SecureXLカーネルパラメータ

SecureXL セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Point製品。の内部デフォルト動作を変更したり、SecureXL の特別な高度設定を行うには、SecureXL カーネルパラメータを使用します。

適用可能な SecureXL カーネルパラメータの名称とその値は、Check Point Support Center の各種 SK 論文に記載されており、Check Point Support から提供されています。

重要：

SecureXL カーネルパラメータの名称は、大文字と小文字を区別します。
現在のセッションでSecureXLカーネルパラメータを設定するには、"fw ctl set" コマンドを使用します。

この変更は再起動後は保持されません。
SecureXL のカーネルパラメータを恒久的に設定するには、専用の設定ファイル $PPKDIR/conf/simkern.conf

この手順では再起動が必要なため、メンテナンスウィンドウをスケジュールしてください。
SecureXL のカーネルパラメータの中には、「fw ctl get 」コマンドで現在の値をその場で取得できないものがあります（方法を参照）。
クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。では、すべてのクラスタメンバを同じ方法で設定する必要があります。
Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal Check Point Gaiaオペレーティングシステム用のWebインタフェース。に接続する必要があります。

SecureXLカーネルパラメータの例

タイプ	名前
整数	`num_of_sxl_devices` `sim_ipsec_dont_fragment` `tcp_always_keepalive` `sim_log_all_frags` `simple_debug_filter_dport_1` `simple_debug_filter_proto_1`
文字列	`simple_debug_filter_addr_1` `simple_debug_filter_daddr_2` `simlinux_excluded_ifs_list`

タイプ

名前

整数

num_of_sxl_devices

sim_ipsec_dont_fragment

tcp_always_keepalive

sim_log_all_frags

simple_debug_filter_dport_1

simple_debug_filter_proto_1

文字列

simple_debug_filter_addr_1

simple_debug_filter_daddr_2

simlinux_excluded_ifs_list

整数型カーネルパラメータの操作

利用可能なSecureXLinteger カーネルパラメータとその値の一覧を表示する。

ステップ

手順

Security Gateway/各クラスタメンバクラスタの一部であるセキュリティゲートウェイ。のコマンドラインに接続します。

注 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

利用可能な整数カーネルパラメータのリストとその値をエラーなく取得できることを確認してください。

注 - お使いのSecurity Gatewayの設定によっては、すべてのカーネルパラメータがサポートされていない場合があります。その結果、Security Gatewayが一部のカーネルパラメーターの値を取得できない場合があります。

modinfo -p $PPKDIR/boot/modules/sim_kern*.o | sort -u | grep ':int param' | awk 'BEGIN {FS=":"} ; {print $1}' | xargs -n 1 fw ctl get int

前のステップでエラーがなかった場合、利用可能な整数カーネルパラメータとその値のリストを取得し、そのリストをファイルに保存します。

modinfo -p $PPKDIR/boot/modules/sim_kern*.o | sort -u | grep ':int param' | awk 'BEGIN {FS=":"} ; {print $1}' | xargs -n 1 fw ctl get int 1>> /var/log/sxl_integer_kernel_parameters.txt 2>> /var/log/sxl_integer_kernel_parameters.txt

出力されたファイルを解析する。

/var/log/sxl_integer_kernel_parameters.txt

SecureXLinteger カーネルパラメータの現在値を表示する。

ステップ

手順

Security Gateway/各クラスタメンバのコマンドラインに接続します。

注 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

Gaia Clish CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです（役割ベースの管理は、シェルで使用可能なコマンドの数を制御します）。またはExpertモードにログインしてください。

注 - Scalable Platform（Maestro、Chassis）では、Gaia gClish Check Point Quantum Maestro Orchestratorに接続されたセキュリティアプライアンスおよびスケーラブルシャーシ上のセキュリティゲートウェイモジュール用のCheck Point Gaiaオペレーティングシステムのグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、Security Group内のすべてのSecurity Gateway Module / Security Applianceに適用されます。またはExpertモードを使用する必要があります。

整数のカーネルパラメータの現在値を取得する。

Security Gateway / 各クラスタメンバで、Gaia Clish または Expert モードで実行します。

fw ctl get int <Name of Integer Kernel Parameter> [-a]

Scalable Platform Security Groupで、Gaia gClishで実行します。

fw ctl get int <Name of Integer Kernel Parameter> [-a]

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl get int <Name of Integer Kernel Parameter> [-a]

例:

[Expert@MyGW:0]# fw ctl get int sim_ipsec_dont_fragment

sim_ipsec_dont_fragment = 1

[Expert@MyGW:0]#

SecureXLinteger カーネルパラメータの値を設定する。 temporarily

重要 - この変更は再起動後は保持されません。

ステップ

手順

Security Gateway/各クラスタメンバのコマンドラインに接続します。

注 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

Gaia ClishまたはExpertモードにログインしてください。

注 - Scalable Platform（Maestro、Chassis）では、Gaia gClishまたはExpertモードを使用する必要があります。

整数のカーネルパラメータに新しい値を設定する。

Security Gateway / 各クラスタメンバで、Gaia Clish または Expert モードで実行します。

fw ctl set int <Name of Integer Kernel Parameter> <Integer Value>

Scalable Platform Security Groupでは、Gaia gClishで実行します。

fw ctl set int <Name of Integer Kernel Parameter> <Integer Value>

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl set int <Name of Integer Kernel Parameter> <Integer Value>

例:

[Expert@MyGW:0]# fw ctl set int sim_ipsec_dont_fragment 0

Set operation succeeded

[Expert@MyGW:0]#

新しい値が設定されていることを確認します。

Security Gateway / 各クラスタメンバで、Gaia Clish または Expert モードで実行します。

fw ctl get int <Name of Integer Kernel Parameter>

Scalable Platform Security Groupでは、Gaia gClishで実行します。

fw ctl get int <Name of Integer Kernel Parameter>

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl get int <Name of Integer Kernel Parameter>

例:

[Expert@MyGW:0]# fw ctl get int sim_ipsec_dont_fragment

sim_ipsec_dont_fragment = 0

[Expert@MyGW:0]#

SecureXLinteger カーネルパラメータの値を設定する。 permanently

ステップ

手順

Security Gateway/各クラスタメンバのコマンドラインに接続します。

注 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

エキスパートモードにログインします。

設定ファイルがすでに存在するかどうかを確認します。

Security Gateway /各クラスタメンバ:

ls -l $PPKDIR/conf/simkern.conf

スケーラブルプラットフォームセキュリティグループ:

g_ls -l $PPKDIR/conf/simkern.conf

このファイルがすでに存在する場合は、手順5へ進んでください。

このファイルが存在しない場合は、手動で作成し、手順6に進んでください。

Security Gateway /各クラスタメンバ:

touch $PPKDIR/conf/simkern.conf

スケーラブルプラットフォームセキュリティグループ:

g_all touch $PPKDIR/conf/simkern.conf

現在の設定ファイルをバックアップする。

Security Gateway /各クラスタメンバ:

cp -v $PPKDIR/conf/simkern.conf{,_BKP}

スケーラブルプラットフォームセキュリティグループ:

g_cp -v $PPKDIR/conf/simkern.conf{,_BKP}

現在のコンフィギュレーションファイルを編集します。

Security Gateway / 各クラスタメンバおよびScalable Platform Security Groupについても、同じ構文が適用されます。

vi $PPKDIR/conf/simkern.conf

必要な SecureXL カーネルパラメータを、以下に示す形式で値を指定して追加してください。

重要- この設定ファイルは、スペース文字、タブ文字、コメント（# 文字を含む行）をサポートしていません。

<Name_of_SecureXL_Integer_Kernel_Parameter>=<Integer_Value>

変更内容をファイルに保存し、エディタを終了します。

再起動します。

Security Gateway /各クラスタメンバ:

reboot

重要- クラスタでは、フェイルオーバーが発生する可能性があります。

スケーラブルプラットフォームセキュリティグループ:

g_reboot -a

Security Gateway/各クラスタメンバのコマンドラインに接続します。

注 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

Gaia ClishまたはExpertモードにログインしてください。

注 - Scalable Platform（Maestro、Chassis）では、Gaia gClishまたはExpertモードを使用する必要があります。

カーネルパラメータの新しい値が設定されていることを確認します。

Security Gateway / 各クラスタメンバで、Gaia Clish または Expert モードで実行します。

fw ctl get int <Name of Integer Kernel Parameter> [-a]

Scalable Platform Security Groupでは、Gaia gClishで実行します。

fw ctl get int <Name of Integer Kernel Parameter> [-a]

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl get int <Name of Integer Kernel Parameter> [-a]

文字列カーネルパラメータの処理

利用可能なSecureXLstring カーネルパラメータとその値の一覧を表示する。

ステップ

手順

Security Gateway/各クラスタメンバのコマンドラインに接続します。

注 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

エキスパートモードにログインします。

利用可能な整数カーネルパラメータのリストとその値をエラーなく取得できることを確認してください。

modinfo -p $PPKDIR/boot/modules/sim_kern*.o | sort -u | grep ':string param' | awk 'BEGIN {FS=":"} ; {print $1}' | xargs -n 1 fw ctl get str

前のステップでエラーがなかった場合、利用可能な文字列カーネルパラメータとその値のリストを取得し、そのリストをファイルに保存します。

modinfo -p $PPKDIR/boot/modules/sim_kern*.o | sort -u | grep ':string param' | awk 'BEGIN {FS=":"} ; {print $1}' | xargs -n 1 fw ctl get str 1>> /var/log/sxl_string_kernel_parameters.txt 2>> /var/log/sxl_string_kernel_parameters.txt

出力されたファイルを解析する。

/var/log/sxl_string_kernel_parameters.txt

SecureXLstring カーネルパラメータの現在値を表示する。

ステップ

手順

Security Gateway/各クラスタメンバのコマンドラインに接続します。

注 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

Gaia ClishまたはExpertモードにログインしてください。

注 - Scalable Platform（Maestro、Chassis）では、Gaia gClishまたはExpertモードを使用する必要があります。

整数のカーネルパラメータの現在値を取得する。

Security Gateway / 各クラスタメンバで、Gaia Clish または Expert モードで実行します。

fw ctl get str <Name of Integer Kernel Parameter> [-a]

Scalable Platform Security Groupで、Gaia gClishで実行します。

fw ctl get str <Name of Integer Kernel Parameter> [-a]

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl get str <Name of Integer Kernel Parameter> [-a]

例:

[Expert@MyGW:0]# fw ctl get str fwkdebug_print_connkey_on_str

fwkdebug_print_connkey_on_str = ''

[Expert@MyGW:0]#

SecureXLstring カーネルパラメータの値を設定する。 temporarily

重要 - この変更は再起動後は保持されません。

ステップ

手順

Security Gateway/各クラスタメンバのコマンドラインに接続します。

注 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

Gaia ClishまたはExpertモードにログインしてください。

注 - Scalable Platform（Maestro、Chassis）では、Gaia gClishまたはExpertモードを使用する必要があります。

文字列カーネルパラメータに新しい値を設定する。

注：値は一重引用符、または二重引用符で記述する必要があります。以下のいずれかの構文を使用します。

Security Gateway / 各クラスタメンバで、Gaia Clish または Expert モードで実行します。

fw ctl set str <Name of String Kernel Parameter> '<String Text>'

fw ctl set str <Name of String Kernel Parameter> "<String Text>"

Scalable Platform Security Groupでは、Gaia gClishで実行します。

fw ctl set str <Name of String Kernel Parameter> '<String Text>'

fw ctl set str <Name of String Kernel Parameter> "<String Text>"

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl set str <Name of String Kernel Parameter> '<String Text>'

g_fw ctl set str <Name of String Kernel Parameter> "<String Text>"

例:

[Expert@MyGW:0]# fw ctl set str fwkdebug_print_connkey_on_str 'Packet accepted'

Set operation succeeded

[Expert@MyGW:0]#

新しい値が設定されていることを確認します。

Security Gateway / 各クラスタメンバで、Gaia Clish または Expert モードで実行します。

fw ctl get str <Name of String Kernel Parameter>

Scalable Platform Security Groupでは、Gaia gClishで実行します。

fw ctl get str <Name of String Kernel Parameter>

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl get str <Name of String Kernel Parameter>

例:

[Expert@MyGW:0]# fw ctl get str fwkdebug_print_connkey_on_str

fwkdebug_print_connkey_on_str = 'Packet accepted'

[Expert@MyGW:0]#

SecureXLstring カーネルパラメータの値を設定する。 permanently

ステップ

手順

Security Gateway/各クラスタメンバのコマンドラインに接続します。

注 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

エキスパートモードにログインします。

設定ファイルがすでに存在するかどうかを確認します。

Security Gateway /各クラスタメンバ:

ls -l $PPKDIR/conf/simkern.conf

スケーラブルプラットフォームセキュリティグループ:

g_ls -l $PPKDIR/conf/simkern.conf

このファイルがすでに存在する場合は、手順5へ進んでください。

このファイルが存在しない場合は、手動で作成し、手順6に進んでください。

Security Gateway /各クラスタメンバ:

touch $PPKDIR/conf/simkern.conf

スケーラブルプラットフォームセキュリティグループ:

g_all touch $PPKDIR/conf/simkern.conf

現在の設定ファイルをバックアップする。

Security Gateway /各クラスタメンバ:

cp -v $PPKDIR/conf/simkern.conf{,_BKP}

スケーラブルプラットフォームセキュリティグループ:

g_cp -v $PPKDIR/conf/simkern.conf{,_BKP}

現在のコンフィギュレーションファイルを編集します。

Security Gateway / 各クラスタメンバおよびScalable Platform Security Groupについても、同じ構文が適用されます。

vi $PPKDIR/conf/simkern.conf

必要な SecureXL カーネルパラメータを、以下に示す形式で値を指定して追加してください。

重要- この設定ファイルは、スペース文字、タブ文字、コメント（# 文字を含む行）をサポートしていません。

注：値は一重引用符、または二重引用符で記述する必要があります。以下のいずれかの構文を使用します。

<Name_of_SecureXL_String_Kernel_Parameter>='<String_Text>'

<Name_of_SecureXL_String_Kernel_Parameter>="<String_Text>"

変更内容をファイルに保存し、エディタを終了します。

再起動します。

Security Gateway /各クラスタメンバ:

reboot

重要- クラスタでは、フェイルオーバーが発生する可能性があります。

スケーラブルプラットフォームセキュリティグループ:

g_reboot -a

Security Gateway/各クラスタメンバのコマンドラインに接続します。

注 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

Gaia ClishまたはExpertモードにログインしてください。

注 - Scalable Platform（Maestro、Chassis）では、Gaia gClishまたはExpertモードを使用する必要があります。

カーネルパラメータの新しい値が設定されていることを確認します。

Security Gateway / 各クラスタメンバで、Gaia Clish または Expert モードで実行します。

fw ctl get str <Name of String Kernel Parameter> [-a]

Scalable Platform Security Groupでは、Gaia gClishで実行します。

fw ctl get str <Name of String Kernel Parameter> [-a]

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl get str <Name of String Kernel Parameter> [-a]