サイト間VPN

Site-to-Site VPN の基本は、暗号化された VPN トンネルです。2台のセキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。がリンクをネゴシエートしてVPNトンネルを作成し、各トンネルに複数のVPN接続を含めることができます。1台のSecurity Gatewayは、同時に複数のVPNトンネルを維持することができます。

Site-to-Site VPNの導入例

項目

説明

A、B

セキュリティゲートウェイ

2

VPNトンネル

3

VPNドメイン内の内部ネットワーク閉じた ファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。

4

ホスト4

5

ホスト5

このサンプルの VPN 展開では、ホスト 4 とホスト 5 が互いにデータを安全に送信しています。セキュリティゲートウェイはIKEネゴシエーションを行い、VPNトンネルを作成する。ホスト4とホスト5の間で送信されるデータの暗号化・復号化にIPsecプロトコルを使用しています。

VPNワークフロー

ホスト4が送信

パケットをHost 5へ

セキュリティゲートウェイ A& B

VPNトンネルの作成

セキュリティゲートウェイA

データの暗号化

 

 

 

 

ホスト5が受信

非暗号化データ

セキュリティゲートウェイB

復号化データ

暗号化されたデータは、以下を経由して送信されます。

VPNトンネル

VPNコミュニティ

VPNドメインとは、VPNトラフィックを送受信するためにセキュリティゲートウェイを使用する内部ネットワークの集合体である。各Security GatewayのVPN Domainに含まれるリソースを定義する。次に、Security GatewayをVPNコミュニティ(VPNトンネルとその属性の集合体)に参加させます。異なるVPNドメインのネットワークリソースは、VPNコミュニティ内のセキュリティゲートウェイを終端とするVPNトンネルを通じて、互いに安全に通信することができます。

VPNコミュニティは、スター型とメッシュ型のトポロジーをベースにしています。Mesh コミュニティでは、各 Security Gateway のペアの間に VPN トンネルが存在します。Starコミュニティでは、各サテライトSecurity GatewayはセントラルSecurity GatewayへのVPNトンネルを持ちますが、コミュニティ内の他のSecurity GatewayへのVPNトンネルは持ちません。

Mesh Topology

 

Star Topology

 

項目

説明

1

セキュリティゲートウェイ

2

サテライト・セキュリティ・ゲートウェイ

3

セントラルセキュリティゲートウェイ

VPNスターコミュニティの設定方法について説明します。この配置では、サテライトセキュリティゲートウェイがセントラルセキュリティゲートウェイの内部ネットワークに接続することができます。内部ネットワークオブジェクト閉じた コンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。の名前は、Internal-network です。

VPN Star Communityを新規に作成する場合。

  1. SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Security Policies のページにアクセスします。

  2. Access Toolsセクションで、VPN Communitiesをクリックします。

  3. New をクリックし、Star Community を選択します。

    New Star Communityウィンドウが開きます。

  4. コミュニティの名前を入力します。

  5. ナビゲーションツリーで、Encryptionを選択します。

  6. VPNコミュニティーのVPN暗号化方式とアルゴリズムを設定する。

  7. OKをクリックします。。

VPNコミュニティ内の各Security Gatewayについて、以下の設定手順を実行します。

  1. SmartConsoleで、Gateways & Servers ページに移動し、Security Gatewayオブジェクトをダブルクリックします。

    Security Gatewayのプロパティ画面が表示されます。

  2. General Properties ページのNetwork Security の項目で、IPsec VPN を選択します。

  3. ナビゲーションツリーでNetwork Management > VPN Domainをクリックします。

    • 中央の Security Gateway の場合、Manually defined をクリックし、Internal-network オブジェクトを選択します。

    • サテライトセキュリティゲートウェイの場合、以下を選択します。 All IP addresses

  4. ナビゲーションツリーでIPsec VPNをクリックします。

  5. Security GatewayをVPNスターコミュニティのメンバとして設定する。

    1. This Security Gateway participates in the following VPN Communitiesセクションで、Addをクリックします。

      Add this Gateway to Communityウィンドウが開きます。

    2. VPN コミュニティを選択します。

    3. OKをクリックします。。

  6. OKをクリックします。。

コミュニティを作成し、セキュリティゲートウェイを設定した後、それらのセキュリティゲートウェイをセンターまたはサテライトセキュリティゲートウェイとしてコミュニティに追加します。

  1. SmartConsoleで、Security Policies のページにアクセスします。

  2. Access Toolsセクションで、VPN Communitiesをクリックします。

  3. 新しいスターコミュニティを選択し、Edit をクリックします。

    Star Communityウィンドウが開きます。

  4. Gateways ページで、Security Gateways をコミュニティに追加します。

    • Center Gateways -Add をクリックし、center Security Gateways を選択します。必要に応じて、Mesh center gateways 、を選択します。

    • Satellite Gateways -Add をクリックし、サテライトセキュリティゲートウェイを選択します。

  5. OKをクリックします。。

組合せ例 VPNコミュニティ

項目

説明

1

ロンドン・セキュリティ・ゲートウェイ

2

ニューヨーク・セキュリティ・ゲートウェイ

3

ロンドン-ニューヨーク メッシュコミュニティ

4

ロンドンの企業パートナー(外部ネットワーク)

5

ロンドン・スター・コミュニティ

6

ニューヨークの企業パートナー(外部ネットワーク)

7

ニューヨークスターコミュニティ

今回の導入は、内部ネットワークを共有するロンドンとニューヨークのSecurity GatewayのMeshコミュニティで構成されています。パートナー企業の外部ネットワーク用Security Gatewayは、ロンドン、ニューヨークの内部ネットワークにはアクセスできません。しかし、スターVPNコミュニティでは、企業のパートナーが協力する拠点の内部ネットワークにアクセスすることができます。

VPN接続の許可

特定のVPNコミュニティ内のSecurity Gateway間のVPN接続を許可するには、そのような接続を受け入れるアクセス制御ルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を追加してください。

特定のVPNコミュニティの内部ネットワーク上のホストおよびクライアントに対するすべてのVPNトラフィックを許可するには、そのVPNコミュニティのプロパティ設定ウィンドウのEncrypted Traffic のセクションでこれらのオプションを選択します。

  • メッシュ化されたコミュニティーのために。 Accept all encrypted traffic

  • スターコミュニティーのために。 Accept all encrypted traffic on Both center and satellite gateways または、Accept all encrypted traffic on Satellite gateways only

VPNアクセス制御ルールのサンプル

この表は、アクセスコントロールルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。のVPNルールの例を示しています。(Action,Track,Time の列は表示されません。ActionAllow,TrackLog,TimeAny に設定されています)。

いいえ

名前

発信元

宛先

VPN

サービス

インストール

1

-

Any

NEGATED メンバセキュリティゲートウェイ

支店・営業所
LondonOffices

Any

支店・営業所
LondonOffices

2

サイト間VPN

Any

Any

All_GwToGw

FTP-port
HTTP
HTTPS
SMTP

ポリシーの対象

3

リモートアクセス

Any

Any

RemoteAccess

HTTP
HTTPS
IMAP

ポリシーの対象

  1. BranchOffices VPN コミュニティとLondonOffices VPN コミュニティでAccept All Encrypted Traffic 設定オプションが選択されている場合に、SmartConsole がImplied Rules の先頭に追加する自動ルールです。このルールは、これらのコミュニティ内のすべてのSecurity Gatewayにインストールされます。これらのコミュニティの内部ネットワーク上のホストやクライアントへのすべてのVPNトラフィックを許可します。これらのVPNコミュニティ内のSecurity Gatewayに送信されたトラフィックはドロップされます。

    :この自動ルールは、複数のVPNコミュニティに適用することができます。

  2. Site-to-site VPN - すべてのSite-to-Site VPNコミュニティのVPN Domainに属するホスト間の接続が許可されます。これらのプロトコルのみが許可されています。FTP, HTTP, HTTPS, SMTP。

  3. Remote access - リモートアクセスVPNコミュニティのVPNドメインに属するホスト間の接続を許可します。これらのプロトコルのみが許可されています。HTTP、HTTPS、IMAP。

Site-to-Site VPNについてもっと知るには

Site-to-Site VPN の詳細については、R81.10 Site to Site VPN Administration Guide を参照してください。