2020-05-18
01 什么是Maestro
关于大师(Maestro)的联想,说到大师你会想到什么?我心目中的大师是历史上如神一般的天才科学家尼古拉·特斯拉,文艺复兴三杰之一的达芬奇,科学界的天才爱因斯坦,军事天才霍去病,还有Check Point 推出的新产品Maestro。
面对黑客技术的高速革新,企业势必得迎向更为快速的敏捷网络平台,Check Point Maestro 的诞生,可借由多台布署完成群集,创造更强大的成效。
02 Maestro的起源
起源
在威胁防御上,Check Point公司推出了64000和44000超高端安全网关设备,其拥有世界上速度最快的威胁防护平台,相应的,其价格也是相当昂贵。
64000设备组成图示:
设备由1个机箱、若干SGM防火墙模块和SSM交换机模块组成。
演变
由于设备价格昂贵,使得客户群有限,为了服务更多的客户,Check Point公司设计新架构,推出全新设备Maestro。内部链接方式的更改,使得Maestro设备具有很好的扩展性。
03 Maestro的优势
• 灵活部署&即插即用:
部署简单,基本不改变现网架构。
• 按需扩展&平滑升级
当业务量增多时,只需扩展相应体量的安全设备叠加在旧设备之上即可。
• 降低成本
依据当前业务量选型,且业务量增多时旧设备依旧可用,无需考虑三到五年内流量规模,节约成本。
• 超强冗余
设备之间互为冗余,为业务提供超强的可靠性。
• 云级弹性
基于HyperSync技术,通过高效的N + 1集群实现大规模部署,提升灵活性和弹性,最大可支持52台防火墙堆叠。
• 风险可控
降低业务变更的风险,减少防火墙停机风险。
• 资源利用最大化
最大限度利用防火墙自身性能,减少资源闲置率。
04 Maestro不同常规防火墙的之处
1 部署架构
原来的部署架构,防火墙的放置数量是规划好的,如果想增加防火墙的数量,需要重新规划架构。
用上Maestro设备后,原本放防火墙的地方,现在全部放置为Maestro设备,至于防火墙设备则全部外置,这样做的好处在于,可根据需求随时增加防火墙的数量,且不影响业务。
2 连接示意图
默认情况下:
标识2为Security Group Mgmt口,用于跟smartcenter通讯。
标识3为uplinks Interface(5-26),被指定作为security group业务通讯口。
表示4为downlinks Interface(27-47),作为通过DAC cables与Gateway互连接口。
标识5为40Gbps/100Gbps uplink Interface(49-56)。
标识7为Maestro Sync Interface(48)。
除了同步口,其他三种接口类型(uplink、downlink、management)可互为转换,可根据实际情况合理分配接口类型。
3 安全组配置
4 性能演示
05 某企业的部署案例
全国首个Maestro方案在普惠数码科技诞生,让我们一起来观摩观摩。
拓扑架构说明:
该站点通过CheckPoint最新弹性安全架构设计Maestro+Gateway实现。该架构优势:
1 灵活部署&即插即用-部署简单,基本不改变现网架构。
2 依据当前业务量选型,且业务量增多时旧设备依旧可用,无需考虑五年内流量规模,节约成本。
3 按需扩展&平滑升级,当业务量增多时,只需扩展相应体量的安全设备叠加在旧设备之上即可。
4 超强冗余-设备之间互为冗余,为业务提供超强的可靠性。
5 风险可控-降低安全设备带来的风险。
两台Maestro集群,两台Gateway作为资源池叠加,Maestro和Gateway通过DAC线进行互联,Gateway虚拟出5台虚拟防火墙分别承载五个区域边界安全防护。
Maestro开创了一个新的思路,让防火墙虚拟化成为可能,同时在部署模式上也避免了过多的网络变动,减少网络中断,大师之路,已经启航…