セキュリティゲートウェイでのグローバルパラメータの操作

バックグラウンド

セキュリティゲートウェイ、クラスタメンバ、Scalable PlatformSecurity Groupでは、対応するCheck Pointのグローバルパラメータの値を変更することで、特定の機能のデフォルト動作を制御できます。

R81.20以前のバージョンでは、Check Pointのグローバルパラメータに必要な値を各種設定ファイルに設定する必要があります。

例:

  • ファイアウォールのカーネルパラメータは$FWDIR/boot/modules/fwkern.confファイルで設定します。

  • SecureXLカーネルパラメータは、$PPKDIR/conf/simkern.confファイルで設定します。

R82以降では、Check Pointのグローバルパラメータの必要な値を以下の方法で表示および設定できます:

設定方法

説明と手順

セントラル

データベース

重要:

R82リリースには新しいインフラが含まれます。

カーネルパラメータの完全なサポートは、R82 Jumbo Hotfix Accumulatorで徐々に追加される予定です。

新しいインフラを使用してカーネルパラメータを設定できない場合は、レガシー設定ファイルを使用します。

以下の情報は、カーネルパラメータの設定をすでにサポートしているものとして、その機能全体を説明したものです。

重要 - 一元化されたデータベースは、レガシー設定ファイルよりも優先順位が高くなります。

この方法では、従来の構成ファイルを編集する代わりに、一元化されたデータベースでCheck Pointのグローバルパラメータの値を(現在のセッションで、または永続的に)変更します。

この機能は「Config Point 」と呼ばれます。

これらのコマンドのいずれかを使用します:

注:

  • R82へのアップグレード時およびR82の各起動時に、Gaia OSが自動的に起動します:

    1. 設定されたカーネルパラメータ(コメントアウトされていないもの)をレガシー設定ファイル$FWDIR/boot/modules/fwkern.conf$FWDIR/boot/modules/fwkern.confから集中データベースに転送します。

      より多くのレガシーな設定ファイルのサポートは、後のバージョンで予定されています。

    2. レガシー設定ファイルで設定されたカーネルパラメータをコメントアウトします(行頭に#文字を追加し、行末に対応するコマンドを追加)。

  • あるカーネルパラメータの値が集中管理データベースですでに構成されていて、レガシー設定ファイルで同じカーネルパラメータの値を構成すると、次のブート時に、レガシー設定ファイルの値が集中管理データベースの前の値を上書きします。

レガシー

設定ファイル

この方法では、R81.20 以下で実行されているように、レガシー設定ファイルの 1 つでCheck Pointのグローバルパラメータの値を変更します。

例えば、これらのファイルでカーネルパラメータを設定します:

  • $FWDIR/boot/modules/fwkern.conf

  • $PPKDIR/conf/simkern.conf

以下のCLIコマンド(Gaia Clishまたはエキスパートモード)を使用して、カーネルパラメータを設定します:

  • fw ctl get int ...

  • fw ctl get str ...

  • fw ctl set [-f] int ...

  • fw ctl set [-f] str ...

カーネルパラメータを設定する完全な手順についてはR82 Quantum Security Gateway Guide> 「カーネルパラメータの操作」の章を参照してください。

Gaia Clish / Gaia gClishでグローバルパラメータを表示する構文

注:

  • VSNext ゲートウェイ/レガシー VSX ゲートウェイでは、該当する仮想ゲートウェイ/仮想シス テムのコンテキストに移動する必要があります:

    set virtual-system <ID>

  • "show global-param" コマンドは、レガシー設定ファイルで設定されたカーネルパラメータを表示しません

show global-param all

      [filter-by]

            modified [format {json | table}]

            not-default [format {json | table}]

            with-comments [format {json | table}]

      [format {json | table}]

show global-param path {all | <Full Path in DB> | <Path with Wildcards in DB>}

      [filter-by]

            modified [format {json | table}]

            not-default [format {json | table}]

            with-comments [format {json | table}]

      [format {json | table}]

パラメータ

説明

show global-param all

すべてのグローバルパラメータを、値、説明、コメントとともに表示します。

filter-by

出力のフィルタを指定します:

  • modified

    明示的に設定されたグローバルパラメータを表示します。

  • not-default

    デフォルト以外のグローバルパラメータを表示します。

  • with-comments

    グローバルパラメータをコメント付きで表示します。

format {json | table}

出力フォーマットを指定します:

  • json- JSON。

  • table- テーブル(これがデフォルト)。

show global-param path <Path in DB>

データベース内のグローバルパラメータのパスを指定します:

  • all

    すべてのグローバルパラメータを表示します。

  • <Full Path in DB>

    データベース内の指定されたフルパスに基づいてグローバルパラメータを表示します。

  • <Path with Wildcards in DB>

    データベース内のワイルドカード "*" を使用した指定パスに基づくグローバルパラメータを表示します:

    1. 該当するパス文字(最低2文字)を入力してください。

    2. 該当する場所に*を入力します。

    3. 必要であれば、関連するパス文字を入力します。

    4. スペースキーを押します。

    5. サブコマンド "use-regex true" を入力します。

    6. Tabキーを押すと、次に使用可能なサブコマンドが表示されます。

Gaia Clish / Gaia gClishでグローバルパラメータを設定する構文

- VSNext ゲートウェイ/レガシー VSX ゲートウェイでは、該当する仮想ゲートウェイ/仮想シス テムのコンテキストに移動する必要があります:

set virtual-system <ID>

set global-param path <Parameter Path in DB>

      comment "Comment Text"

      param-value <Parameter Value>

            comment "Comment Text"

            use-regex {true | false} dry-run {true | false}

            volatile true use-regex {true | false} dry-run {true | false}

      use-default {true | false}

            comment "Comment Text"

            use-regex {true | false} dry-run {true | false}

            volatile true use-regex {true | false} dry-run {true | false}

      volatile {true | false} use-regex {true | false} dry-run {true | false}

重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。Scalable Platformは自動的に変更を保存します。

パラメータ

説明

set global-param path <Parameter Path in DB>

データベースのグローバルパラメータ設定を構成します。

グローバルパラメータには、これらのパスのいずれかを指定する必要があります:

  • データベース内のフルパス。

  • データベース内のワイルドカード "*" を使ったパス:

    1. 該当するパス文字(最低2文字)を入力します。

    2. 該当する場所に*を入力します。

    3. 必要であれば、関連するパス文字を入力します。

    4. スペースキーを押します。

    5. サブコマンド "use-regex true" を入力します。

    6. Tabキーを押すと、次に使用可能なサブコマンドが表示されます。

comment "Comment Text"

指定されたグローバルパラメータのコメントテキスト(最大 256 文字)を設定します。

param-value <Parameter Value>

指定されたグローバルパラメータに新しい値を設定します。

異なるグローバルパラメータは、異なる値の型を受け入れます:

  • 整数。

  • boolean。

  • 文字列。

必要な値はCheck Point Support CenterおよびCheck Pointのサポートエンジニアによるものです。

use-default {true | false}

指定されたグローバルパラメータのデフォルト値を設定する (true) か、しない (false、デフォルト) かを指定します。

volatile {true | false}

指定されたグローバルパラメータに対して、新しい値を一時的にのみ設定するかどうかを指定します:

重要 - デフォルトでは、新しい値は永続的に設定されます。

  • volatile true

    指定されたグローバルパラメータの新しい値を、次の再起動まで、あるいは "volatile false" を実行するまで、一時的に設定します。

    次のブート時に、指定されたグローバルパラメータの以前の値が復元されます。

  • volatile false

    "volatile true" を実行した後、指定されたグローバルパラメータの以前の値を復元します。

use-regex {true | false}

指定されたグローバルパラメータのパスにワイルドカード "*" (true) を含めるかどうかを指定します (false、デフォルト)。

dry-run {true | false}

指定したグローバルパラメータの新しい値をデータベースに永続的に保存するかどうかを指定します:

  • dry-run true

    指定されたグローバルパラメータの新しい値を保存しません - 変更は再起動後も保持されません。

  • dry-run false

    指定されたグローバルパラメータの新しい値を保存します。

エキスパートモードでグローバルパラメータを表示・設定するための構文

注:

  • VSNext ゲートウェイ/レガシー VSX ゲートウェイでは、以下のいずれかを行う必要があります:

    • パラメータ"-vsid <ID>"を指定してコマンドを実行します。

    • 該当する仮想ゲートウェイ/仮想システムのコンテキストに移動します:

      vsenv <ID>

  • "confp_cli show"コマンドは、レガシー設定ファイルで設定されたカーネルパラメータを表示しません

confp_cli show

      [-p <Parameter Path in DB>]

      [{-fo | --format} {json | table}]

      [{-fi | --filter} {modified | not-default | with-comments}]

      [-vsid <ID>]

      [--member-id <Member ID>]

      ['<JSON input>']

confp_cli set

      [-p <Parameter Path in DB>]

      [-v <Parameter Value>]

      [-c "<Comment Text>"]

      [-d {true | false}]

      [-vsid {<ID> | all}]

      [{-vo | --volatile} {true | false}]

      [--regex {true | false}]

      [--dry-run {true | false}]

      [--distribute {true | false}]

      ['<JSON input>']

confp_cli fetch

confp_cli get

      [-p <Parameter Path in DB>]

      [-vsid <ID>]

confp_cli get_value

      [-p <Parameter Path in DB>]

      [-vsid <ID>]

      [{-fo | --format} {json | string | fwset}]

パラメータ

説明

confp_cli show

すべてのグローバルパラメータを、値、説明、コメントとともに表示します。

  • -p <Parameter Path in DB>

    データベース内のグローバルパラメータのパスを指定します:

    • all

      すべてのグローバルパラメータを表示します。

    • <Full Path in DB>

      データベース内の指定されたフルパスに基づいてグローバルパラメータを表示します。

    • <Partial Path in DB>

      データベース内の指定された文字で始まるパスに基づいてグローバルパラメータを表示します。

    • <Path with Wildcards in DB>

      データベース内のワイルドカード "*" を使用した指定パスに基づくグローバルパラメータを表示します:

      1. 該当するパス文字(最低2文字)を入力します。

      2. 該当する場所に*を入力します。

      3. 必要であれば、関連するパス文字を入力します。

      また、"--regex true"を入力する必要があります。

  • {-fo | --format} {json | table}

    出力フォーマットを指定します:

    • json- JSON。

    • table- テーブル(デフォルト)。

 
  • {-fi | --filter} {modified | not-default | with-comments}

    出力のフィルタを指定します:

    • modified

      明示的に設定されたグローバルパラメータを表示します。

    • not-default

      デフォルト以外のグローバルパラメータを表示します。

    • with-comments

      グローバルパラメータをコメント付きで表示します。

  • -vsid <ID>

    VSNextGatewayでは、仮想ゲートウェイのIDを指定します。

    レガシーVSXゲートウェイでは、仮想システムのIDを指定します。

  • --member-id <Member ID>

    Scalable Platform Security Groupでは、Security GroupメンバのIDを指定します。

  • '<JSON input>'

    JSON形式の入力を指定します。シングルクォート文字 (' ') で囲む必要があります。

confp_cli set

パラメータ値とコメントを設定します

  • -p <Parameter Path in DB>

    データベース内のグローバルパラメータのパスを指定します。

    グローバルパラメータには、これらのパスのいずれかを指定する必要があります:

    • データベース内のフルパス。

    • データベース内の指定した文字で始まる部分パス。

    • データベース内のワイルドカード "*"を使ったパス:

      1. 該当するパス文字(最低2文字)を入力します。

      2. 該当する場所に*を入力します。

      3. 必要であれば、関連するパス文字を入力します。

      また、"--regex true"を入力する必要があります。

  • -v <Parameter Value>

    グローバルパラメータの新しい値を指定します。

    異なるグローバルパラメータは、異なる値の型を受け入れます:

    • 整数。

    • boolean。

    • 文字列。

    必要な値はCheck Point Support CenterおよびCheck Pointのサポートエンジニアによるものです。

 

  • -c "<Comment Text>"

    指定したグローバルパラメータのコメントテキスト(最大 256 文字)を設定します。

  • -d {true | false}

    指定されたグローバルパラメータのデフォルト値を設定する (true) か、しない (false、デフォルト) かを指定します。

  • -vsid {<ID> | all}

    VSNextゲートウェイでは、仮想ゲートウェイのIDを指定します。

    レガシーVSXゲートウェイでは、仮想システムのIDを指定します。

    "all"と入力すると、すべてのIDにコマンドが適用されます。

  • {-vo | --volatile} {true | false}

    指定されたグローバルパラメータに対して、新しい値を一時的にのみ設定するかどうかを指定します:

    重要 - デフォルトでは、新しい値は永続的に設定されます。

    • {-vo | --volatile} true

      指定されたグローバルパラメータの新しい値を、次の再起動まで、または "{-vo | --volatile} false" を実行するまで、一時的に設定します。

      次のブート時に、指定されたグローバルパラメータの以前の値が復元されます。

    • {-vo | --volatile} false

      "{-vo | --volatile} true"を実行した後、指定されたグローバルパラメータの以前の値を復元します。

 

  • --regex {true | false}

    指定されたグローバルパラメータのパスにワイルドカード "*" (true) を含めるかどうかを指定します (デフォルトはfalse)。

  • --dry-run {true | false}

    指定したグローバルパラメータの新しい値をデータベースに永続的に保存するかどうかを指定します:

    • --dry-run true

      指定されたグローバルパラメータの新しい値を保存しません - 変更は再起動後も保持されません。

    • --dry-run false

      指定されたグローバルパラメータの新しい値を保存します。

  • --distribute {true | false}

    スケーラブルプラットフォームセキュリティグループで、指定されたグローバルパラメータを他のすべてのセキュリティグループメンバに設定する(デフォルトはtrue)か、設定しない(false )かを指定します。

  • '<JSON input>'

    JSON形式の入力を指定します。シングルクォート文字 (' ') で囲む必要があります。

confp_cli fetch

既存のすべてのグローバルパラメータの名前を表示します。

confp_cli get

パラメータとその値、ユーザタグを表示します:

  • -p <Parameter Path in DB>

    グローバルパラメータには、これらのパスのいずれかを指定する必要があります:

    • データベース内のフルパス。

    • データベース内の指定した文字で始まる部分パス。

  • -vsid <ID>

    VSNextゲートウェイでは、仮想ゲートウェイのIDを指定します。

    レガシーVSXゲートウェイでは、仮想システムのIDを指定します。

confp_cli get_value

パラメータとその現在値のみを表示します:

  • -p <Parameter Path in DB>

    グローバルパラメータには、これらのパスのいずれかを指定する必要があります:

    • データベース内のフルパス。

    • データベース内の指定した文字で始まる部分パス。

  • -vsid <ID>

    VSNextゲートウェイでは、仮想ゲートウェイのIDを指定します。

    レガシーVSXゲートウェイでは、仮想システムのIDを指定します。

  • {-fo | --format} {json | string | fwset}

    出力フォーマットを指定します:

    • json- JSON(デフォルト)。

    • string- 文字列。

    • fwset- Check PointのFWSET形式。

エキスパートモードで「Config Point」を制御するための構文

- このコマンドは、高度なトラブルシューティング専用です。

VSNext / VSXモードでは、このコマンドはセキュリティゲートウェイ全体に適用されます。

config_point

      confirm_fixed_warnings

      generate_docs [{-s|--schema} <Full Path to Schema File>]

      restart

      start

      stop

      validate_schema [{-s|--schema} <Full Path to Schema File>]

パラメータ

説明

confirm_fixed_warnings

R82へのアップグレード後に表示された警告やエラーを解決したことを確認します。

「Config Point」のトラブルシューティングについては、sk181917を参照してください。

generate_docs [{-s | --schema} <Full Path to Schema File>]

スキーマファイルのドキュメントを生成します。

スキーマファイルを指定しない場合、このコマンドは/config_point/schemas/ ディレクトリにあるすべてのスキーマファイルのドキュメントを生成します。

restart

'Config Point'サーバを再起動します。

start

停止した'Config Point'サーバを起動します。

stop

'Config Point'サーバを停止します。

validate_schema [{-s | --schema} <Full Path to Schema File>]

スキーマファイルを検証します。

スキーマファイルを指定しなかった場合、このコマンドは/config_point/schemas/ディレクトリにあるすべてのスキーマファイルを検証します。