監視モードでの単一Security Gateway の設定
| 重要:
|
| 注 - この手順はCheck Point Appliance とOpen Server の両方に適用されます。 |
手順:
Security Gateway のインストール ステップ
手順
1
GAIA
SecurePlatformとIPSOオペレーティングシステムの両方の長所を組み合わせたCheckPointセキュリティオペレーティングシステム。 オペレーティングシステムをインストールします。2
Gaiaを初めて設定するに従います。
3
初期設定ウィザードでは、次の設定を行う必要があります。
Management Connection ウィンドウで、GAIA オペレーティングシステムに接続するインタフェースを選択します。
Internet Connection ウィンドウでは、IP アドレスを設定しないでください。
Installation Typeウィンドウで、Security Gateway and/or Security Managementを選択します。
Productsウィンドウで:
Productsセクションで、Security Gatewayを選択します。
Clusteringセクションで、Unit is a part of a cluster, typeをクリアします。
Dynamically Assigned IPウィンドウで、Noを選択します。
Secure Internal Communication ウィンドウで、該当するActivation Key (4 ~127 文字) を入力します。
- 該当インタフェースでモニタモードを設定します。
監視モードは、Gaia Portal
Check Point Gaiaオペレーティングシステム用のWebインタフェース。 またはGaia Clish CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです(役割ベースの管理は、シェルで使用可能なコマンドの数を制御します)。 のいずれかのインタフェースで設定できます。GAIA ポータルでのモニタモードの設定 ステップ
手順
1
Webブラウザで、Gaia Portal に接続します:
https://<IP address of Gaia Management Interface>2
左側のナビゲーション ツリーで、Network Management > Network Interfacesをクリックします。
3
リストから該当する物理インタフェースを選択し、Edit をクリックします。
4
Enableオプションを選択して、インタフェースのステータスを UP に設定します。
5
Commentフィールドに、該当するコメントテキストを入力します(最大100文字)。
6
IPv4 タブでUse the following IPv4 address を選択しますが、not でIPv4 アドレスを入力します。
7
IPv6 タブでUse the following IPv6 address を選択しますが、IPv6 アドレスを入力しないでください。
重要 - この設定は、Gaia でIPv6 サポートを有効にして再起動した後にのみ使用できます。
8
Ethernet タブ:
Auto Negotiation を選択するか、リストからリンク速度とデュプレックス設定を選択します。
Hardware Addressフィールドに、ハードウェアMACアドレス(NICから自動的に受信していない場合)を入力します。
注意 - MACアドレスが正しくない、または変更されたことが確認できない限り、手動で変更しないでください。MACアドレスが正しくない場合、通信に支障をきたすことがあります。
MTUフィールドに、該当するMTU(Maximum Transmission Unit)値を入力します(最小値は68、最大値は16000、デフォルト値は1500です)。
Monitor Modeを選択します。
9
OKをクリックします。。
Gaia Clish でのモニタモードの設定 ステップ
手順
1
Security Groupでコマンドラインに接続します。
2
Gaia Clishにログインします。
3
該当する物理インタフェースの設定と状態を確認します。
show interface <Name of Physical Interface>4
該当する物理インタフェースにIP アドレスが割り当てられている場合は、そのIP アドレスを削除します。
IPv4 アドレスを削除するには:
delete interface <Name of Physical Interface> ipv4-addressIPv6 アドレスを削除するには:
delete interface <Name of Physical Interface> ipv6-address
5
物理インタフェースでMonitor Mode を有効にします。
set interface <Name of Physical Interface> monitor-mode on6
モニタモードのインタフェースで、その他の該当する設定を構成します。
set interface <Name of Physical Interface> ...7
Monitor Modeインタフェースの設定と状態を確認します。
show interface <Name of Physical Interface>8
設定を保存します。
save config - SmartConsole でのSecurity Gateway オブジェクトの設定
SmartConsole
Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。 のSecurity Gateway オブジェクトは、ウィザード・モードまたはクラシック・モードで設定できます。ウィザード・モードでのSecurity Gateway オブジェクトの設定 ステップ
手順
1
SmartConsole を使用して、このSecurity Gateway を管理するSecurity Management Server
Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。 またはDomain Management Server Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。 に接続します。2
左側のナビゲーションパネルでGateways & Serversをクリックします。
3
次のいずれかの方法で新しいSecurity Gateway オブジェクトを作成します。
上部のツールバーで、New (
) > Gatewayをクリックします。左上隅から、Objects > > More object types > Network Object > Gateways and Servers > New Gatewayをクリックします。
右上隅で、Objects Pane > New > More > Network Object > Gateways and Servers > Gateway をクリックします。
4
Check Point Security Gateway Creation ウィンドウで、Wizard Mode をクリックします。
5
General Properties ページ:
Gateway name フィールドに、このSecurity Gateway オブジェクトに適用可能な名前を入力します。
Gateway platform フィールドで、正しいハードウェアタイプを選択します。
Gateway IP address セクションで、Static IP address を選択し、Security Gateway の初期設定ウィザードのManagement Connection ページで設定したのと同じIPv4 アドレスとIPv6 アドレスを設定します。
Security Management Server またはMulti-Domain Server
CheckPointソフトウェアを実行して、ドメイン管理サーバと呼ばれる仮想セキュリティ管理サーバをホストする専用Check Pointサーバ。同義語:マルチドメインセキュリティ管理サーバ。頭字語:MDS がこれらのIP アドレスに接続できることを確認します。Nextをクリックします。。
6
Trusted Communication ページ:
該当するオプションを選択します。
Initiate trusted communication now を選択した場合は、Security Gateway の初期設定ウィザードで入力したのと同じアクティベーション・キーを入力します。
Skip and initiate trusted communication later を選択した場合は、必ずStep 7 に従ってください。
Nextをクリックします。。
7
End ページ:
Configuration Summary を調べます。
Edit Gateway properties for further configurationを選択します。
Finishをクリックします。。
Check Point Gateway General Properties ページでプロパティウィンドウが開きます。
8
ウィザードモード中に Skip and initiate trusted communication later を選択した場合:
Secure Internal Communication フィールドには、Uninitialized が表示されます。
Communicationをクリックします。。
Platform フィールド:
すべてのCheck Point モデル3000 以降でOpen server / Appliance を選択します。
Open Server の場合は、Open server / Appliance を選択します。
Security Gateway の初期設定ウィザードで入力したのと同じActivation Key を入力します。
Initializeをクリックします。。
Certificate state フィールドにEstablished が表示されていることを確認します。
OKをクリックします。。
9
Network Security タブで、ファイアウォールソフトウェアブレードのみを有効にしてください。
10
Network Management ページ:
Get Interfaces > Get Interfaces With Topologyをクリックします。
インタフェース情報を確認します。
33
Monitor Mode でインタフェースを選択し、Edit をクリックします。
次の設定を構成します。
General ページをクリックします。
General セクションに、random IPv4 アドレスを入力します。
重要 - このランダムなIPv4 アドレスは、ネットワーク上の既存のIPv4 アドレスと競合してはなりません。
Topologyセクションで:
Modifyをクリックします。
Leads Toセクションで、Not defined (Internal)を選択します。
Security Zoneセクションで、According to topology: Internal Zoneを選択します。
OKをクリックします。 Topology Settings ウィンドウを閉じます。
OKをクリックします。 Interface ウィンドウを閉じます。
12
OKをクリックします。。
13
SmartConsoleセッションを公開する。
14
これで、このSecurity Gateway オブジェクトがセキュリティポリシーを受信できるようになります。
クラシックモードでのSecurity Gateway の設定 ステップ
手順
1
SmartConsole を使用して、このSecurity Gateway を管理するSecurity Management Server またはDomain Management Server に接続します。
2
左側のナビゲーションパネルでGateways & Serversをクリックします。
3
次のいずれかの方法で新しいSecurity Gateway オブジェクトを作成します。
上部のツールバーで、New (
) > Gatewayをクリックします。左上隅から、Objects > > More object types > Network Object > Gateways and Servers > New Gatewayをクリックします。
右上隅で、Objects Pane > New > More > Network Object > Gateways and Servers > Gateway をクリックします。
4
Check Point Security Gateway Creation ウィンドウで、Classic Mode をクリックします。
Check Point Gateway General Properties ページでプロパティウィンドウが開きます。
5
Name フィールドに、このSecurity Gateway オブジェクトに適用可能な名前を入力します。
6
IPv4 address およびIPv6 address フィールドで、Security Gateway の初期設定ウィザードのManagement Connection ページで設定したのと同じIPv4 およびIPv6 アドレスを設定します。
Security Management Server またはMulti-Domain Server がこれらのIP アドレスに接続できることを確認します。
7
管理サーバとこのSecurity Gateway との間でSecure Internal Communication(SIC
Secure Internal Communication。安全な通信のために、CheckPointソフトウェアを実行するCheckPointコンピュータがSSLを介して相互に認証するCheckPoint独自のメカニズム。この認証は、ICAがCheck Point Management Serverで発行した証明書に基づいています。)を確立します。Secure Internal Communication フィールドの近くで、Communication をクリックします。
Platform フィールド:
すべてのCheck Point モデル3000 以降でOpen server / Appliance を選択します。
Open Server の場合は、Open server / Appliance を選択します。
Security Gateway の初期設定ウィザードで入力したのと同じActivation Key を入力します。
Initializeをクリックします。。
OKをクリックします。。
Certificate state フィールドに
Establishedが表示されない場合は、次の手順を実行します。Security Groupでコマンドラインに接続します。
Security Gateway と管理サーバの間に物理的な接続があることを確認します(たとえば、ping は渡すことができます)。
次を実行します:
cpconfigこのオプションの番号を入力します。
Secure Internal Communication画面の指示に従って、アクティベーションキーを変更します。
SmartConsole で、Reset をクリックします。
cpconfigメニューで入力したのと同じアクティベーションキーを入力します。SmartConsole で、Initialize をクリックします。
8
Platform セクションで、正しいオプションを選択します。
Hardware フィールド:
Check Point Appliance にSecurity Gateway をインストールする場合は、正しいアプライアンスシリーズを選択します。
オープンサーバ
Check Point以外の会社によって製造、配布されている物理コンピュータ。にSecurity Gateway をインストールする場合は、Open server を選択します。
Version フィールドで、R81.10 を選択します。
OS フィールドで、Gaia を選択します。
9
Network Security タブで、ファイアウォールソフトウェアブレードのみを有効にしてください。
重要 - Managementタブでは何も選択 しないでください。
10
Network Management ページ:
Get Interfaces > Get Interfaces With Topologyをクリックします。
インタフェース情報を確認します。
33
Monitor Mode でインタフェースを選択し、Edit をクリックします。
次の設定を構成します。
General ページをクリックします。
General セクションに、random IPv4 アドレスを入力します。
重要 - このランダムなIPv4 アドレスは、ネットワーク上の既存のIPv4 アドレスと競合してはなりません。
Topologyセクションで:
Modifyをクリックします。
Leads Toセクションで、Not defined (Internal)を選択します。
Security Zoneセクションで、According to topology: Internal Zoneを選択します。
OKをクリックします。 Topology Settings ウィンドウを閉じます。
OKをクリックします。 Interface ウィンドウを閉じます。
12
OKをクリックします。。
13
SmartConsoleセッションを公開する。
14
これで、このSecurity Gateway オブジェクトがセキュリティ・ポリシーを受信できるようになります。
- 間違った順序で到着したパケットを処理するようにSecurity Gateway を設定します。
ステップ
手順
1
Security Groupでコマンドラインに接続します。
2
エキスパートモード
CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。3
$FWDIR/boot/modules/fwkern.confファイルを変更します。現在の
$FWDIR/boot/modules/fwkern.confファイルをバックアップします。cp -v $FWDIR/boot/modules/fwkern.conf{,_BKP}このファイルが存在しない場合は、作成します。
touch $FWDIR/boot/modules/fwkern.conf現在の
$FWDIR/boot/modules/fwkern.confファイルを編集します:vi $FWDIR/boot/modules/fwkern.conf重要 - この設定ファイルではスペースやコメントはサポートされません。
パッシブストリーミングレイヤー(PSL)タップモードを有効にするには、次の行を追加します。
psl_tap_enable=1この行を追加して、ファイアウォールタップモードを有効にします。
fw_tap_enable=1変更をファイルに保存し、Vi エディタを終了します。
4
$PPKDIR/conf/simkern.confファイルを変更します。現在の
$PPKDIR/conf/simkern.confファイルをバックアップします。cp -v $PPKDIR/conf/simkern.conf{,_BKP}このファイルが存在しない場合は、作成します。
touch $PPKDIR/conf/simkern.conf現在の
$PPKDIR/conf/simkern.confファイルを編集します:vi $PPKDIR/conf/simkern.conf重要 - この設定ファイルではスペースやコメントはサポートされません。
この行を追加して、ファイアウォールタップモードを有効にします。
fw_tap_enable=1変更をファイルに保存し、Vi エディタを終了します。
5
9. Security Gateway を再起動します。
6
Security Gateway が新しい設定をロードしたことを確認します。
PSL タップモードのステータスを確認します。
fw ctl get int psl_tap_enable出力には次が表示される必要があります。
psl_tap_enable = 1ファイアウォールタップモードのステータスを確認します。
fw ctl get int fw_tap_enable出力には次が表示される必要があります。
fw_tap_enable = 1
注:
この設定は、Security Gateway が誤った順序または異常な順序で到着したパケット(TCP [SYN-ACK] がTCP [SYN] の前に到着するなど)を処理するのに役立ちます。
この構成は、TCP [SYN] パケットが到着しなかった接続を処理する場合、Security Gateway が最初の10 ~30 分間の動作を改善するのに役立ちます。
この設定は、TAP デバイスまたはTX/RX キューが分離されたミラー/スパンポートを使用する場合にも必要です。
この設定により、TCP-SYN パケットが到着しなかった接続を処理するときに、Security Gateway のミラーポートが最初の10 ~30 分間より適切に機能します。
カーネルパラメータ"
psl_tap_enable" "fw_tap_enable" " on-the-fly with "fw ctl set int <parameter>" コマンド(既知の制限02386641)の値を設定することはできません。
- SmartConsole でSecurity Gateway に必要なグローバル・プロパティを設定する
ステップ
手順
1
SmartConsole を使用してSecurity Management Server に接続するか、このSecurity Gateway を管理するTarget ドメイン管理サーバに接続します。
2
左上隅から、Menu > Global propertiesをクリックします。
3
左側のツリーでStateful Inspection ペインをクリックし、以下を設定します。
Default Session Timeoutsセクションで:
TCP session timeout の値をデフォルトの3600 から60 秒に変更します。
TCP end timeout の値をデフォルトの20 から5 秒に変更します。
Out of state packets セクションでは、すべてのボックスをクリアする必要があります。
そうでない場合、Security Gateway はトラフィックを状態外としてドロップします(トラフィックがSecurity Gateway を通過しないため、トラフィックの状態情報は記録されません)。
4
左側のツリーから、Advanced ページ> をクリックし、Configure ボタンをクリックして、次の設定を行います。
FireWall-1 > Stateful Inspectionをクリックします。
reject_x11_in_anyをクリアします。
OKをクリックします。 Advanced Configuration ウィンドウを閉じます。
5
OKをクリックします。 Global Properties ウィンドウを閉じます。
6
SmartConsoleセッションを公開する。
- SmartConsole でSecurity Gateway に必要なアクセス制御ポリシーを設定する
ステップ
手順
1
SmartConsole を使用して、このSecurity Gateway を管理するSecurity Management Server またはDomain Management Server に接続します。
2
左側のナビゲーションパネルでSecurity Policiesします。
3
新しいポリシーを作成し、該当するレイヤを設定します。
上部の+ タブをクリックします(またはCTRL T キーを押します)。
Manage Policies タブで、Manage policies and layers をクリックします。
Manage policies and layers ウィンドウで、新しいポリシーを作成し、適用可能なレイヤを設定します。
Closeをクリックします。。
Manage Policies タブで、作成した新しいポリシーをクリックします。
4
すべてのトラフィックを受け入れるAccess Control ルール
通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を作成します。いいえ
名前
発信元
宛先
VPN
サービス&アプリケーション
アクション
追跡
インストール
1
全件許可
*Any*AnyAny*AnyAcceptLog目的
セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。
モニタ モード5
ベスト プラクティス
最も一般的なTCP 接続には、次のAggressive Aging 設定をお勧めします。
SmartConsoleで、Objectsメニュー > Object Explorerをクリックします。
Services を開き、TCP を選択します。
このネットワークで最も一般的なTCP 接続を検索します。
該当するTCP サービスをダブルクリックします。
左側のツリーから、Advanced をクリックします。
上部で、Override default settings を選択します。
Domain Management Serverで、Override global domain settingsを選択します。
Match for 'Any'を選択します。
Aggressive agingセクションで:
Enable aggressive agingを選択します。
Specific を選択し、60 と入力します。
OKをクリックします。。
Object Explorer を閉じます。
6
SmartConsoleセッションを公開する。
7
このSecurity Gatewayオブジェクトにアクセスコントロールポリシーをインストールします。
- Software Blade の監視モードがSecurity Gateway で有効になっていることを確認します。
ステップ
手順
1
Security Groupでコマンドラインに接続します。
2
エキスパートモードにログインします。
3
VSXゲートウェイ
物理ネットワークデバイスの機能を提供するすべての仮想デバイスを含む、VSX仮想ネットワークをホストする物理サーバ。VS0と呼ばれる少なくとも1つの仮想システムを保持します。オブジェクトにデフォルトポリシーをインストールします。パラメータfw_span_port_mode がインストール済みポリシーの一部であることを確認します。
grep -A 3 -r fw_span_port_mode $FWDIR/state/local/*返される出力は以下を示す必要があります。
:val (true) - Security Gateway のスイッチへの接続
Security Gateway で、モニタ・モードのインタフェースをスイッチのミラー・ポートまたはSPAN ポートに接続します。
詳細については、次を参照してください。
