当初の方針
|
|
重要 - このセクションは、スケーラブルなプラットフォーム(MaestroとChassis)には適用されません 。 |
Security Gatewayの管理者がSecurity GatewayにSecurity Policyを初めてインストールするまで、セキュリティはInitial Policyによって強制されます。
初期ポリシーは、デフォルトフィルタポリシーに定義済みの暗黙のルール
通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を追加することで動作します。
この暗黙のルールは、ほとんどの通信を禁止していますが、セキュリティポリシーのインストールに必要な通信は許可しています。
また、チェック・ポイント製品のアップグレード時、セキュリティ・ゲートウェイでSIC Secure Internal Communication。安全な通信のために、CheckPointソフトウェアを実行するCheckPointコンピュータがSSLを介して相互に認証するCheckPoint独自のメカニズム。この認証は、ICAがCheck Point Management Serverで発行した証明書に基づいています。証明書がリセットされた場合、またはチェック・ポイント製品のライセンスが失効した場合、初期ポリシーによってセキュリティ・ゲートウェイが保護されます。
|
|
注 - Check Pointのアップグレード、SIC証明書のリセット、またはライセンスの有効期限が切れた場合、初期ポリシーはユーザ定義のポリシーに上書きされます。 |
Security Gatewayのブート時に、初めてSecurity Policyがロードされるまでの一連の動作のこと。
|
ステップ |
手順 |
|---|---|
|
1 |
Security Gatewayが起動する。 |
|
2 |
Security Gateway はIP フォワーディングを無効にし、デフォルトフィルタポリシーを読み込みます。 |
|
3 |
Security Gatewayはインタフェースを設定する。 |
|
4 |
Security Gatewayのサービスが開始されます。 |
|
5 |
Security Gatewayは、ローカルディレクトリからInitial Policyを取得する。 |
|
6 |
管理者は、ユーザ定義のSecurity PolicyをManagement Server |
Security Gatewayは、管理者がユーザ定義のポリシーをインストールするまで、初期ポリシーを適用します。
それ以降の起動では、デフォルトフィルタポリシーの直後にユーザ定義ポリシーが読み込まれます。
スタンドアロン Security Gateway とセキュリティマネジメントサーバ製品が同じサーバにインストールされ、設定される構成。と分散環境では、それぞれ異なる初期設定ポリシーがあります。
-
Security Management Server
Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。とSecurity Gatewayが同じコンピュータにあるスタンドアロン構成では、Initial PolicyはCPMI管理通信のみを許可します。これにより、SmartConsole
Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。クライアントがセキュリティ管理サーバに接続することができます。 -
Security Management Serverが1台のコンピュータにあり、Security Gatewayが別のコンピュータにあるような分散型構成では、Initial Policyを使用します。
-
SIC(信頼を確立するため)とPolicyのインストールのために、cpdと fwdデーモンが通信することを許可する。
-
Security Gatewayを経由したCPMI接続を許可しない。
SmartConsoleが、初期設定のポリシーでセキュリティゲートウェイ
Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。を経由してセキュリティ管理サーバにアクセスしなければならない場合、SmartConsoleはセキュリティ管理サーバに接続できません。
-
