ブリッジモードでのセキュリティグループの展開

ブリッジモードの紹介

既存のネットワークをIPアドレスの異なる複数のネットワークに分割することができない場合、ブリッジモード閉じた 既存のトポロジに簡単に展開できるレイヤ2ブリッジデバイスとして機能するセキュリティゲートウェイまたは仮想システム。セキュリティグループ閉じた アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。を設定することができます。

ブリッジモードのセキュリティグループは、レイヤー3トラフィックからは見えません。

トラフィックが一方のブリッジスレーブインタフェースに到着すると、Security Groupはそれを検査し、2番目のブリッジスレーブインタフェースに渡します。

ブリッジモードのトポロジ例

項目

説明

1

管理者が2つのレイヤー2セグメントに分割する必要があるネットワーク。

ブリッジモードのSecurity Gateway は、これらのセグメント間を接続します。

2

最初のネットワークセグメント。

3

ブリッジモードで Security Group 上の 1 つのブリッジスレーブインタフェース(4)と最初のネットワークセグメントを接続するスイッチです。

4

ブリッジモードのセキュリティグループ上の1つのブリッジスレーブインタフェース(例えば、eth1-05 )。

5

ブリッジモードでのセキュリティグループ。

6

ブリッジモードのセキュリティグループ上の別のブリッジされたスレーブインタフェース(例えば、eth1-07 )。

7

セキュリティグループ上の専用Gaia管理インタフェース(例:eth1-Mgmt1 )。

8

ブリッジモードで Security Group 上のもう一つのブリッジ接続されたスレーブインタ フェース(6)と 2 番目のネットワークセグメントを接続するスイッチです。

9

2番目のネットワークセグメント。

ブリッジモードでの対応ソフトウェアブレード

この表は、ブリッジモードのソフトウェアブレードと機能、およびその対応状況を示しています。

ソフトウェア・ブレードまたは機能

をサポートします。
セキュリティゲートウェイ
ブリッジモード

VSXのサポート
仮想システム
ブリッジモード

ファイアウォール

はい

はい

IPsec VPN閉じた サイト間VPNおよびリモートアクセスVPNアクセスを提供するセキュリティゲートウェイ上のCheck Point Software Blade。

No

No

IPS閉じた さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade(侵入防止システム)。

はい

はい

URL フィルタリング閉じた セキュリティゲートウェイ上のCheck Point Software Bladeにより、特定のユーザ、コンピュータ、またはネットワークのグループがアクセスできるWebサイトをきめ細かく制御できます。頭字語:URLF

はい

はい

DLP

はい

いいえ

アンチボット閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、ボットネットの動作とコマンドアンドコントロール(C&C)センターへの通信をブロックします。頭字語:AB、ABOT。

はい

はい

アンチウイルス閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、リアルタイムのウイルスシグネチャとThreatCloudからの異常ベースの保護を使用して、ユーザが影響を受ける前にセキュリティゲートウェイでマルウェアを検出してブロックします。頭字語:AV。

はい(1)

はい(1)

アプリケーションコントロール閉じた セキュリティゲートウェイ上のCheck Point Software Blade。ディープパケットインスペクションを使用して特定のWeb対応アプリケーションをきめ細かく制御できます。頭字語:APPI。

はい

はい

HTTPSインスペクション閉じた Secure Sockets Layer (SSL) プロトコルによって暗号化されたトラフィックにマルウェアや疑わしいパターンがないか検査する、セキュリティゲートウェイの機能。同義語:SSL 検査。頭字語:HTTPSI、httpSi。

はい(2)

No

ユーザ認識閉じた ネットワークアクセスを強制し、ネットワークロケーション、ユーザのID、およびコンピュータのID に基づいてデータを監査するCheck Point Software Blade。頭字語:IDA

はい(3)

No

脅威のエミュレーション - ThreatCloudのエミュレーション

はい

アクティブ/アクティブブリッジモードでYes

No アクティブ/スタンバイブリッジモード時

脅威のエミュレーション - ローカルエミュレーション

はい

No すべてのブリッジモードにおいて

脅威のエミュレーション - リモートエミュレーション

はい

アクティブ/アクティブブリッジモードでYes

No アクティブ/スタンバイブリッジモード時

モバイルアクセス閉じた 管理対象クライアントと管理対象外のクライアントにリモートアクセス VPN アクセスを提供するセキュリティゲートウェイ上の Check Point Software Blade。頭字語:MAB。

No

No

UserCheck

はい

No

マルチポータル(モバイルアクセスポータル、アイデンティティ認識キャプティブポータル、データ損失防止閉じた 組織外への機密情報の不正送信を検出および防止するCheck Point Software Blade。頭字語:DLPポータルなど)

はい

No

QoS閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、ポリシーベースのトラフィック帯域幅管理を提供し、ビジネスクリティカルなトラフィックに優先順位を付け、帯域幅を保証し、遅延を制御します。

はい(sk89581)

No (参照)。

HTTP / HTTPSプロキシ

はい

No

セキュリティサーバ - SMTP, HTTP, FTP, POP3

はい

No

クライアント認証

はい

No

ユーザ認証

はい

No

注:

  1. Traditional ModeのAnti-Virusには対応していません。

  2. レイヤ 2 の HTTPS インスペクションは、MAC アドレスに基づく Man-in-the-Middle として機能する。

    - 証明書の検証(CRL/OCSPのダウンロード)を行うには、Security Gatewayに少なくとも1つのIPアドレスが割り当てられている必要があります。プローブバイパスでは、ブリッジモードで問題が発生することがあります。そのため、ブリッジモード構成でのProbeバイパスは推奨していません。

  3. ブリッジモードのIdentity Awarenessは、AD Query認証のみをサポートします。

ブリッジモードでの制限事項

1つのブリッジインタフェースに設定できるスレーブインタフェースは2つまでです。このブリッジインタフェースは、2ポートのレイヤー2スイッチと考えることができます。各ポートは、Physicalインタフェース、VLANインタフェース、Bondインタフェースのいずれかにすることができます。

これらの機能とデプロイメントは、ブリッジモードでサポートされません

  • NATルール(具体的には、ログのFirewallカーネルはトラフィックを受け入れたと表示するが、Security Gatewayは実際には転送しない)。詳しくは、sk106146を参照してください。

  • ブリッジにIPアドレスが割り当てられていない場合、ブリッジされたネットワークからマルチポータル(モバイルアクセスポータル、アイデンティティ認識キャプティブポータル、データ損失防止ポータルなど)にアクセスすることができます。

詳細については、sk101371:Gaia OSとSecurePlatform OSのブリッジモードを参照してください。