01 什么是Maestro
關(guān)于大師(Maestro)的聯(lián)想,說到大師你會想到什么�����?我心目中的大師是歷史上如神一般的天才科學家尼古拉·特斯拉�,文藝復興三杰之一的達芬奇���,科學界的天才愛因斯坦�,軍事天才霍去病,還有Check
Point 推出的新產(chǎn)品Maestro����。
面對黑客技術(shù)的高速革新,企業(yè)勢必得迎向更為快速的敏捷網(wǎng)絡(luò)平臺�,Check Point Maestro 的誕生,可借由多臺布署完成群集���,創(chuàng)造更強大的成效��。
02 Maestro的起源
起源
在威脅防御上�,Check Point公司推出了64000和44000超高端安全網(wǎng)關(guān)設(shè)備�����,其擁有世界上速度最快的威脅防護平臺�����,相應的�,其價格也是相當昂貴。
64000設(shè)備組成圖示:
設(shè)備由1個機箱、若干SGM防火墻模塊和SSM交換機模塊組成��。
演變
由于設(shè)備價格昂貴����,使得客戶群有限,為了服務更多的客戶�,Check Point公司設(shè)計新架構(gòu),推出全新設(shè)備Maestro���。內(nèi)部鏈接方式的更改����,使得Maestro設(shè)備具有很好的擴展性�。
03 Maestro的優(yōu)勢
• 靈活部署&即插即用:
部署簡單,基本不改變現(xiàn)網(wǎng)架構(gòu)���。
• 按需擴展&平滑升級
當業(yè)務量增多時���,只需擴展相應體量的安全設(shè)備疊加在舊設(shè)備之上即可��。
• 降低成本
依據(jù)當前業(yè)務量選型�����,且業(yè)務量增多時舊設(shè)備依舊可用,無需考慮三到五年內(nèi)流量規(guī)模��,節(jié)約成本�。
• 超強冗余
設(shè)備之間互為冗余,為業(yè)務提供超強的可靠性����。
• 云級彈性
基于HyperSync技術(shù),通過高效的N + 1集群實現(xiàn)大規(guī)模部署�,提升靈活性和彈性,最大可支持52臺防火墻堆疊����。
• 風險可控
降低業(yè)務變更的風險,減少防火墻停機風險��。
• 資源利用最大化
最大限度利用防火墻自身性能�,減少資源閑置率。
04 Maestro不同常規(guī)防火墻的之處
1 部署架構(gòu)
原來的部署架構(gòu)��,防火墻的放置數(shù)量是規(guī)劃好的��,如果想增加防火墻的數(shù)量�����,需要重新規(guī)劃架構(gòu)。
用上Maestro設(shè)備后��,原本放防火墻的地方�,現(xiàn)在全部放置為Maestro設(shè)備,至于防火墻設(shè)備則全部外置�����,這樣做的好處在于��,可根據(jù)需求隨時增加防火墻的數(shù)量�����,且不影響業(yè)務����。
2 連接示意圖
默認情況下:
標識2為Security
Group Mgmt口,用于跟smartcenter通訊����。
標識3為uplinks
Interface(5-26),被指定作為security
group業(yè)務通訊口��。
表示4為downlinks Interface(27-47)���,作為通過DAC cables與Gateway互連接口�。
標識5為40Gbps/100Gbps
uplink Interface(49-56)��。
標識7為Maestro
Sync Interface(48)����。
除了同步口,其他三種接口類型(uplink�、downlink、management)可互為轉(zhuǎn)換��,可根據(jù)實際情況合理分配接口類型�����。
3 安全組配置
4 性能演示
05 某企業(yè)的部署案例
全國首個Maestro方案在普惠數(shù)碼科技誕生����,讓我們一起來觀摩觀摩。
拓撲架構(gòu)說明:
該站點通過CheckPoint最新彈性安全架構(gòu)設(shè)計Maestro+Gateway實現(xiàn)����。該架構(gòu)優(yōu)勢:
1 靈活部署&即插即用-部署簡單���,基本不改變現(xiàn)網(wǎng)架構(gòu)。
2 依據(jù)當前業(yè)務量選型�,且業(yè)務量增多時舊設(shè)備依舊可用,無需考慮五年內(nèi)流量規(guī)模���,節(jié)約成本�����。
3 按需擴展&平滑升級�����,當業(yè)務量增多時�,只需擴展相應體量的安全設(shè)備疊加在舊設(shè)備之上即可����。
4 超強冗余-設(shè)備之間互為冗余,為業(yè)務提供超強的可靠性���。
5 風險可控-降低安全設(shè)備帶來的風險�����。
兩臺Maestro集群�,兩臺Gateway作為資源池疊加,Maestro和Gateway通過DAC線進行互聯(lián)��,Gateway虛擬出5臺虛擬防火墻分別承載五個區(qū)域邊界安全防護��。
Maestro開創(chuàng)了一個新的思路��,讓防火墻虛擬化成為可能��,同時在部署模式上也避免了過多的網(wǎng)絡(luò)變動����,減少網(wǎng)絡(luò)中斷���,大師之路�����,已經(jīng)啟航…
