Cpap sg1530 snbt rus

Время на прочтение

Относительно недавно (в 2016 году) компания Check Point презентовала свои новые устройства (как шлюзы, так и сервера управления). Ключевое отличие от предыдущей линейки — значительно увеличенная производительность.

В данной статье мы сосредоточимся исключительно на младших моделях. Опишем преимущества новых устройств и возможные подводные камни, о которых не всегда говорят. Также поделимся личными впечатлениями от их использования.

Межсетевой экран 1530 Base Appliance with SandBlast subscription package for 1 year, (CPAP-SG1530-SNBT)

Запросить «под заказ»

* Товар может отличаться от его изображения на сайте, на изображении могут быть детали, которые не входят в комплектацию товара.
Описания и изображения товара имеют информативное значение, в параметрах и комплектациях могут быть изменения или модификации производителя.
Внешний вид товара и его технические характеристики могут быть изменены производителем без предварительного уведомления.
Информация о наличии и стоимости товара не является публичной офертой, определяемой статьей 437 ГК РФ.

Информация, размещенная на сайте, в том числе наличие и стоимость оборудования, не является публичной офертой, определяемой статьей 437 ГК РФ. Наличие и стоимость товаров уточняйте по телефону.

Межсетевой экран 1530 Base Appliance with SandBlast subscription package for 1 year, (CPAP-SG1530-SNBT-RUS)

Заполняя данную форму, я принимаю условия Соглашения об использовании сайта, в том числе в части обработки и использования персональных данных

Удобное время для звонка

пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅ

пїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ, пїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅ пїЅ пїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ.

• Оформление заказов
• Оплата
• Доставка
• Контакты
• Карьера
• Поддержка

8 495 225-03-33
8 800 511-49-43

ПН-ПТ с 9:00 до 18:00
СБ-ВС — выходные дни

АНТИВИРУСЫ И БЕЗОПАСНОСТЬ

1530 Next Generation Appliance

• Артикул : CPAP-SG1530-SNBT
• Код : 0000-280005
• Обработка заказа : в рабочее время

Цена по запросу

Ключи и ссылки для загрузки персональных лицензий обычно доступны в личном кабинете уже через 3 — 5 минут после оплаты. Заказы на корпоративные продукты обрабатываются в рабочее время.  Мы рады ответить на ваши звонки с понедельника по пятницу, с 9.00 до 18.00. Информация, размещенная на сайте, не является публичной офертой, определяемой положениями статьи 437(2) ГК РФ.

Работаем: пн-пт, 9:00-18:00

3600 Base Appliance with SandBlast subscription package for 1 year

• Артикул : CPAP-SG3600-SNBT
• Код : 0000-279994
• Обработка заказа : в рабочее время

3800 Base Appliance with SandBlast subscription package for 1 year

• Артикул : CPAP-SG3800-SNBT
• Код : 0000-279995
• Обработка заказа : в рабочее время

После публикации статьи прошло уже более двух лет, модели 1400 серии на сегодняшний день убраны из продажи. Пришло время для изменений и новшеств, эту задачу CheckPoint постарался реализовать в 1500 серии. В статье мы рассмотрим модели для защиты небольших офисов или филиалов компании, будут представлены технические характеристики, особенности поставки (лицензирование, схемы управления и администрирования), коснемся новых технологий и опций.

Модельный ряд

В качестве новых SMB моделей представлены: 1530, 1550, 1570, 1570R. Ознакомиться с продуктами возможно на странице портала CheckPoint. Логически мы разделим их на три группы: офисный шлюз безопасности с поддержкой WIFI (1530, 1550), офисный шлюз безопасности с поддержкой WIFI + 4G/LTE (1570, 1550), шлюз безопасности для промышленности (1570R).

Cерия 1530, 1550

Модели имеют 5 сетевых интерфейсов для локальный сети и 1 интерфейс для выхода в Интернет, их пропускная способность 1 ГБ. Также в наличие USB-C Сonsole. Что касается технических характеристик, то DataSheet к этим моделям предлагает большое количество измеряемых параметров, мы же остановимся на наиболее важных ( по нашему мнению).

* Под Threat Prevention подразумеваются следующие запущенные блейды: Firewall, Application Control и IPS.

Модели 1530, 1550 имеют ряд функциональных возможностей:

• Gaia 80.20 Embedded перечень опций представлен в SK СheckPoint
• Лицензия Mobile Access на 100 конкурентных подключений поставляется при покупке любого из устройств. Стоит учитывать что эта особенность модельного ряда SMB NGFW, позволяющая вам экономить на отдельной покупке лицензий Mobile Access, которые не идут в комплекте при покупке других серий моделей CheckPoint.
• Возможность управлять шлюзом безопасности с помощью мобильного приложения Watch Tower (более подробно было написано в нашей статье.)

Для кого серия 1530, 1550

: данная линейка подойдет для филиальных офисов до 100 человек, обеспечивает удаленное подключение, в наличие различные способы администрирования.

Cерия 1570, 1590

Старшие модели в линейке 1500 серии обладают 8 интерфейсами для локальных подключений, 1 интерфейсов для DMZ и 1 интерфейсом для соединения Интернет (пропускная способность всех портов 1 ГБ/c). Также в наличие USB 3.0 Port и USB-C Console. Модели идут с поддержкой 4G/LTE модемов. Включена поддержка Micro-SD карт для расширения внутренней памяти устройства.

Технические характеристики представлены ниже:

Модели 1570, 1590 имеют ряд функциональных возможностей:

• Gaia 80.20 Embedded перечень опций представлен в SK.
• Лицензия Mobile Access на 200 конкурентных подключений
  поставляется при покупке любого из устройств. Стоит учитывать что эта особенность модельного ряда SMB NGFW, позволяющая вам экономить на отдельной покупке лицензий Mobile Access, которые не идут в комплекте при покупке других серий моделей CheckPoint.
• Возможность управлять шлюзом безопасности с помощью мобильного приложения Watch Tower (более подробно было написано в нашей статье).

Для кого серия 1570, 1590

: данная линейка подойдет для офисов до 200 человек, обеспечивает удаленное подключение, имеет наиболее высокие показатели среди семейства SMB.

Для сравнения показатели предыдущих моделей:

1570R

Отдельного внимания заслуживает NGFW 1570R СheckPoint. Она разработана специально для промышленной индустрии и будет интересна компаниям работающим в сфере: транспортировка, добыча полезных ресурсов (нефть, газ и т.д), производство различных продуктов.

1570R спроектирована с учетом особенностей и условий ее использования:

• безопасность периметра сети и контроль за умными устройствами;
• поддержка промышленных протоколов ICS/SCADA, наличие GPS коннектора;
• отказоустойчивость при работе в экстремальных условиях (высокая/низкая температура, осадки, повышенная вибрация).

Кроме этого выделим отдельно ряд функциональных возможностей 1570R:

• Gaia 80.20 Embedded перечень опций представлен в SK.
• Лицензия Mobile Access на 200 конкурентных подключений
  поставляется при покупке устройства. Стоит учитывать что эта особенность нового модельного ряда SMB NGFW, позволяющая вам экономить на отдельной покупке лицензий Mobile Access, которые не идут в комплекте при покупке других серий моделей CheckPoint.
• Возможность управлять шлюзом безопасности с помощью мобильного приложения Watch Tower (более подробно было написано в нашей статье)
• Автоматическое формирование политик/правил для IoT устройств, в момент их подключения в вашу локальную сеть. Правило генерируется для каждого умного устройства и разрешает только те протоколы, которые ему необходимы для корректной работы.

Управление 1500 серией

Рассмотрев технические характеристики и возможности новых устройств семейства SMB, стоит отметить что существуют различные подходы в части их управления и администрирования. Существуют следующие типовые схемы:

• Локальное управление.

  Оно как правило используется в компаниях малого бизнеса, где существует несколько офисов и отсутствует централизованное управление за инфраструктурой. К плюсам можно отнести: доступное развертывание и администрирование NGFW, возможность взаимодействовать с устройствами локально. К минусам относятся ограничения, связанные с возможностями Gaia: отсутствие уровня разделения правил, ограниченные средства мониторинга, отсутствие централизованного хранения логов.

• Централизованное управление через выделенный Management Server. Данный подход применяется в случае, когда администратор может управлять несколькими NGFW, они могут находиться на различных площадках. Преимуществом данного подхода является гибкость и контроль за общим состоянием инфраструктуры, также некоторые опции Gaia 80.20 Embedded доступны только при такой схеме.
• Централизованное управление через Smart-1 Cloud. Это новый сценарий для управления NGFW от CheckPoint. Ваш Management Server разворачивается в облачной среде, все управление происходит через Web-Интерфейс, позволяя не зависеть от ОС вашего ПК. В дополнение обслуживание сервера управления остается за специалистами CheckPoint, его производительность напрямую зависит от выбранных параметров и легко масштабируема.
• Централизованное управление через SMP (Security Management Portal). Это решение включает в себя развертывание в облаке или локально одного общего веб-портала, способного одновременно управлять до 10 000 SMB устройств.
• Возможность управления через мобильное устройство Watch Tower, доступно только после развертывания полноценного варианта управления (см. пункты 1-4). Подробно об этой функции в нашей статье.

Отметим наиболее важные на наш взгляд:

• Отсутствие возможности развернуть Mobile Access Portal. Пользователи смогут использовать Remote Access для доступа к внутренним ресурсам компании, но не будут иметь возможности подключаться на SSL-портал c вашим опубликованным приложениям.
• Не поддерживаются следующие блейды или опции: Content Awareness, DLP, Updatable Objects, SSL инспекция без категоризации, Threat Extraction, MTA c проверкой Threat Emulation, Antivirus для сканирования архивов, ClusterXL в режиме Load Sharing.

В конце статьи хотелось бы отметить, что тема NGFW решения для SMB перешла на новый уровень поддержки и взаимодействия, за счет релиза версии 80.20 Embedded достигнут баланс между опциями полноценной версии Gaia и возможностями аппаратной части оборудования для малых офисов. Мы планируем продолжать публиковать цикл обучающих статей, где будем рассматривать базовую настройку SMB-решений, тюнинг производительности и их новые опции.

Модельный ряд Check Point

Как видно из картинки, Check Point делит свои устройства на три большие категории:

• High End Enterprise and Data Center (модели 23800, 23500, 15600, 15400)
• Enterprise (модели 5900, 5800, 5600, 5400, 5200, 5100)
• Small and Medium Enterprise (модели 3200, 3100, 1490, 1470, 1450, 1430, 1200R)

При этом одной из главных характеристик является так называемый SPU — Security Power Units. Это собственная мера Check Point, которая характеризует реальную производительность устройства. Для примера давайте сравним традиционный метод измерения производительности Межсетевых экранов (Мбит/с), с “новой” методикой от Check Point (SPU).

Традиционная методика — Firewall Throughput

• Замеры осуществляются в лабораторных условиях на “искусственном” трафике.
• Оценивается производительность только функции Межсетевого экрана, без дополнительных модулей, таких как IPS, Application Control и т.д.
• Тестирования как правило проводятся с одним правилом Firewall.

Методика Check Point — Security Power

• Замеры на реально пользовательском трафике.
• Оценивается производительность всего функционала (Firewall, IPS, Application Control, URL-filtering и т.д.).
• Тестируется на типовой политике, которая включает множество правил.

Check Point Appliance Sizing Tool

Таким образом при выборе подходящей модели Check Point лучше полагаться на параметр Security Power Unit. Он указывается в любом даташите на устройство. Самостоятельно рассчитать подходящий SPU для вашей сети не получится. Сделать это можно только с помощью партнера, которому доступен инструмент Check Point Appliance Sizing Tool:

Для подбора оптимального решения нужно учитывать такие параметры как:

• Ширина Интернет канала;
• Общая пропускная способность шлюза (может отличаться от Интернет канала, если вы к примеру сегментировали локальную сеть с помощью Check Point);
• Количество пользователей в сети;

Есть и более тонкие настройки, которые описывают к какому трафику будут применяться эти блейды:

После указания всех характеристик, можно получить отчет с описанием подходящих устройств:

Здесь же можно увидеть требуемое SPU (72 в нашем случае) и рекомендуемое (144). А так же сами модели с описанием их загрузки и “запаса” по трафику и блейдам. При выборе модели, всегда рекомендуется брать устройство из зеленой зоны (т.е. загрузка до 50 процентов):

Старое vs Новое

Разобравшись с основным параметром, характеризующим производительность устройств, можно более подробно рассмотреть новые модели для малого и среднего бизнеса. Как было сказано выше, у Check Point есть целый сегмент — Small and Medium Enterprise (модели 3200, 3100, 1490, 1470, 1450, 1430, 1200R). Эти устройства можно назвать обновлением старой серии 2012 года (2200, 1180, 1140, 1120). Чтобы понять ключевые отличия рассмотрим картинку ниже:

(цены указаны в GPL, без НДС и технической поддержки)

Как видно, у серии 2016 года существенно выросла производительность (SPU), а цены остались примерно на том же уровне (за исключением модели 3200). В новой линейке также появилась модель 3100, но на нее пока еще нет нотификации и ввоз в Россию запрещен! Помните об этом!

Если пересчитать стоимость одного SPU, то модель 1450 является наиболее сбалансированной. Ниже мы рассмотрим более подробно новые серии Check Point.

Схемы внедрения SMB устройств

Как видно из рисунка, для SMB устройств есть два основных сценария внедрения:

• В режиме основного шлюза. В этом случае Check Point устанавливается как устройство периметра и администрируется локально.
• Шлюз для филиала. В этом случае филиальная “железка” управляется централизованно (с помощью Management сервера) из головного офиса.

Для серий 3000 и 1400 есть некоторые особенности в каждом из режимов. Мы рассмотрим их ниже.

SMB серия 3000

На текущий момент есть две “железки” — 3200 и 3100. Как было сказано ранее, 3100 пока еще нельзя ввезти в страну. Что касается 3200, то это отличная замена старой серии 2200. На борту устройства работает полноценная версия Gaia (как R77.30, так и R80.10). В случае использования устройства как основного шлюза в малом предприятия можно рассчитывать на следующую производительность:

• Интернет канал — 50 Мбит;
• Общая пропускная способность — 300 Мбит;

Как видите загрузка устройства в этом случае составляет 47% и это при локальном менеджменте, т.е. Standalone конфигурация (подробнее о standalone и distributed здесь). По личному опыту могу сказать, что при локальном менеджменте не рекомендуется превышать загрузку в 50%, т.к. могут появиться проблемы с управлением (будет притормаживать).
Если же устройство рассматривать как филиальное (т.е. с отдельным централизованным менеджментом) то показатели будут значительно выше. И можно уже выходить в желтую зону в сайзинге (т.е. с загрузкой от 50% до 70%). Даташит устройства можно посмотреть здесь.

SMB серия 1400

Данная серия включает сразу несколько устройств: 1490, 1470, 1450, 1430 (Логическая замена устаревших 1120, 1140 и 1180).

Несмотря на то, что это самые младшие модели Check Point, они обладают всем необходимым функционалом:

• SMB устройства можно собрать в HA кластер (Acitive/Standby);
• доступны практически все программные блейды (как на “больших” железках);
• можно управлять как локально, так и централизованно (с помощью традиционного Management Server);
• есть модификации с WiFi, ADSL и PoE;
• можно подключать 3G модемы;
• есть комплекты для крепления в стойку.

Однако стоит предупредить о некоторых ограничениях/особенностях:

• Не работает функция Threat Extraction. Только Threat Emulation. О том, что это такое, можно посмотреть здесь
• Нельзя собрать кластер в режим Load Sharing. Т.е. схитрить, купив две «дешевые» железки и распределить между ними нагрузку в кластере — не получится.
• При локальном менеджменте есть серьезные ограничения в части HTTPS инспекции.
• Не работает сканирование архивов Антивирусом.
• Нет функции DLP.

Последние пункты пожалуй самые главные ограничения о которых часто умалчивают. Для полноценной HTTPS инспекции вы будете вынуждены использовать традиционный выделенный Management сервер. В этом случае вы будете управлять устройством, как шлюзом с полноценной (почти полноценной) версией Gaia.

С другими ограничениями Gaia Embedded можно ознакомиться здесь. Обязательно ознакомьтесь с ними перед принятием решения о покупке.

Для примера рассмотрим небольшой офис со следующими параметрами:

• Интернет канал — 50 Мбит;
• Общая пропускная способность — 200 Мбит;
• Менеджмент локальный(Web-интерфейс).

Как видно из сайзинга, с данной задачей успешно справляется модель 1490 с загрузкой в 46% (не вылезая из зеленой зоны). При выделенном менеджменте с этой задачей справится и 1470.
Даташит на устройства серии 1400 можно посмотреть здесь.

Модель 1200R

Данную модель сложно назвать SMB. Это уже решение в промышленном исполнение и возможно заслуживает отдельной статьи. Сейчас мы не будем подробно рассматривать данную модель.

Вебинар

Более подробно о SMB устройствах можно посмотреть в нашем предыдущем вебинаре:

Выводы

На мой взгляд новые SMB модели получились довольно удачными. Существенно увеличена производительность устройств при сохранении уровня цены. На счет дороговизны/дешевизны устройств рассуждать не готов, т.к. для разных компаний эти понятия сильно отличаются.

Модель 3200 я бы рекомендовал небольшим компаниям, которых интересует максимальный уровень защиты за разумные деньги. Плюс это удачный выбор для тех, кто уже привык работать с полноценной версией Gaia. Здесь также доступна версия R80.10. Когда будет получена нотификация на 3100, то ценник еще немного снизится. Для филиалов это идеальный вариант.

Устройства серии 1400 являются неплохим компромиссом и обладают наилучшим соотношением цена/качество (особенно в пересчете на цену за 1 SPU). Эти устройства отлично подходят для филиалов при ограниченном бюджете. Используя централизованный менеджмент можно управлять устройствами как обычным шлюзами с полноценной версией Gaia. Но, повторюсь, не стоит забывать об ограничениях, с которыми нужно обязательно ознакомиться.

P.S. Хотел бы поблагодарить Матвеева Алексея (компания RRC) за помощью при подготовке материала.