こんにちは、友達! そしてついに最終回までたどり着いたのですが、 Check Point 入門の最終レッスン。 今日は非常に重要なトピックについて話します - ライセンシング。 急いで警告しますが、このレッスンは機器やライセンスの選択に関する完全なガイドではありません。 これは、Check Point 管理者が知っておくべき重要なポイントの概要にすぎません。 ライセンスやデバイスの選択に本当に迷っている場合は、専門家に相談することをお勧めします。 私たちに:)。 コースでは話すのが非常に難しい落とし穴がたくさんあり、それをすぐに思い出すこともできません。
私たちのレッスンは完全に理論的なものなので、モックアップ サーバーをオフにしてリラックスしてください。 この記事の最後には、すべてをより詳細に説明するビデオ レッスンがあります。
ゲートウェイライセンス
まず、セキュリティ ゲートウェイのライセンス機能の説明から始めましょう。 さらに、これはハードウェア アップラインと仮想マシンの両方に当てはまります。 ゲートウェイを購入することに決めたとします。 「サブスクリプション」なしでハードウェアや仮想マシンを単純に購入することは不可能です。 サブスクリプション オプションは XNUMX つあります。
そして、最初の興味深い機能です。 デバイスまたは仮想マシンは、NGTP または NGTX サブスクリプションでのみ購入できます。 ただし、サブスクリプションを更新するときに、AV、AB、URL、AS、TE、および TX ブレードが必要ない場合は、すでに NGFW パッケージを選択できます。 これがその瞬間です。 サブスクリプション自体は、XNUMX 年、XNUMX 年、または XNUMX 年の期間で購入できます。
最初の質問は予想できますよ! 「サブスクリプションが更新されない場合はどうなりますか?」 特に、拡張機能なしで常に機能するブレードを緑色で強調表示しました。 いわゆるパーペチュアルペール。 継続的な更新が必要な残りのブレードは、動作を停止するだけです。 まあ、おそらく IPS はまだ機能する調号を持っているでしょう (しかし、それらの調号はほとんどありません)。 これはハードウェアと仮想マシンの両方に当てはまります。 v秒
別の項目として、どのキットにも含まれていない XNUMX つのブレード、DLP、MAB、および Capsule を強調表示しました。
また、クラスター ソリューションを購入する場合は、5400 番目のデバイスとしてサフィックス HA (つまり、高可用性) が付いているモデルを選択することにも注意してください。 この図はゲートウェイ XNUMX の例を示しています。これはゲートウェイに関するものです。 さて、管理サーバーです。
管理サーバーのライセンス
最初のレッスンですでに述べたように、Check Point の実装には XNUMX つのシナリオがあります。スタンドアロン (ゲートウェイと管理の両方が XNUMX つのデバイス上にある場合) と分散 (管理サーバーが別のデバイス上に配置されている場合) です。 ただし、オプションはこれで終わりではありません。 管理サーバーを展開するための XNUMX つの典型的なシナリオを見てみましょう。
- 専用NGSMの購入。 最も人気のあるオプションです。 Smart-1 ハードウェアまたは仮想ハードウェアのいずれかを選択します。 もちろん、管理するゲートウェイの数に基づいて、5、10、25 などを選択します。 このデバイスを導入すると、管理サーバーの 4 つの主要なブレードを使用できるようになります。NPM (つまり、ポリシー管理)、ロギングとステータス (つまり、ロギング)、スマート イベント (すべてのレポートを提供する Check Point の SIEM)、およびコンプライアンス (これ)一部の規制要件、同じ PCI DSS、または単にベスト プラクティスへの準拠に関する設定の品質の評価です)。 NPM ブレードと LS ブレードが永久ブレードであることがすぐにわかります。 はサブスクリプションを更新しなくても機能しますが、Smart Event ブレードと Compliance ブレードは最初の XNUMX 年間のみ含まれています。 その後、別途お金を払って更新する必要があります。 これは重要なポイントですので、忘れないでください。 そして、コンプライアンス ブレードがなくても生きていけるのであれば、間違いなく誰もがスマート イベントを必要としています。
- 専用のイベント管理サーバーの購入 既存の NGSM 管理サーバーに加えて。 なぜこれが必要なのでしょうか? 実際のところ、ログ機能、特にスマート イベントはかなりのシステム リソースを「消費」します。 また、ログが大量にある場合は、制御サーバーに「ブレーキ」がかかる可能性があります。 したがって、この機能を別のデバイス、Smart-1 ハードウェア、または仮想マシンに移動することがよく行われます。 多数のログを伴う大規模な統合には、ほとんどの場合、スマート イベント用の専用サーバーが必要です。 ログを受信することもできます。 このようにすると、管理サーバーは管理機能のみを実行します。 これにより、システムの安定性と応答性が大幅に向上します。 ご覧のとおり、専用の Smart Event サーバーを購入すると、更新しなくてもこれら 3 つのブレードが永続的に使用できるようになります。 4 ~ XNUMX 年の期間で見ると、通常の NGSM サーバー用のスマート イベント拡張機能を毎年購入するよりもコスト効率がさらに高くなります。
- 専用ログ管理サーバー、NGSM サーバーとスマート イベント サーバーに加えて提供されます。 意味は明らかだと思います。 非常に多数のログがある場合は、ログ機能を別のサーバーに移動できます。 専用のログ サーバーにも永久ライセンスがあり、更新の必要はありません。
ビデオレッスン
ライセンス管理と Check Point テクニカル サポートの詳細については、こちらをご覧ください。
出所: habr.com