最近(2016 年),該公司 展示了其新設備(網關和控制伺服器)。 與先前生產線的主要區別在於生產率顯著提高。
在本文中,我們將專門關注較低的型號。 我們將描述新設備的優點以及不總是被討論的可能的陷阱。 我們還將分享其使用的個人印象。
檢查點陣容
從圖中可以看到,Check Point 將其設備分為三大類:
- 高階企業和資料中心 (楷模 , )
- 企業 (楷模 )
- 中小企業 (楷模 , , , , , , 1200R)
在這種情況下,主要特徵之一就是所謂的 SPU - 安全電源裝置。 這是 Check Point 的專有測量方法,用於表徵設備的實際性能。 作為範例,我們將測量防火牆效能 (Mbps) 的傳統方法與 Check Point (SPU) 的「新」技術進行比較。
傳統技術-防火牆吞吐量
- 測量是在實驗室條件下對“人工”流量進行的。
- 僅評估防火牆功能的效能,不評估IPS、應用控制等附加模組。
- 通常使用一條防火牆規則進行測試。
Check Point 方法 - 安全能力
- 真實使用者流量的測量。
- 評估所有功能(防火牆、IPS、應用程式控制、URL 過濾等)的效能。
- 在包含許多規則的標準策略上進行測試。
Check Point 設備選用工具
因此,在選擇合適的Check Point模型時,最好依賴參數 安全電源裝置。 它在設備的任何數據表中都有指示。 您無法自行計算適合您網路的 SPU。 這只能在有權使用該工具的合作夥伴的幫助下完成 Check Point 設備選用工具:
要選擇最佳解決方案,您需要考慮以下參數:
- 互聯網通道寬度;
- 網關的總吞吐量(可能與網際網路通道不同,例如,如果您使用 Check Point 對本機網路進行分段);
- 網路上的使用者數量;
- 所需功能(防火牆、防毒、防機器人、應用程式控制、URL 過濾、IPS、威脅模擬等)。
還有更微妙的設定來描述這些刀片將應用於哪些流量:
指定所有特徵後,您可以收到描述合適設備的報告:
在這裡您可以看到所需的 SPU(在我們的範例中為 72)和建議的 SPU(144)。 還有模型本身及其負載描述以及流量和刀片的“儲備”。 選擇型號時,請始終建議選擇綠色區域的設備(即負載高達 50%):
這可以確保在尖峰負載或計劃增加網路通道寬度期間不會出現問題。 選擇設備時,請務必要求您的合作夥伴提供類似的報告。 範例可以下載 .
舊與新
在了解了表徵設備性能的主要參數後,我們可以仔細研究中小型企業的新模型。 如上所述,Check Point 有一個完整的段落 - 中小企業 (型號 3200、3100、1490、1470、1450、1430、1200R)。 這些設備可以稱為舊2012系列(2200、1180、1140、1120)的更新。 要了解主要差異,請考慮下圖:
(價格為 GPL,不含增值稅和技術支援)
正如您所看到的,2016 系列的性能(SPU)顯著提高,而價格則保持在大致相同的水平(3200 型號除外)。 新系列還包括一個型號 3100, 但尚未 沒有通知,禁止進口到俄羅斯! 記住這一點!
如果我們重新計算一顆SPU的成本,那麼1450型號是最平衡的。 下面我們就來詳細了解全新的Check Point系列。
SMB設備實現方案
從圖中可以看出,SMB設備主要有兩種實現場景:
- 預設網關模式。 在這種情況下,Check Point 作為外圍設備安裝並在本地進行管理。
- 分支網關。 在這種情況下,分公司硬體由總部集中管理(使用管理伺服器)。
適用系列 и 每種模式都有一些功能。 我們將在下面看看它們。
SMB 3000系列
目前有兩塊「鐵片」—— 3200 и 3100。 如前所述,3100 尚不能進口到該國。 至於3200,它是舊2200系列的絕佳替代品。該設備運行完整版本的Gaia(R77.30和R80.10)。 如果您使用該裝置作為小型企業的主網關,您可以獲得以下效能:
- 互聯網頻道 - 50 Mbit;
- 總頻寬 - 300 Mbit;
- 使用者數量 - 200。
如您所見,本例中的設備負載為 47%,且採用本地管理,即 獨立 配置(有關獨立和分佈式的更多信息 )。 根據個人經驗,我可以說,使用本地管理時,不建議超過 50% 的負載,因為... 控制可能會出現問題(速度會變慢)。
如果將設備視為分支設備(即單獨集中管理),則指標會明顯更高。 並且您已經可以進入尺寸調整的黃色區域(即負載為 50% 至 70%)。 您可以查看設備資料表 .
SMB 1400系列
該系列同時包含多個設備:1490、1470、1450、1430(過時的 1120、1140 和 1180 的邏輯替代)。
儘管這些是最年輕的 Check Point 型號,但它們具有所有必要的功能:
- SMB設備可以組裝成HA集群(主備);
- 幾乎所有軟體刀片均可用(如“大型”硬體);
- 可以在本地和集中管理(使用傳統的管理伺服器);
- WiFi、ADSL 和 PoE 均有修改;
- 您可以連接 3G 數據機;
- 提供機架安裝套件。
然而,值得警告的是一些限制/功能:
- 該設備上有有缺陷的蓋亞,並且 蓋亞 77.20 嵌入式。 此限制是由於裝置架構(使用 ARM 處理器)造成的。 如果是本地控制(獨立),您將無法使用通常的 SmartConsole。 相反,有一個網路介面。 你可以在這個影片中看到它:
這個例子考慮的是 700 系列,但原則上它不在俄羅斯銷售。 - 威脅提取功能無法運作。 僅威脅模擬。 你可以看到它是什麼
- 負載分擔模式無法組成叢集。 那些。 透過購買兩個「便宜」的硬體並在它們之間分配叢集中的負載來作弊是行不通的。
- 對於本地管理,HTTPS 檢查存在嚴格的限制。
- 檔案的防毒掃描不起作用。
- 無DLP功能。
最後一點可能是最重要的限制,但常常被忽略。 對於完整的 HTTPS 檢查,您將被迫使用傳統的專用管理伺服器。 在這種情況下,您將使用完整(幾乎完整)版本的 Gaia 將裝置作為網關進行控制。
Gaia Embedded 的其他限制可以在這裡找到 。 在做出購買決定之前一定要檢查一下。
例如,考慮一個具有以下參數的小型辦公室:
- 互聯網頻道 - 50 Mbit;
- 總頻寬 - 200 Mbit;
- 使用者數量 - 200;
- 本地管理(Web 介面)。
從尺寸上可以看出,1490型號在46%的負載下成功應對了這項任務(沒有離開綠色區域)。 透過專門的管理,1470 將能夠勝任這項任務。
可以查看1400系列裝置的資料表 .
型號1200R
這種模式很難被稱為SMB。 這已經是一個工業解決方案,也許值得單獨寫一篇文章。 現在我們不會詳細考慮這個模型。
研討會
有關 SMB 設備的更多詳細信息,請參閱我們之前的網路研討會:
發現
在我看來,新的中小企業模式非常成功。 在保持價格水準的同時,設備的性能顯著提高。 我還沒準備好談論設備的高成本/廉價,因為這些概念對於不同的公司來說有很大不同。
模型 我會把它推薦給那些對以合理的價格獲得最大程度的保護感興趣的小公司。 另外,對於已經習慣使用完整版 Gaia 的人來說,這是一個不錯的選擇。 R80.10 版本也可在此處取得。 當收到3100的通知後,價格會再下降一點。 這是分行的理想選擇。
系列設備 是一個很好的折衷方案,並且具有最佳的性價比(特別是在每 1 個 SPU 的價格方面)。 這些設備非常適合預算有限的分公司。 透過集中管理,您可以使用完整版 Gaia 管理常規網關等裝置。 但是,再次,不要忘記 ,您絕對應該熟悉它。
PS 我要感謝阿列克謝·馬特維耶夫(Alexey Matveev)()在準備材料時尋求協助。
來源: www.habr.com