Sveikinimai, draugai! Ir pagaliau pasiekėme paskutinį, paskutinė „Check Point“ pradžios pamoka. Šiandien kalbėsime labai svarbia tema - Licencijavimas. Skubu jus įspėti, kad ši pamoka nėra išsamus įrangos ar licencijų pasirinkimo vadovas. Tai tik pagrindinių dalykų, kuriuos turėtų žinoti bet kuris „Check Point“ administratorius, santrauka. Jei tikrai glumina licencijos ar įrenginio pasirinkimas, tuomet geriau kreiptis į profesionalus, t.y. mums :). Kurso metu yra daug spąstų, apie kuriuos labai sunku kalbėti, ir jūs taip pat negalėsite to prisiminti iš karto.
Mūsų pamoka bus visiškai teorinė, todėl galėsite išjungti maketų serverius ir atsipalaiduoti. Straipsnio pabaigoje rasite video pamoką, kurioje viską paaiškinu plačiau.
Vartų licencijavimas
Pradėkime nuo saugos šliuzų licencijavimo funkcijų aprašymo. Be to, tai taikoma tiek aparatinės įrangos aukštesnėms linijoms, tiek virtualioms mašinoms. Tarkime, kad nusprendėte įsigyti šliuzą. Neįmanoma tiesiog nusipirkti aparatinės įrangos ar virtualios mašinos be „prenumeratos“! Yra trys prenumeratos parinktys:
O dabar pirmoji įdomi funkcija! Įrenginį arba virtualią mašiną galite įsigyti tik su NGTP arba NGTX prenumerata. Bet kai atnaujinate prenumeratą, jau galite pasirinkti NGFW paketą, jei jums nereikia AV, AB, URL, AS, TE ir TX blade. Štai ta akimirka. Patys abonementus galima įsigyti vienerių, dvejų ar trejų metų laikotarpiui.
Galiu nuspėti tavo pirmąjį klausimą! “Kas nutiks, jei prenumerata nebus atnaujinta?“ Specialiai žaliai paryškinau tuos peiliukus, kurie veiks VISADA ir BE pratęsimų. Vadinamieji perpetual pales. Likę peiliukai, kuriuos reikia nuolat atnaujinti, tiesiog nustos veikti. Na, galbūt IPS vis tiek veiks raktiniai parašai (bet jų labai mažai). Tai galioja tiek techninei įrangai, tiek virtualioms mašinoms, t.y. vSec.
Kaip atskirą elementą išryškinau tris ašmenis, kurių nėra jokiame rinkinyje: DLP, MAB ir kapsulę.
Taip pat atminkite, kad jei perkate klasterinį sprendimą, tada kaip antrą įrenginį pasirinkite modelį su priesaga HA (t. y. High Availability). Paveikslėlyje parodytas šliuzo 5400 pavyzdys. Tai susiję su šliuzais. Dabar valdymo serveris.
Valdymo serverio licencijavimas
Kaip jau minėjome pirmosiose pamokose, yra du „Check Point“ diegimo scenarijai: autonominis (kai šliuzas ir valdymas yra viename įrenginyje) ir paskirstytasis (kai valdymo serveris yra atskirame įrenginyje). Tačiau pasirinkimai tuo nesibaigia. Pažvelkime į tris tipinius valdymo serverio diegimo scenarijus:
- Specialaus NGSM pirkimas. Populiariausias variantas. Pasirinkite „Smart-1“ arba virtualią aparatinę įrangą. Žinoma, jūs pasirenkate pagal tai, kiek vartų administruosite, 5, 10, 25 ir kt. Įdiegę šį įrenginį galite naudoti 4 pagrindines valdymo serverio dalis: NPM (ty politikos valdymas), registravimas ir būsena (ty registravimas), išmanusis įvykis (SIEM iš Check Point, kuris suteikia mums visas ataskaitas) ir atitiktis (tai yra yra nustatymų kokybės įvertinimas, atitinkantis kai kuriuos reguliavimo reikalavimus, tą patį PCI DSS arba tiesiog geriausią praktiką). Iš karto matosi, kad NPM ir LS peiliukai yra nuolatiniai, t.y. veiks ir nepratęsiant prenumeratos, tačiau Smart Event ir Compliance blade yra įtrauktas tik pirmus metus! Tada juos reikia atnaujinti už atskirus pinigus. Tai svarbus dalykas, nepamirškite. Ir jei vis tiek galite gyventi be atitikties peilio, tada absoliučiai visiems reikia „Smart Event“.
- Specialaus renginių valdymo serverio pirkimas PAPILDOMA prie esamo NGSM valdymo serverio. Kodėl tai būtina? Faktas yra tas, kad registravimo funkcionalumas ir ypač „Smart Event“ „suvalgo“ gana neblogus sistemos resursus. Ir jei žurnalų yra gana daug, tai gali sukelti valdymo serverio „stabdžius“. Todėl dažnai praktikuojama šią funkciją perkelti į atskirą įrenginį, Smart-1 aparatinę įrangą arba, vėlgi, virtualią mašiną. Didelė integracija su dideliu žurnalų skaičiumi beveik visada reikalauja dedikuoto serverio, skirto Smart Event. Jis taip pat gali gauti žurnalus. Tokiu būdu jūsų valdymo serveris atliks tik valdymo funkcijas. Tai labai pagerina sistemos stabilumą ir reagavimą. Kaip matote, įsigiję specialųjį „Smart Event“ serverį, jūs gaunate šias dvi dalis nuolatiniam naudojimui, net ir neatnaujinus. Per 3–4 metus tai bus dar ekonomiškiau nei kasmet pirkti „Smart Event“ plėtinius įprastam NGSM serveriui.
- Specialus žurnalo valdymo serveris, kuris pateikiamas kartu su NGSM ir Smart Event serveriais. Manau prasmė aiški. Jei žurnalų yra LABAI daug, registravimo funkciją galime perkelti į atskirą serverį. Dedikuotas žurnalo serveris taip pat turi nuolatinę licenciją ir jo atnaujinti nereikia.
Vaizdo pamoka
Daugiau informacijos apie licencijų valdymą ir „Check Point“ techninę pagalbą rasite čia:
Šaltinis: www.habr.com