セキュリティグループメンバのポリシー管理

セキュリティグループアクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス（ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定）、(C) Check Point Management Server が接続されている管理用ポート。は1つの大きなセキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。として機能するため、すべてのセキュリティグループメンバは同じポリシーで構成されます。

管理サーバからポリシーをインストールすると、まずSMOセキュリティグループメンバにポリシーがインストールされます。

SMOは、ポリシーとセキュリティグループメンバの設定を、状態"UP"のすべてのセキュリティグループメンバにコピーします。

セキュリティグループメンバが「UP 」状態になると、インストールされているポリシーと設定をSMOから自動的に取得します。

セキュリティグループメンバが1人だけ「UP 」状態にある場合、SMOが存在しない可能性があります。そして、そのセキュリティグループメンバは、そのローカルポリシーと設定を使用します。

Security Group Member上のポリシーや設定に問題がある場合、別のSecurity Group Memberから手動でコピーすることができます。

セキュリティグループメンバのコンフィギュレーションは、以下のような構成になっています。

ルールベース特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。を含むファイアウォールポリシー。
/etc/xfer_files_list ファイルで定義されたコンフィギュレーションファイルのセット。

このファイルには、関連するすべてのコンフィギュレーションファイルの場所が含まれています。

また、コピーされたファイルがローカルのセキュリティグループメンバ上のものと異なる場合に取るべき行動も定義します。

セキュリティグループのメンバ間でポリシーと設定を同期させる

Gaia gClish Check Point Quantum Maestro Orchestrator に接続されているセキュリティアプライアンス用の Check Point Gaia オペレーティングシステムのグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、セキュリティグループ内のすべてのセキュリティアプライアンスに適用されます。の "asg_blade_config pull_config" コマンドを使用して、手動でポリシーの同期を行います。

オプションとして、指定されたソースセキュリティグループメンバからターゲットセキュリティグループメンバにファイルを構成することができます。

対象のセキュリティグループメンバは、このコマンドを実行するときに使用するセキュリティグループメンバです。

セキュリティグループメンバを手動で同期させる場合。

ステップ

手順

Gaia gClishで実行します。

asg_blade_config pull_config

いずれかの方法を実行します。

対象のSecurity Group Memberを再起動する。

reboot -b <Security Group Member ID>

Check Pointのサービスを開始し、ClusterXL Critical Device "admin_down" を削除します。

cpstart

clusterXL_admin up

注 - Gaia gClishで"asg stat -i all_sync_ips"コマンドを実行すると、Security Group Member上のすべての同期IPアドレスのリストを取得することができます。

コンフィギュレーションファイルリストを理解する

/etc/xfer_file_list ファイルには、セキュリティグループメンバ上の関連設定ファイルへのポインタが含まれています。各レコードは、設定ファイルへのパスを定義し、その後にインポートされたファイルがローカルファイルと異なる場合に取るべきアクションを定義します。この表は、レコード構造の一例を示したものである。

コンテキスト	ファイル名とパス	アクション
`global_context`	`$FWDIR/boot/modules/fwkern.conf`	`/bin/false`

context フィールドは、設定ファイルの種類を定義する。

global_context - セキュリティゲートウェイの設定ファイル
all_vs_context - 仮想システム設定ファイル

アクションフィールドは、インポート（コピー）されたファイルがローカルファイルと異なる場合に取るべき行動を定義します。

/bin/true - 再起動は不要です。
/bin/false - 再起動が必要です。
二重引用符で囲まれた文字列 - 適用可能なアクションを選択する「コールバックスクリプト」の名前です。

例）コンフィギュレーションファイル一覧

[Expert@HostName-ch0x-0x:0]# g_cat /etc/xfer_file_list

#The Columns are:

#1) global_context or all_vs_context - VSX support.

#       It separates the files relevant to all VSs (all_vs_context) from those which are only relevant for VS0 (global_context)

#       In a security gateway mode, there is no difference between the two values

#2) File location in the SMO - where to pull the files from

#3) Action to perform after the file is copied, if it's different.

#       The result of the operation determines if a reboot is needed after the operation - 1 for reboot, 0 for no reboot

#       Please Notice - /bin/false => reboot, /bin/true => don't reboot

#4) [Optional] A local path to copy the file to, needed if different from the source

global_context /opt/CPda/bin/policy.xml /bin/true

global_context /etc/upgrade_pkg-0.1-cp989000001.i386.rpm "rpm -U --force --nodeps /etc/upgrade_pkg-0.1-cp989000001.i386.rpm"

global_context /etc/sysconfig/image.md5 "/usr/lib/smo/libclone.tcl --clone --rsip --xfer --reboot"

global_context $PPKDIR/boot/modules/sim_aff.conf "sim affinityload"

global_context $PPKDIR/boot/modules/simkern.conf /bin/false

global_context $FWDIR/boot/boot.conf /bin/false

global_context $FWDIR/boot/modules/fwkern.conf /bin/false

all_vs_context $FWDIR/conf/fwauthd.conf /bin/false

all_vs_context $FWDIR/conf/discntd.if /bin/false

#global_context /var/opt/fw.boot/ha_boot.conf /bin/false

global_context /config/active  /usr/bin/confd_clone /config/db/cloned_db

global_context /tmp/sms_rate_limit.tmp /bin/true

global_context /tmp/sms_history.tmp /bin/true

global_context /home/admin/.ssh/known_hosts /bin/true

global_context /etc/passwd /bin/true

global_context /etc/shadow /bin/true

... output is cut for brevity ...

global_context /etc/smodb.json  "/usr/lib/smo/libclone_smodb.tcl clone_smodb_apply"      /tmp/smo_smodb.json

global_context $FWDIR/conf/prioq.conf   /bin/false

global_context /web/templates/httpd-ssl.conf.templ /usr/scripts/generate_httpd-ssl_conf.sh

all_vs_context $FWDIR/conf/fwaccel_dos_rate_on_install /bin/false

all_vs_context $FWDIR/conf/fwaccel6_dos_rate_on_install /bin/false

global_context $FWDIR/database/sam_policy.db $SMODIR/scripts/compare_samp_db.tcl /tmp/sam_policy.db.new

global_context $FWDIR/database/sam_policy.mng /bin/false

all_vs_context $FWDIR/conf/icap_client_blade_configuration.C /bin/true

global_context $CPDIR/conf/chassis_priority_db.C /bin/true

[Expert@HostName-ch0x-0x:0]#

MACアドレスとビット規則

システム上のMACアドレスは、BMAC、VMAC、SMACの3種類に分類されます。

BMAC

すべてのインタフェースに割り当てられるMACアドレスで、命名規則が"BPEthX"です。

これは、各セキュリティグループメンバに固有のものです。

インタフェースのインデックス番号には依存しない。

BMAC タイプのビット規則。

ビット範囲	手順
1	VMACと他のMACアドレスを区別する。これは、VMACスペースとの衝突の可能性を防ぐために使用されます。可能な値は以下の通り。 `0` - BMACまたはSMAC `1` - VMAC
2-8	セキュリティグループメンバID（1より始まる）。 127に限定しています。
9-13	常にゼロ。
14	BMACアドレスとSMACアドレスを区別する。 SMAC空間と衝突する可能性を防ぐために使用します。可能な値。 `0` - BMAC `1` - SMAC
0	絶対的なインタフェース番号。これは、インタフェース名から取得されます。 `BPEthX` フォーマットの場合、`X` はインタフェース番号です。 4つのインタフェースに限定されます。

VMAC

すべてのインタフェースに割り当てられるMACアドレスで、命名規則が"ethX-YZ"です。

これは、各サイトに固有のものです。

インタフェースのインデックス番号には依存しない。

VMAC タイプのビット規約。

ビット範囲	手順
1	VMACと他のMACアドレスを区別する。これは、VMACスペースとの衝突の可能性を防ぐために使用されます。可能な値は以下の通り。 `0` - BMACまたはSMAC `1` - VMAC
2-3	サイトID 2サイト限定。
4-8	スイッチ番号 32スイッチに制限されます。
9-16	ポート番号各スイッチで256個に制限されます。

SMAC

Syncインタフェースに割り当てられたMACアドレス。

これは、各セキュリティグループメンバに固有のものです。

インタフェースのインデックス番号には依存しない。

SMAC タイプのビット規約。

ビット範囲	手順
1	VMACと他のMACアドレスを区別する。これは、VMACスペースとの衝突の可能性を防ぐために使用されます。可能な値は以下の通り。 `0` - BMACまたはSMAC `1` - VMAC
2-8	セキュリティグループメンバID（1より始まる）。 127に限定しています。
9-13	常にゼロ。
14	BMACアドレスとSMACアドレスを区別する。 SMAC空間と衝突する可能性を防ぐために使用します。可能な値。 `0` - BMAC `1` - SMAC
2346	常にゼロ。
33	同期インタフェース可能な値は以下の通り。 `0` - Sync1 `1` - Sync2

MACアドレスリゾルバ (asg_mac_resolver)

説明

Gaia gClish または Expert モードで "asg_mac_resolver" コマンドを使用して、すべてのタイプの MAC アドレス（BMAC、VMAC、SMAC）が正しいかどうかを確認します。

提供されたMACアドレスから、"asg_mac_resolver" コマンドが決定します。

MACタイプ
サイトID
セキュリティグループメンバID
割り当てられたインタフェース

構文

asg_mac_resolver <MAC address>

例

[Expert@HostName-ch0x-0x:0]# asg_mac_resolver 00:1C:7F:01:00:FE

[00:1C:7F:01:00:FE, BMAC] [Chassis ID: 1] [SGM ID: 1] [Interface: BPEth0]

[Expert@HostName-ch0x-0x:0]#

注:

指定されたMACアドレスは、Site#1上のSecurity Group Member #1のBPEth0からのものです。
00:1C:7F:01:00:FE はマジックMAC属性であり、"FE"で識別される。
インデックス長は16ビット（2Byte）で，01:00 x x x x x x x x x x x x x x x x xで識別されます。