セキュリティゲートウェイの暗黙のルールまたはカーネルテーブルを設定する
はじめに
管理者は、SmartConsole
Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。でセキュリティ・ポリシーやその他の検査設定を行います。
ポリシーのインストール時に、Management Server Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。は該当するファイルを作成し、対象のSecurity Gatewayに転送します。
に基づいて、管理サーバがこれらのファイルを作成します。
-
SmartConsoleのセキュリティポリシーについて
-
SmartConsoleのグローバルプロパティ
-
セキュリティゲートウェイ
Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。プロパティ -
様々なネットワークプロトコルの検査を制御する、管理サーバ上の複数の設定ファイル
管理サーバ上でこれらの設定ファイルを変更し、ネットワークにおける検査を細かく調整することが可能です(Check Point INSPECTの言語)。
これらの設定ファイルには、大きく分けて2つのカテゴリがあります。
-
管理サーバと同じソフトウェアバージョンを持つSecurity Gateway用のファイルです。
-
管理サーバより下位のソフトウェアバージョンを持つSecurity Gateway用のファイルです。このカテゴリーを「後方互換性」と呼びます。
設定ファイル
|
ファイル名 |
コントロールズ |
ロケーション |
|---|---|---|
|
|
ユーザが定義した暗黙のルール |
|
|
|
デフォルトの暗黙のルール。 |
|
|
|
各種カーネルテーブルの定義。 |
|
|
|
VPN暗号化マクロ。 |
|
|
|
VPNデータを保持する様々なカーネルテーブルの定義。 例えば、VPNタイムアウト、VPNトンネル数、特定のカーネルテーブルをクラスタ |
|
|
|
X11 サーバ(X Window System)トラフィック用の VPN 暗号化マクロ。 |
|
|
|
各種ネットワークプロトコルのパケットインスペクションの定義。 |
|
|
|
DHCPトラフィックのパケットインスペクションの定義 - DHCP Request、DHCP Reply、DHCP Relay。 |
|
|
|
GTP(GPRS Tunnelling Protocol)トラフィックのパケットインスペクションの定義。 |
設定手順
-
セキュリティ管理サーバのコマンド ラインに接続します。
-
エキスパートモード
CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。 -
現在のファイルをバックアップします。
cp -v /<Full Path to File>/<File Name>{,_BKP}例:
cp -v $FWDIR/conf/user.def.FW1{,_BKP} -
現在のファイルを編集します:
vi /<Full Path to File>/<File Name>例:
vi $FWDIR/conf/user.def.FW1 -
該当する SK の記事、またはチェック・ポイントの指示に従って、該当する変更を行います。
-
変更内容をファイルに保存し、エディタを終了します。
-
SmartConsoleでSecurity Management Server
Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。にアクセスします。 -
SmartConsoleで、該当するセキュリティゲートウェイまたはクラスタオブジェクトにAccess Control Policyをインストールします。
はじめに
管理者は、SmartConsoleでセキュリティ・ポリシーやその他の検査設定を行います。
ポリシーのインストール時に、Management Serverは該当するファイルを作成し、対象のSecurity Gatewayに転送します。
に基づいて、管理サーバがこれらのファイルを作成します。
-
SmartConsoleのセキュリティポリシーについて
-
SmartConsoleのグローバルプロパティ
-
セキュリティゲートウェイプロパティ
-
様々なネットワークプロトコルの検査を制御する、管理サーバ上の複数の設定ファイル
管理サーバ上でこれらの設定ファイルを変更し、ネットワークにおける検査を細かく調整することが可能です(Check Point INSPECTの言語)。
これらの設定ファイルには、大きく分けて2つのカテゴリがあります。
-
管理サーバと同じソフトウェアバージョンを持つSecurity Gateway用のファイルです。
-
管理サーバより下位のソフトウェアバージョンを持つSecurity Gateway用のファイルです。このカテゴリーを「後方互換性」と呼びます。
設定ファイル
|
ファイル名 |
コントロールズ |
ロケーション |
|---|---|---|
|
|
ユーザが定義した暗黙のルール。 |
|
|
|
デフォルトの暗黙のルール。 |
管理サーバ上のimplied_rules.defファイルの場所を参照してください。 |
|
|
各種カーネルテーブルの定義。 |
|
|
|
VPN暗号化マクロ。 |
|
|
|
VPNデータを保持する様々なカーネルテーブルの定義。 例えば、VPNタイムアウト、VPNトンネル数、特定のカーネルテーブルをクラスタメンバ間で同期させるかどうか、などです。 |
|
|
|
X11 サーバ(X Window System)トラフィック用の VPN 暗号化マクロ。 |
|
|
|
各種ネットワークプロトコルのパケットインスペクションの定義。 |
|
|
|
DHCPトラフィックのパケットインスペクションの定義 - DHCP Request、DHCP Reply、DHCP Relay。 |
|
|
|
GTP(GPRS Tunnelling Protocol)トラフィックのパケットインスペクションの定義。 |
設定手順
-
管理サーバのコマンドラインに接続します。
-
エキスパートモードにログインします。
-
マルチドメインサーバで、該当するドメイン管理サーバのコンテキストに移動します。
mdsenv <IP Address or name of Domain Management Server> -
現在のファイルをバックアップします。
cp -v /<Full Path to File>/<File Name>{,_BKP}例:
cp -v $FWDIR/conf/user.def.FW1{,_BKP} -
現在のファイルを編集します:
vi /<Full Path to File>/<File Name>例:
vi $FWDIR/conf/user.def.FW1 -
該当する SK の記事、またはチェック・ポイントの指示に従って、該当する変更を行います。
-
変更内容をファイルに保存し、エディタを終了します。
-
SmartConsoleで、該当するセキュリティゲートウェイまたはクラスタオブジェクトにAccess Control Policyをインストールします。
マルチドメインサーバでは、SmartConsoleで該当するドメイン管理サーバに接続します。
