comp_init_policy

重要 - このセクションは、スケーラブルなプラットフォーム(MaestroとChassis)には適用されません

説明

セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。、またはクラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。メンバの初期ポリシーを生成、ロード、または削除します。

Security Gatewayまたはクラスタ管理者がユーザー定義のSecurity PolicyをSecurity Gatewayまたはクラスタメンバに初めてインストールするまで、セキュリティはInitial Policyによって実施されます。

初期ポリシーは、チェック・ポイントの「暗黙のルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。」をデフォルト・フィルタに追加することにより、管理サーバとセキュリティ・ゲートウェイ/クラスタ・メンバ間のチェック・ポイント内部通信を許可するように動作します。

初期ポリシーは、このような場合にもセキュリティゲートウェイやクラスタメンバを保護します。

Security Gatewayは、管理者がユーザ定義のポリシーをインストールするまでは、Initialを実施する。それ以降の起動では、Security GatewayはDefault Filterの直後にユーザ定義ポリシーをロードします。

重要 - クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

注:

構文

[Expert@HostName:0]# $FWDIR/bin/comp_init_policy [-u | -U]

[Expert@HostName:0]# $FWDIR/bin/comp_init_policy [-g | -G]

パラメータ

パラメータ

説明

パラメータなし

コマンドは最後に使用したパラメータで実行されます。

-u

-U

以下の手順を実行します。

  1. 属性:InitialPolicySafe (true) を " から削除します。(FW1" セクション Check Point Registry file ($CPDIR/registry/HKLM_registry.data).

  2. $FWDIR/state/local/FW1/ ディレクトリから "InitialPolicy" ポリシーファイルを削除します。

-g

-G

以下の手順を実行します。

  1. 属性:InitialPolicySafe (true) を " から削除します。(FW1) チェックポイント・レジストリ・ファイル ($CPDIR/registry/HKLM_registry.data) の「 」セクションを参照してください。

  2. $FWDIR/state/local/FW1/ ディレクトリに "InitialPolicy" を生成します。

このパラメータは、まだ初期ポリシーが生成されていない場合に使用できます。

初期ポリシーがすでに生成されている場合は、初期ポリシーを削除した後、Security Gateway、またはクラスタメンバの$FWDIR/state/local/FW1/ ディレクトリを削除することを確認してください。

このパラメータは、初期ポリシーを生成し、Security Gatewayが次回ポリシーを取得する際 (「cpstart 」、次回起動時、または「fw fetch localhost 」コマンドで) にそれを確実にロードするようにします。

comp_init_policy -g" コマンドは、現在Security Gatewayまたはクラスタメンバにポリシーがインストールされていない場合にのみ機能します。

これらのペアのコマンドのいずれかを実行しても、元のポリシーはロードされたままです。

  • comp_init_policy -g

    fw fetch localhost

  • comp_init_policy -g

    cpstart

  • comp_init_policy -g

    reboot 

[Expert@GW:0]# cd $FWDIR/state/local/FW1/
[Expert@GW:0]#
 
[Expert@GW:0]# pwd
/opt/CPsuite-R81.10/fw1/state/local/FW1
[Expert@GW:0]#
 
[Expert@GW:0]# ls -l
total 7744
-rw-r--r-- 1 admin root   20166 Jun 13 16:34 install_policy_report.txt
-rw-r--r-- 1 admin root      55 Jun 13 16:34 install_policy_report_timing.txt
-rw-r--r-- 1 admin root   37355 Jun 13 16:34 local.Sandbox-persistence.xml
... output was cut for brevity ...
-rw-r--r-- 1 admin root    2278 Jun 13 16:34 local.vsx_cluster_netobj
-rw-r--r-- 1 admin root    5172 Jun 13 16:34 local.{939922F7-DF98-4988-B776-B70B9B8340F3}
-rw-r--r-- 1 admin root   10328 Jun 13 16:34 local.{B9D14722-3936-4B33-814B-F87EA4062BEB}
-rw-r----- 1 admin root   14743 Jun 13 16:34 manifest.C
-rw-r--r-- 1 admin root    7381 Jun 13 16:34 policy.info
-rw-r--r-- 1 admin root    2736 Jun 13 16:34 policy.map
-rw-r--r-- 1 admin root      51 Jun 13 16:34 sig.map
[Expert@GW:0]#
 
[Expert@GW:0]# comp_init_policy -u
erasing local state..
[Expert@GW:0]#
 
[Expert@GW:0]# ls -l
total 0
[Expert@GW:0]#
 
[Expert@GW:0]# comp_init_policy -g
initial_module:
Compiled OK.
initial_module:
Compiled OK.
[Expert@GW:0]#
 
[Expert@GW:0]# ls -l
total 56
-rw-rw---- 1 admin root    8 Jul 19 19:51 local.ctlver
-rw-rw---- 1 admin root 4514 Jul 19 19:51 local.fc
-rw-rw---- 1 admin root 4721 Jul 19 19:51 local.fc6
-rw-rw---- 1 admin root  235 Jul 19 19:51 local.ft
-rw-rw---- 1 admin root  317 Jul 19 19:51 local.ft6
-rw-rw---- 1 admin root  135 Jul 19 19:51 local.fwrl.conf
-rw-rw---- 1 admin root   14 Jul 19 19:51 local.ifs
-rw-rw---- 1 admin root  833 Jul 19 19:51 local.inspect.lf
-rw-rw---- 1 admin root  243 Jul 19 19:51 local.lg
-rw-rw---- 1 admin root  243 Jul 19 19:51 local.lg6
-rw-rw---- 1 admin root    0 Jul 19 19:51 local.magic
-rw-rw---- 1 admin root    3 Jul 19 19:51 local.set
-rw-rw---- 1 admin root   51 Jul 19 19:51 sig.map
[Expert@GW:0]#

ユーザ定義ポリシーのアンロード

インストールされているアクセス制御ポリシーによってSecurity Gatewayへの管理者のアクセスが妨げられたり、トラフィックが正しくドロップされない場合は、現在のユーザー定義ポリシーをアンインストールして、更新したポリシーをManagement Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。からインストールする必要があります。

ユーザー定義ポリシーをアンインストールしても、Security Gatewayとネットワークの保護が維持されるように、以下の手順を実行します。

  1. コンソールポートから問題のあるセキュリティゲートウェイ/各クラスタメンバに接続します。

    警告- SSHで接続する場合、「初期ポリシー」で接続がブロックされます。

  2. エキスパートモードにログインします。

  3. 現在のユーザ定義ポリシーファイルをバックアップする。

    cd $FWDIR/state/local/

    tar cvf /var/log/FW1_Policy_Bkp.tar FW1

  4. 現在のユーザ定義ポリシーファイルを削除します。

    rm $FWDIR/state/local/FW1/*

  5. チェック・ポイントのデフォルト・ポリシーである「InitialPolicy 」を作成します。

    comp_init_policy

  6. 初期ポリシー」を読み込む。

    fw fetch local

  7. 初期ポリシー」が読み込まれていることを確認します。

    cpstat -f policy fw | head -n 3

  8. SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、必要な変更を行い、Access ControlポリシーをSecurity Gateway / クラスタにインストールします。