Pagbati, mga kaibigan! At sa wakas nakarating na kami sa huli, huling aralin ng Pagsisimula ng Check Point. Ngayon ay pag-uusapan natin ang isang napakahalagang paksa - Paglilisensya. Nagmamadali akong babalaan ka na ang araling ito ay hindi isang kumpletong gabay sa pagpili ng kagamitan o lisensya. Ito ay isang buod lamang ng mga pangunahing punto na dapat malaman ng sinumang tagapangasiwa ng Check Point. Kung talagang nalilito ka sa pagpili ng lisensya o aparato, mas mahusay na bumaling sa mga propesyonal, i.e. para sa atin :). Mayroong maraming mga pitfalls na napakahirap pag-usapan sa kurso, at hindi mo rin ito maaalala kaagad.
Ang aming aralin ay magiging ganap na teoretikal, kaya maaari mong i-off ang iyong mga mock-up na server at makapagpahinga. Sa dulo ng artikulo ay makakahanap ka ng isang aralin sa video kung saan ipinapaliwanag ko ang lahat nang mas detalyado.
Paglilisensya ng Gateway
Magsimula tayo sa isang paglalarawan ng mga tampok sa paglilisensya ng mga gateway ng seguridad. Bukod dito, nalalapat ito sa parehong mga upline ng hardware at virtual machine. Sabihin nating nagpasya kang bumili ng gateway. Imposibleng bumili lamang ng isang piraso ng hardware o isang virtual machine nang walang "mga subscription"! Mayroong tatlong mga opsyon sa subscription:
At ngayon ang unang kawili-wiling tampok! Makakabili ka lang ng device o virtual machine na may NGTP o NGTX na mga subscription. Ngunit kapag nag-renew ka ng iyong subscription, maaari mo nang piliin ang NGFW package kung hindi mo kailangan ng AV, AB, URL, AS, TE at TX blades. Ito ang sandali. Ang mga subscription mismo ay maaaring mabili sa loob ng isa, dalawa o tatlong taon.
Mahuhulaan ko ang iyong unang tanong! βAno ang mangyayari kung hindi na-renew ang subscription?" Partikular kong binigyang-diin sa berde ang mga blades na LAGING gagana, at WALANG mga extension. Ang tinatawag na perpetual pales. Ang natitirang mga blades na nangangailangan ng patuloy na pag-update ay hihinto lamang sa paggana. Well, marahil ang IPS ay magkakaroon pa rin ng mga pangunahing pirma na gumagana (ngunit kakaunti ang mga ito). Ito ay totoo para sa parehong hardware at virtual machine, i.e. vSec.
Bilang isang hiwalay na item, nag-highlight ako ng tatlong blades na hindi kasama sa anumang kit: DLP, MAB at Capsule.
Tandaan din na kung bibili ka ng cluster solution, pagkatapos ay pumili ng modelo na may suffix na HA (i.e. High Availability) bilang pangalawang device. Ang larawan ay nagpapakita ng isang halimbawa para sa gateway 5400. Ito ay may kinalaman sa mga gateway. Ngayon ang server ng pamamahala.
Paglilisensya ng server ng pamamahala
Gaya ng nasabi na natin sa mga unang aralin, mayroong dalawang senaryo para sa pagpapatupad ng Check Point: Standalone (kapag ang gateway at pamamahala ay nasa isang device) at Distributed (kapag ang management server ay inilagay sa isang hiwalay na device). Gayunpaman, ang mga pagpipilian ay hindi nagtatapos doon. Tingnan natin ang tatlong karaniwang mga sitwasyon para sa pag-deploy ng isang server ng pamamahala:
- Pagbili ng nakatuong NGSM. Ang pinakasikat na opsyon. Piliin ang alinman sa Smart-1 hardware o virtual hardware. Pipili ka, siyempre, batay sa kung gaano karaming mga gateway ang iyong ibibigay, 5, 10, 25, atbp. Sa pamamagitan ng pag-deploy ng device na ito, maaari kang gumamit ng 4 na key management server blade: NPM (ibig sabihin, pamamahala ng patakaran), Pag-log at Status (ibig sabihin, pag-log), Smart Event (SIEM mula sa Check Point, na nagbibigay sa amin ng lahat ng pag-uulat) at Compliance (ito ay isang pagtatasa ng kalidad ng mga setting, alinman para sa pagsunod sa ilang kinakailangan sa regulasyon, sa parehong PCI DSS, o simpleng Best Practice). Makikita mo kaagad na ang NPM at LS blades ay permanenteng blades, i.e. gagana nang hindi nagre-renew ng mga subscription, ngunit ang mga blade ng Smart Event at Compliance ay kasama lang sa unang taon! Pagkatapos ay kailangan nilang i-renew para sa hiwalay na pera. Ito ay isang mahalagang punto, huwag kalimutan. At kung maaari ka pa ring mabuhay nang walang Blade ng Pagsunod, talagang kailangan ng lahat ng Matalino na Kaganapan.
- Pagbili ng nakalaang server ng Pamamahala ng Kaganapan KARAGDAGANG sa umiiral na server ng pamamahala ng NGSM. Bakit kailangan ito? Ang katotohanan ay ang pag-andar ng pag-log at lalo na ang Smart Event ay "kumakain" ng medyo disenteng mga mapagkukunan ng system. At kung mayroong maraming mga log, maaari itong humantong sa "preno" sa control server. Samakatuwid, madalas na ginagawang ilipat ang functionality na ito sa isang hiwalay na device, Smart-1 hardware o, muli, isang virtual machine. Ang malalaking integrasyon na may malaking bilang ng mga log ay halos palaging nangangailangan ng dedikadong server para sa Smart Event. Maaari rin itong makatanggap ng mga log. Sa ganitong paraan ang iyong server ng pamamahala ay magsasagawa lamang ng mga function ng pamamahala. Lubos nitong pinapabuti ang katatagan at pagtugon ng system. Gaya ng nakikita mo, kapag bumili ka ng nakalaang server ng Smart Event, makukuha mo ang dalawang blades na ito para sa permanenteng paggamit, kahit na walang pag-renew. Sa loob ng 3-4 na taong abot-tanaw, ito ay magiging mas matipid kaysa sa pagbili ng mga extension ng Smart Event para sa isang regular na server ng NGSM bawat taon.
- Nakalaang server ng pamamahala ng Log, na kasama sa NGSM at mga server ng Smart Event. Sa tingin ko ay malinaw ang kahulugan. Kung mayroong napakalaking bilang ng mga log, maaari naming ilipat ang pag-log function sa isang hiwalay na server. Ang dedikadong Log server ay mayroon ding permanenteng lisensya at hindi nangangailangan ng pag-renew.
Video tutorial
Maghanap ng higit pang impormasyon tungkol sa pamamahala ng lisensya at suportang teknikal ng Check Point dito:
Pinagmulan: www.habr.com