Salutacions, amics! I finalment hem arribat a l'últim, lliçó final de Check Point Primers passos. Avui parlarem d'un tema molt important: Llicències. M'afanyo a advertir-vos que aquesta lliçó no és una guia exhaustiva per triar equips o llicències. Aquest és només un resum dels punts clau que qualsevol administrador de Check Point hauria de conèixer. Si realment us desconcerta l'elecció de la llicència o el dispositiu, és millor recórrer a professionals, és a dir. a nosaltres :). Hi ha moltes trampes de les quals és molt difícil parlar al curs, i tampoc no les podreu recordar de seguida.
La nostra lliçó serà completament teòrica, de manera que podreu apagar els vostres servidors de maqueta i relaxar-vos. Al final de l'article trobareu una lliçó en vídeo on ho explico tot amb més detall.
Llicència de passarel·la
Comencem amb una descripció de les funcions de llicència de les passarel·les de seguretat. A més, això s'aplica tant a les línies ascendents de maquinari com a les màquines virtuals. Suposem que decidiu comprar una passarel·la. És impossible comprar simplement una peça de maquinari o una màquina virtual sense "subscripcions"! Hi ha tres opcions de subscripció:
I ara la primera funció interessant! Només podeu comprar un dispositiu o màquina virtual amb subscripcions NGTP o NGTX. Però quan renoveu la vostra subscripció, ja podeu triar el paquet NGFW si no necessiteu blades AV, AB, URL, AS, TE i TX. Aquest és el moment. Les subscripcions es poden comprar per un període d'un, dos o tres anys.
Puc predir la teva primera pregunta! “Què passa si no es renova la subscripció?" He destacat específicament en verd aquelles fulles que SEMPRE funcionaran, i SENSE extensions. Els anomenats perpetus pal·lides. Les fulles restants que requereixen una actualització constant deixaran de funcionar simplement. Bé, potser l'IPS encara tindrà signatures de claus en funcionament (però n'hi ha molt poques). Això és cert tant per al maquinari com per a les màquines virtuals, és a dir. vSec.
Com a element separat, vaig destacar tres fulles que no estan incloses en cap kit: DLP, MAB i càpsula.
Recordeu també que si compreu una solució de clúster, trieu un model amb el sufix HA (és a dir, Alta disponibilitat) com a segon dispositiu. La imatge mostra un exemple per a la passarel·la 5400. Es tracta de passarel·les. Ara el servidor de gestió.
Gestió de llicències del servidor
Com ja hem dit a les primeres lliçons, hi ha dos escenaris per implementar Check Point: Autònom (quan tant la passarel·la com la gestió estan en un dispositiu) i Distribuït (quan el servidor de gestió es col·loca en un dispositiu separat). Tanmateix, les opcions no acaben aquí. Vegem tres escenaris típics per desplegar un servidor de gestió:
- Compra de NGSM dedicat. L'opció més popular. Trieu el maquinari Smart-1 o el maquinari virtual. Escolliu, és clar, en funció de quantes passarel·les administrareu, 5, 10, 25, etc. En desplegar aquest dispositiu, podeu utilitzar 4 blades de servidor de gestió de claus: NPM (és a dir, gestió de polítiques), Logging and Status (és a dir, registre), Smart Event (SIEM de Check Point, que ens proporciona tots els informes) i Compliance (és un avaluació de la qualitat de la configuració, ja sigui pel compliment d'alguns requisits normatius, el mateix PCI DSS o simplement la millor pràctica). Podeu veure immediatament que les fulles NPM i LS són fulles permanents, és a dir. funcionarà sense renovar les subscripcions, però les fulles Smart Event i Compliance només s'inclouen durant el primer any! Aleshores s'han de renovar per diners separats. Aquest és un punt important, no ho oblideu. I si encara podeu viure sense una fulla de compliment, llavors absolutament tothom necessita Smart Event.
- Adquisició d'un servidor dedicat per a la gestió d'esdeveniments A MÉS del servidor de gestió NGSM existent. Per què això és necessari? El fet és que la funcionalitat de registre i, sobretot, Smart Event "menja" recursos del sistema força decents. I si hi ha molts registres, això pot provocar "fres" al servidor de control. Per tant, sovint es practica moure aquesta funcionalitat a un dispositiu separat, maquinari Smart-1 o, de nou, a una màquina virtual. Les grans integracions amb un gran nombre de registres gairebé sempre requereixen un servidor dedicat per a Smart Event. També pot rebre registres. D'aquesta manera, el vostre servidor de gestió només realitzarà funcions de gestió. Això millora molt l'estabilitat i la capacitat de resposta del sistema. Com podeu veure, quan compreu un servidor dedicat per a esdeveniments intel·ligents, obtindreu aquestes dues fulles per a un ús permanent, fins i tot sense renovació. En un horitzó de 3-4 anys, això serà encara més rendible que comprar extensions d'esdeveniments intel·ligents per a un servidor NGSM normal cada any.
- Servidor de gestió de registres dedicat, que s'afegeix als servidors NGSM i Smart Event. Crec que el significat és clar. Si hi ha un nombre MOLT gran de registres, podem moure la funció de registre a un servidor independent. El servidor de registre dedicat també té una llicència permanent i no requereix renovació.
Vídeo tutorial
Trobeu més informació sobre la gestió de llicències i el suport tècnic de Check Point aquí:
Font: www.habr.com