CheckPoint news and troubleshooting

Previous Entry Share Next Entry
Originally posted by kr0ka
klepysik wrote in checkpoint_new
Originally posted by kr0ka

Checkpoint Firewall 61000
Недавно посетил офис фирмы Чекпойнт где мне и еще паре человек в общих чертах рассказали про новую модель файрвола под номером 61000- http://www.checkpoint.com/products/61000-appliances/ .

Дальше по просьбе - x_and Кат!

Я немного опоздал,так что не застал самого начала - фанфар и дифирамбов.Презентовал какой то инженер из группы EA - early availability. Он махал руками и показывал всем своим видом какой он крутой,рассказывал как долго он работает в СР,сколько он лет он торчал в саппорте и как круто он умеет делать kernel debug.Между делом он пытался рассказывать в общих чертах про архитектуру 61000.Самое смешное было,что он немного не отдавал себе отчет,что мы три человека сидящих перед ним не просто потенциальные клиенты которым можно вешать лапшу на уши, а специалисты с 10-25 летним опытом в networking security.
Архитектура 61000 действительна по меньшей мере интересна,сказать что она уникальна?Конечно же нет.
Да, для СР это уникальня архитектура,до последнего времени у них не было файрволов с блэйдами и chassis,так что да, это реальный прорыв.
В общих чертах механизм таков - для построения chassis был выбран известный открытый стандарт ATCA - fortinet привет. Всего 14 блэйдов,причем два из них это свичи,остальные блэйды через backplane связаны с этими свичами линками(fabric) по 20Г.Эти свичи так сказать фронт-энд интерфейсы,они принимают весь траффик и передают их блэйдам для обработки, используя hash algorithm.Через эти fabric линки так же идет синхронизация сессий между остальными 12 блэйдами которые являются обычными файрволами.Каждый рабочий блэйд синхронизируется с еще одним. Таким образом уменьшается нагрузка на блэйды пакетами синхронизации.
Все 12 блэйдом выступают в роли одного большого файрвола.В принципе я уверен можно построить такую же модель, используя внешний loadbalancer а за ним поставить 12 отдельных файрволов.Хотя в этом случае мы ограничимся всего двумя интерфейсами IN и OUT.
Из минусов:
Нельзя сделать несколько групп блэйдов, что бы каждый выглядел как отдельный файрвол.
Нет VSX.
Нет многих функций, которые есть в обычных файрволах,например антивирус.
А теперь,сюрприз.
3 месяца назад Fortinet презентовала их новый механизм кластеринга ELBCv3 который один в один схож с архитектурой 61000. Я сидел в оффисе СР и все спрашивал себя - кто у кого спер технологию?
Конечно существуют и различия - для построения кластера в Fortinet нужно лезть в сам свич и конфигурировать группы из блэйдов,каждая группа логически является файрволом. В СР в свич лезть не нужно все конфигурируется из мастер блэйда,который держит конфигурацию всей системы,однако и групп тоже нет,т.е есть но одна большая куда засунуты все блэйды,думаю в СР скоро появится эта функциия,например для того чтобы заработал VSX или чтобы можно было сделать несколько логических файрволов внутри одной коробки.
Линки(fabrics) между свичами и рабочими блэйдами в СР 40Гбит в Fortinet только 10Г.Как устроен backplane в chassis у Fortinet я знаю,а как в СР нет - типа комерческая тайна.Хотя чего там за тайны не понятно, ведь стандарт то открытый - ATCA. Ну и еще несколько различий,архиктектурно не принципиальных.
Под конец презентации,я спросил про документацию и возможностью детально ознакомиться с архитектурой,сказали что нет и пока не будет - типа боятся,что у них сопрут технологию,я там чуть под стол не упал вспоминая рабочий кластер на похожей технологии у клиента.
Вот пример так например выглядит кластер ELBC на chassis 5060 от Fortinet:




А это кусок из презентации которую могут скачать партнеры с сайта fortinet:




Интересно было бы пощупать чекпойнтовский девайс и сравнить его наравных с фортинетовским.
Единственно,что мне не понравилось,так это то что во время презентации,в голосе у чекпойнтовского инженера сковозило какое то пренебрежение - мол да вам сей продукт и не нужен,да в Израиле нет таких клиентов которые могут оценить такой крутой файрвол и вообще мы ориентируемся на европу и штаты.
На последок хочу привести ссылку на блог чувака который видел живьем 61000 в Париже :)
http://checkpoint-master-architect.blogspot.com/2011/10/impressive-demo-of-61000-in-paris.html

Короче ждем очередного репорта NSS lab :)
Tags: ,

  • 1
Вы безнадежны. Вы будете матерью-тираном для своих детей. Я им сочувствую.

Ты себя читал ? Где связь вобще?
Похоже ты действительно туп. По крайней мере ты о себе так тоже говоришь...

Я тупее всех тупых! Читать не умею. Говорю бессмысленные вещи. :)
Благодарю за агрессию и унижение.

Олька красавица, умница и самая лучшая мать )
Я уверен потому, что даж лично знаком.
И просьбы убрать под кат не было )
А наезд был.

"Адвокатство" - глупое занятие. Как и миротворчество.
Без специальных знаний и навыков "самодеятельные" адвокаты и миротворцы только усугубляют ситуацию, потому что способны разобраться в проблеме лишь на уровне "шапошничества".

На тему материнства могу посоветовать познакомиться с творчеством Юлии Гиппенрейтер.

Может быть, кстати, ее книги помогут вам понять, где же все-таки присутствует просьба. И задаться вопросом, почему ваша, на первый взгляд, "умница", в ответ на просьбу хамит как продавщица задрипанного сельхозмага в умирающей деревне где-то в РФ-ии. Стоит ли это называть "умницей"?

Вы тролль? Вам нечем заняться?
То что Вы нудник и так понятно.

Извините, ошибся. Предполагал, что разговариваю с разумным человеком.

не-не-не.. все кто встречался с CP - савсем не разумны :)

  • 1
?

Log in

No account? Create an account