Check Point 很快就開始了 2019 年,同時發布了多項公告。 在一篇文章中不可能談論所有內容,所以讓我們從最重要的事情開始 -
曾經 - 已經成為
最簡單的理解方法是新的可擴展平台與舊的 44000 有何不同/64000就是看下圖:
差異是顯而易見的。
舊版 Check Point 44000 平台/64000
從上圖可以看出,第一個選擇是固定平台(機箱),其中可以插入有限數量的特殊「刀片模組」(檢查點SGM)。 這一切都與 安全開關模組 (SSM),平衡網關之間的流量。 下圖更詳細地展示了該平台的組件:
如果您確切地知道現在需要什麼效能以及它可以成長多少,那麼這是一個出色的平台。 然而,由於固定的外形尺寸(12 或 6 個刀片),您的進一步可擴展性受到限制。 此外,您被迫僅使用 SGM 刀片,無法連接具有更廣泛型號的傳統上線。 隨著來臨 Maestro 超大規模網路安全 情況正在發生巨大變化。
全新 Check Point Maestro 超大規模網路安全平台
Check Point Maestro 於 22 月 XNUMX 日在曼谷舉行的 CPX 會議上首次推出。 主要特點如下圖所示:
如您所見,Check Point Maestro 的主要優勢是能夠使用常規網關(設備)進行平衡。 那些。 我們不再局限於SGM刀片。 您可以在從 5600 型號開始的任何設備(SMB 型號和機箱 44000/64000 不支援)。 上圖展示了使用新平台時可以達到的主要指標。 我們可以合併為一種運算資源 最多31個! 閘道。 現在您的防火牆可能如下所示:
Maestro 超大規模協調器
相信很多人已經問過:“這是什麼樣的 Orchestrator?「好吧,來見見我吧。 Maestro 超大規模協調器 ——正是這個東西負責負載平衡。 該設備上安裝的作業系統是 蓋亞 R80.20 SP。 目前有兩種型號的 Orchestrator - MHO-140 и MHO-170。 如下圖所示的特點:
乍一看,這似乎是一個普通的開關。 其實就是「交換器+均衡器+資源管理系統」。 一切都在一個盒子裡。
網關連接到這些 Orchestrator。 如果平衡器是容錯的,則每個網關都連接到每個協調器。 對於連接,可以使用“光纖”(sfp+ / qsfp+ / qsfp28+) 或 DAC 電纜(直接連接銅線)。 在這種情況下,協調器之間自然必須存在同步連結:
在下圖中,您可以看到這些協調器的連接埠是如何分佈的:
安全組
為了在網關之間分配負載,這些網關必須位於同一安全性群組中。 安全組 它是一個邏輯設備組,可作為主動/主動集群。 此群組獨立於其他安全群組運作。 從管理伺服器的角度來看,安全性群組就像一台具有 IP 位址的裝置。
如有必要,我們可以將一個或多個網關移至單獨的安全群組中,並將該群組用於其他目的,例如從管理角度來看是一個單獨的防火牆。 使用範例如下圖所示:
重要限制,一個安全群組中只能使用相同的網關(型號)。 那些。 如果您想要線性增加安全閘道(由多個裝置組成的叢集)的容量,則必須新增完全相同的閘道。 此限制應該會在下一個軟體版本中消失。
在下面的影片中,您可以看到建立安全群組的過程。 該過程很直觀。
同樣,如果將 Maestro 組件與底盤平台進行比較,您會得到如下圖所示的結果:
新平台有什麼好處?
從技術和經濟角度來看,實際上有許多優點。 我將簡要描述最重要的幾個:
- 我們的擴展實際上是無限的。 一個安全群組內最多 31 個網關。
- 我們可以根據需要添加網關。 至少購買一套編排器 + 兩個網關。 沒有必要製定「成長」模式。
- 上一點的另一個優點是。 我們不再需要更換無法再應付負載的網關。 此前,這個問題是透過以舊換新程序解決的——他們交出舊硬體並以折扣價收到新硬體。 有了這樣的計劃,財務「損失」是不可避免的。 新的縮放程序消除了這個因素。 您不需要移交任何東西,只需借助額外硬體即可繼續提高生產力。
- 結合現有資源來分配負載的能力。 例如,您可以將所有叢集「拖曳」到 Maestro 平台上,並根據負載組裝多個安全性群組。
Maestro 超大規模網路安全性捆綁包
目前,透過 Maestro 平台購買所謂的捆綁包有多種選擇。 基於網關23800、6800和6500的解決方案:
在這種情況下,您可以從兩種標準類型的設備中進行選擇:
- 一個協調器和兩個網關;
- 一個協調器和三個網關。
裝置 6500 и 6800 這些都是今年稍早推出的最新型號。 但我們將在下一篇文章中更詳細地討論它們。
什麼時候可以買?
這裡沒有明確的答案。 目前,我國還沒有進口這些解決方案的通知。 一旦獲得有關時間的信息,我們將立即在我們的公共頁面上發佈公告(
結論
絕對是一個新平台
PS本文是在以下人員的參與下編寫的 阿納托利·馬索弗 — 可擴展平台專家,Check Point Software Technologies。
來源: www.habr.com