Grüße Freunde! Und endlich sind wir beim letzten angekommen, letzte Lektion von Check Point Getting Started. Heute werden wir über ein sehr wichtiges Thema sprechen – Zulassung. Ich möchte Sie darauf aufmerksam machen, dass diese Lektion keine erschöpfende Anleitung zur Auswahl von Ausrüstung oder Lizenzen ist. Dies ist nur eine Zusammenfassung der wichtigsten Punkte, die jeder Check Point-Administrator kennen sollte. Wenn Sie bei der Wahl der Lizenz oder des Geräts wirklich verwirrt sind, wenden Sie sich besser an Profis, d. H. zu uns :). Es gibt viele Fallstricke, über die man im Kurs nur sehr schwer sprechen kann und an die man sich auch nicht sofort erinnern kann.
Unsere Unterrichtsstunde wird komplett theoretisch sein, sodass Sie Ihre Modellserver ausschalten und entspannen können. Am Ende des Artikels finden Sie eine Videolektion, in der ich alles genauer erkläre.
Gateway-Lizenzierung
Beginnen wir mit einer Beschreibung der Lizenzierungsfunktionen von Sicherheitsgateways. Darüber hinaus gilt dies sowohl für Hardware-Uplines als auch für virtuelle Maschinen. Nehmen wir an, Sie entscheiden sich für den Kauf eines Gateways. Es ist unmöglich, ohne „Abonnements“ einfach eine Hardware oder eine virtuelle Maschine zu kaufen! Es gibt drei Abonnementoptionen:
Und jetzt das erste interessante Feature! Sie können ein Gerät oder eine virtuelle Maschine nur mit NGTP- oder NGTX-Abonnements kaufen. Aber wenn Sie Ihr Abonnement verlängern, können Sie bereits das NGFW-Paket wählen, wenn Sie keine AV-, AB-, URL-, AS-, TE- und TX-Blades benötigen. Das ist der Moment. Die Abonnements selbst können für einen Zeitraum von einem, zwei oder drei Jahren erworben werden.
Ich kann Ihre erste Frage vorhersagen! „Was passiert, wenn das Abonnement nicht verlängert wird?" Ich habe speziell die Klingen grün hervorgehoben, die IMMER und OHNE Verlängerungen funktionieren. Die sogenannten ewigen Blässe. Die verbleibenden Blades, die ständig aktualisiert werden müssen, funktionieren einfach nicht mehr. Nun ja, vielleicht werden die Schlüsselsignaturen des IPS noch funktionieren (aber es gibt nur sehr wenige davon). Dies gilt sowohl für Hardware als auch für virtuelle Maschinen, d. h. vSek.
Als separaten Artikel habe ich drei Klingen hervorgehoben, die in keinem Kit enthalten sind: DLP, MAB und Capsule.
Denken Sie außerdem daran, dass Sie beim Kauf einer Cluster-Lösung als zweites Gerät ein Modell mit der Endung HA (also High Availability) wählen. Das Bild zeigt ein Beispiel für Gateway 5400. Es handelt sich hierbei um Gateways. Jetzt der Verwaltungsserver.
Lizenzierung des Verwaltungsservers
Wie wir bereits in den ersten Lektionen erwähnt haben, gibt es zwei Szenarien für die Implementierung von Check Point: Standalone (wenn sich sowohl das Gateway als auch die Verwaltung auf einem Gerät befinden) und verteilt (wenn der Verwaltungsserver auf einem separaten Gerät platziert ist). Die Optionen enden hier jedoch nicht. Schauen wir uns drei typische Szenarien für die Bereitstellung eines Verwaltungsservers an:
- Kauf eines dedizierten NGSM. Die beliebteste Option. Wählen Sie entweder Smart-1-Hardware oder virtuelle Hardware. Sie wählen natürlich basierend darauf, wie viele Gateways Sie verwalten möchten, 5, 10, 25 usw. Durch den Einsatz dieses Geräts können Sie 4 wichtige Management-Server-Blades verwenden: NPM (d. h. Richtlinienverwaltung), Protokollierung und Status (d. h. Protokollierung), Smart Event (SIEM von Check Point, das uns alle Berichte liefert) und Compliance (dies ist ein Bewertung der Qualität der Einstellungen, entweder hinsichtlich der Einhaltung einiger regulatorischer Anforderungen, des gleichen PCI DSS oder einfach Best Practice). Man erkennt sofort, dass es sich bei den NPM- und LS-Klingen um Dauerklingen handelt, d.h. funktioniert ohne Abonnementverlängerung, aber die Smart Event- und Compliance-Blades sind nur für das erste Jahr enthalten! Dann müssen sie gegen gesondertes Geld erneuert werden. Dies ist ein wichtiger Punkt, vergessen Sie nicht. Und wenn man trotzdem ohne Compliance-Blade leben kann, dann braucht wirklich jeder Smart Event.
- Kauf eines dedizierten Event-Management-Servers ZUSÄTZLICH zum vorhandenen NGSM-Verwaltungsserver. Warum ist das notwendig? Tatsache ist, dass die Protokollierungsfunktion und insbesondere Smart Event recht ordentliche Systemressourcen „fressen“. Und wenn es recht viele Protokolle gibt, kann dies zu „Bremsen“ des Steuerungsservers führen. Daher wird häufig praktiziert, diese Funktionalität auf ein separates Gerät, Smart-1-Hardware oder wiederum eine virtuelle Maschine zu verschieben. Große Integrationen mit einer großen Anzahl an Protokollen erfordern fast immer einen dedizierten Server für Smart Event. Es kann auch Protokolle empfangen. Auf diese Weise führt Ihr Verwaltungsserver nur Verwaltungsfunktionen aus. Dies verbessert die Systemstabilität und Reaktionsfähigkeit erheblich. Wie Sie sehen, erhalten Sie beim Kauf eines dedizierten Smart Event Servers diese beiden Blades zur dauerhaften Nutzung, auch ohne Erneuerung. Über einen Zeitraum von drei bis vier Jahren wird dies sogar noch kostengünstiger sein als der jährliche Kauf von Smart Event-Erweiterungen für einen regulären NGSM-Server.
- Dedizierter Protokollverwaltungsserver, das zusätzlich zu NGSM- und Smart Event-Servern erhältlich ist. Ich denke, die Bedeutung ist klar. Wenn es SEHR viele Protokolle gibt, können wir die Protokollierungsfunktion auf einen separaten Server verlagern. Der dedizierte Protokollserver verfügt ebenfalls über eine dauerhafte Lizenz und erfordert keine Erneuerung.
Videoanleitung
Weitere Informationen zur Lizenzverwaltung und zum technischen Support von Check Point finden Sie hier:
Source: habr.com