Assalomu alaykum, do'stlar! Va nihoyat oxirgisiga etib keldik, Check Point Ishga kirishishning yakuniy darsi. Bugun biz juda muhim mavzu haqida gaplashamiz - litsenziyalash. Men sizni ogohlantirmoqchimanki, bu dars uskunalar yoki litsenziyalarni tanlash bo'yicha to'liq qo'llanma emas. Bu har qanday Check Point ma'muri bilishi kerak bo'lgan asosiy fikrlarning qisqacha mazmuni. Agar siz litsenziya yoki qurilma tanlovi bilan chindan ham hayron bo'lsangiz, unda professionallarga murojaat qilish yaxshiroqdir, ya'ni. biznikiga :). Kursda gapirish juda qiyin bo'lgan juda ko'p tuzoqlar bor va siz ham buni darhol eslay olmaysiz.
Bizning darsimiz butunlay nazariy bo'ladi, shuning uchun siz maket serverlaringizni o'chirib, dam olishingiz mumkin. Maqolaning oxirida siz video darsini topasiz, unda men hamma narsani batafsilroq tushuntiraman.
Gateway litsenziyalash
Keling, xavfsizlik shlyuzlarining litsenziyalash xususiyatlarining tavsifidan boshlaylik. Bundan tashqari, bu apparat va virtual mashinalar uchun ham amal qiladi. Aytaylik, siz shlyuz sotib olishga qaror qildingiz. “Obuna”siz oddiygina apparat yoki virtual mashinani sotib olishning iloji yo‘q! Uchta obuna opsiyasi mavjud:
Va endi birinchi qiziqarli xususiyat! Siz faqat NGTP yoki NGTX obunalari bilan qurilma yoki virtual mashina sotib olishingiz mumkin. Ammo obunani yangilaganingizda, agar sizga AV, AB, URL, AS, TE va TX pichoqlari kerak bo'lmasa, NGFW paketini allaqachon tanlashingiz mumkin. Bu vaqt. Obunalarni bir, ikki yoki uch yillik muddatga sotib olish mumkin.
Men sizning birinchi savolingizni taxmin qila olaman! "Obuna yangilanmasa nima bo'ladi?" Men har doim ishlaydigan va kengaytmalarsiz ishlaydigan pichoqlarni yashil rangda alohida ta'kidladim. Abadiy pales deb atalmish. Doimiy yangilanishni talab qiladigan qolgan pichoqlar shunchaki ishlashni to'xtatadi. Ehtimol, IPS hali ham asosiy imzolarga ega bo'lishi mumkin (lekin ularning soni juda oz). Bu apparat va virtual mashinalar uchun ham amal qiladi, ya'ni. vSec.
Alohida element sifatida men hech qanday to'plamga kiritilmagan uchta pichoqni ta'kidladim: DLP, MAB va Capsule.
Shuni ham yodda tutingki, agar siz klaster yechimini sotib olsangiz, ikkinchi qurilma sifatida HA (ya'ni, yuqori mavjudlik) qo'shimchasi bo'lgan modelni tanlang. Rasmda 5400 shlyuziga misol keltirilgan. Bu shlyuzlarga tegishli. Endi boshqaruv serveri.
Boshqaruv serverini litsenziyalash
Birinchi darslarda aytib o'tganimizdek, Tekshirish nuqtasini amalga oshirishning ikkita stsenariysi mavjud: mustaqil (shlyuz va boshqaruv bitta qurilmada bo'lganda) va tarqatilgan (boshqaruv serveri alohida qurilmaga joylashtirilganda). Biroq, variantlar shu bilan tugamaydi. Keling, boshqaruv serverini joylashtirishning uchta tipik stsenariysini ko'rib chiqaylik:
- Maxsus NGSM sotib olish. Eng mashhur variant. Smart-1 uskunasini yoki virtual uskunani tanlang. Siz, albatta, 5, 10, 25 va hokazolarni boshqarishingiz kerak bo'lgan shlyuzlar soniga qarab tanlaysiz. Ushbu qurilmani o'rnatish orqali siz boshqaruv serverining 4 ta kalit panelidan foydalanishingiz mumkin: NPM (ya'ni siyosatni boshqarish), Jurnal va holat (ya'ni, jurnalga yozish), Smart Event (Bizga barcha hisobotlarni taqdim etadigan Check Point dan SIEM) va Muvofiqlik (bu sozlamalar sifatini baholash, yoki ba'zi tartibga solish talablariga, bir xil PCI DSS yoki oddiygina eng yaxshi amaliyotga muvofiqligi). NPM va LS pichoqlari doimiy pichoqlar ekanligini darhol ko'rishingiz mumkin, ya'ni. obunalarni yangilamasdan ishlaydi, lekin Smart Event va Compliance bladelari faqat birinchi yil uchun kiritilgan! Keyin ular alohida pul uchun yangilanishi kerak. Bu muhim nuqta, unutmang. Va agar siz hali ham Compliance bladesiz yashashingiz mumkin bo'lsa, unda mutlaqo hamma Smart Eventga muhtoj.
- Voqealarni boshqarish uchun maxsus serverni sotib olish Mavjud NGSM boshqaruv serveriga qo'shimcha ravishda. Bu nima uchun kerak? Gap shundaki, ro'yxatga olish funksiyasi va ayniqsa Smart Event juda munosib tizim resurslarini "eyib yuboradi". Va agar jurnallar juda ko'p bo'lsa, bu boshqaruv serverida "tormoz" ga olib kelishi mumkin. Shuning uchun, ko'pincha bu funksiyani alohida qurilmaga, Smart-1 uskunasiga yoki yana virtual mashinaga ko'chirish amalda qo'llaniladi. Ko'p sonli jurnallar bilan katta integratsiya deyarli har doim Smart Event uchun ajratilgan serverni talab qiladi. Shuningdek, u jurnallarni qabul qilishi mumkin. Shunday qilib, sizning boshqaruv serveringiz faqat boshqaruv funktsiyalarini bajaradi. Bu tizim barqarorligi va sezgirligini sezilarli darajada yaxshilaydi. Ko'rib turganingizdek, siz maxsus Smart Event serverini sotib olganingizda, siz ushbu ikkita pichoqni doimiy foydalanish uchun olasiz, hatto yangilanmasdan ham. 3-4 yil davomida bu har yili oddiy NGSM serveri uchun Smart Event kengaytmalarini sotib olishdan ko'ra ancha tejamkor bo'ladi.
- Maxsus jurnalni boshqarish serveri, bu NGSM va Smart Event serverlariga qo'shimcha ravishda keladi. Menimcha, ma'nosi aniq. Agar jurnallar JUDA ko'p bo'lsa, biz jurnalga yozish funksiyasini alohida serverga o'tkazishimiz mumkin. Maxsus jurnal serveri ham doimiy litsenziyaga ega va yangilashni talab qilmaydi.
Video dars
Litsenziyani boshqarish va Check Point texnik yordami haqida koʻproq maʼlumotni bu yerda topishingiz mumkin:
Manba: www.habr.com