Salam, dostlar! Və nəhayət sonuncuya çatdıq, Check Point Başlanğıcının yekun dərsi. Bu gün çox vacib bir mövzu haqqında danışacağıq - Lisenziyalaşdırma. Sizi xəbərdar etməyə tələsirəm ki, bu dərs avadanlıq və ya lisenziyaların seçilməsi üçün hərtərəfli bələdçi deyil. Bu, hər hansı bir Check Point administratorunun bilməli olduğu əsas məqamların xülasəsidir. Lisenziya və ya cihaz seçimi ilə həqiqətən çaşqınsınızsa, o zaman peşəkarlara müraciət etmək daha yaxşıdır, yəni. bizə :). Kursda danışmaq çox çətin olan bir çox tələlər var və siz də onu dərhal xatırlaya bilməyəcəksiniz.
Dərsimiz tam nəzəri olacaq, ona görə də maket serverlərinizi söndürüb dincələ bilərsiniz. Məqalənin sonunda hər şeyi daha ətraflı izah etdiyim bir video dərsi tapa bilərsiniz.
Gateway Lisenziyası
Təhlükəsizlik şlüzlərinin lisenziyalaşdırma xüsusiyyətlərinin təsviri ilə başlayaq. Üstəlik, bu həm hardware uplines, həm də virtual maşınlara aiddir. Deyək ki, siz şlüz almağa qərar verdiniz. “Abunəliklər” olmadan sadəcə bir avadanlıq və ya virtual maşın almaq mümkün deyil! Üç abunə variantı var:
Və indi ilk maraqlı xüsusiyyət! Siz yalnız NGTP və ya NGTX abunəliyi olan cihaz və ya virtual maşın ala bilərsiniz. Ancaq abunəliyinizi yenilədiyiniz zaman AV, AB, URL, AS, TE və TX bıçaqlarına ehtiyacınız yoxdursa, artıq NGFW paketini seçə bilərsiniz. Bu an. Abunəliklərin özləri bir, iki və ya üç il müddətinə alına bilər.
İlk sualınızı təxmin edə bilərəm! "Abunəlik yenilənməsə nə olar?" HƏMİŞƏ işləyəcək və uzantılar OLMADAN bıçaqları yaşıl rənglə xüsusi olaraq vurğuladım. Sözdə əbədi solğunlar. Daimi yenilənmə tələb edən qalan bıçaqlar sadəcə işləməyi dayandıracaq. Yaxşı, bəlkə də IPS-də hələ də əsas imzalar işləyəcək (lakin onlardan çox azdır). Bu, həm hardware, həm də virtual maşınlar üçün doğrudur, yəni. vSec.
Ayrı bir maddə olaraq, heç bir dəstdə olmayan üç bıçağı vurğuladım: DLP, MAB və Kapsül.
Həmçinin unutmayın ki, klaster həlli alsanız, ikinci cihaz kimi HA şəkilçisi (yəni Yüksək Əlçatımlılıq) olan modeli seçin. Şəkildə şlüz 5400 üçün nümunə göstərilir. Bu, şlüzlərə aiddir. İndi idarəetmə serveri.
İdarəetmə serverinin lisenziyalaşdırılması
İlk dərslərdə artıq dediyimiz kimi, Check Point-in həyata keçirilməsi üçün iki ssenari var: Bağımsız (həm şlüz, həm də idarəetmə bir cihazda olduqda) və Paylanmış (idarəetmə serveri ayrıca cihazda yerləşdirildikdə). Ancaq seçimlər bununla bitmir. İdarəetmə serverinin yerləşdirilməsi üçün üç tipik ssenariyə baxaq:
- Xüsusi NGSM-nin satın alınması. Ən populyar variant. Smart-1 aparatını və ya virtual aparatını seçin. Siz, əlbəttə ki, idarə edəcəyiniz neçə şlüzdən asılı olaraq seçirsiniz, 5, 10, 25 və s. Bu cihazı yerləşdirməklə siz idarəetmə serverinin 4 açar blokundan istifadə edə bilərsiniz: NPM (yəni siyasət idarəçiliyi), Logging və Status (yəni giriş), Smart Event (Bütün hesabatları bizə təqdim edən Check Point-dən SIEM) və Uyğunluq (bu ya bəzi tənzimləyici tələblərə, eyni PCI DSS və ya sadəcə Ən Yaxşı Təcrübəyə uyğunluq baxımından parametrlərin keyfiyyətinin qiymətləndirilməsidir). NPM və LS bıçaqlarının daimi bıçaq olduğunu dərhal görə bilərsiniz, yəni. abunəlikləri yeniləmədən işləyəcək, lakin Smart Event və Compliance blade-ləri yalnız birinci il üçün daxildir! Sonra ayrı-ayrı pul üçün yenilənmək lazımdır. Bu vacib bir məqamdır, unutmayın. Əgər siz hələ də Compliance blade olmadan yaşaya bilirsinizsə, o zaman hər kəsin Smart Event-ə ehtiyacı var.
- Xüsusi Hadisə İdarəetmə serverinin satın alınması Mövcud NGSM idarəetmə serverinə əlavə olaraq. Bu niyə lazımdır? Fakt budur ki, giriş funksiyası və xüsusən də Smart Event kifayət qədər layiqli sistem resurslarını "yeyir". Kifayət qədər çox qeyd varsa, bu, idarəetmə serverində "əyləclərə" səbəb ola bilər. Buna görə də, tez-tez bu funksiyanı ayrıca bir cihaza, Smart-1 aparatına və ya yenidən virtual maşına köçürmək tətbiq olunur. Çoxsaylı qeydləri olan böyük inteqrasiyalar demək olar ki, həmişə Smart Event üçün xüsusi server tələb edir. O, həmçinin qeydləri qəbul edə bilər. Bu yolla idarəetmə serveriniz yalnız idarəetmə funksiyalarını yerinə yetirəcək. Bu, sistemin sabitliyini və cavab vermə qabiliyyətini xeyli yaxşılaşdırır. Gördüyünüz kimi, xüsusi Smart Event serveri satın aldığınız zaman, hətta yeniləmədən belə, daimi istifadə üçün bu iki bıçağı əldə edirsiniz. 3-4 illik üfüqdə bu, hər il adi NGSM serveri üçün Smart Event genişləndirmələri almaqdan daha sərfəli olacaq.
- Xüsusi Günlük idarəetmə serveriNGSM və Smart Event serverlərinə əlavə olaraq gəlir. Məncə mənası aydındır. ÇOX çox sayda log varsa, biz qeyd funksiyasını ayrıca serverə köçürə bilərik. Xüsusi Log serveri də daimi lisenziyaya malikdir və yenilənmə tələb etmir.
Video dərsi
Lisenziyaların idarə edilməsi və Check Point texniki dəstəyi haqqında daha çox məlumatı burada tapa bilərsiniz:
Mənbə: www.habr.com