SMB рішення Check Point. Нові моделі для невеликих компаній та філій

Відносно нещодавно (у 2016 році) компанія Пункт контролю презентувала свої нові пристрої (як шлюзи, і сервера управління). Ключова відмінність від попередньої лінійки – значно збільшена продуктивність.

У цій статті ми зосередимося лише на молодших моделях. Опишемо переваги нових пристроїв і можливе підводне каміння, про яке не завжди говорять. Також поділимося особистими враженнями від їхнього використання.

Модельний ряд Check Point

Як видно з картинки, Check Point ділить свої пристрої на три великі категорії:

• High End Enterprise and Data Center (моделі 23800, 23500, 15600, 15400)
• підприємство (моделі 5900, 5800, 5600, 5400, 5200, 5100)
• Мале та середнє підприємство (моделі 3200, 3100, 1490, 1470, 1450, 1430, 1200R)

При цьому однією з головних характеристик є так званий SPU - Security Power Units. Це власний захід Check Point, що характеризує реальну продуктивність пристрою. Для прикладу давайте порівняємо традиційний метод вимірювання продуктивності міжмережевих екранів (Мбіт/с), з "новою" методикою від Check Point (SPU).

Традиційна методика - Firewall Throughput

• Виміри здійснюються у лабораторних умовах на “штучному” трафіку.
• Оцінюється продуктивність лише функції Міжмережевого екрану, без додаткових модулів, таких як IPS, Application Control тощо.
• Тестування зазвичай проводяться з одним правилом Firewall.

Методика Check Point - Security Power

• Виміри на реально трафіку користувача.
• Оцінюється продуктивність всього функціоналу (Firewall, IPS, Application Control, URL-filtering тощо).
• Тестується на типовій політиці, що включає безліч правил.

Check Point Appliance Sizing Tool

Таким чином, при виборі відповідної моделі Check Point краще покладатися на параметр Security Power Unit. Він вказується в будь-якому датасіті на пристрій. Самостійно розрахувати відповідний SPU для вашої мережі не вдасться. Зробити це можна лише за допомогою партнера, якому доступний інструмент Check Point Appliance Sizing Tool:

Для вибору оптимального рішення потрібно враховувати такі параметри як:

• Ширина Інтернет-каналу;
• Загальна пропускна здатність шлюзу (може відрізнятися від Інтернет каналу, якщо ви сегментували локальну мережу за допомогою Check Point);
• Кількість користувачів у мережі;
• Необхідні функції (Firewall, Anti-Virus, Anti-Bot, Application Control, URL Filtering, IPS, Threat Emulation тощо).

Є й більш тонкі налаштування, які описують, до якого трафіку будуть застосовуватися ці блейди:

Після вказівки всіх характеристик можна отримати звіт з описом відповідних пристроїв:

Тут же можна побачити необхідне SPU (72 у нашому випадку) та рекомендоване (144). А також самі моделі з описом їх завантаження та "запасу" по трафіку та блейдах. При виборі моделі завжди рекомендується брати пристрій із зеленої зони (тобто завантаження до 50 відсотків):

Це гарантує відсутність проблем під час пікового навантаження або планового збільшення ширини каналу Інтернет. При виборі пристрою завжди просіть партнера надати подібний звіт. Приклад можна завантажити тут.

Старе vs Нове

Розібравшись із основним параметром, що характеризує продуктивність пристроїв, можна детальніше розглянути нові моделі для малого та середнього бізнесу. Як було сказано вище, Check Point має цілий сегмент. Мале та середнє підприємство (моделі 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Ці пристрої можна назвати оновленням старої серії 2012 (2200, 1180, 1140, 1120). Щоб зрозуміти ключові відмінності, розглянемо картинку нижче:

(ціни вказані в GPL, без ПДВ та технічної підтримки)

Як видно, серія 2016 року суттєво зросла продуктивність (SPU), а ціни залишилися приблизно на тому ж рівні (за винятком моделі 3200). У новій лінійці також з'явилася модель 3100, але на неї поки що немає нотифікації та ввезення в Росію заборонено! Пам'ятайте про це!

Якщо перерахувати вартість одного SPU, модель 1450 є найбільш збалансованою. Нижче розглянемо докладніше нові серії Check Point.

Схеми застосування SMB пристроїв

Як видно з малюнка, для SMB пристроїв є два основні сценарії застосування:

1. У режимі головного шлюзу. У цьому випадку Check Point встановлюється як пристрій периметра та локально адмініструється.
2. Шлюз для філій. В цьому випадку філіальна "залізка" керується централізовано (за допомогою Management Server) з головного офісу.

Для серій 3000 и 1400 є деякі особливості у кожному з режимів. Ми розглянемо їх нижче.

SMB серія 3000

На даний момент є дві залізниці. 3200 и 3100. Як було сказано раніше, 3100 поки що не можна ввезти до країни. Щодо 3200, то це чудова заміна старої серії 2200. На борту пристрою працює повноцінна версія Gaia (як R77.30, так і R80.10). У разі використання пристрою як основного шлюзу у малому підприємстві можна розраховувати на наступну продуктивність:

1. Інтернет канал – 50 Мбіт;
2. Загальна пропускна здатність – 300 Мбіт;
3. Кількість користувачів - 200.

Як бачите завантаження пристрою у разі становить 47% і це за локальному менеджменті, тобто. Автономні конфігурація (детальніше про standalone і distributed тут). З особистого досвіду можу сказати, що з локальному менеджменті не рекомендується перевищувати завантаження 50%, т.к. можуть виникнути проблеми з управлінням (пригальмовуватиме).
Якщо ж пристрій розглядати як філіальний (тобто з окремим централізованим менеджментом), то показники будуть значно вищими. І можна вже виходити у жовту зону в сайзингу (тобто із завантаженням від 50% до 70%). Даташит пристрою можна подивитися тут.

SMB серія 1400

Ця серія включає відразу кілька пристроїв: 1490, 1470, 1450, 1430 (Логічна заміна застарілих 1120, 1140 та 1180).

Незважаючи на те, що це наймолодші моделі Check Point, вони володіють усім необхідним функціоналом:

• SMB пристрою можна зібрати у HA кластер (Acitive/Standby);
• доступні практично всі програмні блейди (як на "великих" залозках);
• можна управляти як локально, і централізовано (за допомогою традиційного Management Server);
• є модифікації з WiFi, ADSL та PoE;
• можна підключати 3G модеми;
• є комплекти для кріплення у стійку.

Однак варто попередити про деякі обмеження/особливості:

• На борту пристрою неповноцінна Gaia, а Gaia 77.20 Embedded. Це обмеження пов'язане з архітектурою пристроїв (використовуються процесори ARM). У випадку локального керування (standalone), ви не зможете користуватися звичною SmartConsole. Натомість є вебінтерфейс. Ознайомитись з ним можна в цьому відео:
  
  У прикладі розглядається серія 700, але вона в принципі не продається у Росії.
• Не працює функція Threat Extraction. Тільки Threat Emulation. Про те, що це таке, можна переглянути тут
• Не можна зібрати кластер у режим Load Sharing. Тобто. схитрувати, купивши дві «дешеві» залізки та розподілити між ними навантаження у кластері — не вийде.
• При локальному менеджменті є серйозні обмеження щодо HTTPS інспекції.
• Чи не працює сканування архівів Антивірусом.
• Немає функції DLP.

Останні пункти мабуть найголовніші обмеження, про які часто замовчують. Для повноцінної HTTPS інспекції ви будете змушені використовувати традиційний виділений Management сервер. У цьому випадку ви керуватимете пристроєм, як шлюзом з повноцінною (майже повноцінною) версією Gaia.

З іншими обмеженнями Gaia Embedded можна ознайомитись тут. Обов'язково ознайомтеся з ними перед ухваленням рішення про покупку.

Наприклад розглянемо невеликий офіс з такими параметрами:

• Інтернет канал – 50 Мбіт;
• Загальна пропускна здатність – 200 Мбіт;
• Кількість користувачів - 200;
• Менеджмент локальний (Web-інтерфейс).

Як видно із сайзингу, з даним завданням успішно справляється модель 1490 із завантаженням у 46% (не вилазячи із зеленої зони). При виділеному менеджменті із цим завданням впорається і 1470.
Даташит на пристрої серії 1400 можна переглянути тут.

Модель 1200R

Цю модель важко назвати SMB. Це вже рішення в промисловому виконанні і можливо заслуговує на окрему статтю. Зараз ми не будемо докладно розглядати цю модель.

Вебінар

Більш детально про SMB пристрої можна подивитися в нашому попередньому вебінарі:

Висновки

На мій погляд, нові SMB моделі вийшли досить вдалими. Істотно збільшено продуктивність пристроїв за збереження рівня ціни. Щодо дорожнечі/дешевизни пристроїв розмірковувати не готовий, т.к. для різних компаній ці поняття дуже відрізняються.

Модель 3200 я рекомендував би невеликим компаніям, яких цікавить максимальний рівень захисту за розумні гроші. Плюс це зручний вибір для тих, хто вже звик працювати з повноцінною версією Gaia. Тут також є версія R80.10. Коли буде отримано нотифікацію на 3100, то цінник ще трохи знизиться. Для філій це ідеальний варіант.

Пристрої серії 1400 є непоганим компромісом і мають найкраще співвідношення ціна/якість (особливо в перерахунку на ціну за 1 SPU). Ці пристрої добре підходять для філій при обмеженому бюджеті. Використовуючи централізований менеджмент, можна керувати пристроями як звичайними шлюзами з повноцінною версією Gaia. Але, повторюся, не варто забувати про обмеження, з якими потрібно обов'язково ознайомитись.

PS Хотів би подякувати Матвєєву Олексію (компанія RRC) за допомогою при підготовці матеріалу.

Джерело: habr.com