20 Мая, 2019

13. Check Point Getting Started R80.20. Licensing

Евгений Ольков


Приветствую, друзья! И мы наконец-то добрались до последнего, заключительного урока Check Point Getting Started. Сегодня мы поговорим об очень важной теме — Лицензирование. Спешу предупредить, что данный урок не является исчерпывающим руководством по выбору оборудования или лицензий. Это лишь краткое изложение ключевых моментов, которые должен знать любой администратор Check Point. Если вы действительно озадачены выбором лицензии или устройства, то лучше обратиться к профессионалам, т.е. к нам :). Очень много подводных камней, про которые весьма трудно рассказать в рамках курса, да и запомнить это тоже сразу не получится.
Урок у нас будет полностью теоретическим, так что можете выключать свои макетные сервера и расслабиться. В конце статьи вы найдете видео урок, где я рассказываю все более подробно

Лицензирование шлюза


Начнем с описания лицензионных особенностей у шлюзов безопасности. Причем это касается как железных аплайнсов, так и виртуалок. Допустим вы решили купить шлюз. Купить просто железку или виртуалку без «подписок» — невозможно! При этом существует три варианта подписок:



А теперь первая интересная особенность! Купить устройство или виртуалку вы можете только с подписками NGTP или NGTX. А вот когда будете продлять свою подписку, то уже можно будет выбрать пакет NGFW, в случае если вам не нужны блейды AV, AB, URL, AS, TE и TX. Вот такой момент. Сами подписки можно покупать сроком на год, два или три года.

Могу предугадать ваш первый вопрос! “Что будет, если подписку не продлить?”. Я специально выделил зеленым цветом те блейды, которые будут работать ВСЕГДА, и БЕЗ продлений. Так называемые perpetual бледы. Остальные же блейды, которые требуют постоянного обновления просто перестанут работать. Ну разве что у IPS останутся работать ключевы сигнатуры (но их очень мало). Это справедливо как для железок, так и для виртуалок, т.е. vSec.

Отдельным пунктом я выделил три блейда, которые не входят ни в один комплект, это: DLP, MAB и Capsule.

Также помните, что если вы покупаете кластерное решение, то в качестве второго устройства выбирайте модель с суффиксом HA (т.е. High Availability). На картинке есть пример для шлюза 5400. Это что касалось шлюзов. Теперь менеджмент сервер.

Лицензирование сервера управления


Как мы уже говорили еще в первых уроках, есть два сценария внедрения Check Point: Standalone (когда и шлюз и менеджмент на одном устройстве) и Distributed (когда менеджмент сервер выносится на отдельное устройство). Однако варианты на этом не заканчиваются. Давайте рассмотрим три типовых сценария разворачивания менеджмент сервера:



  1. Покупка выделенного NGSM. Самый популярный вариант. Выбираете либо железку Smart-1, либо вирталку. Выбираете конечно же исходя из того, сколько шлюзов вы будете администрировать, 5, 10, 25 и т.д. Развернув это устройство вы можете пользоваться 4-мя ключевыми блейдами сервера управления: NPM (т.е. управление политиками), Logging and Status (т.е. логирование), Smart Event (SIEM от Check Point, который дает нам всю отчетность) и Compliance (это оценка качества настроек, либо на соответствие каким-нибудь регуляторным требованиям, тот же PCI DSS, либо просто Best Practice). Тут же видно, что блейды NPM и LS это постоянные блейды, т.е. будут работать и без продления подписок, а вот блейды Smart Event и Compliance идут в комплекте только на первый год! Дальше их нужно продлять за отдельные деньги. Это важный момент, не забывайте. И если без Compliance блейда еще можно жить, то Smart Event уж точно нужен абсолютно всем.
  2. Покупка выделенного Event Management сервера В ДОПОЛНЕНИЕ к уже имеющемуся серверу управления NGSM. Зачем это нужно? Дело в том, что функционал логирования и особенно Smart Event «отъедает» весьма приличные системные ресурсы. И если логов довольно много, то это может приводить к “тормозам” на сервере управления. Поэтому часто практикуют вынос этого функционала на отдельное устройство, железку Smart-1 или опять же виртуалку. Большие интеграции с большим кол-во логов практически всегда требуют выделенного сервера под Smart Event. Он же может принимать логи. Таким образом ваш сервер управления будет выполнять только функции управления. Это значительно повышает стабильность и отклик системы. Как можно заметить, при покупке выделенного Smart Event сервера вы получаете эти два блейда в постоянное использование, даже без продления. В горизонте 3-4 лет это будет даже экономически выгоднее, чем покупать продления Smart Event для обычного NGSM сервера каждый год.
  3. Выделенный Log management сервер, который идет в дополнение к NGSM и Smart Event серверам. Смыл думаю понятен. При ОЧЕНЬ большом кол-ве логов мы можем вынести функцию логирования на отдельный сервер. Выделенный Log сервер тоже имеет постоянную лицензию и не требует продления.

Видео урок


Здесь вы найдете дополнительную информацию об управлении лицензиями и о техническое поддержке Check Point: