QoS присутствует. Можно указывать гарантированную полосу под правило, максимальный лимит, количество подключений. А кроме того, есть относительный «вес» — трафик по конкретному правилу не получит более чем Вес/сумма_всех_весов.
Возможно ограничение полосы пропускания в правилах по конкретным приложениям, типам приложений (YouTube, streaming, torrents и прочее). Кстати, полноту базы Application Control можно оценить онлайн appwiki.checkpoint.com/appwikisdb/public.htm
Про динамические туннели точно ответить не могу, не имел опыта настройки. Но если речь о возможности передачи трафика из Филиала_А в Филиал_Б минуя центр — такая возможность в руках админа: если VPN-community настроено как Star Topology и в его свойствах прописана возможность соединения филиалов напрямую (на четвертом скриншоте справа последний пункт).
Касательно крупных заказчиков: практически все крупные проекты автоматом строятся на сетеобразующем оборудовании (читай Cisco в нашей стране), вопросы безопасности поднимаются позже архитектурных и интегратор прицепом к основному проекту предлагает и безопасность на том же вендоре.
Из конкретики Check Point могу упомянуть сеть магазинов бытовой техники MegaMax — там 40 филиалов использовали UTM-1 Edge, а в центре использовался кластер старших устройств.
В банкоматах можно использовать Remote Access (софтовые клиенты или железо в этом режиме), но у нас 2 крупных банка решили именно по схеме site-to-site строить на железе.
Как писал выше, есть реально работающий коммерческий проект на 3000 шлюзов с VPN, большего числа шлюзов Check Point пока не встречал. По моим данным, производительные системы также используются во всех телекомах Украины, но тут, увы, без технических подробностей.
Поддержка динамической маршрутизации, route-based VPN, конечно же, имеется. Отказоустойчивость по схеме Active-Standby или Load Sharing на выбор.
Ни в коем случае не хотел приуменьшить сильных сторон той же Cisco — а у нее все компоненты в единую красивую схему выстраиваются, дополняя друг друга. В этом плане Check Point лишь периметральный шлюз с достойными возможностями, но никак не замена всей сетевой инфраструктуры.
Здесь речь идет о site-to-site VPN по IPsec между шлюзами Check Point. Сервер управления содержит встроенный центр сертификатов и выдает сертификаты шлюзам при инициализации SIC-соединения. В дальнейшем он следит за валидностью этих сертификатов и обновляет их по истечению срока действия. Уточните, пожалуйста, что Вы имеете ввиду под «голым IPsec»?
Есть большой кусок функционала по удаленному доступу пользователей (Mobile Access Blade). Там возможны различные сценарии доступа пользователей:
1. Через предустановленный IPsec клиент.
2. Безклиентский доступ — трансляция в HTTPS портал интерфейсов почты, файл-шары, интранет портала и части приложений.
3. Скачивание и доступ к сети через легкий SSL-клиент.
4. Доступ к офисным ресурсам с криптозащищенной флешки Check Point GO (Global Office, производства SunDisk) и предустановленным VPN-клиентом в окружение.
5. Доступ с мобильных устройств Android, iOS.
Верю, что по скриншотам силу централизованной системы управления не оценить — но сравните хотя бы легкость множественной настройки (и подстройки, если понадобится) VPN-туннелей с филиалами (например, если их 50-100 штук).
Ну а чтобы убедиться окончательно, тут только живое тестирование подойдет.
И для ежиков есть ссылочки полезные :) Последняя ревизия железа это N-series (X-series снята с производства). Отличный выбор для дешевого шлюза филиальной защиты (хоть и уступает по функционалу полноценному Security Gateway). Есть 2 продукта на одинаковом железе но с/без централизованным управлением UTM-1 Edge и Safe@Office
Сайт производителя www.sofaware.com
база знаний www.sofaware.com/lobby.aspx?boneId=9999
форум sofaware.infopop.cc/eve/ubb.x
В Украине используются в том числе для защиты банкоматного трафика в нескольких банках, причем один-рекордсмен (самый крупный АТМ-проект Check Point в мире) — около 3000 банкоматов содержат UTM-1 Edge и автоматически строят VPN-туннели в процессинг. Управляются централизованно на базе объектно-ориентированного управления Check Point SmartCenter.
Ну и стоит заметить, что многофункциональные шлюзы Check Point доступны как в описываемом программном виде (установка на выделенный сервер, виртуалку), так и в виде аппаратных устройств Secure Gateway www.checkpoint.com/products/appliances/
Спасибо за статью, информации о данном вендоре незаслуженно мало. При начальном выборе операционки я бы рекомендовал Gaia — как вобравшую в себя все лучшее от SPLAT (Secure PLATform) и IPSO (by Nokia), чего только новая командная строка стоит да кардинально переработанный веб-интерфейс.
Хоть бери новости не читай про очередные новинки телефоно-планшето-строения! :) Неделю назад таки купил себе SGS III, так теперь вышел Nexus 4 с двумя Гб оперативы и свежайшим 4.2 андроидом))) А самое забавное, что сверхпроизводительность и не нужна в 99% случаях использования телефона — обычные приложения и инди-игры не требовательны к железу. Чуть ли не единственное назначение многоядерности и выделенной графической подсистемы — установление рекордов в бенчмарках, м-да…
С переводами надо быть осторожным — первые пару заданий JavaScript я с русским интерфейсом прошел, как итог — эти задания теперь не засчитываются и 100% освоения курса достичь не удалось.
Возможно ограничение полосы пропускания в правилах по конкретным приложениям, типам приложений (YouTube, streaming, torrents и прочее). Кстати, полноту базы Application Control можно оценить онлайн appwiki.checkpoint.com/appwikisdb/public.htm
Про динамические туннели точно ответить не могу, не имел опыта настройки. Но если речь о возможности передачи трафика из Филиала_А в Филиал_Б минуя центр — такая возможность в руках админа: если VPN-community настроено как Star Topology и в его свойствах прописана возможность соединения филиалов напрямую (на четвертом скриншоте справа последний пункт).
Касательно крупных заказчиков: практически все крупные проекты автоматом строятся на сетеобразующем оборудовании (читай Cisco в нашей стране), вопросы безопасности поднимаются позже архитектурных и интегратор прицепом к основному проекту предлагает и безопасность на том же вендоре.
Из конкретики Check Point могу упомянуть сеть магазинов бытовой техники MegaMax — там 40 филиалов использовали UTM-1 Edge, а в центре использовался кластер старших устройств.
Поддерживаются динамические протоколы маршрутизации BGP4, OSPF, RIPv1, RIPv2.
Для настройки Routing-based VPN используются VTI (VPN Tunnel Interfaces).
Поддержка динамической маршрутизации, route-based VPN, конечно же, имеется. Отказоустойчивость по схеме Active-Standby или Load Sharing на выбор.
Ни в коем случае не хотел приуменьшить сильных сторон той же Cisco — а у нее все компоненты в единую красивую схему выстраиваются, дополняя друг друга. В этом плане Check Point лишь периметральный шлюз с достойными возможностями, но никак не замена всей сетевой инфраструктуры.
Есть большой кусок функционала по удаленному доступу пользователей (Mobile Access Blade). Там возможны различные сценарии доступа пользователей:
1. Через предустановленный IPsec клиент.
2. Безклиентский доступ — трансляция в HTTPS портал интерфейсов почты, файл-шары, интранет портала и части приложений.
3. Скачивание и доступ к сети через легкий SSL-клиент.
4. Доступ к офисным ресурсам с криптозащищенной флешки Check Point GO (Global Office, производства SunDisk) и предустановленным VPN-клиентом в окружение.
5. Доступ с мобильных устройств Android, iOS.
Ну а чтобы убедиться окончательно, тут только живое тестирование подойдет.
1. Официальные сайты checkpoint.com, rus.checkpoint.com (ну и само собой, внутренний портал supportcenter.checkpoint.com)
2. Официальный форум www.cpshared.com
3. Неофициальный форум www.cpug.org
4. Блоги умных людей blog.lachmann.org, checkpoint-master-architect.blogspot.com, fireverse.org, chkp.delai.biz, blog.nigmatullin.net, checkpointdblink.blogspot.com, expert-mode.blogspot.ca, blog.lachmann.org
А вот эта педантичный немецкий интегратор по полочкам разложил актуальные версии ПО и общую информацию www.fw-1.de/aerasec/
Сайт производителя www.sofaware.com
база знаний www.sofaware.com/lobby.aspx?boneId=9999
форум sofaware.infopop.cc/eve/ubb.x
В Украине используются в том числе для защиты банкоматного трафика в нескольких банках, причем один-рекордсмен (самый крупный АТМ-проект Check Point в мире) — около 3000 банкоматов содержат UTM-1 Edge и автоматически строят VPN-туннели в процессинг. Управляются централизованно на базе объектно-ориентированного управления Check Point SmartCenter.
Ну и стоит заметить, что многофункциональные шлюзы Check Point доступны как в описываемом программном виде (установка на выделенный сервер, виртуалку), так и в виде аппаратных устройств Secure Gateway www.checkpoint.com/products/appliances/
1. Официальные сайты checkpoint.com, rus.checkpoint.com (ну и само собой, внутренний портал supportcenter.checkpoint.com)
2. Официальный форум www.cpshared.com
3. Неофициальный форум www.cpug.org
4. Блоги умных людей blog.lachmann.org, checkpoint-master-architect.blogspot.com, fireverse.org, chkp.delai.biz, blog.nigmatullin.net, checkpointdblink.blogspot.com, expert-mode.blogspot.ca
А вот эта педантичный немецкий интегратор по полочкам разложил актуальные версии ПО и общую информацию www.fw-1.de/aerasec/