问候朋友! 最后,我们到达了最后
一个Check Point入门课程 。 今天我们将讨论一个非常重要的主题-
许可 。 我不得不警告说,本课并不是设备或许可证选择的详尽指南。 这只是任何Check Point管理员都应该知道的关键点的摘要。 如果您真的对许可证或设备的选择感到困惑,那么最好找专业人士,即 给我们:)。 在课程中有很多陷阱是很难谈论的,记住这一点也不会马上生效。
该课程将完全是理论性的,因此您可以关闭面包板服务器并放松。 在本文的结尾,您将找到一个视频课程,在此我会详细介绍
网关许可
让我们从描述安全网关的许可功能开始。 这适用于铁覆盖物和virtualoks。 假设您决定购买网关。 如果没有“订购”,就只能买一块铁或虚拟机! 共有三种订阅选项:
现在是第一个有趣的功能! 您只能购买具有NGTP或NGTX订阅的设备或虚拟机。 但是,当您续订订阅时,如果不需要AV,AB,URL,AS,TE和TX刀片,则可以选择NGFW软件包。 这是片刻。 订阅本身可以购买一年,两年或三年。
我可以预测您的第一个问题! “
如果不续订该怎么办? ” 我特别用绿色突出显示了那些将一直有效且无需更新的刀片。 所谓永生流血。 其余需要不断更新的刀片将仅停止工作。 好吧,除了IPS仍可与密钥签名一起使用(但签名很少)。 对于压盖和虚拟机都是如此,即 vSec。
作为单独的项目,我重点介绍了三个未包含在任何刀片中的刀片,它们是:DLP,MAB和Capsule。
还请记住,如果您要购买集群解决方案,请选择带有HA后缀(即高可用性)的型号作为第二个设备。 图中有一个5400网关的示例。 现在是管理服务器。
管理服务器许可
正如我们在第一课中已经说过的,有两种实现Check Point的方案:独立(当网关和管理都在同一设备上时)和分布式(当管理服务器移到单独的设备上时)。 但是,选项不止于此。 让我们看一下三种典型的管理服务器部署方案:
- 购买专用的NGSM 。 最受欢迎的选项。 选择Smart-1硬件或Virtalka。 当然,您可以根据要管理的网关数量(5、10、25等)进行选择。 通过部署此设备,您可以使用管理服务器的4个关键刀片:NPM(即策略管理),日志记录和状态(即日志记录),智能事件(来自Check Point的SIEM,为我们提供所有报告)和遵从性(这是对设置质量的评估,可以是是否符合任何法规要求,相同的PCI DSS或仅仅是最佳实践)。 显而易见,NPM和LS刀片是永久刀片,即 无需续订即可使用,但Smart Event和Compliance刀片仅适用于第一年! 然后,需要为它们续签一些钱。 这是重要的一点,不要忘记。 而且,如果您仍然可以不用Compliance刀片式服务器生活,那么绝对每个人都绝对需要Smart Event。
- 在现有NGSM管理服务器的基础上购买专用的事件管理服务器。 为什么需要这个? 事实是,日志记录功能(尤其是智能事件)“消耗”了非常不错的系统资源。 而且,如果有很多日志,那么这可能会导致管理服务器上的“刹车”。 因此,他们经常练习将此功能删除到单独的设备,Smart-1硬件或虚拟机上。 具有大量日志的大型集成几乎总是需要专用服务器来处理智能事件。 他可以记录日志。 因此,您的管理服务器将仅执行管理功能。 这大大提高了系统的稳定性和响应速度。 如您所见,购买专用的Smart Event服务器时,即使没有扩展,您也可以连续使用这两个刀片。 在3-4年的时间范围内,它比每年为常规NGSM服务器购买Smart Event扩展都更加经济。
- 专用的日志管理服务器 ,这是NGSM和Smart Event服务器的补充。 我想我明白了。 对于非常大量的日志,我们可以将日志记录功能带到单独的服务器上。 专用日志服务器也具有永久许可证,不需要续订。
录像课
在这里,您将找到有关许可证管理和Check Point技术支持的其他信息: