Prohoster > Blog > quản lý > 2. Các trường hợp sử dụng điển hình của Check Point Maestro

2. Các trường hợp sử dụng điển hình của Check Point Maestro

2. Các trường hợp sử dụng điển hình của Check Point Maestro

Gần đây nhất, Check Point đã giới thiệu một nền tảng mới có thể mở rộng uy nghiêm. Chúng tôi đã xuất bản cả một bài viết về nó là gì và nó hoạt động như thế nào. Nói tóm lại, nó cho phép bạn tăng hiệu suất của cổng bảo mật gần như tuyến tính bằng cách kết hợp nhiều thiết bị và cân bằng tải giữa chúng. Điều đáng ngạc nhiên là vẫn có tin đồn cho rằng nền tảng có khả năng mở rộng này chỉ phù hợp với các trung tâm dữ liệu lớn hoặc mạng lưới khổng lồ. Điều này hoàn toàn không đúng sự thật.

Check Point Maestro được phát triển cho nhiều loại người dùng cùng một lúc (chúng ta sẽ xem xét chúng sau), bao gồm cả các doanh nghiệp quy mô vừa. Trong loạt bài viết ngắn này tôi sẽ cố gắng phản ánh lợi thế kinh tế và kỹ thuật của Check Point Maestro dành cho các tổ chức quy mô vừa (từ 500 người dùng) và tại sao tùy chọn này có thể tốt hơn cụm cổ điển.

Đối tượng mục tiêu của Check Point Maestro

Trước tiên, hãy xem xét các phân khúc người dùng mà Check Point Maestro được thiết kế dành cho. Chỉ có 4 trong số họ:

1. Các công ty thiếu khả năng về khung gầm. Check Point Maestro không phải là nền tảng có thể mở rộng đầu tiên của Check Point. Chúng tôi đã viết rằng trước đây đã có những mẫu như 64000 và 44000. Mặc dù chúng có hiệu suất TUYỆT VỜI, nhưng vẫn có những công ty cho rằng điều này KHÔNG ĐỦ. Maestro loại bỏ nhược điểm này, bởi vì... cho phép bạn tập hợp tối đa 31 thiết bị thành một cụm hiệu suất cao. Đồng thời, bạn có thể tập hợp một cụm từ các thiết bị cao cấp nhất (23900, 26000), từ đó đạt được thông lượng khổng lồ.

2. Các trường hợp sử dụng điển hình của Check Point Maestro

Trên thực tế, trong lĩnh vực cổng bảo mật, Check Point hiện là đơn vị duy nhất triển khai khả năng như vậy.

2. Các công ty muốn có thể lựa chọn phần cứng của mình. Một trong những nhược điểm của nền tảng có khả năng mở rộng cũ hơn là nhu cầu sử dụng các “mô-đun phiến” được xác định nghiêm ngặt (Check Point SGM). Nền tảng Check Point Maestro mới cho phép bạn sử dụng một số lượng lớn các thiết bị khác nhau. Bạn có thể chọn cả hai model từ phân khúc trung bình (5600, 5800, 5900, 6500, 6800) và từ phân khúc Cao cấp (dòng 15000, dòng 23000, dòng 26000). Hơn nữa, bạn có thể kết hợp chúng, tùy theo nhiệm vụ.

2. Các trường hợp sử dụng điển hình của Check Point Maestro

Điều này rất thuận tiện từ quan điểm sử dụng tài nguyên tối ưu. Bạn chỉ có thể mua hiệu suất bạn cần bằng cách chọn đúng mẫu.

3. Những công ty có quá nhiều khung gầm nhưng vẫn cần khả năng mở rộng. Một “nhược điểm” khác của các nền tảng có khả năng mở rộng cũ (64000, 44000) là ngưỡng đầu vào cao (từ quan điểm kinh tế). Trong một thời gian dài, các nền tảng có khả năng mở rộng chỉ dành cho các doanh nghiệp lớn có ngân sách CNTT “tốt”. Với sự ra đời của Check Point Maestro, mọi thứ đã thay đổi. Chi phí của gói tối thiểu (bộ điều phối + hai cổng) tương đương (và đôi khi thấp hơn) với cụm hoạt động/dự phòng cổ điển. Những thứ kia. ngưỡng đầu vào đã giảm đáng kể. Khi chọn một giải pháp, một công ty có thể ngay lập tức đưa ra một kiến ​​trúc có thể mở rộng mà không phải trả quá nhiều tiền cho những nhu cầu có thể tăng lên sau này. Có nhiều người dùng hơn sau một năm giới thiệu Check Point Maestro không? Bạn chỉ cần thêm một hoặc hai cổng mà không cần thay thế các cổng hiện có. Bạn thậm chí không phải thay đổi cấu trúc liên kết. Chỉ cần kết nối các cổng mới với bộ điều phối và áp dụng cài đặt cho chúng chỉ bằng vài cú nhấp chuột.

2. Các trường hợp sử dụng điển hình của Check Point Maestro

4. Các công ty muốn sử dụng tối ưu các thiết bị hiện có. Tôi nghĩ nhiều người đã quen thuộc với thủ tục Trao đổi. Khi hiệu suất của các thiết bị hiện tại không còn đủ và phần cứng cần được cập nhật để đáp ứng nhu cầu hiện tại. Một thủ tục khá tốn kém. Ngoài ra, khá thường xuyên xảy ra trường hợp khách hàng có nhiều cụm Điểm kiểm tra cho các nhiệm vụ khác nhau. Ví dụ: cụm để bảo vệ vành đai, cụm để truy cập từ xa (RA VPN), cụm cho VSX, v.v. Hơn nữa, một cụm có thể không có đủ tài nguyên, trong khi cụm khác lại có rất nhiều tài nguyên. Kiểm tra Maestro là một cơ hội tuyệt vời để tối ưu hóa việc sử dụng các tài nguyên này bằng cách phân phối tải động giữa chúng.

2. Các trường hợp sử dụng điển hình của Check Point Maestro

Những thứ kia. bạn nhận được những lợi ích sau:

  • Không cần thiết phải “vứt bỏ” phần cứng hiện có. Bạn có thể mua thêm một hoặc hai cổng, hoặc...
  • Định cấu hình cân bằng tải động giữa các cổng hiện có khác để sử dụng tài nguyên tối ưu hơn. Nếu tải trên cổng chu vi tăng mạnh, thì người điều phối sẽ có thể sử dụng tài nguyên “nhàm chán” của các cổng truy cập từ xa và ngược lại. Điều này giúp làm dịu đi các đỉnh tải theo mùa (hoặc tạm thời).

Như bạn có thể hiểu, hai phân đoạn cuối liên quan cụ thể đến các doanh nghiệp cỡ trung bình, hiện cũng có đủ khả năng sử dụng các nền tảng bảo mật có thể mở rộng. Tuy nhiên, một câu hỏi hợp lý có thể được đặt ra: “Tại sao Check Point Maestro tốt hơn cụm thông thường?“Chúng tôi sẽ cố gắng trả lời câu hỏi này.

Cụm cổ điển vs Maestro Check Point

Nếu chúng ta nói về cụm Điểm kiểm tra cổ điển thì hai chế độ vận hành được hỗ trợ: Tính sẵn sàng cao (tức là Hoạt động/Chế độ chờ) và Chia sẻ tải (tức là Hoạt động/Hoạt động). Chúng tôi sẽ mô tả ngắn gọn ý nghĩa công việc cũng như những ưu và nhược điểm của chúng.

Tính sẵn sàng cao (Hoạt động/Chế độ chờ)

Như tên cho thấy, trong chế độ vận hành này, một nút chuyển tất cả lưu lượng truy cập qua chính nó và nút thứ hai ở chế độ chờ và nhận lưu lượng nếu nút hoạt động bắt đầu gặp bất kỳ sự cố nào.
Ưu điểm:

  • Chế độ ổn định nhất;
  • Cơ chế SecureXL độc quyền được hỗ trợ để tăng tốc độ xử lý lưu lượng;
  • Nếu nút hoạt động bị lỗi, nút thứ hai được đảm bảo có thể “tiêu hóa” tất cả lưu lượng truy cập (vì nó hoàn toàn giống nhau).

Nhược điểm:
Trên thực tế, chỉ có một điểm trừ - một nút hoàn toàn không hoạt động. Đổi lại, vì điều này, chúng tôi buộc phải mua phần cứng mạnh hơn để nó có thể tự xử lý lưu lượng.

2. Các trường hợp sử dụng điển hình của Check Point Maestro

Tất nhiên, chế độ HA đáng tin cậy hơn Chia sẻ tải, nhưng việc tối ưu hóa tài nguyên còn nhiều điều chưa được mong đợi.

Chia sẻ tải (Hoạt động/Hoạt động)

Ở chế độ này, tất cả các nút trong cụm đều xử lý lưu lượng. Bạn có thể kết hợp tối đa 8 thiết bị vào một cụm như vậy (hơn 4 không khuyến khích).
Ưu điểm:

  • Bạn có thể phân phối tải giữa các nút, yêu cầu các thiết bị ít mạnh hơn;
  • Khả năng mở rộng quy mô trơn tru (thêm tối đa 8 nút vào cụm).

Nhược điểm:

  • Thật kỳ lạ, ưu điểm ngay lập tức biến thành nhược điểm. Họ thích sử dụng chế độ Chia sẻ tải ngay cả khi công ty chỉ có hai nút. Muốn tiết kiệm tiền, họ mua thiết bị, mỗi thiết bị đều được nạp 40-50%. Và mọi thứ dường như đều ổn. Nhưng nếu một nút bị lỗi, chúng ta sẽ gặp phải tình huống trong đó toàn bộ tải được chuyển sang nút còn lại, đơn giản là không thể đối phó được. Kết quả là, không có khả năng chịu lỗi như vậy trong sơ đồ như vậy.
    2. Các trường hợp sử dụng điển hình của Check Point Maestro
  • Thêm vào đây một loạt hạn chế Chia sẻ tải (sk101539). Và hạn chế quan trọng nhất là SecureXL không được hỗ trợ, một cơ chế giúp tăng tốc đáng kể việc xử lý lưu lượng;
  • Đối với việc mở rộng quy mô bằng cách thêm các nút mới vào cụm, thật không may, Chia sẻ tải ở đây không còn lý tưởng nữa. Nếu có nhiều hơn 4 thiết bị được thêm vào cụm thì hiệu suất sẽ bắt đầu giảm mạnh.

Xem xét hai nhược điểm đầu tiên, để thực hiện khả năng chịu lỗi khi sử dụng hai nút, chúng tôi cũng buộc phải mua phần cứng hiệu quả hơn để nó có thể “tiêu hóa” lưu lượng truy cập trong tình huống nguy cấp. Kết quả là chúng ta không thu được lợi ích kinh tế nào nhưng lại thu được một lượng lớn những hạn chế. Hơn nữa, điều đáng chú ý là bắt đầu từ phiên bản R80.20, chế độ Chia sẻ tải không được hỗ trợ. Điều này giới hạn người dùng khỏi các bản cập nhật cần thiết. Vẫn chưa biết liệu Chia sẻ tải có được hỗ trợ trong các phiên bản mới hơn hay không.

Kiểm tra điểm Maestro như một giải pháp thay thế

Từ quan điểm cụm, Check Point Maestro đã tận dụng những ưu điểm chính của chế độ Tính sẵn sàng cao và Chia sẻ tải:

  • Các cổng kết nối với bộ điều phối có thể sử dụng SecureXL, đảm bảo tốc độ xử lý lưu lượng truy cập tối đa. Không có hạn chế nào khác vốn có trong Chia sẻ tải;
  • Lưu lượng được phân phối giữa các cổng trong một Nhóm bảo mật (một cổng logic bao gồm một số cổng vật lý). Nhờ đó, chúng tôi có thể cài đặt các thiết bị kém hiệu quả hơn vì chúng tôi không còn các cổng nhàn rỗi như ở chế độ Tính sẵn sàng cao. Đồng thời, công suất có thể được tăng lên gần như tuyến tính mà không bị tổn thất nghiêm trọng như ở chế độ Chia sẻ tải (chi tiết hơn ở phần sau).

Điều này thật tuyệt vời, nhưng chúng ta hãy xem xét hai ví dụ cụ thể.

Ví dụ №1

Giả sử công ty X có ý định cài đặt một cụm cổng trên chu vi mạng. Họ đã quen với tất cả các hạn chế của Chia sẻ tải (điều không thể chấp nhận được đối với họ) và đang xem xét riêng chế độ Tính sẵn sàng cao. Sau khi định cỡ, hóa ra cổng 6800 phù hợp với chúng, không nên tải quá 50% (để có ít nhất một số dự trữ hiệu suất). Vì đây sẽ là một cụm nên bạn cần mua một thiết bị thứ hai, thiết bị này sẽ chỉ “hút” không khí ở chế độ chờ. Đó là một nhà hút thuốc rất đắt tiền.
Nhưng có một sự thay thế. Lấy một gói từ bộ điều phối và ba cổng 6500. Trong trường hợp này, lưu lượng sẽ được phân phối giữa cả ba thiết bị. Nếu nhìn vào thông số kỹ thuật của hai model, bạn sẽ thấy ba cổng 6500 mạnh hơn một cổng 6800.

2. Các trường hợp sử dụng điển hình của Check Point Maestro

Như vậy, khi lựa chọn Check Point Maestro, công ty X nhận được những lợi ích sau:

  • Công ty ngay lập tức đưa ra một nền tảng có thể mở rộng. Sự gia tăng hiệu suất tiếp theo sẽ chỉ đơn giản là thêm một phần cứng 6500. Điều gì có thể đơn giản hơn?
  • Giải pháp vẫn có khả năng chịu lỗi, bởi vì Nếu một nút bị lỗi, hai nút còn lại sẽ có thể chịu được tải.
  • Một lợi thế quan trọng và đáng ngạc nhiên không kém là nó rẻ hơn! Rất tiếc, tôi không thể đăng giá công khai nhưng nếu quan tâm, bạn có thể liên hệ với chúng tôi để tính toán

Ví dụ №2

Giả sử công ty Y đã có một cụm HA gồm 6500 mô hình. Nút hoạt động được tải ở mức 85%, điều này trong thời gian tải cao điểm sẽ dẫn đến tổn thất về lưu lượng truy cập hiệu quả. Giải pháp hợp lý cho vấn đề này có vẻ là cập nhật phần cứng. Mẫu tiếp theo là 6800. Tức là vậy. công ty sẽ cần trả lại các cổng thông qua chương trình Trao đổi và mua hai thiết bị mới (đắt hơn).
Nhưng có một lựa chọn thay thế. Mua một bộ điều phối và một nút khác giống hệt nhau (6500). Tập hợp một cụm gồm ba thiết bị và “trải” 85% tải này trên ba cổng. Kết quả là, bạn sẽ nhận được tỷ lệ hiệu suất rất lớn (trung bình ba thiết bị sẽ chỉ được tải ở mức 30%). Ngay cả khi một trong ba nút chết, hai nút còn lại vẫn sẽ xử lý lưu lượng truy cập với mức tải trung bình là 45%. Hơn nữa, đối với tải cao điểm, một cụm gồm ba cổng 6500 đang hoạt động sẽ mạnh hơn một cổng 6800, nằm trong cụm HA (tức là hoạt động/dự phòng). Ngoài ra, nếu trong một hoặc hai năm, nhu cầu của công ty Y tăng trở lại, thì tất cả những gì họ cần làm là thêm một hoặc hai nút nữa 6500. Tôi nghĩ lợi ích kinh tế ở đây là rõ ràng.

Kết luận

Có, Check Point Maestro không phải là giải pháp dành cho SMB. Nhưng ngay cả một doanh nghiệp cỡ trung bình cũng có thể nghĩ đến nền tảng này và ít nhất hãy cố gắng tính toán hiệu quả kinh tế. Bạn sẽ ngạc nhiên khi thấy rằng các nền tảng có thể mở rộng có thể mang lại nhiều lợi nhuận hơn so với cụm cổ điển. Đồng thời, có những lợi thế không chỉ về kinh tế mà còn về mặt kỹ thuật. Tuy nhiên, chúng ta sẽ nói về chúng trong bài viết tiếp theo, trong đó, ngoài các thủ thuật kỹ thuật, tôi sẽ cố gắng chỉ ra một số trường hợp điển hình (cấu trúc liên kết, kịch bản).

Bạn cũng có thể đăng ký vào các trang công khai của chúng tôi (Telegram, Facebook, VK, Blog giải pháp TS), nơi bạn có thể theo dõi sự xuất hiện của các tài liệu mới trên Check Point và các sản phẩm bảo mật khác.

Nguồn: www.habr.com

Thêm một lời nhận xét