Check Point 很快就開始了 2019 年,同時發布了多項公告。 在一篇文章中不可能談論所有內容,所以讓我們從最重要的事情開始 - 。 Maestro 是一個新的可擴展平台,可讓您將安全網關的「功能」增加到「不雅」的數字,並且幾乎呈現線性。 這是透過平衡作為單一實體在叢集中運行的各個網關之間的負載自然實現的。 有人可能會說——”曾是! 已有44000個刀片平台/64000」。 然而,Maestro 則完全不同。 在這篇文章中,我將簡要地解釋它是什麼、它是如何運作的以及這項技術將如何提供幫助 節省網路週邊保護.
曾經 - 已經成為
最簡單的理解方法是新的可擴展平台與舊的 44000 有何不同/64000就是看下圖:
差異是顯而易見的。
舊版 Check Point 44000 平台/64000
從上圖可以看出,第一個選擇是固定平台(機箱),其中可以插入有限數量的特殊「刀片模組」(檢查點SGM)。 這一切都與 安全開關模組 (SSM),平衡網關之間的流量。 下圖更詳細地展示了該平台的組件:
如果您確切地知道現在需要什麼效能以及它可以成長多少,那麼這是一個出色的平台。 然而,由於固定的外形尺寸(12 或 6 個刀片),您的進一步可擴展性受到限制。 此外,您被迫僅使用 SGM 刀片,無法連接具有更廣泛型號的傳統上線。 隨著來臨 Maestro 超大規模網路安全 情況正在發生巨大變化。
全新 Check Point Maestro 超大規模網路安全平台
Check Point Maestro 於 22 月 XNUMX 日在曼谷舉行的 CPX 會議上首次推出。 主要特點如下圖所示:
如您所見,Check Point Maestro 的主要優勢是能夠使用常規網關(設備)進行平衡。 那些。 我們不再局限於SGM刀片。 您可以在從 5600 型號開始的任何設備(SMB 型號和機箱 44000/64000 不支援)。 上圖展示了使用新平台時可以達到的主要指標。 我們可以合併為一種運算資源 最多31個! 閘道。 現在您的防火牆可能如下所示:
Maestro 超大規模協調器
相信很多人已經問過:“這是什麼樣的 Orchestrator?「好吧,來見見我吧。 Maestro 超大規模協調器 ——正是這個東西負責負載平衡。 該設備上安裝的作業系統是 蓋亞 R80.20 SP。 目前有兩種型號的 Orchestrator - MHO-140 и MHO-170。 如下圖所示的特點:
乍一看,這似乎是一個普通的開關。 其實就是「交換器+均衡器+資源管理系統」。 一切都在一個盒子裡。
網關連接到這些 Orchestrator。 如果平衡器是容錯的,則每個網關都連接到每個協調器。 對於連接,可以使用“光纖”(sfp+ / qsfp+ / qsfp28+) 或 DAC 電纜(直接連接銅線)。 在這種情況下,協調器之間自然必須存在同步連結:
在下圖中,您可以看到這些協調器的連接埠是如何分佈的:
安全組
為了在網關之間分配負載,這些網關必須位於同一安全性群組中。 安全組 它是一個邏輯設備組,可作為主動/主動集群。 此群組獨立於其他安全群組運作。 從管理伺服器的角度來看,安全性群組就像一台具有 IP 位址的裝置。
如有必要,我們可以將一個或多個網關移至單獨的安全群組中,並將該群組用於其他目的,例如從管理角度來看是一個單獨的防火牆。 使用範例如下圖所示:
重要限制,一個安全群組中只能使用相同的網關(型號)。 那些。 如果您想要線性增加安全閘道(由多個裝置組成的叢集)的容量,則必須新增完全相同的閘道。 此限制應該會在下一個軟體版本中消失。
在下面的影片中,您可以看到建立安全群組的過程。 該過程很直觀。
同樣,如果將 Maestro 組件與底盤平台進行比較,您會得到如下圖所示的結果:
新平台有什麼好處?
從技術和經濟角度來看,實際上有許多優點。 我將簡要描述最重要的幾個:
- 我們的擴展實際上是無限的。 一個安全群組內最多 31 個網關。
- 我們可以根據需要添加網關。 至少購買一套編排器 + 兩個網關。 沒有必要製定「成長」模式。
- 上一點的另一個優點是。 我們不再需要更換無法再應付負載的網關。 此前,這個問題是透過以舊換新程序解決的——他們交出舊硬體並以折扣價收到新硬體。 有了這樣的計劃,財務「損失」是不可避免的。 新的縮放程序消除了這個因素。 您不需要移交任何東西,只需借助額外硬體即可繼續提高生產力。
- 結合現有資源來分配負載的能力。 例如,您可以將所有叢集「拖曳」到 Maestro 平台上,並根據負載組裝多個安全性群組。
Maestro 超大規模網路安全性捆綁包
目前,透過 Maestro 平台購買所謂的捆綁包有多種選擇。 基於網關23800、6800和6500的解決方案:
在這種情況下,您可以從兩種標準類型的設備中進行選擇:
- 一個協調器和兩個網關;
- 一個協調器和三個網關。
你可以看到估計的價格。 當然,您還可以根據需要添加另一個編排器和任意數量的網關。 可索取有關規格的更多信息 .
裝置 6500 и 6800 這些都是今年稍早推出的最新型號。 但我們將在下一篇文章中更詳細地討論它們。
什麼時候可以買?
這裡沒有明確的答案。 目前,我國還沒有進口這些解決方案的通知。 一旦獲得有關時間的信息,我們將立即在我們的公共頁面上發佈公告(, , )。 此外,計劃在不久的將來舉辦一次專門針對 Check Point Maestro 解決方案的網路研討會,其中將討論所有技術功能。 當然你也可以提問。 敬請關注!
結論
絕對是一個新平台 是 Check Point 硬體解決方案的絕佳補充。 事實上,該產品開闢了一個新的細分市場,並非每個資訊安全供應商都有類似的解決方案。 此外,如今,Check Point Maestro 在提供如此前所未有的「安全能力」方面幾乎沒有其他選擇。 然而,Maestro 超大規模網路安全不僅會引起資料中心所有者的興趣,也會引起一般公司的興趣。 那些擁有或計劃購買從 5600 型號開始的設備的人已經可以仔細研究 Maestro。在某些情況下,從經濟和技術角度來看,使用 Maestro 超大規模網路安全可能是一個非常有利可圖的解決方案。
PS本文是在以下人員的參與下編寫的 阿納托利·馬索弗 — 可擴展平台專家,Check Point Software Technologies。
來源: www.habr.com