在本文中,我们将考虑使用Check Point构建分布式网络的选项。 我将尝试描述Check Point站点到站点VPN的主要功能,考虑几种典型方案,描述每种方案的优缺点,并尝试告诉您在计划分布式VPN网络时如何节省成本。
Check Point使用标准IPSec
这是从Check Point了解Site-to-Site VPN的第一件事。 本文回答了有关Check Point VPN的最常见问题之一:
-是否可以与其他设备“交朋友”?
-是的,可以!
所谓的第三方VPN。 由于使用了标准IPSec,因此可以使用任何支持IPSec的设备来构建VPN。 我个人曾尝试使用Cisco ASA,Cisco路由器,D-Link,Mikrotik和StoneGate构建VPN。 一切正常,尽管有一些功能。 最主要的是正确设置第一和第二阶段的所有参数。 IPSec连接支持的参数:
加密方式:IKEv1,IKEv2IKE安全协会(第一阶段)-加密算法:AES-128,AES-256,DES,3DES,CAST
-数据完整性:SHA1,SHA256,SHA384,MD5,AES-XCBC
-Diffie-Hellman小组:小组1,小组2,小组5,小组14,小组19,小组20
IKE安全协会(第二阶段)-加密算法:AES-128,AES-256,AES-GCM-128,AES-GCM-256,DES,3DES,DES-40CP,CAST,CAST-40,NULL
-数据完整性:SHA1,SHA256,SHA384,MD5,AES-XCBC
其他选项:-使用主动模式(第1阶段)
-使用完善的前向保密性(第2阶段)
-支持IP压缩(第二阶段)
因为 您不仅可以使用Check Point构建VPN,还立刻出现一个问题,即在分支机构中“安装”什么?
分支机构使用什么设备?
只有两个选择。 考虑一下它们,并尝试描述它们各自的优缺点。
1.在分支点检查
这是最简单的选择。 Check Point安装在中心办公室(HQ)和分支机构(Branch)中。
优点 。 主要优点是易于使用。 您可以从一个位置(安全管理服务器)管理安全策略。 所有日志都存储在一个地方。 可以生成报告并查看大图。 分布式网络管理大大简化了。 您甚至可能不需要监视系统;默认情况下,某些功能由中央管理服务器执行。 VPN配置得到了加速,无需无休止地编辑访问列表。 可以粗略地将其与Cisco DMVPN进行比较(稍后会有更多介绍)。
缺点 唯一的不利因素是财务成本。 当然,“昂贵或便宜”的问题有点哲学意义,我将不讨论这个话题。 但是,即使是最小的分支机构(甚至是ATM机)也都需要安装Check Point网关。 稍后,我们将讨论用于此类任务的特定模型。
谁使用此选项(分支的Check Point)? 实际上,几乎所有业务部门:银行,零售,工业,医疗保健,石油和天然气公司。
图 1. Check Point SmartConsole带有所有分支网关的显示2.不要在分行检查点
这也是一个相当普遍的选择。 在中心(HQ)放置检查点,在分支(Branch)-支持IPSec VPN的任何其他设备。
优点 。 也许唯一的好处就是最小的财务成本。 您可以放置最便宜的Mikrotik或D-Link,到总部的VPN也可以正常工作。
缺点 缺点更多。 实际上,您失去了先前版本中描述的所有优点。 您必须“编辑”每个分支上的设置。 如果有2到3,那么也许这不是一个大问题。 但是,如果其中有5-10个以上,那么将存在进一步扩展的严重问题。 配置管理,访问策略,监视,所有这些都必须在第三方解决方案(可能是开源)的基础上进行组织。 另一个很大的缺点-无法组织VPN通道的预留。
谁使用此选项(在分支机构不设置Check Point)? 通常,这是一家分支机构很少的小型企业。
会员的Internet访问类型。 是独立的还是集中的?
分支机构的设备选择取决于Internet连接的类型。 还有两种选择,每种选择都有其优缺点。
1.独立的互联网访问
最常使用。 VPN通道专用于访问中心办公室(Check Point所在的位置)的资源。
优点 。 互联网访问不取决于中心办公室的VPN通道和设备。 即 如果中心办公室发生了所有事情,分支机构将保留对Internet的访问权限,而只是失去对某些公司资源的访问权限。
缺点 大大增加了安全策略的管理。 实际上,如果您有保护分支机构的任务,则应采取诸如IPS,流式防病毒,URL过滤等保护措施。 这导致管理和监视信息安全方面的一系列问题。
推荐建议 当然,使用此选项,最好在分支机构使用检查点。 您将能够集中管理所有这些“经济”。 您可以创建一个标准的Internet访问策略并将其推广到所有分支机构。 监控也大大简化了。 您将在一处看到所有IB事件,并且事件之间可能相关。
2.集中式互联网访问
此选项的使用频率要低得多。 正在为中心办公室(Check Point所在的地方)建立一个VPN,并且绝对将所有分支机构的流量都封装在那里。 只能通过中心办公室访问Internet。
优点 。 在这种情况下,您基本上不需要关心分支机构中的内容,主要是建立到中心的VPN。 配置也应该没有什么大问题。 实际上,只有一个规则-“ VPN中的所有流量”。 您将仅在中心办公室配置所有安全策略和访问列表。 如您所知,使用此选项,您可以节省购买Check Point的费用。
缺点 可伸缩性,管理和监视仍然存在问题(尽管不像独立访问Internet那样重要)。 另外,分支机构的工作完全取决于中心办公室。 在紧急情况下,整个网络将“掉线”。 会员将没有互联网。
推荐建议 此选项非常适合少数分支(2-4)。 当然,如果您对提出的风险感到满意(取决于中心)。 为总部选择Check Point设备时,值得考虑分支机构的流量并仔细计算所需的性能。 本质上,您将以最低的财务成本获得分支机构的集中流量管理。 但是,对于具有大量分支机构(和“严重”流量)的情况,强烈不建议使用这种方案。 失败的后果太大。 故障排除将很复杂,并且中心办公室将需要非常强大的硬件,与分支机构拥有自己的Check Point网关的情况相比,这最终可能会变得更加昂贵。
可能节省许可证
如果您决定在分支机构中使用Check Point并且只需要一个VPN(例如,具有集中式Internet连接),则可以大大节省许可证。 Blade IPSec VPN不以任何方式获得许可。 购买设备后,您将始终获得防火墙和VPN功能。 您无需为此购买扩展服务,无论如何一切都会正常进行。
您唯一需要购买的是技术支持服务,以便在出现故障时可以与支持人员联系并更换设备。 但是,还有
一个省钱的选项 (尽管我不建议这样做)。 如果您对自己的知识有信心并且不必与支持部门联系,则可以不购买技术支持的扩展。
您可以购买一两个设备的备件,如果其中一个分支出现故障,则只需更换此设备。 拥有大量分支机构,购买一对备用设备比购买其他所有设备的支持在经济上更有利可图。 我重复一遍,我不建议您使用此选项。
分支点检查点(SMB)型号
有一种观点认为Check Point是专门为大公司提供服务的供应商。 但是,在产品阵容中,有许多针对SMB领域的设备选项。 特别是如果此“铁片”将用于分支机构,则由总部的中央管理服务器控制。
图 2.检查点阵容我们已经发表了
另一篇有关SMB解决方案的文章 ,因此,我将列出最常用于分支机构的模型:
- 适用于大型分支机构(150-200人)的第5000系列(5100、5200);
- 适用于中型分支机构(100-150人)的第3000系列(3100、3200);
- 第1400个系列(1430、1450、1470、1490)适用于小型分支机构(少于100人)。
人数数据仅是我们根据经验得出的主观意见。 我们强烈建议您注意1400系列,它们是基于ARM处理器的相对较新的型号。 与旧型号相比,它们具有一些技术限制(因为它们使用其他操作系统-Gaia Embedded),但是,对于Management Server,这些限制是微不足道的,尤其是对于分支网络。
VPN拓扑(开始,网格)
让我们讨论更多的“技术”问题,并从VPN(Check Point术语中的VPN社区)拓扑开始。 与其他供应商一样,Check Point具有两种类型:
- 星号 这个名字不言而喻。 所有分支机构的VPN通道都汇聚到中心。 使用这种拓扑,即使分支机构需要相互通信,流量也将通过中心。 有时它不是很方便实用。 尽管实际上这种拓扑是最常用的。
- 网眼 拓扑“每个都有”。 不再有中心。 放置在一个Mesh VPN社区中的所有网关都可以相互建立隧道。
值得注意的是,同时没有人会打扰您将这两种拓扑结合起来。 例如,通过一个Mesh链接两个Start Community:
图 3.星形+网格两种隧道
最后,如果分支机构也具有Check Point,我们可以讨论Check Point VPN真正方便的地方。 在建立VPN隧道时,我们有两种选择:
1.基于域的VPN
意思很简单。 在分支网关(以及中心)的属性中,指定检查点后面的网络,即 分支机构的本地网络。
图 4. VPN域的定义由于所有网关都在一台管理服务器的控制下,因此该信息在VPN社区的所有参与者(无论是星型还是网状)之间都被“捣烂”。 因此,无需在每个网关上编辑VPN设置,他们将已经知道在哪里,使用什么网络以及使用什么IPSec参数来构建VPN。 没有开处方的同行或访问列表。 设置快速简便。 我认为,这比DMVPN更方便。 基于域的VPN实际上是最常用的。
2.基于路线
这种类型的VPN对Cisco的粉丝来说似乎非常熟悉。 在网关上创建了VTI(虚拟隧道接口),并建立了带有隧道地址的VPN通道。 路由封装在隧道中的加密流量。 此外,路由可以是静态的也可以是动态的。 例如,您可以在所有分支机构中建立这样的VPN并运行OSPF。 因此,所有网关都会知道所有可用网络,并自动“包装”所需隧道中的必要流量。 我认为可以与GRE隧道进行比较。
推荐建议
基于路由的VPN的使用频率大大降低,因为 在大多数情况下,基于域的VPN就足够了,它更易于理解并且设置更快。 同时,在分支机构中使用第三方设备(NOT Check Point)的情况下,可以使用基于域的VPN。 同样,根据个人经验,我建议使用基于域的VPN。 问题将少得多。 最好不要使用基于路由的方法(很多限制,性能下降)。 尽管这当然取决于您的任务,并且每种情况都需要单独考虑。
证书或预共享密钥上的VPN
与任何启用IPSec的设备一样,Check Point可以基于预共享密钥和证书来构建VPN。 我不会解释证书上VPN通道的优势是什么。 我只是说,在Check Point解决方案上构建分布式网络的另一个优势是集成认证机构(CA)的存在。 默认情况下,此CA始终存在于Management Server上,并自动为其控制下的所有Check Point网关生成证书。 无需“受苦”第三方证书颁发机构(尽管也可以“拧入” Check Point)。
VPN故障转移
他们经常忘记了这个机会。 但是她是。 分支机构和中心办公室可以具有两个Internet通道。 如果分支机构还具有检查点,那么我们可以配置故障安全VPN(基于域)。 不要忽略Check Point的此功能,尤其是因为它实际上是在几次单击中配置的。
管理服务器许可
规划分布式网络时,另一个重要的点被遗忘了。 Security Management Server通过其可以管理的网关数量获得许可。 有用于管理5个网关(10、25、50、150等)的许可证。 同时,价格差异很大。 群集算作两个网关! 计划预算时要小心。
Check Point VPN的其他好处
从技术角度来看,Check Point VPN具有更多优势。 通过有线模式可以看出,即使没有流量,也能保持隧道的能力;为加密流量和常规流量创建不同规则的能力;从隧道中排除某种流量的能力,等等。 但是我不想进入这样的技术细节,以免使任何人感到厌倦。 如果您对某些特定的东西感兴趣,请在评论中提出。 我尝试更多地介绍建筑特色。
PS感谢
Ilya Gorelkin (Check Point公司)在准备材料方面的帮助。