ProHoster > Blog > διαχείριση > 13. Check Point Getting Started R80.20. Αδειοδότηση

13. Check Point Getting Started R80.20. Αδειοδότηση

13. Check Point Getting Started R80.20. Αδειοδότηση

Χαιρετισμούς, φίλοι! Και τελικά φτάσαμε στο τελευταίο, τελευταίο μάθημα του Check Point Getting Started. Σήμερα θα μιλήσουμε για ένα πολύ σημαντικό θέμα - Αδειοδότηση. Σπεύδω να σας προειδοποιήσω ότι αυτό το μάθημα δεν είναι ένας εξαντλητικός οδηγός για την επιλογή εξοπλισμού ή αδειών. Αυτή είναι απλώς μια περίληψη των βασικών σημείων που πρέπει να γνωρίζει οποιοσδήποτε διαχειριστής του Check Point. Εάν πραγματικά σας προβληματίζει η επιλογή άδειας ή συσκευής, τότε είναι καλύτερα να απευθυνθείτε σε επαγγελματίες, δηλ. σε εμάς :). Υπάρχουν πολλές παγίδες για τις οποίες είναι πολύ δύσκολο να μιλήσουμε στην πορεία, και ούτε θα μπορείτε να τις θυμηθείτε αμέσως.
Το μάθημά μας θα είναι εντελώς θεωρητικό, ώστε να μπορείτε να απενεργοποιήσετε τους μακέτες σας και να χαλαρώσετε. Στο τέλος του άρθρου θα βρείτε ένα μάθημα βίντεο όπου εξηγώ τα πάντα με περισσότερες λεπτομέρειες.

Αδειοδότηση πύλης

Ας ξεκινήσουμε με μια περιγραφή των χαρακτηριστικών αδειοδότησης των πυλών ασφαλείας. Επιπλέον, αυτό ισχύει τόσο για uplines υλικού όσο και για εικονικές μηχανές. Ας υποθέσουμε ότι αποφασίσατε να αγοράσετε μια πύλη. Είναι αδύνατο να αγοράσετε απλά ένα κομμάτι υλικού ή μια εικονική μηχανή χωρίς «συνδρομές»! Υπάρχουν τρεις επιλογές συνδρομής:

13. Check Point Getting Started R80.20. Αδειοδότηση

Και τώρα το πρώτο ενδιαφέρον χαρακτηριστικό! Μπορείτε να αγοράσετε μόνο μια συσκευή ή μια εικονική μηχανή με συνδρομές NGTP ή NGTX. Αλλά όταν ανανεώνετε τη συνδρομή σας, μπορείτε ήδη να επιλέξετε το πακέτο NGFW, εάν δεν χρειάζεστε λεπίδες AV, AB, URL, AS, TE και TX. Αυτή είναι η στιγμή. Οι ίδιες οι συνδρομές μπορούν να αγοραστούν για περίοδο ενός, δύο ή τριών ετών.

Μπορώ να προβλέψω την πρώτη σου ερώτηση! "Τι συμβαίνει εάν η συνδρομή δεν ανανεωθεί;" Τόνισα συγκεκριμένα με πράσινο αυτές τις λεπίδες που ΠΑΝΤΑ θα λειτουργούν και ΧΩΡΙΣ επεκτάσεις. Τα λεγόμενα perpetual pales. Οι υπόλοιπες λεπίδες που απαιτούν συνεχή ενημέρωση απλώς θα σταματήσουν να λειτουργούν. Λοιπόν, ίσως το IPS να έχει ακόμα βασικές υπογραφές που λειτουργούν (αλλά υπάρχουν πολύ λίγες από αυτές). Αυτό ισχύει τόσο για το υλικό όσο και για τις εικονικές μηχανές, δηλ. vSec.

Ως ξεχωριστό στοιχείο, επισήμανα τρεις λεπίδες που δεν περιλαμβάνονται σε κανένα κιτ: DLP, MAB και Capsule.

Θυμηθείτε επίσης ότι εάν αγοράσετε μια λύση συμπλέγματος, επιλέξτε ένα μοντέλο με το επίθημα HA (δηλαδή Υψηλή Διαθεσιμότητα) ως δεύτερη συσκευή. Η εικόνα δείχνει ένα παράδειγμα για την πύλη 5400. Αυτό αφορά τις πύλες. Τώρα ο διακομιστής διαχείρισης.

Αδειοδότηση διακομιστή διαχείρισης

Όπως είπαμε ήδη στα πρώτα μαθήματα, υπάρχουν δύο σενάρια για την εφαρμογή του Check Point: Αυτόνομο (όταν και η πύλη και η διαχείριση βρίσκονται σε μία συσκευή) και το Κατανεμημένο (όταν ο διακομιστής διαχείρισης τοποθετείται σε ξεχωριστή συσκευή). Ωστόσο, οι επιλογές δεν τελειώνουν εκεί. Ας δούμε τρία τυπικά σενάρια για την ανάπτυξη ενός διακομιστή διαχείρισης:

13. Check Point Getting Started R80.20. Αδειοδότηση

  1. Αγορά αποκλειστικού NGSM. Η πιο δημοφιλής επιλογή. Επιλέξτε είτε υλικό Smart-1 είτε εικονικό υλικό. Επιλέγετε, φυσικά, με βάση πόσες πύλες θα διαχειρίζεστε, 5, 10, 25 κ.λπ. Με την ανάπτυξη αυτής της συσκευής, μπορείτε να χρησιμοποιήσετε 4 βασικά blade του διακομιστή διαχείρισης: NPM (δηλαδή διαχείριση πολιτικής), Καταγραφή και κατάσταση (δηλαδή καταγραφή), Έξυπνο συμβάν (SIEM από το Check Point, το οποίο μας παρέχει όλες τις αναφορές) και Συμμόρφωση (αυτό είναι μια αξιολόγηση της ποιότητας των ρυθμίσεων, είτε για συμμόρφωση με ορισμένες ρυθμιστικές απαιτήσεις, το ίδιο PCI DSS, είτε απλώς Βέλτιστη Πρακτική). Μπορείτε να δείτε αμέσως ότι οι λεπίδες NPM και LS είναι μόνιμες λεπίδες, δηλ. θα λειτουργήσει χωρίς ανανέωση συνδρομών, αλλά τα Smart Event και Compliance blades περιλαμβάνονται μόνο για τον πρώτο χρόνο! Στη συνέχεια πρέπει να ανανεωθούν με ξεχωριστά χρήματα. Αυτό είναι ένα σημαντικό σημείο, μην ξεχνάτε. Και αν εξακολουθείτε να μπορείτε να ζήσετε χωρίς μια λεπίδα Συμμόρφωσης, τότε απολύτως όλοι χρειάζονται Smart Event.
  2. Αγορά ενός αποκλειστικού διακομιστή διαχείρισης εκδηλώσεων ΕΠΙΠΛΕΟΝ στον υπάρχοντα διακομιστή διαχείρισης NGSM. Γιατί είναι απαραίτητο αυτό; Γεγονός είναι ότι η λειτουργία καταγραφής και ειδικά το Smart Event «τρώει» αρκετά αξιοπρεπείς πόρους συστήματος. Και αν υπάρχουν πολλά αρχεία καταγραφής, τότε αυτό μπορεί να οδηγήσει σε "φρένα" στον διακομιστή ελέγχου. Ως εκ τούτου, συχνά ασκείται η μεταφορά αυτής της λειτουργικότητας σε μια ξεχωριστή συσκευή, υλικό Smart-1 ή, πάλι, σε μια εικονική μηχανή. Οι μεγάλες ενσωματώσεις με μεγάλο αριθμό αρχείων καταγραφής απαιτούν σχεδόν πάντα έναν αποκλειστικό διακομιστή για το Smart Event. Μπορεί επίσης να λάβει αρχεία καταγραφής. Με αυτόν τον τρόπο ο διακομιστής διαχείρισης θα εκτελεί μόνο λειτουργίες διαχείρισης. Αυτό βελτιώνει σημαντικά τη σταθερότητα και την απόκριση του συστήματος. Όπως μπορείτε να δείτε, όταν αγοράζετε έναν αποκλειστικό διακομιστή Smart Event, έχετε αυτά τα δύο blades για μόνιμη χρήση, ακόμη και χωρίς ανανέωση. Σε ορίζοντα 3-4 ετών, αυτό θα είναι ακόμη πιο οικονομικό από την αγορά επεκτάσεων Smart Event για έναν κανονικό διακομιστή NGSM κάθε χρόνο.
  3. Αποκλειστικός διακομιστής διαχείρισης αρχείων καταγραφής, το οποίο έρχεται εκτός από διακομιστές NGSM και Smart Event. Νομίζω ότι το νόημα είναι ξεκάθαρο. Εάν υπάρχει ΠΟΛΥ μεγάλος αριθμός αρχείων καταγραφής, μπορούμε να μετακινήσουμε τη λειτουργία καταγραφής σε ξεχωριστό διακομιστή. Ο αποκλειστικός διακομιστής καταγραφής έχει επίσης μόνιμη άδεια χρήσης και δεν χρειάζεται ανανέωση.

Εκπαιδευτικό βίντεο

Βρείτε περισσότερες πληροφορίες σχετικά με τη διαχείριση άδειας χρήσης και την τεχνική υποστήριξη του Check Point εδώ:



Πηγή: www.habr.com

Προσθέστε ένα σχόλιο