Pershendetje miq! Dhe më në fund arritëm tek e fundit, mësimi i fundit i Check Point Getting Started. Sot do të flasim për një temë shumë të rëndësishme - licencimi. Unë nxitoj t'ju paralajmëroj se ky mësim nuk është një udhëzues shterues për zgjedhjen e pajisjeve ose licencave. Kjo është vetëm një përmbledhje e pikave kryesore që çdo administrator i Check Point duhet të dijë. Nëse jeni vërtet të hutuar nga zgjedhja e licencës ose pajisjes, atëherë është më mirë t'i drejtoheni profesionistëve, d.m.th. tek ne :). Ka shumë gracka për të cilat është shumë e vështirë të flitet gjatë kursit dhe as nuk do të mund t'i mbani mend menjëherë.
Mësimi ynë do të jetë plotësisht teorik, kështu që ju mund të fikni serverët tuaj model dhe të relaksoheni. Në fund të artikullit do të gjeni një mësim video ku unë shpjegoj gjithçka në më shumë detaje.
Licencimi i portës
Le të fillojmë me një përshkrim të veçorive të licencimit të portave të sigurisë. Për më tepër, kjo vlen si për linjat upline të harduerit ashtu edhe për makinat virtuale. Le të themi se keni vendosur të blini një portë. Është e pamundur të blesh thjesht një pjesë të harduerit ose një makinë virtuale pa "abonime"! Ekzistojnë tre opsione të abonimit:
Dhe tani veçoria e parë interesante! Mund të blini vetëm një pajisje ose makinë virtuale me abonime NGTP ose NGTX. Por kur rinovoni abonimin tuaj, tashmë mund të zgjidhni paketën NGFW nëse nuk keni nevojë për tehe AV, AB, URL, AS, TE dhe TX. Ky është momenti. Vetë abonimet mund të blihen për një periudhë prej një, dy ose tre vjetësh.
Unë mund të parashikoj pyetjen tuaj të parë! "Çfarë ndodh nëse abonimi nuk rinovohet?" Unë posaçërisht theksova me jeshile ato tehe që do të funksionojnë GJITHMONË, dhe PA zgjatime. Të ashtuquajturat zbehje të përhershme. Tehët e mbetur që kërkojnë përditësim të vazhdueshëm thjesht do të ndalojnë së punuari. Epo, ndoshta IPS do të ketë ende nënshkrime kyçe që funksionojnë (por ka shumë pak prej tyre). Kjo është e vërtetë si për harduerin ashtu edhe për makinat virtuale, d.m.th. vSec.
Si një artikull më vete, unë theksova tre tehe që nuk përfshihen në asnjë komplet: DLP, MAB dhe Kapsulë.
Mos harroni gjithashtu se nëse blini një zgjidhje grupi, atëherë zgjidhni një model me prapashtesën HA (d.m.th. Disponueshmëria e lartë) si pajisje e dytë. Fotografia tregon një shembull për gateway 5400. Kjo ka të bëjë me gateways. Tani serveri i menaxhimit.
Licencimi i serverit të menaxhimit
Siç thamë tashmë në mësimet e para, ekzistojnë dy skenarë për zbatimin e Check Point: Standalone (kur porta dhe menaxhimi janë në një pajisje) dhe Distributed (kur serveri i menaxhimit vendoset në një pajisje të veçantë). Megjithatë, opsionet nuk mbarojnë këtu. Le të shohim tre skenarë tipikë për vendosjen e një serveri menaxhimi:
- Blerja e NGSM e dedikuar. Opsioni më popullor. Zgjidhni ose harduerin Smart-1 ose harduerin virtual. Ju zgjidhni, sigurisht, bazuar në numrin e portave që do të administroni, 5, 10, 25, etj. Duke vendosur këtë pajisje, ju mund të përdorni 4 blades serveri të menaxhimit të çelësave: NPM (d.m.th. menaxhimi i politikave), Regjistrimi dhe statusi (d.m.th. regjistrimi), Ngjarja inteligjente (SIEM nga Check Point, e cila na jep të gjithë raportimin) dhe Pajtueshmëria (kjo është një vlerësimi i cilësisë së cilësimeve, qoftë për pajtueshmërinë me disa kërkesa rregullatore, të njëjtat PCI DSS, ose thjesht Praktika më e Mirë). Ju mund të shihni menjëherë se tehet NPM dhe LS janë tehe të përhershme, d.m.th. do të funksionojë pa rinovuar abonimet, por blades Smart Event dhe Compliance përfshihen vetëm për vitin e parë! Pastaj ato duhet të rinovohen për para të veçanta. Kjo është një pikë e rëndësishme, mos harroni. Dhe nëse mund të jetoni ende pa një teh të Pajtueshmërisë, atëherë absolutisht të gjithë kanë nevojë për Ngjarje inteligjente.
- Blerja e një serveri të dedikuar të Menaxhimit të Ngjarjeve PËRVEÇ serverit ekzistues të menaxhimit NGSM. Pse është e nevojshme kjo? Fakti është se funksionaliteti i regjistrimit dhe veçanërisht Smart Event "hanë" burimet mjaft të mira të sistemit. Dhe nëse ka shumë regjistra, atëherë kjo mund të çojë në "frena" në serverin e kontrollit. Prandaj, shpesh praktikohet zhvendosja e këtij funksioni në një pajisje të veçantë, pajisje Smart-1 ose, përsëri, një makinë virtuale. Integrimet e mëdha me një numër të madh regjistrash pothuajse gjithmonë kërkojnë një server të dedikuar për Smart Event. Mund të marrë gjithashtu regjistra. Në këtë mënyrë serveri juaj i menaxhimit do të kryejë vetëm funksione menaxhimi. Kjo përmirëson shumë stabilitetin dhe reagimin e sistemit. Siç mund ta shihni, kur blini një server të dedikuar Smart Event, i merrni këto dy tehe për përdorim të përhershëm, edhe pa rinovim. Gjatë një horizonti 3-4 vjeçar, kjo do të jetë edhe më ekonomike sesa blerja e shtesave të Ngjarjeve Smart për një server të rregullt NGSM çdo vit.
- Server i dedikuar i menaxhimit të regjistrave, i cili vjen përveç serverëve NGSM dhe Smart Event. Unë mendoj se kuptimi është i qartë. Nëse ka një numër shumë të madh regjistrash, ne mund ta zhvendosim funksionin e regjistrimit në një server të veçantë. Serveri i dedikuar Log gjithashtu ka një licencë të përhershme dhe nuk kërkon rinovim.
Video mësimi
Gjeni më shumë informacion në lidhje me menaxhimin e licencës dhe mbështetjen teknike të Check Point këtu:
Burimi: www.habr.com