1つの仮想システムに対するSmartConsoleでのミラーリングと復号化の設定

1つの仮想システムのワークフロー:

  1. 仮想システムのオブジェクトで HTTPS 検査を有効にします ( HTTPS トラフィックを復号化するため )。

    ステップ

    手順

    a

    SmartConsole閉じた Check Point環境の管理に使用されるCheck Point GUIアプリケーション。セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなどを行う。で管理サーバに接続します。

    b

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    c

    Virtual Systemオブジェクトを開きます。

    ナビゲーションツリーでHTTPS Inspectionをクリックします。

    e

    証明書の表示とエクスポート

    f

    Enable HTTPS Inspection をチェックする。

    g

    クリックOK

  2. HTTPSトラフィックを復号化するための)HTTPS検査ルールベースを設定する。

    ステップ

    手順

    a

    左側のナビゲーションパネルでSecurity Policiesをクリックします。

    b

    左側のツリーから、HTTPS Inspection をクリックします。

    HTTPSインスペクション閉じた SSL(Secure Sockets Layer)プロトコルによって暗号化されたトラフィックにマルウェアや不審なパターンがないか検査するセキュリティゲートウェイの機能(同義語: SSLインスペクション、略語: HTTPSI、HTTPSi)。ルールベースを設定します。

    参照: R81.20 Security Management Administration Guide

    より詳細な設定については、HTTPS Tools セクションで、Additional Settings をクリックしてください。

    e

    SmartConsoleセッションを公開する。

  3. 仮想システムのオブジェクトに指定の物理インタフェースを追加します。

    ステップ

    手順

    a

    SmartConsoleで、Virtual Systemオブジェクトを開きます。

    b

    ナビゲーションツリーでTopologyをクリックします。

    c

    上部のツールバーから、New >Regular をクリックします。

    General タブ:

    1. Interface フィールドで、指定された物理インタフェースを選択する。

    2. IPv4 Configurationセクションで:

      • IP Address 、ダミーのIPアドレスをフィールドに入力する。

      • Net Mask フィールドに、該当するネットマスクを入力する。

      重要- このIPアドレスは、お使いの環境で使用されている他のIPアドレスと衝突することはできません。このIPアドレスは、あなたの環境で使用されているサブネットに属することはできません。正しいサブネットマスクを設定してください。SmartConsoleでこのインタフェースのトラフィックミラーリングを有効にすると、このインタフェースにルーティングされる他のすべてのトラフィックがドロップされます。

    3. Propagate route to adjacent Virtual Devices (IPv4) をチェックしないでください。

    4. MTU 」フィールドに、該当するMTUを入力する。

      参照: ミラーリングと復号の要件

    5. Security Zone フィールドでは、デフォルトのNone のままにする。

    6. クリックOK

  4. 仮想システムのオブジェクトでMirrorとDecryptをアクティブにする。

    ステップ

    手順

    a

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    b

    Virtual Systemオブジェクトを開きます。

    c

    左のツリーから、[+] の近くにあるOther をクリックし、Mirror and Decrypt をクリックします。

    Mirror gateway traffic to interface をチェックする。

    Mirror and Decrypt - User Disclaimerウィンドウが開きます。

    1. 本文をよく読んでください。

    2. I agree to the terms and conditions をチェックする。

    3. クリックOKをクリックし、免責事項を承認して閉じます。

    e

    Mirror gateway traffic to interface フィールドで、指定された物理インタフェースを選択する。

    f

    クリックOKをクリックして変更を保存し、仮想システムのプロパティウィンドウを閉じます。

  5. ミラーリングおよび復号化するトラフィックに対して、アクセス制御ポリシーでミラーリングおよび復号化ルールを設定します。

    ベストプラクティス- MirrorルールとDecryptルールを含む新しい別のアクセスコントロールレイヤーを構成することをお勧めします。あるいは、通常のルールベースでミラーリングルールと復号ルールを設定することもできます。

    重要- ミラーおよび復号ルールを構成する場合、以下の制限が適用されます:

    以下の手順では、SmartConsoleの個別のAccess Control Layerでミラーリングと復号のルールを設定する方法を説明します:

    ステップ

    手順

    a

    左側のナビゲーションパネルでSecurity Policiesをクリックします。

    b

    アクセスコントロールポリシーに新しいアクセスコントロールレイヤーを作成する。

    c

    SmartConsole の左上で、Menu >Manage policies and layers をクリックします。

    既存のポリシーを選択し、Edit (鉛筆のアイコン)をクリックします。

    あるいは、新しいポリシーを作成する。

    e

    Policy ウィンドウのナビゲーション・ツリーから、General をクリックする。

    f

    Policy Types セクションでは、のみをAccess Control選択してください。

    g

    Access Control セクションで、+ (プラス)アイコンをクリックする。ポップアップウィンドウが開く。

    h

    このポップアップウィンドウの右上隅で、New Layer をクリックする。

    Layer Editorウィンドウが開きます。

    i

    Layer Editor ウィンドウのナビゲーション・ツリーから、General をクリックする。

    j

    Blades セクションでは、のみをFirewall選択してください。

    k

    Layer Editor ウィンドウの他のページで、該当する追加アプリケーション設定を行う。

    クリックOK

    l

    Access Control セクションでは、Network レイヤーと新しいAccess Control レイヤーが表示されます。

    m

    クリックOKをクリックして変更を保存し、Policy ウィンドウを閉じます。

    n

    SmartConsoleの上部にある、該当するポリシーのタブをクリックします。

    o

    Access Control セクションで、新しいアクセスコントロールレイヤーをクリックする。

    デフォルトのルールでは、Action カラムをDrop からAccept に変更して、ポリシーの実施に影響を与えないようにする必要があります:

    • Name- テキスト

      重要- これらの文字列は使用できません

      <M&D><M&d>,<m&D>, または<m&d>

    • Source-*Any

    • Destination-*Any

    • VPN-*Any

    • Services & Applications-*Any

    • Action- 以下を含むコンテナAccept

    • Track-None

    • Install On-*Policy Targets

    p

    既存のクリーンアップ・ルールの上に、ミラーリングと復号化を行うトラフィックに該当するルールを追加する。

    MirrorルールとDecryptルールは以下のように設定する必要がある:

    • Name- これらの文字列のいずれかを含まなければならない(角括弧<> は必須):

      • <M&D>

      • <M&d>

      • <m&D>

      • <m&d>

    • Source- 該当するオブジェクトを選択

    • Destination- 該当するオブジェクトを選択

    • VPN- デフォルトのまま*Any

    • Services & Applications- 該当するサービスを選択します(HTTPSトラフィックを復号フクゴウ化するには、該当するHTTP、HTTPS、またはプロキシサービスを選択します)。

    • Action- 以下を含むコンテナAccept

    • Track- 該当するオプションを選択 (None,Log, またはAlert)

    • Install On- これらのオブジェクトのいずれかを含むコンテナでなければならない:

      • *Policy Targets(これはデフォルトです)

      • セキュリティゲートウェイ、またはクラスタオブジェクトのバージョンがR80.20 以上である。

     

    重要:

    • ミラーリングおよび復号化ルールでは、アプリケーション、URLフィルタリング、IPプロトコルによって一致するサービス、コンテンツ認識などのコンテンツ基準を選択してはなりません。

    • ミラーリングルールと復号化ルールの上に、アプリケーション、URLフィルタリング、IPプロトコルによって一致するサービス、コンテンツ認識などのコンテンツ基準を含む他のルールを設定してはなりません。

    • ミラーリングルールと復号化ルールの上に、除外されたソースまたは除外された宛先を含むルールを構成する必要があります。

      これらのルールのName カラムには、これらの文字列を含めることはできない:<M&D> <M&d>,<m&D>, または<m&d>

    q

    SmartConsoleセッションを公開する。

    r

    アクセスコントロールポリシーをインストールします。

    s

    ミラーリングおよび復号フクゴウ化ルールにおいて、TrackLog に設定した場合、設定された文字列を含むAccess Rule Name によって、このルールのログをフィルタリングすることができる:

    <M&D><M&d>,<m&D>, または<m&d>