ブリッジ・インタフェースを使用したSecurity Gateway の管理

トポロジの例

項目	説明
1	Security Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。
2	ルータ
3	Security Gateway のブリッジインタフェース
4	セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。
5	Security Gateway の通常のトラフィック・インタフェース
6	Security Gateway の通常のトラフィック・インタフェース

パケットフロー

Security Management Server Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。は、Security Gateway の管理インタフェース管理サーバがセキュリティゲートウェイまたはクラスタメンバに接続するための、Gaiaセキュリティゲートウェイまたはクラスタメンバのインタフェース。(2) ユーザが Gaia Portal または CLI に接続するための Gaia コンピュータ上のインタフェース。に管理パケットを送信します。
この管理インタフェースはブリッジインタフェースとして設定されます。
Security Gateway は、ブリッジインタフェースの最初の下位インタフェースで受信した最初の管理パケットを検査します。
Security Gateway は、検査された管理パケットを、ブリッジインタフェースの2 番目の下位インタフェースを介してルータに転送します。
ルータは、Bridge インタフェースの最初の下位インタフェースにパケットを送信します。
Security Gateway は、このパケットが再送信であると判断し、パケットをドロップします。

手順

Bridge インタフェースでパケットを再ルーティングするようにSecurity Gateway を設定します。

カーネルパラメータfwx_bridge_reroute_enabledの値を 1 に設定します。

Security Gateway は、管理インタフェースから出てブリッジインタフェースに入るパケットのMD5 ハッシュが同じであることを確認します。

この接続の他のパケットは、ルータを使用せずにブリッジインタフェースによって処理されます。

注:

ステップ

手順

Security Groupでコマンドラインに接続します。

$FWDIR/boot/modules/fwkern.conf ファイルを変更します。

現在の$FWDIR/boot/modules/fwkern.confファイルをバックアップします。
cp -v $FWDIR/boot/modules/fwkern.conf{,_BKP}
このファイルが終了しない場合は、作成します。
touch $FWDIR/boot/modules/fwkern.conf
現在の$FWDIR/boot/modules/fwkern.confファイルを編集します：
vi $FWDIR/boot/modules/fwkern.conf
次の行をファイルに追加します。
fwx_bridge_reroute_enabled=1

重要 - この設定ファイルはnot スペースまたはコメントをサポートします。
ファイルに変更を保存します。
Vi エディタを終了します。

必要なカーネルパラメータの値をオンザフライで設定します。

fw ctl set int fwx_bridge_reroute_enabled 1

Security Gateway が新しい設定をロードしたことを確認します。

fw ctl get int fwx_bridge_reroute_enabled

出力は返す必要があります。

fwx_bridge_reroute_enabled = 1

可能な場合は、Security Gateway を再起動します。

再起動後、Security Gateway が新しい設定をロードしたことを確認します。

fw ctl get int fwx_bridge_reroute_enabled

出力は返す必要があります。

fwx_bridge_reroute_enabled = 1