Cyfarchion, ffrindiau! Ac o'r diwedd fe gyrhaeddon ni'r un olaf, gwers olaf Check Point Cychwyn Arni. Heddiw byddwn yn siarad am bwnc pwysig iawn - Trwyddedu. Brysiaf i'ch rhybuddio nad yw'r wers hon yn ganllaw cynhwysfawr i ddewis offer neu drwyddedau. Dim ond crynodeb yw hwn o'r pwyntiau allweddol y dylai unrhyw weinyddwr Pwynt Gwirio eu gwybod. Os ydych chi'n wirioneddol ddryslyd gan y dewis o drwydded neu ddyfais, yna mae'n well troi at weithwyr proffesiynol, h.y. i ni :). Mae yna lawer o beryglon sy'n anodd iawn siarad amdanyn nhw yn y cwrs, ac ni fyddwch chi'n gallu ei gofio ar unwaith chwaith.
Bydd ein gwers yn gwbl ddamcaniaethol, felly gallwch chi ddiffodd eich gweinyddwyr ffug ac ymlacio. Ar ddiwedd yr erthygl fe welwch wers fideo lle byddaf yn esbonio popeth yn fwy manwl.
Trwyddedu Porth
Gadewch i ni ddechrau gyda disgrifiad o nodweddion trwyddedu pyrth diogelwch. Ar ben hynny, mae hyn yn berthnasol i uwch-linellau caledwedd a pheiriannau rhithwir. Gadewch i ni ddweud eich bod yn penderfynu prynu porth. Mae'n amhosib prynu darn o galedwedd neu beiriant rhithwir heb “danysgrifiadau”! Mae tri opsiwn tanysgrifio:
Ac yn awr y nodwedd ddiddorol gyntaf! Dim ond gyda thanysgrifiadau NGTP neu NGTX y gallwch brynu dyfais neu beiriant rhithwir. Ond pan fyddwch chi'n adnewyddu'ch tanysgrifiad, gallwch chi eisoes ddewis y pecyn NGFW os nad oes angen llafnau AV, AB, URL, AS, TE a TX arnoch chi. Dyma'r foment. Gellir prynu tanysgrifiadau eu hunain am gyfnod o un, dwy neu dair blynedd.
Gallaf ragweld eich cwestiwn cyntaf! “Beth sy'n digwydd os na chaiff y tanysgrifiad ei adnewyddu?" Amlygais yn benodol mewn gwyrdd y llafnau hynny a fydd BOB AMSER yn gweithio, a HEB estyniadau. Yr hyn a elwir yn welwau gwastadol. Bydd y llafnau sy'n weddill y mae angen eu diweddaru'n gyson yn rhoi'r gorau i weithio. Wel, efallai y bydd gan yr IPS lofnodion allweddol yn gweithio o hyd (ond ychydig iawn ohonynt). Mae hyn yn wir am galedwedd a pheiriannau rhithwir, h.y. vSec.
Fel eitem ar wahân, amlygais dri llafn nad ydynt wedi'u cynnwys mewn unrhyw becyn: CLLD, MAB a Capsiwl.
Cofiwch hefyd, os ydych chi'n prynu datrysiad clwstwr, yna dewiswch fodel gyda'r ôl-ddodiad HA (h.y. Argaeledd Uchel) fel yr ail ddyfais. Mae'r llun yn dangos enghraifft ar gyfer porth 5400. Mae hyn yn ymwneud â phyrth. Nawr y gweinydd rheoli.
Trwyddedu gweinydd rheoli
Fel y dywedasom eisoes yn y gwersi cyntaf, mae dau senario ar gyfer gweithredu Check Point: Standalone (pan fydd y porth a'r rheolaeth ar un ddyfais) a Distributed (pan osodir y gweinydd rheoli ar ddyfais ar wahân). Fodd bynnag, nid yw'r opsiynau'n gorffen yno. Edrychwn ar dri senario nodweddiadol ar gyfer defnyddio gweinydd rheoli:
- Prynu NGSM pwrpasol. Yr opsiwn mwyaf poblogaidd. Dewiswch naill ai caledwedd Smart-1 neu galedwedd rhithwir. Rydych chi'n dewis, wrth gwrs, yn seiliedig ar faint o byrth y byddwch chi'n eu gweinyddu, 5, 10, 25, ac ati. Trwy ddefnyddio'r ddyfais hon, gallwch ddefnyddio 4 llafn allweddol y gweinydd rheoli: NPM (h.y. rheoli polisi), Logio a Statws (h.y. logio), Digwyddiad Clyfar (SIEM o Check Point, sy'n rhoi'r holl adrodd i ni) a Chydymffurfiaeth (hyn yn asesiad o ansawdd y lleoliadau, naill ai ar gyfer cydymffurfio â rhai gofynion rheoliadol, yr un PCI DSS, neu yn syml Arfer Gorau). Gallwch weld ar unwaith bod y llafnau NPM a LS yn llafnau parhaol, h.y. yn gweithio heb adnewyddu tanysgrifiadau, ond dim ond am y flwyddyn gyntaf y mae'r llafnau Digwyddiad Clyfar a Chydymffurfiaeth wedi'u cynnwys! Yna mae angen eu hadnewyddu am arian ar wahân. Mae hwn yn bwynt pwysig, peidiwch ag anghofio. Ac os gallwch chi barhau i fyw heb lafn Cydymffurfio, yna mae angen Digwyddiad Clyfar ar bawb.
- Prynu gweinydd Rheoli Digwyddiad pwrpasol YN YCHWANEGOL i'r gweinydd rheoli NGSM presennol. Pam fod hyn yn angenrheidiol? Y ffaith yw bod y swyddogaeth logio ac yn enwedig Smart Event yn “bwyta i ffwrdd” adnoddau system eithaf gweddus. Ac os oes cryn dipyn o logiau, yna gall hyn arwain at “breciau” ar y gweinydd rheoli. Felly, mae'n cael ei arfer yn aml i symud y swyddogaeth hon i ddyfais ar wahân, caledwedd Smart-1 neu, unwaith eto, peiriant rhithwir. Mae integreiddiadau mawr gyda nifer fawr o logiau bron bob amser yn gofyn am weinydd pwrpasol ar gyfer Digwyddiad Clyfar. Gall hefyd dderbyn logiau. Fel hyn bydd eich gweinydd rheoli yn cyflawni swyddogaethau rheoli yn unig. Mae hyn yn gwella sefydlogrwydd ac ymatebolrwydd y system yn fawr. Fel y gallwch weld, pan fyddwch chi'n prynu gweinydd Digwyddiad Clyfar pwrpasol, rydych chi'n cael y ddau lafn hyn i'w defnyddio'n barhaol, hyd yn oed heb eu hadnewyddu. Dros orwel 3-4 blynedd, bydd hyn hyd yn oed yn fwy cost-effeithiol na phrynu estyniadau Digwyddiad Clyfar ar gyfer gweinydd NGSM rheolaidd bob blwyddyn.
- Gweinydd rheoli Log pwrpasol, sy'n dod yn ychwanegol at weinyddion NGSM a Smart Event. Rwy'n meddwl bod yr ystyr yn glir. Os oes nifer fawr IAWN o logiau, gallwn symud y swyddogaeth logio i weinydd ar wahân. Mae gan y gweinydd Log pwrpasol hefyd drwydded barhaol ac nid oes angen ei adnewyddu.
Gwers fideo
Dewch o hyd i ragor o wybodaeth am reoli trwyddedau a chymorth technegol Check Point yma:
Ffynhonnell: hab.com