一般的なワークフロー

1. Quantum Maestro Orchestrator で該当する Security Groups を設定します。

   注 - インストールされているQuantum Maestro Orchestratorのうち、1つだけを設定します。Quantum Maestro Orchestratorは、互いに設定を自動的に同期させます。

   各セキュリティグループには、以下を含める必要があります。

   1. 1台以上のセキュリティアプライアンス。

      注：Quantum Maestro Orchestrator は、自動的に対応するダウンリンクポート Check Pointセキュリティアプライアンスとの接続に使用されるQuantum Maestro Orchestrator上のインタフェース。ダウンリンクポートとセキュリティアプライアンスの接続には、DACケーブル、ファイバーケーブル（トランシーバー付き）、ブレイクアウトケーブルを使用します。Check Pointの管理トラフィック（ポリシー、ログ、同期など）は、ダウンリンクポートのデータ（ユーザ）トラフィックと共存します。Check Point管理トラフィック（ダウンリンク帯域の一部）に対して帯域が保証されます。これらのポートは、システムのバックプレーン（管理、データプレーン、同期）を形成しています。を割り当てます。

   2. Quantum Maestro Orchestratorで適用可能なポート。

      • Security GroupとManagement Server Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。を接続する専用のManagementポート(例:eth1-Mgmt1)。

      • 外部トラフィックと内部トラフィックのネットワークを接続したアップリンクポート Quantum Maestro Orchestratorのインタフェースで、外部および内部ネットワークに接続するために使用されます。Gaiaオペレーティングシステムは、Gaia PortalとGaia Clishでこれらのインタフェースを表示しています。SmartConsoleは、これらのインタフェースを対応するSMOセキュリティゲートウェイオブジェクトに表示します。。

   でSecurity Groupsを設定することができます。

   • Gaia Portal Check Point Gaiaオペレーティングシステム用のWebインタフェース。（「GaiaGaia Portalでセキュリティグループを設定するする」参照）。

   • Gaia Clish CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです（役割ベースの管理は、シェルで使用可能なコマンドの数を制御します）。（「GaiaGaia Clishでセキュリティグループを設定するする」を参照）。

   設定オプションの概要」を参照してください。

   以下の手順を実行します。

   ステップ	手順
   a	新しいセキュリティグループ アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス（ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定）、(C) Check Point Management Server が接続されている管理用ポート。を作成します。
   b	Network ConfigurationをSecurity Groupに追加します。
   c	Security GroupでFirst Time Wizardの設定を行う。 注 - この初期設定ウィザードは、限られた数の設定しか行いません。
   d	利用可能なセキュリティアプライアンスをセキュリティグループに割り当てる。 重要： 同じセキュリティグループには、サポートされているセキュリティアプライアンスのみを割り当てることができます -sk162373を参照してください。 Security Groupに割り当てられたSecurity Applianceは、設定を適用した後、自動的に再起動します。 デュアルサイトのベストプラクティス - 各サイトから同じ数のセキュリティアプライアンスをセキュリティグループに割り当てる（可能な限り）。サイト間でフェイルオーバーが発生した場合、新しいActiveサイトのセキュリティアプライアンスがすべてのトラフィックを処理できる必要があります。
   e	該当するQuantum Maestro Orchestratorポートをセキュリティグループに割り当てます（アップリンクポートと管理インタフェース 管理サーバがセキュリティゲートウェイまたはクラスタメンバに接続するための、Gaiaセキュリティゲートウェイまたはクラスタメンバのインタフェース。(2) ユーザが Gaia Portal または CLI に接続するための Gaia コンピュータ上のインタフェース。）。

   ベストプラクティス- Quantum Maestro Orchestrator上でGaia Backupを作成し、設定を保存します。詳細については、R81.10 Gaia Administration Guide >Maintenanceの章 > System Backupのセクション.を参照してください。

2. 新しいSecurity GroupでGaia Operating Systemの設定を行います。

   ステップ2 - セキュリティグループのGaia設定を行うGaia設定を行う」を参照してください。

   ベストプラクティス- Security Group上でGaia Backupを作成し、設定を保存します。詳細については、R81.10 Gaia Administration Guide >Maintenanceの章 > System Backupのセクション.を参照してください。

3. SmartConsoleで設定を行う

   ステップ3 - SmartConsoleでの設定」を参照してください。

   • ゲートウェイモードのSecurity Groupの場合。

     1. Security Gatewayオブジェクトを1つ作成します。

     2. 該当するセキュリティポリシーを設定する。

     3. Security Gatewayオブジェクトにポリシーをインストールします。

   • VSXモードのSecurity Groupの場合。

     1. VSX 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。 Gatewayオブジェクトを1つ作成します。

     2. Virtual Systemsのオブジェクトを作成します。

     3. 仮想システムに適用するセキュリティポリシーを設定します。

     4. Virtual SystemsにSecurity Policiesをインストールします。

4. ライセンスのインストール

   ステップ4 - ライセンスのインストール」を参照してください。

5. トラフィックが期待通りに通過することを確認する

   このSecurity Groupを通過しなければならない接続を開始する。

6. 必要な場合は、特別な設定をする

   参照:

   • ステップ5 - 特殊な構成シナリオ

   • セキュリティグループのハイアベイラビリティを設定する

   • セキュリティグループの管理

   • システム最適化

   • モニタモードでセキュリティグループを展開する

   • ブリッジモードでのセキュリティグループの展開

デモンストレーション動画を見る

Orchestrator上のGaia PortalにSecurity Groupを設定する。

SmartConsoleでSecurity Gatewayオブジェクトを設定する。

VSXモードでのセキュリティグループの設定