Преимущества централизованной безопасности Check Point перед сетевыми конкурентами

    На написание этой статьи меня натолкнуло обсуждение в комментариях Установка и первоначальная настройка Check Point R75. Чем же многофункциональный шлюз безопасности Check Point превосходит своих именитых конкурентов Cisco, Juniper, PaloAlto и др.?
    Сильных сторон у данного решения множество, главным из которых, на мой взгляд, является система централизованного управления политикой ИТ-безопасности с единой консоли администратора:





    Для начала, краткий экскурс в Check Point.


    Исторически, это первый межсетевой экран использовавший технологию Stateful Inpection (отслеживание состояния сессии). Check Point предлагал программные продукты для установки на x86-совместимые сервера/Sparc-сервера/Nokia-платформу (собственно, это отражено в названии компании Check Point Software Technologies), а с 2007 года в линейке появились и аппаратные шлюзы с предустановленной операционкой и ПО безопасности. Та же участь постигла и систему управления SmartCenter – она доступна как в программном виде, так и в виде аппаратных Smart-1 устройств.

    С апреля 2012 года операционной системой на всех платформах является Gaia, результат объединения возможностей SPLAT (Secure PLATform Check Point, RHEL-based) и поглощения Nokia-бизнеса с ее IPSO-операционкой и IP-Appliance железом.
    Оборудование для малых офисов/филиалов UTM-1 Edge и Safe@Office использует другую, упрощенную, прошивку и специализированное железо.

    Весь функционал Check Point лицензионно делится на Security Blades и Management Blades, сигнатурные блейды безопасности (IPS, antivirus, antispam, URL-filtering, application control, DLP) требуют ежегодного продления подписки. Еще есть отдельная ветка Endpoint Security (Full Disk Encryption, Port Protection and media encryption, FW + AV + etc), но не об этом сейчас.

    Централизованное управление и масштабируемость


    Вне зависимости от размера сети заказчика и количества филиальных офисов управление всеми шлюзами безопасности происходит с единой точки – сервера SmartCenter, часть интерфейса которого приведена выше. Система управления трехзвенная: администратор с установленной SmartConsole подключается к SmartCenter, а SmartCenter раздает шлюзам политики и собирает логи.
    И вот киллер-фича: администратор прописывает политику безопасности без обязательной привязки к конкретным шлюзам безопасности!



    Это достигается за счет того, что SmartCenter автоматически генерирует и рассылает политики (Policy Package) на шлюзы безопасности исходя из данных об интерфейсах и топологии сетей, находящихся за каждым шлюзом безопасности. А топологию определяет администратор в свойствах шлюза безопасности:



    Наличие единой базы сетевых объектов предприятия (сети, ноды, группы объектов, пользователи из LDAP-каталога) и единой целостной политики безопасности повышает читаемость политики, уменьшает ошибки вызванные человеческим фактором. Управление с графического интерфейса без необходимости конфигурации настроек в командной строке на каждом из интерфейсов на порядок уменьшает количество рутинной работы.

    В случае расширения количества филиалов, в сервер управления SmartCenter необходимо подключить новые шлюзы безопасности (создать сетевые объекты и установить с ними защищенное подключение SIC – secure internal communication). Дальше можно устанавливать политику как обычно – сервер сгенерирует Policy Package и для них.

    Настройка site-to-site VPN туннелей между филиалами



    Настройка VPN между филиалами также происходит централизованно и в несколько кликов:
    1. Создать новое VPN-сообщество с определенной топологией (звезда или полносвязная), указать какие шлюзы участвуют в этом «VPN community»:
    2. Определить у каждого из шлюзов в свойствах их «VPN Domain», т.е. сети, трафик которых должен автоматически шифроваться. По умолчанию это все сети, находящиеся за шлюзом исходя из его Topology information, но можно указать их и вручную:
    3. Уточнить в правиле фаервола («откуда-куда-вид трафика-действие») тип трафика конкретным VPN-сообществом:
    4. Установить политику (Install Policy). Всё, мы настроили Site-to-Site VPN!


    Благодаря столь удобной настройке VPN (а также инструментарию SmartProvisioning для управления множеством однотипных шлюзов на основе шаблонов) решения Check Point используются для защиты больших филиальных сетей и банкоматного трафика в частности. Так, в Украине один из банков успешно эксплуатирует 3000 банкоматов по вышеприведенной схеме централизованного управления.

    Корреляция событий безопасности (встроенная SIEM-система SmartEvent) и просмотр логов


    Наличие централизованного управление имеет еще одно преимущество – все события безопасности (логи) собираются и обрабатываются централизованно. Администратору доступны 3 инструмента работы с логами:
    1. SmartView Tracker для классического отображения всех событий в виде таблицы, а также по фильтру источника-блейда, сгенерировавшего лог (будь до фаервол, антивирус или IPS-отражение атаки).



    2. SmartLog для оперативной выборки по интересующим фильтрам, используя преимущества индексации базы логов – выдача результатов происходит практически мгновенно.



    3. SmartEvent для корреляции (группировки) событий безопасности от всех блейдов на единой шкале времени. Этот инструмент позволяет отследить комплексные атаки и тенденции, может по праву считаться диспетчерским пунктом безопасника – сразу видна опасность (степень важности событий) и интенсивность (количество срабатываний) текущих нарушений. Удобен и механизм «drill down» — администратор двигается от общей информации (например, 5 событий безопасности) к частной (3 события IPS, 1 событие DLP и 1 событие антивируса), а потом и к детальной – по какой именно сигнатуре IPS произошло срабатывание, каков механизм сигнатуры и атаки.



      И при двойном клике на группе из 8 событий в верхнем ряду получаем детальное описание:




    Маркетинговые аргументы


    Check Point был и остается вендором, 100% сконцентрированным на ИТ-безопасность. На данный момент его продуктами пользуются все 500 компаний из списка Fortune 500.
    Ежегодные аналитические обзоры Gartner Quadrant также подтверждают лидирующие положение на рынке Enterprise Network Firewall (декабрь 2011) и Unified Threat Management (март 2012):



    В качестве заключения


    Конечно же, идеальных подходов к ИТ-безопасности не существует. Данная статья не ставит целью начало холивара «кто лучше», ее цель — это указание сильных сторон Check Point-решений, возможно для кого-то именно они окажутся решающими при выборе шлюза периметральной защиты сети.

    P.S. Скриншоты интерфейса системы управления сделаны на основе демо-данных (сетевые объекты, правила, логи). Ознакомиться можно и самостоятельно — для этого необходимо скачать полноценную консоль управления SmartConsole (зеркало, оф.сайт), установить ее и запустить в режиме «демо».



    МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание
    МУК 70,48
    Компания
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 50
      +10
      Извините, но на мой взгляд статья вообще не соответствует названию.
      Из неё я не увидел ни одного преимущества перед продуктами Cisco кроме сомнительной «системы централизованного управления политикой ИТ-безопасности», которая к слову есть и у тойже Сisco
        +1
        Верю, что по скриншотам силу централизованной системы управления не оценить — но сравните хотя бы легкость множественной настройки (и подстройки, если понадобится) VPN-туннелей с филиалами (например, если их 50-100 штук).
        Ну а чтобы убедиться окончательно, тут только живое тестирование подойдет.
          +7
          Я верю в силу централизованной системы управления, верю.
          Но я не могу считать это преимуществом продуктов CheckPoint пере cisco\juniper.
          Наверное и надо было статью так назвать — «Обзор централизованной системы управления CheckPoint»
            +1
            сравните хотя бы легкость множественной настройки (и подстройки, если понадобится) VPN-туннелей с филиалами (например, если их 50-100 штук).

            50-100 штук — это еще мало. А когда много сотен? Или много тысяч? Динамический роутинг гоняет? В многоуровневую иерархию выстраивается? Динамические туннели строит? А резервирование либо размазывание нагрузки по нескольким каналам? А MPLS (кому-то надо)?

            В маленьких филиалах stateful файрвол не требуется. Зато нужен чертовски гибкий VPN, плюс куча других мелких сервисов вроде той же телефонии на случай аварии на всех каналах.
              0
              Как писал выше, есть реально работающий коммерческий проект на 3000 шлюзов с VPN, большего числа шлюзов Check Point пока не встречал. По моим данным, производительные системы также используются во всех телекомах Украины, но тут, увы, без технических подробностей.

              Поддержка динамической маршрутизации, route-based VPN, конечно же, имеется. Отказоустойчивость по схеме Active-Standby или Load Sharing на выбор.

              Ни в коем случае не хотел приуменьшить сильных сторон той же Cisco — а у нее все компоненты в единую красивую схему выстраиваются, дополняя друг друга. В этом плане Check Point лишь периметральный шлюз с достойными возможностями, но никак не замена всей сетевой инфраструктуры.
                0
                есть реально работающий коммерческий проект на 3000 шлюзов с VPN

                Банкоматы. Это никакой не site-to-site, скорее remote access. Там легко обойтись и софтовым клиентом.
                Поддержка динамической маршрутизации, route-based VPN, конечно же, имеется.

                Какие протоколы?
                В этом плане Check Point лишь периметральный шлюз с достойными возможностями, но никак не замена всей сетевой инфраструктуры.

                Конечно не замена :) Но я хочу понять, каковы его преимущества в качестве периметрового шлюза.
                  0
                  В банкоматах можно использовать Remote Access (софтовые клиенты или железо в этом режиме), но у нас 2 крупных банка решили именно по схеме site-to-site строить на железе.

                  Поддерживаются динамические протоколы маршрутизации BGP4, OSPF, RIPv1, RIPv2.

                  Для настройки Routing-based VPN используются VTI (VPN Tunnel Interfaces).
                    0
                    у нас 2 крупных банка решили именно по схеме site-to-site строить на железе.

                    Только это все равно не имеет ничего общего с подключением филиала.
                    Поддерживаются динамические протоколы маршрутизации BGP4, OSPF, RIPv1, RIPv2.

                    Для настройки Routing-based VPN используются VTI (VPN Tunnel Interfaces).
                    Вот, уже другое дело.
                    QoS? Динамические туннели между филиалами по мере надобности без предварительной настройки (есть у Juniper, Cisco, HP и кучи других вендоров)? Крупная современная филиальная сеть на сотни/тысячи узлов немыслима без возможности прямой передачи данных между двумя удаленными узлами.

                    Ну и: есть ли заказчики, разворачивающие хотя бы средних размеров (от 100 хостов) филиальную сеть (не банкоматы) на решениях Check Point? Можно без имен, полагаюсь на вашу честность :)
                      0
                      QoS присутствует. Можно указывать гарантированную полосу под правило, максимальный лимит, количество подключений. А кроме того, есть относительный «вес» — трафик по конкретному правилу не получит более чем Вес/сумма_всех_весов.

                      Возможно ограничение полосы пропускания в правилах по конкретным приложениям, типам приложений (YouTube, streaming, torrents и прочее). Кстати, полноту базы Application Control можно оценить онлайн appwiki.checkpoint.com/appwikisdb/public.htm

                      Про динамические туннели точно ответить не могу, не имел опыта настройки. Но если речь о возможности передачи трафика из Филиала_А в Филиал_Б минуя центр — такая возможность в руках админа: если VPN-community настроено как Star Topology и в его свойствах прописана возможность соединения филиалов напрямую (на четвертом скриншоте справа последний пункт).

                      Касательно крупных заказчиков: практически все крупные проекты автоматом строятся на сетеобразующем оборудовании (читай Cisco в нашей стране), вопросы безопасности поднимаются позже архитектурных и интегратор прицепом к основному проекту предлагает и безопасность на том же вендоре.
                      Из конкретики Check Point могу упомянуть сеть магазинов бытовой техники MegaMax — там 40 филиалов использовали UTM-1 Edge, а в центре использовался кластер старших устройств.
                        0
                        Админю сейчас сетку, во всех филиалах Чекпойнты.
                        Суммарно около 70 объектов (пополам эджи и сплаты).

                        Так что заказчики есть. :)
              0
              Тоже не особо увидел преимуществ. Инструменты мониторинга и отчеты у чекпоинта действительно прекрасные, это факт. Но cisco security manager уже тоже кое что из этого тоже умеет. За ждунипер не могу сказать. Циско довольно гибкие продукты, с чекпоинтом это скорее on/off. Сам наблюдал как некорректные пакеты с ldaps сервера на windows свободно проходили через чекпоинт, но их дропала циска как не соответствующие требованиям протокола. Не страшно, но на чекпоинте я бы этот баг ловил очень долго.
              Опять же чекпоинт это только ipsec, хоть смарт центр и избавляет от головняка с full и partial mesh конфигурациями фактически генеря огромные конфиги, которые на циско будет невозможно контролировать. Но у циско, например, есть GET. Насколько я знаю у чекпоинта ему замены нет.

              Самое безумное в чекпоинте — невозможность скопировать правила из смарт консоли. В CSM это делается элементарно и получается вполне читаемый excel файл, из чекпоинта же их можно забрать только 3rd party скриптом в крайне уродливый html, приходится чуть ли ни в ручную перепечатывать.
                0
                Но статья интересная в любом случае.
                  +1
                  Спасибо за доброе слово)
                  Это моя первая статья, проба пера, так сказать. На будущее постараюсь учесть замечания хабрасообщества.
              +1
              Пожалуй, продублирую еще раз полезные ссылки — если необходима будет более подробная техническая информация, в том числе и для траблшутинга:

              1. Официальные сайты checkpoint.com, rus.checkpoint.com (ну и само собой, внутренний портал supportcenter.checkpoint.com)
              2. Официальный форум www.cpshared.com
              3. Неофициальный форум www.cpug.org
              4. Блоги умных людей blog.lachmann.org, checkpoint-master-architect.blogspot.com, fireverse.org, chkp.delai.biz, blog.nigmatullin.net, checkpointdblink.blogspot.com, expert-mode.blogspot.ca, blog.lachmann.org

              А вот эта педантичный немецкий интегратор по полочкам разложил актуальные версии ПО и общую информацию www.fw-1.de/aerasec/
                0
                Настройка site-to-site VPN туннелей

                А что за VPN? Есть куча реализаций. Надеюсь, не голый IPSec?
                  0
                  Здесь речь идет о site-to-site VPN по IPsec между шлюзами Check Point. Сервер управления содержит встроенный центр сертификатов и выдает сертификаты шлюзам при инициализации SIC-соединения. В дальнейшем он следит за валидностью этих сертификатов и обновляет их по истечению срока действия. Уточните, пожалуйста, что Вы имеете ввиду под «голым IPsec»?

                  Есть большой кусок функционала по удаленному доступу пользователей (Mobile Access Blade). Там возможны различные сценарии доступа пользователей:
                  1. Через предустановленный IPsec клиент.
                  2. Безклиентский доступ — трансляция в HTTPS портал интерфейсов почты, файл-шары, интранет портала и части приложений.
                  3. Скачивание и доступ к сети через легкий SSL-клиент.
                  4. Доступ к офисным ресурсам с криптозащищенной флешки Check Point GO (Global Office, производства SunDisk) и предустановленным VPN-клиентом в окружение.
                  5. Доступ с мобильных устройств Android, iOS.
                    0
                    Уточните, пожалуйста, что Вы имеете ввиду под «голым IPsec»?

                    Именно то, что у вас задействовано. Без инкапсуляции L2. В случае крупных внедрений противопоказано.
                    Там возможны различные сценарии доступа пользователей

                    Это уже remote access, другой разговор. И да, все давно поддерживают SSL VPN и много чего другого.
                      0
                      Если я правильно понял, под голым IPsec имеется в виду реализация согласно RFC, тот же IKE (rfc 2409), ESP (RFC 4303) и т.д. CheckPoint и та же Cisco в своих реализация VPN на основе IPsec не изменяет заголовки 2-го уровня, максимум, что может быть изменено так это IP заголовок, но и то, только в тунельном режиме (tunnel mode).

                      Касательно удаленного доступа (remote access) Вы правы, многие крупные вендоры поддерживают данный тип VPN (имеется в виду SSL VPN, как через клиента, так и без). Тут особых уникальностей нет, разве что уже упомянутые выше флешки GO с аппаратным шифрованием и предустановленным защищенным рабочим местом и VPN-клиентом, ну и управление всеми клиентами и политиками, опять-таки, с единой консоли централизованного управления.
                        0
                        Под «голый VPN» я понимаю именно отсутствие туннелирования поверх него. И следующая из этого неработоспособность работающих поверх L2 протоколов.

                        Лучшая реализация client access VPN — это Direct Access. Но есть у нее один недостаток — чрезмерная костыльность настройки серверной стороны в IPv4 сети.
                          0
                          На cisco vpn-ы тоже забавные, этот ssl там тоже пока довольно уродливый. Серию vpn концентраторов циска свернула в пользу asa.
                      0
                      Голый айписек. А что с ним не так? Все на нем работает, так или иначе, и это отраслевой стандарт как никак. Ограничений масса, это правда.
                        0
                        Все на нем работает

                        Поверх него работают только две вещи: статическая маршрутизация (разумеется, это недопустимо) либо GRE/IPIP/какое-либо-еще туннелирование.
                          0
                          Я вас понял, под «все» я имел в виду что обычно site-to-site и ra так или инвче на ipsec. Ssl тоже тот еще костыль, в этом мире рулит citrix. L2tp и тп немного другого уровня вещи.
                            0
                            под «все» я имел в виду что обычно site-to-site и ra так или инвче на ipsec.

                            Не изображайте из себя идиота. Я выше раз 5 объяснил, что имеется в виду. Причем очень даже понятно объяснил.
                              0
                              Давайте-ка повежлевее, а? Умного сильно строить из себя тут не надо, обойдемся.
                                0
                                Чесслово, задолбало одно и то же копипастить. Возникло ощущение, что вы надо мной просто издеваетесь. Если нет, то приношу свои извинения и поясняю.
                                L2TP традиционно используется либо для создания L2 транспорта внутри своей сети (без IPSec), либо для создания L2 транспорта поверх интернета (тогда он шифруется IPSec, ибо сам по себе L2TP никакой защиты не имеет).
                                Голый IPSec не инкапсулирует L2, потому по нему не может работать ни один протокол маршрутизации кроме разве что BGP. Делать статические маршруты и руками прописывать crypto ACL — вообще не вариант.
                                Все нормальные реализации site-to-site VPN задействуют GRE инкапсуляцию поверх IPSec — захватывая и L2 заголовки. При этом полноценно работает динамический роутинг, с массой дополнительных плюшек в виде удобства настройки (цискина реализация DMVPN позволяет копипастить вообще без изменений одну и ту же конфигурацию crypto на все узлы) и скорости перемаршрутизации при аварии.
                                  0
                                  Не думал я даже ни о каких издевках, извините если чего недоглядел. За пояснение спасибо, но в общем то первого было достаточно. Ограничения я все эти прекрасно знаю. Вы похоже смотрите на это с немного другой точки зрения, больше с r&s так сказать, где он действительно выглядит немного странно и создает кучу сложностей. Мне же нативный ipsec кажется вполне общепринятым решением, с учетом разумеется упомянутых ограничений.
                                  Часто его достаточно. Статический роутинг, конечно, отстой, но вполне можно и с ним жить. Я работал с сетью порядка 200 сайтов, все жило на статике и динамический роутинг только добавил бы проблем, но там требования позволяли и адресация была нормально продумана, и проста до безобразия.
                                  L2 vpn думаю нужен бывает не так часто как L3, mpls там в помощь. Честно не сталкивался с такой необходимостью пока, хотелки были, когда сталкивались с немаршрутизируемыми протоколами типа DNP3, но находились менее радикальные и гораздо более простые решения. Dmvpn все хорошо, но роутинг там еще круче становится, особенно когда dual hub — dual dmvpn, это может быть вешалка почище full mesh и crypto acl… Get хорошо, но требует приватной адресации. Опять же mpls тут красивее всего, но это нужен оператор большой и правильный. Насчет чекпоинта — он избавляет от необходимости спаривать сайты для full mesh, он делает это сам. На циско получившийся конфиг был бы слишком пугающим, у CP же его не видно просто.
                                  Вообще не в L2 проблема то динамических протоколов, а в отсутствии поддержки мультикаста в классическом ipsec, что и исправляет gre. QoS туда же. Вообще говоря, L2 через сайты таскать без острой необходимости то скорее плохо, чем хорошо, и IP адресация практически всегда тоже к сайтам привязана. В плане RA я вообще не вижу зачем там что то еще надо, для этого можно и нужно маршрутизацию продумать и динамика там просто не нужна вообще.
                                  Надеюсь недоразумение закрыто. Случаи разные бывают, но все свои решения. Еще раз извиняюсь ежели чем задел.
                                    0
                                    Мне же нативный ipsec кажется вполне общепринятым решением, с учетом разумеется упомянутых ограничений.

                                    Невозможность мультикаста. Множество специфичных для каждого бранча телодвижений. Невозможность динамических туннелей.
                                    Мне же нативный ipsec кажется вполне общепринятым решением

                                    Все давно с него толпами валят.
                                    L2 vpn думаю нужен бывает не так часто как L3

                                    Внутри компании? Да, реже.
                                    (если развернут MPLS — целесообразность L2TP близка к нулю, ибо есть ATOM/VPLS)
                                    роутинг там еще круче становится, особенно когда dual hub — dual dmvpn, это может быть вешалка почище full mesh и crypto acl…

                                    Почему? Он прекрасно скейлится до (десятков) тысяч споков.
                                    mpls тут красивее всего, но это нужен оператор большой и правильный

                                    Сливать внутренние маршруты оператору — то, чего лучше всеми силами избегать. Так что все равно по IPVPN сетям строят свои оверлеи, тот же DMVPN к примеру. Можно даже без шифрования. А GETVPN очень мало кто использует.
                                    Насчет чекпоинта — он избавляет от необходимости спаривать сайты для full mesh, он делает это сам. На циско получившийся конфиг был бы слишком пугающим

                                    DMVPN? Да ну? Вообще-то там на хабах размер конфигурации совершенно одинаков что с одним споком, что с тысячью. На каждом споке конфигурация крипто одинакова (под копирку, если получать туннельные адреса с хаба) и тоже не зависит от наличия/отсутствия других споков. Туннели между споками поднимаются сами по мере надобности — фактически, вот он, full mesh. С конфигом под 20 строк на каждом из узлов. Без необходимости что-либо менять в течение многих лет.
                                    Вообще не в L2 проблема то динамических протоколов, а в отсутствии поддержки мультикаста в классическом ipsec

                                    Любая динамика умеет стыковаться юникастом. Но — на расстоянии одного хопа. За исключением BGP. Это не проблема, а разумное поведение.
                                    Вообще говоря, L2 через сайты таскать без острой необходимости то скорее плохо, чем хорошо

                                    Конечно. Но L2 соединяет лишь два узла-маршрутизатора. Проблем не вижу, кроме оверхеда (несущественно). Понятно, что объединять по L2 VLANы — чертовски паршивая затея, но никто этого и не предлагает.
                                      0
                                      «Сливать внутренние маршруты оператору — то, чего лучше всеми силами избегать. Так что все равно по IPVPN сетям строят свои оверлеи, тот же DMVPN к примеру. Можно даже без шифрования. А GETVPN очень мало кто использует.»

                                      Можете чуть развернутей? Жили одно время через операторский IP VPN со своим DMVPN, но большие люди навязали BGP с операторами. Аргументы не принимались. Сейчас стали все чаще проявляться траблы, когда BGP-сессия жива, нехт хоп доступен, анонсы получаем/отправляем но дальше на каналах затык. Как результат — нет переключения на резернвые каналы (другой оператор).
                                        0
                                        Так IP VPN тоже вполне может подразумевать BGP с операторами. Например, единичные сети все-таки стоит анонсировать им — для прямого доступа к внешним физическим интерфейсам.

                                        А на самом деле с DMVPN отслеживать живость каналов проще простого. EIGRP (или OSPF) нашел нейбора? Канал жив. NHRP видит пира? Канал жив.

                                        И да, проблема «анонс есть, коннективити нема» встречается куда чаще, чем хотелось бы.
                                          0
                                          Да это понятно, что интерконнекты можно через какую-то динамику. Имел в виду, что полностью внутренняя адресация им отдается. Все резервирование на этом построено.
                                            0
                                            Ну тогда можно настроить IP SLA на центральных железках, и на него завязать статический маршрут. Но это не поможет обратному трафику, от спока к хабу.

                                            «большие люди навязали BGP с операторами. Аргументы не принимались.» — ну так все-таки кто мешает продолжать обмениваться частью маршрутов по BGP, но при этом поверх IPVPN поднять DMVPN без шифрования? Можно извернуться и сделать так, что пока хоть один mGRE туннель до спока жив — общение с центром будет идти только по нему, иначе — прямой маршрутизацией.
                                              0
                                              Тут распределенная сеть филиальная. Всех я к этому не сподвигну (да и сам нарушу политику по большому счету). Если другие регионы все мои сети за счет BGP не увидят — я с ними потеряю связь. Можно замутить DMVPN с прочувствовавшими проблему — но как-то тогда это не красиво, не единое, лоскутное решение. А связь нужна со всеми.
                                                0
                                                Так пусть BGP будет как сейчас везде, но одновременно с этим там, где возможно — IGP поверх DMVPN. С AD поиграться, чтобы маршрут IGP был предпочтительнее, чем маршрут eBGP.
                                        0
                                        DMVPN был крайне удобен еще тем, что ему без разницы — IP VPN или IPSEC/GRE через инет, запас прочности был больше.
                        0
                        Вопрос от человека с CP работающего:
                        А вот интересно, как у вас настроен и работает VPN от этих 3000 банкоматов, учитывая, что CheckPoint умеет обрабатывать VPN трафик только одним процессорным ядром, что дает очень жесткий потолок производительности, и кластеризация тут никак не помогает?
                          0
                          Увы, подробностей не знаю. О проблемах с производительностью у данного заказчика не слышал, а вот о чем они реально переживают и планируют использовать — так это Multiple Entry Point, т.е. использование нескольких кластеров для возможности терминирования VPN-туннелей от банкоматов, если один из кластеров откажет или откажет канал(ы) связи с ним.
                            0
                            Включите CoreXL.

                            CoreXL leverages the power of Intel's multi-core CPU's to dramatically accelerate the traffic throughput rate of the VPN-1 Power.

                            Правда, тогда без Route-based VPN.
                            +4
                            работаю в крупном провайдере. за несколько лет стооооооолько наелись этих чекпоинтов по всей европе, жуть просто. возвращаемся на циско. один апдейт чего стоит: процедура на 2 листа А4, в 70-80% случаев не идет и есть куча фиксов для этой процедуры, часто приходится восстанавливать с нуля…

                            еще из минусов:
                            1) гуи медленный, консоли нет почти
                            2) ВПН хитро суммаризует роуты, с циской дружит плохо. приходится лезть в глубокий файлик и там править
                            3) была проблема с одним приложением, решилось установкой ВЫКЛЮЧЕННОГО IPS. чекпоинт даже предоставил лицензию, признав баг
                            4). Дебаг неинформативен, часто приходится запускать кернел дебаг, который на загруженной машине часто ее роняет
                            5). на SC часто повисает основной процесс, приходится рестартовать файерволл

                            я могу долго продолжать…
                              0
                              Если уж переходить с CP, то на Stonesoft. На мой взгляд, лучшие на данный момент. Тот же апдейт выполняется на горячую в пару кликов без остановки сервисов, например. Вообще архитектурно хорошо продуманная штука.
                                0
                                А не приходилось ли с PaloAlto работать? Мощную рекламную кампанию устроили (даже в YouTube баннеры были), да и технологически purpose-built hardware и однопроходная фильтрация заманчиво звучат.
                                  0
                                  Приходилось, и курсы заканчивал по ним. Краткий вердикт — не фонтан. Начиная с интерфейса (адовый ад), заканчивая производительностью в реальном мире, а не на буклетах. Да что там говорить, даже заявленная функция Active-Active Cluster во-первых настраивается через часа два, так еще и суммарная производительность двух (а это максимум, что оно умеет) железок в Active-Active кластере меньше, чем одной такой же железки, если она стоит сама по себе отдельно. У них почти все функции сделаны «чтобы было что написать в рекламном буклете», а не для реальной жизни. Единственное преимущество — у них есть сигнатуры для специфичных протоколов SCADA-сетей. Но это уже довольно узкая ниша.
                                    0
                                    У cisco IPS тож кстать есть сигнатуры для АСУТП.

                                    www.slideshare.net/CiscoRu/cisco-ips
                                      0
                                      я в курсе, спасибо. Много у кого есть, например у HP TippingPoint, McAffee, DefenseWall. Когда я говорил про преимущество PaloAlto, я имел в виду по сравнению со Stonesoft, т.к. в рамках предыдущего коммента речь шла именно об этом вендоре.
                              0
                              Когда в чекпоинте починят NAT-T в IPSec?
                                0
                                Представителем вендора не являюсь, но закинуть им такой вопрос смогу. Уточните, в чем заключается проблема?
                                  0
                                  При нахождении удаленного VPN-терминатора за NAT, первая фаза проходит, а вот вторая — нет.
                                  Уже 2 наших клиента, использующих чекпоинт столкнулись с данной проблемой.
                                  На форуме чекпоинта вычитал, что данная проблема — следствие неподдерживаемости NAT-T чекпоинтом.
                                    0
                                    В базе знаний SecureKnowledge есть SK32664:

                                    Our gateways only support NAT-T when all of the following is true:

                                    The gateway has to be a «dynamic» gateway without a fixed IP
                                    Certificate-based authentication must be used for the VPN community
                                    The remote end has to initiate the NAT-T request

                                    Планируется ли изменение ситуации к лучшему — затрудняюсь сказать.
                                      0
                                      Спасибо за КБ.
                                +1
                                Спасибо за отзывы и корректировки, название статьи решил сменить на более нейтральное, т.к. глубокого сравнения между существующими аналогами у конкурентов не проводилось, да и идея статьи родилась как расширенный комментарий, а не как целенаправленное исследование.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое