Gréiss, Frënn! A mir sinn endlech op dee leschte komm, lescht Lektioun vum Check Point Getting Started. Haut wäerte mir iwwer e ganz wichtegt Thema schwätzen - Lizenzéierung. Ech séier Iech ze warnen datt dës Lektioun net en ustrengend Guide ass fir Ausrüstung oder Lizenzen ze wielen. Dëst ass just e Resumé vun de Schlësselpunkten déi all Check Point Administrateur wësse sollt. Wann Dir wierklech iwwerrascht sidd iwwer d'Wiel vun der Lizenz oder Apparat, dann ass et besser fir Professionnelen ze wenden, d.h. fir eis :). Et gi vill Falen, déi ganz schwéier sinn am Cours ze schwätzen, an Dir kënnt et och net direkt erënneren.
Eis Lektioun wäert komplett theoretesch sinn, sou datt Dir Är Mock-up Server auszeschalten an entspaant. Um Enn vum Artikel fannt Dir e Video Lektioun wou ech alles méi detailléiert erklären.
Gateway Lizenz
Loosst eis mat enger Beschreiwung vun de Lizenzfunktioune vu Sécherheetspaarten ufänken. Desweideren, dëst gëllt souwuel fir Hardware uplines wéi och virtuell Maschinnen. Loosst eis soen datt Dir decidéiert e Paart ze kafen. Et ass onméiglech einfach e Stéck Hardware oder eng virtuell Maschinn ouni "Abonnementer" ze kafen! Et ginn dräi Abonnementoptiounen:
An elo déi éischt interessant Feature! Dir kënnt nëmmen en Apparat oder virtuell Maschinn mat NGTP oder NGTX Abonnementer kafen. Awer wann Dir Ären Abonnement erneiert, kënnt Dir schonn den NGFW Package wielen wann Dir keng AV, AB, URL, AS, TE an TX Blades braucht. Dëst ass de Moment. Abonnementer selwer kënne fir eng Period vun engem, zwee oder dräi Joer kaaft ginn.
Ech kann Är éischt Fro viraussoen! "Wat geschitt wann den Abonnement net erneiert gëtt?" Ech hunn déi Blades speziell am grénge markéiert, déi ËMMER funktionnéieren, an OUNI Verlängerungen. De sougenannte éiwege bleiwt. Déi verbleiwen Blades, déi konstante Update erfuerderen, stoppen einfach ze schaffen. Gutt, vläicht wäert d'IPS nach ëmmer Schlëssel Ënnerschrëften hunn (awer et gi ganz wéineg vun hinnen). Dëst gëllt souwuel fir Hardware wéi och fir virtuell Maschinnen, d.h. vSec.
Als getrennten Element hunn ech dräi Blades beliicht déi net an all Kit abegraff sinn: DLP, MAB a Kapsel.
Denkt och drun datt wann Dir eng Clusterléisung kaaft, da wielt e Modell mam Suffix HA (dh High Disponibilitéit) als zweet Apparat. D'Bild weist e Beispill fir Paart 5400. Dëst betrëfft Paarte. Elo de Management Server.
Management Server Lizenz
Wéi mir schonn an den éischte Lektioune gesot hunn, ginn et zwee Szenarie fir d'Ëmsetzung vun Check Point: Standalone (wann souwuel de Paart wéi d'Gestioun op engem Apparat sinn) a Verdeelt (wann de Managementserver op engem separaten Apparat plazéiert ass). Wéi och ëmmer, d'Optiounen enden net do. Loosst eis dräi typesch Szenarie kucken fir e Managementserver z'installéieren:
- Kaaft engagéierten NGSM. Déi populärste Optioun. Wielt entweder Smart-1 Hardware oder virtuell Hardware. Dir wielt, natierlech, baséiert op wéivill Paarte Dir wäert verwalten, 5, 10, 25, etc. Andeems Dir dësen Apparat ofsetzt, kënnt Dir 4 Schlësselmanagement Server Blades benotzen: NPM (dh Politikverwaltung), Logging a Status (dh Logging), Smart Event (SIEM vum Check Point, deen eis all Berichterstattung gëtt) a Compliance (dëst ass eng Bewäertung vun der Qualitéit vun den Astellungen, entweder fir d'Konformitéit mat e puer reglementaresche Viraussetzungen, déi selwecht PCI DSS, oder einfach Best Practice). Dir kënnt direkt gesinn, datt d'NPM- an LS Blades permanent Blades sinn, d.h. wäert schaffen ouni Abonnementer ze erneieren, awer d'Smart Event a Compliance Blades sinn nëmme fir dat éischt Joer abegraff! Da musse se fir separat Suen erneiert ginn. Dëst ass e wichtege Punkt, vergiesst net. A wann Dir nach ëmmer ouni Compliance Blade kënnt liewen, da brauch absolut jiddereen Smart Event.
- Kaaft en dedizéierten Event Management Server NËMMEN zu der bestehend NGSM Gestioun Server. Firwat ass dat néideg? D'Tatsaach ass datt d'Logéierungsfunktionalitéit a besonnesch Smart Event ganz uerdentlech Systemressourcen "eess ewech". A wann et zimmlech vill Logbicher ass, da kann dat zu "Bremsen" op de Kontrollserver féieren. Dofir gëtt et dacks praktizéiert dës Funktionalitéit op en separaten Apparat, Smart-1 Hardware oder, erëm, eng virtuell Maschinn ze réckelen. Grouss Integratiounen mat enger grousser Zuel vu Logbicher erfuerderen bal ëmmer en dedizéierten Server fir Smart Event. Et kann och Logbicher kréien. Op dës Manéier wäert Äre Managementserver nëmme Gestiounsfunktiounen ausféieren. Dëst verbessert immens System Stabilitéit an Reaktiounsfäegkeet. Wéi Dir kënnt gesinn, wann Dir en dedizéierten Smart Event Server kaaft, kritt Dir dës zwee Blades fir permanent Benotzung, och ouni Erneierung. Iwwer en 3-4 Joer Horizont wäert dëst nach méi rentabel sinn wéi Smart Event Extensiounen fir e regelméissegen NGSM Server all Joer ze kafen.
- Engagéiert Log Management Server, déi zousätzlech zu NGSM a Smart Event Serveren kënnt. Ech mengen d'Bedeitung ass kloer. Wann et eng ganz grouss Zuel vu Logbicher ass, kënne mir d'Logbuchfunktioun op e separaten Server réckelen. Den dedizéierten Log-Server huet och eng permanent Lizenz an erfuerdert keng Erneierung.
Video Tutorial
Fannt méi Informatioun iwwer Lizenzverwaltung an Check Point technesch Ënnerstëtzung hei:
Source: will.com