Saluton, amikoj! Kaj ni finfine alvenis al la lasta, fina leciono de Check Point Getting Started. Hodiaŭ ni parolos pri tre grava temo - Licencado. Mi rapidas averti vin, ke ĉi tiu leciono ne estas ĝisfunda gvidilo por elekti ekipaĵon aŭ licencojn. Ĉi tio estas nur resumo de la ĉefaj punktoj, kiujn ĉiu administranto de Check Point devus scii. Se vi vere konfuziĝas pri la elekto de permesilo aŭ aparato, tiam estas pli bone turni sin al profesiuloj, t.e. al ni :). Estas multaj malfacilaĵoj pri kiuj estas tre malfacile paroli en la kurso, kaj ankaŭ vi ne povos tuj memori ĝin.
Nia leciono estos tute teoria, do vi povas malŝalti viajn imitajn servilojn kaj malstreĉiĝi. Fine de la artikolo vi trovos videolecionon, kie mi klarigas ĉion pli detale.
Enireja Licencado
Ni komencu per priskribo de la licencaj funkcioj de sekurecaj enirejoj. Plie, ĉi tio validas por kaj aparataj suprenlinioj kaj virtualaj maŝinoj. Ni diru, ke vi decidas aĉeti enirejon. Estas neeble simple aĉeti aparataron aŭ virtualan maŝinon sen "abonoj"! Estas tri abonopcioj:
Kaj nun la unua interesa trajto! Vi nur povas aĉeti aparaton aŭ virtualan maŝinon kun abonoj NGTP aŭ NGTX. Sed kiam vi renovigas vian abonon, vi jam povas elekti la NGFW-pakaĵon se vi ne bezonas AV, AB, URL, AS, TE kaj TX-klingojn. Jen la momento. Abonoj mem povas esti aĉetitaj por periodo de unu, du aŭ tri jaroj.
Mi povas antaŭdiri vian unuan demandon! “Kio okazas se la abono ne estas renovigita?" Mi specife reliefigis verde tiujn klingojn, kiuj ĈIAM funkcios, kaj SEN etendoj. La tiel nomataj eterne paliĝas. La ceteraj klingoj, kiuj postulas konstantan ĝisdatigon, simple ĉesos funkcii. Nu, eble la IPS ankoraŭ havos ŝlosilajn subskribojn funkcianta (sed estas tre malmultaj el ili). Ĉi tio validas kaj por aparataro kaj virtualaj maŝinoj, t.e. vSec.
Kiel aparta objekto, mi elstarigis tri klingojn, kiuj ne estas inkluzivitaj en neniu ilaro: DLP, MAB kaj Kapsulo.
Memoru ankaŭ, ke se vi aĉetas cluster-solvon, tiam elektu modelon kun la sufikso HA (t.e. Alta Havebleco) kiel la duan aparaton. La bildo montras ekzemplon por enirejo 5400. Ĉi tio koncernas enirejojn. Nun la administra servilo.
Licencado pri administrado de servilo
Kiel ni jam diris en la unuaj lecionoj, ekzistas du scenaroj por efektivigi Check Point: Sendependa (kiam kaj la enirejo kaj administrado estas sur unu aparato) kaj Distribuita (kiam la administra servilo estas metita sur apartan aparaton). Tamen, la elektoj ne finiĝas tie. Ni rigardu tri tipajn scenarojn por deploji administradan servilon:
- Aĉetante dediĉitan NGSM. La plej populara opcio. Elektu aŭ Smart-1 aparataron aŭ virtualan aparataron. Vi elektas, kompreneble, laŭ kiom da enirejoj vi administros, 5, 10, 25, ktp. Deplojante ĉi tiun aparaton, vi povas uzi 4 ŝlosilajn klingojn de la administra servilo: NPM (t.e. politika administrado), Logging and Status (t.e. registrad), Smart Event (SIEM de Check Point, kiu donas al ni ĉiujn raportojn) kaj Compliance (ĉi tio). estas takso de la kvalito de agordoj, ĉu por konformeco al iuj reguligaj postuloj, la sama PCI DSS, aŭ simple Plej bona Praktiko). Vi povas tuj vidi, ke la klingoj NPM kaj LS estas konstantaj klingoj, t.e. funkcios sen renovigo de abonoj, sed la Smart Event kaj Compliance-klingoj estas inkluzivitaj nur por la unua jaro! Tiam ili devas esti renovigitaj por aparta mono. Ĉi tio estas grava punkto, ne forgesu. Kaj se vi ankoraŭ povas vivi sen Konforma klingo, tiam absolute ĉiuj bezonas Smart Event.
- Aĉetante diligentan Event Management-servilon KROME al la ekzistanta NGSM-administra servilo. Kial ĉi tio estas necesa? La fakto estas, ke la registra funkcio kaj precipe Smart Event "manĝas" sufiĉe decajn sistemajn rimedojn. Kaj se estas sufiĉe multaj protokoloj, tiam ĉi tio povas konduki al "bremsoj" sur la kontrolservilo. Tial oni ofte praktikas movi ĉi tiun funkcion al aparta aparato, Smart-1-aparataro aŭ, denove, virtuala maŝino. Grandaj integriĝoj kun granda nombro da protokoloj preskaŭ ĉiam postulas dediĉitan servilon por Smart Event. Ĝi ankaŭ povas ricevi protokolojn. Tiel via administra servilo nur plenumos administrajn funkciojn. Ĉi tio multe plibonigas sisteman stabilecon kaj respondecon. Kiel vi povas vidi, kiam vi aĉetas dediĉitan Smart Event-servilon, vi ricevas ĉi tiujn du klingojn por konstanta uzo, eĉ sen renovigo. Dum 3-4-jara horizonto, ĉi tio estos eĉ pli kostefika ol aĉetado de etendaĵoj de Smart Event por regula NGSM-servilo ĉiujare.
- Dediĉita Log-administra servilo, kiu venas aldone al NGSM kaj Smart Event-serviloj. Mi pensas, ke la signifo estas klara. Se estas TRE granda nombro da protokoloj, ni povas movi la registran funkcion al aparta servilo. La dediĉita Log-servilo ankaŭ havas konstantan permesilon kaj ne postulas renovigon.
Videoleciono
Trovu pliajn informojn pri licencadministrado kaj Check Point-teknika subteno ĉi tie:
fonto: www.habr.com