Üdvözlet, barátok! És végre elérkeztünk az utolsóhoz, A Check Point Kezdő lépések utolsó leckéje. Ma egy nagyon fontos témáról fogunk beszélni - engedélyezés. Sietve figyelmeztetem Önt, hogy ez a lecke nem kimerítő útmutató a felszerelés vagy az engedélyek kiválasztásához. Ez csak egy összefoglaló a legfontosabb pontokról, amelyeket minden Check Point rendszergazdának tudnia kell. Ha valóban értetlenül áll a jogosítvány vagy az eszköz választása előtt, akkor érdemesebb szakemberekhez fordulni, pl. nekünk :). Sok olyan buktató van, amelyekről nagyon nehéz beszélni a tanfolyamon, és nem is fogsz azonnal emlékezni rá.
A leckénk teljesen elméleti lesz, így kikapcsolhatja makett szervereit és pihenhet. A cikk végén találsz egy videóleckét, ahol mindent részletesebben elmagyarázok.
Gateway Licensing
Kezdjük a biztonsági átjárók engedélyezési funkcióinak leírásával. Sőt, ez vonatkozik mind a hardveres felsővonalakra, mind a virtuális gépekre. Tegyük fel, hogy úgy dönt, hogy átjárót vásárol. Lehetetlen egyszerűen megvásárolni egy hardvert vagy egy virtuális gépet „előfizetés” nélkül! Három előfizetési lehetőség van:
És most az első érdekes funkció! Csak NGTP- vagy NGTX-előfizetéssel vásárolhat eszközt vagy virtuális gépet. De az előfizetés megújításakor már választhatja az NGFW csomagot, ha nincs szüksége AV, AB, URL, AS, TE és TX blade-ekre. Ez az a pillanat. Maguk az előfizetések egy, két vagy három évre vásárolhatók meg.
Meg tudom jósolni az első kérdésedet! "Mi történik, ha az előfizetést nem újítják meg?" Kifejezetten zölddel kiemeltem azokat a pengéket, amelyek MINDIG működni fognak, és hosszabbítás NÉLKÜL. Az úgynevezett öröksápadt. A fennmaradó pengék, amelyek folyamatos frissítést igényelnek, egyszerűen leállnak. Nos, talán az IPS-en továbbra is működnek a kulcsaláírások (de nagyon kevés van belőlük). Ez igaz a hardverre és a virtuális gépekre is, pl. vSec.
Külön tételként három pengét emeltem ki, amelyek egyik készletben sem szerepelnek: DLP, MAB és Capsule.
Ne feledje továbbá, hogy ha fürtmegoldást vásárol, akkor második eszközként válasszon egy HA utótagú (azaz magas rendelkezésre állású) modellt. A képen egy példa látható az 5400-as átjáróra. Ez az átjárókra vonatkozik. Most a felügyeleti szerver.
Menedzsment szerver licencelés
Ahogy az első leckékben már elmondtuk, két forgatókönyv létezik a Check Point megvalósítására: Önálló (amikor az átjáró és a felügyelet is egy eszközön van) és az elosztott (amikor a felügyeleti kiszolgáló egy külön eszközön van elhelyezve). A lehetőségek azonban ezzel nem érnek véget. Nézzünk meg három tipikus forgatókönyvet a felügyeleti kiszolgáló üzembe helyezéséhez:
- Dedikált NGSM vásárlása. A legnépszerűbb lehetőség. Válasszon Smart-1 hardvert vagy virtuális hardvert. Természetesen az alapján választ, hogy hány átjárót fog adminisztrálni, 5, 10, 25 stb. Az eszköz üzembe helyezésével 4 kulcskezelő szerver blade használható: NPM (azaz házirend-kezelés), Naplózás és állapot (azaz naplózás), Smart Event (SIEM a Check Pointtól, amely minden jelentést biztosít számunkra) és Compliance (ez egy a beállítások minőségének értékelése, akár bizonyos szabályozási követelményeknek való megfelelés, akár ugyanaz a PCI DSS, vagy egyszerűen a legjobb gyakorlat). Azonnal látható, hogy az NPM és LS pengék állandó pengék, pl. előfizetések megújítása nélkül is működni fog, de a Smart Event és Compliance blade csak az első évben jár hozzá! Aztán külön pénzért meg kell újítani. Ez egy fontos szempont, ne felejtsd el. És ha továbbra is élhet Compliance blade nélkül, akkor abszolút mindenkinek szüksége van a Smart Eventre.
- Dedikált eseménykezelő szerver vásárlása A meglévő NGSM felügyeleti szerver mellett. Miért van erre szükség? A tény az, hogy a naplózási funkcionalitás és különösen a Smart Event meglehetősen tisztességes rendszererőforrásokat „esz fel”. És ha elég sok napló van, akkor ez „fékekhez” vezethet a vezérlőszerveren. Ezért gyakran alkalmazzák ezt a funkciót egy külön eszközre, Smart-1 hardverre vagy ismét egy virtuális gépre. A nagyszámú naplóval rendelkező nagy integrációk szinte mindig dedikált szervert igényelnek a Smart Event számára. Naplókat is tud fogadni. Így a felügyeleti szerver csak felügyeleti funkciókat lát el. Ez nagymértékben javítja a rendszer stabilitását és válaszkészségét. Amint láthatja, egy dedikált Smart Event szerver vásárlásakor ezt a két bladet állandó használatra kapja, akár megújítás nélkül is. 3-4 éves távon ez még költséghatékonyabb lesz, mintha évente Smart Event bővítményeket vásárolnánk egy normál NGSM szerverhez.
- Dedikált naplókezelő szerver, amely az NGSM és a Smart Event szervereken kívül érkezik. Szerintem egyértelmű a jelentés. Ha NAGYON sok napló van, a naplózási funkciót áthelyezhetjük egy külön szerverre. A dedikált naplószerver állandó licenccel is rendelkezik, és nem igényel megújítást.
Oktatóvideó
A licenckezelésről és a Check Point műszaki támogatásáról itt talál további információt:
Forrás: will.com