
Приветствую, друзья! И мы наконец-то добрались до последнего, заключительного урока Check Point Getting Started. Сегодня мы поговорим об очень важной теме — Лицензирование. Спешу предупредить, что данный урок не является исчерпывающим руководством по выбору оборудования или лицензий. Это лишь краткое изложение ключевых моментов, которые должен знать любой администратор Check Point. Если вы действительно озадачены выбором лицензии или устройства, то лучше обратиться к профессионалам, т.е. к нам :). Очень много подводных камней, про которые весьма трудно рассказать в рамках курса, да и запомнить это тоже сразу не получится.
Урок у нас будет полностью теоретическим, так что можете выключать свои макетные сервера и расслабиться. В конце статьи вы найдете видео урок, где я рассказываю все более подробно
Лицензирование шлюза
Начнем с описания лицензионных особенностей у шлюзов безопасности. Причем это касается как железных аплайнсов, так и виртуалок. Допустим вы решили купить шлюз. Купить просто железку или виртуалку без «подписок» — невозможно! При этом существует три варианта подписок:

Ja nüüd esimene huvitav omadus! Seadet või virtuaalmasinat saate osta ainult NGTP või NGTX tellimustega. Kui aga olete oma tellimuse välja vahetamas, saate valida NGFW paketi, kui teile ei ole vaja AV, AB, URL, AS, TE ja TX blade'e. Selline on olukord. Tellimusi saab osta üheks, kaheks või kolmeks aastaks.
Võin ennustada teie esimest küsimust! "Mis juhtub, kui tellimust ei pikenda?". Olen spetsiaalselt rohelisega esile tõstnud need blade'id, mis töötavad KOGU AJA, ja ILMA pikenduseta. Nii nimetatud perpetual blade'id. Ülejäänud blade'id, mis vajavad pidevat uuendamist, lakkavad lihtsalt töölemast. No ütleme, IPS-l jäävad töötama ainult mõned võtmesignatuurid (aga neid on väga vähe). See kehtib nii riistvara kui ka virtuaalmasinate, st vSeci kohta.
Eraldi punktina olen esile tõstnud kolm blade'i, mis ei kuulu ühtegi komplekti, need on: DLP, MAB ja Capsule.
Samuti pidage meeles, et kui ostate klastrilahenduse, siis valige teise seadmena mudel, millel on sufiks HA (st High Availability). Pildil on näide 5400 väravast. See puudutas väravaid. Nüüd serverihalduse kohta.
Halduse serveri litsentsimine
Nagu juba varasemates tundides mainitud, on Check Pointi rakendamiseks kaks stsenaariumi: Standalone (kui nii värav kui ka haldus asuvad ühel seadmel) ja Distributed (kui haldusseade paigutatakse eraldi seadmele). Siiski ei piirdu valikud sellega. Vaatame kolme tüüpilist stsenaariumi haldusseadmestiku paigaldamiseks:

- Eraldiseisva NGSM ostmine. Kõige populaarsem variant. Valite kas seadme Smart-1 või virtuaalserveri. Loomulikult valite sõltuvalt sellest, kui palju väravaid kavatsete hallata, 5, 10, 25 jne. Selle seadme kasutusele võtmisel saate kasutada nelja põhikomplekti haldustootes: NPM (nt poliitikate haldamine), Logging and Status (nt logimine), Smart Event (Check Pointi SIEM, mis annab meile kogu aruandluse) ja Compliance (see on seadistuste kvaliteedi hindamine, olgu need siis vastavuse hindamine mingitele regulatiivsetele nõuetele, nagu PCI DSS, või lihtsalt parimad praktikaid). Siit on selgelt näha, et NPM- ja LS-blaidid on pidevad blaidid, st need töötavad ka ilma tellimuste pikendamiseta, kuid Smart Event ja Compliance blaide pakutakse ainult esimesel aastal! Hiljem tuleb neid eraldi tasu eest pikendada. See on oluline punkt, ärge unustage seda. Ja kui ilma Compliance blaidita on veel võimalik elada, siis Smart Event on kindlasti vajalik kõigile.
- Pühendatud sündmuste juhtimisse serveri ostmine SNE tõhustamiseks olemasoleva süsteemiga serverile NGSM haldamiseks. Miks see vajalik on? Asi on selles, et logimisfunktsioon ja eriti Smart Event „äärmiselt” kulutab märkimisväärselt süsteemiressursse. Ja kui logisid on üsna palju, võib see põhjustada viivitusi. serveril Seetõttu kasutatakse sageli selle funktsiooni viimist eraldi seadmesse, nagu Smart-1 või virtuaalkeskkonda. Suured integreeringud, mis sisaldavad suurt hulka logisid, vajavad praktiliselt alati spetsiaalset serverit Smart Event'i jaoks. See võib samuti logisid vastu võtta. Nii jääb teie juhtimisseade ainult juhtimisfunktsioonide täitmisele. See tõstab oluliselt süsteemi stabiilsust ja reageerimise kiirus. Nagu võite märkida, kui ostate spetsiaalse Smart Event serveri, saate need kaks blade'i pidevaks kasutamiseks, isegi ilma pikendamiseta. 3–4 aasta perspektiivis osutub see isegi majanduslikult kasulikumaks kui osta igal aastal tavaliseks NGSM serveriks Smart Event pikendusi.
- Spetsiaalne Log management server, mis täiendab NGSM ja Smart Event servereid. Usun, et mõte on selge. Väga suure logihulga korral saame logimise funktsiooni viia eraldi serverisse. Spetsiaalne Log server omab samuti alaliste litsentse ja ei vaja pikendamist.
Videokursus
Siit leiate täiendavat teavet litsentside haldamise ja Check Point'i tehnilise toe kohta:

Allikas: habr.com
