CC Otwarte Systemy Komputerowe Sp. z o.o.

CheckPoint - firewall, endpoint & cloud security

  1. Start
  2. Producenci

Nowość!!!
Express CI

ClusterXL - High Availability

Podwyższona Niezawodność i Dostępność

W czasach, kiedy organizacje coraz bardziej polegają na możliwościach Internetu i  wirtualnych sieci prywatnych (VPN) oraz wykorzystują je do wspierania krytycznych z punktu widzenia działalności procesów, koszty związane z utratą łączności dramatycznie wzrastają. Nawet chwilowe awarie korporacyjnych sieci VPN czy systemów zaporowych instalowanych na gatewayach mogą przerwać transakcje o wysokiej wartości odbijające się na dochodach, powodować rozczarowanie klientów czy też obniżać produktywność. Dzisiejszy e-bussiness musi gwarantować wysoką dostępność i nieprzerwany dostęp do zasobów sieciowych w reżimie 24 x 7.

Rozwiązanie

Check Point Software Technologies dostarcza w pełni odpornego na awarie systemu zaporowego oraz sieci VPN rozwiązania w postaci modułu wysokiej dostępności ClusterXL Moduł ten zapewnia niewidoczne dla użytkowników zabezpieczenie dla newralgicznych systemów VPN-1(R) i Firewall-1(R) poprzez możliwość tworzenia klastrów zapasowych elementów. Kiedy pierwszoplanowy węzeł ulega awarii – kolejny zapasowy przejmuje jego funkcje wraz z otwartymi połączeniami.

Niewidoczne przełączanie VPN

ClusterXL w wypadku awarii przejmuje wszystkie otwarte połączenia VPN. Jeśli podstawowy system VPN-1(R) przestaje pracować poprawnie obsługę wszystkich połączeń przejmuje zapasowy system bez potrzeby ze strony użytkowników ponownego nawiązywania połączenia czy też powtórnej autentykacji. Użytkownicy nawet nie dostrzegają przełączenia obsługi do innego węzła. Co więcej wszystkie transakcje oraz transfery danych mogą odbywać się nieprzerwanie bez konieczności ich wznawiania.

Zintegrowane zarządzanie

Wszystkie parametry związane z modułem są konfigurowane bezpośrednio przy pomocy klienta zarządzającego z systemu VPN-1(R) / Firewall-1(R) i przechowywane w stacji zarządzającej. Jeśli zdarzy się awaria, zdarzenie jest rejestrowane w logach systemu zaporowego. Istnienje również możliwość powiadomienia administratora via e-mail, SNMP, itp. Ponadto status gatewaya może być raportowany w czasie rzeczywistym. Finalne rozwiązanie jest potężnym narzędziem, który w sposób przystępny i z minimalnym nakładem na zarządzanie pozwala na budowę systemów o wysokiej dostępności.

Automatyczne przełączanie

Węzły klastra mogą być wypinane i dodawane bez potrzeby rekonfigurowania lub restartowania całości systemu. Ta funkcja pozwala na dokonywanie prac konserwacyjnych czy też serwisowych również w trakcie godzin pracy, kiedy żadna przerwa w działaniu nie może być zaakceptowana.

Kontrola stanu

ClusterXL zawiera programowalny monitor ciągłej kontroli stanu systemu w celu identyfikacji potencjalnych problemów. Dodatkowo można również kontrolować stan komunikując się z aplikacjami firm trzecich – np. agent dysków może informować o dostępności przestrzeni dyskowej kiedy zbliża się ona do predefiniowanego minimum. Wówczas system może odpowiedzieć przełączeniem w celu dokonania kopii systemu, uporządkowania logów systemowych aby zwolnić miejsca na dysku, a następnie dokonać niewidocznego dla użytkownika powtórnego wpięcia węzła do klastra.

Najczęściej zadawane pytania

Opis produktu

    P. Co to jest Check Point ClusterXL?

    O. ClusterXL to opcja (osobna licencja) dla modułów Express Gateways Rozwiązanie umożliwia bezbolesne wdrożenie instalacji wysokiej odporności dla instalacji o krytycznym znaczeniu poprzez tworzenie klastrów nadmiarowych pomostów VPN-1/FireWall-1. W przypadku awarii pomostu podstawowego cały ruch jest przekazywany w przeźroczysty sposób do pomostów zapasowych. Produkt realizuje synchronizację tablicy stanu pomiędzy składowymi klastra, co gwarantuje przekazywanie w przypadku awarii wszystkich aktywnych połączeń nawet typu IPSec/IKE VPN.

    P.  Jaka jest podstawowa korzyść?

    O.  Odporność na awarie dla instalacji o krytycznym znaczeniu.

    P.  Jakie są podstawowe własności?

    O.

    • Integracja - parametry modułu High Availability są konfigurowane z GUI administrtora I przekazywane do serwera zarządzającego (Check Point Management Server).  Ten poziom integracji gwarantuje prostotę użycia i wdrożenia nawet w dużych rozwiązaniach korporacyjnych.
    • VPN Fail-Over - Dzięki synchronizacji tablicy stanu z uwzględnieniem informacji o kluczach moduł bezproblemowo obsługuje zestawione kanały VPN bazujące na IKE. W przypadku braku tego modułu (np. w innych rozwiązaniach high availability) wszystkie połączenia  VPN są odrzucane w przypadku awarii i użytkownicy muszą zestawiać kanał VPN na nowo ponownie dokonując re-autentykacji. IKE fail-over jest zatem kompletnie przeźroczystym rozwiązaniem z punktu widzenia odległego użytkownika, który nawet nie zauważy awarii pomostu podstawowego.
    • Programowalne sprawdzanie "stanu zdrowia" (Health Check) - "Health Check" w nieprzerwany sposób monitoruje procesy maszyny w celu wykrycia ewentualnej awarii. Dodatkowo, w celu określenia poprawnego funkcjonowania wybranych elementów decydujących o kondycji maszyny, moduł ma możliwość zaprogramowanej komunikacji z innymi aplikacjami współużytkującymi ten sam sprzęt. Przykładowo, aplikacja monitorująca zużycie zasobów CPU może poinformować "Health Check" o osiągnięciu określonego, krytycznego poziomu.

    P.  Jak pracuje ClusterXL?

    O.  Wybrana, pojedyncza maszyna jest zdefiniowana jako pomost podstawowy, a do siedmiu innych maszyn może być określone jako maszyny zapasowe. Taka grupa nazywana jest klastrem pomostów VPN-1/FireWall-1. Każda maszyna zapasowa nieprzerwanie synchronizuje tablicę stanu z maszyną podstawowową i wszystkie maszyny monitorują stan pozostałych maszyn. Jeżeli maszyna podstawowa ulegnie awarii, pierwsza maszyna zapasowa przejmuje jej funkcje. Jeżeli z kolei ta maszyna przestanie pracować, sterowanie przekazywane jest do następnej maszyny zapasowej, ... itd.

    P.  Czy ClusterXL realizuje równoważenie obciążeń?

    O.  Nie.  Równoważenie obciążeń (Load Sharing) będzię obsługiwane w następnej wersji modułu High Availability (prawdopodobnie VPN-1/FireWall-1 4.1 SP2).  Ta własność pozwoli dzielić obciążenia wszystkich maszyn w klastrze w celu zwiększenia sumarycznej przepustowości systemu.

Pytania związane z OPSEC

    P.  Dlaczego Check Point opracował rozwiązanie wysokiej niezawodności (HA)?

    O.  Konfiguracje HA są obecnie wymagane w wielu zastosowaniach o krytycznym znaczeniu. Wielu klientów oczekiwało od Check Point dostarczenia własnego rozwiązania HA w pełni zintegrowanego z pozostałymi pakietami. Oczywiście Check Point będzie nadal wspierał partnerów OPSEC oferujących własne rozwiązania HA, co umożliwi odbiorcy wybranie najlepszego dla niego rozwiązania.

    P.  Czym różni się Check Point ClusterXL od rozwiązań OPSEC?

    O.  Partnerzy OPSEC oferują rozwiązania, które mogą być wdrożone w odniesieniu do wielu typów serwerów (web, email, firewall, etc.) i środowisk sieciowych.  Rozwiązanie Check Point jest silnie  zogniskowane na VPN-1/Firewall-1.  Dzięki OPSEC mamy możliwość zaoferowania szerokiego zakresu alternatyw HA.