Grüße Freunde! Und wir kamen endlich zur letzten,
letzten Check Point Getting Started-Lektion . Heute werden wir über ein sehr wichtiges Thema sprechen - die
Lizenzierung . Ich beeile mich zu warnen, dass diese Lektion keine erschöpfende Anleitung für die Auswahl von Geräten oder Lizenzen ist. Dies ist nur eine Zusammenfassung der wichtigsten Punkte, die jeder Check Point-Administrator kennen sollte. Wenn Sie von der Wahl einer Lizenz oder eines Geräts wirklich verwirrt sind, wenden Sie sich besser an Fachleute, d. H. zu uns :). Es gibt viele Fallstricke, über die es im Rahmen des Kurses sehr schwierig ist, zu sprechen, und daran zu denken, wird auch nicht sofort funktionieren.
Die Lektion ist vollständig theoretisch, sodass Sie Ihre Steckbrett-Server ausschalten und sich entspannen können. Am Ende des Artikels finden Sie eine Videolektion, in der ich ausführlicher spreche
Gateway-Lizenzierung
Beginnen wir mit der Beschreibung der Lizenzierungsfunktionen von Sicherheitsgateways. Dies gilt sowohl für Eisen-Uplays als auch für Virtualoks. Angenommen, Sie möchten ein Gateway kaufen. Es ist unmöglich, nur ein Stück Eisen oder eine virtuelle Maschine ohne „Abonnements“ zu kaufen! Es gibt drei Abonnementoptionen:
Und jetzt das erste interessante Feature! Sie können ein Gerät oder eine virtuelle Maschine nur mit NGTP- oder NGTX-Abonnements kaufen. Wenn Sie Ihr Abonnement verlängern, können Sie das NGFW-Paket bereits auswählen, wenn Sie keine AV-, AB-, URL-, AS-, TE- und TX-Blades benötigen. Hier ist ein Moment. Abonnements selbst können für einen Zeitraum von einem, zwei oder drei Jahren erworben werden.
Ich kann Ihre erste Frage vorhersagen! „
Was passiert, wenn das Abonnement nicht verlängert wird? "" Ich habe speziell die Klingen grün hervorgehoben, die IMMER und OHNE Erneuerungen funktionieren. Die sogenannte ewige Blutung. Die verbleibenden Blades, die ständig aktualisiert werden müssen, funktionieren einfach nicht mehr. Nun, außer dass IPS immer noch mit Schlüsselsignaturen funktioniert (aber es gibt nur sehr wenige davon). Dies gilt sowohl für Drüsen als auch für virtuelle Maschinen, d. H. vSec.
Als separates Element habe ich drei Blades hervorgehoben, die in keinem Satz enthalten sind: DLP, MAB und Capsule.
Denken Sie auch daran, dass Sie beim Kauf einer Clusterlösung das Modell mit dem HA-Suffix (d. H. Hochverfügbarkeit) als zweites Gerät auswählen. Das Bild zeigt ein Beispiel für das 5400-Gateway. Dies gilt für Gateways. Nun der Management Server.
Management Server-Lizenzierung
Wie bereits in den ersten Lektionen erwähnt, gibt es zwei Szenarien für die Implementierung von Check Point: Standalone (wenn sich sowohl das Gateway als auch die Verwaltung auf demselben Gerät befinden) und Distributed (wenn der Verwaltungsserver auf ein separates Gerät verschoben wird). Die Optionen enden jedoch nicht dort. Schauen wir uns drei typische Bereitstellungsszenarien für Management Server an:
- Kaufen Sie dediziertes NGSM . Die beliebteste Option. Wählen Sie entweder eine Smart-1-Hardware oder eine Virtalka. Natürlich wählen Sie basierend auf der Anzahl der zu verwaltenden Gateways 5, 10, 25 usw. aus. Durch die Bereitstellung dieses Geräts können Sie die 4 Schlüsselblätter des Verwaltungsservers verwenden: NPM (d. H. Richtlinienverwaltung), Protokollierung und Status (d. H. Protokollierung), Smart Event (SIEM von Check Point, das uns alle Berichte liefert) und Konformität (dies ist eine Bewertung der Qualität der Einstellungen, entweder zur Einhaltung gesetzlicher Anforderungen, des gleichen PCI-DSS oder einfach als Best Practice). Es ist sofort ersichtlich, dass NPM- und LS-Schaufeln permanente Schaufeln sind, d.h. funktioniert ohne Erneuerung von Abonnements, aber Smart Event- und Compliance-Blades sind nur für das erste Jahr enthalten! Dann müssen sie für etwas Geld erneuert werden. Dies ist ein wichtiger Punkt, nicht vergessen. Und wenn Sie immer noch ohne das Compliance Blade leben können, wird das Smart Event definitiv von absolut jedem benötigt.
- Kauf eines dedizierten Event Management-Servers ZUSÄTZLICH zu einem vorhandenen NGSM-Management-Server. Warum wird das benötigt? Tatsache ist, dass die Protokollierungsfunktionalität und insbesondere das intelligente Ereignis sehr anständige Systemressourcen „verschlingen“. Und wenn es viele Protokolle gibt, kann dies zu „Bremsen“ auf dem Verwaltungsserver führen. Daher üben sie häufig das Entfernen dieser Funktionalität auf ein separates Gerät, eine Smart-1-Hardware oder wiederum eine virtuelle Maschine. Große Integrationen mit einer großen Anzahl von Protokollen erfordern fast immer einen dedizierten Server für Smart Event. Er kann Protokolle nehmen. Daher führt Ihr Verwaltungsserver nur Verwaltungsfunktionen aus. Dies verbessert die Systemstabilität und das Ansprechverhalten erheblich. Wie Sie sehen, erhalten Sie beim Kauf eines dedizierten Smart Event-Servers diese beiden Blades für den kontinuierlichen Gebrauch, auch ohne Erweiterung. In den nächsten drei bis vier Jahren wird es sogar noch wirtschaftlicher sein, als jedes Jahr Smart Event-Erweiterungen für einen regulären NGSM-Server zu kaufen.
- Dedizierter Protokollverwaltungsserver , der zusätzlich zu NGSM- und Smart Event-Servern geliefert wird. Ich glaube ich habe es verstanden. Mit einer SEHR großen Anzahl von Protokollen können wir die Protokollierungsfunktion auf einen separaten Server übertragen. Der dedizierte Protokollserver verfügt auch über eine permanente Lizenz und muss nicht erneuert werden.
Videolektion
Hier finden Sie zusätzliche Informationen zum Lizenzmanagement und zum technischen Support von Check Point: