Groetnis, freonen! En wy kamen einlings by de lêste, lêste les fan Check Point Getting Started. Hjoed sille wy prate oer in heul wichtich ûnderwerp - Lisinsje. Ik haast om jo te warskôgjen dat dizze les gjin útputtende hantlieding is foar it kiezen fan apparatuer of lisinsjes. Dit is gewoan in gearfetting fan 'e wichtichste punten dy't elke Check Point-behearder moat witte. As jo echt fernuvere binne troch de kar fan lisinsje of apparaat, dan is it better om te wikseljen nei professionals, d.w.s. oan ús :). D'r binne in protte falkûlen dy't heul lestich binne om oer te praten yn 'e kursus, en jo sille it ek net direkt kinne ûnthâlde.
Us les sil folslein teoretysk wêze, sadat jo jo mock-up-tsjinners kinne útsette en ûntspanne. Oan 'e ein fan it artikel sille jo in fideoles fine wêr't ik alles yn mear detail útlizze.
Gateway Lisinsje
Litte wy begjinne mei in beskriuwing fan de lisinsjefunksjes fan befeiligingspoarten. Boppedat jildt dit foar sawol hardware-uplines as firtuele masines. Litte wy sizze dat jo beslute om in poarte te keapjen. It is ûnmooglik om gewoan in stik hardware as in firtuele masine te keapjen sûnder "abonneminten"! D'r binne trije abonnemintsopsjes:
En no de earste nijsgjirrige funksje! Jo kinne allinich in apparaat of firtuele masine keapje mei NGTP- of NGTX-abonneminten. Mar as jo jo abonnemint fernije, kinne jo it NGFW-pakket al kieze as jo gjin AV-, AB-, URL-, AS-, TE- en TX-blêden nedich binne. Dit is it momint. Abonneminten sels kinne wurde kocht foar in perioade fan ien, twa of trije jier.
Ik kin jo earste fraach foarsizze! "Wat bart der as it abonnemint net fernijd wurdt?" Ik spesifyk markearre yn grien dy blêden dy't sil ALTIJD wurkje, en SONDER extensions. De saneamde ivige bleek. De oerbleaune blêden dy't konstante fernijing nedich binne, sille gewoan stopje mei wurkjen. No, miskien sil de IPS noch wichtige hantekeningen wurkje (mar d'r binne heul pear fan har). Dit is wier foar sawol hardware as firtuele masines, d.w.s. vSec.
As apart item markearre ik trije blêden dy't net opnommen binne yn elke kit: DLP, MAB en Capsule.
Unthâld ek dat as jo in klusteroplossing keapje, kies dan in model mei it efterheaksel HA (dus hege beskikberens) as it twadde apparaat. De foto lit in foarbyld sjen foar gateway 5400. It giet om poarten. No de behearserver.
Behear tsjinner lisinsje
Lykas wy al seine yn 'e earste lessen, binne d'r twa senario's foar it útfieren fan Check Point: Standalone (as sawol de poarte as behear op ien apparaat binne) en ferdield (as de behearserver op in apart apparaat pleatst wurdt). De opsjes einigje lykwols net dêr. Litte wy nei trije typyske senario's sjen foar it ynsetten fan in behearserver:
- Oankeap tawijd NGSM. De meast populêre opsje. Kies of Smart-1 hardware of firtuele hardware. Jo kieze fansels op basis fan hoefolle poarten jo sille administrearje, 5, 10, 25, ensfh. Troch it ynsetten fan dit apparaat kinne jo 4 kaaibehearserverblêden brûke: NPM (dus beliedsbehear), Logging en Status (dat is logging), Smart Event (SIEM fan Check Point, dat ús alle rapportaazje jout) en Compliance (dit is in beoardieling fan 'e kwaliteit fan ynstellings, itsij foar it neilibjen fan guon regeljouwingseasken, deselde PCI DSS, of gewoan Best Practice). Jo kinne fuortendaliks sjen dat de NPM en LS blêden binne permaninte blêden, d.w.s. sil wurkje sûnder abonneminten te fernijen, mar de Smart Event- en Compliance-blêden binne allinich foar it earste jier opnommen! Dan moatte se foar apart jild fernijd wurde. Dit is in wichtich punt, ferjit net. En as jo noch libje kinne sûnder in Compliance-blêd, dan hat absolút elkenien Smart Event nedich.
- It keapjen fan in tawijd Event Management-tsjinner Njonken de besteande NGSM behear tsjinner. Wêrom is dit nedich? It feit is dat de logging funksjonaliteit en benammen Smart Event "fuort" frij fatsoenlike systeem boarnen. En as der in protte logs binne, dan kin dit liede ta "remmen" op 'e kontrôletsjinner. Dêrom wurdt it faak oefene om dizze funksjonaliteit te ferpleatsen nei in apart apparaat, Smart-1 hardware of, wer, in firtuele masine. Grutte yntegraasjes mei in grut oantal logs fereaskje hast altyd in tawijd tsjinner foar Smart Event. It kin ek logs ûntfange. Op dizze manier sil jo behearserver allinich behearfunksjes útfiere. Dit ferbetteret systeemstabiliteit en responsiviteit sterk. Sa't jo sjen kinne, as jo in tawijd Smart Event-tsjinner keapje, krije jo dizze twa blêden foar permanint gebrûk, sels sûnder fernijing. Oer in horizon fan 3-4 jier sil dit noch mear kosten-effektyf wêze as it keapjen fan Smart Event-útwreidings foar in gewoane NGSM-tsjinner elk jier.
- Dedicated Log behear tsjinner, dy't neist NGSM- en Smart Event-tsjinners komt. Ik tink dat de betsjutting dúdlik is. As d'r in HEEL grut oantal logs is, kinne wy de logfunksje ferpleatse nei in aparte tsjinner. De tawijde Log-tsjinner hat ek in permaninte lisinsje en hat gjin fernijing nedich.
Video les
Fyn hjir mear ynformaasje oer lisinsjebehear en technyske stipe fan Check Point:
Boarne: www.habr.com