问候,朋友们! 我们终于到了最后一个, Check Point 入门的最后一课。 今天我们要聊一个非常重要的话题—— 许可。 我急于警告您,本课程并不是选择设备或许可证的详尽指南。 这只是任何 Check Point 管理员都应该了解的要点的摘要。 如果您确实对许可证或设备的选择感到困惑,那么最好求助于专业人士,即寻求专业人士的帮助。 对我们来说:)。 课程中有很多陷阱很难讲,你也不会马上记住。
我们的课程将完全是理论性的,因此您可以关闭模拟服务器并放松。 在文章末尾,您将找到一个视频课程,我在其中更详细地解释了所有内容。
网关许可
让我们首先描述安全网关的许可功能。 此外,这适用于硬件上线和虚拟机。 假设您决定购买网关。 如果没有“订阅”,就不可能简单地购买硬件或虚拟机! 共有三种订阅选项:
现在是第一个有趣的功能! 您只能购买具有 NGTP 或 NGTX 订阅的设备或虚拟机。 但当您续订时,如果您不需要 AV、AB、URL、AS、TE 和 TX 刀片,则可以选择 NGFW 套餐。 现在是时候。 订阅本身可以购买一年、两年或三年的期限。
我可以预测你的第一个问题! “如果不续订订阅会怎样?” 我特别用绿色突出显示了那些始终可以工作且无需扩展的刀片。 所谓万古苍白。 其余需要不断更新的刀片将停止工作。 好吧,也许 IPS 仍然可以使用密钥签名(但密钥签名很少)。 对于硬件和虚拟机都是如此,即v秒。
作为一个单独的项目,我重点介绍了任何套件中均未包含的三种刀片:DLP、MAB 和 Capsule。
另请记住,如果您购买集群解决方案,请选择后缀为 HA(即 High Availability)的型号作为第二设备。 图中显示的是网关 5400 的示例。这涉及网关。 现在是管理服务器。
管理服务器许可
正如我们在第一课中已经说过的,实施 Check Point 有两种场景:独立(当网关和管理都在一个设备上时)和分布式(当管理服务器放置在单独的设备上时)。 然而,选项并不止于此。 让我们看一下部署管理服务器的三种典型场景:
- 购买专用NGSM。 最受欢迎的选择。 选择 Smart-1 硬件或虚拟硬件。 当然,您可以根据要管理的网关数量进行选择,5 个、10 个、25 个等。 通过部署此设备,您可以使用管理服务器的 4 个关键刀片:NPM(即策略管理)、日志记录和状态(即日志记录)、智能事件(来自 Check Point 的 SIEM,它为我们提供所有报告)和合规性(这是对设置质量的评估,要么符合某些监管要求、相同的 PCI DSS,要么只是最佳实践)。 您可以立即看到 NPM 和 LS 刀片是永久刀片,即无需续订即可使用,但智能事件和合规刀片仅包含在第一年! 然后需要单独付费进行续订。 这是很重要的一点,不要忘记。 如果您仍然可以在没有合规刀片的情况下生活,那么绝对每个人都需要智能事件。
- 购买专用的事件管理服务器 除了现有的 NGSM 管理服务器之外。 为什么这是必要的? 事实上,日志记录功能,尤其是智能事件“吃掉”了相当不错的系统资源。 如果有相当多的日志,那么这可能会导致控制服务器“刹车”。 因此,通常会将此功能转移到单独的设备、Smart-1 硬件或虚拟机上。 具有大量日志的大型集成几乎总是需要专门的智能事件服务器。 它还可以接收日志。 这样您的管理服务器将仅执行管理功能。 这极大地提高了系统的稳定性和响应能力。 正如您所看到的,当您购买专用的智能事件服务器时,您将获得这两个刀片以永久使用,甚至无需续订。 在 3-4 年的时间内,这将比每年为常规 NGSM 服务器购买智能事件扩展更具成本效益。
- 专用日志管理服务器,这是 NGSM 和智能事件服务器的补充。 我想意思很清楚了。 如果日志数量非常多,我们可以将日志记录功能移至单独的服务器。 专用日志服务器也有永久许可证,不需要续订。
影片教学
在此处查找有关许可证管理和 Check Point 技术支持的更多信息:
来源: habr.com