Check Point 很快就开始了 2019 年,同时发布了多项公告。 在一篇文章中不可能谈论所有内容,所以让我们从最重要的事情开始 - 。 Maestro 是一个新的可扩展平台,可让您将安全网关的“功能”增加到“不雅”的数字,并且几乎呈线性。 这是通过平衡作为单个实体在集群中运行的各个网关之间的负载自然实现的。 有人可能会说——”曾是! 已有44000个刀片平台/64000”。 然而,Maestro 则完全不同。 在这篇文章中,我将简要地解释它是什么、它是如何工作的以及这项技术将如何提供帮助 节省网络周边保护.
曾经 - 已经成为
最简单的理解方法是新的可扩展平台与旧的 44000 有何不同/64000就是看下图:
差异很明显。
旧版 Check Point 44000 平台/64000
从上图可以看出,第一个选择是固定平台(机箱),其中可以插入有限数量的特殊“刀片模块”(检查点SGM)。 这一切都与 安全开关模块 (SSM),平衡网关之间的流量。 下图更详细地展示了该平台的组件:
如果您确切地知道现在需要什么性能以及它可以增长多少,那么这是一个出色的平台。 然而,由于固定的外形尺寸(12 或 6 个刀片),您的进一步可扩展性受到限制。 此外,您被迫仅使用 SGM 刀片,无法连接具有更广泛型号的传统上线。 随着来临 Maestro 超大规模网络安全 情况正在发生巨大变化。
全新 Check Point Maestro 超大规模网络安全平台
Check Point Maestro 于 22 月 XNUMX 日在曼谷举行的 CPX 会议上首次推出。 主要特点如下图所示:
如您所见,Check Point Maestro 的主要优势是能够使用常规网关(设备)进行平衡。 那些。 我们不再局限于SGM刀片。 您可以在从 5600 型号开始的任何设备(SMB 型号和机箱 44000/64000 不支持)。 上图展示了使用新平台时可以达到的主要指标。 我们可以合并为一种计算资源 最多31个! 网关。 现在您的防火墙可能如下所示:
Maestro 超大规模协调器
相信很多人已经问过:“这是什么样的 Orchestrator?“好吧,来见见我吧。 Maestro 超大规模协调器 ——正是这个东西负责负载平衡。 该设备上安装的操作系统是 盖亚 R80.20 SP。 目前有两种模型的 Orchestrator - MHO-140 и MHO-170。 如下图所示的特点:
乍一看,这似乎是一个普通的开关。 其实就是“交换机+均衡器+资源管理系统”。 一切都在一个盒子里。
网关连接到这些 Orchestrator。 如果平衡器是容错的,则每个网关都连接到每个协调器。 对于连接,可以使用“光纤”(sfp+ / qsfp+ / qsfp28+) 或 DAC 电缆(直接连接铜线)。 在这种情况下,协调器之间自然必须存在同步链路:
在下图中,您可以看到这些协调器的端口是如何分布的:
安全组
为了在网关之间分配负载,这些网关必须位于同一安全组中。 安全组 它是一个逻辑设备组,充当主动/主动集群。 该组独立于其他安全组运行。 从管理服务器的角度来看,安全组就像一台具有一个 IP 地址的设备。
如有必要,我们可以将一个或多个网关移至单独的安全组中,并将该组用于其他目的,例如从管理角度来看是一个单独的防火墙。 使用示例如下图所示:
重要限制,一个安全组中只能使用相同的网关(型号)。 那些。 如果您想线性增加安全网关(由多个设备组成的集群)的容量,则必须添加完全相同的网关。 此限制应该会在下一个软件版本中消失。
在下面的视频中,您可以看到创建安全组的过程。 该过程很直观。
同样,如果将 Maestro 组件与底盘平台进行比较,您会得到如下图所示的结果:
新平台有什么好处?
从技术和经济角度来看,实际上有很多优点。 我将简要描述最重要的几个:
- 我们的扩展实际上是无限的。 一个安全组内最多 31 个网关。
- 我们可以根据需要添加网关。 至少购买一套编排器 + 两个网关。 没有必要制定“增长”模型。
- 上一点的另一个优点是。 我们不再需要更换无法再应对负载的网关。 此前,这个问题是通过以旧换新程序解决的——他们交出旧硬件并以折扣价收到新硬件。 有了这样的计划,财务“损失”是不可避免的。 新的缩放程序消除了这个因素。 您不需要移交任何东西,只需借助额外硬件即可继续提高生产力。
- 结合现有资源来分配负载的能力。 例如,您可以将所有集群“拖”到 Maestro 平台上,并根据负载组装多个安全组。
Maestro 超大规模网络安全捆绑包
目前,通过 Maestro 平台购买所谓的捆绑包有多种选择。 基于网关23800、6800和6500的解决方案:
在这种情况下,您可以从两种标准类型的设备中进行选择:
- 一个协调器和两个网关;
- 一个协调器和三个网关。
你可以看到估计的价格。 当然,您还可以根据需要添加另一个编排器和任意数量的网关。 可索取有关规格的更多信息 .
设备 6500 и 6800 这些都是今年早些时候推出的最新型号。 但我们将在下一篇文章中更详细地讨论它们。
我什么时候可以买到?
这里没有明确的答案。 目前,我国还没有进口这些解决方案的通知。 一旦获得有关时间的信息,我们将立即在我们的公共页面上发布公告(, , )。 此外,计划在不久的将来举办一次专门针对 Check Point Maestro 解决方案的网络研讨会,其中将讨论所有技术功能。 当然你也可以提问。 敬请关注!
结论
绝对是一个新平台 是 Check Point 硬件解决方案的绝佳补充。 事实上,该产品开辟了一个新的细分市场,并非每个信息安全供应商都有类似的解决方案。 此外,如今,Check Point Maestro 在提供如此前所未有的“安全能力”方面几乎没有其他选择。 然而,Maestro 超大规模网络安全不仅会引起数据中心所有者的兴趣,也会引起普通公司的兴趣。 那些拥有或计划购买从 5600 型号开始的设备的人已经可以仔细研究 Maestro。在某些情况下,从经济和技术角度来看,使用 Maestro 超大规模网络安全可能是一个非常有利可图的解决方案。
PS本文是在以下人员的参与下编写的 阿纳托利·马索弗 — 可扩展平台专家,Check Point Software Technologies。
来源: habr.com