大規模な導入インストール

サポートされているセキュリティ管理バージョン

大規模な導入は、すべての一元管理アプライアンスでサポートされています。

ご使用のバージョンがLSMをサポートしていることを確認してください。お使いの管理サーバ バージョンのリリース ノートを参照してください。

大規模な導入のワークフロー

SmartConsoleでゲートウェイまたはクラスタのSmartLSMプロファイルを定義すると、SmartProvisioningを使用して複数のゲートウェイをプロビジョニングできます。

大規模な導入のワークフロー:

  1. SmartConsoleで、導入グループ(ゲートウェイまたはゲートウェイのクラスタ)に必要なSmartLSMセキュリティ プロファイルを作成します。

  2. SmartConsoleでセキュリティ ポリシーをSmartLSMセキュリティ プロファイルからインストールします。

  3. SmartConsoleで定義されたSmartLSMセキュリティ プロファイルに基づいて、SmartProvisioningで実際のクラスタまたはゲートウェイ オブジェクトを作成します。詳細については、SmartProvisioningを参照してください。

  4. 初期設定ウィザードで関連アプライアンスを設定します。

    または

    USBドライブを使用して、初期設定ウィザードを利用せずに複数のアプライアンスを簡単に設定します。詳細については、USBドライブまたはSDカードからの導入を参照してください。

  5. SmartProvisioningでアプライアンス設定を管理します。

大規模な導入のSmartLSMゲートウェイ プロファイルの定義

SmartLSMを使用すると、1つのSecurity Management Serverから多数のCheck Pointアプライアンス ゲートウェイを管理できます。SmartLSMプロファイルを使用すると、プロファイルごとにゲートウェイのプロパティとポリシーを定義するときに、管理オーバーヘッドを削減できます。SmartLSMプロファイルは、ファイアウォールおよびポリシー コンポーネントを含む論理オブジェクトです。

Check Pointアプライアンスの単一のSmartLSMセキュリティ プロファイルを定義するために、SmartConsoleを使用します。

Check Pointアプライアンスの単一のSmartLSMプロファイルを定義するには

  1. 管理サーバにSmartConsoleから接続します。

  2. オブジェクトメニューから、その他のオブジェクト タイプ > LSMプロファイル > New Small Office Appliance Gatewayをクリックします。

    [SmartLSMセキュリティ プロファイル]ウィンドウが開きます。

  3. このウィンドウのナビゲーション ツリーで、SmartLSMセキュリティ プロファイルを定義します。

    各ウィンドウのオンライン ヘルプを開くには、[ヘルプ]をクリックします。

  4. [OK]をクリックします。

  5. Gateway SmartLSMプロファイルに適切なセキュリティ ポリシーをインストールします。

  6. メニュー > SmartProvisioningをクリックします。SmartProvisioning GUIで設定を続けます。

SmartLSMアプライアンスのクラスタ プロファイルの定義

SmartLSMアプライアンス クラスタ プロファイルは、SmartLSMアプライアンス ゲートウェイ プロファイルのような論理オブジェクトです。ファイアウォールとポリシーのコンポーネントが含まれていますが、論理トポロジの構成も必要です。

SmartLSMクラスタ プロファイルのトポロジ テーブルは、このプロファイルで作成されるすべてのSmartLSMクラスタのテンプレートです。SmartLSMクラスタ プロファイルは、構成設定とセキュリティ ポリシーをSmartLSMクラスタに自動的に割り当てます。

SmartLSMクラスタ プロファイルとそのトポロジは、SmartConsoleで設定します。次に、SmartProvisioning のGUIを使用して、アプライアンスをSecurity Management Serverに接続し、そこで管理します。

手順を実行する前に、次の準備を行ってください。

  • アプライアンスを2つ準備します。

  • 同じサブネット内のIPアドレスを使用して、一致する内部インタフェースを設定します。たとえば、いずれかのアプライアンスでLAN1を使用する場合、2つ目のアプライアンスでLAN1を使用する必要があります。

  • 同じサブネット上にWANインタフェースを準備します。

  • WANおよび内部ネットワーク アドレス プールからランダムなIPアドレスを選択して、クラスタ仮想IPとして使用します。

SmartLSMクラスタ プロファイルを作成するには

  1. 管理サーバにSmartConsoleから接続します。

  2. オブジェクト メニューから、その他のオブジェクト タイプ > LSMプロファイル > New Small Office Appliance Clusterをクリックします。

    [SmartLSMセキュリティ プロファイル]ウィンドウが開きます。

  3. [一般プロパティ]で、プロファイルの[名前]を入力します(例:ClusterProfile1)。

  4. [クラスタ メンバ]タブを選択し、[追加]をクリックして2つのクラスタ メンバをプロファイルに追加します。

  5. [トポロジ]タブを選択し、[編集]をクリックしてテンプレート トポロジを挿入します。

    SmartLSMクラスタごとに、少なくとも3つのネットワークを定義する必要があります。

    • 外部(クラスタ メンバと共有の仮想IPアドレスごとに1つのインタフェース)

    • 内部(クラスタ メンバと共有の仮想IPアドレスごとに1つのインタフェース)

    • 内部 - 同期(クラスタ メンバごとに1つのインタフェース)

      各インタフェースのネットワーク アドレス(例:1.1.1.194)は、SmartLSMクラスタ環境の実際のアドレスではありません。これらはテンプレートに使用されます。実際のネットワーク アドレスは、SmartProvisioningアプリケーションの次の設定手順で変更されます。

      重要 - Member1 - WANの「59」など(例:1.1.1.59)、各メンバのインタフェース アドレスのホスト オクテットは実際のホスト アドレスである必要があり、変更できません。必ず正しく設定してください。

      仮想IPアドレスのホスト オクテットはあとで変更できます。

  6. 仮想IPインタフェースごとに、テキスト フィールドをダブルクリックして、インタフェース名、セキュリティ ゾーン、ネットワーク タイプ、IPアドレス、およびネット マスクを入力します。

  7. 内部および同期インタフェースの場合は、[インタフェースIPおよびネットマスクで定義されたネットワークを選択]します。[アンチスプーフィング]タブで、各インタフェースにアンチスプーフィングを設定します。[メンバ ネットワーク]タブはデフォルト設定のままにします。

  8. クラスタ メンバごとに、トポロジのテキスト フィールドをダブルクリックして、インタフェース名、IPアドレス、およびネット マスクを入力します。VLANの場合、メンバ名がマシン上の実際の物理インタフェース名を使用していることを確認してください。これらはアプライアンスのWebUIに表示される名前と同じですが、コロン文字「:」をピリオド文字「.」に置き換えてください。

    たとえば、WebUIに「LAN1:10」と表示されている場合は、ここに「LAN1.10」と入力します。

  9. [保存]をクリックして、クラスタ プロファイルでポリシーをインストールします。

  10. クラスタのSmartLSMプロファイルに適切なセキュリティ ポリシーをインストールします。

  11. メニュー > SmartProvisioningをクリックします。SmartProvisioning GUIで設定を続けます。

SmartProvisioningを使用した導入

SmartProvisioningを使用すると、SmartConsoleで定義したSmartLSMプロファイルを使用して、Check Pointアプライアンス ゲートウェイを管理できます。SmartProvisioningで管理する前に、初期設定ウィザードまたはUSBドライブの設定ファイルを使用してこれらのアプライアンスを構成します。

SmartProvisioningを使用した大規模な導入の詳細については、『SmartProvisioning Administration Guide』を参照してください。

セキュリティ ポリシーのインストール

この手順を使用して、ゲートウェイが接続するときの自動インストールのポリシーを準備します。

- Check Pointアプライアンスが物理的にセットアップおよび構成されている場合、この手順を正常に完了すると、ポリシーがゲートウェイにプッシュされます。起こり得るステータスのリストについては、 を参照してください。

ポリシーのインストール プロセスの最後に、まだセットアップされていないCheck Pointアプライアンスのポリシー ステータスは「ポリシー インストールの待機中」です。これは、Security Management ServerとCheck Pointアプライアンスの間でトラスト通信がまだ確立されていないことを意味します。ゲートウェイが接続するとトラストが確立され、ポリシーが自動的にインストールされます。

SmartProvisioning GUIでセキュリティ ポリシーをインストールするには

  1. メニューから[ポリシー]>[インストール]の順にクリックします。

    [ポリシーのインストール]ウィンドウが開きます。

  2. インストール ターゲットを選択します。これは、ポリシーとポリシー コンポーネント(ネットワーク セキュリティやQoSなど)をインストールするCheck Pointアプライアンスのセキュリティ ゲートウェイです。

    デフォルトでは、Security Management Serverによって管理されているすべてのゲートウェイを選択できます。

  3. [インストール モード]セクションで、セキュリティ ポリシーのインストール方法を以下から選択します。

    • 選択した各ゲートウェイに、個別にインストールします。

    • 選択したすべてのゲートウェイにインストールします。失敗した場合は、同じバージョンのゲートウェイにはインストールしません。

  4. [OK]をクリックします。

    [インストール プロセス]ウィンドウに、選択したターゲットのネットワーク セキュリティ ポリシーのステータスが表示されます。

    重要 - Check Pointアプライアンス オブジェクトがアプライアンスによって定義されており、セットアップされておらず、ステータスが「ポリシー インストールの待機中」である場合、「インストールが正常に完了しました」というメッセージが表示されます。これは、ポリシーがインストール用に正常に準備されたことを意味します。

ポリシーのインストールとステータス バーを使用して、セキュリティ ポリシーのインストール ステータスを追跡し続けます。

ポリシーのインストール ステータスの表示

SmartConsoleウィンドウの下部に表示されるステータスバーを使用して、管理対象ゲートウェイのインストール ステータスが表示されます。ステータス バーには、保留モードまたは失敗モードのゲートウェイの数が表示されます。

  • 保留 - ポリシー インストールの待機中か、保留中の状態にあるゲートウェイ(詳細な説明については、以下を参照してください)。

  • 失敗 - ポリシーのインストールに失敗したゲートウェイ。

ステータス バーは、ゲートウェイがポリシーをインストールするか、Security Management Serverへの接続を試みるたびに、動的に更新されます。これらのアクションの結果は、イベントが発生したときのSmartConsoleポップアップ通知バルーンにも表示されます。このような通知を設定できます。

各ゲートウェイに最後にインストールされたポリシーのステータスをモニタするには、[ポリシーのインストール ステータス]ウィンドウを使用できます。

ウィンドウには2つのセクションがあります。上部のセクションには、ゲートウェイのリストと、インストールされているポリシーに関するステータスの詳細が表示されます。フィルタ フィールドを使用すると、各フィールドに適用可能な基準を定義することで、関心のあるポリシーのみを表示し、他の詳細を非表示にすることができます。フィルタリング基準を適用すると、選択した基準に一致するエントリのみが表示されます。システムが不明なゲートウェイからのトラスト通信(SIC)の試行をログに記録すると、フィルタ フィールドの下に黄色のステータス バーが開きます。

下部のセクションには、ゲートウェイ リストで選択した行の詳細(発生したエラー、ポリシーが準備された日付、検証の警告)が表示されます。黄色のステータス バーがある場合は、[詳細の表示]をクリックして、Security Management Serverへの接続を試みている不明なゲートウェイの詳細を表示します。

このウィンドウには、以下のステータスがあります。

アイコン

ポリシー ステータス

説明

成功

ポリシーのインストールに成功しました。

成功

ポリシーのインストールは成功しましたが、検証の警告があります。

最初の接続の待機中

Check Pointアプライアンス オブジェクトは構成されていますが、ゲートウェイはSecurity Management Serverに接続されていません(初期のトラストが確立されていません)。

  • ポリシーが準備されている場合、ゲートウェイが接続されるとポリシーがプルされます。

  • ポリシーが準備されていない場合、[ポリシー タイプ]列には「ポリシーが準備されていません」と表示されます。ゲートウェイが最初に接続されたとき、トラストのみが確立されます。

最初の接続の待機中

上記と同じですが、トラストを確立しようとする警告が失敗したか、または検証の警告があります。

保留

ゲートウェイがSecurity Management Serverに正常に接続してポリシーを取得するまで、ポリシーは保留状態のままです。このステータスは、少なくとも1つのポリシーのインストールが成功した場合にのみ表示されます。例えば、Security Management Serverにゲートウェイへの接続の問題があります(NATの背後にあるため、ゲートウェイは通信の受信に使用できません)。

保留

上記と同じですが、検証の警告があります。

警告

警告

情報

情報

失敗

検証エラーのため、ポリシーはインストールされませんでした。

失敗

ポリシーのインストールに失敗しました。

次の方法で[ポリシーのインストール ステータス]ウィンドウにアクセスできます。

  • メニュー バーから - [ポリシー]>[ポリシーのインストール ステータス]をクリックします。

  • ツールバーから - [ポリシーのインストール ステータス]アイコンをクリックします。

  • ステータス バーから - [失敗]または[保留]をクリックします。[ポリシーのインストール ステータス]ウィンドウの内容は、クリックされたリンクに応じてフィルタリングされて表示されます。

  • 通知バルーンから - バルーンの[詳細を表示]をクリックします。