ネットワークリソースへのモバイルアクセスを設定する

モバイルアクセスワークフローの例

これは、モバイルアクセス閉じた 管理対象クライアントと管理対象外のクライアントにリモートアクセス VPN アクセスを提供するセキュリティゲートウェイ上の Check Point Software Blade。頭字語:MAB。のアプリケーションとリソースへのリモートアクセスを設定するための高レベルのワークフローです。

  1. SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。を使用して、Security GatewayのMobile Access Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。を有効にします。

  2. Mobile Access Configurationウィザードの手順に従って、これらの設定を行います。

    1. モバイルクライアントを選択します。

    2. モバイルアクセスポータルを定義する。

    3. Outlook Web App などのアプリケーションを定義する。

    4. ADサーバに接続し、ユーザ情報を取得します。

  3. ポリシーの種類を選択します。

    • デフォルトでは、SmartConsoleのMobile Access タブで設定されたレガシーポリシーが使用されます。

    • Mobile Access をUnified Access Control Policy に含めるには、Gateway Properties > Mobile Access でこれを選択します。

  4. Policyにルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を追加する。

    • レガシー・ポリシーについて。SmartConsoleでルールを追加します。Security Policies > Shared Policies> Mobile Access > Open Mobile Access Policy in SmartConsoleを選択します

    • Unified Access Control Policyの場合。SmartConsoleでルールを追加する> Security Policies Access Control Policy.

  5. 認証設定を Gateway Properties > Mobile Access > Authenticationで行います。

  6. このSecurity Gatewayオブジェクトにアクセスコントロールポリシーをインストールします。

    ユーザは、設定されたモバイルアクセスポータルを介して、定義された認証方法でモバイルアプリケーションにアクセスすることができます。

  7. オプション:Capsule Workspaceアプリを通じて、証明書認証でユーザに安全なアクセスを提供します。

    1. Security Gateway オブジェクト> Mobile Access > Authentication で、Settings をクリックし、Require client certificate を選択します。

    2. 証明書の作成と配布ウィザード」を使用します(Security Policies ビュー内> Client Certificates > New )。

    3. ユーザは、Capsule Workspaceアプリをダウンロードします。

    4. ユーザはCapsule Workspaceアプリを開き、Mobile Access Site Nameと必要な認証(ユーザ名やパスワードなど)を入力する。

モバイルアクセスを有効にする

モバイルアクセスウィザードで設定する

ポリシーの種類を選択し、ポリシーにルールを追加する

認証設定を行います。

 

 

 

 

 

 

ユーザは社内リソースにアクセス可能

ユーザがアプリをダウンロードし、アプリを起動し、設定を入力する。

クライアント用の証明書を生成する

アクセスコントロールポリシーをインストールします。

モバイルアクセス導入例

これは、内部ネットワーク閉じた ファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。に AD サーバと Exchange サーバを持つ Mobile Access Security Gateway の導入例です。

項目

説明

1

モバイル機器

2

モバイルアクセストンネル

3

インターネット(外部ネットワーク)

4

モバイルアクセスセキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。

5

内部ネットワークリソース、ADサーバ、Exchangeサーバ

このMobile Accessの導入例では、モバイルデバイスがMobile Accessトンネルを使用して内部ネットワークに接続します。モバイルアクセスセキュリティゲートウェイは、パケットを復号化し、ユーザを認証する。接続が許可され、モバイルデバイスは内部ネットワークリソースに接続されます。

モバイルアクセス設定ウィザードの使用

この手順では、設定ウィザードを使用してSecurity Gateway上のMobile Access Software Bladeを有効化し、設定する方法について説明します。このサンプル構成では、ADのユーザグループMobile Accessに、内部ネットワークへの接続を許可されたすべてのユーザが含まれています。この配置は、Sample Mobile Access Deployment に基づいています。

この構成により、これらのクライアントは内部リソースに接続することができます。

  • AndroidおよびiOSモバイルデバイス

  • WindowsおよびMacコンピュータ

  • インターネットブラウザは、内部ネットワークへのSSL Network Extender接続を開くことができる

Mobile Accessを設定するには

  1. SmartConsoleで、Gateways & Servers 、Security Gatewayオブジェクトをダブルクリックします。

    General Propertiesウィンドウが開きます。

  2. General Properties > Network Securityセクションで、Mobile Accessを選択します。

    Mobile Access Configuration Wizard のページ(Mobile Access )が開きます。

  3. インターネットやモバイル端末からの接続を許可するように、Security Gatewayを設定する。これらのオプションを選択します。

    • Web

    • Mobile Devices - 必要なオプションを選択します。

    • Desktops/Laptops -必要なオプションを選択します。

  4. Nextをクリックします。

    Web Portal ページが表示されます。

  5. Mobile Access Portal のプライマリ URL を入力します。

    デフォルトはhttps://<IPv4 Address of Security Gateway>/sslvpnです。

  6. Nextをクリックします。

    Applications ページが表示されます。

  7. 表示するアプリケーションを設定する。

    1. Web Applications で、Demo web application (World Clock) が選択されていることを確認します。

    2. Mail/Calendar/Contacts で、Exchange サーバのドメインを入力し、選択します。

      • Mobile Mail (including push mail notifications)

      • ActiveSync Applications

      • Outlook Web App

      Mobile Access Portalには、Demo WebとOutlook Web Appのアプリケーションへのリンクが表示されます。モバイル端末のクライアントには、他のアプリケーションへのリンクが表示されます。

  8. Nextをクリックします。

    Active Directory ページが表示されます。

  9. ADドメインを選択し、ユーザ名とパスワードを入力します。

  10. Connectをクリックします。

    Security Gatewayは、ADサーバに接続できることを確認する。

  11. Nextをクリックします。

    Users ページが表示されます。

    Add をクリックし、グループMobile Access を選択します。

  12. Nextをクリックし、Finishをクリックします。.

    Mobile Access Configuration Wizard が閉じます。

  13. OKをクリックします。。

    Gateway Properties ウィンドウが閉じます。

モバイル接続を許可する

Mobile Access Configuration Wizardは、Mobile Access Software Bladeの有効化と設定を行います。コンピュータや端末のVPNクライアントからの接続を許可するために、Firewallルールを追加する必要があります。Exchange サーバ用のホストノードオブジェクトを作成します。他のオブジェクトはすべて定義済みです。

名前

発信元

宛先

VPN

サービス

アクション

インストール

追跡

モバイルアクセスユーザ

Any

ExchngSrvr

RemoteAccess

HTTP
HTTPS
MSExchange

許可

モバイルアクセスGW

Log

RemoteAccess VPN コミュニティから Exchange サーバへのすべての接続が許可されます。これらのプロトコルのみが許可されています。HTTP, HTTPS, MS Exchange。このルールは、Security GatewayのMobileAccessGW グループにインストールされています。

アプリケーションへのアクセスを定義する

SmartConsoleのSecurity Policies ページを使用して、ユーザがMobile Accessアプリケーションにアクセスするためのルールを定義します。設定ウィザードで選択されたアプリケーションは、このページに自動的に追加されます。また、これらのSmartConsoleオブジェクトを含むルールを作成、編集することができます。

シングルサインオンの有効化

SSO(シングルサインオン)機能を有効にすると、Mobile Accessセッション中に使用するアプリケーションに対して1度だけ認証を行うことができます。ユーザがMobile Access Portalにログインするために入力した認証情報は、異なるMobile Accessアプリケーションの認証に自動的に再利用することができます。SSOのユーザ認証情報は、そのセッションのためにモバイルアクセスセキュリティゲートウェイに安全に保存され、ユーザが異なるリモートデバイスからログインした場合にも再び使用されます。セッションが完了すると、認証情報はデータベースファイルに保存されます。

デフォルトでは、HTTPを使用する新しいMobile AccessアプリケーションでSSOが有効になっています。ほとんどのWebアプリケーションは、指定されたWebフォームでユーザを認証します。モバイルアクセスポータルからの認証情報を使用するように、アプリケーションのSSOを構成することができます。ユーザがアプリケーションごとに再ログインする必要はありません。