vSEC Virtual Edition (VE) - шлюз безопасности

Шлюз безопасности vSEC Virtual Edition (VE)

Общая информация

icon-vsecЧто такое Check Point’s vSEC Virtual Edition (VE)?

Check Point Vsec Virtual Edition, также известный как VE, представляет собой шлюз безопасности, который работает в виртуальном устройстве.

Он используется для защиты динамической виртуальной среды от внутренних и внешних угроз за счёт разнообразия программных блейдов Check Point. Виртуальные шлюзы Checkpoint VE, так же как и стандартные,  управляются с единой платформы управления компании Check Point.

 

В чем разница между Check Point’s Virtual Edition и Check Point’s vSEC Virtual Edition?

Vsec Virtual Edition — новое название Virtual Edition, также известное как VE.

 

В каких случаях следует использовать Vsec для NSX, а когда — Vsec Virtual Edition?

Vsec для NSX используется для защиты микро-сегментированых дата-центров, которые запускают VMWare NSX.

VE обычно используется в двух случаях:

1) Для обеспечения сети с высокой степенью виртуализации или для центров обработки данных, не запускающих NSX.

2) MSPs часто используют VE для защиты среды клиентов SME.

 

Какие гипервизоры поддерживают шлюзы Check Point VE?

VE шлюзы могут работать с любым гипервизором. Тем не менее, список официально поддерживаемых гипервизоров выглядит следующим образом:

  1. VMware ESXi
  2. Microsoft Hyper-V
  3. KVM, предположительно, станет официально поддерживаться и станет сертифицированным в первом полугодии 2016

 

Что представляет из себя VE Hypervisor mode? Актуален ли он сейчас?

VE Hypervisor mode — шлюз безопасности, который может быть использован для защиты виртуальных машин и обеспечения трафика ЦОД с Востока на Запад.

Решение использует гипервизор, основанный на API-ПО для проверки трафика исходящего и входящего трафика виртуальных машин, работающих на защищенном VMWare ESX хосте.

Для работы VE hypervisor mode требуется VMWare’s vCNS. VMware анонсировал завершение продаж vCNS и его замену на NSX. Окончание поддержки ожидается в 2016 году. В результате, в настоящее время VE в режиме гипервизора представляет собой сейчас устаревшее решение, подлежащее замене на vSEC for NSX.

Но решение все еще может быть использовано со шлюзами VE версии 77.10, при этом требуется предыдущая VE лицензию (CPSG-VE *).

 

Что такое VE “network mode”?

VE network mode — это шлюз безопасности Check Point, предназначенный для запуска в виртуальной машине в качестве виртуального устройства. Общепринятые сетевые методы используются для маршрутизации трафика к этому шлюзу, при этом определение шлюза в качестве маршрутизатора осуществляется по умолчанию, так же, как открытый сервер или шлюзы безопасности обычно интегрируются в сеть.

Это отличается от режимов гипервизора шлюзов, таких как vSEC или VE hypervisor mode, которые используют собственный интерфейс на уровне гипервизора для контроля трафика. Сегодня шлюзы Check Point VE работают в виртуальной среде как в сетевом режиме, так и в режиме гипервизора.

 

Какие программные блейды поддерживаются VE?

Все устройства Check Point VEs поддерживают следующие пакеты программных блейдов:

  1. NGFW
  2. NGTP
  3. NGTX

Кроме того, шлюзы VE поддерживают следующие блейды: Advanced Networking and Clustering, Identity Awareness, Mobile Access, DLP, Application Control, URL Filtering, Anti-Virus, Anti-Bot и Anti-Spam.

 

Можно ли использовать объекты VMWare vCenter в политиках?

Да, вы можете использовать объекты виртуальных машин из vCenter в политиках устройств Check Point. Для этого не требуются специальные лицензии на программное обеспечение, действие осуществляется на виртуальных и физических приборах.

Производительность

Какова ожидаемая производительность шлюзов Check Point VE?

Производительность шлюзов Check Point VE зависит от количества виртуальных выделенных ядер процессора, от типа процессора, оперативной памяти, смеси трафика, а также от версии и конфигурации гипервизора.

 

Результаты испытаний нагрузки:

Что использовалось 2 виртуальных ядра (vCores) 4 виртуальных ядра (vCores) 6 виртуальных ядер (vCores)
Security Power 300 620 850
Firewall 2700 mbps 4900 mbps 5100 mbps
Firewall + IPS 862 mbps 1700 mbps 2630 mbps
Firewall + IPS + Application Control 820 mbps 1300 mbps 1900 mbps
Firewall + Anti-Virus + IPS 690 mbps 940 mbps 1670 mbps
Максимальное количество одновременных подключений 12GB RAM — 5.4 million 2GB RAM — 1.1million
Информация о тестировании

Окружающая среда : шлюз Vsec Virtual Edition R77.30 для VMWare ESXi 5.5, выделенные виртуальные ядра Intel E5-2637 v3, с использованием VMXNET3 NIC.

Использование реального смешанного трафика Check Point и оптимизированной среды.

 

Какое количество виртуальных ядер (vCores) могут использоваться на одном шлюзе? 

16 виртуальных ядер могут быть использованы.

 

Может ли пользователь запускать шлюз VE в режиме повышенной доступности?

Да, клиент может использовать ClusterXL, который входит в VE или a 3rd party load balancer.

Внешний вид и лицензирование VE

Новая лицензия довольна гибкая, рассчитана на разное количество виртуальных ядер (vCores ), то есть для каждого виртуального ядра, присвоенного к гипервизору VE, требуется лицензия.

 

Например, клиент приобрел лицензию 100 x vCore, которая может быть использована для создания:

  1. 100 шлюзов безопасности с 1 выделенным виртуальным ядром (vcore) = 100 виртуальных ядер (vcores)
  2. 50 шлюзов безопасности с 2 виртуальными ядрами = 100 виртуальных ядер (vcores)
  3. 10 шлюзов безопасности с 5 виртуальными ядрами = 50 виртуальных ядер + 50 шлюзов безопасности с 1 обычным ядром = 50 виртуальных ядер (vcores), всего
  4. Так далее.

 

 Доступен ли новый прайс и новые лицензии для VE в каталоге продукции?

Да, новый прайс и новая лицензия для Vsec Virtual Edition (VE ) находятся в каталоге на домашней странице: — > product-catalog home-page-> virtual security -> vSEC Virtual Editions.

 

Безымянный

 

 

 

 

 

 

 

 

 

 

 

 

 

Может ли пользователь запускать несколько шлюзов VE на одном хосте?

Да, клиенты могут запускать несколько VE шлюзов на одном хосте, однако каждый шлюз будет использовать выделенные виртуальные ядра (vcores), так что убедитесь, что вы направили пользователю правильные требования, касающиеся калибровки, чтобы обеспечить достаточный объём ресурсов для каждого VE шлюза в этом типе сценария.

 

Нужно ли клиентам приобретать лицензию на каждый VE шлюз?

Нет, клиенты могут купить общую лицензию для виртуальных ядер  (vcores) и назначить их любое количество для шлюзов Check Point VE.

 

Могут ли клиенты расширить возможности VE лицензий для поддержки большего числа ядер vCores?

Да, клиенты могут назначить большее количество vCores любому шлюзу VE.

 

Где необходимо установить лицензии?

VE лицензии устанавливаются в системе управления шлюзом Check Point.

 

В чём различие между лицензиями «VE gateway license» и «VE NGTP renewal license»? 

Как и в других шлюзах безопасности, устройствах или открытых серверах, лицензия для VE Gateway действует в течение одного года. Она включает в себя бессрочные лицензии на ПО для шлюза и годовое сервисное обслуживание. Начиная со второго года и далее клиенты должны продлевать лицензии для NGFW, NGTP или NGTX.

 

Возможна ли ежемесячная оплата?

Да, возможна.

 

Могут ли клиенты запускать несколько VE на одном ядре ОС?

Да, однако лицензии распространяются на виртуальные ядра и присваиваются виртуальным машинам с VE. Если же физическое ядро распределяется между двумя шлюзами, оно будет учитываться дважды.

 

Могут ли пользователи приобрести только виртуальную версию шлюза NGFW vSEC? 

Да, CPSG-VEN-NGFW SKU доступен в каталоге. Можно ввести название в поиске.

 

К каким версиям  шлюзов  VE  подходят новые лицензии?

Версии R77.30 и выше; для R77.30 требуется обновление.

 

Могут ли клиенты применять изменяющуюся лицензию глобально к мультидоменной системе?

Эта функция не поддерживается. Планируется запуск этой возможности в будущем , а пока лицензия должна быть выделена для каждого домена, и она требует обновлений.

 

Содержат ли устройства элементы локального управления?

Да, локальное управление поддерживается до двух шлюзов, независимо от количества выделенных виртуальных ядер (vcores).

 

Узлы VE включают 5 пользователей мобильного доступа. Могут ли пользователи аккумулировать лицензии для доступа к мобильному пользованию при добавлении дополнительных ядер к шлюзу?

Нет, допускается 5 пользователей мобильного доступа в VE шлюзе, независимо от количества выделенных ядер. Но пользователи могут приобрести возможность дополнительного пользования мобильного доступа на определённом шлюзе.

 

Могут ли пользователи совмещать VE с AWS / Microsoft Azure/ vCloudAir, используя собственные лицензии моделей (BYOL)?

AWS и Microsoft Azure имеют свои собственные SKU и должны быть приобретены отдельно. Лицензия BYOL  для AWS / Azure работает аналогично лицензии VE.

Читайте также:

Запросить демонстрацию vSEC Virtual Edition (VE)