Поздрав, пријатели! И конечно стигнавме до последното, последна лекција од Check Point Getting Started. Денес ќе разговараме за многу важна тема - Лиценцирање. Побрзам да ве предупредам дека оваа лекција не е исцрпен водич за избор на опрема или лиценци. Ова е само резиме на клучните точки што секој администратор на Check Point треба да ги знае. Ако навистина сте збунети од изборот на лиценца или уред, тогаш подобро е да се свртите кон професионалци, т.е. кај нас :). Има многу стапици за кои е многу тешко да се зборува во текот на курсот, а нема да можете да ги запомните веднаш.
Нашата лекција ќе биде целосно теоретска, па можете да ги исклучите вашите макет-сервери и да се опуштите. На крајот од статијата ќе најдете видео лекција каде што објаснувам сè подетално.
Лиценцирање на портал
Да почнеме со опис на карактеристиките за лиценцирање на безбедносните порти. Покрај тоа, ова се однесува и на хардверските и виртуелните машини. Да речеме дека одлучивте да купите портал. Невозможно е едноставно да се купи парче хардвер или виртуелна машина без „претплати“! Постојат три опции за претплата:
И сега првата интересна карактеристика! Може да купите уред или виртуелна машина само со претплати за NGTP или NGTX. Но, кога ќе ја обновите вашата претплата, веќе можете да го изберете пакетот NGFW доколку не ви се потребни AV, AB, URL, AS, TE и TX сечила. Ова е моментот. Самите претплати може да се купат за период од една, две или три години.
Можам да го предвидам твоето прво прашање! “Што се случува ако претплатата не се обнови?" Специфично ги истакнав со зелено оние сечила што СЕКОГАШ ќе работат, и БЕЗ екстензии. Таканаречените перпетуални бледи. Останатите ножеви кои бараат постојано ажурирање едноставно ќе престанат да работат. Па, можеби IPS сè уште ќе има клучни потписи кои работат (но има многу малку од нив). Ова важи и за хардвер и за виртуелни машини, т.е. vSec.
Како посебна ставка, истакнав три сечила кои не се вклучени во ниту еден комплет: DLP, MAB и Capsule.
Исто така, запомнете дека ако купите решение за кластер, тогаш изберете модел со наставката HA (т.е. Висока достапност) како втор уред. Сликата покажува пример за портата 5400. Ова се однесува на портите. Сега серверот за управување.
Лиценцирање на серверот за управување
Како што веќе рековме во првите лекции, постојат две сценарија за имплементирање на Check Point: Самостојно (кога и портата и управувањето се на еден уред) и Дистрибуирано (кога серверот за управување е поставен на посебен уред). Сепак, опциите не завршуваат тука. Ајде да погледнеме три типични сценарија за распоредување на сервер за управување:
- Купување на наменски NGSM. Најпопуларната опција. Изберете или Smart-1 хардвер или виртуелен хардвер. Вие избирате, се разбира, врз основа на тоа колку порти ќе администрирате, 5, 10, 25, итн. Со распоредување на овој уред, можете да користите 4 клучни сечила на серверот за управување: NPM (т.е. управување со политики), Логирање и статус (т.е. најавување), паметен настан (SIEM од Check Point, кој ни го дава целото известување) и Усогласеност (ова е проценка на квалитетот на поставките, или за усогласеност со некои регулаторни барања, истиот PCI DSS, или едноставно за најдобра практика). Веднаш можете да видите дека сечилата NPM и LS се постојани сечила, т.е. ќе работи без обновување на претплатите, но сечилата за Smart Event и Compliance се вклучени само за првата година! Потоа треба да се обноват за посебни пари. Ова е важна точка, не заборавајте. И ако сè уште можете да живеете без сечило за усогласеност, тогаш на апсолутно сите им треба паметен настан.
- Купување на посветен сервер за управување со настани ДОПОЛН на постоечкиот сервер за управување со NGSM. Зошто е ова потребно? Факт е дека функционалноста за евидентирање и особено Smart Event „ги јаде“ сосема пристојните системски ресурси. И ако има доста логови, тогаш ова може да доведе до „сопирачки“ на контролниот сервер. Затоа, често се практикува да се премести оваа функционалност на посебен уред, хардвер Smart-1 или, повторно, виртуелна машина. Големите интеграции со голем број дневници скоро секогаш бараат посветен сервер за Smart Event. Може да прима и дневници. На овој начин вашиот сервер за управување ќе врши само функции за управување. Ова во голема мера ја подобрува стабилноста и одговорноста на системот. Како што можете да видите, кога купувате посветен сервер за паметни настани, ги добивате овие два сечила за трајна употреба, дури и без обновување. Во текот на хоризонтот од 3-4 години, ова ќе биде уште поисплатливо отколку да купувате екстензии за паметни настани за обичен NGSM сервер секоја година.
- Посветен сервер за управување со дневници, кој доаѓа како додаток на серверите NGSM и Smart Event. Мислам дека значењето е јасно. Ако има МНОГУ голем број дневници, можеме да ја преместиме функцијата за евиденција на посебен сервер. Посветениот сервер за дневник има и постојана лиценца и не бара обновување.
Видео лекција
Најдете повеќе информации за управувањето со лиценца и техничката поддршка на Check Point овде:
Извор: www.habr.com