リモートアクセスVPN用のポリシーを設定する

-
必要なセキュリティゲートウェイ
Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。/クラスタ
冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。メンバをインストールし、そのインタフェースを設定します。
詳細については、R81.10 Installation and Upgrade Guideを参照してください。
-
SmartConsole
Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、新しいオブジェクトを作成します。
詳細については、R81.10 Security Management Administration Guide > Managing Objectsの章を参照してください。
-
SIC
Secure Internal Communication。安全な通信のために、CheckPointソフトウェアを実行するCheckPointコンピュータがSSLを介して相互に認証するCheckPoint独自のメカニズム。この認証は、ICAがCheck Point Management Serverで発行した証明書に基づいています。(Secure Internal )通信を確立します。
詳細については、R81.10 Security Management Administration Guide > Secure Internal Communications (SIC)の章を参照してください。
-
インタフェースを取得し、そのトポロジーを設定します。
詳細については、R81.10 Gaia Administration Guide > Network Managementの章 > Network Interfacesトピックを参照してください。

-
Security Gatewayネットワークオブジェクトを作成します。
-
General Properties ページで、VPN を選択します。
-
VPNモジュールとSecurity Management Server
Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。間の安全な通信チャネルを初期化するには、以下のようにクリックします。 Communication
-
Topology ページで、インタフェースと VPN ドメインを定義します。
ICA
内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。は、Security Gatewayの証明書を自動的に作成します。

詳細については、R81.10 Security Management Administration Guide > Managing Objectsの章を参照してください。

-
オブジェクトバーから、VPN Communities をクリックします。
-
RemoteAccess をダブルクリックします。
Remote Accessウィンドウが開きます。
-
Participating Gateways ページで、「追加」ボタンをクリックし、リモートアクセスコミュニティにあるセキュリティゲートウェイを選択します。
-
Participating User Groups ページで、Add ボタンをクリックし、リモートアクセスユーザを含むグループを選択します。
-
OKをクリックします。
-
変更内容を公開します。

これらのルール 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。は、リモートアクセスVPN
リモートアクセスクライアント(Endpoint Security VPNなど)とSecurity Gatewayの間の暗号化されたトンネル。クライアントからSecurity Gatewayの背後にある内部リソースへのトラフィックに適用されます。
詳しくは、> R81.10 Security Management Administration Guide > 「アクセス制御ポリシーの作成」章をご覧ください。
カラム |
説明 |
---|---|
発信元 |
該当するHost、Network、Group、User、Access Roleの各オブジェクトを選択します。 |
宛先 |
該当するHost、Network、Groupの各オブジェクトを選択します。 |
VPN |
リモートアクセスVPNコミュニティ |
サービス& アプリケーション |
特定のサービスオブジェクトのみを選択し、可能な限り制限的なルールを作成します。 |
アクション |
該当するアクションを選択します。 |
例:
発信元 |
宛先 |
VPN |
サービス& アプリケーション |
アクション |
---|---|---|---|---|
Office_Mode_Network |
MyWebServer |
RemoteAccess |
http |
許可 |

Security Gatewayまたはクラスタオブジェクトにアクセスコントロールポリシーをインストールします。

リモートアクセスコミュニティに参加しているユーザの暗号化プロパティは、デフォルトで設定されています。暗号化アルゴリズム、データ整合性方式、および/またはDiffie-Hellmanグループを変更する必要がある場合、すべてのユーザに対してグローバルにこれを行うか、ユーザごとにプロパティを設定することができます。
ユーザ暗号化プロパティをグローバルに変更する場合。
-
メニュー]から[Global Properties ]をクリックします。
-
ナビゲーションツリーでRemote Access > VPN- Authentication and Encryptionをクリックします。
-
Encryption algorithmsセクションで、Editをクリックします。
Encryption Propertiesウィンドウが開きます。
-
IKE Security Association (Phase 1)タブで、必要な設定を行います。
-
Support encryption algorithms - リモートホストでサポートされる暗号化アルゴリズムを選択します。
-
Use encryption algorithms - 選択したアルゴリズムのうち、最も優先度の高い暗号化アルゴリズムを選択します。使用する暗号化アルゴリズムを複数選択した場合、このフィールドで選択されたアルゴリズムが使用されます。
-
Support Data Integrity - データの整合性を確保するために、リモートホストでサポートされるハッシュアルゴリズムを選択します。
-
Use Data Integrity - ここで選択されたハッシュアルゴリズムは、複数の選択肢が提示された場合、最も高い優先順位が与えられます。
-
Support Diffie-Hellman groups - リモートホストでサポートされるDiffie-Hellmanグループを選択します。
-
Use Diffie-Hellman group - クライアントユーザは、このフィールドで選択されたDiffie-Hellmanグループを利用します。
-
-
OKをクリックします。
-
インストールポリシーです。
指定したユーザに対して暗号化ポリシーを設定するには
-
Global Properties を開き、Remote Access > Authentication and Encryption をクリックします。
-
Encryption algorithmsセクションで、Editをクリックします。
-
Encryption Properties ウィンドウで、IPSEC Security Association (Phase 2) タブをクリックします。
-
Enforce Encryption Algorithm and Data Integrity on all usersをクリアします。
-
OK をクリックし、Global Properties のウィンドウを閉じます。
-
各ユーザの場合。
-
オブジェクトバーから、ユーザをダブルクリックします。
-
ナビゲーションツリーでEncryptionをクリックします。
-
Editをクリックします。
IKE Phase 2 Properties ウィンドウが表示されます。
-
Encryption タブをクリックします。
-
Defined belowをクリックします。
-
Encryption AlgorithmとData Integrityを設定します。
-
OK をクリックし、User Properties のウィンドウを閉じます。
-
-
インストールポリシーです。