Test: Check Point Safe@Office 1000N

19. 11. 2010

Sdílet

Check Point 1000N nabízí nastavení bezpečnosti s granularitou na podnikové úrovni, a to v provedení, které neodradí ani neodborníky. Ve snadnosti ovládání jde skutečně o špičku.

Zařízení společnosti Check Point jen těžko přehlédnete, protože jsou dodávána v oranžových skřínkách se žlutými předními panely. Ani Safe@Office 1000N není výjimkou a malá kovová krabička s křiklavým nátěrem tak v jakémkoli prostředí jasně vyniká. Check Point má řadu bezpečnostních produktů, ale Safe@Office 1000N a varianta s bezdrátovým přístupem 1000 NW jsou jediné produkty určené pro malé podniky.

Na zadní části skřínky najdete všechny konektory, zatímco vpředu jsou stavové indikátory. Zařízení má čtyři porty pro 10/100/1 000gigabitový Ethernet, jeden dedikovaný port WAN, kombinovaný port WAN2/DMZ a sériový port konzole na konektoru RJ45. V příslušenství nechybí kabel, zajišťující převod z RJ45 na sériový konektor, nezbytný pro přívržence ovládání z příkazového řádku, ethernetový propojovací kabel, CD s dokumentací ani ilustrovaný průvodce Jak začít.

Check Point označuje 1 000N spíše za firewall než za směrovač a chlubí se gigabitovou propustností spolu se 400 tunely VPN s rychlostí až s 200 megabitů za vteřinu. Dvě jednotky 1 000N lze také spojit dohromady, a zajistit tak vyšší spolehlivost tohoto celku.

Instalace a konfigurace
Postup podle průvodce Jak začít je snadný. Připojte WAN1, napojte svou síť a konfigurační počítač a zapněte 1 000N. Klient dostane DHCP adresu v rozsahu 192.168.10.x, který se poněkud liší od většiny implicitních adres. Nemusíte si to ale pamatovat, abyste se k administrativní utilitě mohli připojit, protože pro přístup ke směrovači použijete http://my.firewall.

Nastavovací průvodce vás donutí zadat heslo s nejméně pěti znaky a potom se práce ujme internetový průvodce. Po pravdě řečeno, slovo „průvodce“ je tu poněkud nadnesené, protože program se vás jen zeptá na typ širokopásmového připojení a pak se pokusí připojit. Napoprvé se nám to podařilo bez problémů. A skoro ihned jsme také měli internetový přístup přes 1000N.

Také změna IP adresy LANu je snadná. Jak IP LAN adresa, tak rozsah DHCP jsou na stránce Network > My Network, kterou najdete po kliknutí na ikonu Edit v části LAN. Několik restartů a adresa LAN je nastavena.

Přidání dalšího spojení WAN je také snadné. Stránka Network > Internet, potom nastavíte druhé spojení WAN. Ještě rychle projít možnosti WAN, restartovat kabelový modem, 1 000N se ujme řízení a je spojeno.

Hned pod seznamem internetových spojení je ovládání pro vyvážení zatížení WAN. Pracuje jednoduše, jen s vypínačem. Přepnete na „On“ a obě linky sdílejí zátěž. Výběr vyvážení není k dispozici, pouze můžete nastavit poměr mezi oběma připojeními.

Podle našeho názoru je ovládání tohoto poměru ukryté příliš hluboko. Musíte se proklikat skrz Network > Internet > Edit Connection > Show Advanced Settings a pak ještě odrolovat dolů na konec stránky k políčku Load Balancing Weight. Základní nastavení je 50/50, vyvážené zatížení obou linek.

Provoz
1000N se dodává s devadesátidenní verzí antivirové aktualizace, antispamem, filtrováním URL, dynamickým DNS a speciálními utilitami pro ladění a provozní deník. Administrátorská strana začíná reklamní upoutávkou. Po ní se ukáže nevýrazná strana pro monitorování provozu na obou připojeních WAN. Nejlepší je strana Reports > Network, na které máte přístup k síťovému rozhraní. Po kliknutí v menu nalevo na Primary nebo Secondary se zobrazí podrobnosti připojení včetně počtů odeslaných a přijatých paketů. Stránku lze aktualizovat, ale nejde vynulovat statistika, což komplikuje možnost zjistit, jak se poměr zatížení mezi oběma linkami WAN mění.

Ale i když nemáte moc možností, jak měnit nastavení (třeba jestli je vyvážení řízené počtem paketů nebo bajtů), je výkonnost zařízení srovnatelná s jinými jednotkami. Při malém provozu na síti 1000N dobře maximalizuje propustnost, ale většinu času je výkonnost okolo průměru této skupiny. Ačkoliv podrobnosti o firewallu nejsou cílem tohoto článku, nemůžeme se nezmínit, že informace, kterou 1 000N o firewallu podává, je dobře srozumitelná. Na straně Security > Firewall je přepínač, kterým můžeme nastavit úroveň zabezpečení na nízké, střední (tovární nastavení), vysoké anebo blokování všeho.

Na straně věnované SmartDefense, kterou Check  Point používá pro detekci útoku na bezpečnost a jeho prevenci (Intrusion Detection System and Intrusion Prevention System), se nalevo zobrazí strom s vysvětlením a základním nastavením, a to je pak podrobněji popsáno v pravé části okna. Například Blokování provozu ICQ není soubor pravidel, ale jen dvě možnosti z rozbalovacího menu na stránce.

Podobně jako u zařízení SonicWall TZ200, Check Point 1 000N nabízí bezpečnost na podnikové úrovni granularity, a to v provedení, které neodradí ani neodborníky. Ve snadnosti ovládání SmartDefense a v ostatním nastavení je ovšem 1 000N špička. Přihlédnete-li k tomu, jak komplexní je nastavení, které větší podniky mohou poskytnout svým pobočkám, máte zde bezpečnostní zařízení, které pokrývá celé spektrum zkušeností IT profesionálů.