更新可能なオブジェクト

更新可能オブジェクトの紹介

Updatable Objectは、Office 365、AWS、GEOロケーションなどの外部サービスを表すネットワークオブジェクトです。外部サービスプロバイダは、そのサービスへのアクセスを許可するために、IPアドレスまたはドメイン、あるいはその両方のリストを公開しています。これらのリストは動的に更新されます。

更新可能オブジェクトは、Check PointがCheck Pointクラウドにアップロードするプロバイダの公開リストからその内容を取得します。更新可能なオブジェクトは、プロバイダがリストを変更するたびに、Security Gateway上で自動的に更新されます。アップデートを有効にするために、ポリシーをインストールする必要はありません。

更新可能オブジェクトは、3 種類のポリシーすべてで使用できます:アクセス制御、脅威対策、HTTPS 検査です。

アクセスコントロール、Threat Prevention、またはHTTPSインスペクションポリシーの更新可能なオブジェクトをソースまたは宛先として使用することができます。Threat Preventionポリシーでは、更新可能なオブジェクトを保護スコープとして使用することもできます。

注:

  • アクセスコントロールについては、Security Gateway R80.20以降でサポートされます。

  • 脅威対策とHTTPSインスペクションについては、Security Gateway R80.40以降でサポートされる機能です。

  • 更新可能オブジェクトをネットワークグループに追加することはできません。

アクセス制御ポリシーへの更新可能オブジェクトの追加

  1. Security Management Server/ドメイン管理サーバとセキュリティ・ゲートウェイが、インターネット上のCheck Pointクラウドにアクセスできることを確認します(sk83520 を参照)。

  2. SmartConsoleでSecurity Management Server/ドメイン管理サーバに接続します。

  3. 左側のナビゲーションパネルでSecurity Policiesをクリックします。

  4. 上部パネルで、Access Control >Policy をクリックする。

  5. 必要な位置に新しいルールを追加する。

  6. Destination カラムで、+ アイコンをクリックする。

    - 更新されたオブジェクトは、Source カラムに追加することもできます。

  7. 右上の隅で、Import >Updatable Objects をクリックします。

    Updatable Objectsウィンドウが開きます。

  8. 追加する更新可能オブジェクトを選択する。

  9. クリックOK

    選択された更新可能オブジェクトがルールカラムに追加される。

  10. このルールで他のカラムを設定する。

  11. SmartConsoleセッションを公開する。

  12. アクセスコントロールポリシーをインストールします。

カスタム脅威対策ポリシーへの更新可能オブジェクトの追加

  1. セキュリティ管理サーバ/ドメイン管理サーバとゲートウェイが、インターネット上のCheck Pointクラウドにアクセスできることを確認します(sk83520 を参照)。

  2. SmartConsoleでSecurity Management Server/ドメイン管理サーバに接続します。

  3. 左側のナビゲーションパネルでSecurity Policiesをクリックします。

  4. 上部パネルで、Threat Prevention >Custom Policy をクリックする。

  5. 必要な位置に新しいルールを追加する。

  6. Protected Scope カラムで、+ アイコンをクリックする。

  7. 右上の隅で、Import >Updatable Objects をクリックします。

    Updatable Objectsウィンドウが開きます。

    - Sourceカラムにオブジェクトを追加することもできます。

  8. 追加する更新可能オブジェクトを選択する。

  9. クリックOK

    選択された更新可能オブジェクトがルールカラムに追加される。

  10. このルールで他のカラムを設定する。

  11. SmartConsoleセッションを公開する。

  12. 脅威対策ポリシーをインストールします。

HTTPS 検査ポリシーへの更新可能オブジェクトの追加

  1. セキュリティ管理サーバ/ドメイン管理サーバとゲートウェイが、インターネット上のCheck Pointクラウドにアクセスできることを確認します(sk83520 を参照)。

  2. SmartConsoleでSecurity Management Server/ドメイン管理サーバに接続します。

  3. 左側のナビゲーションパネルでSecurity Policiesをクリックします。

  4. 上部パネルで、該当するポリシーをクリックします:

    • HTTPS Inspection>Inbound Policy

    • HTTPS Inspection>Outbound Policy

  5. 必要な位置に新しいルールを追加する。

  6. Destination カラムで、+ アイコンをクリックする。

    - 更新されたオブジェクトは、Source カラムに追加することもできます。

  7. 右上の隅で、Import >Updatable Objects をクリックします。

    Updatable Objectsウィンドウが開きます。

  8. 追加する更新可能オブジェクトを選択する。

  9. クリックOK

    選択された更新可能オブジェクトがルールカラムに追加される。

  10. このルールで他のカラムを設定する。

  11. SmartConsoleセッションを公開する。

  12. HTTPS 検査ポリシーをインストールします。

更新可能オブジェクトのモニタリング

更新可能オブジェクトが対応するIPアドレスをどのように更新するかは、SmartConsoleまたはSmartViewのLogs & Events >Logs タブでモニタできます。

自分に最も適した手順に従ってください。

管理サーバによる更新可能オブジェクトの更新

重要- この機能はR81.20 Jumbo Hotfix Accumulatorテイク96以上(PMTR-102617)。

セキュリティゲートウェイがインターネットに接続されていない場合、管理サーバ(プロキシサーバとして機能する)を介して更新可能オブジェクトの更新を取得できます:

  1. セキュリティゲートウェイ/各クラスタメンバ/Scalable Platformセキュリティグループのコマンドラインに接続します。

  2. エキスパートモードにログインします。

  3. 現在の設定ファイルをバックアップする:

    cp -v $CPDIR/conf/downloads/dl_prof_ONLINE_SERVICES.xml{,_BKP}

  4. 現在の設定ファイルを編集する:

    vi $CPDIR/conf/downloads/dl_prof_ONLINE_SERVICES.xml

  5. ProxyRoute" パラメーターの値を0 から1 に変更する:

    <ProxyRoute>1</ProxyRoute>

    例(ファイルの下部を参照):

    コピー
    <?xml version="1.0" encoding="UTF-8"?>
    <DownloadPreferences>
        <ModuleName>Online_Services</ModuleName>
        <ID>111</ID>
        <Version>1.0</Version>
        <Files>online_services_gw.tgz</Files>
        <DeletionMethod>2</DeletionMethod>
        <Interval>120</Interval>
        <SVT_Log_ID>Firewall</SVT_Log_ID>
        <SVT_Log_Desc>IPs and Domains for Online Services objects</SVT_Log_Desc>
        <SVT_Log_Severity>2</SVT_Log_Severity>
        <SVT_Log_Failure_Impact>Online Services objects update has failed</SVT_Log_Failure_Impact>
        <CK_Identifier>fw1:6.0:xlate</CK_Identifier>
        <CK_Identifier>fw1:6.0:auth</CK_Identifier>
        <CK_Identifier>fw1:6.0:content</CK_Identifier>
        <URL>https://updates.checkpoint.com/WebService/services/DownloadMetaDataService?wsdl</URL>
        <Updatable>Yes</Updatable>
        <ProxyRoute>1</ProxyRoute>
    </DownloadPreferences>
  6. 変更内容をファイルに保存し、エディタを終了します。

  7. Scalable Platformセキュリティグループ上で、変更したファイルをすべてのセキュリティグループメンバにコピーします:

    asg_cp2blades $CPDIR/conf/downloads/dl_prof_ONLINE_SERVICES.xml