Quantum Force — новая серия шлюзов безопасности Check Point
Компания Check Point с конца 2023 года продолжает обновлять модельный ряд своих программно-аппаратных комплексов. Ранее уже были представлены новые версии устройств Small Business and Branch Offices (далее SMB). В них используются ARM процессоры и облегченная версия операционной системы GAIA — Gaia Embeded.
1500 серия получила приписку PRO и номерное обозначение в виде цифры 5 в номере модели — 1535, 1555, 1575, 1595. Помимо этих шлюзов, на недавно прошедшей конференции CPX EMEA 2024 были представлены 6 новых моделей линейки Quantum Force Perimeter. И 4 новых модели линейки Quantum Force High End Enterprise and Data Center, которые используют x86 процессоры и полноценную версию операционной системы GAIA OS. Отдельно стоит выделить, что для 100Гбит портов стала использоваться ASIC акселерация.
В данной статье будет проведен сравнительный анализ показателей производительности нового модельного ряда с их предшественниками.
Small Business and Branch Office
По сравнению с обычными моделями, данные устройства получили поддержку технологий 5G, WiFi6 и увеличение объема оперативной памяти до 4 гб, что положительно отразилось на количестве одновременных сессий, поддерживаемые шлюзом.
Ниже представлена сравнительная таблица с характеристиками старых и новых устройств. Сравниваются следующие показатели:
пропускная способность в режиме Threat Prevention (Активны функции Firewall, Application Control, URL Filtering, IPS, Antivirus, Anti-Bot, SandBlast Zero-Day Protection с включенным логированием)
количество одновременных сессий
количество подключений в секунду
пропускная способность в режиме Threat Prevention c Smart Accel (Smart Accel — функция, которая доступна только для устройств SMB под локальным управлением, либо через SMP портал, позволяет оптимизировать работу шлюза в режиме TP).
Параметр | 1530 | 1535 | 1550 | 1555 |
|---|---|---|---|---|
Пропускная способность в режиме Threat Prevention Мбит/с | 340 | 340 | 450 | 450 |
Пропускная способность в режиме TP с Smart Accell Мбит/с | 440 | 440 | 585 | 600 |
Кол-во одновременных сессий | 500,000 | 1,000,000 | 500,000 | 1,000,000 |
Кол-во подключений в секунду | 10,500 | 10,500 | 14,000 | 14,000 |
Таблица 1 — Сравнение шлюзов 1530/1550 с 1535/1555 версиями
Параметр | 1570 | 1575 | 1590 | 1595 |
|---|---|---|---|---|
Пропускная способность в режиме Threat Prevention Мбит/с | 500 | 500 | 660 | 660 |
Пропускная способность в режиме TP с Smart Accell Мбит/с | 650 | 650 | 860 | 900 |
Кол-во одновременных сессий | 500,000 | 1,000,000 | 500,000 | 1,000,000 |
Кол-во подключений в секунду | 15,750 | 15,750 | 21,000 | 21,000 |
Таблица 2 — Сравнение шлюзов 1570/1590 c 1575/1595 версиями
На основе таблиц можно сделать вывод о том, что увеличение объема оперативной памяти позволило шлюзу повысить лимиты по кол-ву одновременных сессий. Пропускная способность для этих устройств глобально не изменилась.
Относительно недавно обновились и старшие версии модельного ряда SMB. Они получили номера 1900 вместо 1600 и 2000 вместо 1800. Данные модели показали значительные улучшения производительности. В частности, шлюзы получили новый 24-ядерный процессор (по сравнению с 12-ядерным в обычных версиях), два медных 2.5 гбит порта, 4 оптических 10Гбит порта и увеличение объема оперативной памяти до 16ГБ (с 8ГБ в старых версиях).
Сравним характеристики старых и новых устройств.
Параметр | 1600 | 1900 | 1800 | 2000 |
|---|---|---|---|---|
Пропускная способность в режиме Threat Prevention Гбит/с | 1.5 | 4 | 1.5 | 5 |
Пропускная способность в режиме TP с Smart Accell Гбит/с | 2 | 5.2 | 2 | 6.5 |
Кол-во одновременных сессий | 2,400,000 | 4,200,000 | 2,400,000 | 4,200,000 |
Кол-во подключений в секунду | 55,000 | 90,000 | 55,000 | 100,000 |
Таблица 3 — Сравнение шлюзов 1600/1800 с 1900/2000 версиями
По итогам сравнения видно, что обновленный модельный ряд значительно усилился в производительности по сравнению со старыми устройствами. В частности, виден большой рост пропускной способности, количества одновременных сессий, а также подключений в секунду.
Quantum Force Perimeter
Помимо обновления модельного ряда SMB, компания Check Point представила новый модельный ряд линейки Perimeter, предназначенный для среднего бизнеса. На замену текущим шлюзам 6000 серии пришло 6 устройств 9000 серии, получившей название Quantum Force. В частности, это 9100, 9200, 9300, 9400, 9700 и 9800 шлюзы безопасности. В данной статье не будут рассматриваться все шлюзы этой серии. Для сравнения выбраны 9100, 9400, 9800 устройства и их прошлые версии.
Начнем с самого младшего шлюза в этой серии — 9100.
Модель в базовой конфигурации включает в себя:
1x CPU, 4 физических и 8 логических ядер в сумме (против 2 физических ядер в 6200 шлюзе)
16ГБ оперативной памяти с возможностью расширения до 64ГБ
10х RJ45 портов
Поддерживаемые карты расширения портов:
8×1/10GBASE-F SFP+
4×10/25GBASE-F SFP28
Средний в модельном ряде — 9400.
Модель в базовой конфигурации включает в себя:
1x CPU, 14 физических и 20 логических ядер в сумме (против 6 физических и 12 логических ядер в 6700 шлюзе)
16ГБ оперативной памяти с возможностью расширения до 64ГБ
10х RJ45 порта
4×1/10GbE SFP+ порта
Поддерживаемые карты расширения портов:
Самый старший в серии — 9800.
Модель в базовой конфигурации включает в себя:
1x CPU, 20 физических и 40 логических ядер в сумме (против 16 физических и 32 логических ядер в 7000 шлюзе)
32ГБ оперативной памяти с возможностью расширения до 128ГБ
6х RJ45 портов
4×1/10GbE SFP+ порта
Поддерживаемые карты расширения портов:
Далее сформируем таблицу с основными показателями шлюзов. Рассматриваются следующие параметры:
Пропускная способность в режиме Threat Prevention (используются функции Firewall, App Control, URLF, IPS, Anti-Malware и SandBlast c включенным логированием).
Пропускная способность в режиме Firewall.
Количество одновременных сессий.
Количество подключений в секунду.
Параметр | 6200 | 9100 | 6700 | 9400 | 7000 | 9800 |
|---|---|---|---|---|---|---|
Пропускная способность в режиме Threat Prevention Гбит/с | 1.8 | 4.95 | 5.8 | 11 | 9.5 | 20 |
Пропускная способность в режиме Firewall Гбит/с | 9 | 55 | 26 | 72.6 | 48 | 185 |
Кол-во одновременных сессий | 2,000,000 | — | 2,000,000 | 2,750,000 | 4,000,000 | 7,000,000 |
Кол-во подключений в секунду | 67,000 | 100,000 | 164,000 | 355,000 | 330,000 | 715,000 |
Таблица 4 — сравнение шлюзов 6000 серии с 9000 серией
По итогу видно, производительность устройств увеличилась примерно в два раза как в режиме FW и TP.
Quantum Force High end Enterprise and Data Center
Далее переходим к обновленному модельному ряду High End Enterprise and Data Center. В частности, на замену текущим 16 000, 16 200, 26 000 и 28 000 пришли новые устройства 19 100, 19 200, 29 100, 29 200. Эта серия так же относится к Quantum Force.
HIGHT END ENTERPRICE APPLIANCE
Модель 19 100 в базовой конфигурации включает в себя:
2x CPU, 32 физических и 64 логических ядра в сумме (против 16 физических и 32 логических ядер в 16 000 шлюзе)
64ГБ оперативной памяти с возможностью расширения до 128ГБ
2×1/10Гбит медных порта
2×25Гбит оптических порта
8×10Гбит оптических порта
Поддерживаемые карты расширения портов:
Карты по 8×1/10GBASE-F SFP+, до 32 портов
Карты по 4×10/25GBASE-F SFP28, до 18 портов
Карты по 2×40/100GBASE-F QSFP28, до 8 портов
Модель 19 200 в базовой конфигурации включает в себя:
2x CPU, 40 физических и 80 логических ядер в сумме (против 24 физических и 48 логических ядер в 16 200 шлюзе)
96ГБ оперативной памяти с возможностью расширения до 128ГБ
2×1/10Гбит медных порта
2×25Гбит оптических порта
8×10Гбит портов
Поддерживаемые карты расширения портов:
Карты по 8×1/10GBASE-F SFP+, до 32 портов
Карты по 4×10/25GBASE-F SFP28, до 18 портов
Карты по 2×40/100GBASE-F QSFP28, до 8 портов
Далее проведем сравнительный анализ и составим таблицу с характеристиками новых шлюзов и их предшественников.
Параметр | 16000 | 19100 | 16200 | 19200 |
|---|---|---|---|---|
Пропускная способность в режиме Threat Prevention Гбит/с | 12 | 28.8 | 15 | 36.9 |
Пропускная способность в режиме Firewall Гбит/с | 58 | 200 | 78.3 | 245 |
Кол-во одновременных сессий | 8,000,000 | 12,400,000 | 8,000,000 | 21,000,000 |
Кол-во подключений в секунду | 375,000 | 750,000 | 435,000 | 1,000,000 |
Таблица 5 — сравнение шлюзов 16 000/16200 с 19 000 серией
По результату сравнения виден двухкратный рост производительности новых шлюзов за счет более производительных процессоров и большего количества оперативной памяти.
DATA CENTRE APPLIANCE
Модель 29 100 в базовой конфигурации включает в себя:
2x CPU, 56 физических и 112 логических ядер в сумме (против 36 физических и 72 логических ядер в 26 000 шлюзе)
128ГБ оперативной памяти с возможностью расширения до 256ГБ
2×1/10Гбит медных порта
2×25Гбит оптических порта
8×10Гбит портов
Поддерживаемые карты расширения портов:
Карты по 8×1/10GBASE-F SFP+, до 56 портов
Карты по 4×10/25GBASE-F SFP28, до 30 портов
Карты по 2×40/100GBASE-F QSFP28, до 14 портов
Модель 29 200 в базовой конфигурации включает в себя:
2x CPU, 64 физических и 128 логических ядер в сумме (против 36 физических и 72 виртуальных ядер в 28 000 шлюзе)
128ГБ оперативной памяти с возможностью расширения до 256ГБ
2×1/10Гбит медных порта
2×25Гбит оптических порта
8×10Гбит портов
Поддерживаемые карты расширения портов:
Карты по 8×1/10GBASE-F SFP+, до 56 портов
Карты по 4×10/25GBASE-F SFP28, до 30 портов
Карты по 2×40/100GBASE-F QSFP28, до 14 портов
Далее проведем сравнительный анализ и составим таблицу с характеристиками новых шлюзов и их предшественников.
Параметр | 26000 | 29100 | 28000 | 29200 |
|---|---|---|---|---|
Пропускная способность в режиме Threat Prevention Гбит/с | 24 | 47.4 | 30 | 63.5 |
Пропускная способность в режиме Firewall Гбит/с | 106.2 | 365 | 145 | 500 |
Кол-во одновременных сессий | 10,000,000 | 30,000,000 | 10,000,000 | 30,000,000 |
Кол-во подключений в секунду | 500,000 | 1,250,000 | 615,000 | 1,500,000 |
Таблица 6 — сравнение шлюзов 26000/28000 серии с 29000 серией.
Как и в предыдущих сравнениях, виден двухкратный рост производительности шлюзов.
Заключение
Новый модельный ряд сильно расширил возможности программно-аппаратных комплексов Check Point, показав двухкратное увеличение производительности при относительной то же цене, что и прошлая серия. Учитывая, что Check Point в контексте защиты периметра сети, это прежде всего операционная система GAIA OS, в которой используются технологии машинного обучения и искусственного интеллекта, различные проприетарные решения и оптимизации, более мощные устройства позволят расширить возможности системы в следующих релизах программного обеспечения.
Полезные ресурсы:
Статью подготовил Жемчужников Феодор, Системный инженер TS Solution
