Салам, достор! Акыры акыркыга жеттик Check Point баштоонун акыркы сабагы. Сегодня мы поговорим об очень важной теме — уруксат. Бул сабак жабдууларды же лицензияларды тандоо боюнча толук көрсөтмө эмес экенин эскертем. Бул ар бир Check Point администратору билиши керек болгон негизги пункттардын кыскачасы гана. Эгерде сиз чындап эле лицензияны же аппаратты тандоодо таң калсаңыз, анда профессионалдарга кайрылганыңыз оң, б.а. бизге :). Курста сөз кылуу өтө кыйын болгон көптөгөн тузактар бар жана сиз аны дароо эле эстей албай каласыз.
Урок у нас будет полностью теоретическим, так что можете выключать свои макетные сервера и расслабиться. В конце статьи вы найдете видео урок, где я рассказываю все более подробно
Gateway Licensing
Келгиле, коопсуздук шлюздарынын лицензиялык өзгөчөлүктөрүн сүрөттөөдөн баштайлы. Мындан тышкары, бул аппараттык линияларга да, виртуалдык машиналарга да тиешелүү. Сиз шлюз сатып алууну чечтиңиз дейли. Аппараттын бир бөлүгүн же виртуалдык машинаны "жазылууларсыз" сатып алуу мүмкүн эмес! Үч жазылуу варианттары бар:
Ал эми азыр биринчи кызыктуу өзгөчөлүк! Сиз NGTP же NGTX жазылуулары бар түзмөктү же виртуалдык машинаны гана сатып ала аласыз. Бирок сиз жазылууңузду жаңыртканыңызда, эгер сизге AV, AB, URL, AS, TE жана TX тилкелери керек болбосо, NGFW топтомун тандап алсаңыз болот. Бул учур. Жазылуунун өзүн бир, эки же үч жылдык мөөнөткө сатып алса болот.
Могу предугадать ваш первый вопрос! “Жазылуу жаңыртылбаса эмне болот?" Мен атайын жашыл түс менен ДАЙЫМ иштей турган, жана узартууларсыз бөлүп көрсөттүм. Түбөлүк палес деп аталган. Дайыма жаңылоону талап кылган калган бычактар жөн эле иштебей калат. Ооба, балким, IPS дагы деле иштеп жаткан негизги кол тамгаларга ээ болушу мүмкүн (бирок алардын саны өтө аз). Бул аппараттык жана виртуалдык машиналар үчүн да, б.а. vSec.
Отдельным пунктом я выделил три блейда, которые не входят ни в один комплект, это: DLP, MAB и Capsule.
Ошондой эле, эгер сиз кластердик чечимди сатып алсаңыз, анда экинчи түзмөк катары HA суффикси бар моделди (б.а. Жогорку жеткиликтүүлүк) тандаңыз. Сүрөттө шлюз 5400 үчүн мисал көрсөтүлгөн. Бул шлюздарга тиешелүү. Азыр башкаруу сервери.
Башкаруу серверин лицензиялоо
Биринчи сабактарда айтылгандай, Check Point программасын ишке ашыруунун эки сценарийи бар: өз алдынча (шлюз да, башкаруу да бир түзмөктө болгондо) жана бөлүштүрүлгөн (башкаруу сервери өзүнчө түзүлүшкө жайгаштырылганда). Бирок, варианттар муну менен эле бүтпөйт. Башкаруу серверин жайылтуу үчүн үч типтүү сценарийди карап көрөлү:
- Атайын NGSM сатып алуу. Эң популярдуу вариант. Smart-1 жабдыктарын же виртуалдык жабдыктарды тандаңыз. Сиз, албетте, канча шлюз башкарарыңыздын негизинде тандайсыз, 5, 10, 25 ж.б. Бул түзмөктү жайгаштыруу менен сиз башкаруу серверинин 4 ачкыч тилкесин колдоно аласыз: NPM (б.а. саясатты башкаруу), Каттоо жана Статус (б.а. журналга жазуу), Smart Event (Check Point'тин SIEM, ал бизге бардык отчетторду берет) жана Шайкештик (бул кээ бир нормативдик талаптарга, ошол эле PCI DSSке же жөн гана мыкты тажрыйбага) ылайыктуулугу үчүн орнотуулардын сапатына баа берүү. Сиз дароо эле NPM жана LS бычактары туруктуу бычак экенин көрө аласыз, б.а. жазылууларды жаңыртпастан иштейт, бирок Smart Event жана Compliance blades биринчи жыл үчүн гана камтылган! Анан алар өзүнчө акчага жаңыланышы керек. Бул маанилүү жагдай, унутпа. Эгерде сиз дагы эле Compliance бычаксыз жашай алсаңыз, анда бардыгына Smart Event керек.
- атайын Event Management серверин сатып алуу Учурдагы NGSM башкаруу серверине КОШУМЧА. Бул эмне үчүн керек? Чындыгында, каттоо функциясы жана өзгөчө Smart Event тутумдун татыктуу ресурстарын "жеп кетет". Ал эми журналдар абдан көп болсо, анда бул башкаруу серверинде "тормоз" алып келиши мүмкүн. Ошондуктан, бул функцияны өзүнчө түзүлүшкө, Smart-1 жабдыктарына же дагы бир жолу виртуалдык машинага жылдыруу көп колдонулат. Көп сандаган журналдар менен ири интеграциялар дээрлик дайыма Smart Event үчүн атайын серверди талап кылат. Ал ошондой эле журналдарды кабыл алат. Ушундай жол менен башкаруу сервериңиз башкаруу функцияларын гана аткарат. Бул системанын туруктуулугун жана жооп берүү жөндөмдүүлүгүн бир топ жакшыртат. Көрүнүп тургандай, атайын Smart Event серверин сатып алганыңызда, сиз бул эки лейкти жаңыртуусуз да, туруктуу колдонуу үчүн аласыз. 3-4 жылдык горизонтто бул жыл сайын кадимки NGSM сервери үчүн Smart Event кеңейтүүлөрүн сатып алуудан да үнөмдүү болот.
- Арналган Log башкаруу сервери, бул NGSM жана Smart Event серверлерине кошумча келет. Мааниси түшүнүктүү деп ойлойм. Эгерде журналдардын АТА КӨП саны болсо, биз журналга жазуу функциясын өзүнчө серверге жылдыра алабыз. Бөлүнгөн Log серверинин да туруктуу лицензиясы бар жана узартууну талап кылбайт.
Видео окуу куралы
Здесь вы найдете дополнительную информацию об управлении лицензиями и о техническое поддержке Check Point:
Source: www.habr.com