小規模な導入のインストール

この章では、ゲートウェイ クラスタでゲートウェイを定義する手順について説明します。要件に一致する手順を実行してから、ポリシーをインストールします。

小規模な導入のワークフロー

これは、小規模な導入に推奨されるワークフローです。

  1. SmartConsoleのアプライアンスに必要なゲートウェイオブジェクトまたはクラスタ オブジェクトを作成します。

  2. SmartConsoleでセキュリティ ポリシーをインストールします。

  3. 初期設定ウィザードで関連アプライアンスを設定します。または、USBドライブを使用すると、初期設定ウィザードなしで複数のアプライアンスを簡単に構成できます。詳細については、USBドライブまたはSDカードからの導入を参照してください。

  4. ゲートウェイまたはクラスタ オブジェクトについて、SmartProvisioningでアプライアンス設定を管理します。

ゲートウェイ オブジェクトの定義

ゲートウェイ オブジェクトの定義には、次のオプションがあります。

  • 管理優先 - サイトで実際のアプライアンスを設定およびセットアップする前に、SmartConsoleでゲートウェイ オブジェクトを定義します。これは、SmartConsoleでのオブジェクトの構成時にIPが知られていないときに、動的IP(DHCPサーバまたはISPによって割り当てられている)でSecurity Management Serverに接続するリモート展開アプライアンスまたはアプライアンスによく使用されます。設定時にアプライアンスがプルするポリシーを準備できます。

  • ゲートウェイ優先 - 最初にアプライアンスを設定およびセットアップします。その後、1時間間隔でSecurity Management Serverとの通信を試みます(これが設定されている場合)。SmartConsoleでのオブジェクト作成時にゲートウェイとの接続がある場合、ウィザードでゲートウェイからデータを取得して(トポロジなど)、設定を支援できます。

単一のゲートウェイ オブジェクトを定義するには

  1. Security Management Serverの認証情報を使用してSmartConsoleにログインします。

  2. [ネットワーク オブジェクト]ツリーで、Check Pointを右クリックしてセキュリティ ゲートウェイを選択します。

    [Check Pointセキュリティ ゲートウェイの作成]ウィンドウが開きます。

  3. [ウィザード モード]を選択します。

    ウィザードが開き、一般プロパティが表示されます。

  4. Check Pointアプライアンス オブジェクトの名前を入力し、ハードウェア プラットフォームのハードウェア タイプを選択します。

  5. セキュリティ ゲートウェイの[バージョン]をR80.20に設定します。

  6. [静的IPアドレス]または[動的IPアドレス]を選択して、ゲートウェイのIPアドレスを取得します。

  7. [次へ]をクリックします。

静的IPアドレスを設定するには 

  1. [認証]セクションで、[ワンタイム パスワードを使用してトラスト通信を安全に開始する、または認証なしでトラスト通信を開始する(安全性が低い)]を選択します。

  2. [ワンタイム パスワードを使用して信頼できる通信を安全に開始]を選択した場合は、[ワンタイム パスワード]を入力して確認します。このパスワードは信頼を確立する一番最初のみに使われます。通信が確立されると、セキュリティ証明書がトラストに使われます。

    重要 - このパスワードは、初期設定ウィザードでアプライアンスに定義したワンタイム パスワードと同じである必要があります。

  3. [トラスト通信]セクションで、[ゲートウェイが初めてSecurity Management Serverに接続するときにトラスト通信を自動的に開始する]または[トラスト通信を今すぐ開始する]を選択します。

  4. [接続]をクリックします。

    ステータス ウィンドウが表示されます。

  5. [次へ]をクリックします。

動的IPアドレスを設定するには

  1. [ゲートウェイ識別子]セクションで、[ゲートウェイ名][MACアドレス]、または[最初の接続先]から識別子を1つ選択します。

  2. [認証]セクションで、[ワンタイム パスワードを使用して信頼できる通信を安全に開始]または[認証なしでトラスト通信を開始する(安全性が低い)]を選択します。

  3. [ワンタイム パスワードを使用して信頼できる通信を安全に開始]を選択した場合は、[ワンタイム パスワード]を入力して確認します。このパスワードは初期の信頼を確立するためだけに使われます。通信が確立されると、セキュリティ証明書がトラストに使われます。

    重要 - このパスワードは、初期設定ウィザードでアプライアンスに定義したワンタイム パスワードと同じである必要があります。

  4. [次へ]をクリックします。

ソフトウェア ブレードを設定するには

[ブレードの有効化]ページで、有効にして設定するソフトウェア ブレードを選択します。

後でブレードを設定するには

  1. [後でソフトウェア ブレードを有効にして設定する]を選択します。

  2. [次へ]をクリックします。

今すぐブレードを設定するには

  1. [今すぐソフトウェア ブレードを有効にして設定する]を選択します。

  2. 有効にして設定するブレードの横にあるチェックボックスをオンにします。

  3. 必要なオプションを設定します。

    • [NAT] - [内部ネットワークをゲートウェイの外部IPの背後に隠す]チェックボックスがデフォルトでオンになります。

    • [QoS] - インバウンドとアウトバウンドの帯域幅レートを設定します。

    • [IPSec VPN] - VPNコミュニティが事前定義されていることを確認してください。スター コミュニティの場合、Check Pointアプライアンスはサテライト ゲートウェイとして追加されます。[サイト コミュニティへの参加]リストから、ゲートウェイが参加するVPNコミュニティを選択します。

    • [IPS] - [IPSプロファイルの割り当て]リストからプロファイルを選択するか、[管理]をクリックしてIPSプロファイルを作成/編集します。

    • ユーザ認識 - 開いたウィザードページを完了して、ユーザ認識の取得ソースを定義します。ウィザードの[[[Undefined variable Other_Vars.tp_ADfull]]]サーバ ページで、ゲートウェイが動作するADサーバのみを選択してください。

  4. [次へ]をクリックします。

VPNドメインを非表示にするには

[このゲートウェイの外部IPの背後にあるVPNドメインを非表示にする]を選択します。

このオプションは、このゲートウェイの外部IPの背後にあるすべての内部ネットワークを非表示にする場合にのみ選択してください。このゲートウェイの背後にあるネットワークからVPNコミュニティに参加している他のサイトへのすべての発信トラフィックが暗号化されます。

このオプションを使用すると、このゲートウェイの背後にあるホストに送信される他のサイトから開始された接続は暗号化されません。このゲートウェイの背後にあるホストにアクセスする必要がある場合は、他のオプションを選択する(VPNトポロジを定義する)か、他のサイトからのすべてのトラフィックがこのゲートウェイの外部IPに送信されるようにして、対応するNATポート転送ルールを定義します。例えば、このゲートウェイの外部IPに送信される着信HTTP接続の宛先を、このゲートウェイの背後にあるWebサーバのIPアドレスに変換します。

新しいVPNドメイン グループを作成するには

  1. [新しいVPNドメインを作成]オプションが選択されていることを確認します。

  2. グループの名前を[名前]フィールドに入力します。

  3. [使用可能なオブジェクト]リストから適切なオブジェクトを選択し、[追加]をクリックします。オブジェクトがVPNドメイン メンバ リストに追加されます。

定義済みのVPNドメインを選択するには

  1. [既存のVPNドメインを選択]をクリックします。

  2. [VPNドメイン]リストからドメインを選択します。

  3. [次へ]をクリックします。

    インストールウィザードの完了ページに、設定したパラメータのサマリが表示されます。

  4. セキュリティ ゲートウェイのオプションをさらに設定する場合は、[詳細設定のためにゲートウェイ プロパティを編集]を選択します。

  5. [完了]をクリックします。

    新しく定義したオブジェクトの[一般プロパティ]ウィンドウが開きます。

ゲートウェイ クラスタ オブジェクトの定義

Check Pointアプライアンスのセキュリティ ゲートウェイクラスタは2つのメンバのグループです。それぞれが、ハイ アベイラビリティ ソフトウェアがインストールされている個別のCheck Pointアプライアンスを表しています。ClusterXLは、Check Pointのクラスタリング ソリューションです。サード パーティのOPSEC認定クラスタリング製品はサポートされていません。

ハイ アベイラビリティ

ハイ アベイラビリティにより、クラスタ メンバに障害が発生した場合でも、組織は接続を維持できます。この構成では、1台のマシンのみがアクティブ(アクティブ/スタンバイ操作)です。このアプライアンスでは負荷共有はサポートされていません。

事前準備

クラスタ構成時には、「ゲートウェイを最優先」のインストール パスのみがサポートされます。したがって、最初に実際のIPを使用してゲートウェイを設定する必要があります。設定した後に、SmartConsoleまたはSmartProvisioningでクラスタ オブジェクトを作成します。Security Management Serverからのポリシー インストールはゲートウェイに対し、ゲートウェイがクラスタ メンバーとして構成されていることを警告します。

Check Pointアプライアンス クラスタを定義する前に、各Check Pointアプライアンス ゲートウェイに使用されるすべてのネットワーク インタフェースを定義したことを確認してください。インタフェースは同じサブネットで定義する必要があります。定義を検証するには、アプライアンスのWebUIにアクセスします。

これらのアクションは、SmartConsoleのクラスタ ウィザードでのみ使用する必要があります。

  • 両方のアプライアンスの2つのLAN2/SYNCポート間にケーブルが接続されていることを確認してください。IPは後で自動的に作成されるため、IPを割り当てる必要はありません。IPを割り当てる場合は、LAN2/SYNCインタフェースが同じサブネットを使用していることを確認してください。

    LAN2以外の別のSYNCインタフェースを使用できます。詳細については、sk52500(SmartConsoleでClusterウィザードを使用することもできますが、ポリシーのインストール前にクラスタ オブジェクトをさらに調整する必要があります)を参照してください。

  • クラスタ ウィザードは、WANインタフェースがクラスタの一部であることを前提としています。各ゲートウェイのWANインタフェースが、一致するサブネットの静的IPで構成されていることを確認してください。

  • クラスタで使用するアプライアンスを構成するときは、トラスト通信の認証と確立に使用したものと同じワンタイム パスワードを両方のアプライアンスに設定してください。これがない場合は、SmartConsoleでClusterウィザードを使用しないで、クラシック モードでクラスタ オブジェクトを作成する必要があります。

    認証なしのトラスト通信は、Check Pointアプライアンス クラスタ メンバではサポートされていません。

新規ゲートウェイ用のクラスタの作成

新規ゲートウェイ用にクラスタを作成するには

  • Check Pointアプライアンス ゲートウェイをセットアップして設定します。

  • ゲートウェイを表すSmartConsoleのクラスタ オブジェクトを作成および設定します。

Check Pointアプライアンス ゲートウェイの設定

Check Pointアプライアンスのセットアップと接続の詳細な手順については、Check Pointアプライアンスの「導入の手引き」を参照してください。

これは一般的なワークフローです。

  1. コンピュータをCheck PointアプライアンスのLAN1インタフェースで接続します。

  2. IPアドレスを自動的に取得するようにコンピュータを設定します。

  3. Webブラウザを開き、https://my.firewallに接続します。

    Webブラウザから2つのCheck Pointアプライアンス ゲートウェイを構成する場合、1つだけを電源に接続します。以下の手順に従って設定してから電源から外してください。次に、2つ目のアプライアンスでも同じことを行い、最後に再起動します。

    この指示に従わないと、https://my.firewallのURLを正しく使用できず、ゲートウェイの実際のIPアドレスに接続する必要があります。(Check Pointアプライアンスで設定する前のIPアドレスは、LAN1では最初は192.168.1.1です)。

    両方のアプライアンスを設定して電源に接続した後、ポリシーをインストールし、コンピュータの動的IPを更新します。これで、http://my.firewallを使用してクラスタのアクティブなメンバにアクセスできます。

  4. 手順に従って、初期設定ウィザードでCheck Pointアプライアンスを設定します。

  5. アプライアンスのローカル ネットワークで、2つ目のクラスタ メンバのSYNCインタフェースと同じサブネット上にクラスタSYNCインタフェースを設定します(SYNCインタフェース接続にはクロス イーサネット ケーブルを使用します)。

    SmartConsoleクラスタ ウィザードを使用する場合、LAN2インタフェースはクラスタ メンバ間のSYNCインタフェースです。ゲートウェイ側の設定のどの段階でも、LAN2にIPを設定する必要はありません。LAN2 SYNCインタフェースを設定しない場合は、自動的に10.231.149.1および10.231.149.2になります。別のSYNCインタフェース(LAN2以外)を設定するには、sk52500を参照してください。

    ワンタイム パスワードは忘れないようにしてください。SmartConsoleでクラスタを設定する際に必要です。パスワードは両方のクラスタで同じでなければなりません。

    SmartConsoleを開いてクラスタ設定ウィザードを実行する前に、両方のクラスタ メンバでIPアドレスを設定する必要があります。WANとLAN1以外のインタフェースでIPを設定するには、各ゲートウェイのWebUIアプリケーションの[インターネット]ページまたは[ローカル ネットワーク]ページで設定します。クラスタの一部である各インタフェースでは、2つ目のクラスタ メンバと同じサブネットでIPを設定してください。

SmartConsoleでのクラスタ オブジェクトの設定

2つの新しいCheck Pointアプライアンス ゲートウェイのクラスタを作成するには

  1. Security Management Serverの認証情報でSmartConsoleにログインします。

  2. 新しいSmartConsoleメニューから[新規]を選択し、[Check Point]を右クリックして[セキュリティ クラスタ]>[Small Office Appliance]を選択します。

    Check Pointセキュリティ ゲートウェイの[クラスタの作成]ダイアログ ボックスが開きます。

  3. ウィザード モードを選択します。

    ウィザードが開き、一般プロパティが表示されます。

  4. Check Pointアプライアンス クラスタの名前を入力します。

  5. [次へ]をクリックします。

    メンバをクラスタ化するためのウィザードが開きます。

  6. [1番目のメンバ]と[2番目のメンバ]のセクションで、[メンバ名][メンバ IP アドレス]を入力します。

    通信と接続を確認する場合は、[2番目のクラスタ メンバを今すぐ定義する]チェックボックスをオフにします。これにより、1番目のメンバのウィザード定義だけを完了することができます。

  7. [ワンタイム パスワード]を入力して確定し、初期トラストを確立します。

    トラストが確立されたら、以降はセキュリティ証明書が使われます。このパスワードは、アプライアンスの初期設定ウィザードまたはWebUIで両方のメンバに定義したワンタイム パスワードと同じである必要があります。

  8. [次へ]をクリックします。

    ウィザードが開き、クラスタ インタフェース設定が表示されます。

    WANインタフェースを設定する場合、ハイ アベイラビリティを無効にすることはできません。(他の設定では、後でクラスタ オブジェクトを編集します)。

    WANインタフェースが定義されていない場合は、ウィザードを使用してSmartConsoleのクラスタ オブジェクトを編集して、クラスタ オブジェクトの正しいメインIPを選択します。(このIPは、たとえば、VPNでリンク選択オプションの1つとして使用されます)。

  9. クラスタの仮想[IPアドレス][ネット マスク]を入力します。仮想IPは次のポリシー インストールで適用されます。

  10. [次へ]をクリックします。

  11. インタフェースでハイ アベイラビリティを有効にするには、[<name>インタフェースでハイ アベイラビリティを有効にする]チェックボックスをオンにします。<name>は、Check Pointアプライアンスで定義されたネットワーク インタフェースを示します。

  12. ハイ アベイラビリティを選択した場合、クラスタの仮想[IPアドレス][ネット マスク]を入力します。仮想IPは次のポリシー インストールで適用されます。

  13. [次へ]をクリックします。

  14. 定義されたインタフェースごとにステップ12~14を繰り返します。

  15. [完了]をクリックするか、[詳細モードでクラスタを編集]を選択して、クラスタをさらに設定します。

クラスタ インタフェース設定

[クラスタ インタフェース設定]ウィンドウでは、Check Pointアプライアンスのネットワーク インタフェースがセキュリティ ゲートウェイ クラスタの一部であるかどうかを定義します。このウィンドウには、Check Pointアプライアンスで設定された各ネットワーク インタフェースが表示されます。ゲートウェイに設定されたインタフェースの総数がウィンドウのタイトルに表示されます。例えば、ゲートウェイに3つのインタフェースが設定されている場合、合計3つのウィンドウを設定する必要があります。最初のウィンドウが表示されます(3つのインタフェースの1つ)。現在設定しているインタフェースの名前が[インタフェース]列に表示されます。

(両方のメンバーの)各ネットワーク インタフェースには一意のIPアドレスがあります。ハイ アベイラビリティがインタフェースで有効になっている場合、クラスタには追加の一意の仮想IPアドレスが必要です。このIPアドレスはネットワークに表示され、フェイルオーバー イベントがネットワーク内のすべてのホストに対して確実に透過的になります。

ハイ アベイラビリティが有効でない場合、インタフェースはモニタされていないプライベート(クラスタに関連していない)と見なされます。

WANインタフェースを除くすべてのネットワーク インタフェースにハイ アベイラビリティを設定できます。デフォルトでは、WANインタフェースは常にクラスタの一部です。WANインタフェースをクラスタの一部にしない場合は、Check Point appliance Security Gatewayのクラスタ オブジェクトをダブルクリックして、[トポロジ ノード]>[トポロジの編集]を選択します。

WANインタフェースが定義されていない場合は、ウィザードを使用してSmartConsoleのクラスタ オブジェクトを編集して、クラスタ オブジェクトの正しいメインIPを選択します。(このIPは、たとえば、VPNでリンク選択オプションの1つとして使用されます)。

ウィンドウ上部のパンくず画像は、現在設定しているインタフェースを示しています。LAN2インタフェースはウィザードによって自動的に設定され、SYNCインタフェースに対してのみ使用されるため、LAN2インタフェースの設定は行いません。両方のアプライアンスの2つのLAN2/SYNCポート間にケーブルが接続されていることを確認してください。

- SYNCインタフェースはIPv4アドレスでのみサポートされています。

ページ下部の画像は、インタフェースがハイ アベイラビリティに設定されているかどうかを示しています。ハイ アベイラビリティを設定すると、両方のメンバの物理IPは、クラスタの仮想IPアドレスで示されるポイントで交わります。

インタフェースのより高度なオプションを設定するには

  1. ウィザードの最後にある[詳細モードでクラスタを編集]をクリックします。

  2. クラスタのトポロジを編集し、必要な変更を行います。

既存のCheck Pointアプライアンスのクラスタへの変換

以下の手順を実行して、既存のCheck Pointアプライアンスをクラスタに変換します。

- 手順にはダウンタイムがある程度必要です。

使用される用語:

  • GW - 既にトラストを確立し、ポリシーがインストールされている既存のCheck Pointアプライアンス ゲートウェイ オブジェクト。

  • クラスタ - 作成する新しいCheck Pointアプライアンス クラスタ オブジェクト。

  • GW_2 - 既存のゲートウェイに参加する新しいクラスタ メンバ オブジェクト。

初期設定ウィザードで新しいアプライアンスGW_2を構成するには

  1. 既存のゲートウェイGWで使用されている仮想IPアドレスではなく、実際のIPアドレスを設定してください。

  2. [LAN ポートのスイッチを有効にする]チェックボックスをオフにします。

    これを行わないと、デフォルトのスイッチ設定はクラスタ設定でサポートされていないため、クラスタの最初のポリシーのインストール中に自動的に削除されます。

    - 初期ポリシーをインストールする前に、スイッチ設定を削除する方が安全です。

  3. 他のクラスタ メンバと同じネットワークにあるIPアドレスを使用して、LAN2ポート(クラスタの同期に使用される)を設定します。同期インタフェースには静的IPアドレスを割り当てることをお勧めします。

  4. Security Management Serverからポリシーを取得しないでください。

SmartConsoleでクラスタ オブジェクトを作成および設定するには

  1. ウィザードを使用して、新しいCheck Pointアプライアンス クラスタを作成します。

  2. 既存のゲートウェイGWで使用されるIPとしてIPアドレスを定義します。

  3. 最初のメンバをGW_2のIPアドレスで定義します。

    重要 - ウィザードを使用して2番目のメンバを定義しないでください。

  4. トラスト通信を確立します。

  5. クラスタ化されたインタフェースのすべてのIPアドレスを定義します。既存のゲートウェイGWのIPアドレスをクラスタの仮想IPとして使用します。

  6. ウィザードの最後で、[クラスタを詳細モードで編集]チェックボックスをオンにします。

  7. [詳細モード]で、クラスタ オブジェクトに関連するGWの構成設定をすべて入力します。

既存のCheck Pointアプライアンスを再設定するには

  1. WebUIで、GWに移動して接続します。

  2. クラスタ化されたインタフェースのIPアドレスを、ゲートウェイがクラスタのメンバとして使用する実際のIPアドレスで再設定します。

    重要 - ダウンタイムが始まります。

SmartConsoleでクラスタを設定するには

  1. メインIPとGWオブジェクトのトポロジ テーブルに表示されるIPを変更します。

  2. クラスタにポリシーをインストールします。

    重要 - ダウンタイムが終了します。この時点で、クラスタにはメンバGW_2のみが含まれています。

  3. [クラスタ メンバ]>[追加]>[既存のゲートウェイを追加]に移動して、[クラスタ]オブジェクトを編集します。

  4. GWがリストに表示されない場合は、[ヘルプ]を押して、GWがクラスタに追加されないようにするいずれのカテゴリにも一致していないことを確認してください。

    - このヘルプページの情報を使用して、新しい[クラスタ]オブジェクトにコピーする構成設定があるかどうかを確認します。

  5. 新しいGWオブジェクトの下で、[トポロジ]>[トポロジの取得]をクリックして、[クラスタ]オブジェクトのトポロジを編集します。

  6. [クラスタ]にポリシーをインストールします。

WebUIでのクラスタ ステータスの表示

Check Pointアプライアンス ゲートウェイでポリシーのインストールを完了し、ゲートウェイがクラスタ メンバとして機能すると、クラスタのステータスをWebUIアプリケーションで確認できます([デバイス]>[ハイ アベイラビリティ])。

セキュリティ ポリシーの作成

R80.20以降のバージョンでは、ポリシーの順序付きレイヤとインライン レイヤがサポートされています。これは、ゲートウェイが着信トラフィックと発信トラフィックに適用する一連のルールです。レイヤ付きのルール ベースを作成できます。各レイヤには独自のセキュリティ ルールのセットがあります。レイヤは、定義された順序で検査されます。これにより、セキュリティ機能のルール ベース フローと優先度を制御できます。「許可」アクションがレイヤで実行されると、検査は次のレイヤで続行されます。

サブポリシーは、特定のルールに添付する一連のルールです。ルールが一致した場合、検査はルールに関連付けられたサブポリシーで続行されます。ルールが一致しない場合、サブポリシーはスキップされます。例えば、サブポリシーはネットワーク セグメントや支店を管理できます。

ポリシー レイヤとサブポリシーは、権限プロファイルに従って、特定の管理者が管理できます。

セキュリティ ゾーン オブジェクトの操作

セキュリティ ゾーン オブジェクトは、指定されたインタフェースの背後にあるネットワークを表す論理オブジェクトです。例えば、InternalZoneオブジェクトは、すべての内部ゲートウェイ インタフェースの背後にある内部ネットワークIPを表します。

セキュリティ ゾーン オブジェクトを使用して、一般的なセキュリティ ポリシーを作成し、ルール ベースで必要なルールの量を減らすことができます。このセキュリティ ポリシーは、多数のCheck Pointゲートウェイに適用できます。セキュリティ ゾーンの解決は、SmartConsoleのCheck Pointアプライアンス ゲートウェイ オブジェクトに関する実際のアソシエーションによって行われます。

ワークフロー

  1. セキュリティ ゾーン オブジェクトをゲートウェイ オブジェクトのインタフェースに関連付けます。

  2. ルールでセキュリティ ゾーン オブジェクトを使用します。

  3. ポリシーをインストールします。

セキュリティ ゾーン オブジェクトをゲートウェイ オブジェクトのインタフェースに関連付けるには

  1. SmartConsoleのネットワーク オブジェクト ツリーから、Check Pointアプライアンスのゲートウェイ オブジェクトをダブルクリックします。

  2. [トポロジ]から適切なインタフェースを選択し、[編集]をクリックします。

    [インタフェースのプロパティ]ウィンドウが開きます。

  3. 事前定義された[セキュリティ ゾーン]オプションの1つを選択します。

  4. オプション - 新しいゾーンを作成する場合は、[新規]をクリックし、詳細を入力して[OK]をクリックします。

  5. [OK]をクリックします。

    Check Pointアプライアンス ゲートウェイの一般プロパティが表示されます。

  6. [OK]をクリックします。

セキュリティ ゾーンを含むルールを作成するには

セキュリティ ゾーン オブジェクトをゲートウェイ上の適切なインタフェースに関連付けたら、それをルールで使用できます。セキュリティ ゾーンを含むルールを作成するには、セキュリティ ゾーン オブジェクトを[ソース]または[宛先]セルに追加するだけです。

例えば、内部ユーザが外部ネットワークにアクセスすることを許可するルールを作成するには、次のフィールドでルールを作成します。

ポリシー フィールド

ソース

InternalZone

[宛先]

ExternalZone

アクション

accept

インストール

ゲートウェイ オブジェクトまたはSmartLSMプロファイル

  1. [ファイアウォール]>[ポリシー]ページを開きます。

  2. [ルールの追加]ボタンを使用して、ルールをルール ベースに配置します。

  3. ルールの[名前]を入力します。

  4. [ソース]フィールドで[+]アイコンを右クリックし、[ネットワーク オブジェクト]をクリックして、リストから[InternalZone]を選択して、[OK]をクリックします。

  5. [宛先]フィールドで[+]アイコンを右クリックし、[ネットワーク オブジェクト]をクリックして、リストから[ExternalZone]を選択し、[OK]をクリックします。

  6. [アクション]フィールドで、[accept]を選択します。

  7. [インストール]フィールドを右クリックし、[追加]>[ターゲット]を選択して、ゲートウェイ>オブジェクトまたはSmartLSMプロファイルを選択します。

セキュリティ ポリシーのインストール

この手順を使用して、ゲートウェイが接続するときの自動インストールのポリシーを準備します。

- Check Pointアプライアンスが物理的にセットアップおよび構成されている場合、この手順を正常に完了すると、ポリシーがゲートウェイにプッシュされます。起こり得るステータスのリストについては、 を参照してください。

ポリシーのインストール プロセスの最後に、まだセットアップされていないCheck Pointアプライアンスのポリシー ステータスは「ポリシー インストールの待機中」です。これは、Security Management ServerとCheck Pointアプライアンスの間でトラスト通信がまだ確立されていないことを意味します。ゲートウェイが接続するとトラストが確立され、ポリシーが自動的にインストールされます。

セキュリティ ポリシーをインストールするには

  1. メニューから[ポリシー]>[インストール]の順にクリックします。

    [ポリシーのインストール]ウィンドウが開きます。

  2. インストール ターゲットを選択します。これは、ポリシーとポリシー コンポーネント(ネットワーク セキュリティやQoSなど)をインストールするCheck Pointアプライアンスのセキュリティ ゲートウェイです。

    デフォルトでは、Security Management Serverによって管理されているすべてのゲートウェイを選択できます。

  3. [インストール モード]セクションで、セキュリティ ポリシーのインストール方法を以下から選択します。

    • 選択した各ゲートウェイで個別に - 管理優先導入モードのアプライアンスの場合、このオプションのみを使用する必要があります。

    • 選択したすべてのゲートウェイで失敗した場合は、同じバージョンのゲートウェイにインストールしないでください

  4. [OK]をクリックします。

    重要 - アプライアンスで定義されたCheck Pointアプライアンス オブジェクトが未設定で、最初の接続ステータスを待機中の場合、次のメッセージが表示されます: インストールが完了しました。これは、ポリシーがインストール用に正常に準備されたことを意味します。

ポリシーのインストールとステータス バーを使用して、セキュリティ ポリシーのインストール ステータスを追跡し続けます。

ポリシーのインストール ステータスの表示

SmartConsoleウィンドウの下部に表示されるステータスバーを使用して、管理対象ゲートウェイのインストール ステータスが表示されます。ステータス バーには、保留モードまたは失敗モードのゲートウェイの数が表示されます。

  • 保留 - ポリシー インストールの待機中か、保留中の状態にあるゲートウェイ(詳細な説明については、以下を参照してください)。

  • 失敗 - ポリシーのインストールに失敗したゲートウェイ。

ステータス バーは、ゲートウェイがポリシーをインストールするか、Security Management Serverへの接続を試みるたびに、動的に更新されます。これらのアクションの結果は、イベントが発生したときのSmartConsoleポップアップ通知バルーンにも表示されます。このような通知を設定できます。

各ゲートウェイに最後にインストールされたポリシーのステータスをモニタするには、[ポリシーのインストール ステータス]ウィンドウを使用できます。

ウィンドウには2つのセクションがあります。上部のセクションには、ゲートウェイのリストと、インストールされているポリシーに関するステータスの詳細が表示されます。フィルタ フィールドを使用すると、各フィールドに適用可能な基準を定義することで、関心のあるポリシーのみを表示し、他の詳細を非表示にすることができます。フィルタリング基準を適用すると、選択した基準に一致するエントリのみが表示されます。システムが不明なゲートウェイからのトラスト通信(SIC)の試行をログに記録すると、フィルタ フィールドの下に黄色のステータス バーが開きます。

下部のセクションには、ゲートウェイ リストで選択した行の詳細(発生したエラー、ポリシーが準備された日付、検証の警告)が表示されます。黄色のステータス バーがある場合は、[詳細の表示]をクリックして、Security Management Serverへの接続を試みている不明なゲートウェイの詳細を表示します。

このウィンドウには、以下のステータスがあります。

アイコン

ポリシー ステータス

説明

成功

ポリシーのインストールに成功しました。

成功

ポリシーのインストールは成功しましたが、検証の警告があります。

ポリシー インストールの待機中

Check Pointアプライアンス オブジェクトは構成されていますが、ゲートウェイはSecurity Management Serverに接続されていません(初期のトラストが確立されていません)。

  • ポリシーが準備されている場合、ゲートウェイが接続されるとポリシーがプルされます。
  • ポリシーが準備されていない場合、[ポリシー タイプ]列には「ポリシーが準備されていません」と表示されます。ゲートウェイが最初に接続されたとき、トラストのみが確立されます。

ポリシー インストールの待機中

上記と同じですが、トラストを確立しようとする警告が失敗したか、または検証の警告があります。

保留

ゲートウェイがSecurity Management Serverに正常に接続してポリシーを取得するまで、ポリシーは保留状態のままです。このステータスは、少なくとも1つのポリシーのインストールが成功した場合にのみ表示されます。例えば、Security Management Serverにゲートウェイへの接続の問題があります(NATの背後にあるため、ゲートウェイは通信の受信に使用できません)。

保留

上記と同じですが、検証の警告があります。

警告

警告

情報

情報

失敗

検証エラーのため、ポリシーはインストールされませんでした。

失敗

ポリシーのインストールに失敗しました。

次の方法で[ポリシーのインストール ステータス]ウィンドウにアクセスできます。

  • メニュー バーから - [ポリシー]>[ポリシーのインストール ステータス]をクリックします。

  • ステータス バーから - ポリシーのインストール ステータス アイコンをクリックします。

  • ステータス バーから - [失敗]または[保留]をクリックします。[ポリシーのインストール ステータス]ウィンドウの内容は、クリックされたリンクに応じてフィルタリングされて表示されます。

  • 通知バルーンから - バルーンの[詳細を表示]をクリックします。

サード パーティのNATデバイスの背後にあるサーバIPアドレスの設定

監理優先導入シナリオを使用する場合、ポリシーは、アプライアンスが設定されたときに、アプライアンスによって取得されるように準備されます。

各アプライアンスの初回設定時に、Security Management Serverのルーティング可能なIPアドレスは、最初の接続を作成するように手動で設定されます。

アプライアンスとSecurity Management Serverの間でSICが確立されると、ポリシーが初めて取得されます。次に、自動メカニズムにより、定期的なポリシーの取得の試行に対してSecurity Management Serverのルーティング可能なIPアドレスが計算されます。ただし、Security Management Serverがサード パーティのNATデバイスの背後にある場合、自動メカニズムは失敗します。

このような場合、最初の接続だけでなく、Security Management Serverのルーティング可能なIPアドレスを手動で決定できます。アプライアンスが常に手動で設定されたIPアドレスで接続を試行するように要求できます。これは、初期設定ウィザード - [Security Management Server接続]ページ([常にこのIPアドレスを使用する]を選択し、IPアドレスを入力する)、またはWebUIの[ホーム]>Security Managementページから設定できます。