13. تحقق نقطة البدء R80.20. ترخيص

تحية الأصدقاء! وأخيراً وصلنا إلى الدرس الأخير ، نقطة النهاية ، بدء الدرس . اليوم سنتحدث عن موضوع مهم للغاية - الترخيص . أسارع إلى التحذير من أن هذا الدرس ليس دليلاً شاملاً لاختيار المعدات أو التراخيص. هذا مجرد ملخص للنقاط الرئيسية التي يجب أن يعرفها مسؤول نقطة التحقق. إذا كنت في حيرة حقًا من اختيار ترخيص أو جهاز ، فمن الأفضل اللجوء إلى المحترفين ، أي لنا :). هناك الكثير من العثرات التي يصعب الحديث عنها كجزء من الدورة ، وتذكر أن هذا لن ينجح على الفور.

سيكون الدرس نظريًا بالكامل ، بحيث يمكنك إيقاف تشغيل خوادم اللوح والاسترخاء. في نهاية المقال ، ستجد درس فيديو حيث أتحدث بمزيد من التفصيل

بوابة الترخيص

لنبدأ بوصف ميزات ترخيص بوابات الأمن. وهذا ينطبق على كل من رفع الحديد و virtualoks. لنفترض أنك قررت شراء بوابة. من المستحيل شراء قطعة من الحديد أو آلة افتراضية دون "اشتراكات"! هناك ثلاثة خيارات اشتراك:



والآن أول ميزة مثيرة للاهتمام! يمكنك شراء جهاز أو جهاز افتراضي فقط من خلال اشتراكات NGTP أو NGTX. ولكن عند تجديد اشتراكك ، يمكنك بالفعل اختيار حزمة NGFW إذا كنت لا تحتاج إلى شفرات AV و AB و URL و AS و TE و TX. ها هي لحظة. يمكن شراء الاشتراكات نفسها لمدة سنة أو سنتين أو ثلاث سنوات.

يمكنني التنبؤ بسؤالك الأول! " ماذا يحدث إذا لم يتم تجديد الاشتراك؟ ". لقد أبرزت على وجه التحديد باللون الأخضر تلك الشفرات التي ستعمل دائمًا وبدون تجديدات. ما يسمى بليد دائم. الشفرات المتبقية ، التي تتطلب تحديثًا مستمرًا ، ستتوقف عن العمل ببساطة. حسنًا ، إلا أن IPS سيظل يعمل مع التواقيع الرئيسية (ولكن هناك القليل منها). هذا صحيح بالنسبة لكل من الغدد والأجهزة الظاهرية ، أي vSec.

كبند منفصل ، سلطت الضوء على ثلاث شفرات غير مدرجة في أي مجموعة ، وهي: DLP و MAB و Capsule.

تذكر أيضًا أنك إذا كنت تشتري حلًا لمجموعة ، فاختر النموذج ذي لاحقة HA ​​(أي التوفر العالي) كجهاز ثانٍ. هناك مثال للبوابة 5400 في الصورة ، وهذا هو للبوابات. الآن خادم الإدارة.

ترخيص خادم الإدارة

كما سبق أن قلنا في الدروس الأولى ، هناك سيناريوهان لتنفيذ نقطة الفحص: قائمة بذاتها (عندما تكون كل من البوابة والإدارة على نفس الجهاز) وموزعة (عندما يتم نقل خادم الإدارة إلى جهاز منفصل). ومع ذلك ، فإن الخيارات لا تنتهي هناك. لنلقِ نظرة على ثلاثة سيناريوهات لنشر خادم الإدارة النموذجي:

1. شراء مخصص NGSM . الخيار الأكثر شعبية. اختر إما قطعة Smart-1 من الأجهزة أو Virtalka. بالطبع ، تختار بناءً على عدد البوابات التي ستديرها ، 5 ، 10 ، 25 ، إلخ. من خلال نشر هذا الجهاز ، يمكنك استخدام الشفرات الرئيسية الأربعة لخادم الإدارة: NPM (أي ، إدارة السياسة) ، التسجيل والحالة (أي ، التسجيل) ، الحدث الذكي (SIEM من Check Point ، والذي يوفر لنا جميع التقارير) و التوافق (هذا هو تقييم لجودة الإعدادات ، إما للامتثال لأي متطلبات تنظيمية ، أو نفس PCI DSS ، أو ببساطة أفضل الممارسات). من الواضح على الفور أن شفرات NPM و LS شفرات دائمة ، أي ستعمل دون تجديد الاشتراكات ، ولكن يتم تضمين شفرات الحدث الذكي والتوافق فقط للسنة الأولى! ثم يحتاجون إلى التجديد لبعض المال. هذه نقطة مهمة ، لا تنسى. وإذا كان لا يزال بإمكانك العيش بدون شفرة الامتثال ، فإن الحدث الذكي مطلوب بالتأكيد من قِبل الجميع تمامًا.
2. شراء خادم مخصص لإدارة الأحداث بالإضافة إلى خادم إدارة NGSM موجود. لماذا هذا مطلوب؟ الحقيقة هي أن وظيفة التسجيل وخاصة Smart Event "تستهلك" موارد النظام اللائقة للغاية. وإذا كان هناك الكثير من السجلات ، فإن هذا يمكن أن يؤدي إلى "الفرامل" على خادم الإدارة. لذلك ، غالبًا ما يمارسون إزالة هذه الوظيفة إلى جهاز منفصل أو جهاز Smart-1 أو جهاز افتراضي. تتطلب عمليات الدمج الكبيرة مع عدد كبير من السجلات دائمًا خادم مخصص للحدث الذكي. يمكن أن يأخذ سجلات. وبالتالي ، فإن خادم الإدارة الخاص بك سوف يؤدي وظائف الإدارة فقط. هذا يحسن كثيرا من استقرار النظام والاستجابة لها. كما ترون ، عند شراء خادم Smart Event مخصص ، ستحصل على هذين النصلين للاستخدام المتواصل ، حتى بدون وجود امتداد. في الأفق من 3-4 سنوات ، سيكون أكثر اقتصادا من شراء ملحقات الحدث الذكي لخادم NGSM منتظم كل عام.
3. خادم إدارة سجلات مخصص ، والذي يأتي بالإضافة إلى خوادم NGSM و Smart Event. أعتقد أنني فهمت ذلك. مع وجود عدد كبير جدًا من السجلات ، يمكننا نقل وظيفة التسجيل إلى خادم منفصل. يحتوي خادم السجل المخصص أيضًا على ترخيص دائم ولا يتطلب التجديد.

درس فيديو

ستجد هنا معلومات إضافية حول إدارة الترخيص والدعم الفني لـ Check Point: