понад два роки, моделі 1400 серії на сьогоднішній день прибрані з продажу. Настав час для змін та нововведень, це завдання CheckPoint постарався реалізувати у 1500 серії. У статті ми розглянемо моделі для захисту невеликих офісів або філій компанії, будуть представлені технічні характеристики, особливості постачання (ліцензування, схеми управління та адміністрування), торкнемося нових технологій та опцій.
Модельний ряд
Як нові SMB моделі представлені: 1530, 1550, 1570, 1570R. Ознайомитися з продуктами можна на сторінці порталу CheckPoint. Логічно ми розділимо їх на три групи: офісний шлюз безпеки за допомогою WIFI (1530, 1550), офісний шлюз безпеки з підтримкою WIFI + 4G/LTE (1570, 1550), шлюз безпеки для промисловості (1570R).
Серія 1530, 1550
Моделі мають 5 мережевих інтерфейсів для локальної мережі та 1 інтерфейс для виходу в Інтернет, їхня пропускна здатність 1 ГБ. Також є USB-C Сonsole. Щодо технічних характеристик, то Таблиця даних до цих моделей пропонує велику кількість вимірюваних параметрів, ми ж зупинимося на найважливіших (на нашу думку).
Характеристики
1530
1550
Максимальна кількість з'єднань
10 500
14 000
Максимальна кількість конкурентних з'єднань
500 000
500 000
Пропускна спроможність при Firewall + Threat Prevention (Мбіт/C)
340
450
Пропускна спроможність при Firewall + IPS (Мбіт/C)
600
800
Пропускна спроможність Firewall (Мбіт/C)
1000
1000
* Під Threat Prevention маються на увазі наступні запущені блейди: Firewall, Application Control та IPS.
Моделі 1530, 1550 мають низку функціональних можливостей:
Gaia 80.20 Embedded Список опцій представлений в SK СheckPoint
Ліцензія Mobile Access на 100 конкурентних підключень постачається при покупці будь-якого пристрою. Варто враховувати, що ця особливість модельного ряду SMB NGFW дозволяє економити на окремій купівлі ліцензій Mobile Access, які не йдуть в комплекті при купівлі інших серій моделей CheckPoint.
Можливість керувати шлюзом безпеки за допомогою мобільного додатка Watch Tower (детальніше було написано в нашій статті.)
Для кого серія 1530, 1550: дана лінійка підійде для філіальних офісів до 100 осіб, забезпечує віддалене підключення, наявність різних способів адміністрування.
Серія 1570, 1590
Старші моделі в лінійці 1500 серії мають 8 інтерфейсів для локальних підключень, 1 інтерфейс для DMZ і 1 інтерфейс для з'єднання Інтернет (пропускна здатність всіх портів 1 ГБ/c). Також в наявності USB 3.0 Port та USB-C Console. Моделі йдуть за допомогою 4G/LTE модемів. Увімкнено підтримку Micro-SD карт для розширення внутрішньої пам'яті пристрою.
Технічні характеристики представлені нижче:
Характеристики
1570
1590
Максимальна кількість з'єднань
15 750
21 000
Максимальна кількість конкурентних з'єднань
500 000
500 000
Пропускна спроможність при Threat Prevention (Мбіт/C)
500
660
Пропускна спроможність при Firewall + IPS (Мбіт/C)
970
1300
Пропускна спроможність Firewall (Мбіт/C)
2800
2800
Моделі 1570, 1590 мають низку функціональних можливостей:
Gaia 80.20 Embedded Список опцій представлений в SK.
Ліцензія Mobile Access на 200 конкурентних підключень
поставляється для придбання будь-якого з пристроїв. Варто враховувати, що ця особливість модельного ряду SMB NGFW дозволяє економити на окремій купівлі ліцензій Mobile Access, які не йдуть в комплекті при купівлі інших серій моделей CheckPoint.
Можливість керувати шлюзом безпеки за допомогою мобільного додатка Watch Tower (детальніше було написано в нашій статті).
Для кого серія 1570, 1590: дана лінійка підійде для офісів до 200 осіб, забезпечує віддалене підключення, має найвищі показники серед сімейства SMB.
Пропускна спроможність при Threat Prevention + Firewall (Мбіт/C)
500
550
Пропускна спроможність при Firewall + IPS (Мбіт/C)
625
800
1570R
На окрему увагу заслуговує NGFW 1570R СheckPoint. Вона розроблена спеціально для промислової індустрії та буде цікава компаніям, що працюють у сфері: транспортування, видобуток корисних ресурсів (нафта, газ тощо), виробництво різних продуктів.
1570R спроектована з урахуванням особливостей та умов її використання:
безпека периметра мережі та контроль за розумними пристроями;
підтримка промислових протоколів ICS/SCADA; наявність GPS конектора;
відмовостійкість при роботі в екстремальних умовах (висока/низька температура, опади, підвищена вібрація).
Характеристики NGFW
1570 Rugged
Максимальна кількість з'єднань
13 500
Максимальна кількість конкурентних з'єднань
500 000
Пропускна спроможність при Threat Prevention (Мбіт/C)
400
Пропускна спроможність при Firewall + IPS (Мбіт/C)
Крім цього виділимо окремо ряд функціональних можливостей 1570R:
Gaia 80.20 Embedded Список опцій представлений в SK.
Ліцензія Mobile Access на 200 конкурентних підключень
поставляється для придбання пристрою. Варто враховувати, що ця особливість нового модельного ряду SMB NGFW дозволяє економити на окремій купівлі ліцензій Mobile Access, які не йдуть в комплекті при купівлі інших серій моделей CheckPoint.
Можливість керувати шлюзом безпеки за допомогою мобільного додатка Watch Tower (детальніше було написано в нашій статті)
Автоматичне формування політик/правил для IoT пристроїв у момент їх підключення до вашої локальної мережі. Правило генерується кожному розумного устрою і дозволяє лише протоколи, які необхідні для коректної роботи.
Управління 1500 серією
Розглянувши технічні характеристики та можливості нових пристроїв сімейства SMB, варто відзначити, що існують різні підходи в частині їх управління та адміністрування. Існують такі типові схеми:
Локальне керування.
Воно зазвичай використовується в компаніях малого бізнесу, де існує кілька офісів і відсутнє централізоване управління за інфраструктурою. До плюсів можна віднести: доступне розгортання та адміністрування NGFW, можливість взаємодіяти з пристроями локально. До мінусів належать обмеження, пов'язані з можливостями Gaia: відсутність рівня поділу правил, обмежені засоби моніторингу, відсутність централізованого зберігання логів.
Централізоване керування через виділений Management Server. Цей підхід застосовується у разі, коли адміністратор може керувати кількома NGFW, вони можуть бути на різних майданчиках. Перевагою даного підходу є гнучкість та контроль за загальним станом інфраструктури, також деякі опції Gaia 80.20 Embedded доступні лише за такої схеми.
Централізоване управління через Smart-1 Cloud. Це новий сценарій для керування NGFW від CheckPoint. Ваш Management Server розгортається у хмарному середовищі, все управління відбувається через Web-інтерфейс, дозволяючи не залежати від ОС вашого ПК. На додаток, обслуговування сервера управління залишається за фахівцями CheckPoint, його продуктивність безпосередньо залежить від вибраних параметрів і легко масштабується.
Централізоване управління через SMP (Security Management Portal). Це рішення включає розгортання в хмарі або локально одного спільного веб-порталу, здатного одночасно керувати до 10 000 SMB пристроїв.
Можливість керування через мобільний пристрій Watch Tower, доступна лише після розгортання повноцінного варіанта керування (див. пункти 1-4). Детально про цю функцію в нашій статті.
Відзначимо найважливіші на наш погляд:
Відсутність можливості розгорнути Mobile Access Portal. Користувачі зможуть використовувати Remote Access для доступу до внутрішніх ресурсів компанії, але не будуть мати можливість підключатися на SSL-портал з вашими опублікованими програмами.
Не підтримуються наступні блейди або опції: Content Awareness, DLP, Updatable Objects, SSL інспекція без категоризації, Threat Extraction, MTA з перевіркою Threat Emulation, Antivirus для сканування архівів, ClusterXL у режимі Load Sharing.
Наприкінці статті хотілося б зазначити, що тема NGFW рішення для SMB перейшла на новий рівень підтримки та взаємодії, за рахунок релізу версії 80.20 Embedded досягнуто балансу між опціями повноцінної версії Gaia та можливостями апаратної частини обладнання для малих офісів. Ми плануємо продовжувати публікувати цикл навчальних статей, де розглядатимемо базове налаштування SMB-рішень, тюнінг продуктивності та їх нові опції.