Поздрави приятели! И най-накрая стигнахме до последния, последен урок от Check Point Getting Started. Днес ще говорим за една много важна тема - лицензиране. Бързам да ви предупредя, че този урок не е изчерпателно ръководство за избор на оборудване или лицензи. Това е само обобщение на ключовите точки, които всеки администратор на Check Point трябва да знае. Ако наистина сте озадачени от избора на лиценз или устройство, тогава е по-добре да се обърнете към професионалисти, т.е. за нас :). Има много клопки, за които е много трудно да се говори в курса, и вие също няма да можете да си спомните веднага.
Урокът ни ще бъде напълно теоретичен, така че можете да изключите сървърите си за моделиране и да се отпуснете. В края на статията ще намерите видео урок, в който обяснявам всичко по-подробно.
Лицензиране на шлюз
Нека започнем с описание на характеристиките за лицензиране на защитните портали. Освен това, това важи както за хардуерни надстройки, така и за виртуални машини. Да речем, че решите да закупите шлюз. Невъзможно е просто да закупите хардуер или виртуална машина без „абонаменти“! Има три опции за абонамент:
А сега първата интересна функция! Можете да закупите устройство или виртуална машина само с абонаменти за NGTP или NGTX. Но когато подновите абонамента си, вече можете да изберете пакета NGFW, ако не се нуждаете от AV, AB, URL, AS, TE и TX блейдове. Това е моментът. Самите абонаменти могат да бъдат закупени за период от една, две или три години.
Мога да предвидя първия ви въпрос! “Какво се случва, ако абонаментът не бъде подновен?" Специално подчертах в зелено онези остриета, които ВИНАГИ ще работят и БЕЗ удължители. Така наречените вечни бледи. Останалите блейдове, които изискват постоянно актуализиране, просто ще спрат да работят. Е, може би IPS все още ще има работещи ключови подписи (но има много малко от тях). Това важи както за хардуера, така и за виртуалните машини, т.е. vSec.
Като отделен елемент подчертах три остриета, които не са включени в нито един комплект: DLP, MAB и Capsule.
Също така не забравяйте, че ако купувате клъстерно решение, изберете модел със суфикс HA (т.е. High Availability) като второ устройство. Картината показва пример за шлюз 5400. Това се отнася за шлюзове. Сега сървърът за управление.
Лицензиране на сървър за управление
Както вече казахме в първите уроци, има два сценария за внедряване на Check Point: самостоятелен (когато шлюзът и управлението са на едно устройство) и разпределен (когато сървърът за управление е поставен на отделно устройство). Опциите обаче не свършват дотук. Нека да разгледаме три типични сценария за разполагане на сървър за управление:
- Закупуване на специален NGSM. Най-популярният вариант. Изберете хардуер Smart-1 или виртуален хардуер. Вие избирате, разбира се, въз основа на това колко шлюза ще администрирате, 5, 10, 25 и т.н. С внедряването на това устройство можете да използвате 4 ключови блейд сървъра за управление: NPM (т.е. управление на политики), регистриране и състояние (т.е. регистриране), интелигентно събитие (SIEM от Check Point, което ни дава всички отчети) и съответствие (това е оценка на качеството на настройките, или за съответствие с някои регулаторни изисквания, същия PCI DSS, или просто най-добра практика). Веднага можете да видите, че остриетата NPM и LS са постоянни остриета, т.е. ще работи без подновяване на абонаменти, но блейдовете Smart Event и Compliance са включени само за първата година! След това те трябва да бъдат подновени за отделни пари. Това е важен момент, не забравяйте. И ако все още можете да живеете без Compliance blade, тогава абсолютно всеки има нужда от Smart Event.
- Закупуване на специален сървър за управление на събития В ДОПЪЛНЕНИЕ към съществуващия сървър за управление на NGSM. Защо е необходимо това? Факт е, че функцията за регистриране и особено Smart Event „изяжда“ доста прилични системни ресурси. И ако има доста много регистрационни файлове, това може да доведе до „спирачки“ на контролния сървър. Затова често се практикува тази функционалност да се премести на отделно устройство, хардуер Smart-1 или отново виртуална машина. Големите интеграции с голям брой регистрационни файлове почти винаги изискват специален сървър за Smart Event. Може също да получава логове. По този начин вашият сървър за управление ще изпълнява само функции за управление. Това значително подобрява стабилността и отзивчивостта на системата. Както можете да видите, когато закупите специален сървър за Smart Event, вие получавате тези две блейд устройства за постоянно ползване, дори без подновяване. За период от 3-4 години това ще бъде дори по-рентабилно от закупуването на разширения за Smart Event за обикновен NGSM сървър всяка година.
- Специализиран сървър за управление на регистрационни файлове, който идва в допълнение към NGSM и Smart Event сървъри. Мисля, че смисълът е ясен. Ако има МНОГО голям брой регистрационни файлове, можем да преместим функцията за регистриране на отделен сървър. Специализираният Log сървър също има постоянен лиценз и не изисква подновяване.
Видео урок
Намерете повече информация относно управлението на лицензи и техническата поддръжка на Check Point тук:
Източник: www.habr.com