تحيات أصدقاء! وأخيراً وصلنا إلى الأخير، الدرس الأخير من نقطة البدء. اليوم سنتحدث عن موضوع مهم جدا وهو الترخيص. أسارع إلى تحذيرك من أن هذا الدرس ليس دليلاً شاملاً لاختيار المعدات أو التراخيص. هذا مجرد ملخص للنقاط الأساسية التي يجب أن يعرفها أي مسؤول في Check Point. إذا كنت في حيرة حقًا من اختيار الترخيص أو الجهاز، فمن الأفضل أن تلجأ إلى المحترفين، أي. لنا :). هناك الكثير من المزالق التي يصعب التحدث عنها في الدورة، ولن تتمكن من تذكرها على الفور أيضًا.
سيكون درسنا نظريًا بالكامل، حتى تتمكن من إيقاف تشغيل الخوادم النموذجية الخاصة بك والاسترخاء. ستجد في نهاية المقال درس فيديو أشرح فيه كل شيء بمزيد من التفصيل.
ترخيص البوابة
لنبدأ بوصف ميزات ترخيص بوابات الأمان. علاوة على ذلك، ينطبق هذا على كل من خطوط الأجهزة والأجهزة الافتراضية. لنفترض أنك قررت شراء بوابة. من المستحيل شراء قطعة من الأجهزة أو جهاز افتراضي بدون "اشتراكات"! هناك ثلاثة خيارات للاشتراك:
والآن الميزة الأولى المثيرة للاهتمام! يمكنك فقط شراء جهاز أو جهاز افتراضي باشتراكات NGTP أو NGTX. ولكن عند تجديد اشتراكك، يمكنك بالفعل اختيار حزمة NGFW إذا لم تكن بحاجة إلى شفرات AV وAB وURL وAS وTE وTX. هذه هي اللحظة. يمكن شراء الاشتراكات نفسها لمدة سنة أو سنتين أو ثلاث سنوات.
أستطيع أن أتوقع سؤالك الأول! "ماذا يحدث إذا لم يتم تجديد الاشتراك؟" لقد أبرزت على وجه التحديد باللون الأخضر تلك الشفرات التي ستعمل دائمًا وبدون ملحقات. ما يسمى بالشحوب الدائم. الشفرات المتبقية التي تتطلب تحديثًا مستمرًا ستتوقف عن العمل ببساطة. حسنًا، ربما ستظل التوقيعات الرئيسية تعمل لدى IPS (ولكن يوجد عدد قليل جدًا منها). وهذا ينطبق على كل من الأجهزة والأجهزة الافتراضية، أي. vSec.
كعنصر منفصل، قمت بتسليط الضوء على ثلاث شفرات غير مدرجة في أي مجموعة: DLP وMAB وكبسولة.
تذكر أيضًا أنه إذا قمت بشراء حل مجموعة، فاختر الطراز الذي يحتوي على اللاحقة HA (أي التوفر العالي) باعتباره الجهاز الثاني. تعرض الصورة مثالاً للبوابة 5400. وهذا يتعلق بالبوابات. الآن خادم الإدارة.
ترخيص خادم الإدارة
كما قلنا بالفعل في الدروس الأولى، هناك سيناريوهان لتنفيذ Check Point: مستقل (عندما تكون كل من البوابة والإدارة على جهاز واحد) وموزع (عندما يتم وضع خادم الإدارة على جهاز منفصل). ومع ذلك، فإن الخيارات لا تنتهي عند هذا الحد. دعونا نلقي نظرة على ثلاثة سيناريوهات نموذجية لنشر خادم الإدارة:
- شراء NGSM مخصص. الخيار الأكثر شعبية. اختر إما أجهزة Smart-1 أو الأجهزة الافتراضية. يمكنك الاختيار، بالطبع، بناءً على عدد البوابات التي ستديرها، 5، 10، 25، إلخ. من خلال نشر هذا الجهاز، يمكنك استخدام 4 شفرات رئيسية لخادم الإدارة: NPM (أي إدارة السياسة)، والتسجيل والحالة (أي التسجيل)، والحدث الذكي (SIEM من Check Point، الذي يوفر لنا جميع التقارير) والامتثال (هذا هو تقييم لجودة الإعدادات، إما للامتثال لبعض المتطلبات التنظيمية، أو نفس PCI DSS، أو ببساطة أفضل الممارسات). يمكنك أن ترى على الفور أن شفرات NPM وLS هي شفرات دائمة، أي. ستعمل بدون تجديد الاشتراكات، ولكن يتم تضمين شفرات الحدث الذكي والامتثال للسنة الأولى فقط! ثم يحتاجون إلى التجديد مقابل أموال منفصلة. هذه نقطة مهمة، لا تنسوها. وإذا كان لا يزال بإمكانك العيش بدون شفرة الامتثال، فمن المؤكد أن الجميع بحاجة إلى حدث ذكي.
- شراء خادم مخصص لإدارة الأحداث بالإضافة إلى خادم إدارة NGSM الحالي. لماذا هذا ضروري؟ الحقيقة هي أن وظيفة التسجيل وخاصة Smart Event "تستهلك" موارد النظام اللائقة تمامًا. وإذا كان هناك الكثير من السجلات، فقد يؤدي ذلك إلى "الفرامل" على خادم التحكم. لذلك، غالبًا ما يتم نقل هذه الوظيفة إلى جهاز منفصل أو جهاز Smart-1 أو جهاز ظاهري مرة أخرى. تتطلب عمليات التكامل الكبيرة مع عدد كبير من السجلات دائمًا خادمًا مخصصًا للحدث الذكي. ويمكنه أيضًا تلقي السجلات. بهذه الطريقة سيقوم خادم الإدارة الخاص بك بأداء وظائف الإدارة فقط. وهذا يحسن بشكل كبير استقرار النظام واستجابته. كما ترون، عندما تقوم بشراء خادم Smart Event مخصص، فإنك تحصل على هاتين الشفرتين للاستخدام الدائم، حتى بدون تجديد. على مدى 3-4 سنوات، سيكون هذا أكثر فعالية من حيث التكلفة من شراء ملحقات Smart Event لخادم NGSM عادي كل عام.
- خادم مخصص لإدارة السجلوالتي تأتي بالإضافة إلى خوادم NGSM وSmart Event. أعتقد أن المعنى واضح. إذا كان هناك عدد كبير جدًا من السجلات، فيمكننا نقل وظيفة التسجيل إلى خادم منفصل. يتمتع خادم السجل المخصص أيضًا بترخيص دائم ولا يتطلب التجديد.
فيديو تعليمي
يمكنك العثور على مزيد من المعلومات حول إدارة التراخيص والدعم الفني لـ Check Point هنا:
المصدر: www.habr.com