- PVSM.RU - https://www.pvsm.ru -
Относительно недавно (в 2016 году) компания Check Point [1] презентовала свои новые устройства (как шлюзы, так и сервера управления). Ключевое отличие от предыдущей линейки — значительно увеличенная производительность.
В данной статье мы сосредоточимся исключительно на младших моделях. Опишем преимущества новых устройств и возможные подводные камни, о которых не всегда говорят. Также поделимся личными впечатлениями от их использования.
Как видно из картинки, Check Point делит свои устройства на три большие категории:
При этом одной из главных характеристик является так называемый SPU — Security Power Units. Это собственная мера Check Point, которая характеризует реальную производительность устройства. Для примера давайте сравним традиционный метод измерения производительности Межсетевых экранов (Мбит/с), с “новой” методикой от Check Point (SPU).
Таким образом при выборе подходящей модели Check Point лучше полагаться на параметр Security Power Unit. Он указывается в любом даташите на устройство. Самостоятельно рассчитать подходящий SPU для вашей сети не получится. Сделать это можно только с помощью партнера, которому доступен инструмент Check Point Appliance Sizing Tool:
Для подбора оптимального решения нужно учитывать такие параметры как:
Есть и более тонкие настройки, которые описывают к какому трафику будут применяться эти блейды:
После указания всех характеристик, можно получить отчет с описанием подходящих устройств:
Здесь же можно увидеть требуемое SPU (72 в нашем случае) и рекомендуемое (144). А так же сами модели с описанием их загрузки и “запаса” по трафику и блейдам. При выборе модели, всегда рекомендуется брать устройство из зеленой зоны (т.е. загрузка до 50 процентов):
Это гарантирует отсутствие проблем при пиковой нагрузке или плановом увеличении ширины канала Интернет. При выборе устройства, всегда просите партнера предоставить подобный отчет. Пример можно скачать здесь [11].
Разобравшись с основным параметром, характеризующим производительность устройств, можно более подробно рассмотреть новые модели для малого и среднего бизнеса. Как было сказано выше, у Check Point есть целый сегмент — Small and Medium Enterprise (модели 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Эти устройства можно назвать обновлением старой серии 2012 года (2200, 1180, 1140, 1120). Чтобы понять ключевые отличия рассмотрим картинку ниже:
(цены указаны в GPL, без НДС и технической поддержки)
Как видно, у серии 2016 года существенно выросла производительность (SPU), а цены остались примерно на том же уровне (за исключением модели 3200). В новой линейке также появилась модель 3100, но на нее пока еще нет нотификации и ввоз в Россию запрещен! Помните об этом!
Если пересчитать стоимость одного SPU, то модель 1450 является наиболее сбалансированной. Ниже мы рассмотрим более подробно новые серии Check Point.
Как видно из рисунка, для SMB устройств есть два основных сценария внедрения:
Для серий 3000 [12] и 1400 [13] есть некоторые особенности в каждом из режимов. Мы рассмотрим их ниже.
На текущий момент есть две “железки” — 3200 и 3100. Как было сказано ранее, 3100 пока еще нельзя ввезти в страну. Что касается 3200, то это отличная замена старой серии 2200. На борту устройства работает полноценная версия Gaia (как R77.30, так и R80.10). В случае использования устройства как основного шлюза в малом предприятия можно рассчитывать на следующую производительность:
Как видите загрузка устройства в этом случае составляет 47% и это при локальном менеджменте, т.е. Standalone конфигурация (подробнее о standalone и distributed здесь [14]). По личному опыту могу сказать, что при локальном менеджменте не рекомендуется превышать загрузку в 50%, т.к. могут появиться проблемы с управлением (будет притормаживать).
Если же устройство рассматривать как филиальное (т.е. с отдельным централизованным менеджментом) то показатели будут значительно выше. И можно уже выходить в желтую зону в сайзинге (т.е. с загрузкой от 50% до 70%). Даташит устройства можно посмотреть здесь [15].
Данная серия включает сразу несколько устройств: 1490, 1470, 1450, 1430 (Логическая замена устаревших 1120, 1140 и 1180).
Несмотря на то, что это самые младшие модели Check Point, они обладают всем необходимым функционалом:
Однако стоит предупредить о некоторых ограничениях/особенностях:
В примере рассматривается серия 700, но она в принципе не продается в России.
Последние пункты пожалуй самые главные ограничения о которых часто умалчивают. Для полноценной HTTPS инспекции вы будете вынуждены использовать традиционный выделенный Management сервер. В этом случае вы будете управлять устройством, как шлюзом с полноценной (почти полноценной) версией Gaia.
С другими ограничениями Gaia Embedded можно ознакомиться здесь [17]. Обязательно ознакомьтесь с ними перед принятием решения о покупке.
Для примера рассмотрим небольшой офис со следующими параметрами:
Как видно из сайзинга, с данной задачей успешно справляется модель 1490 с загрузкой в 46% (не вылезая из зеленой зоны). При выделенном менеджменте с этой задачей справится и 1470.
Даташит на устройства серии 1400 можно посмотреть здесь [18].
Данную модель сложно назвать SMB. Это уже решение в промышленном исполнение и возможно заслуживает отдельной статьи. Сейчас мы не будем подробно рассматривать данную модель.
Более подробно о SMB устройствах можно посмотреть в нашем предыдущем вебинаре:
На мой взгляд новые SMB модели получились довольно удачными. Существенно увеличена производительность устройств при сохранении уровня цены. На счет дороговизны/дешевизны устройств рассуждать не готов, т.к. для разных компаний эти понятия сильно отличаются.
Модель 3200 [12] я бы рекомендовал небольшим компаниям, которых интересует максимальный уровень защиты за разумные деньги. Плюс это удачный выбор для тех, кто уже привык работать с полноценной версией Gaia. Здесь также доступна версия R80.10. Когда будет получена нотификация на 3100, то ценник еще немного снизится. Для филиалов это идеальный вариант.
Устройства серии 1400 [13] являются неплохим компромиссом и обладают наилучшим соотношением цена/качество (особенно в пересчете на цену за 1 SPU). Эти устройства отлично подходят для филиалов при ограниченном бюджете. Используя централизованный менеджмент можно управлять устройствами как обычным шлюзами с полноценной версией Gaia. Но, повторюсь, не стоит забывать об ограничениях [17], с которыми нужно обязательно ознакомиться.
P.S. Хотел бы поблагодарить Матвеева Алексея [19] (компания RRC [20]) за помощью при подготовке материала.
Автор: cooper051
Источник [21]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/sistemnoe-administrirovanie/262713
Ссылки в тексте:
[1] Check Point: http://tssolution.ru/checkpoint/
[2] 23800, 23500: http://tssolution.ru/product-category/checkpoint/23000series/
[3] 15600, 15400: http://tssolution.ru/product-category/checkpoint/15000series/
[4] 5900, 5800, 5600, 5400, 5200, 5100: http://tssolution.ru/product-category/checkpoint/5000series/
[5] 3200: http://tssolution.ru/shop/checkpoint-3200/
[6] 3100: http://tssolution.ru/shop/checkpoint-3100-ngtp/
[7] 1490: http://tssolution.ru/shop/checkpoint-1490/
[8] 1470: http://tssolution.ru/shop/checkpoint-1470/
[9] 1450: http://tssolution.ru/shop/checkpoint-1450/
[10] 1430: http://tssolution.ru/shop/checkpoint-1400/
[11] здесь: https://drive.google.com/file/d/0B-5kZl7ixcSKUDY2ZWhSQlZyQlk/view?usp=sharing
[12] 3000: http://tssolution.ru/product-category/checkpoint/3000series/
[13] 1400 : http://tssolution.ru/product-category/checkpoint/1400series/
[14] здесь: https://habrahabr.ru/company/tssolution/blog/323606/
[15] здесь: https://www.checkpoint.com/downloads/product-related/datasheets/ds-3200-appliance.pdf
[16] здесь: https://habrahabr.ru/company/tssolution/blog/325822/
[17] здесь: https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk105380
[18] здесь: https://www.checkpoint.com/downloads/product-related/datasheets/ds-1400-appliance.pdf
[19] Матвеева Алексея: https://www.linkedin.com/in/matveevim/
[20] компания RRC: http://rrc.ru/
[21] Источник: https://habrahabr.ru/post/336298/
Нажмите здесь для печати.