Check Point 很快就开始了 2019 年,同时发布了多项公告。 在一篇文章中不可能谈论所有内容,所以让我们从最重要的事情开始 -
曾经 - 已经成为
最简单的理解方法是新的可扩展平台与旧的 44000 有何不同/64000就是看下图:
差异很明显。
旧版 Check Point 44000 平台/64000
从上图可以看出,第一个选择是固定平台(机箱),其中可以插入有限数量的特殊“刀片模块”(检查点SGM)。 这一切都与 安全开关模块 (SSM),平衡网关之间的流量。 下图更详细地展示了该平台的组件:
如果您确切地知道现在需要什么性能以及它可以增长多少,那么这是一个出色的平台。 然而,由于固定的外形尺寸(12 或 6 个刀片),您的进一步可扩展性受到限制。 此外,您被迫仅使用 SGM 刀片,无法连接具有更广泛型号的传统上线。 随着来临 Maestro 超大规模网络安全 情况正在发生巨大变化。
全新 Check Point Maestro 超大规模网络安全平台
Check Point Maestro 于 22 月 XNUMX 日在曼谷举行的 CPX 会议上首次推出。 主要特点如下图所示:
如您所见,Check Point Maestro 的主要优势是能够使用常规网关(设备)进行平衡。 那些。 我们不再局限于SGM刀片。 您可以在从 5600 型号开始的任何设备(SMB 型号和机箱 44000/64000 不支持)。 上图展示了使用新平台时可以达到的主要指标。 我们可以合并为一种计算资源 最多31个! 网关。 现在您的防火墙可能如下所示:
Maestro 超大规模协调器
相信很多人已经问过:“这是什么样的 Orchestrator?“好吧,来见见我吧。 Maestro 超大规模协调器 ——正是这个东西负责负载平衡。 该设备上安装的操作系统是 盖亚 R80.20 SP。 目前有两种模型的 Orchestrator - MHO-140 и MHO-170。 如下图所示的特点:
乍一看,这似乎是一个普通的开关。 其实就是“交换机+均衡器+资源管理系统”。 一切都在一个盒子里。
网关连接到这些 Orchestrator。 如果平衡器是容错的,则每个网关都连接到每个协调器。 对于连接,可以使用“光纤”(sfp+ / qsfp+ / qsfp28+) 或 DAC 电缆(直接连接铜线)。 在这种情况下,协调器之间自然必须存在同步链路:
在下图中,您可以看到这些协调器的端口是如何分布的:
安全组
为了在网关之间分配负载,这些网关必须位于同一安全组中。 安全组 它是一个逻辑设备组,充当主动/主动集群。 该组独立于其他安全组运行。 从管理服务器的角度来看,安全组就像一台具有一个 IP 地址的设备。
如有必要,我们可以将一个或多个网关移至单独的安全组中,并将该组用于其他目的,例如从管理角度来看是一个单独的防火墙。 使用示例如下图所示:
重要限制,一个安全组中只能使用相同的网关(型号)。 那些。 如果您想线性增加安全网关(由多个设备组成的集群)的容量,则必须添加完全相同的网关。 此限制应该会在下一个软件版本中消失。
在下面的视频中,您可以看到创建安全组的过程。 该过程很直观。
同样,如果将 Maestro 组件与底盘平台进行比较,您会得到如下图所示的结果:
新平台有什么好处?
从技术和经济角度来看,实际上有很多优点。 我将简要描述最重要的几个:
- 我们的扩展实际上是无限的。 一个安全组内最多 31 个网关。
- 我们可以根据需要添加网关。 至少购买一套编排器 + 两个网关。 没有必要制定“增长”模型。
- 上一点的另一个优点是。 我们不再需要更换无法再应对负载的网关。 此前,这个问题是通过以旧换新程序解决的——他们交出旧硬件并以折扣价收到新硬件。 有了这样的计划,财务“损失”是不可避免的。 新的缩放程序消除了这个因素。 您不需要移交任何东西,只需借助额外硬件即可继续提高生产力。
- 结合现有资源来分配负载的能力。 例如,您可以将所有集群“拖”到 Maestro 平台上,并根据负载组装多个安全组。
Maestro 超大规模网络安全捆绑包
目前,通过 Maestro 平台购买所谓的捆绑包有多种选择。 基于网关23800、6800和6500的解决方案:
在这种情况下,您可以从两种标准类型的设备中进行选择:
- 一个协调器和两个网关;
- 一个协调器和三个网关。
设备 6500 и 6800 这些都是今年早些时候推出的最新型号。 但我们将在下一篇文章中更详细地讨论它们。
我什么时候可以买到?
这里没有明确的答案。 目前,我国还没有进口这些解决方案的通知。 一旦获得有关时间的信息,我们将立即在我们的公共页面上发布公告(
结论
绝对是一个新平台
PS本文是在以下人员的参与下编写的 阿纳托利·马索弗 — 可扩展平台专家,Check Point Software Technologies。
来源: habr.com