ブリッジ・モードでのSecurity Gateway またはClusterXL の導入

ブリッジモードの概要

既存のネットワークを異なるIP アドレスを持つ複数のネットワークに分割できない場合は、ブリッジ・モードでCheck Point Security Gateway(またはClusterXL)をインストールできます。

ブリッジ・モードのSecurity Gateway(またはClusterXL)は、レイヤ3トラフィックには表示されません。

トラフィックがブリッジ下位インタフェースの1 つに到着すると、Security Gateway(またはクラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。メンバ)はそれを検査し、2 番目のブリッジ下位インタフェースに渡します。

ブリッジモードでサポートされるソフトウェアブレード

次の表に、Software Blade 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。、機能、およびブリッジモード既存のトポロジに簡単に展開できるレイヤ2ブリッジデバイスとして機能するセキュリティゲートウェイまたは仮想システム。のサポートを示します。

この表は、単一のSecurity Gateway 配備、Active/Active 配備およびActive/Standby 配備のClusterXL(1 つのスイッチを使用)、および4 つのスイッチを使用するClusterXL に適用されます。

Software Blade	aのサポートセキュリティゲートウェイブリッジモード	aのサポート ClusterXL ブリッジモード	VSXのサポートバーチャルシステムブリッジモード
ファイアウォール
IPS さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade（侵入防止システム）。
URL フィルタリングセキュリティゲートウェイ上のCheck Point Software Bladeにより、特定のユーザ、コンピュータ、またはネットワークのグループがアクセスできるWebサイトをきめ細かく制御できます。頭字語：URLF
DLP
アンチボットセキュリティゲートウェイ上のCheck Point Software Bladeは、ボットネットの動作とコマンドアンドコントロール（C＆C）センターへの通信をブロックします。頭字語：AB、ABOT。
アンチウイルスセキュリティゲートウェイ上のCheck Point Software Bladeは、リアルタイムのウイルスシグネチャとThreatCloudからの異常ベースの保護を使用して、ユーザが影響を受ける前にセキュリティゲートウェイでマルウェアを検出してブロックします。頭字語：AV。	⁽¹⁾	⁽¹⁾	⁽¹⁾
アプリケーションコントロールセキュリティゲートウェイ上のCheck Point Software Blade。ディープパケットインスペクションを使用して特定のWeb対応アプリケーションをきめ細かく制御できます。頭字語：APPI。
HTTPSインスペクション Secure Sockets Layer (SSL) プロトコルによって暗号化されたトラフィックにマルウェアや疑わしいパターンがないか検査する、セキュリティゲートウェイの機能。同義語:SSL 検査。頭字語：HTTPSI、httpSi。	⁽²⁾	⁽²⁾
ユーザ認識ネットワークアクセスを強制し、ネットワークロケーション、ユーザのID、およびコンピュータのID に基づいてデータを監査するCheck Point Software Blade。頭字語：IDA	⁽³⁾	⁽³⁾
Threat Emulation セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。頭字語：TE - ThreatCloud エミュレーション			アクティブ/アクティブブリッジモードではい No アクティブ/スタンバイブリッジモードで
Threat Emulation - ローカルエミュレーション			No すべてのブリッジモードで
Threat Emulation - リモートエミュレーション			アクティブ/アクティブブリッジモードではい No アクティブ/スタンバイブリッジモードで
脅威抽出ファイルから悪意のあるコンテンツを削除するセキュリティゲートウェイ上のCheck Point Software Blade。頭字語：TEX。			アクティブ/アクティブブリッジモードではい No アクティブ/スタンバイブリッジモードで
UserCheck
QoS セキュリティゲートウェイ上のCheck Point Software Bladeは、ポリシーベースのトラフィック帯域幅管理を提供し、ビジネスクリティカルなトラフィックに優先順位を付け、帯域幅を保証し、遅延を制御します。	(sk89581を参照)	(sk89581を参照)	(sk79700 を参照)
HTTP/HTTPSプロキシ
セキュリティサーバ- SMTP、HTTP、FTP、POP3
クライアント認証
ユーザー認証
マルチポータル(モバイルアクセス管理対象クライアントと管理対象外のクライアントにリモートアクセス VPN アクセスを提供するセキュリティゲートウェイ上の Check Point Software Blade。頭字語：MAB。ポータル、Identity Awareness Captiveポータル、Data Loss Preventionポータルなど)
IPsec VPN サイト間VPNおよびリモートアクセスVPNアクセスを提供するセキュリティゲートウェイ上のCheck Point Software Blade。
モバイルアクセス

注:

従来モードではアンチウイルスはサポートされません。
レイヤ2 のHTTPS インスペクションは、MAC アドレスに基づいて、中間者として機能します。
- クライアントは、MACアドレスXにTCP[SYN]パケットを送信します。
- Security Gateway はTCP [SYN-ACK] パケットを作成し、MAC アドレスX に送信します。
- ブリッジ・モードのSecurity Gateway は、IP アドレスを必要としません。CPAS は元のパケットからルーティングとMAC アドレスを取得するためです。
注 - 証明書の検証(CRL/OCSPダウンロード)を実行できるようにするには、Security Gateway にIP アドレスを割り当てる必要があります。プローブバイパスには、ブリッジモードに問題がある場合があります。したがって、ブリッジ・モード構成ではプローブ・バイパスを推奨しません。
ブリッジモードのアイデンティティ認識では、AD クエリ認証のみがサポートされます。

ブリッジモードの制限

1 つのブリッジインタフェースでは、2 つの 下位インタフェースのみを設定できます。このブリッジインタフェースは、2 ポートのレイヤ2 スイッチと考えることができます。各ポートには、物理インタフェース、VLANインタフェース、またはボンドインタフェースを使用できます。

これらの機能とデプロイメントは、ブリッジモードでサポートされません。

ClusterXL のBridgeインタフェースへのIP アドレスの割り当て。
NAT ルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。(具体的には、ログ内のファイアウォール・カーネルは許可されたトラフィックを表示しますが、Security Gateway は実際には転送しません)。詳細については、sk106146でNATedトラフィックがSecurity Gatewayを通過できるようにするためにルータで必要な設定を参照してください。
ブリッジにIP アドレスが割り当てられていない場合、ブリッジネットワークからのマルチポータル(モバイルアクセスポータル、ID 認識キャプティブポータル、Data Loss Prevention ポータルなど)へのアクセス。
2 つ以上のクラスタ・メンバを持つクラスタ。
フルハイ・アベイラビリティ・クラスタ。
アクティブ/アクティブブリッジモードのClusterXL での非対称トラフィックインスペクション。
(非対称トラフィックインスペクションは、クライアントからサーバへのパケットが1 つのクラスタ・メンバによって検査され、サーバからクライアントへのパケットがもう1 つのクラスタ・メンバによって検査される状況です。このようなシナリオでは、いくつかのセキュリティ機能は動作しません。)

詳細については、sk101371:Bridge Mode on Gaia OS and SecurePlatform OSを参照してください。