13. Check Point Erste Schritte R80.20. Lizenzierung

13. Check Point Erste Schritte R80.20. Lizenzierung

Hallo zusammen! Endlich sind wir beim letzten, abschließenden Kapitel des Check Point Einsteigerkurses angekommen.Heute sprechen wir ĂŒber ein sehr wichtiges Thema — LizenzierungIch möchte gleich klarstellen, dass diese Lektion kein umfassendes Handbuch zur Auswahl von Hardware oder Lizenzen ist. Es ist lediglich eine kurze Zusammenfassung der wesentlichen Punkte, die jeder Check Point-Administrator wissen sollte. Wenn Sie tatsĂ€chlich unsicher sind, welche Lizenz oder welches GerĂ€t Sie wĂ€hlen sollen, wenden Sie sich am besten an Fachleute, also an uns :). Es gibt viele Fallstricke, die in einem Kurs schwer zu behandeln sind, und es wird auch nicht leicht sein, sich alles sofort zu merken.
Diese Lektion wird rein theoretisch sein, Sie können also Ihre Testserver ausschalten und sich entspannen. Am Ende des Artikels finden Sie ein Video-Tutorial, in dem ich alles ausfĂŒhrlicher erklĂ€re.

Lizenzierung des Gateways

Lassen Sie uns mit den Lizenzierungsmerkmalen von Sicherheits-Gateways beginnen. Dies betrifft sowohl physische Appliances als auch virtuelle Maschinen. Angenommen, Sie haben sich entschieden, ein Gateway zu kaufen. Es ist nicht möglich, einfach ein GerĂ€t oder eine virtuelle Maschine ohne "Abonnements" zu kaufen! Dabei gibt es drei Optionen fĂŒr Abonnements:

13. Check Point Erste Schritte R80.20. Lizenzierung

Und hier ist das erste interessante Detail! Sie können ein GerĂ€t oder eine virtuelle Maschine nur mit den Abonnements NGTP oder NGTX erwerben. Bei der VerlĂ€ngerung Ihres Abonnements haben Sie jedoch die Möglichkeit, das Paket NGFW auszuwĂ€hlen, falls Sie die Blades AV, AB, URL, AS, TE und TX nicht benötigen. Das ist ein wichtiger Punkt. Die Abonnements können fĂŒr ein, zwei oder drei Jahre erworben werden.

Ich kann Ihre erste Frage vorwegnehmen! “Was passiert, wenn das Abonnement nicht verlĂ€ngert wird?”. Ich habe die Blades, die IMMER funktionieren und ohne VerlĂ€ngerung nutzbar sind, absichtlich grĂŒn markiert. Diese sogenannten perpetual Blades. Alle anderen Blades, die eine stĂ€ndige Aktualisierung erfordern, werden einfach nicht mehr funktionieren. Lediglich bei IPS bleiben einige SchlĂŒssel-Signaturen aktiv (aber es sind nur sehr wenige). Dies gilt sowohl fĂŒr Hardware als auch fĂŒr virtuelle Maschinen, also vSec.

Ich habe drei Blades, die in kein Paket gehören, gesondert hervorgehoben: DLP, MAB und Capsule.

Denken Sie auch daran, dass, wenn Sie eine Clusterlösung kaufen, das zweite GerĂ€t ein Modell mit dem Suffix HA (d. h. High Availability) sein sollte. In der Abbildung finden Sie ein Beispiel fĂŒr das Gateway 5400. Das gilt fĂŒr Gateways. Nun zum Management-Server.

Lizenzierung des Management-Servers

Wie bereits in den ersten Lektionen erwĂ€hnt, gibt es zwei Szenarien fĂŒr die Implementierung von Check Point: Standalone (wenn sich Gateways und Management auf einem GerĂ€t befinden) und Distributed (wenn der Management-Server auf ein separates GerĂ€t verlagert wird). Doch damit enden die Optionen nicht. Lassen Sie uns drei typische Szenarien fĂŒr die Bereitstellung des Management-Servers betrachten:

13. Check Point Erste Schritte R80.20. Lizenzierung

  1. Kauf eines dedizierten NGSM. Die beliebteste Option. Sie wĂ€hlen entweder die Smart-1 Hardware oder die virtuelle Lösung. Die Entscheidung hĂ€ngt natĂŒrlich davon ab, wie viele Gateways Sie verwalten möchten: 5, 10, 25 usw. Mit diesem GerĂ€t können Sie vier SchlĂŒsselblade des Managementservers nutzen: NPM (d.h. die Verwaltung von Richtlinien), Logging and Status (d.h. Protokollierung), Smart Event (SIEM von Check Point, das uns alle Berichte liefert) und Compliance (eine Bewertung der QualitĂ€t der Einstellungen, entweder zur Einhaltung regulatorischer Anforderungen wie PCI DSS oder einfach Best Practices). Dabei ist zu beachten, dass die Blades NPM und LS permanente Blades sind, die auch ohne VerlĂ€ngerung der Abonnements funktionieren, wĂ€hrend die Blades Smart Event und Compliance nur im ersten Jahr im Paket enthalten sind! Danach mĂŒssen sie kostenpflichtig verlĂ€ngert werden. Dies ist ein wichtiger Punkt, den Sie nicht vergessen sollten. Und wĂ€hrend man ohne das Compliance-Blade noch leben kann, ist Smart Event fĂŒr alle absolut notwendig.
  2. Kauf eines dedizierten Event Management Servers ZUSÄTZLICH zu dem bereits vorhandenen Server Management von NGSM. Warum ist das notwendig? Der Grund ist, dass die Protokollierungsfunktionen, insbesondere Smart Event, erhebliche Systemressourcen beanspruchen. Wenn es viele Protokolle gibt, kann dies zu „Verzögerungen“ fĂŒhren. Server Management. Daher wird oft empfohlen, diese FunktionalitĂ€t auf ein separates GerĂ€t auszulagern, wie die Smart-1 oder wieder eine virtuelle Maschine. Große Integrationen, die mit einer hohen Anzahl von Protokollen arbeiten, benötigen in der Regel einen dedizierten Server fĂŒr Smart Event. Dieser kann auch Protokolle empfangen. So wird Ihr Management-Server lediglich fĂŒr Management-Funktionen verwendet. Dies erhöht signifikant die StabilitĂ€t und Reaktionsgeschwindigkeit des Systems. Wie zu erkennen ist, erhalten Sie beim Kauf eines dedizierten Smart Event Servers diese beiden Blades zur dauerhaften Nutzung, auch ohne VerlĂ€ngerung. Im Zeitraum von 3-4 Jahren wird dies wirtschaftlich sogar gĂŒnstiger sein, als jedes Jahr VerlĂ€ngerungen fĂŒr Smart Event auf einem normalen NGSM Server zu kaufen.
  3. Dedizierter Log Management Server, der als ErgĂ€nzung zu NGSM und Smart Event Servern dient. Der Sinn sollte klar sein. Bei SEHR großen Protokollmengen können wir die Logging-Funktion auf einen separaten Server auslagern. Der dedizierte Log Server hat auch eine permanente Lizenz und erfordert keine VerlĂ€ngerung.

Video-Tutorial

Hier finden Sie zusĂ€tzliche Informationen zum Lizenzmanagement und zur technischen UnterstĂŒtzung von Check Point:

Video abspielen


Quelle: habr.com
Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster