SSL Network Extender

Endpoint VPNクライアント、SSLクライアント、サードパーティ製IPsecクライアントなどのクライアントソフトウェアを使用してネットワークにアクセスするリモートユーザを指します。

セキュリティゲートウェイは、リモートクライアントに対して、Remote Access VPN Service を提供します。

チェック・ポイントのコンセプトであるリモート・アクセス・コミュニティは、社内LANの外にいるリモート・ユーザ向けに作られたVPNコミュニティ VPNゲートウェイで保護されたVPNドメインの名前付き集合体。の一種です。

オフィス・モードは、チェック・ポイントのリモート・アクセスVPNソリューションの機能です。セキュリティゲートウェイがリモートクライアントにIPアドレスを割り当てることを可能にします。

このIPアドレスは、ホームネットワークとの安全なカプセル化通信のために内部でのみ使用されるため、パブリックネットワークからは見えません。

ユーザが接続し、認証されると、割り当てが行われます。

割り当てリースは、ユーザが接続している間、更新されます。

アドレスは、一般的なIPアドレスプールから取得するか、設定ファイルを使用してユーザグループごとに指定されたIPアドレスプールから取得することができます。

訪問者モードは、Check Point のリモート・アクセス VPN ソリューションの機能です。これは、all クライアントからセキュリティゲートウェイへの通信を、ポート443 の通常の TCP 接続でトンネリングすることを可能にします。

ビジターモードは、IPsec接続をブロックするように設定されたファイアウォールやプロキシサーバに対するソリューションとして設計されています。

エンドポイントセキュリティオンデマンド（ESOD）は、エンドポイントコンピュータに内部アプリケーションへのアクセスを許可する前に、潜在的に有害なソフトウェアをスキャンするために使用される場合があります。

エンドユーザがSSL Network Extenderに初めてアクセスする際、エンドユーザのマシンにマルウェアをスキャンするActiveXコンポーネントをダウンロードするよう促されます。

スキャン結果は、Security Gatewayとエンドユーザの両方に表示されます。SSL Network Extenderへのアクセスは、管理者が設定したコンプライアンス 管理サーバのCheck Point Software Bladeを使用して、セキュリティのベストプラクティスを表示し、管理対象セキュリティゲートウェイに適用します。このSoftware Bladeには、セキュリティゲートウェイとポリシーを適切に設定するためのベースラインとして使用する、チェックポイントで定義されたセキュリティベストプラクティスのライブラリが含まれています。・オプションに基づいて、エンド・ユーザに許可/拒否されます。

ユーザグループごとのESODポリシー

ネットワークのセキュリティに対する脅威は多種多様であり、増加する脅威に対して、ユーザごとに異なる設定が必要となる場合があります。

様々なESODポリシーを設定することができるため、管理者は異なるユーザグループ間でソフトウェアのスクリーニングプロセスをカスタマイズすることができます。

審査対象となるソフトウェアの種類

ESODは、これらのマルウェアソフトウェアをスクリーニングすることができます。

1. SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。の右上のパネルObjects で、VPN Communities をクリックします。

2. RemoteAccess オブジェクトを右クリックし、New をクリックします。

3. 必要な設定を行う。

   1. オブジェクト名

   2. 参加するセキュリティゲートウェイ。

   3. 参加ユーザグループ。

4. OKをクリックします。。

R81.10 Site to Site VPN Administration Guide参照してください。

1. 左側のナビゲーションパネルでGateways & Serversします。

2. Security Gatewayオブジェクトを右クリックします。

3. ナビゲーションツリーでGeneral Propertiesをクリックします。

4. IPsec VPN Software Blade を選択します。

5. ナビゲーションツリーでIPsec VPNをクリックします。

6. リモートアクセスコミュニティにSecurity Gatewayを追加するには

   1. Addをクリックします。

   2. コミュニティを選択します。

   3. OKをクリックします。。

7. ナビゲーションツリーから、Network Management を展開し、VPN Domain をクリックします。

8. 該当するVPN Domainを設定します。

9. ビジターモードの設定を行います（セキュリティゲートウェイのプロキシ置き換えを参照）。

10. ナビゲーションツリーから、VPN Clients を展開し、Office Mode をクリックします。

11. オフィスモードの設定を行います（「IPプールの構成」を参照）。

    注 - オフィスモードのサポートは、セキュリティゲートウェイ側で必須です。

12. OKをクリックします。。

R81.10 Mobile Access Administration Guide参照してください。

1. 左側のナビゲーションパネルでGateways & Serversします。

2. Security Gatewayオブジェクトを右クリックします。

3. ナビゲーションツリーでGeneral Propertiesをクリックします。

4. Mobile Access Software Blade を選択します。

5. Mobile Access Configuration ウィザードの中で。

   1. Mobile Access ページで、Web を選択する必要があります（他の該当するオプションを選択することも可能です）。

      Nextをクリックします。。

   2. Web Portal ページで、該当する Main URL と Portal Certificate を設定します。

      Nextをクリックします。。

   3. Applications ページで、該当するオプションを設定します。

      Nextをクリックします。。

   4. Active Directory Integration のページで、該当する設定を行います。

      Nextをクリックします。。

   5. Authorized Users のページで、該当する設定を行います。

      Nextをクリックします。。

   6. Applications のページで、該当する設定を行います。

      Nextをクリックします。。

   7. Finishをクリックします。。

6. ナビゲーションツリーでMobile Accessをクリックします。

   Allowed Clients の項目で、Web が選択されていることを確認します。

7. ナビゲーションツリーでVPN Clientsをクリックします。

   1. Other が選択され、SSL Network Extender (SNX) が選択されていることを確認します。

   2. The gateway authenticates with this certificate から、すべてのSSLクライアントへの認証に使用する証明書を選択します。

8. OKをクリックします。。

1. 左上のメニューから、Global properties をクリックします。

2. 左から、Remote Access を展開し、SSL Network Extender をクリックします。

3. User Authentication の項目で、User authentication method 、該当する方法を選択します。

   • Certificate - システムは、証明書によってのみユーザを認証します。

   • Certificate with enrollment - システムは、証明書によってのみユーザを認証します。在籍は可能です。

     ユーザが証明書を持っていない場合は、以前に管理者から受け取った登録キーを使用して登録することができます。

     登録用ユーザ証明書の作成については、「内部CA証明書の管理について」を参照してください。

   • Legacy - システムは、ユーザ名と パスワードでユーザを認証します。これはデフォルトの設定です。

   • Mixed - システムは、証明書によるユーザの認証を試みます。ユーザが有効な証明書を持っていない場合、システムはユーザ名と パスワードによるユーザ認証を試みます。

4. OKをクリックします。。

1. 上部のInstall Policyをクリックします。

2. 該当するセキュリティゲートウェイを選択します。

3. Access Controlを選択します。

4. Security Gateway / Cluster オブジェクトを選択します。

5. Installをクリックします。

1. R81.10 Security Management Administration Guide > 「内部認証局（ICA 内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。）とICA管理ツール」に記載されている手順で操作してください。

   注 - このバージョンは、外部認証局への登録をサポートしていません。

2. ICA管理ツールのサイトをブラウズして、Create Certificates を選択します。

   https://<IP address of Management Server>:18265

3. ユーザ名を入力し、Initiate をクリックすると、Registration Key を受信し、ユーザへ送信します。

   ユーザが証明書を持たずにSSL Network Extenderに接続しようとすると、Enrollment のウィンドウが表示され、システム管理者から受け取った Registration Key を入力して、証明書を作成することができます。

   ユーザログインの体験については、「クライアントのダウンロードと接続」を参照してください。

   注 - システム管理者は、ユーザが現時点でSSL Network Extenderの使用を希望していなくても、登録キーを受け取り、証明書を作成できるように、以下のURLにユーザを誘導することができます。 http://<IP Address of Security Gateway>/registration.html

4. SSL Network Extenderのバージョンアップを自動的に行うかどうかを設定することができます。

   ドロップダウンリストから、クライアントのアップグレードモードを選択します。

   • Do not upgrade - 旧バージョンのユーザには、アップグレードの案内はありません。

   • Ask user - (既定) ユーザ接続時にアップグレードの可否を問う。

   • Force upgrade - 旧バージョンのユーザ、新規ユーザを問わず、すべてのユーザが最新版のSSL Network Extenderをダウンロードし、インストールします。

     注 - Force upgradeオプションは、システム管理者が、すべてのユーザに管理者権限があることを確認している場合にのみ使用してください。そうでない場合、ユーザはSSL Network Extenderに接続することができません。

   ユーザのアップグレード体験については、「クライアントのダウンロードと接続」を参照してください。

5. 対応する暗号化方式をドロップダウンリストより選択します。

   • 3DES only - デフォルト）SSL Network Extenderのクライアントは3DESのみをサポートします。

   • 3DES or RC4 - SSL Network Extenderクライアントは、3DESに加え、RC4暗号化方式をサポートしています。

6. ユーザが切断したときに、SSL Network Extenderを自動的にアンインストールするかどうかを決定することができます。

   ドロップダウンリストより、該当するオプションを選択します。

   • Keep installed - (初期設定) アンインストールしない。ユーザがSSL Network Extenderのアンインストールを希望する場合は、手動でアンインストールを行うことができます。

   • Ask user whether to uninstall - ユーザ切断時にアンインストールの可否をユーザに問う。

   • Force uninstall - ユーザが接続を切断すると、常に自動的にアンインストールされます。

   ユーザの切断時のエクスペリエンスについては、アンインストール・オン・ディスコネクト参照してください。

   注 - Uninstall-on-Disconnect 機能は、ユーザが接続中にサスペンド/ハイバーネート状態になった場合、ユーザにアンインストールするかどうかを尋ねず、SSL Network Extender をアンインストールしません。

7. Endpoint Security on Demandの起動方法を決定することができます。

   ESODが有効な場合、SSL Network Extenderに接続しようとするユーザは、SSL Network Extenderへのアクセスを許可される前に、ESODスキャンに成功することが要求されます。

   ドロップダウンリストより、該当するオプションを選択します。

   • None

   • Endpoint Security on Demand

ここでは、SSL Network Extenderのダウンロードと接続方法について説明します。

クライアントをダウンロードするには

1. Internet Explorerを使用して、でSecurity GatewayのSSL Network Extenderのポータルを参照します。

   https://<IP Address or HostName of Security Gateway>

   この「セキュリティ警告」メッセージが表示されることがあります。

   The site's security certificate has been issued by an authority that you have not designated as a trusted CA. Before you connect to this server, you must trust the CA that signed the server certificate. (The system administrator can define which CAs may be trusted by the user.) You can view in the certificate in order to decide if you wish to proceed.

   注：管理者は、ユーザを以下のURLに誘導して、このCA証明書をインストールすることで、信頼を確立し、今後このメッセージを表示しないようにすることができます。 http://<IP Address of Management Server>:18264

2. Yesをクリックします。。

   Endpoint Security on Demand が有効な場合、ESOD web page が開きます。

   ユーザが初めてESODでスキャンを行う場合、ESOD ActiveXオブジェクトをインストールする必要があります。

   ESODを初めて使用する場合、Server Confirmation のウィンドウが表示されます。ユーザは、リストされたESODサーバがリモートアクセス用の組織サイトと同一であることを確認する必要があります。

3. いずれかをクリックしてください。

   • No - エラーメッセージが表示され、ユーザはアクセスを拒否されます。

   • Yes - ESODクライアントはソフトウェアのスキャンを継続します。さらに、Save this confirmation for future use を選択すると、次にユーザがログインしようとしたときに、Server Confirmation のウィンドウが表示されなくなります。

   ユーザがESODサーバを確認した後、クライアントのマシン上でソフトウェアの自動スキャンが行われます。

   スキャンが完了すると、スキャン結果と操作方法が表示されます。

   例：

   

ESODは、有害なソフトウェアを持つユーザがネットワークにアクセスするのを防ぐだけでなく、企業のアンチウイルス セキュリティゲートウェイ上のCheck Point Software Bladeは、リアルタイムのウイルスシグネチャとThreatCloudからの異常ベースの保護を使用して、ユーザが影響を受ける前にセキュリティゲートウェイでマルウェアを検出してブロックします。頭字語：AV。やファイアウォールのポリシーに準拠することも要求しています。ユーザは、Malware 、Anti-Virus 、Firewall のスキャンに成功した場合のみ、ESODスキャンに成功したと定義される。各マルウェアはリンクで表示され、選択すると、検出されたマルウェアを説明するデータシートにリダイレクトされます。データシートには、検出されたマルウェアの名前と簡単な説明、そのマルウェアが行うこと、推奨される削除方法（複数可）が記載されています。

ユーザが利用できるオプションは、ESODサーバの管理者によって設定されます。

ダウンロードを続けるには

1. Scan Results から、リストから別の言語を選択します。

   SSL Network Extenderのポータルに接続中に言語を変更すると、ポータルから「処理を続行すると接続が切断されるため、再度接続する必要があります」と通知されます。

2. Scan Results からは、Skin ドロップダウンリストから別のスキンを選択することができます。SSL Network Extenderのポータルサイトに接続した状態で、スキンを変更することができます。

3. Continueをクリックします。

   • 設定されている認証スキームがUser Password Only の場合、SSL Network Extender Login のウィンドウが表示されます。

     User Name とPassword を入力し、OK をクリックします。

     注 - SecurIDやLDAPなどのサードパーティ認証機構を介してユーザ認証を行うよう設定されている場合、管理者はユーザにPINやパスワードの変更を要求することがあります。 この場合、ユーザがSSL Network Extenderへのアクセスを許可される前に、認証情報の変更ウィンドウが追加で表示されます。

   • 設定されている認証書方式がCertificate without Enrollment で、ユーザがすでに証明書を持っている場合。ユーザが証明書をまだ持っていない場合、アクセスは拒否されます。

   • 設定されている認証スキームがCertificate with Enrollment で、ユーザがまだ証明書を持っていない場合、Enrollment ウィンドウが表示されます。

4. Registration Key を入力し、PKCS#12 Password を選択します。

5. OKをクリックします。。

   PKCS#12 ファイルがダウンロードされます。

   この時点で、ユーザはファイルを開き、以下のようにMicrosoft証明書インポートウィザードを利用する必要があります。

   ベストプラクティス- Internet ExplorerのInternet Properties のAdvanced タブのプロパティDo not save encrypted pages to disk を設定することをユーザに強くお勧めします。これにより、証明書がディスク上にキャッシュされるのを防ぐことができます。

Microsoft証明書インポートウィザードでクライアント証明書をInternet Explorerにインポートする

Internet Explorerにクライアント証明書をインポートすることで、ブロードバンド接続の家庭用PCでも、ダイアルアップ接続の企業用ノートパソコンでも、アクセスを許可することができます。

SSL Network ExtenderがSecurity Gatewayに接続するとき、Webブラウザは自動的にクライアント証明書を使用します。

クライアント証明書をインポートする場合。

1. ダウンロードしたPKCS#12ファイルを開いてください。

   Certificate Import Wizardが開きます。

2. Nextをクリックします。。

   File to Importウィンドウが開きます。

   P12ファイル名が表示されます。

3. Nextをクリックします。。

   Password ウィンドウが表示されます。

   Strong Private Key Protection を有効にすることを強くお勧めします。

   その後、認証が必要となるたびに、ユーザは設定された同意/認証情報を要求されます。

   それ以外の場合は、ユーザに対して完全に透過的な認証が行われます。

4. パスワードを入力し、Next を2回クリックします。

   ユーザがStrong Private Key Protection を有効にした場合、Importing a New Private Exchange Key のウィンドウが表示されます。

   • OK をクリックすると、「セキュリティレベル」にデフォルト値Medium が割り当てられ、認証に証明書が必要な場合は、その都度ユーザに同意が求められます。

   • Set Security Level をクリックすると、Set Security Level のウィンドウが表示されます。High またはMedium のいずれかを選択し、Next をクリックします。

5. Finishをクリックします。。

   Import Successful ウィンドウが表示されます。

6. OKをクリックします。。

7. ブラウザを一度閉じて、再度開いてください。

   これで、インポートした証明書をログインに使用できるようになりました。

8. SSLセキュリティゲートウェイに初めて接続する場合、ベリサイン証明書のメッセージが表示され、インストールを継続するためのユーザの同意が要求されます。

   • Java Appletで接続した場合、Javaのセキュリティメッセージが表示されます。Yesをクリックします。.

   • システム管理者がアップグレードオプションを設定した場合、「アップグレードの確認」ウィンドウが表示されます。

     OK をクリックすると、再認証が必要となり、新しいSSL Network Extenderのバージョンがインストールされます。

   • Cancel をクリックすると、クライアントが正常に接続されます。

     (Upgrade Confirmation のウィンドウは1週間再表示されません)。

     SSL Network Extender ウィンドウが表示されます。

     このウィンドウには、Click here to upgrade のリンクが表示され、この時点でもユーザはアップグレードすることができます。

     Click here to upgrade リンクをクリックした場合、アップグレードを進める前に再度認証が必要です。

9. 最初の接続時に、ユーザはクライアントが特定のセキュリティゲートウェイと関連付けられていることを通知される。Yesをクリックします。

   Security Gateway のサーバ証明書が認証される。

   システム管理者がユーザにfingerprint を送信した場合、ユーザはルート CA のフィンガープリントがユーザに送信されたフィンガープリントと同一であることを確認することが強く推奨される。

   システム管理者は、SmartDashboard のCertificate Authority Properties ウィンドウで、すべての信頼できるルート CA のフィンガープリントを表示し、送信することができます。

10. ユーザが認証を必要とするプロキシサーバを使用している場合、Proxy Authentication のポップアップが表示されます。

    ユーザはプロキシのユーザ名とパスワードを入力し、OK をクリックする必要があります。

11. Windows OSで接続した場合、Windowsファイアウォールのメッセージが表示されることがあります。Unblockをクリックします。

    SSL Network Extender Connection ウィンドウを開いたまま、または最小化（システムトレイに移動）している間は、クライアントで作業することができます。

    SSL Network Extenderを初期導入すると、Check Point SSL Network Extender という新しいWindowsサービスと、新しい仮想ネットワーク・アダプタが追加されます。

    注: アダプタやサービスの設定は変更しないでください。IPの割り当て、更新、解放は自動的に行われます。 Check PointSSL Network Extender サービスは、仮想ネットワーク・アダプタと DHCP クライアント・サービスの両方に依存します。 したがって、ユーザのコンピュータでDHCPクライアントサービスを無効にすることはできません。

    製品のアンインストール時に、仮想ネットワーク・アダプタとCheck PointSSL Network Extenderサービスの両方が削除されます。

    製品のインストール、アップグレード、アンインストール後に、クライアントマシンを再起動する必要はありません。

12. 作業が終了したら、Disconnect をクリックしてセッションを終了するか、ウィンドウが最小化されている場合は、アイコンを右クリックして、Disconnect をクリックします。ウィンドウが閉じます。

SSL Network ExtenderのActiveXコンポーネントをインストールするには、通常、Administrator権限が必要です。管理者権限を持たないユーザがSSL Network Extenderを使用できるようにするために、管理者は、リモート企業インストールツール（Microsoft SMSなど）を使用して、SSL Network ExtenderのインストールをMSIパッケージとして発行し、SSL Network Extenderを構成することができます。

SSL Network ExtenderのMSIパッケージを準備します。

1. $FWDIR/conf/extender/extender.cab ファイルをWindowsマシンにコピーし、WinZipなどのアーカイブマネージャでファイルを開いてください。

2. cpextender.msi を解凍し、MSIパッケージとして、リモートインストールに使用します。

Windows、macOS、Linuxでは、管理者パスワードを知っているユーザであれば、管理者でないユーザにもSSL Network Extenderをインストールすることが可能です。

この場合、通常のSSL Network Extenderのインストールを行い、管理者パスワードを要求されたら、それを入力します。

ESODサーバをインストールし、設定した後、ESODサーバからXML設定ファイルを取り込みます。

1. 任意のコンピュータまたはサーバでブラウザを開く。

2. を参照。

   http://<Site IP Address>/<Name of Site or Virtual Directory>/sre/report.asp

3. XML ファイルをコンピュータに保存するには、Save As を使用します。

4. Security Gateway の XML ファイルを$FWDIR/conf/extender/ ディレクトリにrequest.xml という名前でコピーします。

Security Gateway / 各クラスタメンバ上のEndpoint Security on Demand (ESOD) データベースを手動でアップグレードすることができます。

1. $FWDIR/conf/extender/ICSScanner.cab パッケージを新しいパッケージと交換します。

2. $FWDIR/conf/extender/ics.html ファイルを編集します。

   1. "#Version=" で検索してください。

   2. 現在のバージョン値を新しいバージョン値で置き換える。

   3. 変更内容をファイルに保存します。

Part1 - Security Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。上。

1. セキュリティ管理サーバのコマンド ラインに接続します。

2. エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

3. $FWDIR/lib ディレクトリに移動します。

4. 該当するvpn_table.def ファイルをバックアップします。

   R81.10 Security Management Administration Guide参照してください。

5. 次のファイル名を変更します:

   vpn_table_HFA.defから

   vpn_table.defまで

Security Gateway の場合

1. ESOD サーバまたは ESOD 設定ツール（チェック・ポイントのダウンロードセンターからダウンロード可能）を使用して、各グループ用の XML ポリシーファイルを作成し、$FWDIR/conf/extender に配置します。

2. デフォルトのポリシーファイルは、request.xml という名前で作成することができます。

   これはあくまでオプションであり、グループが指定されていない場合に使用される。

3. Security Gateway または各クラスタ メンバ クラスタの一部であるセキュリティゲートウェイ。のコマンド ラインに接続します。

4. エキスパートモードにログインします。

5. $FWDIR/conf/ ディレクトリに、"ics.group"というファイルを作成します。

   これはテキストファイルで、各行にはグループ名とそのポリシーXMLファイルが列挙されているはずです。

   ics.group ファイルの例です。

   Group1 group1.xml

   Group2 group2.xml

   Group3 defGroup.xml

   Group4 defGroup.xml

   ics.group ファイルに関する重要な注：。

   • グループ名は、SmartConsoleでの名前と同じである必要があります。

   • 同じXMLファイルに対して、複数のグループを登録することができます。

   • 各グループは、ics.group ファイルに一度だけ表示される必要があります。

   • ics.group ファイルに記載されているグループのみが、そのグループ固有の XML ファイルを使用します。

     ics.group ファイルに記載されていないグループは、request.xml ファイルにあるデフォルト ポリシーを使用するようにしてください。

     request.xml ファイルが存在しない場合は、エラーが返されます。

   • デフォルトのXMLファイルrequest.xml は、ics.group ファイルに表示することができません。

6. ics.group ファイル作成後（または変更後）、policy をインストールします。

7. Security GatewayでCheck Pointのサービスを再起動します。

   重要- クラスタでは、フェイルオーバーが発生する可能性があります。

   cpstop ; cpstart

8. 各ユーザには、自分のグループに合った特定の URL を割り当てる必要があります。

   URLは、以下の形式である必要があります。 https://<IP Address of Host>/<GroupName>_ics.html

   例えば、"group1"に所属する全ユーザは、割り当てられたURLにアクセスします。https://10.10.10.10/group1_ics.html.

トラブルシューティングのヒントについては、SSL NetworkSSLネットワークエクステンダーのトラブルシューティング参照してください。

スキン・オプションの設定

Skins Optionを設定するには

skin ディレクトリは、Security Gateways の$FWDIR/conf/extender ディレクトリの中にあります。

サブディレクトリは2つあります。

• chkp: Check Point がデフォルトで提供するスキンが含まれています。アップグレードの際、このサブディレクトリは上書きされる可能性があります。

• custom: お客様が定義したスキンが含まれています。このサブディレクトリがまだ存在しない場合は、作成します。アップグレードの際、このサブディレクトリは上書きされません。新しいスキンは、このサブディレクトリに追加されます。

スキンを無効にする

1. custom ディレクトリにある、無効化する特定のスキンのサブディレクトリに入り、disable という名前のファイルを作成します。このファイルは空の可能性があります。

2. custom ディレクトリに特定のスキンが存在しない場合は、そのディレクトリを作成し、その中にdisable という名前のファイルを作成してください。

3. インストールポリシーです。

   次にユーザがSSL Network Extenderのポータルに接続したとき、このスキンは使用できません。

例

cd $FWDIR/conf/extender/skin/custom

mkdir skin1

touch disable

スキンの作成

1. custom のサブディレクトリを入力します。

2. 該当するスキン名でディレクトリを作成します。

   注：この名前がchkp で既に使用されていないことを確認してください。もしそうなら、新しいスキン定義は既存のスキン定義より優先されます（新しいスキン定義が存在する限り）。新しいスキン定義を削除すると、chkp のスキン定義が再び使用されます。

   各スキンフォルダには、これらのCSSファイルが含まれている必要があります。

   • help_data.css - OLHのメインページでは、このスタイルシートを使用しています。

   • help.css - OLHページのインナーフレームは、このスタイルシートを使用しています。

   • index.css - ESODページ、およびSSL Network Extenderのメイン・ポータル・ページは、このスタイルシートを使用しています。

   • style.css - すべてのログインページでこのスタイルシートが使用されます。

   • style_main.css - メインのSSL Network Extender Connectionページ、Proxy Authenticationページ、およびCertificate Registrationページでは、このスタイルシートが使用されています。

   ベストプラクティス- これらのファイルは、他のchkp スキンからコピーし、必要に応じて変更することをお勧めします。

3. SmartConsoleで、ポリシーをインストールします。

例

SSL Network Extenderのメインポータルページに御社ロゴを追加します。

1. cd $FWDIR/conf/extender/skin/custom

2. mkdir <skin_name>

3. cd <skin_name>

4. cp -v../../chkp/skin2/* .

5. このディレクトリにロゴ画像ファイルを配置します。

6. index.css ファイルを編集します。

7. company_logo にアクセスし、既存の URL 参照を新しいロゴ画像ファイルへの参照に置き換えます。

8. 変更内容をファイルに保存します。

9. SmartConsoleで、ポリシーをインストールします。

言語オプションの設定

Languages Optionを設定するには

languages ディレクトリは、Security Gateways の$FWDIR/conf/extender ディレクトリの中にあります。

サブディレクトリが2つある場合があります。

• chkp - Check Point がデフォルトで提供する言語が含まれています。アップグレードの際、このサブディレクトリは上書きされる可能性があります。

• custom - お客様が定義した言語がコンテナで格納されています。custom がまだ存在しない場合は、作成します。アップグレードの際、このサブディレクトリは上書きされません。新しい言語はこのサブディレクトリに追加されます。

言語を無効にする

1. 無効にする特定の言語のサブディレクトリを、custom ディレクトリ（存在する場合）に入力し、disable という名前のファイルを作成します。このファイルは空の可能性があります。

2. custom ディレクトリに特定の言語が存在しない場合は、そのディレクトリを作成し、その中にdisable という名前のファイルを作成してください。

3. SmartConsoleで、ポリシーをインストールします。

   次にユーザがSSL Network Extenderのポータルに接続するとき、この言語は使用できません。

言語の追加

1. custom のサブディレクトリを入力します。

2. 該当する言語名でフォルダを作成します。

   注：この名前がchkp で既に使用されていないことを確認してください。もしそうなら、新しい言語定義は既存の言語定義より優先されます（新しい言語定義が存在する限り）。新しい言語定義を削除すると、chkp の言語定義が再び使用されます。

3. 既存のchkp 言語のmessages.js ファイルをこのディレクトリにコピーします。

4. messages.js ファイルを編集し、引用符で括られたテキストを翻訳します。

5. 変更内容をファイルに保存します。

6. SmartConsoleで、ポリシーをインストールします。

例

1. cd $FWDIR/conf/extender/language

2. mkdir custom

3. cd custom

4. mkdir <language_name>

5. cd <language_name>

6. cp -v ../../chkp/english/messages.js .

7. messages.js ファイルを編集し、引用符で括られたテキストを翻訳します。

8. 変更内容をファイルに保存します。

9. custom/english/messages.js ファイルに、次のような行を追加します。

   <language_name>="translation of language_name";

   注-<language_name> にはスペースを入れてはいけません。

10. アクセスコントロールポリシーをインストールします。

言語を変更する

1. custom のサブディレクトリを入力します。

2. 修正する言語フォルダ（chkp ）と一致する言語名のフォルダを作成します。

3. 空のmessages.js ファイルを作成し、修正したいメッセージだけを、この形式で挿入します。

   <variable_name>="<applicable_text>";

   注：参考として、chkp/<language> にあるmessages.js ファイルを参照してください。

Check Point SSL Network Extender は、ActiveX コントロールと Cookie を使用して、インターネット経由でアプリケーションに接続します。

これらの有効化技術は、アプリケーションがお客様のコンピュータにインストールされ、適切に動作することを保証するために、特定のブラウザの設定を必要とします。

信頼済みサイト構成のアプローチには、SSL Network Extender Portalが信頼済みサイトの1つとして含まれています。

この方法は、セキュリティを低下させないので、非常におすすめです。以下の手順でブラウザの設定を行ってください。

1. Internet Explorerで、Tools > Internet Options > Security を選択します。

2. Trusted sitesを選択します。

3. Sitesをクリックします。

4. SSL Network Extender Portal の URL を入力し、Add をクリックします。

5. OK を2回クリックします。

ActiveXコントロールは、MicrosoftのCOM（Component Object Model）アーキテクチャに基づく、ソフトウェアモジュールです。基本ソフトに既成のモジュールをシームレスに組み込むことで、ソフトウエアアプリケーションに機能を追加するもの。

インターネット上では、ActiveXコントロールはWebページにリンクされ、ActiveXに対応したブラウザでダウンロードすることができる。ActiveXコントロールは、Webページを他のプログラムのように動作するソフトウェアページに変えます。

SSL Network Extenderは、そのアプリケーションでActiveXコントロールを使用することができます。ActiveXを使用するには、各アプリケーションに必要な特定のActiveXコンポーネントをダウンロードする必要があります。これらのコンポーネントは一度ロードすれば、アップグレードやアップデートが利用可能にならない限り、再度ダウンロードする必要はありません。ActiveXコンポーネントを使用したくない場合は、Javaアプレットで作業することができます。

外部のSSL Network Extender Security Gatewayに直接向けられた全てのユーザのパケットは、SSL Network Extenderによって暗号化されません。

SSLトンネルを経由して明示的にセキュリティゲートウェイに接続する必要がある場合は、暗号化ドメインの一部である内部インタフェースに接続してください。

1. SSL Network Extender Security Gatewayでは、ユーザは証明書による認証が可能です。そのため、SSL Network Extender Security Gatewayへの接続時に、以下のメッセージが表示されることがあります。"The Web site you want to view requests identification. Select the certificate to use when connecting."

   現在、このメッセージをユーザに表示するために、2つの解決策が提案されています。

   1. クライアントコンピュータで、Internet Explorerを起動します。

      Tools > Options > Security タブの下にある、Local intranet > Sites を選択します。

      これで、SSL Network Extender Security Gatewayをローカルイントラネットゾーンに追加することができ、クライアント認証のポップアップが表示されなくなりました。

      Advanced をクリックし、Security Gateway の外部 IP または DNS 名を既存のリストに追加します。

   2. クライアントコンピュータで、Internet Explorerを起動します。

      Tools > Options > Securityタブの下にある、Internet Zone > Custom Level を選択します。Miscellaneous の項目で、Don't prompt for client certificate selection when no certificates or only one certificate exists の項目で、Enable を選択します。OKをクリックします。確認ウィンドウでYesをクリックします。もう一度、OK をクリックします。

      注 - この解決策は、すべてのインターネットサイトに対するInternet Explorerの動作を変更するため、より細かい設定が必要な場合は、以前の解決策を参照してください。

2. クライアントコンピュータにEndpoint Security VPNソフトウェアがインストールされており、「透過モード」で動作するように設定されている場合、その暗号化ドメインにSSL Network Extender Security Gatewayが含まれているか、またはSSL Network Extenderの暗号化ドメインと重複していると、SSL Network Extenderが正常に動作しません。

   これを解決するには、Endpoint Security VPNで重複するサイトを無効にしてください。

3. クライアントコンピュータにEndpoint Security VPNソフトウェアがインストールされており、「接続モード」で動作するように設定されている場合、その暗号化ドメインにSSL Network Extender Security Gatewayが含まれているか、またはSSL Network Extenderの暗号化ドメインと重なっていると、SSL Network Extenderは正しく機能しません。

   これを解決するには、パラメータ "allow_clear_traffic_while_disconnected" の値がTrue (デフォルト値) になっていることを確認します。

1. ユーザがスキャンに合格しなかった（"Continue"ボタンが表示されない）。

   ユーザがポリシー要件に合致しなかったのでしょう。

   • ESOD per User Group」機能を使用する場合 - ユーザが正しいポリシーを使用していることを確認します。

   • ポリシーに基づき、ブロックしている要素を削除する方法をユーザに説明します。

2. ユーザが特定のグループの指定されたURLにアクセスできない。

   • URLに記載されているグループが、ics.groupファイルに記載されていることを、正しいXMLファイルで確認します。

   • グループに割り当てるXMLファイルが、$FWDIR/conf/extender/ ディレクトリに存在することを確認します。

   • ファイルics.group が変更されているため、ポリシーがインストールされていることを確認してください。

3. ユーザがESODスキャンに合格したのに、接続しようとすると "Wrong ESOD Scan "エラーが表示される。

   これは、ユーザが所属していないグループを対象としたスキャンに合格したことを意味します。

   • ユーザが正しいURLを使用していることを確認します。

   • SmartConsole Logs& Monitor ビューで、Logs タブを見ます。

     ログには、ユーザがどのXMLファイルをスキャンに使用したかが記載されているはずです。

   • このファイルは、ユーザのグループファイルと同じであることを確認してください。そうでない場合は、ユーザを正しいURLに誘導します。