最近(2016 年),该公司 展示了其新设备(网关和控制服务器)。 与之前生产线的主要区别在于生产率显着提高。
在本文中,我们将专门关注较低的型号。 我们将描述新设备的优点以及不总是被讨论的可能的陷阱。 我们还将分享其使用的个人印象。
检查点阵容
从图中可以看到,Check Point 将其设备分为三大类:
- 高端企业和数据中心 (楷模 , )
- 企业 (楷模 )
- 中小企业 (楷模 , , , , , , 1200R)
在这种情况下,主要特征之一就是所谓的 SPU - 安全电源装置。 这是 Check Point 的专有测量方法,用于表征设备的实际性能。 作为示例,我们将测量防火墙性能 (Mbps) 的传统方法与 Check Point (SPU) 的“新”技术进行比较。
传统技术——防火墙吞吐量
- 测量是在实验室条件下对“人工”流量进行的。
- 仅评估防火墙功能的性能,不评估IPS、应用控制等附加模块。
- 通常使用一条防火墙规则进行测试。
Check Point 方法论 - 安全能力
- 对真实用户流量的测量。
- 评估所有功能(防火墙、IPS、应用程序控制、URL 过滤等)的性能。
- 在包含许多规则的标准策略上进行测试。
Check Point 设备选型工具
因此,在选择合适的Check Point模型时,最好依赖参数 安全电源装置。 它在设备的任何数据表中都有指示。 您无法自行计算适合您网络的 SPU。 这只能在有权使用该工具的合作伙伴的帮助下完成 Check Point 设备选型工具:
要选择最佳解决方案,您需要考虑以下参数:
- 互联网通道宽度;
- 网关的总吞吐量(可能与互联网通道不同,例如,如果您使用 Check Point 对本地网络进行分段);
- 网络上的用户数量;
- 所需功能(防火墙、防病毒、防机器人、应用程序控制、URL 过滤、IPS、威胁模拟等)。
还有更微妙的设置来描述这些刀片将应用于哪些流量:
指定所有特征后,您可以收到描述合适设备的报告:
在这里您可以看到所需的 SPU(在我们的示例中为 72)和推荐的 SPU(144)。 还有模型本身及其负载描述以及流量和刀片的“储备”。 选择型号时,始终建议选择绿色区域的设备(即负载高达 50%):
这可以确保在峰值负载或计划增加互联网通道宽度期间不会出现问题。 选择设备时,请务必要求您的合作伙伴提供类似的报告。 示例可以下载 .
旧与新
了解了表征设备性能的主要参数后,我们可以仔细研究面向中小型企业的新模型。 如上所述,Check Point 有一个完整的段 - 中小企业 (型号 3200、3100、1490、1470、1450、1430、1200R)。 这些设备可以称为旧2012系列(2200、1180、1140、1120)的更新。 要了解主要差异,请考虑下图:
(价格为 GPL,不含增值税和技术支持)
正如您所看到的,2016 系列的性能(SPU)显着提高,而价格则保持在大致相同的水平(3200 型号除外)。 新系列还包括一个型号 3100, 但尚未 没有通知,禁止进口到俄罗斯! 记住这一点!
如果我们重新计算一颗SPU的成本,那么1450型号是最平衡的。 下面我们就来详细了解一下全新的Check Point系列。
SMB设备实现方案
从图中可以看出,SMB设备主要有两种实现场景:
- 默认网关模式。 在这种情况下,Check Point 作为外围设备安装并在本地进行管理。
- 分支网关。 在这种情况下,分支机构硬件由总部集中管理(使用管理服务器)。
适用系列 и 每种模式都有一些功能。 我们将在下面看看它们。
中小企业3000系列
目前有两块“铁片”—— 3200 и 3100。 如前所述,3100 尚不能进口到该国。 至于3200,它是旧2200系列的绝佳替代品。该设备运行完整版本的Gaia(R77.30和R80.10)。 如果您使用该设备作为小型企业的主网关,您可以获得以下性能:
- 互联网频道 - 50 Mbit;
- 总带宽 - 300 Mbit;
- 用户数量 - 200。
如您所见,本例中的设备负载为 47%,且采用本地管理,即 独立 配置(有关独立和分布式的更多信息 )。 根据个人经验,我可以说,使用本地管理时,不建议超过 50% 的负载,因为...... 控制可能会出现问题(速度会变慢)。
如果将设备视为分支设备(即单独集中管理),则指标会明显更高。 并且您已经可以进入尺寸调整的黄色区域(即负载为 50% 至 70%)。 您可以查看设备数据表 .
中小企业1400系列
该系列同时包含多个设备:1490、1470、1450、1430(过时的 1120、1140 和 1180 的逻辑替代)。
尽管这些是最年轻的 Check Point 型号,但它们具有所有必要的功能:
- SMB设备可以组装成HA集群(主备);
- 几乎所有软件刀片均可用(如“大型”硬件);
- 可以在本地和集中管理(使用传统的管理服务器);
- WiFi、ADSL 和 PoE 均有修改;
- 您可以连接3G调制解调器;
- 提供机架安装套件。
然而,值得警告的是一些限制/功能:
- 该设备上有有缺陷的盖亚,并且 盖亚 77.20 嵌入式。 此限制是由于设备架构(使用 ARM 处理器)造成的。 如果是本地控制(独立),您将无法使用通常的 SmartConsole。 相反,有一个网络界面。 你可以在这个视频中看到它:
该示例考虑的是 700 系列,但原则上它不在俄罗斯销售。 - 威胁提取功能不起作用。 仅威胁模拟。 你可以看到它是什么
- 负载分担模式无法组建集群。 那些。 通过购买两个“便宜”的硬件并在它们之间分配集群中的负载来作弊是行不通的。
- 对于本地管理,HTTPS 检查存在严格的限制。
- 档案的防病毒扫描不起作用。
- 无DLP功能。
最后一点可能是最重要的限制,但常常被忽视。 对于完整的 HTTPS 检查,您将被迫使用传统的专用管理服务器。 在这种情况下,您将使用完整(几乎完整)版本的 Gaia 将设备作为网关进行控制。
Gaia Embedded 的其他限制可以在这里找到 。 在做出购买决定之前一定要检查一下。
例如,考虑一个具有以下参数的小型办公室:
- 互联网频道 - 50 Mbit;
- 总带宽 - 200 Mbit;
- 用户数量 - 200;
- 本地管理(Web 界面)。
从尺寸上可以看出,1490型号在46%的负载下成功应对了这一任务(没有离开绿色区域)。 通过专门的管理,1470 将能够胜任这项任务。
可以查看1400系列器件的数据表 .
型号1200R
这种模式很难称为SMB。 这已经是一个工业解决方案,也许值得单独写一篇文章。 现在我们不会详细考虑这个模型。
研讨会
有关 SMB 设备的更多详细信息,请参阅我们之前的网络研讨会:
发现
在我看来,新的中小企业模式非常成功。 在保持价格水平的同时,设备的性能显着提高。 我还没有准备好谈论设备的高成本/廉价,因为这些概念对于不同的公司来说有很大不同。
是否提供样品 我会把它推荐给那些对以合理的价格获得最大程度的保护感兴趣的小公司。 另外,对于那些已经习惯使用完整版 Gaia 的人来说,这是一个不错的选择。 R80.10 版本也可在此处获取。 当收到3100的通知后,价格会再下降一点。 这是分支机构的理想选择。
系列设备 是一个很好的折衷方案,并且具有最佳的性价比(特别是在每 1 个 SPU 的价格方面)。 这些设备非常适合预算有限的分支机构。 通过集中管理,您可以使用完整版 Gaia 管理常规网关等设备。 但是,再次,不要忘记 ,您绝对应该熟悉它。
PS 我要感谢阿列克谢·马特维耶夫(Alexey Matveev)()在准备材料时寻求帮助。
来源: habr.com