ポリシーパッケージで作業する

ポリシーパッケージアクセス制御、脅威対策、QoS、デスクトップセキュリティなど、さまざまな種類のセキュリティポリシーのコレクション。インストール後、セキュリティゲートウェイはポリシーパッケージ内のすべてのポリシーを適用します。は、さまざまな種類のポリシーの集合体です。インストール後、Security Gatewayはパッケージに含まれるすべてのポリシーを実施します。ポリシーパッケージは、これらのポリシータイプを1つまたは複数持つことができます。

Access Control - 以下のようなタイプのルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。が含まれます。
- ファイアウォール
- NAT
- アプリケーション& URLフィルタリング
- コンテンツ認識データの可視性と適用を提供するセキュリティゲートウェイ上のCheck Point Software Blade。sk119715 を参照してください。頭字語：CTNT。
QoS- 帯域管理のためのQoS セキュリティゲートウェイ上のCheck Point Software Bladeは、ポリシーベースのトラフィック帯域幅管理を提供し、ビジネスクリティカルなトラフィックに優先順位を付け、帯域幅を保証し、遅延を制御します。（クオリティ・オブ・サービス）ルール
デスクトップセキュリティ- Endpoint Security VPNリモートアクセスクライアントがスタンドアロン Security Gateway とセキュリティマネジメントサーバ製品が同じサーバにインストールされ、設定される構成。クライアントとしてインストールされているエンドポイントコンピュータ用のファイアウォールポリシーです。
脅威の防止- で構成されています。
- IPS さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade（侵入防止システム）。 - IPSサービスにより継続的に更新されるIPS保護機能
- アンチボットセキュリティゲートウェイ上のCheck Point Software Bladeは、ボットネットの動作とコマンドアンドコントロール（C＆C）センターへの通信をブロックします。頭字語：AB、ABOT。 - ボットに感染したマシンを検出し、ボットコマンドとコントロール（C&C）通信をブロックしてボットの被害を防止します。
- アンチウィルス - ヒューリスティック分析を含み、ウィルス、ワーム、その他のマルウェアをゲートウェイで阻止します。
- 脅威エミュレーション - サンドボックス内で疑わしいファイルを開くことで、ゼロデイ攻撃や高度なポリモーフィック攻撃を検知
- Threat Extraction- 企業ネットワークに入る前に、電子メールの添付ファイルから潜在的に悪意のあるコンテンツを抽出します。
HTTPS検査 - 内部のブラウザクライアントとWebサーバ間のTLS（Transport Layer Security）プロトコルによって暗号化されたトラフィックを検査するためのルールで構成されています。

重要 - 読み取り専用権限を持つ管理者がログインし、ポリシーパッケージで「デスクトップセキュリティ」ポリシーが有効になっている場合、レガシーSmartDashboard R77.30以前のバージョンでセキュリティ設定を作成および管理するために使用されるレガシーのCheckPoint GUIクライアント。バージョンでは、特定のレガシー設定を構成するために R80.X 以降が引き続き使用されます。にQoSおよびデスクトップポリシーが表示されないという問題がありました。

インストール作業の様子。

ルールに対してヒューリスティックな検証を行い、ルールの一貫性と冗長性がないことを確認します。

検証エラーが発生した場合、ポリシーはインストールされません。検証用の警告がある場合 (たとえば、複数のインターフェイスを持つ Security Gateway でスプーフィング防止が有効でない場合)、ポリシーパッケージは警告とともにインストールされます。
各Security Gatewayが少なくとも1つのルールを実施することを確認します。どのルールも適用されない場合、デフォルトのドロップルールが適用されます。
選択したインストール対象に、ユーザデータベーススマートコンソールで定義および管理されるすべてのユーザを含むCheck Point内部データベース。とオブジェクトデータベースを配布します。

組織内のサイトの種類によって、異なるポリシーパッケージを作成することができます。

例

ある組織には4つのサイトがあり、それぞれが独自の要件を備えている。各サイトでは、Security GatewayにインストールされているSoftware Bladesのセットが異なっています。

項目	セキュリティゲートウェイ	インストールされたSoftware Blade。
1	販売カリフォルニア	ファイアウォール、VPN
2	販売アラスカ	ファイアウォール、VPN、IPS、DLP
3	経営幹部	ファイアウォール、VPN、QoS、モバイルアクセス管理対象クライアントと管理対象外のクライアントにリモートアクセス VPN アクセスを提供するセキュリティゲートウェイ上の Check Point Software Blade。頭字語：MAB。
4	サーバファーム	ファイアウォール
5	インターネット

これらの異なるタイプのサイトを効率的に管理するために、3つの異なるポリシーパッケージを作成する必要があります。各パッケージには、サイトのSecurity GatewayにインストールされたSoftware Blade 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。に対応するポリシータイプの組み合わせが含まれています。例：

アクセス制御ポリシータイプを含むポリシーパッケージ。アクセス制御ポリシータイプは、ファイアウォール、NAT、アプリケーション& URL フィルタリングセキュリティゲートウェイ上のCheck Point Software Bladeにより、特定のユーザ、コンピュータ、またはネットワークのグループがアクセスできるWebサイトをきめ細かく制御できます。頭字語：URLF、およびコンテンツ認識Software Bladeを制御します。このパッケージは、VPN構成も決定します。

すべてのSecurity Gatewayオブジェクトにアクセスコントロールポリシーをインストールします。
帯域を管理するSecurity Gateway上のQoSブレードのQoSポリシータイプを含むポリシーパッケージです。

このポリシーパッケージをexecutive management Security Gateway にインストールします。
モバイルアクセスを扱うセキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。用のデスクトップセキュリティのポリシータイプを含むポリシーパッケージです。

このポリシーパッケージをexecutive management Security Gateway にインストールします。

新しいポリシーパッケージの作成

メニューから、Manage policies and layers を選択します。

Manage policies and layersウィンドウが開きます。
Newをクリックします。

New Policyウィンドウが開きます。
ポリシーパッケージの名前を入力します。
General ページ> Policy types セクションで、これらのポリシーの種類を 1 つ以上選択します。
- Access Control & HTTPS Inspection
- Threat Prevention
- QoSで、RecommendedまたはExpressを選択します。
- Desktop Security
QoS 、およびDesktop Security のポリシータイプを表示するには、1台以上のゲートウェイでこれらを有効にします。

gateway editor> General Properties > Network Security タブを開きます。
- QoSについては、以下を選択します。 QoS
- デスクトップセキュリティについては、「IPSec VPN 」を選択し Policy Server Pol
Installation targets ページで、ポリシーがインストールされるゲートウェイを選択します。
- All gateways
- Specific gateways - 各ゲートウェイについて、[+]の記号をクリックし、リストから選択します。
ポリシーパッケージを正しくインストールし、エラーをなくすために、各ポリシーパッケージは適切なインストールターゲットのセットと関連付けられています。
OKをクリックします。。
Closeをクリックします。。

新しいポリシーは、Security Policies ページに表示されます。

既存のポリシーパッケージへのポリシーの追加

メニューから、Manage policies and layers を選択します。

Manage policies and layersウィンドウが開きます。
ポリシーパッケージを選択し、Edit ボタンをクリックします。
New Policy パッケージのウィンドウが開きます。
General > Policy types ページで、追加するポリシーの種類を選択します。
- Access Control& HTTPS Inspection
- Threat Prevention
- QoSで、RecommendedまたはExpressを選択します。
- Desktop Security
OKをクリックします。。

ポリシー・パッケージのインストール

グローバルツールバーで、Install Policy をクリックします。

Install Policy ウィンドウが開き、インストール先（Security Gateways）が表示されます。
Select a policy メニューから、ポリシーパッケージを選択します。
パッケージで利用可能な1つまたは複数のポリシータイプを選択します。
Install Mode を選択します。
- Install on each selected gateway independently - 各ターゲットゲートウェイにポリシーを独立してインストールし、そのうちの1台でインストールに失敗しても、残りのターゲットゲートウェイへのインストールに影響しないようにします。
  
  注:For Gateway clusters install on all the members, if fails do not install at all を選択した場合、Security Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。は、インストールを開始する前に、すべてのクラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。メンバにポリシーをインストールできることを確認します。1つのメンバにポリシーをインストールできない場合、すべてのメンバに対してポリシーのインストールに失敗します。
- Install on all selected gateways, if it fails do not install on gateways of the same version - すべてのターゲットゲートウェイにポリシーをインストールします。1つのゲートウェイでポリシーのインストールに失敗した場合、他のターゲットゲートウェイにはポリシーがインストールされません。
Installをクリックします。。

ユーザデータベースのインストール

SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。でユーザ定義に変更を加えると、セキュリティ管理サーバ上のユーザデータベースに保存されます。ユーザの認証方法、暗号化キーもこのデータベースに保存されます。ユーザデータベースには、Security Gatewayの外部で定義されたユーザ（外部User Directoryグループのユーザなど）についての情報は含まれていませんが、外部グループそのものについての情報（たとえば、外部グループがどのAccount Unitで定義されているかなど）は含まれています。外部グループへの変更は、ポリシーがインストールされた後、またはユーザデータベースがSecurity Management Server Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。からダウンロードされた後に有効になります。

変更した内容に応じて、ポリシーまたはユーザデータベースのどちらをインストールするかを選択する必要があります。

インストール対象で使用されるポリシーパッケージの追加コンポーネントを変更した場合（新しいセキュリティポリシールールの追加など）、ポリシーをインストールします。
ユーザ定義または管理者定義のみを変更した場合は、ユーザデータベースをインストールします。 Install Database

ユーザデータベースがインストールされています。

セキュリティゲートウェイ - ポリシーインストール時
Management Software Bladeが 1 つ以上有効になっている Check Point ホスト - データベースのインストール時。

Security Management Server上のコマンドラインインターフェイスから、Security GatewayやLog Server Check Pointソフトウェアを実行してログを保存および処理する専用Check Pointサーバ。などのリモートサーバにユーザデータベースをインストールすることも可能です。

コマンドラインインターフェースからユーザデータベースをインストールするには。

Security Management Server上で、Expertモードで実行します。

fwm dbload <Main IP address of Name of Security Gateway Object>

詳しくは、R81.10 CLI Reference Guide - ChapterSecurity Management Server Commands - Sectionfwm - Sub-sectionfwm dbload をご覧ください。

注 - Management Software Bladeがアクティブでない Check Point ホストには、ユーザデータベースはインストールされません。

ポリシーパッケージのインストール

ポリシーパッケージのアンインストールは、ゲートウェイのコマンドラインインタフェースを介して行うことができます。

ポリシーパッケージをアンインストールするには

Security Groupでコマンドラインに接続します。
エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

次を実行します:

fw unloadlocal

警告

fw unloadlocal" コマンドは、Security Gateway (Cluster Member) 上の Linux カーネルの IP Forwarding を無効にするため、すべてのトラフィックが Security Gateway (Cluster Member) を通過しないようにします。
fw unloadlocal" コマンドは、Security Gateway (クラスタメンバ) からすべてのポリシーを削除します。これは、セキュリティゲートウェイ（クラスタメンバ）が、フィルタリングや保護を有効にすることなく、すべてのアクティブなインターフェイスを宛先とするすべての着信接続を受け入れることを意味します。

詳しくは、R81.10 CLI Reference Guide - ChapterSecurity Gateway Commands - Sectionfw - Sub-sectionfw unloadlocal をご覧ください。