イーサネットプロトコルの管理

ブリッジインタフェースを持つセキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。では、ブリッジインタフェースを通過するIPに基づかないプロトコルを許可または遮断するように設定することが可能です。例えば、IPv4、IPv6、ARP以外のプロトコル。

デフォルトでは、これらのプロトコルはセキュリティゲートウェイによって許可されています。

IPv4、IPv6、ARP 以外のプロトコルのフレームは、以下の場合に許可されます。

  • Security Gateway では,カーネルパラメータfwaccept_unknown_protocol の値が 1(すべてのフレームを受け付ける)

  • または、管理サーバ上の該当するuser.def ファイルで、プロトコルがallowed_ethernet_protocols テーブルに定義されている。

  • そして、管理サーバ上の該当するuser.def ファイルで、プロトコルがdropped_ethernet_protocols テーブルに定義されていません。

IPv4、IPv6、ARP以外の特定のプロトコルのみを受け入れるように、セキュリティグループを設定する。

ステップ

手順

1

Security Groupで、カーネルパラメータfwaccept_unknown_protocol の値を0に設定します。

  1. Security Groupでコマンドラインに接続します。

  2. エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

  3. カーネルパラメータfwaccept_unknown_protocolの値を 1 に設定します。

    g_update_conf_file fwkern.conf fwaccept_unknown_protocol=0

  4. Security Gateway を再起動します。

    このとき、再起動が不可能な場合。

    • このコマンドを実行すると、必要な変更が行われます。

      g_fw ctl set int fwaccept_unknown_protocol 0

    • このコマンドを実行し、必要な変更が受け入れられたことを確認します。

      g_fw ctl get int fwaccept_unknown_protocol

2

管理サーバ上で、該当するuser.def ファイルを編集します。

- user.defファイルのリストについては、sk98239 を参照してください。

  1. 現在適用されているuser.def ファイルをバックアップします。

  2. 現在適用されているuser.def ファイルを編集します。

  3. これらのディレクティブを追加します。

    • allowed_ethernet_protocols - 受け入れるプロトコルのEtherType番号(16進数)を格納する。

    • dropped_ethernet_protocols - ドロップするプロトコルのEtherType番号(16進数)を格納する。

    $ifndef __user_def__
$define __user_def__
  
\\ 
\\ User defined INSPECT code
\\ 
  
allowed_ethernet_protocols={ <0x0800,0x86DD,0x0806>);
dropped_ethernet_protocols={ <0x8137,0x8847,0x9100> );
  
endif /*__user_def__*/

    EtherType番号の一覧は、http://standards-oui.ieee.org/ethertype/eth.csv を参照してください。

  4. 変更内容をファイルに保存し、エディタを終了します。

3

このSecurity Gatewayオブジェクトにアクセスコントロールポリシーをインストールします。