Относительно недавно (в 2016 году) компания Check Point презентовала свои новые устройства (как шлюзы, так и сервера управления). Ключевое отличие от предыдущей линейки — значительно увеличенная производительность.
В данной статье мы сосредоточимся исключительно на младших моделях. Опишем преимущества новых устройств и возможные подводные камни, о которых не всегда говорят. Также поделимся личными впечатлениями от их использования.
Модельный ряд Check Point
Как видно из картинки, Check Point делит свои устройства на три большие категории:
- High End Enterprise and Data Center (модели 23800, 23500, 15600, 15400)
- Enterprise (модели 5900, 5800, 5600, 5400, 5200, 5100)
- Small and Medium Enterprise (модели 3200, 3100, 1490, 1470, 1450, 1430, 1200R)
При этом одной из главных характеристик является так называемый SPU — Security Power Units. Это собственная мера Check Point, которая характеризует реальную производительность устройства. Для примера давайте сравним традиционный метод измерения производительности Межсетевых экранов (Мбит/с), с “новой” методикой от Check Point (SPU).
Традиционная методика — Firewall Throughput
- Замеры осуществляются в лабораторных условиях на “искусственном” трафике.
- Оценивается производительность только функции Межсетевого экрана, без дополнительных модулей, таких как IPS, Application Control и т.д.
- Тестирования как правило проводятся с одним правилом Firewall.
Методика Check Point — Security Power
- Замеры на реально пользовательском трафике.
- Оценивается производительность всего функционала (Firewall, IPS, Application Control, URL-filtering и т.д.).
- Тестируется на типовой политике, которая включает множество правил.
Check Point Appliance Sizing Tool
Таким образом при выборе подходящей модели Check Point лучше полагаться на параметр Security Power Unit. Он указывается в любом даташите на устройство. Самостоятельно рассчитать подходящий SPU для вашей сети не получится. Сделать это можно только с помощью партнера, которому доступен инструмент Check Point Appliance Sizing Tool:
Для подбора оптимального решения нужно учитывать такие параметры как:
- Ширина Интернет канала;
- Общая пропускная способность шлюза (может отличаться от Интернет канала, если вы к примеру сегментировали локальную сеть с помощью Check Point);
- Количество пользователей в сети;
- Требуемые функции (Firewall, Anti-Virus, Anti-Bot, Application Control, URL Filtering, IPS, Threat Emulation и т.д.).
Есть и более тонкие настройки, которые описывают к какому трафику будут применяться эти блейды:
После указания всех характеристик, можно получить отчет с описанием подходящих устройств:
Здесь же можно увидеть требуемое SPU (72 в нашем случае) и рекомендуемое (144). А так же сами модели с описанием их загрузки и “запаса” по трафику и блейдам. При выборе модели, всегда рекомендуется брать устройство из зеленой зоны (т.е. загрузка до 50 процентов):
Это гарантирует отсутствие проблем при пиковой нагрузке или плановом увеличении ширины канала Интернет. При выборе устройства, всегда просите партнера предоставить подобный отчет. Пример можно скачать здесь.
Старое vs Новое
Разобравшись с основным параметром, характеризующим производительность устройств, можно более подробно рассмотреть новые модели для малого и среднего бизнеса. Как было сказано выше, у Check Point есть целый сегмент — Small and Medium Enterprise (модели 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Эти устройства можно назвать обновлением старой серии 2012 года (2200, 1180, 1140, 1120). Чтобы понять ключевые отличия рассмотрим картинку ниже:
(цены указаны в GPL, без НДС и технической поддержки)
Как видно, у серии 2016 года существенно выросла производительность (SPU), а цены остались примерно на том же уровне (за исключением модели 3200). В новой линейке также появилась модель 3100, но на нее пока еще нет нотификации и ввоз в Россию запрещен! Помните об этом!
Если пересчитать стоимость одного SPU, то модель 1450 является наиболее сбалансированной. Ниже мы рассмотрим более подробно новые серии Check Point.
Схемы внедрения SMB устройств
Как видно из рисунка, для SMB устройств есть два основных сценария внедрения:
- В режиме основного шлюза. В этом случае Check Point устанавливается как устройство периметра и администрируется локально.
- Шлюз для филиала. В этом случае филиальная “железка” управляется централизованно (с помощью Management сервера) из головного офиса.
Для серий 3000 и 1400 есть некоторые особенности в каждом из режимов. Мы рассмотрим их ниже.
SMB серия 3000
На текущий момент есть две “железки” — 3200 и 3100. Как было сказано ранее, 3100 пока еще нельзя ввезти в страну. Что касается 3200, то это отличная замена старой серии 2200. На борту устройства работает полноценная версия Gaia (как R77.30, так и R80.10). В случае использования устройства как основного шлюза в малом предприятия можно рассчитывать на следующую производительность:
- Интернет канал — 50 Мбит;
- Общая пропускная способность — 300 Мбит;
- Количество пользователей — 200.
Как видите загрузка устройства в этом случае составляет 47% и это при локальном менеджменте, т.е. Standalone конфигурация (подробнее о standalone и distributed здесь). По личному опыту могу сказать, что при локальном менеджменте не рекомендуется превышать загрузку в 50%, т.к. могут появиться проблемы с управлением (будет притормаживать).
Если же устройство рассматривать как филиальное (т.е. с отдельным централизованным менеджментом) то показатели будут значительно выше. И можно уже выходить в желтую зону в сайзинге (т.е. с загрузкой от 50% до 70%). Даташит устройства можно посмотреть здесь.
SMB серия 1400
Данная серия включает сразу несколько устройств: 1490, 1470, 1450, 1430 (Логическая замена устаревших 1120, 1140 и 1180).
Несмотря на то, что это самые младшие модели Check Point, они обладают всем необходимым функционалом:
- SMB устройства можно собрать в HA кластер (Acitive/Standby);
- доступны практически все программные блейды (как на “больших” железках);
- можно управлять как локально, так и централизованно (с помощью традиционного Management Server);
- есть модификации с WiFi, ADSL и PoE;
- можно подключать 3G модемы;
- есть комплекты для крепления в стойку.
Однако стоит предупредить о некоторых ограничениях/особенностях:
- На борту устройства неполноценная Gaia, а Gaia 77.20 Embedded. Это ограничение связано с архитектурой устройств (Используются ARM процессоры). В случае локального управления (standalone), вы не сможете пользоваться привычной SmartConsole. Вместо этого есть вебинтерфейс. Ознакомиться с ним можно в этом видео:
В примере рассматривается серия 700, но она в принципе не продается в России.
- Не работает функция Threat Extraction. Только Threat Emulation. О том, что это такое, можно посмотреть здесь
- Нельзя собрать кластер в режим Load Sharing. Т.е. схитрить, купив две «дешевые» железки и распределить между ними нагрузку в кластере — не получится.
- При локальном менеджменте есть серьезные ограничения в части HTTPS инспекции.
- Не работает сканирование архивов Антивирусом.
- Нет функции DLP.
Последние пункты пожалуй самые главные ограничения о которых часто умалчивают. Для полноценной HTTPS инспекции вы будете вынуждены использовать традиционный выделенный Management сервер. В этом случае вы будете управлять устройством, как шлюзом с полноценной (почти полноценной) версией Gaia.
С другими ограничениями Gaia Embedded можно ознакомиться здесь. Обязательно ознакомьтесь с ними перед принятием решения о покупке.
Для примера рассмотрим небольшой офис со следующими параметрами:
- Интернет канал — 50 Мбит;
- Общая пропускная способность — 200 Мбит;
- Количество пользователей — 200;
- Менеджмент локальный(Web-интерфейс).
Как видно из сайзинга, с данной задачей успешно справляется модель 1490 с загрузкой в 46% (не вылезая из зеленой зоны). При выделенном менеджменте с этой задачей справится и 1470.
Даташит на устройства серии 1400 можно посмотреть здесь.
Модель 1200R
Данную модель сложно назвать SMB. Это уже решение в промышленном исполнение и возможно заслуживает отдельной статьи. Сейчас мы не будем подробно рассматривать данную модель.
Вебинар
Более подробно о SMB устройствах можно посмотреть в нашем предыдущем вебинаре:
Выводы
На мой взгляд новые SMB модели получились довольно удачными. Существенно увеличена производительность устройств при сохранении уровня цены. На счет дороговизны/дешевизны устройств рассуждать не готов, т.к. для разных компаний эти понятия сильно отличаются.
Модель 3200 я бы рекомендовал небольшим компаниям, которых интересует максимальный уровень защиты за разумные деньги. Плюс это удачный выбор для тех, кто уже привык работать с полноценной версией Gaia. Здесь также доступна версия R80.10. Когда будет получена нотификация на 3100, то ценник еще немного снизится. Для филиалов это идеальный вариант.
Устройства серии 1400 являются неплохим компромиссом и обладают наилучшим соотношением цена/качество (особенно в пересчете на цену за 1 SPU). Эти устройства отлично подходят для филиалов при ограниченном бюджете. Используя централизованный менеджмент можно управлять устройствами как обычным шлюзами с полноценной версией Gaia. Но, повторюсь, не стоит забывать об ограничениях, с которыми нужно обязательно ознакомиться.
P.S. Хотел бы поблагодарить Матвеева Алексея (компания RRC) за помощью при подготовке материала.
Автор: cooper051