Hilsen, venner! Og vi nåede endelig til den sidste, sidste lektion af Check Point Kom godt i gang. I dag vil vi tale om et meget vigtigt emne - Licensering. Jeg skynder mig at advare dig om, at denne lektion ikke er en udtømmende guide til valg af udstyr eller licenser. Dette er blot en oversigt over de vigtigste punkter, som enhver Check Point-administrator bør vide. Hvis du virkelig er forundret over valget af licens eller enhed, så er det bedre at henvende dig til fagfolk, dvs. til os :). Der er mange faldgruber, som er meget svære at tale om på kurset, og du vil heller ikke kunne huske det med det samme.
Vores lektion vil være fuldstændig teoretisk, så du kan slukke for dine mock-up-servere og slappe af. I slutningen af artiklen finder du en videolektion, hvor jeg forklarer alt mere detaljeret.
Gateway-licens
Lad os starte med en beskrivelse af licensfunktionerne i sikkerhedsgateways. Desuden gælder dette både hardware uplines og virtuelle maskiner. Lad os sige, at du beslutter dig for at købe en gateway. Det er umuligt blot at købe et stykke hardware eller en virtuel maskine uden "abonnementer"! Der er tre abonnementsmuligheder:
Og nu den første interessante funktion! Du kan kun købe en enhed eller virtuel maskine med NGTP- eller NGTX-abonnementer. Men når du fornyer dit abonnement, kan du allerede nu vælge NGFW-pakken, hvis du ikke skal bruge AV, AB, URL, AS, TE og TX blade. Dette er tidspunket. Selve abonnementer kan købes for en periode på et, to eller tre år.
Jeg kan forudsige dit første spørgsmål! “Hvad sker der, hvis abonnementet ikke bliver fornyet?" Jeg fremhævede specifikt med grønt de klinger, der ALTID vil fungere, og UDEN forlængelser. Den såkaldte evige blegner. De resterende klinger, der kræver konstant opdatering, holder simpelthen op med at fungere. Nå, måske vil IPS stadig have nøglesignaturer, der virker (men der er meget få af dem). Dette gælder både for hardware og virtuelle maskiner, dvs. vSec.
Som et separat element fremhævede jeg tre blade, der ikke er inkluderet i noget sæt: DLP, MAB og Capsule.
Husk også, at hvis du køber en klyngeløsning, så vælg en model med suffikset HA (dvs. High Availability) som den anden enhed. Billedet viser et eksempel på gateway 5400. Det drejer sig om gateways. Nu administrationsserveren.
Management server licensering
Som vi allerede sagde i de første lektioner, er der to scenarier for implementering af Check Point: Standalone (når både gatewayen og administrationen er på én enhed) og distribueret (når administrationsserveren er placeret på en separat enhed). Mulighederne slutter dog ikke der. Lad os se på tre typiske scenarier for implementering af en administrationsserver:
- Indkøb af dedikeret NGSM. Den mest populære mulighed. Vælg enten Smart-1 hardware eller virtuel hardware. Du vælger selvfølgelig ud fra hvor mange gateways du vil administrere, 5, 10, 25 osv. Ved at implementere denne enhed kan du bruge 4 nøglestyringsserverblade: NPM (dvs. politikstyring), logning og status (dvs. logning), Smart Event (SIEM fra Check Point, som giver os al rapportering) og compliance (dette er en vurdering af kvaliteten af indstillingerne, enten for overholdelse af nogle lovmæssige krav, den samme PCI DSS eller blot Best Practice). Du kan med det samme se, at NPM og LS vingerne er permanente vinger, dvs. vil fungere uden at forny abonnementer, men Smart Event og Compliance blade er kun inkluderet det første år! Så skal de fornyes for separate penge. Dette er et vigtigt punkt, glem det ikke. Og hvis du stadig kan leve uden en Compliance-klinge, så har absolut alle brug for Smart Event.
- Køb af en dedikeret Event Management-server UDOVER den eksisterende NGSM-administrationsserver. Hvorfor er dette nødvendigt? Faktum er, at logningsfunktionaliteten og især Smart Event "tærer" ganske anstændige systemressourcer. Og hvis der er ret mange logfiler, kan dette føre til "bremser" på kontrolserveren. Derfor praktiseres det ofte at flytte denne funktionalitet til en separat enhed, Smart-1 hardware eller igen en virtuel maskine. Store integrationer med et stort antal logs kræver næsten altid en dedikeret server til Smart Event. Den kan også modtage logfiler. På denne måde vil din administrationsserver kun udføre administrationsfunktioner. Dette forbedrer systemets stabilitet og reaktionsevne betydeligt. Som du kan se, når du køber en dedikeret Smart Event-server, får du disse to blade til permanent brug, selv uden fornyelse. Over en 3-4 års horisont vil dette være endnu mere omkostningseffektivt end at købe Smart Event-udvidelser til en almindelig NGSM-server hvert år.
- Dedikeret logstyringsserver, som kommer ud over NGSM- og Smart Event-servere. Jeg tror, meningen er klar. Hvis der er MEGET mange logfiler, kan vi flytte logningsfunktionen til en separat server. Den dedikerede logserver har også en permanent licens og kræver ikke fornyelse.
Video lektion
Find flere oplysninger om licensadministration og Check Point teknisk support her:
Kilde: www.habr.com