01 什么是Maestro
關(guān)于大師(Maestro)的聯(lián)想���,說(shuō)到大師你會(huì)想到什么��?我心目中的大師是歷史上如神一般的天才科學(xué)家尼古拉·特斯拉�,文藝復(fù)興三杰之一的達(dá)芬奇,科學(xué)界的天才愛(ài)因斯坦��,軍事天才霍去病��,還有Check
Point 推出的新產(chǎn)品Maestro�����。
面對(duì)黑客技術(shù)的高速革新���,企業(yè)勢(shì)必得迎向更為快速的敏捷網(wǎng)絡(luò)平臺(tái)�����,Check Point Maestro 的誕生��,可借由多臺(tái)布署完成群集���,創(chuàng)造更強(qiáng)大的成效�����。
02 Maestro的起源
起源
在威脅防御上�����,Check Point公司推出了64000和44000超高端安全網(wǎng)關(guān)設(shè)備����,其擁有世界上速度最快的威脅防護(hù)平臺(tái)��,相應(yīng)的����,其價(jià)格也是相當(dāng)昂貴。
64000設(shè)備組成圖示:
設(shè)備由1個(gè)機(jī)箱�����、若干SGM防火墻模塊和SSM交換機(jī)模塊組成。
演變
由于設(shè)備價(jià)格昂貴��,使得客戶群有限����,為了服務(wù)更多的客戶,Check Point公司設(shè)計(jì)新架構(gòu)�,推出全新設(shè)備Maestro。內(nèi)部鏈接方式的更改��,使得Maestro設(shè)備具有很好的擴(kuò)展性�����。
03 Maestro的優(yōu)勢(shì)
• 靈活部署&即插即用:
部署簡(jiǎn)單�,基本不改變現(xiàn)網(wǎng)架構(gòu)�����。
• 按需擴(kuò)展&平滑升級(jí)
當(dāng)業(yè)務(wù)量增多時(shí)���,只需擴(kuò)展相應(yīng)體量的安全設(shè)備疊加在舊設(shè)備之上即可�。
• 降低成本
依據(jù)當(dāng)前業(yè)務(wù)量選型,且業(yè)務(wù)量增多時(shí)舊設(shè)備依舊可用�����,無(wú)需考慮三到五年內(nèi)流量規(guī)模���,節(jié)約成本�����。
• 超強(qiáng)冗余
設(shè)備之間互為冗余��,為業(yè)務(wù)提供超強(qiáng)的可靠性���。
• 云級(jí)彈性
基于HyperSync技術(shù),通過(guò)高效的N + 1集群實(shí)現(xiàn)大規(guī)模部署�,提升靈活性和彈性,最大可支持52臺(tái)防火墻堆疊����。
• 風(fēng)險(xiǎn)可控
降低業(yè)務(wù)變更的風(fēng)險(xiǎn),減少防火墻停機(jī)風(fēng)險(xiǎn)��。
• 資源利用最大化
最大限度利用防火墻自身性能�����,減少資源閑置率。
04 Maestro不同常規(guī)防火墻的之處
1 部署架構(gòu)
原來(lái)的部署架構(gòu)���,防火墻的放置數(shù)量是規(guī)劃好的���,如果想增加防火墻的數(shù)量,需要重新規(guī)劃架構(gòu)��。
用上Maestro設(shè)備后�,原本放防火墻的地方,現(xiàn)在全部放置為Maestro設(shè)備�����,至于防火墻設(shè)備則全部外置�,這樣做的好處在于��,可根據(jù)需求隨時(shí)增加防火墻的數(shù)量���,且不影響業(yè)務(wù)�����。
2 連接示意圖
默認(rèn)情況下:
標(biāo)識(shí)2為Security
Group Mgmt口�,用于跟smartcenter通訊。
標(biāo)識(shí)3為uplinks
Interface(5-26)���,被指定作為security
group業(yè)務(wù)通訊口���。
表示4為downlinks Interface(27-47),作為通過(guò)DAC cables與Gateway互連接口��。
標(biāo)識(shí)5為40Gbps/100Gbps
uplink Interface(49-56)��。
標(biāo)識(shí)7為Maestro
Sync Interface(48)���。
除了同步口�,其他三種接口類型(uplink����、downlink、management)可互為轉(zhuǎn)換�,可根據(jù)實(shí)際情況合理分配接口類型。
3 安全組配置
4 性能演示
05 某企業(yè)的部署案例
全國(guó)首個(gè)Maestro方案在普惠數(shù)碼科技誕生�,讓我們一起來(lái)觀摩觀摩。
拓?fù)浼軜?gòu)說(shuō)明:
該站點(diǎn)通過(guò)CheckPoint最新彈性安全架構(gòu)設(shè)計(jì)Maestro+Gateway實(shí)現(xiàn)����。該架構(gòu)優(yōu)勢(shì):
1 靈活部署&即插即用-部署簡(jiǎn)單�����,基本不改變現(xiàn)網(wǎng)架構(gòu)�����。
2 依據(jù)當(dāng)前業(yè)務(wù)量選型���,且業(yè)務(wù)量增多時(shí)舊設(shè)備依舊可用,無(wú)需考慮五年內(nèi)流量規(guī)模�,節(jié)約成本。
3 按需擴(kuò)展&平滑升級(jí)�,當(dāng)業(yè)務(wù)量增多時(shí),只需擴(kuò)展相應(yīng)體量的安全設(shè)備疊加在舊設(shè)備之上即可��。
4 超強(qiáng)冗余-設(shè)備之間互為冗余�,為業(yè)務(wù)提供超強(qiáng)的可靠性。
5 風(fēng)險(xiǎn)可控-降低安全設(shè)備帶來(lái)的風(fēng)險(xiǎn)�。
兩臺(tái)Maestro集群��,兩臺(tái)Gateway作為資源池疊加���,Maestro和Gateway通過(guò)DAC線進(jìn)行互聯(lián)��,Gateway虛擬出5臺(tái)虛擬防火墻分別承載五個(gè)區(qū)域邊界安全防護(hù)���。
Maestro開(kāi)創(chuàng)了一個(gè)新的思路�����,讓防火墻虛擬化成為可能����,同時(shí)在部署模式上也避免了過(guò)多的網(wǎng)絡(luò)變動(dòng)�,減少網(wǎng)絡(luò)中斷,大師之路����,已經(jīng)啟航…
