ブリッジ・モードでの単一Security Gateway の設定
| 注 - この手順はCheck Point Appliance とOpen Server の両方に適用されます。 |
単一のSecurity Gateway のトポロジの例 
項目 | 説明 |
|---|---|
1 | ネットワーク。管理者は2 つのレイヤ2 セグメントに分割する必要があります。 ブリッジ・モードのSecurity Gateway は、これらのセグメント間を接続します。 |
2 | 最初のネットワークセグメント。 |
3 | ブリッジ・モードのSecurity Gateway で、最初のネットワーク・セグメントを1 つのブリッジ下位インタフェース(4) に接続するスイッチ。 |
4 | ブリッジ・モードのSecurity Gateway の1 つのブリッジ下位インタフェース( |
5 | ブリッジ・モードのSecurity Gateway。 |
6 | ブリッジ・モードのSecurity Gateway 上の別のブリッジ下位インタフェース( |
7 | Security Gateway の専用GAIA |
8 | ブリッジ・モードのSecurity Gateway で、2 番目のネットワーク・セグメントを他のブリッジ下位インタフェース(6) に接続するスイッチ。 |
9 | 第2ネットワークセグメント。 |
手順:
- Security Gateway のインストール
ステップ
手順
1
GAIA オペレーティングシステムをインストールします。
2
Gaiaを初めて設定するに従います。
3
初期設定ウィザードでは、次の設定を行う必要があります。
Management Connection ウィンドウで、GAIA オペレーティングシステムに接続するインタフェースを選択します。
Internet Connection ウィンドウでは、IP アドレスを設定しないでください。
Installation Typeウィンドウで、Security Gateway and/or Security Managementを選択します。
Productsウィンドウで:
Productsセクションで、Security Gatewayを選択します。
Clusteringセクションで、Unit is a part of a cluster, typeをクリアします。
Dynamically Assigned IPウィンドウで、Noを選択します。
Secure Internal Communication ウィンドウで、該当するActivation Key (4 ~127 文字) を入力します。
- Security Gateway でのブリッジ・インタフェースの設定
ブリッジインタフェースは、Gaia Portal
Check Point Gaiaオペレーティングシステム用のWebインタフェース。 またはGaia Clish CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです(役割ベースの管理は、シェルで使用可能なコマンドの数を制御します)。 のいずれかで設定します。Configuring the Bridge interface in Gaia Portal 
重要 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。
ステップ
手順
1
左側のナビゲーション ツリーで、Network Management > Network Interfacesをクリックします。
2
ブリッジ インタフェースに追加する下位インタフェースに IP アドレスが割り当てられていないことを確認します。
3
Add > Bridgeをクリックします。
既存のブリッジインタフェースを設定するには、ブリッジインタフェースを選択してEditをクリックします。
4
Bridge タブで、Bridge Group ID (1 ~1024 の一意の整数) を入力または選択します。
5
Available Interfaces リストから下位インタフェースを選択し、Add をクリックします。
注:
下位インタフェースに IP アドレスまたはエイリアスが設定されていないことを確認してください。
Gaia 管理インタフェースとして設定したインタフェースを選択しないでください。
Gaia の Bridge インタフェースには、下位インタフェースを 2 つだけ含めることができます。
6
IPv4タブで、IPv4アドレスとサブネットマスクを入力します。
オプションでObtain IPv4 Address automaticallyオプションを選択できます。
7
IPv6タブ(オプション)で、IPv6アドレスとマスク長を入力します。
オプションでObtain IPv6 Address automaticallyオプションを選択できます。
重要 - まず、IPv6 サポートを有効にして再起動する必要があります。
8
OKをクリックします。。
注:
Gaiaにおけるブリッジインタフェースの名前は"
br<Bridge Group ID>"です。例えば、ブリッジグループIDが5のブリッジインタフェースの名称は「br5」です。
ブリッジの下位インタフェースにMTUを設定するには、ブリッジインタフェースにMTUを設定する必要があります。
この MTU は、このブリッジ インタフェースに割り当てられたすべての下位インタフェースに適用されます。
Configuring the Bridge interface in Gaia Clish ステップ
手順
1
Security Groupでコマンドラインに接続します。
2
Gaia Clishにログインします。
3
ブリッジインタフェースに追加する下位インタフェースにIP アドレスが割り当てられていないことを確認します。
show interface <Name of Interface> ipv4-addressshow interface <Name of Interface> ipv6-address4
新しいブリッジンググループを追加します。
add bridging group <Bridge Group ID 0 - 1024>5
新しいブリッジンググループに下位インタフェースを追加します。
add bridging group <Bridge Group ID> interface <Name of First Subordinate Interface>add bridging group <Bridge Group ID> interface <Name of Second Subordinate Interface>注:
Gaia 管理インタフェースとして設定したインタフェースを選択しないでください。
Gaia の Bridge インタフェースには、下位インタフェースを 2 つだけ含めることができます。
6
ブリッジンググループにIP アドレスを割り当てます。
IPv4 アドレスを割り当てるには、次を実行します。
set interface <Name of Bridge Interface> ipv4-address <IPv4 Address> {subnet-mask <Mask> | mask-length <Mask Length>}オプションで、IPv4 アドレスを自動的に取得するようにブリッジンググループを設定できます。
IPv6 アドレスを割り当てるには、次を実行します。
set interface <Name of Bridge Interface> ipv6-address <IPv6 Address> mask-length <Mask Length>オプションで、IPv6 アドレスを自動的に取得するようにブリッジンググループを設定できます。
重要 - まず、IPv6 サポートを有効にして再起動する必要があります。
7
設定を保存します。
save config注 - Gaiaにおけるブリッジインタフェースの名前は"
br<Bridge Group ID>"です。例えば、ブリッジグループIDが5のブリッジインタフェースの名称は「br5」です。 - SmartConsole でのSecurity Gateway オブジェクトの設定
ClusterXL オブジェクトは、ウィザードモードまたはクラシックモードのいずれかで設定できます。
ウィザード・モードでのSecurity Gateway オブジェクトの設定 ステップ
手順
1
SmartConsole
Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。 を使用して、このSecurity Gateway を管理するSecurity Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。 またはDomain Management Server Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。 に接続します。2
左側のナビゲーションパネルでGateways & Serversをクリックします。
3
次のいずれかの方法で新しいSecurity Gateway オブジェクトを作成します。
上部のツールバーで、New (
) > Gatewayをクリックします。左上隅から、Objects > > More object types > Network Object > Gateways and Servers > New Gatewayをクリックします。
右上隅で、Objects Pane > New > More > Network Object > Gateways and Servers > Gateway をクリックします。
4
Check Point Security Gateway Creation ウィンドウで、Wizard Mode をクリックします。
5
General Properties ページ:
Gateway name フィールドに、このSecurity Gateway オブジェクトに適用可能な名前を入力します。
Gateway platform フィールドで、正しいハードウェアタイプを選択します。
Gateway IP address セクションで、Static IP address を選択し、Security Gateway の初期設定ウィザードのManagement Connection ページで設定したのと同じIPv4 アドレスとIPv6 アドレスを設定します。
Security Management Server またはMulti-Domain Server
CheckPointソフトウェアを実行して、ドメイン管理サーバと呼ばれる仮想セキュリティ管理サーバをホストする専用Check Pointサーバ。同義語:マルチドメインセキュリティ管理サーバ。頭字語:MDS がこれらのIP アドレスに接続できることを確認します。Nextをクリックします。。
6
Trusted Communication ページ:
該当するオプションを選択します。
Initiate trusted communication now を選択した場合は、Security Gateway の初期設定ウィザードで入力したのと同じアクティベーション・キーを入力します。
Skip and initiate trusted communication later を選択した場合は、必ずStep 7 に従ってください。
Nextをクリックします。。
7
End ページ:
Configuration Summary を調べます。
Edit Gateway properties for further configurationを選択します。
Finishをクリックします。。
Check Point Gateway General Properties ページでプロパティウィンドウが開きます。
8
ウィザードモード中に Skip and initiate trusted communication later を選択した場合:
Secure Internal Communication フィールドには、Uninitialized が表示されます。
Communicationをクリックします。。
Platform フィールド:
すべてのCheck Point モデル3000 以降でOpen server / Appliance を選択します。
Open Server の場合は、Open server / Appliance を選択します。
Security Gateway の初期設定ウィザードで入力したのと同じActivation Key を入力します。
Initializeをクリックします。。
Certificate state フィールドにEstablished が表示されていることを確認します。
OKをクリックします。。
9
General Properties ページ:
Network Security タブで、該当するSoftware Blade
特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。 を有効にします。Threat Prevention タブで、該当するSoftware Blade を有効にします。
重要 -ブリッジ・モードでのSecurity Gateway またはClusterXL の導入 でデプロイするには、Supported Software Blades in Bridge Mode セクションおよびLimitations in Bridge Mode セクションを参照してください。
10
Network Management ページで、Bridge インタフェースのTopology を設定します。
注:
ブリッジインタフェースがインターネットに接続している場合は、Topology をExternal に設定します。
このBridge Security Gateway オブジェクトをInternet オブジェクトとともにアクセス制御ポリシールール
通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。で使用する場合は、Topology をExternal に設定します。
33
OKをクリックします。。
12
SmartConsoleセッションを公開する。
13
これで、このSecurity Gateway オブジェクトがセキュリティポリシーを受信できるようになります。
クラシックモードでのSecurity Gateway オブジェクトの設定 ステップ
手順
1
SmartConsole を使用して、このSecurity Gateway を管理するSecurity Management Server またはDomain Management Server に接続します。
2
左側のナビゲーションパネルでGateways & Serversをクリックします。
3
次のいずれかの方法で新しいSecurity Gateway オブジェクトを作成します。
上部のツールバーで、New (
) > Gatewayをクリックします。左上隅から、Objects > > More object types > Network Object > Gateways and Servers > New Gatewayをクリックします。
右上隅で、Objects Pane > New > More > Network Object > Gateways and Servers > Gateway をクリックします。
4
Check Point Security Gateway Creation ウィンドウで、Classic Mode をクリックします。
Check Point Gateway General Properties ページでプロパティウィンドウが開きます。
5
Name フィールドに、このSecurity Gateway オブジェクトに適用可能な名前を入力します。
6
IPv4 address およびIPv6 address フィールドで、Security Gateway の初期設定ウィザードのManagement Connection ページで設定したのと同じIPv4 およびIPv6 アドレスを設定します。
Security Management Server またはMulti-Domain Server がこれらのIP アドレスに接続できることを確認します。
7
管理サーバとこのSecurity Gateway との間でSecure Internal Communication(SIC
Secure Internal Communication。安全な通信のために、CheckPointソフトウェアを実行するCheckPointコンピュータがSSLを介して相互に認証するCheckPoint独自のメカニズム。この認証は、ICAがCheck Point Management Serverで発行した証明書に基づいています。)を確立します。Secure Internal Communication フィールドの近くで、Communication をクリックします。
Platform フィールド:
すべてのCheck Point モデル3000 以降でOpen server / Appliance を選択します。
Open Server の場合は、Open server / Appliance を選択します。
Security Gateway の初期設定ウィザードで入力したのと同じActivation Key を入力します。
Initializeをクリックします。。
OKをクリックします。。
Certificate state フィールドに
Establishedが表示されない場合は、次の手順を実行します。Security Groupでコマンドラインに接続します。
Security Gateway と管理サーバの間に物理的な接続があることを確認します(たとえば、ping は渡すことができます)。
次を実行します:
cpconfigこのオプションの番号を入力します。
Secure Internal Communication画面の指示に従って、アクティベーションキーを変更します。
SmartConsole で、Reset をクリックします。
cpconfigメニューで入力したのと同じアクティベーションキーを入力します。SmartConsole で、Initialize をクリックします。
8
Platform セクションで、正しいオプションを選択します。
Hardware フィールド:
Check Point Appliance にSecurity Gateway をインストールする場合は、正しいアプライアンスシリーズを選択します。
オープンサーバ
Check Point以外の会社によって製造、配布されている物理コンピュータ。にSecurity Gateway をインストールする場合は、Open server を選択します。
Version フィールドで、R81.10 を選択します。
OS フィールドで、Gaia を選択します。
9
該当するSoftware Blade を有効にします。
Network Security タブ:
Threat Prevention タブ:
重要 -ブリッジ・モードでのSecurity Gateway またはClusterXL の導入 でデプロイするには、Supported Software Blades in Bridge Mode セクションおよびLimitations in Bridge Mode セクションを参照してください。
10
Network Management ページで、Bridge インタフェースのTopology を設定します。
注:
ブリッジインタフェースがインターネットに接続している場合は、Topology をExternal に設定します。
このBridge Security Gateway オブジェクトをInternet オブジェクトとともにアクセス制御ポリシールールで使用する場合は、Topology をExternal に設定します。
33
OKをクリックします。。
12
SmartConsoleセッションを公開する。
13
これで、このSecurity Gateway オブジェクトがセキュリティ・ポリシーを受信できるようになります。
- SmartConsole でのSecurity Gateway に適用可能なセキュリティ・ポリシーの設定
ステップ
手順
1
SmartConsole を使用して、このSecurity Gateway を管理するSecurity Management Server またはDomain Management Server に接続します。
2
左側のナビゲーションパネルでSecurity Policiesします。
3
新しいポリシーを作成し、該当するレイヤを設定します。
上部で、+ タブをクリックします(またはCTRL T を押します)。
Manage Policies タブで、Manage policies and layers をクリックします。
Manage policies and layers ウィンドウで、新しいポリシーを作成し、適用可能なレイヤを設定します。
Closeをクリックします。。
Manage Policies タブで、作成した新しいポリシーをクリックします。
4
アクセスコントロールポリシーと脅威防御ポリシーで該当するルールを作成します。
重要 -ブリッジ・モードでのSecurity Gateway またはClusterXL の導入 でデプロイするには、Supported Software Blades in Bridge Mode セクションおよびLimitations in Bridge Mode セクションを参照してください。
5
このSecurity Gatewayオブジェクトにアクセスコントロールポリシーをインストールします。
5
Security Gateway オブジェクトにThreat Prevention Policy をインストールします。
詳細については、次を参照してください。
R81.10 Home Page で適用可能なAdministration Guides。
