Selamlar arkadaşlar! Ve sonunda sonuncuya geldik. Check Point Başlarken'in son dersi. Bugün çok önemli bir konu hakkında konuşacağız - Ruhsat verme. Bu dersin ekipman veya lisans seçimi konusunda kapsamlı bir rehber olmadığı konusunda sizi hemen uyarmak isterim. Bu, herhangi bir Check Point yöneticisinin bilmesi gereken önemli noktaların yalnızca bir özetidir. Lisans veya cihaz seçimi konusunda gerçekten kafanız karıştıysa, profesyonellere başvurmak daha iyidir, yani. bize :). Kursta konuşulması çok zor olan pek çok tuzak var ve bunları da hemen hatırlayamayacaksınız.
Dersimiz tamamen teorik olacağından maket sunucularınızı kapatıp rahatlayabilirsiniz. Makalenin sonunda her şeyi daha ayrıntılı olarak anlattığım bir video dersi bulacaksınız.
Ağ Geçidi Lisanslaması
Güvenlik ağ geçitlerinin lisanslama özelliklerinin bir açıklamasıyla başlayalım. Üstelik bu hem donanım üst hatları hem de sanal makineler için geçerlidir. Diyelim ki bir ağ geçidi satın almaya karar verdiniz. "Abonelik" olmadan bir donanım veya sanal makine satın almak imkansızdır! Üç abonelik seçeneği vardır:
Ve şimdi ilk ilginç özellik! Yalnızca NGTP veya NGTX aboneliklerine sahip bir cihaz veya sanal makine satın alabilirsiniz. Ancak aboneliğinizi yenilediğinizde AV, AB, URL, AS, TE ve TX blade'lere ihtiyacınız yoksa zaten NGFW paketini seçebilirsiniz. An bu an. Aboneliklerin kendisi bir, iki veya üç yıllık bir süre için satın alınabilir.
İlk sorunuzu tahmin edebiliyorum! “Abonelik yenilenmezse ne olur?" HER ZAMAN çalışacak ve uzantıları OLMADAN çalışacak bıçakları özellikle yeşil renkle vurguladım. Sözde kalıcı solgunluk. Sürekli güncellenmesi gereken kalan bıçaklar çalışmayı bırakacaktır. Belki IPS'de hala çalışan anahtar imzalar olacaktır (ancak bunlardan çok azı vardır). Bu hem donanım hem de sanal makineler için geçerlidir; vSec.
Ayrı bir öğe olarak hiçbir kitte bulunmayan üç bıçağın altını çizdim: DLP, MAB ve Kapsül.
Ayrıca, bir küme çözümü satın alırsanız ikinci cihaz olarak HA (yani Yüksek Kullanılabilirlik) son ekine sahip bir model seçmeniz gerektiğini de unutmayın. Resimde ağ geçidi 5400 için bir örnek gösterilmektedir. Bu, ağ geçitleriyle ilgilidir. Şimdi yönetim sunucusu.
Yönetim sunucusu lisanslaması
İlk derslerde de söylediğimiz gibi Check Point'i uygulamak için iki senaryo vardır: Bağımsız (hem ağ geçidi hem de yönetim tek bir cihazda olduğunda) ve Dağıtılmış (yönetim sunucusu ayrı bir cihaza yerleştirildiğinde). Ancak seçenekler burada bitmiyor. Bir yönetim sunucusunun dağıtımına ilişkin üç tipik senaryoya bakalım:
- Özel NGSM'nin satın alınması. En popüler seçenek. Smart-1 donanımını veya sanal donanımı seçin. Elbette kaç ağ geçidini yöneteceğinize bağlı olarak (5, 10, 25 vb.) seçim yaparsınız. Bu cihazı dağıtarak 4 anahtar yönetim sunucu kartını kullanabilirsiniz: NPM (yani politika yönetimi), Günlük Kaydı ve Durum (yani günlük kaydı), Akıllı Olay (bize tüm raporlamayı sağlayan Check Point'ten SIEM) ve Uyumluluk (bu bir bazı düzenleyici gerekliliklere, aynı PCI DSS'ye veya yalnızca En İyi Uygulamaya uygunluk açısından ortamların kalitesinin değerlendirilmesi). NPM ve LS kanatlarının kalıcı kanatlar olduğunu hemen görebilirsiniz; abonelikleri yenilemeden çalışacaktır ancak Akıllı Etkinlik ve Uyumluluk blade'leri yalnızca ilk yıl için dahildir! Daha sonra ayrı parayla yenilenmeleri gerekiyor. Bu önemli bir noktadır, unutmayın. Ve eğer hala Uyumluluk bıçağı olmadan yaşayabiliyorsanız, o zaman kesinlikle herkesin Akıllı Etkinliğe ihtiyacı vardır.
- Özel bir Etkinlik Yönetimi sunucusu satın alma Mevcut NGSM yönetim sunucusuna EK OLARAK. Bu neden gerekli? Gerçek şu ki, kayıt işlevi ve özellikle Akıllı Etkinlik oldukça iyi sistem kaynaklarını "tüketiyor". Oldukça fazla sayıda günlük varsa, bu durum kontrol sunucusunda "frenlere" yol açabilir. Bu nedenle, bu işlevselliğin ayrı bir cihaza, Smart-1 donanımına veya yine bir sanal makineye taşınması sıklıkla uygulanmaktadır. Çok sayıda günlük içeren büyük entegrasyonlar neredeyse her zaman Smart Event için özel bir sunucu gerektirir. Ayrıca günlükleri de alabilir. Bu şekilde yönetim sunucunuz yalnızca yönetim işlevlerini gerçekleştirecektir. Bu, sistem kararlılığını ve yanıt verme hızını büyük ölçüde artırır. Gördüğünüz gibi, özel bir Smart Event sunucusu satın aldığınızda, bu iki blade'i yenilemeye gerek kalmadan kalıcı olarak kullanabilirsiniz. 3-4 yıllık bir ufukta bu, her yıl normal bir NGSM sunucusu için Smart Event uzantılarını satın almaktan daha uygun maliyetli olacaktır.
- Özel Günlük yönetimi sunucusuNGSM ve Smart Event sunucularına ek olarak gelir. Bence anlamı açık. ÇOK fazla sayıda günlük varsa, günlük tutma işlevini ayrı bir sunucuya taşıyabiliriz. Özel Log sunucusunun da kalıcı bir lisansı vardır ve yenilenmesi gerekmez.
Video dersi
Lisans yönetimi ve Check Point teknik desteği hakkında daha fazla bilgiyi burada bulabilirsiniz:
Kaynak: habr.com