問候,朋友們! 我們終於到了最後一個, Check Point 入門的最後一堂課。 今天我們要聊一個很重要的主題— 許可。 我急於警告您,本課程並不是選擇設備或許可證的詳盡指南。 這只是任何 Check Point 管理員都應該了解的要點的摘要。 如果您確實對許可證或設備的選擇感到困惑,那麼最好求助於專業人士,即尋求專業人士的幫助。 對我們來說:)。 課程中有很多陷阱很難講,你也不會馬上記得。
我們的課程將完全是理論性的,因此您可以關閉模型伺服器並放鬆。 在文章末尾,您將找到一個視頻課程,我在其中更詳細地解釋了所有內容。
網關許可
讓我們先描述安全網關的許可功能。 此外,這適用於硬體上線和虛擬機器。 假設您決定購買網關。 如果沒有“訂閱”,就不可能簡單地購買硬體或虛擬機! 共有三種訂閱選項:
現在是第一個有趣的功能! 您只能購買具有 NGTP 或 NGTX 訂閱的裝置或虛擬機器。 但當您續訂時,如果您不需要 AV、AB、URL、AS、TE 和 TX 刀片,則可以選擇 NGFW 套餐。 現在是時候。 訂閱本身可以購買一年、兩年或三年的期限。
我可以預測你的第一個問題! “如果不續訂訂閱會怎麼樣?」 我特別用綠色突出顯示了那些始終可以工作且無需擴展的刀片。 所謂萬古蒼白。 其餘需要不斷更新的刀片將停止工作。 好吧,也許 IPS 仍然可以使用金鑰簽署(但金鑰簽章很少)。 對於硬體和虛擬機器都是如此,即v秒。
作為一個單獨的項目,我重點介紹了任何套件中未包含的三種刀片:DLP、MAB 和 Capsule。
另請記住,如果您購買叢集解決方案,請選擇後綴為 HA(即 High Availability)的型號作為第二裝置。 圖中顯示的是網關 5400 的範例。這涉及網關。 現在是管理伺服器。
管理伺服器許可
正如我們在第一課中已經說過的,實作 Check Point 有兩種場景:獨立(當網關和管理都在一個裝置上時)和分散式(當管理伺服器放置在單獨的裝置上時)。 然而,選項並不止於此。 讓我們來看看部署管理伺服器的三種典型場景:
- 購買專用NGSM。 最受歡迎的選擇。 選擇 Smart-1 硬體或虛擬硬體。 當然,您可以根據要管理的網關數量進行選擇,5 個、10 個、25 個等。 透過部署此設備,您可以使用4 個關鍵管理伺服器刀片:NPM(即策略管理)、日誌記錄和狀態(即日誌記錄)、智慧事件(來自Check Point 的SIEM,它為我們提供所有報告)和合規性(這是一個評估設定的質量,無論是符合某些監管要求、相同的 PCI DSS 還是簡單的最佳實踐)。 您可以立即看到 NPM 和 LS 刀片是永久刀片,即無需續訂即可使用,但智慧事件和合規刀片僅包含在第一年! 然後需要單獨付費進行續訂。 這是很重要的一點,不要忘記。 如果您仍然可以在沒有合規刀片的情況下生活,那麼絕對每個人都需要智慧事件。
- 購買專用的事件管理伺服器 除了現有的 NGSM 管理伺服器之外。 為什麼這是必要的? 事實上,日誌記錄功能,尤其是智慧事件「吃掉」了相當不錯的系統資源。 如果有相當多的日誌,那麼這可能會導致控制伺服器「煞車」。 因此,通常會將此功能轉移到單獨的設備、Smart-1 硬體或虛擬機器上。 具有大量日誌的大型整合幾乎總是需要專門的智慧事件伺服器。 它還可以接收日誌。 這樣您的管理伺服器將只執行管理功能。 這極大地提高了系統的穩定性和響應能力。 正如您所看到的,當您購買專用的智慧事件伺服器時,您將獲得這兩個刀片以永久使用,甚至無需續訂。 在 3-4 年的時間內,這將比每年為常規 NGSM 伺服器購買智慧事件擴展更具成本效益。
- 專用日誌管理伺服器,這是 NGSM 和智慧事件伺服器的補充。 我想意思很清楚了。 如果日誌數量非常多,我們可以將日誌記錄功能移至單獨的伺服器。 專用日誌伺服器也有永久許可證,不需要續約。
視頻課程
在此處查找有關許可證管理和 Check Point 技術支援的更多資訊:
來源: www.habr.com