Gegroet, vrienden! En we zijn eindelijk bij de laatste aangekomen, laatste les van Check Point Aan de slag. Vandaag zullen we het hebben over een heel belangrijk onderwerp: licentie. Ik haast me om u te waarschuwen dat deze les geen uitputtende gids is voor het kiezen van apparatuur of licenties. Dit is slechts een samenvatting van de belangrijkste punten die elke Check Point-beheerder moet weten. Als je echt verbaasd bent over de keuze van de licentie of het apparaat, dan is het beter om je tot professionals te wenden, d.w.z. aan ons :). Er zijn veel valkuilen die in de cursus heel moeilijk bespreekbaar zijn en die je ook niet meteen kunt onthouden.
Onze les zal volledig theoretisch zijn, zodat u uw mock-upservers kunt uitschakelen en kunt ontspannen. Aan het einde van het artikel vind je een videoles waarin ik alles in meer detail uitleg.
Gateway-licenties
Laten we beginnen met een beschrijving van de licentiefuncties van beveiligingsgateways. Bovendien geldt dit voor zowel hardware-uplines als virtuele machines. Stel dat u besluit een gateway te kopen. Het is onmogelijk om simpelweg een stuk hardware of een virtuele machine te kopen zonder “abonnementen”! Er zijn drie abonnementsopties:
En nu de eerste interessante functie! U kunt alleen een apparaat of virtuele machine kopen met een NGTP- of NGTX-abonnement. Maar wanneer u uw abonnement verlengt, kunt u al voor het NGFW-pakket kiezen als u geen AV-, AB-, URL-, AS-, TE- en TX-blades nodig heeft. Dit is het moment. Abonnementen zelf kunnen worden aangeschaft voor een periode van één, twee of drie jaar.
Ik kan je eerste vraag voorspellen! “Wat gebeurt er als het abonnement niet wordt verlengd?" Ik heb specifiek in het groen de bladen gemarkeerd die ALTIJD zullen werken, en ZONDER verlengstukken. Het zogenaamde eeuwigdurende verbleekt. De resterende blades die voortdurend moeten worden bijgewerkt, stoppen gewoon met werken. Nou ja, misschien heeft de IPS nog steeds werkende sleutelsignaturen (maar dat zijn er maar heel weinig). Dit geldt voor zowel hardware als virtuele machines, d.w.z. vSec.
Als apart item heb ik drie mesjes uitgelicht die in geen enkele kit zitten: DLP, MAB en Capsule.
Houd er ook rekening mee dat als u een clusteroplossing koopt, u als tweede apparaat een model kiest met het achtervoegsel HA (d.w.z. High Availability). Op de afbeelding is een voorbeeld te zien voor gateway 5400. Dit betreft gateways. Nu de beheerserver.
Licenties voor beheerservers
Zoals we in de eerste lessen al zeiden, zijn er twee scenario's voor het implementeren van Check Point: Standalone (wanneer zowel de gateway als het beheer op één apparaat staan) en gedistribueerd (wanneer de beheerserver op een apart apparaat wordt geplaatst). Daar houden de opties echter niet op. Laten we eens kijken naar drie typische scenario's voor het implementeren van een beheerserver:
- Aankoop van speciale NGSM. De meest populaire optie. Kies Smart-1-hardware of virtuele hardware. U kiest uiteraard op basis van het aantal gateways dat u gaat beheren, 5, 10, 25, etc. Door dit apparaat in te zetten, kunt u 4 sleutelbladen van de beheerserver gebruiken: NPM (d.w.z. beleidsbeheer), Logging en Status (d.w.z. loggen), Smart Event (SIEM van Check Point, dat ons alle rapportage geeft) en Compliance (dit is een beoordeling van de kwaliteit van instellingen, hetzij voor naleving van bepaalde wettelijke vereisten, dezelfde PCI DSS, of eenvoudigweg Best Practice). Je ziet meteen dat de NPM- en LS-mesjes permanente mesjes zijn, d.w.z. werkt zonder abonnementen te verlengen, maar de Blades Smart Event en Compliance zijn alleen voor het eerste jaar inbegrepen! Vervolgens moeten ze worden verlengd voor afzonderlijk geld. Dit is een belangrijk punt, vergeet het niet. En als je nog steeds zonder Compliance-blade kunt leven, dan heeft absoluut iedereen Smart Event nodig.
- Aankoop van een speciale Event Management-server AANVULLEND op de bestaande NGSM-beheerserver. Waarom is dit nodig? Feit is dat de logfunctionaliteit en vooral Smart Event behoorlijk behoorlijke systeembronnen “opeten”. En als er nogal wat logs zijn, kan dit leiden tot “remmen” op de controleserver. Daarom wordt het vaak toegepast om deze functionaliteit naar een afzonderlijk apparaat, Smart-1-hardware of, wederom, een virtuele machine te verplaatsen. Grote integraties met een groot aantal logs vereisen vrijwel altijd een dedicated server voor Smart Event. Het kan ook logs ontvangen. Op deze manier voert uw beheerserver alleen beheerfuncties uit. Dit verbetert de systeemstabiliteit en het reactievermogen aanzienlijk. Zoals u kunt zien, krijgt u bij aankoop van een speciale Smart Event-server deze twee blades voor permanent gebruik, zelfs zonder verlenging. Over een periode van drie tot vier jaar zal dit zelfs nog kosteneffectiever zijn dan het jaarlijks kopen van Smart Event-extensies voor een reguliere NGSM-server.
- Toegewijde logbeheerserver, die een aanvulling vormt op NGSM- en Smart Event-servers. Ik denk dat de betekenis duidelijk is. Als er een ZEER groot aantal logbestanden is, kunnen we de logfunctie naar een aparte server verplaatsen. De speciale Log-server heeft ook een permanente licentie en hoeft niet te worden verlengd.
Video-instructies
Meer informatie over licentiebeheer en technische ondersteuning van Check Point vindt u hier:
Bron: www.habr.com