Pozdrav, prijatelji! I konačno smo stigli do poslednjeg, završna lekcija Check Point Getting Started. Danas ćemo razgovarati o veoma važnoj temi - Licenciranje. Žurim da vas upozorim da ova lekcija nije iscrpan vodič za odabir opreme ili licenci. Ovo je samo sažetak ključnih tačaka koje bi svaki Check Point administrator trebao znati. Ako ste zaista zbunjeni izborom licence ili uređaja, onda je bolje da se obratite profesionalcima, tj. nama :). Mnogo je zamki o kojima je jako teško govoriti na kursu, a ni toga se nećete moći odmah sjetiti.
Naša lekcija će biti potpuno teoretska, tako da možete isključiti svoje mock-up servere i opustiti se. Na kraju članka naći ćete video lekciju u kojoj sve detaljnije objašnjavam.
Gateway Licensing
Počnimo s opisom karakteristika licenciranja sigurnosnih gateway-a. Štaviše, ovo se odnosi i na hardverske upline i virtuelne mašine. Recimo da ste odlučili kupiti gateway. Nemoguće je jednostavno kupiti komad hardvera ili virtuelnu mašinu bez "pretplate"! Postoje tri opcije pretplate:
A sada prva zanimljiva karakteristika! Možete kupiti samo uređaj ili virtuelnu mašinu sa NGTP ili NGTX pretplatom. Ali kada obnovite svoju pretplatu, već možete odabrati NGFW paket ako vam ne trebaju AV, AB, URL, AS, TE i TX blejdovi. Ovo je trenutak. Same pretplate se mogu kupiti na period od jedne, dvije ili tri godine.
Mogu da predvidim tvoje prvo pitanje! “Šta se dešava ako se pretplata ne obnovi?" Posebno sam zelenom bojom istaknuo one oštrice koje će UVIJEK raditi, i to BEZ ekstenzija. Takozvana vječna bljedila. Preostale oštrice koje zahtijevaju stalno ažuriranje jednostavno će prestati raditi. Pa, možda će IPS i dalje imati funkcionalne ključne potpise (ali ih je vrlo malo). Ovo važi i za hardver i za virtuelne mašine, tj. vSec.
Kao zasebnu stavku, istakao sam tri oštrice koje nisu uključene ni u jedan komplet: DLP, MAB i Capsule.
Također zapamtite da ako kupite klaster rješenje, tada odaberite model sa sufiksom HA (tj. Visoka dostupnost) kao drugi uređaj. Na slici je prikazan primjer za gateway 5400. Ovo se odnosi na gateway. Sada server za upravljanje.
Licenciranje servera za upravljanje
Kao što smo već rekli u prvim lekcijama, postoje dva scenarija za implementaciju Check Point-a: samostalni (kada su i gateway i upravljanje na jednom uređaju) i distribuirani (kada je server za upravljanje postavljen na poseban uređaj). Međutim, opcije se tu ne završavaju. Pogledajmo tri tipična scenarija za postavljanje servera za upravljanje:
- Kupovina namjenskog NGSM-a. Najpopularnija opcija. Odaberite ili Smart-1 hardver ili virtualni hardver. Vi birate, naravno, na osnovu toga koliko gateway-a ćete administrirati, 5, 10, 25, itd. Postavljanjem ovog uređaja možete koristiti 4 ključna blade servera za upravljanje: NPM (tj. upravljanje politikama), evidentiranje i status (tj. evidentiranje), Smart Event (SIEM iz Check Pointa, koji nam daje sve izvještaje) i usklađenost (ovo je procena kvaliteta podešavanja, bilo da se radi o usklađenosti sa nekim regulatornim zahtevima, istim PCI DSS ili jednostavno najboljom praksom). Odmah možete vidjeti da su NPM i LS lopatice trajne oštrice, tj. će raditi bez obnavljanja pretplate, ali blejdovi Smart Event i Compliance uključeni su samo za prvu godinu! Zatim ih je potrebno obnoviti za poseban novac. Ovo je važna tačka, ne zaboravite. A ako i dalje možete živjeti bez Compliance blade-a, onda je apsolutno svima potreban Smart Event.
- Kupovina namenskog servera za upravljanje događajima DODATNO postojećem NGSM serveru za upravljanje. Zašto je to potrebno? Činjenica je da funkcionalnost logovanja, a posebno Smart Event „jedu“ sasvim pristojne sistemske resurse. A ako ima dosta dnevnika, onda to može dovesti do "kočnica" na kontrolnom serveru. Stoga se često praktikuje premještanje ove funkcionalnosti na poseban uređaj, Smart-1 hardver ili, opet, virtualnu mašinu. Velike integracije sa velikim brojem dnevnika skoro uvek zahtevaju namenski server za Smart Event. Također može primati dnevnike. Na ovaj način će vaš server za upravljanje obavljati samo funkcije upravljanja. Ovo značajno poboljšava stabilnost sistema i odziv. Kao što vidite, kada kupite namenski Smart Event server, dobijate ova dva blejda za trajnu upotrebu, čak i bez obnavljanja. U periodu od 3-4 godine, ovo će biti još isplativije od kupovine Smart Event ekstenzija za običan NGSM server svake godine.
- Namjenski server za upravljanje dnevnikom, koji dolazi uz NGSM i Smart Event servere. Mislim da je značenje jasno. Ako postoji VRLO veliki broj dnevnika, možemo premjestiti funkciju evidentiranja na poseban server. Namjenski Log server također ima trajnu licencu i ne zahtijeva obnavljanje.
Video lekcija
Više informacija o upravljanju licencama i tehničkoj podršci za Check Point potražite ovdje:
izvor: www.habr.com