SmartConsoleで複数の仮想システムのミラーリングと復号化を設定する。

複数の仮想システムに対するワークフロー。

該当する仮想システムのオブジェクトで HTTPS インスペクションを有効にします (HTTPS トラフィックを復号化するため)。

手順

ステップ	手順
a	SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で管理サーバに接続します。
b	左側のナビゲーションパネルでGateways & Serversします。
c	Virtual Systemオブジェクトを開きます。
d	ナビゲーションツリーでHTTPS Inspectionをクリックします。
e	証明書を表示し、エクスポートします。
f	チェックEnable HTTPS Inspection.
g	OKをクリックします。。

HTTPS 検査ルールベース特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。（HTTPS トラフィックの復号化用）を設定します。

手順

ステップ	手順
a	左側のナビゲーションパネルでSecurity Policiesします。
b	左側のツリーから、HTTPS Inspection をクリックします。
d	HTTPS 検査ルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。ベースを設定します。 R81.10 Security Management Administration Guideを参照してください。その他の設定については、HTTPS Tools セクションで、Additional Settings をクリックします。
e	SmartConsoleセッションを公開する。

VSXゲートウェイ物理ネットワークデバイスの機能を提供するすべての仮想デバイスを含む、VSX仮想ネットワークをホストする物理サーバ。VS0と呼ばれる少なくとも1つの仮想システムを保持します。、またはVSX 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。クラスタのオブジェクトに、VLANトランクとして指定された物理インタフェースを定義する。

手順

注：レコーダーまたはパケットブローカーが、スイッチを介して VSX ゲートウェイ / VSX クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。メンバ / Scalable Platform Security Group に接続する場合、該当するスイッチポートに VLAN Trunk を設定する。本装置のVLAN Trunkポートは，該当するバーチャルシステムで設定したすべてのVLAN IDを受け入れる必要があります。

ステップ	手順
1	SmartConsoleで、VSXゲートウェイ、またはVSXクラスタのオブジェクトを開きます。
2	ナビゲーションツリーでPhysical Interfacesをクリックします。
3	指定した物理インタフェースの近くにあるボックス（VLAN Trunk ）にチェックを入れます。
4	OKをクリックします。。

各 Virtual System の Object に指定された物理インタフェースを追加します。

手順

ステップ

手順

SmartConsoleで、Virtual Systemオブジェクトを開いてください。

ナビゲーションツリーでTopologyをクリックします。

上部のツールバーから、New > Regular をクリックします。

General タブ:

Interface フィールドで、指定された物理インタフェースを選択します。

IPv4 Configurationセクションで：

IP Address フィールドには、ダミーの IP アドレスを入力します。
Net Maskフィールドに、該当する名前を入力します。

重要- このIPアドレスは、お使いの環境で使用されている他のIPアドレスと衝突することはできません。このIPアドレスは、お客様の環境で使用されているサブネットに属することはできません。サブネットマスクは正しく設定してください。SmartConsoleでこのインタフェースのトラフィックミラーリングを有効にすると、このインタフェースにルーティングされている他のトラフィックはすべてドロップされます。

Propagate route to adjacent Virtual Devices (IPv4) を確認しないでください。
MTUフィールドに、該当する名前を入力します。

ミラーリングと復号化の要件」を参照してください。
Security Zone フィールドでは、デフォルトのNone のままにしておきます。
OKをクリックします。。

該当する各Virtual Systemのオブジェクトで、MirrorとDecryptを有効にします。

手順

ステップ	手順
a	左側のナビゲーションパネルでGateways & Serversします。
b	Virtual Systemオブジェクトを開きます。
c	左のツリーから、Other の近くの[+] をクリックし、Mirror and Decrypt をクリックします。
d	チェックMirror gateway traffic to interface. Mirror and Decrypt - User Disclaimerウィンドウが開きます。本文をよく読んでください。チェックI agree to the terms and conditions. OKをクリックします。をクリックすると、免責事項に同意して終了します。
e	Mirror gateway traffic to interface フィールドで、指定された物理インタフェースを選択します。
f	OKをクリックします。をクリックして変更を保存し、［仮想システムプロパティ］ウィンドウを閉じます。

ミラーリングと復号化を行いたいトラフィックに対して、アクセスコントロールポリシーでミラーリングと復号化のルールを設定します。

手順

ベストプラクティス- ミラーリングと復号化のルールを含む新しい別のアクセス制御レイヤーを構成することをお勧めします。また、通常のルールベースでMirrorルールとDecryptルールを設定することも可能です。

重要- ミラーリングと復号化のルールを構成する場合、これらの制限が適用されます。

ミラーリングと復号化のルールでは、アプリケーション、URLフィルタリング、IPプロトコルによって一致するサービス、コンテンツ認識データの可視性と適用を提供するセキュリティゲートウェイ上のCheck Point Software Blade。sk119715 を参照してください。頭字語：CTNT。などのコンテンツ基準を選択しないようにします。
ミラーリングルールと復号化ルールの上に、アプリケーション、URLフィルタリング、IPプロトコルによるサービスマッチング、コンテンツ認識など、コンテンツ基準を含む他のルールを設定してはいけません。
ミラールールと復号化ルールの上に、除外されたソースまたは除外された宛先を含むルールを設定する必要があります。

これらのルールのName 列には、これらの文字列を含めることはできません。<M&D>,<M&d>,<m&D>, または<m&d> 。

以下の手順では、SmartConsoleの別のAccess Control Layerにミラーリングと復号化のルールを設定する方法について説明します。

ステップ

手順

左側のナビゲーションパネルでSecurity Policiesします。

アクセスコントロールポリシーに新しいアクセスコントロールレイヤーを作成します。

SmartConsoleの左上で、Menu > Manage policies and layers をクリックします。

既存のポリシーを選択し、Edit （鉛筆のアイコン）をクリックします。

または、新しいポリシーを作成します。

Policy ウィンドウのナビゲーションツリーから、General をクリックします。

Policy Types の項目で、Access Controlのみを選択していることを確認してください。

Access Control 」セクションで、+ （プラス）アイコンをクリックします。ポップアップウィンドウが表示されます。

このポップアップウィンドウの右上隅で、New Layer をクリックします。

Layer Editorウィンドウが開きます。

Layer Editor ウィンドウのナビゲーションツリーから、General をクリックします。

Blades の項目で、Firewallのみを選択していることを確認してください。

Layer Editor ウィンドウの他のページで、該当する設定を追加で行ってください。

OKをクリックします。。

Access Control セクションに、Network レイヤーと新しいAccess Control レイヤーが表示されます。

OKをクリックします。をクリックして変更を保存し、Policy ウィンドウを閉じます。

SmartConsoleの上部にある、該当するポリシーのタブをクリックします。

Access Control セクションで、新しいアクセスコントロールレイヤーをクリックします。

デフォルトのルールでは、ポリシー実施に影響を与えないように、Action の列をDrop からAccept に変更する必要があります。

Name - 本文

重要- これらの文字列を使用することはできません。

<M&D>、<M&d>、<m&D>、または<m&d>

Source - *Any
Destination - *Any
VPN - *Any
Services & Applications - *Any
Action - コンテナが必要です。 Accept
Track - None
Install On - *Policy Targets

既存のクリーンアップルールの上に、ミラーリングと復号化を行うトラフィックに適用できるルールを追加します。

MirrorルールとDecryptルールは、以下のように設定する必要があります。

Name - これらの文字列のいずれかを含む必要があります（角括弧<> は必須です）。
- <M&D>
- <M&d>
- <m&D>
- <m&d>
Source - 該当オブジェクトを選択
Destination - 該当オブジェクトを選択
VPN - デフォルトのままでなければならない *Any
Services & Applications - 該当するサービスを選択します（HTTPSトラフィックを復号化するには、該当するHTTP、HTTPS、またはプロキシサービスを選択します）。
Action - コンテナが必要です。 Accept
Track - 該当オプションを選択 (None、Log、またはAlert)
Install On - これらのオブジェクトのいずれかを含む必要がある。
- *Policy Targets (デフォルト)
- Security Gateway、またはクラスタオブジェクトのバージョンがR80.20 以上であること。

重要：

ミラーリングと復号化のルールでは、アプリケーション、URLフィルタリング、IPプロトコルによって一致するサービス、コンテンツ認識などのコンテンツ基準を選択しないようにします。
ミラーリングルールと復号化ルールの上に、アプリケーション、URLフィルタリング、IPプロトコルによるサービスマッチング、コンテンツ認識など、コンテンツ基準を含む他のルールを設定してはいけません。
ミラールールと復号化ルールの上に、除外されたソースまたは除外された宛先を含むルールを設定する必要があります。

これらのルールのName 列には、これらの文字列を含めることはできません。<M&D>,<M&d>,<m&D>, または<m&d> 。

SmartConsoleセッションを公開する。

アクセスコントロールポリシーをインストールします。

Mirror and Decryptルールで、Track をLog に設定すると、設定した文字列を含むAccess Rule Name で、このルールのログをフィルタリングすることができます。

<M&D>、<M&d>、<m&D>、または<m&d>。