シングルマネージメントオブジェクト(SMO)とポリシー

単一管理オブジェクト

SMO(Single Management Object)は、セキュリティ・グループを、1つの管理用IPアドレスを持つ1つの大きなセキュリティ・ゲートウェイとして管理するためのチェック・ポイントの技術です。

Security Gatewayの設定、ポリシーのインストール、リモート接続、ロギングなど、すべての管理タスクを1人のセキュリティグループ閉じた アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。メンバ(SMOマスタ閉じた セキュリティグループ内のすべてのセキュリティアプライアンスの管理タスクを処理する、セキュリティグループ内の物理セキュリティアプライアンス。デフォルトでは、このロールはセキュリティグループで最も小さいメンバ ID を持つセキュリティアプライアンスに割り当てられます。ー)が担当します

が処理されます。SMOマスターは、他のすべてのセキュリティグループメンバを更新します。

ID番号が最も小さいアクティブセキュリティグループメンバが自動的にSMOに割り当てられます。

"asg stat -i tasks" コマンドを使用してSMOを特定し、Security Group Members にどのようにタスクが配分されているかを確認します(ハードウェアの状態を表示する(asg stat)を参照)。

[Expert@HostName-ch0x-0x:0]# asg stat -i tasks
--------------------------------------------------------------------------------
| Task (Task ID)    |                       Chassis 1                          |
--------------------------------------------------------------------------------
| SMO (0)           |                        1(local)                          |
| General (1)       |                        1(local)                          |
| LACP (2)          |                        1(local)                          |
| CH Monitor (3)    |                        1(local)                          |
| DR Manager (4)    |                        1(local)                          |
| UIPC (5)          |                        1(local)                          |
| Alert (6)         |                        1(local)                          |
--------------------------------------------------------------------------------
[Expert@HostName-ch0x-0x:0]#
 
[Expert@HostName-ch0x-0x:0]# asg stat -i tasks
--------------------------------------------------------------------------------
| Task (Task ID)     |        Chassis 1           |        Chassis 2           |
--------------------------------------------------------------------------------
| SMO (0)            |                            |         3(local)           |
| General (1)        |         2                  |         3(local)           |
| LACP (2)           |         2                  |         3(local)           |
| CH Monitor (3)     |         2                  |         3(local)           |
| DR Manager (4)     |                            |         3(local)           |
| UIPC (5)           |         2                  |         3(local)           |
| Alert (6)          |                            |         3(local)           |
--------------------------------------------------------------------------------
[Expert@HostName-ch0x-0x:0]#
[Expert@HostName-ch0x-0x:0]# member 2_4
Moving to member 2_4
... ...
[Expert@HostName-ch0x-0x:0]# asg stat -i tasks
--------------------------------------------------------------------------------
| Task (Task ID)     |        Chassis 1           |        Chassis 2           |
--------------------------------------------------------------------------------
| SMO (0)            |                            |         3                  |
| General (1)        |         2                  |         3                  |
| LACP (2)           |         2                  |         3                  |
| CH Monitor (3)     |         2                  |         3                  |
| DR Manager (4)     |                            |         3                  |
| UIPC (5)           |         2                  |         3                  |
| Alert (6)          |                            |         3                  |
--------------------------------------------------------------------------------
[Expert@HostName-ch0x-0x:0]#

ポリシーのインストールとアンインストール

ポリシーのインストール

Security Groupにポリシーをインストールするには、SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。Install Policy をクリックします。

ポリシーのインストールは、以下の手順で行います。

  1. 管理サーバは、SMOマスターにポリシーをインストールします。

  2. SMOマスターは、ポリシーをセキュリティグループ内のすべてのセキュリティグループメンバにコピーします。

  3. セキュリティグループの各メンバは、ローカルにポリシーをインストールします。

ポリシーのインストール中、各セキュリティグループメンバは、セキュリティグループ内の他のセキュリティグループメンバとポリシーステータスの更新を送受信します。これは、セキュリティグループメンバが同期してポリシーをインストールする必要があるためです。

:セキュリティグループを作成すると、そのセキュリティグループメンバは、管理に必要な暗黙のルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。のみを許可する初期ポリシーを実施します。

ポリシーのアンインストール

- SmartConsoleでは、セキュリティグループからポリシーをアンインストールすることはできません。

ステップ

手順

1

シリアルポートでSecurity GroupのSMOに接続します。

2

Gaia gClish閉じた Check Point Quantum Maestro Orchestrator に接続されているセキュリティアプライアンス用の Check Point Gaia オペレーティングシステムのグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、セキュリティグループ内のすべてのセキュリティアプライアンスに適用されます。にログインしてください。

3

ポリシーをアンインストールします。

asg policy unload

ポリシーとの連携(アスガポリシー)

説明

Gaia gClish または Expert モードで "asg policy" コマンドを使用し、ポリシー関連のアクションを実行します。

構文

asg policy -h

asg policy {verify | verify_amw} [-vs <VS IDs>] [-a] [-v]

asg policy unload [--disable_pnotes] [-a]

asg policy unload --ip_forward

ベストプラクティス- セキュリティグループ内のセキュリティグループメンバに対して、シリアル接続でこれらのコマンドを実行します。

パラメータ

パラメータ

説明

-h

内蔵のヘルプを表示します。

verify

セキュリティグループ内のすべてのセキュリティグループメンバに正しいポリシーがインストールされていることを確認します。

verify_amw

セキュリティグループ内のすべてのセキュリティグループメンバに正しいアンチマルウェアポリシーがインストールされていることを確認します。

unload

セキュリティグループ内のすべてのセキュリティグループメンバからポリシーをアンインストールします。

-vs <VS IDs>

<VS IDs> で指定された仮想システムに適用されます。

<VS IDs>には:

  • <VS IDs> を指定しない (デフォルト) - 現在の仮想システムのコンテキストに適用されます。

  • 仮想システム

  • カンマで区切られた仮想システムのリスト(例:1,2,4,5 )。

  • さまざまな仮想システム(例えば、3-5 )。

  • all - すべての仮想システムを表示する

このパラメータは、VSX閉じた 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。環境においてのみ適用可能です。

-v

セキュリティグループメンバの詳細な検証結果を表示します。

-a

UPとDOWN両方の状態のセキュリティグループメンバに対してベリファイを実行します。

--disable_pnotes

セキュリティグループメンバは、ポリシーがインストールされていない状態では、"UP"のままです。

重要- このオプションを省略すると、ポリシーを再インストールするまで、セキュリティ グループ メンバがダウン状態になります!

--ip_forward

IP転送を有効にします。

 

[Expert@HostName-ch0x-0x:0]# asg policy verify -v
+----------------------------------------------------------------------+
|Policy Verification                                                   |
+-------+-------------------+---------------+-----------------+--------+
|SGM    |Policy Name        |Policy Date    |Policy Signature |Status  |
+-------+-------------------+---------------+-----------------+--------+
|1_01   |Standard           |27Feb19 08:56  |e17c177f7        |Success |
+-------+-------------------+---------------+-----------------+--------+
|1_02   |Standard           |27Feb19 08:56  |e17c177f7        |Success |
+-------+-------------------+---------------+-----------------+--------+
 
+------------------------------------------------------------------------------+
|Summary                                                                       |
+------------------------------------------------------------------------------+
|Policy Verification completed successfully                                    |
+------------------------------------------------------------------------------+
[Expert@HostName-ch0x-0x:0]#
 
[Expert@HostName-ch0x-0x:0]# asg policy verify -vs all -v
+------------------------------------------------------------------------------+
|Policy Verification                                          |
+-------+-------+-------------------+---------------+-----------------+--------+
|VS     |SGM    |Policy Name        |Policy Date    |Policy Signature |Status  |
+-------+-------+-------------------+---------------+-----------------+--------+
|0      |1_01   |Standard           |27Feb19 08:56  |996eee5e6        |Success |
|       |1_03   |Standard           |27Feb19 08:56  |996eee5e6        |Success |
|       |1_04   |Standard           |27Feb19 08:56  |996eee5e6        |Success |
|       |1_05   |Standard           |27Feb19 08:56  |996eee5e6        |Success |
|       |1_06   |Standard           |27Feb19 08:56  |996eee5e6        |Success |
|       |1_11   |Standard           |27Feb19 08:56  |996eee5e6        |Success |
|       |1_12   |Standard           |27Feb19 08:56  |996eee5e6        |Success |
+-------+-------+-------------------+---------------+-----------------+--------+
|1      |1_01   |Standard           |27Nov12 13:03  |836fa2ec1        |Success |
|       |1_03   |Standard           |27Nov12 13:03  |836fa2ec1        |Success |
|       |1_04   |Standard           |27Nov12 13:03  |836fa2ec1        |Success |
|       |1_05   |Standard           |27Nov12 13:03  |836fa2ec1        |Success |
|       |1_06   |Standard           |27Nov12 13:03  |836fa2ec1        |Success |
|       |1_11   |Standard           |27Nov12 13:03  |836fa2ec1        |Success |
|       |1_12   |Standard           |27Nov12 13:03  |836fa2ec1        |Success |
+-------+-------+-------------------+---------------+-----------------+--------+
|2      |1_01   |Standard           |27Feb19 08:56  |10eef9ced        |Success |
|       |1_03   |Standard           |27Feb19 08:56  |10eef9ced        |Success |
|       |1_04   |Standard           |27Feb19 08:56  |10eef9ced        |Success |
|       |1_05   |Standard           |27Feb19 08:56  |10eef9ced        |Success |
|       |1_06   |Standard           |27Feb19 08:56  |10eef9ced        |Success |
|       |1_11   |Standard           |27Feb19 08:56  |10eef9ced        |Success |
|       |1_12   |Standard           |27Feb19 08:56  |10eef9ced        |Success |
+-------+-------+-------------------+---------------+-----------------+--------+

+------------------------------------------------------------------------------+
|Summary                                                                       |
+------------------------------------------------------------------------------+
|Policy Verification completed successfully                                    |
+------------------------------------------------------------------------------+
[Expert@HostName-ch0x-0x:0]#
 
[Expert@HostName-ch0x-0x:0]# asg policy unload
You are about to perform unload policy on blades: all
All SGMs will be in DOWN state, beside local SGM. It is recommended to run the procedure
via serial connection
 
Are you sure? (Y - yes, any other key - no) y
 
Unload policy requires auditing
Enter your full name: John Doe
Enter reason for unload policy [Maintenance]:
WARNING: Unload policy on blades: all, User: John Doe, Reason: Maintenance
+-------------------------------+
|Unload policy                  |
+---------------+---------------+
|SGM            |Status         |
+---------------+---------------+
|1_3            |Success        |
+---------------+---------------+
|1_2            |Success        |
+---------------+---------------+
|1_1            |Success        |
+---------------+---------------+
|2_3            |Success        |
+---------------+---------------+
|2_2            |Success        |
+---------------+---------------+
|2_1            |Success        |
+---------------+---------------+
 
+------------------------------------------------------------------------------+
|Summary                                                                       |
+------------------------------------------------------------------------------+
|Unload policy completed successfully                                          |
+------------------------------------------------------------------------------+
[Expert@HostName-ch0x-0x:0]#