セキュリティゲートウェイでのISP冗長性の設定

1. SmartConsole Check Point環境の管理に使用されるCheck Point GUIアプリケーション。セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなどを行う。を使用して、このセキュリティゲートウェイ / Scalable Platformセキュリティグループを管理するSecurity Management Server 単一の管理ドメイン内でCheck Point環境のオブジェクトとポリシーを管理するために、Check Pointソフトウェアを実行するCheck Point専用サーバ（同義語：Single-Domain Security Management Server）。またはドメイン管理サーバに接続します。

2. 左側のナビゲーションパネルでGateways & Serversをクリックします。

3. 該当するセキュリティゲートウェイ / セキュリティグループオブジェクトを開きます。

4. Other >ISP Redundancy をクリックします。

5. Support ISP Redundancyを選択します。

6. 冗長モードを選択します：

   • Load Sharing- トラフィックは、設定されたすべてのISPリンク上でラウンドロビン方式で送信されます。

   • Primary/Backup- トラフィックは、ISPリンクがダウンするまで、1つのISPリンクだけを経由して送信されます（ISPリンクの配置順で使用する順番が決まる）。

7. ISPリンクを設定します（最低2つ、最大10）。

   複数のISPリンクを設定するには、管理サーバとセキュリティゲートウェイ / Scalable Platformセキュリティグループで、R81.10以上のバージョンが必要です。

   手順

   ISPのデータ（リンクの速度とネクストホップのIPアドレス）を確認します。

   • もしセキュリティゲートウェイ / セキュリティグループオブジェクトに少なくとも2つのインタフェースがあり、External ページにトポロジ "Network Management" があれば、ISPリンクを自動的に設定できます。

     ISPリンクを自動的に設定する

     1. Other >ISP Redundancy をクリックします。

     2. Set initial configurationをクリックします。

        ISPリンクは自動的に追加されます。

     3. Primary/Backupモードを選択した場合は、プライマリインタフェースがリストの最初にあることを確認します。

        右にある矢印で順番を変えます。

     4. クリックOK。

   • もしセキュリティゲートウェイ / セキュリティグループオブジェクトに、Externalページで トポロジ "Network Management" を持つインタフェースが1つしかない場合、ISPリンクを手動で設定する必要があります。

     注 - トポロジ"External"を設定し、各インタフェースのセキュリティゲートウェイ / Scalable PlatformセキュリティグループでISP冗長性を使用することを推奨します。

     ISPリンクを手動で設定する

     1. Other >ISP Redundancy をクリックします。

     2. IPS Linksセクションで、Addをクリックします。

        ISP Linkウィンドウが開きます。

     3. Generalタブをクリックします。

     4. Nameフィールドに、このISPリンクの名前を入力します。

        ここで入力した名前は、ISP冗長性コマンドで使われます (CLIからISPの冗長性を制御する)。

     5. Interfaceフィールドで、このISPリンクのためのセキュリティゲートウェイ / セキュリティグループの適切なインタフェースを選択します。

        ISPリンクの1つがバックアップISPへの接続である場合は、ISP冗長性スクリプトを設定します（CLIからISPの冗長性を制御する)。

     6. Next Hop IP Addressフィールドで：

        • もしセキュリティゲートウェイ / セキュリティグループオブジェクトが、Externalページにあるトポロジ "Network Management" を持つ少なくとも2つのインタフェースを持つ場合、このフィールドは空のままにして、Get from routing tableをクリックします。ネクストホップはデフォルトゲートウェイです。

        • もしセキュリティゲートウェイ / セキュリティグループNetwork Managementページでの"External"トポロジを持つインタフェースを1つだけ持つ場合、ネクストホップのコレントIPアドレスを入力してください。

     7. 先にLoad Sharingモードを選択した場合は、Weightフィールドに該当する値を入力します。

        IPS さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイのCheck Point Software Blade（侵入防止システム）。リンク間のトラフィックの分配を均等にするために、各ISPリンクに該当する比率を入力します（100% / ISP リンク数）：

        • 2つのISPリンクの場合、それぞれに50を入力します。

        • 3つのISPリンクの場合、それぞれに33を入力します。

        • 4つのISPリンクの場合、それぞれに25を入力します。

        • など。

        ISPリンクの方が速い場合は、この値を大きくし、他のISPリンクの値を小さくして、これらの値の合計が常に100になるようにします。

     8. オプション： Advancedタブをクリックし、モニタするホストを設定し、リンクが機能していることを確認します。

        Selected hostsセクションに該当するホストオブジェクトを追加します。

     9. クリックOK。

8. セキュリティゲートウェイ / セキュリティグループをDNSサーバに設定します。

   手順

   セキュリティゲートウェイ / セキュリティグループまたはその背後にあるDNSサーバは、DNSクエリに応答しなければなりません。

   DMZ（または別の内部ネットワーク）にあるサーバのIPアドレスを解決します。

   各ISPからパブリックIPアドレスを取得します。パブリックIPアドレスが利用できない場合は、インターネットからDNSサーバにアクセスできるようにドメインを登録します。

   セキュリティゲートウェイ / セキュリティグループがドメイン内のWebサーバに対する外部ホストからのDNSクエリ「タイプA」をインターセプトします。

   • もしセキュリティゲートウェイ / セキュリティグループが外部ホストを認識すると、次のように応答します：

     • ISP冗長性Load Sharingモードでは、セキュリティゲートウェイ / セキュリティグループは、すべてのISPリンクのIPアドレスを交互に返信します。

     • ISP冗長性Primary/Backup モードでは、セキュリティゲートウェイ / セキュリティグループは、アクティブなISPリンクのIPアドレスを返信します。

   • もしセキュリティゲートウェイ / セキュリティグループがホストを認識しない場合、DNSクエリを元の宛先、またはドメインDNSサーバに渡します。

   DNSサーバを有効にするには：

   1. Other >ISP Redundancy をクリックします。

   2. Enable DNS Proxyを選択します。

   3. Configureをクリックします。

   4. DMZまたはWebサーバを追加します。

      各サーバに、各ISPからのパブリックIPアドレスを設定します。

   5. DNS TTLで、秒数を入力します。

      これは、各DNSリプライのTime To Liveを設定します。

      インターネット上のDNSサーバは、TTLよりも長い時間、DNSデータをリプライにキャッシュすることはできません。

   6. クリックOK。

   7. パブリックIPアドレスを実際のサーバのIPアドレスに変換するために、スタティックNATを設定します。

      外部クライアントは、設定されたIPアドレスのいずれかを使用します。

      注 - サーバが異なるサービス（HTTPとFTPなど）を使用する場合、設定されたパブリックIPアドレスのみに対してNATを使用することができます。

   8. アクセスコントロールポリシーのルールを定義します：

      名前	発信元	宛先	VPN	サービス&アプリケーション	アクション	追跡	インストール先
      DNSプロキシ	該当する情報源	該当するDNSサーバ	Any	domain_udp	Accept	None	Policy Targets

   ドメインを登録してIPアドレスを取得するには：

   1. 各ISPにドメインを登録します。

   2. ドメインのDNSクエリに応答するDNSサーバの設定済みIPアドレスをISPに伝える。

   3. DMZ内の各サーバについて、各ISPからパブリックIPアドレスを取得します。

   4. SmartConsole で、Menu >Global properties をクリックします。

   5. 左側のツリーから、NAT - Network Address Translation をクリックします。

   6. Manual NAT rulesセクションで、Translate destination on client sideを選択します。

   7. クリックOK。

9. ISP冗長性用のアクセスコントロールポリシーを設定します。

   手順

   アクセスコントロールポリシーは、発信接続を開始するネットワークオブジェクトにAutomatic Hide NATを使用して、ISPリンク経由の接続を許可する必要があります。

   1. 内部ネットワークのオブジェクトのプロパティで、NAT >Add Automatic Address Translation Rules を選択します。

   2. Hide behind the gatewayを選択します。

   3. クリックOK。

   4. 一般に到達可能なサーバ（Webサーバ、DNSサーバ、DMZサーバ）のルールを定義します。

      • 各ISPから1つのパブリックIPアドレスをセキュリティゲートウェイ / セキュリティグループに対して持っている場合、スタティックNATを定義します。

        特定のサーバに対して特定のサービスを許可します。

        例えば、NATルールを設定し、ISPからの着信HTTP接続がWebサーバに到達するようにし、ISPからのDNS接続がDNSサーバに到達するようにします。

        Example: Manual Static Rules for a Web Server and a DNS Server

        元のソース	元の宛先	元のサービス	変換ソース	変換宛先	変換サービス	インストール先	コメント
        Any	WebサーバのIPアドレスを持つHostオブジェクト	http	= Original	S50.50.50.2	= Original	Policy Targets	着信Web - ISP A
        Any	WebサーバのIPアドレスを持つHostオブジェクト	http	= Original	S60.60.60.2	= Original	Policy Targets	着信Web - ISP B
        Any	DNSサーバのIPアドレスを持つHostオブジェクト	domain_udp	= Original	S50.50.50.3	= Original	Policy Targets	受信DNS - ISP A
        Any	DNSサーバのIPアドレスを持つHostオブジェクト	domain_udp	= Original	S60.60.60.3	= Original	Policy Targets	受信DNS - ISP B

      • 各ISPから、一般に到達可能な各サーバのパブリックIPアドレスを持っている場合（加えてセキュリティ・ゲートウェイ / セキュリティ・グループ)、該当するNATルールを設定する：

        1. 各サーバにプライベートIPアドレスを与える。

        2. Original DestinationのパブリックIPアドレスを使用する。

        3. 変換先にはプライベートIPアドレスを使用します。

        4. Anyオリジナルサービスとして を選択する。

   注 - Manual NATを使用する場合、自動ARPはNATの後ろのIPアドレスに対して機能しません。local.arp で説明されているように、sk30197 ファイルを設定する必要があります。

10. アクセス・コントロール・ポリシーをインストールするセキュリティ・ゲートウェイ / セキュリティ・グループオブジェクトがある。