リモート アクセス VPN

従業員がさまざまな場所やデバイスから機密情報にリモートアクセスする場合、システム管理者はこのアクセスがセキュリティ上の脆弱性にならないようにする必要があります。Check Pointのリモートアクセス VPN ソリューションを使用すると、リモートユーザと内部ネットワークとの間に VPN トンネルを構築することができます。Mobile Access Software Bladeは、リモートアクセスソリューションの機能を拡張し、多くのクライアントや導入を可能にします。

VPN接続モード

リモートクライアントが社内リソースを安全に接続する際、企業は次のような接続の課題に直面します。

  • リモートアクセスクライアントのIPアドレスが不明な場合がある

  • リモートアクセスクライアントが内部IPアドレスを持つLANに接続する(ホテルなど)

  • リモートクライアントでサポートされていないプロトコルを使う必要がある

Check Point IPsec VPN Software Blade は、このような課題を解決するために、以下のVPN接続モードを提供します。

  • オフィスモード

    リモートユーザには、ローカルISPから同一または非ルーティングIPアドレスを割り当てることができます。オフィスモードは、これらのルーティングの問題を解決し、内部ネットワークから利用可能なIPアドレスでIPパケットをカプセル化します。リモートユーザは、オフィスにいるのと同じようにトラフィックを送信でき、VPNルーティングの問題を回避することができます。

  • ビジターモード

    リモートユーザは、HTTPとHTTPSのプロトコルのみを使用するように制限することができます。ビジターモードでは、これらのユーザがポート443の通常のTCP接続を通じて、すべてのプロトコルをトンネリングすることができます。

リモートアクセスVPNワークフローの例

以下は、リモートアクセスVPNのワークフローの例です。

  1. SmartConsoleを使用して、Security GatewayでRemote Access VPNを有効にします。

  2. Security Management Serverにリモートユーザの情報を追加します。

    • LDAPアカウントユニットの作成と設定

    • SmartConsoleのユーザデータベースに情報を入力します。

    オプション:リモートユーザ認証用にセキュリティゲートウェイを構成する。

  3. セキュリティゲートウェイのアクセスコントロールと暗号化ルールを定義します。

  4. Security Gatewayのルールで使用するグループオブジェクトを作成します。

    • LDAP Groupオブジェクト - LDAP アカウント・ユニットの場合

    • User Groupオブジェクト - SmartConsole ユーザデータベースに設定されたユーザ用

  5. Menu >Global properties >Remote Access >VPN - Authentication and Encryption に VPN コミュニティ・オブジェクトの暗号化設定を作成し、構成する。

  6. アクセスコントロールルールベースにアクセスコントロールルールを追加し、内部ネットワークへのVPNトラフィックを許可します。

 

 

リモートアクセスVPNを有効にする

 

 

 

 

 

 

LDAPの設定
アカウントユニット

LDAP

ユーザ管理?

SmartConsole

ユーザ設定

 

 

 

設定

ユーザ認証

 

 

 

設定

ユーザ認証

 

 

 

LDAPユーザの作成
グループオブジェクト

VPNコミュニティの作成

ユーザの作成
グループオブジェクト

 

 

 

 

 

 

ルールの設定

VPNアクセス用

アクセス コントロール

ルールベース

 

 

 

 

 

 

 

 

ポリシーインストール

 

 

リモートアクセスコミュニティのセキュリティゲートウェイの設定

リモートアクセスコミュニティを設定する前に、VPN Software Bladeが有効になっていることを確認してください。

リモートアクセスVPNについて

詳細はR81.20 Remote Access VPN Administration Guide