ブリッジモードでのセキュリティグループの展開

ブリッジモードの紹介

既存のネットワークをIPアドレスの異なる複数のネットワークに分割することができない場合、ブリッジモード既存のトポロジに簡単に展開できるレイヤ2ブリッジデバイスとして機能するセキュリティゲートウェイまたは仮想システム。でセキュリティグループアクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス（ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定）、(C) Check Point Management Server が接続されている管理用ポート。を設定することができます。

ブリッジモードのセキュリティグループは、レイヤー3トラフィックからは見えません。

トラフィックが一方のブリッジスレーブインタフェースに到着すると、Security Groupはそれを検査し、2番目のブリッジスレーブインタフェースに渡します。

ブリッジモードのトポロジ例

項目	説明
1	管理者が2つのレイヤー2セグメントに分割する必要があるネットワーク。ブリッジモードのSecurity Gateway は、これらのセグメント間を接続します。
2	最初のネットワークセグメント。
3	ブリッジモードで Security Group 上の 1 つのブリッジスレーブインタフェース(4)と最初のネットワークセグメントを接続するスイッチです。
4	ブリッジモードのセキュリティグループ上の1つのブリッジスレーブインタフェース（例えば、`eth1-05` ）。
5	ブリッジモードでのセキュリティグループ。
6	ブリッジモードのセキュリティグループ上の別のブリッジされたスレーブインタフェース（例えば、`eth1-07` ）。
7	セキュリティグループ上の専用Gaia管理インタフェース（例：`eth1-Mgmt1` ）。
8	ブリッジモードで Security Group 上のもう一つのブリッジ接続されたスレーブインタフェース(6)と 2 番目のネットワークセグメントを接続するスイッチです。
9	2番目のネットワークセグメント。

ブリッジモードでの対応ソフトウェアブレード

この表は、ブリッジモードのソフトウェアブレードと機能、およびその対応状況を示しています。

ソフトウェア・ブレードまたは機能	をサポートします。セキュリティゲートウェイブリッジモード	VSXのサポート仮想システムブリッジモード
ファイアウォール	はい	はい
IPsec VPN サイト間VPNおよびリモートアクセスVPNアクセスを提供するセキュリティゲートウェイ上のCheck Point Software Blade。	No	No
IPS さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade（侵入防止システム）。	はい	はい
URL フィルタリングセキュリティゲートウェイ上のCheck Point Software Bladeにより、特定のユーザ、コンピュータ、またはネットワークのグループがアクセスできるWebサイトをきめ細かく制御できます。頭字語：URLF	はい	はい
DLP	はい	いいえ
アンチボットセキュリティゲートウェイ上のCheck Point Software Bladeは、ボットネットの動作とコマンドアンドコントロール（C＆C）センターへの通信をブロックします。頭字語：AB、ABOT。	はい	はい
アンチウイルスセキュリティゲートウェイ上のCheck Point Software Bladeは、リアルタイムのウイルスシグネチャとThreatCloudからの異常ベースの保護を使用して、ユーザが影響を受ける前にセキュリティゲートウェイでマルウェアを検出してブロックします。頭字語：AV。	はい⁽¹⁾	はい⁽¹⁾
アプリケーションコントロールセキュリティゲートウェイ上のCheck Point Software Blade。ディープパケットインスペクションを使用して特定のWeb対応アプリケーションをきめ細かく制御できます。頭字語：APPI。	はい	はい
HTTPSインスペクション Secure Sockets Layer (SSL) プロトコルによって暗号化されたトラフィックにマルウェアや疑わしいパターンがないか検査する、セキュリティゲートウェイの機能。同義語:SSL 検査。頭字語：HTTPSI、httpSi。	はい⁽²⁾	No
ユーザ認識ネットワークアクセスを強制し、ネットワークロケーション、ユーザのID、およびコンピュータのID に基づいてデータを監査するCheck Point Software Blade。頭字語：IDA	はい⁽³⁾	No
脅威のエミュレーション - ThreatCloudのエミュレーション	はい	アクティブ/アクティブブリッジモードでYes No アクティブ／スタンバイブリッジモード時
脅威のエミュレーション - ローカルエミュレーション	はい	No すべてのブリッジモードにおいて
脅威のエミュレーション - リモートエミュレーション	はい	アクティブ/アクティブブリッジモードでYes No アクティブ／スタンバイブリッジモード時
モバイルアクセス管理対象クライアントと管理対象外のクライアントにリモートアクセス VPN アクセスを提供するセキュリティゲートウェイ上の Check Point Software Blade。頭字語：MAB。	No	No
UserCheck	はい	No
マルチポータル（モバイルアクセスポータル、アイデンティティ認識キャプティブポータル、データ損失防止組織外への機密情報の不正送信を検出および防止するCheck Point Software Blade。頭字語：DLPポータルなど）	はい	No
QoS セキュリティゲートウェイ上のCheck Point Software Bladeは、ポリシーベースのトラフィック帯域幅管理を提供し、ビジネスクリティカルなトラフィックに優先順位を付け、帯域幅を保証し、遅延を制御します。	はい（sk89581)	No (参照）。
HTTP / HTTPSプロキシ	はい	No
セキュリティサーバ - SMTP, HTTP, FTP, POP3	はい	No
クライアント認証	はい	No
ユーザ認証	はい	No

注:

Traditional ModeのAnti-Virusには対応していません。
レイヤ 2 の HTTPS インスペクションは、MAC アドレスに基づく Man-in-the-Middle として機能する。
- クライアントは、MACアドレスXにTCP [SYN]パケットを送信する。
- Security GatewayはTCPの[SYN-ACK]パケットを作成し、MACアドレスXに送信する。
- ブリッジモードのセキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。は、CPASが元のパケットからルーティングとMACアドレスを取得するため、IPアドレスは必要ありません。
注 - 証明書の検証（CRL/OCSPのダウンロード）を行うには、Security Gatewayに少なくとも1つのIPアドレスが割り当てられている必要があります。プローブバイパスでは、ブリッジモードで問題が発生することがあります。そのため、ブリッジモード構成でのProbeバイパスは推奨していません。
ブリッジモードのIdentity Awarenessは、AD Query認証のみをサポートします。

ブリッジモードでの制限事項

1つのブリッジインタフェースに設定できるスレーブインタフェースは2つまでです。このブリッジインタフェースは、2ポートのレイヤー2スイッチと考えることができます。各ポートは、Physicalインタフェース、VLANインタフェース、Bondインタフェースのいずれかにすることができます。

これらの機能とデプロイメントは、ブリッジモードでサポートされません。

NATルール（具体的には、ログのFirewallカーネルはトラフィックを受け入れたと表示するが、Security Gatewayは実際には転送しない）。詳しくは、sk106146を参照してください。
ブリッジにIPアドレスが割り当てられていない場合、ブリッジされたネットワークからマルチポータル（モバイルアクセスポータル、アイデンティティ認識キャプティブポータル、データ損失防止ポータルなど）にアクセスすることができます。

詳細については、sk101371:Gaia OSとSecurePlatform OSのブリッジモードを参照してください。