セキュリティゲートウェイの暗黙ルールまたはカーネルテーブルの設定
はじめに
管理者は、SmartConsoleでセキュリティポリシーやその他のインスペクション設定を行います。
ポリシーのインストール時に、Management Serverは該当するファイルを作成し、対象のセキュリティゲートウェイに転送します。
Management Serverではこれらのファイルを次に基づいて作成します。
-
SmartConsoleのセキュリティポリシー
-
SmartConsoleのグローバルプロパティ
-
セキュリティゲートウェイのプロパティ
-
様々なネットワークプロトコルのインスペクションを制御するManagement Server上の複数の設定ファイル
Management Server上でこれらの設定ファイルを変更し、ネットワークにおけるインスペクションを細かく調整することが可能です(Check Point INSPECTの言語)。
これらの設定ファイルには、大きく分けて2つのカテゴリがあります。
-
Management Serverと同じソフトウェアバージョンを持つSecurity Gateway用のファイル。
-
Management Serverより下位のソフトウェアバージョンを持つSecurity Gateway用のファイル。このカテゴリは「後方互換性」と呼ばれます。
設定ファイル
ファイル名 |
コントロール |
場所 |
---|---|---|
|
ユーザが定義した暗黙のルール。 |
|
|
デフォルトの暗黙ルール。 |
|
|
各種カーネルテーブルの定義。 |
|
|
VPN暗号化マクロ。 |
|
|
VPNデータを保持する様々なカーネルテーブルの定義。 例えば、VPNタイムアウト、VPNトンネル数、特定のカーネルテーブルをクラスタメンバ間で同期させるかどうか、などです。 |
|
|
X11 サーバ(X Window System)トラフィック用のVPN暗号化マクロ。 |
|
|
各種ネットワークプロトコルのパケットインスペクションの定義。 |
|
|
DHCPトラフィックのパケットインスペクションの定義 - DHCP Request、DHCP Reply、DHCP Relay。 |
|
|
GTP(GPRS Tunnelling Protocol)トラフィックのパケットインスペクションの定義。 |
設定手順
-
セキュリティ管理サーバのコマンド ラインに接続します。
-
エキスパートモードにログインします。
-
現在のファイルをバックアップします。
cp -v /<Full Path to File>/<File Name>{,_BKP}
例:
cp -v $FWDIR/conf/user.def.FW1{,_BKP}
-
現在のファイルを編集します:
vi /<Full Path to File>/<File Name>
例:
vi $FWDIR/conf/user.def.FW1
-
該当するSKの記事、またはCheck Pointの指示に従って、該当する変更を行います。
-
変更内容をファイルに保存し、エディタを終了します。
-
SmartConsoleでSecurity Management Serverにアクセスします。
-
SmartConsoleで、該当するセキュリティゲートウェイまたはクラスタオブジェクトにAccess Control Policyをインストールします。
はじめに
管理者は、SmartConsoleでセキュリティポリシーやその他のインスペクション設定を行います。
ポリシーのインストール時に、Management Serverは該当するファイルを作成し、対象のセキュリティゲートウェイに転送します。
Management Serverではこれらのファイルを次に基づいて作成します。
-
SmartConsoleのセキュリティポリシー
-
SmartConsoleのグローバルプロパティ
-
セキュリティゲートウェイのプロパティ
-
様々なネットワークプロトコルのインスペクションを制御するManagement Server上の複数の設定ファイル
Management Server上でこれらの設定ファイルを変更し、ネットワークにおけるインスペクションを細かく調整することが可能です(Check Point INSPECTの言語)。
これらの設定ファイルには、大きく分けて2つのカテゴリがあります。
-
Management Serverと同じソフトウェアバージョンを持つSecurity Gateway用のファイル。
-
Management Serverより下位のソフトウェアバージョンを持つSecurity Gateway用のファイル。このカテゴリは「後方互換性」と呼ばれます。
設定ファイル
ファイル名 |
コントロール |
場所 |
---|---|---|
|
ユーザが定義した暗黙のルール。 |
|
|
デフォルトの暗黙ルール。 |
|
|
各種カーネルテーブルの定義。 |
|
|
VPN暗号化マクロ。 |
|
|
VPNデータを保持する様々なカーネルテーブルの定義。 例えば、VPNタイムアウト、VPNトンネル数、特定のカーネルテーブルをクラスタメンバ間で同期させるかどうか、などです。 |
|
|
X11 サーバ(X Window System)トラフィック用のVPN暗号化マクロ。 |
|
|
各種ネットワークプロトコルのパケットインスペクションの定義。 |
|
|
DHCPトラフィックのパケットインスペクションの定義 - DHCP Request、DHCP Reply、DHCP Relay。 |
|
|
GTP(GPRS Tunnelling Protocol)トラフィックのパケットインスペクションの定義。 |
設定手順
-
管理サーバのコマンドラインに接続します。
-
エキスパートモードにログインします。
-
マルチドメインサーバで、該当するドメイン管理サーバのコンテキストに移動します。
mdsenv <IP Address or name of Domain Management Server>
-
現在のファイルをバックアップします。
cp -v /<Full Path to File>/<File Name>{,_BKP}
例:
cp -v $FWDIR/conf/user.def.FW1{,_BKP}
-
現在のファイルを編集します:
vi /<Full Path to File>/<File Name>
例:
vi $FWDIR/conf/user.def.FW1
-
該当するSKの記事、またはCheck Pointの指示に従って、該当する変更を行います。
-
変更内容をファイルに保存し、エディタを終了します。
-
SmartConsoleで、該当するセキュリティゲートウェイまたはクラスタオブジェクトにAccess Control Policyをインストールします。
マルチドメインサーバでは、SmartConsoleで該当するドメイン管理サーバに接続します。