ポリシーパッケージでの作業

ポリシーパッケージは、さまざまな種類のポリシーの集合体です。インストール後、Security Gatewayはパッケージに含まれるすべてのポリシーを実施します。ポリシーパッケージは、これらのポリシータイプを1つまたは複数持つことができます。

  • アクセスコントロール - 以下のようなタイプのルールが含まれます。

    • ファイアウォール

    • NAT

    • アプリケーション&URLフィルタリング

    • コンテンツ認識

  • QoS - 帯域管理のためのQoS(クオリティオブサービス)ルール

  • デスクトップセキュリティ - Endpoint Security VPNリモートアクセスクライアントがスタンドアロンクライアントとしてインストールされているエンドポイントコンピュータ用のファイアウォールポリシーです。

  • 脅威対策 - 次で構成されています。

    • IPS - IPSサービスにより継続的に更新されるIPS保護機能

    • アンチボット - ボットに感染したマシンを検出し、ボットのコマンドとコントロール(C&C)通信をブロックすることでボットによる被害を防ぎます。

    • アンチウィルス - ヒューリスティック分析を含み、ウィルス、ワーム、その他のマルウェアをゲートウェイで阻止します。

    • Threat Emulation - サンドボックス内で疑わしいファイルを開くことで、ゼロデイ攻撃や高度なポリモーフィック攻撃を検知します。

    • Threat Extraction - 企業ネットワークに入る前に、Eメールの添付ファイルから潜在的に悪意のあるコンテンツを抽出します。

  • HTTPSインスペクション - 内部のブラウザクライアントとWebサーバ間のTLS(Transport Layer Security)プロトコルによって暗号化されたトラフィックを検査するためのルールで構成されています。

重要 -読み取り専用権限を持つ管理者がログインし、ポリシーパッケージで「デスクトップセキュリティ」ポリシーが有効になっている場合、レガシーのSmartDashboardにQoSおよびデスクトップポリシーが表示されないという問題がありました。

インストールプロセス:

  • ルールに対してヒューリスティックな検証を行い、ルールの一貫性と冗長性がないことを確認します。

    検証エラーが発生した場合、ポリシーはインストールされません。検証の警告がある場合 (複数のインタフェースを持つ Security Gateway でアンチスプーフィングが有効でない場合など)、ポリシーパッケージは警告とともにインストールされます。

  • 各Security Gatewayが少なくとも1つのルールを実施することを確認します。どのルールも適用されない場合、デフォルトのドロップルールが適用されます。

  • 選択したインストール対象に、ユーザデータベースとオブジェクトデータベースを配布します。

組織内のサイトの種類によって、異なるポリシーパッケージを作成することができます。

ある組織に4つの拠点があり、それぞれが独自の要件を備えています。各拠点では、Security GatewayにインストールされているSoftware Bladesのセットが異なっています。

項目

セキュリティゲートウェイ

インストールされたSoftware Blade

1

Sales California

ファイアウォール、VPN

2

Sales Alaska

ファイアウォール、VPN、IPS、DLP

3

経営陣

ファイアウォール、VPN、QoS、モバイルアクセス

4

サーバファーム

ファイアウォール

5

インターネット

 

これらの異なるタイプのサイトを効率的に管理するには、3つの異なるポリシーパッケージを作成する必要があります。各パッケージには、サイトのSecurity GatewayにインストールされたSoftware Bladeに対応するポリシータイプの組み合わせが含まれています。例:

  • アクセスコントロールポリシータイプを含むポリシーパッケージ。アクセス制御ポリシータイプは、ファイアウォール、NAT、アプリケーション&URLフィルタリング、およびコンテンツ認識ソフトウェアブレードを制御します。このパッケージは、VPN構成も決定します。

    すべてのセキュリティゲートウェイにアクセスコントロールポリシーパッケージをインストールする。

  • 帯域を管理するSecurity Gateway上のQoSブレードのQoSポリシータイプを含むポリシーパッケージです。

    このポリシーパッケージをエグゼクティブ管理セキュリティゲートウェイにインストールします。

  • モバイルアクセスを扱うセキュリティゲートウェイ用のデスクトップセキュリティのポリシータイプを含むポリシーパッケージです。

    このポリシーパッケージをエグゼクティブ管理セキュリティゲートウェイにインストールします。

  1. メニューから、Manage policies and layersを選択します。

    Manage policies and layersウィンドウが開きます。

  2. Newをクリックします。

    New Policyウィンドウが開きます。

  3. ポリシーパッケージの名前を入力します。

  4. General ページ >Policy types セクションで、これらのポリシータイプを1つ以上選択します:

    • Access Control & HTTPS Inspection

    • Threat Prevention

    • QoSを選択し、Recommended またはExpress

    • Desktop Security

    QoS、およびDesktop Securityのポリシータイプを表示するには、1台以上のゲートウェイでこれらを有効にします。

    ゲートウェイエディタ >General Properties >Network Security タブを開きます:

    • QoSを選択します。QoS

    • デスクトップ・セキュリティでは、IPSec VPN を選択しPolicy Server Pol

  5. Installation targetsページで、ポリシーがインストールされるゲートウェイを選択します。

    • All gateways

    • Specific gateways- 各ゲートウェイの [+] 記号をクリックし、リストから選択します。

    ポリシーパッケージを正しくインストールし、エラーをなくすために、各ポリシーパッケージは適切なインストールターゲットのセットと関連付けられています。

  6. クリックOK

  7. クリックClose

    新しいポリシーは、Security Policiesページに表示されます。

  1. メニューから、Manage policies and layersを選択します。

    Manage policies and layersウィンドウが開きます。

  2. ポリシーパッケージを選択し、Editボタンをクリックします。

  3. New Policyパッケージのウィンドウが開きます。

  4. General >Policy types ページで、追加するポリシータイプを選択します:

    • Access Control& HTTPS Inspection

    • Threat Prevention

    • QoSを選択し、Recommended またはExpress

    • Desktop Security

  5. クリックOK

  1. グローバルツールバーで、Install Policyをクリックします。

    Install Policyウィンドウが開き、インストール先(Security Gateways)が表示されます。

  2. Select a policyメニューから、ポリシーパッケージを選択します。

  3. パッケージで利用可能な1つまたは複数のポリシータイプを選択します。

  4. Install Modeを選択します。

    • Install on each selected gateway independently- 各ターゲットゲートウェイに他のゲートウェイから独立してポリシーをインストールし、そのうちの1台でインストールが失敗しても、残りのターゲットゲートウェイへのインストールに影響しないようにします。

      - For Gateway clusters install on all the members, if fails do not install at allを選択した場合、Security Management Serverは、インストールの開始前にすべてのクラスタメンバにポリシーをインストールできることを確認します。1つのメンバにポリシーをインストールできない場合、すべてのメンバに対してポリシーのインストールに失敗します。

    • Install on all selected gateways, if it fails do not install on gateways of the same version- すべてのターゲットゲートウェイにポリシーをインストールします。1つのゲートウェイでポリシーのインストールに失敗した場合、他のターゲットゲートウェイにはポリシーがインストールされません。

  5. クリックInstall

SmartConsoleでユーザ定義に変更を加えると、Security Management Server上のユーザデータベースに保存されます。ユーザの認証方法、暗号化キーもこのデータベースに保存されます。ユーザデータベースには、Security Gatewayの外部で定義されたユーザ(外部User Directoryグループのユーザなど)についての情報は含まれていませんが、外部グループそのものについての情報(外部グループがどのAccount Unitで定義されているかなど)は含まれています。外部グループへの変更は、ポリシーがインストールされた後、またはユーザデータベースがSecurity Management Serverからダウンロードされた後に有効になります。

変更した内容に応じて、ポリシーまたはユーザデータベースのどちらをインストールするかを選択する必要があります。

  • インストール対象で使用されるポリシーパッケージの追加コンポーネントを変更した場合(新しいセキュリティポリシールールの追加など)、ポリシーをインストールします。

  • ユーザ定義または管理者定義の変更のみを行った場合は、ユーザデータベースをインストールします。Install Database

ユーザデータベースのインストール先:

  • セキュリティゲートウェイ - ポリシーインストール時。

  • Management Software Bladeが1つ以上有効になっているCheck Pointホスト - データベースのインストール時。

Security Management Server上のコマンドラインインタフェースから、Security GatewayやLog Serverなどのリモートサーバにユーザデータベースをインストールすることも可能です。

コマンドラインインタフェースからユーザデータベースをインストールするには

Security Management Server上で、エキスパートモードで実行します。

fwm dbload <Main IP address of Name of Security Gateway Object>

詳細は次を参照: R81.20 CLI Reference Guide- 章セキュリティ管理サーバ コマンド- セクションfwm - サブセクションfwm dbload

- Management Software Bladeがアクティブでない Check Point ホストには、ユーザデータベースはインストールされません。

セキュリティゲートウェイのコマンドラインインタフェースを使用して、アクセスコントロールポリシーをアンインストールできます。

  1. Security Groupでコマンドラインに接続します。

  2. エキスパートモードにログインします。

  3. 次を実行します:

    fw unloadlocal

警告

  • "fw unloadlocal"コマンドは、セキュリティゲートウェイ (クラスタメンバ) 上のLinuxカーネルのIP Forwardingを無効にするため、すべてのトラフィックがセキュリティゲートウェイ (クラスタメンバ) を通過しないようにします。

  • "fw unloadlocal"コマンドは、セキュリティゲートウェイ (クラスタメンバ) からすべてのポリシーを削除します。つまり、セキュリティゲートウェイ(クラスタメンバ)が、フィルタリングや保護を有効にすることなく、すべてのアクティブなインタフェースを宛先とするすべての着信接続を受け入れます。

詳細は次を参照: R81.20 CLI Reference Guide- 章Security ゲートウェイ Commands- Sectionfw- Sub-sectionfw unloadlocal.

その他のセキュリティポリシーのアンインストールについては、関連する管理者ガイドを参照してください。