セキュリティゲートウェイの暗黙ルールまたはカーネルテーブルの設定

はじめに

管理者は、SmartConsoleでセキュリティポリシーやその他のインスペクション設定を行います。

ポリシーのインストール時に、Management Serverは該当するファイルを作成し、対象のセキュリティゲートウェイに転送します。

Management Serverではこれらのファイルを次に基づいて作成します。

  • SmartConsoleのセキュリティポリシー

  • SmartConsoleのグローバルプロパティ

  • セキュリティゲートウェイのプロパティ

  • 様々なネットワークプロトコルのインスペクションを制御するManagement Server上の複数の設定ファイル

Management Server上でこれらの設定ファイルを変更し、ネットワークにおけるインスペクションを細かく調整することが可能です(Check Point INSPECTの言語)。

これらの設定ファイルには、大きく分けて2つのカテゴリがあります。

  • Management Serverと同じソフトウェアバージョンを持つSecurity Gateway用のファイル。

  • Management Serverより下位のソフトウェアバージョンを持つSecurity Gateway用のファイル。このカテゴリは「後方互換性」と呼ばれます。

設定ファイル

ファイル名

コントロール

場所

user.def

ユーザが定義した暗黙のルール。

参照: Management Serverの'user.def'ファイルの場所

implied_rules.def

デフォルトの暗黙ルール。

参照: Management Server上の'implied_rules.def'ファイルの場所

table.def

各種カーネルテーブルの定義。

参照: Management Server上の'table.def'ファイルの場所

crypt.def

VPN暗号化マクロ。

参照: 管理サーバ上の'crypt.def 'ファイルの場所

vpn_table.def

VPNデータを保持する様々なカーネルテーブルの定義。

例えば、VPNタイムアウト、VPNトンネル数、特定のカーネルテーブルをクラスタメンバ間で同期させるかどうか、などです。

参照: Management Server上の「vpn_table.def」ファイルの場所

communities.def

X11 サーバ(X Window System)トラフィック用のVPN暗号化マクロ。

参照: 管理サーバ上の'communities.def'ファイルの場所

base.def

各種ネットワークプロトコルのパケットインスペクションの定義。

参照: 管理サーバ上の'base.def'ファイルの場所

dhcp.def

DHCPトラフィックのパケットインスペクションの定義 - DHCP Request、DHCP Reply、DHCP Relay。

参照: Management Server上の'dhcp.def'ファイルの場所

gtp.def

GTP(GPRS Tunnelling Protocol)トラフィックのパケットインスペクションの定義。

参照: Management Serverの'gtp.def'ファイルの場所

設定手順

  1. セキュリティ管理サーバのコマンド ラインに接続します。

  2. エキスパートモードにログインします。

  3. 現在のファイルをバックアップします。

    cp -v /<Full Path to File>/<File Name>{,_BKP}

    例:

    cp -v $FWDIR/conf/user.def.FW1{,_BKP}

  4. 現在のファイルを編集します:

    vi /<Full Path to File>/<File Name>

    例:

    vi $FWDIR/conf/user.def.FW1

  5. 該当するSKの記事、またはCheck Pointの指示に従って、該当する変更を行います。

  6. 変更内容をファイルに保存し、エディタを終了します。

  7. SmartConsoleでSecurity Management Serverにアクセスします。

  8. SmartConsoleで、該当するセキュリティゲートウェイまたはクラスタオブジェクトにAccess Control Policyをインストールします。

はじめに

管理者は、SmartConsoleでセキュリティポリシーやその他のインスペクション設定を行います。

ポリシーのインストール時に、Management Serverは該当するファイルを作成し、対象のセキュリティゲートウェイに転送します。

Management Serverではこれらのファイルを次に基づいて作成します。

  • SmartConsoleのセキュリティポリシー

  • SmartConsoleのグローバルプロパティ

  • セキュリティゲートウェイのプロパティ

  • 様々なネットワークプロトコルのインスペクションを制御するManagement Server上の複数の設定ファイル

Management Server上でこれらの設定ファイルを変更し、ネットワークにおけるインスペクションを細かく調整することが可能です(Check Point INSPECTの言語)。

これらの設定ファイルには、大きく分けて2つのカテゴリがあります。

  • Management Serverと同じソフトウェアバージョンを持つSecurity Gateway用のファイル。

  • Management Serverより下位のソフトウェアバージョンを持つSecurity Gateway用のファイル。このカテゴリは「後方互換性」と呼ばれます。

設定ファイル

ファイル名

コントロール

場所

user.def

ユーザが定義した暗黙のルール。

参照: Management Serverの'user.def'ファイルの場所

implied_rules.def

デフォルトの暗黙ルール。

参照: Management Server上の'implied_rules.def'ファイルの場所

table.def

各種カーネルテーブルの定義。

参照: Management Server上の'table.def'ファイルの場所

crypt.def

VPN暗号化マクロ。

参照: 管理サーバ上の'crypt.def 'ファイルの場所

vpn_table.def

VPNデータを保持する様々なカーネルテーブルの定義。

例えば、VPNタイムアウト、VPNトンネル数、特定のカーネルテーブルをクラスタメンバ間で同期させるかどうか、などです。

参照: Management Server上の「vpn_table.def」ファイルの場所

communities.def

X11 サーバ(X Window System)トラフィック用のVPN暗号化マクロ。

参照: 管理サーバ上の'communities.def'ファイルの場所

base.def

各種ネットワークプロトコルのパケットインスペクションの定義。

参照: 管理サーバ上の'base.def'ファイルの場所

dhcp.def

DHCPトラフィックのパケットインスペクションの定義 - DHCP Request、DHCP Reply、DHCP Relay。

参照: Management Server上の'dhcp.def'ファイルの場所

gtp.def

GTP(GPRS Tunnelling Protocol)トラフィックのパケットインスペクションの定義。

参照: Management Serverの'gtp.def'ファイルの場所

設定手順

  1. 管理サーバのコマンドラインに接続します。

  2. エキスパートモードにログインします。

  3. マルチドメインサーバで、該当するドメイン管理サーバのコンテキストに移動します。

    mdsenv <IP Address or name of Domain Management Server>

  4. 現在のファイルをバックアップします。

    cp -v /<Full Path to File>/<File Name>{,_BKP}

    例:

    cp -v $FWDIR/conf/user.def.FW1{,_BKP}

  5. 現在のファイルを編集します:

    vi /<Full Path to File>/<File Name>

    例:

    vi $FWDIR/conf/user.def.FW1

  6. 該当するSKの記事、またはCheck Pointの指示に従って、該当する変更を行います。

  7. 変更内容をファイルに保存し、エディタを終了します。

  8. SmartConsoleで、該当するセキュリティゲートウェイまたはクラスタオブジェクトにAccess Control Policyをインストールします。

    マルチドメインサーバでは、SmartConsoleで該当するドメイン管理サーバに接続します。