Hälsningar, vänner! Och vi kom äntligen till den sista, sista lektionen av Check Point Komma igång. Idag kommer vi att prata om ett mycket viktigt ämne - Licensiering. Jag skyndar mig att varna dig för att den här lektionen inte är en uttömmande guide för att välja utrustning eller licenser. Detta är bara en sammanfattning av de viktigaste punkterna som alla Check Point-administratörer bör känna till. Om du verkligen är förbryllad över valet av licens eller enhet, då är det bättre att vända dig till proffs, d.v.s. till oss :). Det finns många fallgropar som är väldigt svåra att prata om i kursen, och du kommer inte att kunna komma ihåg det direkt heller.
Vår lektion kommer att vara helt teoretisk, så du kan stänga av dina mock-up-servrar och koppla av. I slutet av artikeln hittar du en videolektion där jag förklarar allt mer i detalj.
Gateway-licensiering
Låt oss börja med en beskrivning av licensieringsfunktionerna för säkerhetsgateways. Dessutom gäller detta både hårdvaru-uplines och virtuella maskiner. Låt oss säga att du bestämmer dig för att köpa en gateway. Det är omöjligt att helt enkelt köpa en hårdvara eller en virtuell maskin utan "prenumerationer"! Det finns tre prenumerationsalternativ:
Och nu den första intressanta funktionen! Du kan bara köpa en enhet eller virtuell maskin med NGTP- eller NGTX-prenumerationer. Men när du förnyar ditt abonnemang kan du redan nu välja NGFW-paketet om du inte behöver AV, AB, URL, AS, TE och TX blad. Det här är ögonblicket. Själva abonnemang kan köpas för en period av ett, två eller tre år.
Jag kan förutsäga din första fråga! "Vad händer om abonnemanget inte förnyas?" Jag markerade specifikt i grönt de blad som ALLTID fungerar, och UTAN förlängningar. Den så kallade evigheten bleknar. De återstående bladen som kräver konstant uppdatering kommer helt enkelt att sluta fungera. Tja, kanske IPS kommer fortfarande att ha nyckelsignaturer som fungerar (men det finns väldigt få av dem). Detta gäller både hårdvara och virtuella maskiner, dvs. vSec.
Som en separat artikel lyfte jag fram tre blad som inte ingår i något kit: DLP, MAB och Capsule.
Kom också ihåg att om du köper en klusterlösning, välj sedan en modell med suffixet HA (d.v.s. High Availability) som den andra enheten. Bilden visar ett exempel för gateway 5400. Detta gäller gateways. Nu hanteringsservern.
Management server licensiering
Som vi redan sa i de första lektionerna finns det två scenarier för att implementera Check Point: Fristående (när både gatewayen och hanteringen finns på en enhet) och Distribuerad (när hanteringsservern är placerad på en separat enhet). Men alternativen slutar inte där. Låt oss titta på tre typiska scenarier för att distribuera en hanteringsserver:
- Köper dedikerad NGSM. Det mest populära alternativet. Välj antingen Smart-1 hårdvara eller virtuell hårdvara. Du väljer självklart utifrån hur många gateways du ska administrera, 5, 10, 25 osv. Genom att distribuera den här enheten kan du använda fyra nyckelblad på hanteringsservern: NPM (d.v.s. policyhantering), loggning och status (dvs. loggning), Smart Event (SIEM från Check Point, som ger oss all rapportering) och efterlevnad (detta är en bedömning av inställningarnas kvalitet, antingen för överensstämmelse med vissa regulatoriska krav, samma PCI DSS eller helt enkelt Best Practice). Du kan direkt se att NPM och LS bladen är permanenta blad, d.v.s. kommer att fungera utan att förnya prenumerationer, men Smart Event och Compliance-bladen ingår endast det första året! Sedan behöver de förnyas för separata pengar. Detta är en viktig punkt, glöm inte. Och om du fortfarande kan leva utan ett Compliance-blad, behöver absolut alla Smart Event.
- Köpa en dedikerad Event Management-server UTÖVER den befintliga NGSM-hanteringsservern. Varför är detta nödvändigt? Faktum är att loggningsfunktionaliteten och speciellt Smart Event "äter bort" ganska anständiga systemresurser. Och om det finns ganska många loggar, kan detta leda till "bromsar" på kontrollservern. Därför övas det ofta på att flytta denna funktionalitet till en separat enhet, Smart-1-hårdvara eller, återigen, en virtuell maskin. Stora integrationer med ett stort antal loggar kräver nästan alltid en dedikerad server för Smart Event. Den kan också ta emot loggar. På så sätt kommer din hanteringsserver bara att utföra hanteringsfunktioner. Detta förbättrar systemets stabilitet och lyhördhet avsevärt. Som du kan se, när du köper en dedikerad Smart Event-server får du dessa två blad för permanent användning, även utan förnyelse. Över en 3-4 års horisont kommer detta att vara ännu mer kostnadseffektivt än att köpa Smart Event-tillägg till en vanlig NGSM-server varje år.
- Dedikerad logghanteringsserver, som kommer utöver NGSM- och Smart Event-servrar. Jag tror att innebörden är tydlig. Om det finns ett MYCKET stort antal loggar kan vi flytta loggningsfunktionen till en separat server. Den dedikerade loggservern har också en permanent licens och kräver ingen förnyelse.
Video handledning
Hitta mer information om licenshantering och Check Point teknisk support här:
Källa: will.com