Kveðja, vinir! Og loksins komumst við að því síðasta, lokalexía af Check Point Getting Started. Í dag munum við tala um mjög mikilvægt efni - Leyfisveitingar. Ég flýti mér að vara þig við því að þessi lexía er ekki tæmandi leiðbeiningar um val á búnaði eða leyfi. Þetta er bara samantekt á lykilatriðum sem allir Check Point stjórnendur ættu að vita. Ef þú ert virkilega gáttaður á vali á leyfi eða tæki, þá er betra að leita til fagmanna, þ.e. til okkar :). Það eru margar gildrur sem mjög erfitt er að tala um á námskeiðinu og þú munt ekki geta munað það strax heldur.
Lærdómurinn okkar verður algjörlega fræðilegur, svo þú getur slökkt á sýndarþjónum þínum og slakað á. Í lok greinarinnar finnur þú myndbandskennslu þar sem ég útskýri allt nánar.
Gateway leyfisveitingar
Byrjum á lýsingu á leyfiseiginleikum öryggisgátta. Þar að auki á þetta bæði við um upplínur vélbúnaðar og sýndarvélar. Segjum að þú ákveður að kaupa hlið. Það er ómögulegt að kaupa einfaldlega vélbúnað eða sýndarvél án „áskriftar“! Það eru þrír áskriftarvalkostir:
Og nú fyrsti áhugaverði eiginleikinn! Þú getur aðeins keypt tæki eða sýndarvél með NGTP eða NGTX áskrift. En þegar þú endurnýjar áskriftina þína geturðu nú þegar valið NGFW pakkann ef þú þarft ekki AV, AB, URL, AS, TE og TX blöð. Þetta er augnablikið. Hægt er að kaupa sjálfar áskriftir til eins, tveggja eða þriggja ára.
Ég get spáð fyrir um fyrstu spurninguna þína! “Hvað gerist ef áskriftin er ekki endurnýjuð?" Ég undirstrikaði sérstaklega með grænu þessi blöð sem munu ALLTAF virka, og ÁN framlenginga. Hið svokallaða eilífa fölnar. Hinar blöðin sem þurfa stöðuga uppfærslu munu einfaldlega hætta að virka. Jæja, kannski mun IPS enn hafa lykilundirskriftir sem virka (en það eru mjög fáar af þeim). Þetta á bæði við um vélbúnað og sýndarvélar, þ.e. vSec.
Sem sérstakt atriði benti ég á þrjú blöð sem eru ekki innifalin í neinu setti: DLP, MAB og Capsule.
Mundu líka að ef þú kaupir klasalausn skaltu velja gerð með viðskeytinu HA (þ.e. High Availability) sem annað tæki. Myndin sýnir dæmi fyrir gátt 5400. Þetta varðar gáttir. Nú stjórnunarþjónninn.
Leyfi fyrir stjórnunarþjóna
Eins og við sögðum þegar í fyrstu kennslustundum eru tvær aðstæður til að innleiða Check Point: Sjálfstætt (þegar bæði gáttin og stjórnun eru á einu tæki) og Dreift (þegar stjórnunarþjónninn er settur á sérstakt tæki). Valmöguleikarnir enda þó ekki þar. Við skulum skoða þrjár dæmigerðar aðstæður til að dreifa stjórnunarþjóni:
- Að kaupa sérstakt NGSM. Vinsælasti kosturinn. Veldu annað hvort Smart-1 vélbúnað eða sýndarvélbúnað. Þú velur að sjálfsögðu byggt á því hversu margar gáttir þú ætlar að stjórna, 5, 10, 25 osfrv. Með því að nota þetta tæki geturðu notað 4 lykilblöð stjórnunarmiðlarans: NPM (þ.e. stefnustjórnun), skráningu og stöðu (þ.e. skógarhögg), snjallviðburði (SIEM frá Check Point, sem gefur okkur alla skýrslugerðina) og reglufylgni (þetta). er mat á gæðum stillinga, annaðhvort til samræmis við sumar reglugerðarkröfur, sama PCI DSS eða einfaldlega bestu starfsvenjur). Þú sérð strax að NPM og LS blöðin eru varanleg blöð, þ.e. mun virka án þess að endurnýja áskrift, en Smart Event og Compliance blöðin eru aðeins innifalin fyrsta árið! Þá þarf að endurnýja þær fyrir sérstakan pening. Þetta er mikilvægt atriði, ekki gleyma. Og ef þú getur samt lifað án Compliance blaðs, þá þurfa algjörlega allir Smart Event.
- Að kaupa sérstakan viðburðastjórnunarþjón AUK við núverandi NGSM stjórnunarþjón. Hvers vegna er þetta nauðsynlegt? Staðreyndin er sú að skógarhöggvirknin og sérstaklega snjallviðburðurinn „tærir“ alveg ágætis kerfisauðlindir. Og ef það eru töluvert mikið af annálum, þá getur þetta leitt til „bremsur“ á stjórnþjóninum. Þess vegna er oft æft að færa þessa virkni í sérstakt tæki, Smart-1 vélbúnað eða, aftur, sýndarvél. Stórar samþættingar með miklum fjölda annála þurfa næstum alltaf sérstakan netþjón fyrir Smart Event. Það getur líka tekið á móti annálum. Þannig mun stjórnunarþjónninn þinn aðeins framkvæma stjórnunaraðgerðir. Þetta bætir verulega stöðugleika kerfisins og viðbragðsflýti. Eins og þú sérð, þegar þú kaupir sérstakan Smart Event miðlara færðu þessi tvö blöð til varanlegrar notkunar, jafnvel án endurnýjunar. Á 3-4 ára sjóndeildarhring mun þetta vera enn hagkvæmara en að kaupa Smart Event viðbætur fyrir venjulegan NGSM netþjón á hverju ári.
- Sérstakur logstjórnunarþjónn, sem kemur til viðbótar við NGSM og Smart Event netþjóna. Ég held að meiningin sé skýr. Ef það er MJÖG mikill fjöldi annála getum við fært skráningaraðgerðina á sérstakan netþjón. Sérstakur Logþjónninn hefur einnig varanlegt leyfi og þarfnast ekki endurnýjunar.
Vídeókennsla
Finndu frekari upplýsingar um leyfisstjórnun og tækniaðstoð Check Point hér:
Heimild: www.habr.com