Gaia Portalでセキュリティグループを設定する

ここでは、Gaia Portal閉じた Check Point Gaiaオペレーティングシステム用のWebインタフェース。の設定方法を説明します。

Quantum Maestro OrchestratorのGaia Portalでの作業を開始する。

ステップ

手順

1

Webブラウザで、Quantum Maestro Orchestrator上のGaia Portalに接続します。

https://<IP Address of Orchestrator's MGMT Port>

2

これらのデフォルト認証情報でGaiaポータルにログインします。

  • ユーザ名 - admin

  • パスワード - admin

ベストプラクティス- デフォルトのパスワードはできるだけ早く変更する。R81.10 Gaia Administration Guide > 章User Management > 節Change My Password をご覧ください。

3

左側のナビゲーションツリーで、Orchestratorをクリックします。

Topology セクションには、これらのセクションを示す表が含まれています(左から右へ)。

項目

説明

Unassigned Gateways

設定されたSecurity Groupsに属さない、検出されたすべてのSecurity Appliance。

Quantum Maestro Orchestratorはポートでリッスンし、接続されたセキュリティアプライアンスを自動的に検出します。

Topology

セキュリティグループ閉じた アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。とそのセキュリティアプライアンス、ポートが設定されています。

Unassigned Interfaces

Quantum Maestro Orchestrator上の、設定されたセキュリティグループに属さないすべてのインタフェース。

注:

適用される設定方法は以下のとおりです。

セキュリティグループを設定するためのワークフロー参照してください。

デモ動画を見る

ステップ

手順

1

Topology カラムで、Security Groups の左側にある[+] をクリックします。

2

Topology カラムで、Security Groups を右クリックし、New Security Group を選択します。

3

必要なManagement interface settingsを入力します。

ベストプラクティス-First Time Wizard settings を設定する。

4

OKをクリックします。

5

Security Groups の左側にある[+] と新しい Security Group をクリックします。

6

Unassigned Gateways 列で、該当する Security Appliances を選択します。

重要- セキュリティグループには、少なくとも1つのSecurity Applianceを割り当てる必要があります。

注:

  • 同じセキュリティグループには、サポートされているセキュリティアプライアンスのみを割り当てることができます -sk162373を参照してください。

  • この Security Group に他の割り当てられたアプライアンスと異なるモデルのアプライアンスを割り当てる前に、SMO イメージクローニングを Security Group で無効にする必要があります (既知の制限 PMTR-71298)。

  • 複数の Security Appliance を選択するには、CTRL キーを押したまま、マウスカーソルでオブジェクトを左クリックします。

7

選択した Security Appliance をUnassigned Gateways カラムから新しい Security Group のGateways セクションにドラッグ&ドロップします。

8

Unassigned Interfaces カラムで、該当するデータおよび管理インタフェース閉じた 管理サーバがセキュリティゲートウェイまたはクラスタメンバに接続するための、Gaiaセキュリティゲートウェイまたはクラスタメンバのインタフェース。(2) ユーザが Gaia Portal または CLI に接続するための Gaia コンピュータ上のインタフェース。を選択します。

- 複数のインタフェースを選択するには、CTRLキーを押しながら、マウスカーソルでオブジェクトを左クリックします。

9

選択したインタフェースを、新しいセキュリティグループのUnassigned Interfaces カラムからInterfaces セクションにドラッグアンドドロップします。

10

左下隅で、Apply をクリックします。

重要 - Security Groupに割り当てられたSecurity Applianceは、設定を適用した後、自動的に再起動します。

注:

  • 新しく追加するセキュリティグループは、「Security Group N 」と呼ばれ、1から順に「N 」という序数が自動的に割り当てられます(たとえば、すでに「セキュリティグループ1」と「セキュリティグループ3」がある場合、新しいセキュリティグループは「セキュリティグループ2」と呼ばれます)。

  • 各セキュリティグループには、2つのセクションがあります。

    • Gateways - には、このセキュリティ・グループに割り当てたCheck Point Security Gatewayが含まれています。

    • Interfaces - には、このセキュリティグループに割り当てるOrchestratorのインタフェースが含まれています。

  • Security Gatewayのインタフェースは、Security Groupに正しく割り当てる必要があります。

ステップ

手順

1

Topology カラムで、Security Groups の左側にある[+] をクリックします。

2

Topologyカラムで、Security Groupを右クリックします。

3

メニューから、Delete Security Group をクリックします。

重要- 確認のためのプロンプトは表示されません。

4

左下隅で、Apply をクリックします。

ステップ

手順

1

Topology カラムで、Security Groups の左側にある[+] をクリックします。

2

Topologyカラムで、Security Groupを右クリックします。

3

Set Security Group configurationをクリックします。

4

Network settingsセクションで:

  1. IPv4 address フィールドに、Security Group の IPv4 アドレスを入力します。

    このSecurity Groupに属するすべてのSecurity Applianceは、このIPv4アドレスをGaia管理IPアドレスとして使用します。

    このIPv4アドレスは、SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で対応するセキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。オブジェクトを設定する際に使用されます。

  2. Subnet mask フィールドに、該当するIPv4サブネットマスクを入力します。

    このSecurity Group内のすべてのSecurity Applianceは、このIPv4サブネットマスクをGaia管理IPアドレスに使用します。

    SmartConsoleで対応するセキュリティゲートウェイオブジェクトを設定する際に、このIPv4サブネットマスクを使用します。

  3. Default Gateway フィールドに、該当する IPv4 アドレスを入力します。

    このセキュリティグループ内のすべてのセキュリティアプライアンスは、このIPv4アドレスをデフォルトゲートウェイとして使用します。

5

First Time Wizard settings セクションでは、この Security Group に割り当てられた Security Appliance の初期設定を行う。

  1. Set FTW configurationを選択します。

  2. Host Name フィールドに、ホスト名を入力します。

  3. Configure Admin Passwordを選択します。

    1. Admin Password フィールドに、Expert モードのパスワードを入力します。

    2. Confirm Admin Password フィールドに、同じExpertモードのパスワードキーを再度入力します。

  4. SIC Password フィールドに、1回限りのアクティベーション・キー(4文字以上127文字以下)を入力します。

    このアクティベーション・キーは、対応するセキュリティ ゲートウェイ オブジェクトを作成するときにSmartConsoleで使用します。

  5. Confirm SIC Passwordフィールドで、再度ワンタイムアクティベーションキーを入力します。

  6. このセキュリティグループ内のすべてのセキュリティアプライアンスをVSXゲートウェイ閉じた 物理ネットワークデバイスの機能を提供するすべての仮想デバイスを含む、VSX仮想ネットワークをホストする物理サーバ。VS0と呼ばれる少なくとも1つの仮想システムを保持します。として動作させる必要がある場合のみ、「Install as VSX 」を選択します。

6

OKをクリックします。

7

左下隅で、Apply をクリックします。

警告-既存のSecurity Group(その中で初期設定ウィザードを実行済み)でSet FTW configuration オプションを有効にすると、そのSecurity Group内の各Security Applianceを工場出荷時のデフォルトにリセットした後にのみ変更が適用され ます。

ステップ

手順

1

Topology カラムで、Security Groups の左側にある[+] をクリックします。

2

Topologyカラムで、Security Groupを右クリックします。

3

メニューから、Clear network configuration をクリックします。

重要- 確認のためのプロンプトは表示されません。

4

左下隅で、Apply をクリックします。

- この設定オプションはGaiaポータルのみで利用可能です。

ベストプラクティス:

既存の Security Group に Security Appliance を追加する前に、Security Group で SMO Image Cloning 機能を有効にしてください。

この機能は、必要なソフトウェアパッケージをすべて新しいセキュリティアプライアンスに自動的にクローンするものである。

セキュリティグループ上でGaia gClish閉じた Check Point Quantum Maestro Orchestrator に接続されているセキュリティアプライアンス用の Check Point Gaia オペレーティングシステムのグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、セキュリティグループ内のすべてのセキュリティアプライアンスに適用されます。で実行します。

set smo image auto-clone state on

ステップ

手順

1

Topology カラムで、Security Groups の左側にある[+] をクリックします。

2

該当する Security Group の左側にある[+] をクリックします。

3

Unassigned Gateways 列で、該当する Security Appliances を選択します。

- 複数のSecurity Applianceを選択するには、CTRLキーを押したまま、マウスカーソルでオブジェクトを左クリックします。

4

選択した Security Appliance をUnassigned Gateways カラムから該当する Security Group のGateways セクションにドラッグ&ドロップします。

:このような操作が許可されている場合、Gaia Portalには緑色のプラスアイコンが表示されます。それ以外の場合は、赤いブロックのアイコンが表示されます。

5

左下隅で、Apply をクリックします。

重要:

  • 同じセキュリティグループには、サポートされているセキュリティアプライアンスのみを割り当てることができます -sk162373を参照してください。

  • この Security Group に他の割り当てられたアプライアンスと異なるモデルのアプライアンスを割り当てる前に、SMO イメージクローニングを Security Group で無効にする必要があります (既知の制限 PMTR-71298)。

  • Security Groupに割り当てられたSecurity Applianceは、設定を適用した後、自動的に再起動します。

デュアルサイトのベストプラクティス - 各サイトから同じ数のセキュリティアプライアンスをセキュリティグループに割り当てる(可能な限り)。サイト間でフェイルオーバーが発生した場合、新しいActiveサイトのセキュリティアプライアンスがすべてのトラフィックを処理できる必要があります。

ステップ

手順

1

Topology カラムで、Security Groups の左側にある[+] をクリックします。

2

該当する Security Group の左側にある[+] をクリックします。

3

Gateways セクションの左側にある「[+] 」をクリックします。

4

セキュリティグループから削除するセキュリティアプライアンスを選択します。

5

選択したSecurity Applianceを右クリックします。

6

メニューから、Detach Gateway をクリックします。

重要- 確認のためのプロンプトは表示されません。

7

左下隅で、Apply をクリックします。

重要-Security Groupから削除した後は、Security Applianceを工場出荷時のデフォルトにリセットし、再起動する必要があります。これは、セキュリティの設定を残さないようにするためです。

ステップ

手順

1

Topology カラムで、Security Groups の左側にある[+] をクリックします。

2

該当する Security Group の左側にある[+] をクリックします。

3

Gateways の部分を左クリックし、選択します。

4

Gateways の箇所を右クリックします。

5

メニューから、Detach all Gateways をクリックします。

6

左下隅で、Apply をクリックします。

重要- Security Groupから削除した後、Security Applianceは工場出荷時のデフォルトへのリセットと再起動を実行する必要があります。これは、セキュリティの設定を残さないようにするためです。

- この設定オプションはGaiaポータルのみで利用可能です。

ベストプラクティス:

既存の Security Group に Security Appliance を追加する前に、Security Group で SMO Image Cloning 機能を有効にしてください。

この機能は、必要なソフトウェアパッケージをすべて新しいセキュリティアプライアンスに自動的にクローンするものである。

セキュリティグループ上でGaia gClishで実行します。

set smo image auto-clone state on

ステップ

手順

1

Topology カラムで、Security Groups の左側にある[+] をクリックします。

2

該当するsource Security Group の左側にある[+] をクリックします。

3

該当するtarget Security Group の左側にある[+] をクリックします。

4

該当するセキュリティゲートウェイを選択します。

- 複数のSecurity Applianceを選択するには、CTRLキーを押したまま、マウスカーソルでオブジェクトを左クリックします。

5

選択した Security Appliance をsource Security Group のGateways セクションからtarget Security Group のGateways セクションにドラッグアンドドロップします。

:このような操作が許可されている場合、Gaia Portalには緑色のプラスアイコンが表示されます。それ以外の場合は、赤いブロックのアイコンが表示されます。

6

左下隅で、Apply をクリックします。

重要-Security Groupから削除した後は、Security Applianceを工場出荷時のデフォルトにリセットし、再起動する必要があります。これは、セキュリティの設定を残さないようにするためです。

- この設定オプションはGaiaポータルのみで利用可能です。

ステップ

手順

1

Topology カラムで、Security Groups の左側にある[+] をクリックします。

2

該当する Security Group の左側にある[+] をクリックします。

3

Unassigned Interfaces のカラムで、該当するインタフェースを選択します。

- 複数のインタフェースを選択するには、CTRLキーを押しながら、マウスカーソルでオブジェクトを左クリックします。

4

選択したインタフェースを、該当する Security Group のUnassigned Interfaces カラムからInterfaces セクションにドラッグアンドドロップします。

:このような操作が許可されている場合、Gaia Portalには緑色のプラスアイコンが表示されます。それ以外の場合は、赤いブロックのアイコンが表示されます。

5

左下隅で、Apply をクリックします。

ステップ

手順

1

Topology カラムで、Security Groups の左側にある[+] をクリックします。

2

該当する Security Group の左側にある[+] をクリックします。

3

Interfaces セクションの左側にある「[+] 」をクリックします。

4

該当するインタフェースを右クリックします。

5

メニューから、Detach Interface をクリックします。

重要- 確認のためのプロンプトは表示されません。

6

左下隅で、Apply をクリックします。

ステップ

手順

1

Topology カラムで、Security Groups の左側にある[+] をクリックします。

2

該当する Security Group の左側にある[+] をクリックします。

3

Interfaces の箇所を右クリックします。

4

メニューから、Detach Security Group Interfaces をクリックします。

重要- 確認のためのプロンプトは表示されません。

5

左下隅で、Apply をクリックします。

- この設定オプションはGaiaポータルのみで利用可能です。

ステップ

手順

1

Topology カラムで、Security Groups の左側にある[+] をクリックします。

2

該当するsource Security Group の左側にある[+] をクリックします。

3

該当するtarget Security Group の左側にある[+] をクリックします。

4

該当するインタフェースを選択します。

- 複数のインタフェースを選択するには、CTRLキーを押しながら、マウスカーソルでオブジェクトを左クリックします。

5

選択したインタフェースをsource Security GroupのInterfaces セクションからtarget Security GroupのInterfaces セクションにドラッグアンドドロップします。

:このような操作が許可されている場合、Gaia Portalには緑色のプラスアイコンが表示されます。それ以外の場合は、赤いブロックのアイコンが表示されます。

6

左下隅で、Apply をクリックします。

- この設定オプションはGaiaポータルのみで利用可能です。

アップリンクポートにVLANインタフェースを設定する場合を参照してください。

ステップ

手順

1

Orchestrator ページのTopology セクションで、Security Groups を展開します。

2

Security Groupを展開する。

3

Interfaces を拡大する。

4

マウスカーソルをインタフェースに乗せる。

VLANの情報がツールチップに表示されます。

- Dual Siteの展開で、Security Groupにどちらかのサイト(例えばSite 2)にしかないSecurity Applianceが含まれている場合、VLANインタフェースを示すツールチップは、Security Applianceと同じサイトにあるOrchestrator(Site 2など)のGaia Portalにのみ表示されるようにします。