SmartConsoleでゲートウェイモードのミラーリングと復号化を設定する
ゲートウェイモードのSecurity Gateway / Cluster / Scalable Platform Security Groupのワークフローです。
-
セキュリティゲートウェイ
Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。/クラスタ 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。のオブジェクトでHTTPSインスペクション Secure Sockets Layer (SSL) プロトコルによって暗号化されたトラフィックにマルウェアや疑わしいパターンがないか検査する、セキュリティゲートウェイの機能。同義語:SSL 検査。頭字語:HTTPSI、httpSi。を有効にする(HTTPSトラフィックを復号化するため)。手順
ステップ
手順
a
SmartConsole
Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で管理サーバに接続します。b
左側のナビゲーションパネルでGateways & Serversします。
c
Security Gateway / Cluster オブジェクトを開きます。
d
ナビゲーションツリーでHTTPS Inspectionをクリックします。
e
証明書を表示し、エクスポートします。
f
チェックEnable HTTPS Inspection.
g
OKをクリックします。。
-
HTTPS 検査ルールベース
特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。(HTTPS トラフィックの復号化用)を設定します。手順
ステップ
手順
a
左側のナビゲーションパネルでSecurity Policiesします。
b
左側のツリーから、HTTPS Inspection をクリックします。
d
HTTPS 検査ルール
通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。ベースを設定します。R81.10 Security Management Administration Guideを参照してください。
その他の設定については、HTTPS Tools セクションで、Additional Settings をクリックします。
e
SmartConsoleセッションを公開する。
-
Security Gateway / クラスタのオブジェクトでMirrorとDecryptを有効化します。
手順
ステップ
手順
a
左側のナビゲーションパネルでGateways & Serversします。
b
Security Gateway / Cluster オブジェクトを開きます。
c
左側のツリーから、Network Management をクリックします。
d
上部のツールバーから、Get Interfaces Without Topology をクリックします。
e
Mirror and Decryptに指定されたインタフェースがダミーIPアドレスでリストアップされていることを確認します。
f
MirrorとDecryptに指定されたインタフェースを選択し、Edit をクリックします。
g
ナビゲーションツリーでGeneralをクリックします。
h
Generalセクションで:
Network Typeフィールドで、Privateを選択します。
注:このフィールドはクラスタ・オブジェクトにのみ表示されます。
i
Topologyセクションで:
Modifyをクリックします。Topology Settingsウィンドウが開きます。
j
Leads Toセクションで:
-
Overrideを選択します。
-
This Network (Internal)を選択します。
-
Network defined by the interface IP and Net Maskを選択します。
k
Security Zoneセクションで:
-
User definedを選択します。
-
Specify Security Zone を確認しないでください。
l
Anti-Spoofingセクションで:
Perform Anti-Spoofing based on interface topology をクリアします。
m
OKをクリックします。 をクリックして変更を保存し、Topology Settings ウィンドウを閉じます。
n
Security Gateway / Clusterオブジェクトのナビゲーションツリーから。
Other の近くで[+] をクリックし、Mirror and Decrypt をクリックします。
o
チェックMirror gateway traffic to interface.
Mirror and Decrypt - User Disclaimerウィンドウが開きます。
-
本文をよく読んでください。
-
チェックI agree to the terms and conditions.
-
OKをクリックします。 をクリックすると、免責事項に同意して終了します。
p
Mirror gateway traffic to interface フィールドで、指定された物理インタフェースを選択します。
q
OKをクリックします。 をクリックして変更を保存し、[Security Gateway / Cluster properties]ウィンドウを閉じます。
-
-
ミラーリングと復号化を行いたいトラフィックに対して、アクセスコントロールポリシーでミラーリングと復号化のルールを設定します。
手順
ベストプラクティス- ミラーリングと復号化のルールを含む新しい別のアクセス制御レイヤーを構成することをお勧めします。また、通常のルールベースでMirrorルールとDecryptルールを設定することも可能です。
重要- ミラーリングと復号化のルールを構成する場合、これらの制限が適用されます。
-
ミラーリングと復号化のルールでは、アプリケーション、URLフィルタリング、IPプロトコルによって一致するサービス、コンテンツ認識
データの可視性と適用を提供するセキュリティゲートウェイ上のCheck Point Software Blade。sk119715 を参照してください。頭字語:CTNT。などのコンテンツ基準を選択しないようにします。 -
ミラーリングルールと復号化ルールの上に、アプリケーション、URLフィルタリング、IPプロトコルによるサービスマッチング、コンテンツ認識など、コンテンツ基準を含む他のルールを設定してはいけません。
-
ミラールールと復号化ルールの上に、除外されたソースまたは除外された宛先を含むルールを設定する必要があります。
これらのルールのName 列には、これらの文字列を含めることはできません。<M&D>,<M&d>,<m&D>, または<m&d> 。
以下の手順では、SmartConsoleの別のAccess Control Layerにミラーリングと復号化のルールを設定する方法について説明します。
ステップ
手順
a
左側のナビゲーションパネルでSecurity Policiesします。
b
アクセスコントロールポリシーに新しいアクセスコントロールレイヤーを作成します。
c
SmartConsoleの左上で、Menu > Manage policies and layers をクリックします。
d
既存のポリシーを選択し、Edit (鉛筆のアイコン)をクリックします。
または、新しいポリシーを作成します。
e
Policy ウィンドウのナビゲーションツリーから、General をクリックします。
f
Policy Types の項目で、Access Controlのみを選択していることを確認してください。
g
Access Control 」セクションで、+ (プラス)アイコンをクリックします。ポップアップウィンドウが表示されます。
h
このポップアップウィンドウの右上隅で、New Layer をクリックします。
Layer Editorウィンドウが開きます。
i
Layer Editor ウィンドウのナビゲーションツリーから、General をクリックします。
j
Blades の項目で、Firewallのみを選択していることを確認してください。
k
Layer Editor ウィンドウの他のページで、該当する設定を追加で行ってください。
OKをクリックします。。
l
Access Control セクションに、Network レイヤーと新しいAccess Control レイヤーが表示されます。
m
OKをクリックします。 をクリックして変更を保存し、Policy ウィンドウを閉じます。
n
SmartConsoleの上部にある、該当するポリシーのタブをクリックします。
o
Access Control セクションで、新しいアクセスコントロールレイヤーをクリックします。
デフォルトのルールでは、ポリシー実施に影響を与えないように、
Actionの列をDropからAcceptに変更する必要があります。-
Name - 本文
重要- これらの文字列を使用することはできません。
<M&D>、<M&d>、<m&D>、または<m&d>
-
Source - *Any
-
Destination - *Any
-
VPN - *Any
-
Services & Applications - *Any
-
Action - コンテナが必要です。 Accept
-
Track - None
-
Install On - *Policy Targets
p
既存のクリーンアップルールの上に、ミラーリングと復号化を行うトラフィックに適用できるルールを追加します。
MirrorルールとDecryptルールは、以下のように設定する必要があります。
-
Name - これらの文字列のいずれかを含む必要があります(角括弧<> は必須です)。
-
<M&D>
-
<M&d>
-
<m&D>
-
<m&d>
-
-
Source - 該当オブジェクトを選択
-
Destination - 該当オブジェクトを選択
-
VPN - デフォルトのままでなければならない
*Any -
Services & Applications - 該当するサービスを選択します(HTTPSトラフィックを復号化するには、該当するHTTP、HTTPS、またはプロキシサービスを選択します)。
-
Action - コンテナが必要です。 Accept
-
Track - 該当オプションを選択 (None、Log、またはAlert)
-
Install On - これらのオブジェクトのいずれかを含む必要がある。
-
*Policy Targets (デフォルト)
-
Security Gateway、またはクラスタオブジェクトのバージョンがR80.20 以上であること。
-
重要:
-
ミラーリングと復号化のルールでは、アプリケーション、URLフィルタリング、IPプロトコルによって一致するサービス、コンテンツ認識などのコンテンツ基準を選択しないようにします。
-
ミラーリングルールと復号化ルールの上に、アプリケーション、URLフィルタリング、IPプロトコルによるサービスマッチング、コンテンツ認識など、コンテンツ基準を含む他のルールを設定してはいけません。
-
ミラールールと復号化ルールの上に、除外されたソースまたは除外された宛先を含むルールを設定する必要があります。
これらのルールのName 列には、これらの文字列を含めることはできません。<M&D>,<M&d>,<m&D>, または<m&d> 。
q
SmartConsoleセッションを公開する。
r
アクセスコントロールポリシーをインストールします。
s
Mirror and Decryptルールで、Track をLog に設定すると、設定した文字列を含むAccess Rule Name で、このルールのログをフィルタリングすることができます。
<M&D>、<M&d>、<m&D>、または<m&d>。
-
