После публикации статьи прошло уже более двух лет, модели 1400 серии на сегодняшний день убраны из продажи. Пришло время для изменений и новшеств, эту задачу CheckPoint постарался реализовать в 1500 серии. В статье мы рассмотрим модели для защиты небольших офисов или филиалов компании, будут представлены технические характеристики, особенности поставки (лицензирование, схемы управления и администрирования), коснемся новых технологий и опций.
Модельный ряд
В качестве новых SMB моделей представлены: 1530, 1550, 1570, 1570R. Ознакомиться с продуктами возможно на странице портала CheckPoint. Логически мы разделим их на три группы: офисный шлюз безопасности с поддержкой WIFI (1530, 1550), офисный шлюз безопасности с поддержкой WIFI + 4G/LTE (1570, 1550), шлюз безопасности для промышленности (1570R).
Cерия 1530, 1550
Модели имеют 5 сетевых интерфейсов для локальный сети и 1 интерфейс для выхода в Интернет, их пропускная способность 1 ГБ. Также в наличие USB-C Сonsole. Что касается технических характеристик, то DataSheet к этим моделям предлагает большое количество измеряемых параметров, мы же остановимся на наиболее важных ( по нашему мнению).
Характеристики |
1530 |
1550 |
Максимальное количество соединений в сек |
10 500 |
14 000 |
Максимальное количество конкурентных соединений |
500 000 |
500 000 |
Пропускная способность при Firewall + Threat Prevention (Мбит/C) |
340 |
450 |
Пропускная способность при Firewall + IPS (Мбит/C) |
600 |
800 |
Пропускная способность Firewall (Мбит/C) |
1000 |
1000 |
* Под Threat Prevention подразумеваются следующие запущенные блейды: Firewall, Application Control и IPS.
Модели 1530, 1550 имеют ряд функциональных возможностей:
- Gaia 80.20 Embedded перечень опций представлен в SK СheckPoint
- Лицензия Mobile Access на 100 конкурентных подключений поставляется при покупке любого из устройств. Стоит учитывать что эта особенность модельного ряда SMB NGFW, позволяющая вам экономить на отдельной покупке лицензий Mobile Access, которые не идут в комплекте при покупке других серий моделей CheckPoint.
- Возможность управлять шлюзом безопасности с помощью мобильного приложения Watch Tower (более подробно было написано в нашей статье.)
Для кого серия 1530, 1550: данная линейка подойдет для филиальных офисов до 100 человек, обеспечивает удаленное подключение, в наличие различные способы администрирования.
Cерия 1570, 1590
Старшие модели в линейке 1500 серии обладают 8 интерфейсами для локальных подключений, 1 интерфейсов для DMZ и 1 интерфейсом для соединения Интернет (пропускная способность всех портов 1 ГБ/c). Также в наличие USB 3.0 Port и USB-C Console. Модели идут с поддержкой 4G/LTE модемов. Включена поддержка Micro-SD карт для расширения внутренней памяти устройства.
Технические характеристики представлены ниже:
Характеристики |
1570 |
1590 |
Максимальное количество соединений в сек |
15 750 |
21 000 |
Максимальное количество конкурентных соединений |
500 000 |
500 000 |
Пропускная способность при Threat Prevention (Мбит/C) |
500 |
660 |
Пропускная способность при Firewall + IPS (Мбит/C) |
970 |
1300 |
Пропускная способность Firewall (Мбит/C) |
2800 |
2800 |
Модели 1570, 1590 имеют ряд функциональных возможностей:
- Gaia 80.20 Embedded перечень опций представлен в SK.
- Лицензия Mobile Access на 200 конкурентных подключений
поставляется при покупке любого из устройств. Стоит учитывать что эта особенность модельного ряда SMB NGFW, позволяющая вам экономить на отдельной покупке лицензий Mobile Access, которые не идут в комплекте при покупке других серий моделей CheckPoint. - Возможность управлять шлюзом безопасности с помощью мобильного приложения Watch Tower (более подробно было написано в нашей статье).
Для кого серия 1570, 1590: данная линейка подойдет для офисов до 200 человек, обеспечивает удаленное подключение, имеет наиболее высокие показатели среди семейства SMB.
Для сравнения показатели предыдущих моделей:
Характеристики |
1470 |
1490 |
Пропускная способность при Threat Prevention + Firewall (Мбит/C) |
500 |
550 |
Пропускная способность при Firewall + IPS (Мбит/C) |
625 |
800 |
1570R
Отдельного внимания заслуживает NGFW 1570R СheckPoint. Она разработана специально для промышленной индустрии и будет интересна компаниям работающим в сфере: транспортировка, добыча полезных ресурсов (нефть, газ и т.д), производство различных продуктов.
1570R спроектирована с учетом особенностей и условий ее использования:
- безопасность периметра сети и контроль за умными устройствами;
- поддержка промышленных протоколов ICS/SCADA, наличие GPS коннектора;
- отказоустойчивость при работе в экстремальных условиях (высокая/низкая температура, осадки, повышенная вибрация).
Характеристики NGFW |
1570 Rugged |
Максимальное количество соединений в сек |
13 500 |
Максимальное количество конкурентных соединений |
500 000 |
Пропускная способность при Threat Prevention (Мбит/C) |
400 |
Пропускная способность при Firewall + IPS (Мбит/C) |
700 |
Пропускная способность Firewall (Мбит/C) |
1900 |
Рабочие условия применения |
-40?C ~ 75?C (-40?F ~ +167?F) |
Cертификаты на прочность |
EN/IEC 60529, IEC 60068-2-27 shock, IEC 60068-2-6 vibration |
Кроме этого выделим отдельно ряд функциональных возможностей 1570R:
- Gaia 80.20 Embedded перечень опций представлен в SK.
- Лицензия Mobile Access на 200 конкурентных подключений
поставляется при покупке устройства. Стоит учитывать что эта особенность нового модельного ряда SMB NGFW, позволяющая вам экономить на отдельной покупке лицензий Mobile Access, которые не идут в комплекте при покупке других серий моделей CheckPoint. - Возможность управлять шлюзом безопасности с помощью мобильного приложения Watch Tower (более подробно было написано в нашей статье)
- Автоматическое формирование политик/правил для IoT устройств, в момент их подключения в вашу локальную сеть. Правило генерируется для каждого умного устройства и разрешает только те протоколы, которые ему необходимы для корректной работы.
Управление 1500 серией
Рассмотрев технические характеристики и возможности новых устройств семейства SMB, стоит отметить что существуют различные подходы в части их управления и администрирования. Существуют следующие типовые схемы:
- Локальное управление.
Оно как правило используется в компаниях малого бизнеса, где существует несколько офисов и отсутствует централизованное управление за инфраструктурой. К плюсам можно отнести: доступное развертывание и администрирование NGFW, возможность взаимодействовать с устройствами локально. К минусам относятся ограничения, связанные с возможностями Gaia: отсутствие уровня разделения правил, ограниченные средства мониторинга, отсутствие централизованного хранения логов.
- Централизованное управление через выделенный Management Server. Данный подход применяется в случае, когда администратор может управлять несколькими NGFW, они могут находиться на различных площадках. Преимуществом данного подхода является гибкость и контроль за общим состоянием инфраструктуры, также некоторые опции Gaia 80.20 Embedded доступны только при такой схеме.
- Централизованное управление через Smart-1 Cloud. Это новый сценарий для управления NGFW от CheckPoint. Ваш Management Server разворачивается в облачной среде, все управление происходит через Web-Интерфейс, позволяя не зависеть от ОС вашего ПК. В дополнение обслуживание сервера управления остается за специалистами CheckPoint, его производительность напрямую зависит от выбранных параметров и легко масштабируема.
- Централизованное управление через SMP (Security Management Portal). Это решение включает в себя развертывание в облаке или локально одного общего веб-портала, способного одновременно управлять до 10 000 SMB устройств.
- Возможность управления через мобильное устройство Watch Tower, доступно только после развертывания полноценного варианта управления (см. пункты 1-4). Подробно об этой функции в нашей статье.
Отметим наиболее важные на наш взгляд:
- Отсутствие возможности развернуть Mobile Access Portal. Пользователи смогут использовать Remote Access для доступа к внутренним ресурсам компании, но не будут иметь возможности подключаться на SSL-портал c вашим опубликованным приложениям.
- Не поддерживаются следующие блейды или опции: Content Awareness, DLP, Updatable Objects, SSL инспекция без категоризации, Threat Extraction, MTA c проверкой Threat Emulation, Antivirus для сканирования архивов, ClusterXL в режиме Load Sharing.
В конце статьи хотелось бы отметить, что тема NGFW решения для SMB перешла на новый уровень поддержки и взаимодействия, за счет релиза версии 80.20 Embedded достигнут баланс между опциями полноценной версии Gaia и возможностями аппаратной части оборудования для малых офисов. Мы планируем продолжать публиковать цикл обучающих статей, где будем рассматривать базовую настройку SMB-решений, тюнинг производительности и их новые опции.
Большая подборка материалов по Check Point от TS Solution. Следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).
rezdm
Чего б сразу ценник, +- лапоть, не написать?
Notes
Да с учетом что даже старая серия будет по дороже FortiGate, есть ли смысл? Тем более FG сертифицирован ФСТЭК, что для некоторых критично в выборе МЭ.
DimaIceberg
Некоторые версии CheckPoint тоже сертифицированы ФСТЭК
cooper051
Если +-, то от 600$ до 3000$. Старшая модель (1590) юзеров 200 смело вытянет.