詳細設定

[デバイス]>[詳細設定]ページは、上級管理者または Check Point Support が使用します。さまざまなSoftware Bladeに対して複数の詳細設定の値を指定できます。

重要 - 正しい知識を持たずに詳細設定を変更すると、この製品の安定性やセキュリティの安全性、パフォーマンスに悪影響を及ぼす恐れがあります。必要な変更について正しい理解がある場合のみ、操作を行うようにしてください。

属性に関する詳細については、必要に応じて Check Point Support にお問い合わせください。

属性のリストを絞り込むには

  1. [入力して絞り込み]フィールドにテキストを入力します。

    入力していくと動的に検索結果が表示されていきます。

  2. 絞り込みをキャンセルするには、検索文字列の横にある「X」をクリックします。

アプライアンス属性を設定するには

  1. 属性を選択します。

  2. [編集]をクリックします。

    [属性]ウィンドウが表示されます。

  3. 各種設定を行うか、[デフォルトに戻す]をクリックして属性をデフォルト設定に戻します。属性の詳細については、次のセクションを参照してください。 

  4. 適用をクリックします。

アプライアンスの属性をすべてデフォルトの設定にリセットするには

  1. [詳細設定]ウィンドウから、[デフォルトに戻す]をクリックします。

    [確認]ウィンドウが開きます。

  2. [はい]をクリックします。

すべてのアプライアンス属性がデフォルトの設定にリセットされます。

 

表:管理者ロックアウト属性

管理者ロックアウト属性

説明

管理者ロックアウト - モバイル アプリ セッションのタイムアウト

自動ログアウト前に許可されたモバイル アプリケーション セッション (日)

デフォルトは30です。

 

表:管理者のRADIUS認証属性

管理者のRADIUS認証属性

説明

ローカル認証 (RADIUSサーバ)

RADIUSサーバが未設定/アクセスできない場合のみローカル管理者認証を実行

 

表:アグレッシブ エージング属性

アグレッシブ エージング属性

説明

複数のパラメータ

アグレッシブ エージングにより、ファイアウォールの接続テーブル容量およびメモリ消費を管理し耐久性と安定性を高めることができます。

アグレッシブ エージングにより、アグレッシブ タイムアウトと呼ばれる一連の新しいショート タイムアウトが導入されます。接続がアグレッシブ タイムアウトを超えてアイドリングすると、"eligible for deletion (削除対象)" とマークされます。接続テーブルまたはメモリ消費がユーザ定義のしきい値に達すると、メモリ消費または接続容量が望ましいレベルに戻るまでアグレッシブ エージングによって "削除対象" 接続が削除されます。

アグレッシブ エージングによりゲートウェイ マシンは、特にサービス拒否攻撃による大量の予期しないトラフィックを処理できるようになります。

定義したしきい値を超えると、外部から接続があるたびに、削除対象リストから接続が10件ずつ削除されます。メモリ消費または接続容量が設定した制限を下回るまで、新たな接続があるごとに10件の接続が削除されていきます。"削除対象" 接続がない場合、その時点では接続は削除されませんが、その後しきい値を超える接続がある度にリストがチェックされます。

タイムアウト設定はメモリ消費の重要な設定項目です。タイムアウト値を低くすると、接続がテーブルから削除されるタイミングが早まり、ファイアウォールがより多くの接続を同時に処理できるようになります。メモリ消費がしきい値を超えているときは、大量のトラフィックの接続性を維持できるようにタイムアウトを短くするのが最善の方法です。

マシンに利用可能なメモリがまだあり接続テーブルが満杯になっていない段階で動作を開始する点がアグレッシブ エージングの大きな利点です。これにより、リソースが乏しい状況で発生しがちな接続性の問題の可能性を低く抑えることが可能です。

 

アグレッシブ エージングを設定するには

  1. [アプライアンスの負荷時は接続のアグレッシブ エージングを有効]を選択します。

  2. アグレッシブ エージング イベントを記録するには、[アグレッシブ エージング イベントのログ記録]を選択します。IPS Bladeの[ログ&モニタリング]>[セキュリティ ログ]にログが表示されます。

  3. 実行する[アグレッシブ エージング タイムアウト]の各チェックボックスを選択してアグレッシブ エージング タイムアウトを入力します。アグレッシブ タイムアウトがデフォルトのタイムアウトより短いことを確認します。

    デフォルトのタイムアウトは、[デバイス]>[詳細設定]>[ステートフル インスペクションの属性]で確認および設定できます。

アグレッシブ エージング タイムアウトを実行するタイミングを設定するには

  1. [Aggressive Aging Timeouts are enforced when(アグレッシブ エージング タイムアウトを実行する条件)]セクションで、接続テーブルが制限を超えるか、メモリが制限を超えるか、またはその両方が制限を超えたときに実行するのかを選択します。

  2. 接続テーブルまたはメモリ消費の限界を定義するパーセンテージを入力します。両方を選択した場合は、その他オプションのパーセンテージ フィールドの値が適用されます。デフォルト値は80%で、接続テーブルまたはメモリ消費がこの制限を超えると "削除対象" リストから接続が削除されます。

 

表:アンチARPスプーフィングの属性

アンチARPスプーフィング属性

内容

アンチARPスプーフィング モード

アンチARPスプーフィング保護のモード。保護を有効、無効、または検出専用モードにすることもできます。

攻撃を示す検出ウィンドウの時間

同じMACアドレスに割り当てられたIPアドレスがARPスプーフィング攻撃を示す期間(秒単位)

攻撃を示すIPアドレスの数

ARPスプーフィング攻撃を示す検出ウィンドウ時間中に同じMACアドレスに割り当てられたIPアドレスの数

不審なMACブロック期間

疑わしいMACアドレスがブロックリストに保持される期間(秒単位)

 

表:アンチスパム ポリシーの属性

アンチスパム ポリシーの属性

説明

すべてのメールを追跡

スパムまたはスパムの疑いがあると見なされていないEメールを追跡するオプションです。このようなEメールを追跡するとパフォーマンスに影響することがあります。

許可メールの追跡

[脅威対策]>[アンチスパムの例外]ページで手動で許可されたEメールを追跡するオプションです。

内容に基づくアンチスパムのタイムアウト

コンテンツベースのアンチスパム インスペクション時に、クラウドからの応答を待機するタイムアウト (秒)

スキャンのメール サイズ

スキャンするEメールのコンテンツの最大サイズ (KB) を表示します。

IPレピュテーション フェイルオープン

アンチスパムIPレピューテーション テスト中に内部エラーが発生したときに行うアクションを表示します。

IPレピュテーション タイムアウト

IPレピュテーション テストの結果を待つタイムアウト (秒) 時間を表示します。

送信Eメールのスキャン

ローカル ネットワークからインターネットへのEメールのコンテンツをスキャン

Transparent proxy

検査済みのEメール接続に透過型プロキシを使用します。無効にすると、クライアント マシンでのプロキシ アドレスおよびポートの設定が必要になります。

 

表:アンチスプーフィングの属性

アンチスプーフィングの属性

説明

グローバル アンチスプーフィングを有効にする

各ゾーンに応じてすべてのインタフェースでアンチスプーフィングを自動的に有効にするかどうかを表示します。

 

表:アプリケーション & URLフィルタリング属性

アプリケーション & URLフィルタリング属性

説明

サービスが利用不可の場合はブロック

Check Pointカテゴリおよびウィジェット定義オンラインWebサービスが利用できない場合にWebリクエストをブロックするかどうかを表示します。

キャッシュされたページと翻訳されたページを分類

検索エンジンによって作成されたキャッシュ ページおよび変換ページのURL分類を行うかどうかを表示します。

HTTPSのカスタム アプリ

カスタムURLとアプリケーションがSNIフィールドを使用してHTTPSトラフィックでマッチングされるかどうか。重要: HTTPSトラフィックのSNIフィールドはブラウザ依存でプロミスキャスなため、100%マッチの保証はありません。

セーフサーチを有効にする

URLフィルタリング ポリシーがユーザのブラウザのセーフサーチ設定を上書きするかどうかを表示します。ユーザの設定に関わらず厳格なセーフサーチ設定は適用されます。明白に性的なコンテンツは検索エンジンの結果から除去されます。

フェイル モード

内部システム エラーまたは過負荷が発生したときにトラフィックに行うアクションを表示します。

参照時間の追跡

HTTPセッション中にユーザが様々なサイトおよびアプリケーションに接続していた合計時間のログを表示します。

HTTP参照元ヘッダの使用

アプリケーションの識別向上のためインスペクション エンジンがHTTP "参照元" ヘッダを使用するかどうかを表示します。

Webサイト分類モード

Webサイト分類に使用するモードを表示します。

バックグラウンド - 分類が完了するまでリクエストを許可します。リクエストがキャッシュされたレスポンスではカテゴリ分類できない場合は、カテゴリ分類されていないレスポンスを受け取ります。また、そのサイトへのアクセスは許可されます。Check PointオンラインWebサービスはバックグランドで、カテゴリ分類手続きを継続します。次いでレスポンスは将来のリクエストに対応するためローカルにキャッシュされます (デフォルト)。このオプションにより分類処理の遅延を軽減できます。

ホールド - カテゴリ分類が完了するまでリクエストをブロックします。

キャッシュされたレスポンスではリクエストをカテゴリ分類できない場合は、Check PointオンラインWebサービスがカテゴリ分類を完了するまで継続してブロックされます。

 

表:容量の最適化の属性

容量の最適化の属性

説明

接続ハッシュ テーブル サイズ

接続ハッシュ テーブルのサイズをバイト単位で表示します。

この値は整数かつ2のべき乗の指数で最大同時接続数の約4倍になります。

最大同時接続数

全体的な同時接続の最大数を表示します。

 

表:クラウド サービス ファームウェアのアップグレードの属性

クラウド サービス ファームウェアのアップグレードの属性

説明

サービス アクセスの最大リトライ回数

サービスを使用したアップグレードに失敗した場合の最大リトライ回数を表示します。

リトライまでのサービス アクセス タイムアウト

サービスへの接続に失敗したとき次のリトライまでの待ち時間 (秒) を入力します。

 

表:クラスタの属性

クラスタの属性

説明

バーチャルMACを使用

ネットワークの切り替えによるすばやいフェイルオーバーを可能にするためすべてのメンバが仮想MACアドレスを使用するかどうかを表示します。

仮想MACアドレスを使用することにより

  • フェイルオーバー中にトラフィックが途絶する可能性を最小化します。

  • NATed IPアドレスにG-ARPを使用する必要がなくなります。

 

表:DDNSの属性

DDNSの属性

説明

繰り返し

DNSアップデートの回数

 

表:DHCPブリッジの属性

DHCP花嫁の属性

内容

MAC割り当て

DHCPブリッジのMACアドレスが内部(LAN)または外部ポート(WAN, DMZ)から取得されているかどうかを示します。

 

表:DHCPリレーの属性

DHCPリレーの属性

説明

内部IPアドレスを発信元に使用する

アプライアンスからのDHCPリレー パケットが内部IPアドレス由来の場合は、[内部IPアドレスをソースとして使用する]を選択します。これはDHCPサーバがリモートVPNサイトの背後にある場合に必要となることがあります。

 

 

表:ファイアウォール ポリシーの属性

ファイアウォール ポリシーの属性

説明

ブロックしたパケットのアクション

ブロックしたパケットの処理:破棄、拒否、または自動 (外部からは破棄、内部からは拒否)

暗黙ルールのログ

暗黙ルールにマッチする接続のログ記録を作成

 

表:一般テンポラリ ディレクトリ サイズの属性

一般テンポラリ ディレクトリ サイズの属性

説明

一般テンポラリ ディレクトリ サイズ

一般テンポラリ ディレクトリのサイズ (MB) を制御します。

システム テンポラリ ディレクトリ サイズ

システムが使用するテンポラリ ディレクトリのサイズ (MB) を制御します。

 

表:ハードウェア オプションの属性

ハードウェア オプションの属性

説明

工場出荷時のタイムアウトに戻す

工場出荷時のデフォルトのイメージを復元するには、アプライアンスのバック パネルの工場出荷時設定ボタンをこの時間 (秒) だけ押し続ける必要があります。

 

表:ホットスポットの属性

ホットスポットの属性

説明

ポータルを有効にする

[無効]を選択するとホットスポット機能が完全に無効になります。

同時ログインのブロック

同じユーザが同時に別のマシンからホットスポット ポータルへログインすることを禁止

 

表:IPフラグメント パラメータ

IPフラグメント パラメータの属性

説明

複数のパラメータ

これらのパラメータでアプライアンスがIPフラグメントを処理する方法を設定できます。

フラグメント化IPパケットをブロックするか、または設定した閾値に達しときフラグメントをドロップすることができます。

いずれかのオプションを選択します。

  • IPフラグメントを禁止する - フラグメント化IPパケットをドロップします。

  • IPフラグメントを許可する - 設定した閾値を超えていなければフラグメント化IPパケットを許可します。このオプションを選択した場合、容認する不完全パケットの最大数を設定できます。また、整合していないフラグメント化パッケージをドロップする前に保持するタイムアウト (秒) も設定できます。

 

表:IP解決の属性

IP解決の属性

内容

IP解決 - IP解決の有効化

IP解決ログの有効化/無効化

IP解決 - IP解決のTTL

ホスト名解決が使用される時間(秒)。

デフォルトは3600です。

 

表:IPS追加パラメータ

IPS追加パラメータの属性

説明

最大ping

[最大Pingサイズ]保護が有効なときに許可する最大pingパケット サイズ

非標準HTTPポート

IPSブレードの非標準ポートでのHTTPインスペクションの有効化

 

表:IPSエンジン設定

IPSエンジン設定の属性

説明

プロトコル不明コマンドを許可

通常、IPSエンジンでは認識されないプロトコル(POP3、IMAPなど)コマンドがブロックされます。

詳細設定がtrueに設定されている場合、IPSはトラフィックを許可します。

サポートされるWeb保護のエラー ページ オプションを設定 - 複数のパラメータ

一部のWebベースの保護は検出時にエラー ページを表示できます。このエラー ページは設定可能です。

次のエラー ページがサポートされます。

  • マリシャス コード プロテクタ

  • クロスサイト スクリプティング

  • LDAPインジェクション

  • SQLインジェクション

  • コマンド インジェクション

  • ディレクトリ トラバーサル

  • ディレクトリ リスティング

  • エラー コンシールメント

  • HTTPフォーマット サイズ

  • ASCIIオンリー リクエスト

  • ASCIIオンリー レスポンス ヘッダ

  • HTTPメソッド

これらのオプションからすべての保護に適用するオプションを1つ選択します。

  • 表示しない

  • [事前定義されたHTMLエラー ページの表示] - 攻撃を検出したときに開くHTMLページを設定できます。ページを設定するには、[詳細設定]>[IPSエンジン設定]>[HTMLエラー ページ設定]に移動します。

  • [別のURLにリダイレクト] - 攻撃を検出したときにユーザをリダイレクトするURLを入力します。検出した攻撃の詳細な情報を提供するエラー コードを追加することもできます。ただし、情報が攻撃者によって悪用される可能性があるため推奨されません。

HTMLエラー ページの設定 - 複数のパラメータ

これらの設定により、エラー ページの詳細設定が[事前定義されたHTMLエラー ページの表示]に設定されているときに表示するHTMLエラー ページを事前定義できます。いずれかのオプションを選択します。

  • ロゴのURL - 必要に応じて会社のロゴがあるURLを入力します。

  • HTMLエラー ページの設定 - 検出した攻撃に関する詳細情報を提供するエラー コードを表示します。ただし、情報が攻撃者によって悪用される可能性があるため推奨されません。

  • 詳細エラー コードを送信 - HTMLページに表示する手動で定義したテキストを入力します。テキストを説明ボックスに入力します。たとえば、IPSポリシー違反によるアクセス拒否などと入力します。

 

表:内部証明書設定の属性

内部証明書設定の属性

説明

内部CA証明書の有効期限の設定

内部CA証明書の有効年数。有効期限になると、証明書が再初期化されます。

 

表:インターネット属性

インターネット属性

説明

LSIエラーでSierra USBをリセット

無効なLSI信号送信時にSierraタイプのUSBモデムをリセットするかどうか

 

表:MACフィルタリングの属性

MACフィルタリングの属性

内容

MACフィルタリング状態

MACフィルタリング状態

ブロックされたMACアドレスをログに記録

ブロックされたMACアドレスをログに記録するかどうかを示します。

ログ中断

管理者が管理者名を入力せずにリモートSecurity Management Serverからアプライアンスにアクセスできるかどうかを表示します。

 

表:マネージド サービスの属性

マネージド サービスの属性

説明

管理者のリモート管理サーバからのシームレスなアクセスを許可します。

管理者が管理者ユーザ名とパスワードを入力せずにリモートSecurity Managementサーバからアプライアンスにアクセスできるかどうかを表示します。

ログインにデバイスの詳細を表示

管理者がアプライアンスにアクセスする際アプライアンスの詳細を表示するかどうか

 

表:モバイル設定の属性

モバイル設定の属性

説明

モバイル設定 - 通知クラウド サーバURL

モバイル通知の送信に使用するクラウド サーバURL

モバイル設定 - ペアリング コードの有効期限

ペアリング コードの期限が切れるまでの期間 (時間)。

タイプ: 整数

モバイル設定 - SSL証明書の検証

モバイル通知をクラウド サーバに送信する際SSL証明書を検証

 

表:NATの属性

NATの属性

説明

ARP手動ファイルのマージ

自動ARP検出を有効にしたとき、より高い優先度でローカル ファイル内のARP定義を使用するかどうかを表示します。手動静的NATルールには手動プロキシARP設定が必要です。手動ARP設定がlocal.arpファイルに定義され、自動ARP設定が有効である場合は、両方の定義が維持されます。これらの定義が競合する (両方に同じNAT IPアドレスが使用される) 場合は、手動設定が使用されます。

複数のパラメータ - IPプールNAT

IPプールは、ゲートウェイがルーティングできるIPアドレス (アドレス範囲、それらのオブジェクトのひとつのネットワークまたはグループ) の範囲です。サーバへの接続が開かれると、ゲートウェイはソースIPアドレスの代わりにIPプールからIPアドレスを使用します。サーバからのリプライ パケットがゲートウェイに返されるときは、元のソースIPアドレスが復元されてからパケットがソースに転送されます。

IPプールNATを使用する場合は、既存のIPアドレス範囲オブジェクトを選択します。ただし、[ユーザ&オブジェクト]>[ネットワーク オブジェクト]ページで事前に定義する必要があります。IPプールNATメカニズムにより、この範囲からIPアドレスの割り当てが行われます。

  • VPNクライアント接続にIPプールNATを使用 - VPNリモート アクセス クライアントからゲートウェイへの接続に適用します。

  • IPプールNATをゲートウェイ間の接続に使用 - サイト間のVPN接続に適用します。

  • Hide NATよりIPプールNATを優先 - 両者が同じ接続をマッチしたときIPプールNATがHide NATより優先するように指定します。IPプールが使い尽くされている場合は、Hide NATのみが適用されます。

  • プールのIPアドレスを別の宛先に再利用 - 異なる宛先にはプールからIPアドレスを再利用するには、このオプションを選択します。

  • 未使用アドレスの間隔 - 使用されていないアドレスをIPアドレス プールに戻すまでの間隔を分単位で指定します。

  • アドレス枯渇の追跡 - IPプールが尽きたときに発行するログのタイプを指定します。

  • アドレスの割り当てと解放の追跡 - IPプールからのIPアドレスの各割り当ておよび解放を記録するかどうかを指定します。

ARPの自動設定

ローカル ネットワーク内の内部デバイスが静的NATを使用して定義されている場合、アプライアンスは静的NAT IPアドレス宛のパケットをそれらのデバイスに渡す必要があります。このオプションにより、アプライアンスはそれらのIPアドレスのARPリクエストに自動的に応答するようになります。

Hide NATの容量を増やす

Hide NAT容量に追加容量を加えるかどうかを表示します。

NAT有効

デバイスのNAT機能が有効かどうかを表示します。

NATのキャッシュの期限

NATキャッシュ エントリの有効期限を分単位で表示します。

NATキャッシュのエントリ数

NATキャッシュ エントリの最大数を表示します。

NATハッシュ サイズ

NATテーブルのハッシュ バケット サイズを表示します。

NAT制限

NATによる接続の最大数を表示します。

クラスタ非表示フォールドを実行

ローカルIPアドレスをクラスタIPアドレスで隠すか(該当する場合)、または逆に各クラスタ メンバの物理IPアドレスを隠すのかを表示します。

クライアント側の宛先を変換

宛先IPアドレスをクライアント側で変換します (NATルールを自動生成する場合)。

クライアント側で宛先を変換 (手動ルール)

宛先IPアドレスをクライアント側で変換します (NATルールを手動で設定している場合)。

 

表:通知ポリシーの属性

通知ポリシーの属性

内容

通知言語

通知言語

通知ポリシー - プッシュ通知を送信

通知がモバイル アプリケーションに送信されたかどうか

通知ポリシー - 1時間あたりに送信する通知の最大数

1時間あたりにモバイル デバイスに送信される通知の最大数

 

表:オペレーティング システム属性

オペレーティング システム属性

内容

オペレーティング システム - オペレーティング システム

tmpDirSize

オペレーティング システム - システム テンポラリ ディレクトリ サイズ

システムが使用するテンポラリ ディレクトリのサイズ(MB)を制御します。

 

表:OS詳細設定の属性

OS詳細設定の属性

内容

WANからLANへのDHCPオプションの転送を無効にする

WANからLANへのDHCPオプションの転送が無効かどうか

 

表:プライバシー設定の属性

プライバシー設定の属性

説明

Check Point製品向上のためにデータ送信する

カスタマの同意

 

表:QoS Bladeの属性

QoS Bladeの属性

説明

ログ記録

QoS Bladeが有効なとき、アプライアンスがQoSイベントを記録するかどうかを表示します。

 

表:デバイス アクセスの属性

デバイス アクセスの属性

説明

SSL証明書を無視する

アクセス サービスの実行中はSSL証明書を無視するかどうかを表示します。

サーバ アドレス

NATに隠れている場合でもインターネットからアプライアンスへの管理者アクセスを許可するリモート サーバのアドレスを表示します。

 

表:レポート設定の属性

レポート設定の属性

内容

レポート設定 - 最大期間

データを収集および監視する最長期間。変更を反映するにはアプライアンスを再起動します。

レポート設定 - レポートのクラウド サーバURL

レポートPDFの生成に使われるクラウド サーバURL

 

 

 

表:シリアル ポートの属性

シリアル ポートの属性

説明

複数のパラメータ

シリアル ポートのパラメータで、アプライアンスの背面パネルのコンソール ポートを設定できます。

必要な場合は完全に無効にでき([シリアル ポートを有効にする]チェックボックスをオフ)、[ポート スピード][フロー制御]を設定します。これらの設定は、コンソール ポートに接続されているデバイスの設定と一致している必要があります。

このポートのモードは3種類あります。

  • コンソール - デフォルトで設定されているモードです。ポートはアプライアンスのコンソールへアクセスするために使われます。

  • アクティブ - ポートからアプライアンスのコンソールに接続するのではなく、データは指定されたTelnetサーバをリレーします。Telnetサーバはこのポートから確認できます。Telnetサーバのと、サーバのIPアドレスを入力します。2つの異なるIPサーバのIPアドレスを設定できます(プライマリ サーバセカンダリ サーバ)。

  • パッシブ - このモードでは、データのフローが予約されてアプライアンスはシリアル ポートを経由して接続デバイスのコンソールにアクセスします。このコンソールは、Telnet接続からアプライアンスの設定したポートを経由してアクセスできます。TPCポートの待機にポート番号を入力します。

任意の発信元からこのポートへのトラフィックを許可する暗黙ルールを設定するには、このポートへのトラフィックを暗黙的に許可がオンになっていることを確認します。暗黙ルールを作成しない場合は、ファイアウォール ルール ベースで手動で定義する必要があります。

2つのアプライアンスのうち、1台がアクティブ モードでもう1台がパッシブ モードの場合、クライアントは、Telnet接続を使ったインターネットで、リモートからアプライアンスに接続されたコンソールにアクセスできます。

 

表:SSLインスペクション属性

SSLインスペクション属性

説明

追加のHTTPSポート

SSLインスペクションの追加のHTTPSポート(カンマで区切られたポート/範囲のリスト)。

空のSSL接続をログ記録

データが送信される前にクライアントが終了した接続をログに記録します。これは、クライアントがCA証明書をインストールしていない可能性があることを表示します。

中間CA証明書の取得

認証チェーンのすべての中間CA証明書の検証をSSLインスペクション メカニズムで行うかどうかを表示します。

検証エラーの追跡

SSLインスペクションの検証を追跡するかどうか。

CRLの検証

取り消された証明書の接続をSSLインスペクション メカニズムで破棄するかどうかを表示します。

有効期限の検証

期限切れ証明書の接続をSSLインスペクション メカニズムで破棄するかどうかを表示します。

到達できないCRLの検証

到達できないCRLを持つ証明書の接続をSSLインスペクション メカニズムで破棄するかどうかを表示します。

信頼できない証明書の検証

信頼できないサーバ証明書の接続をSSLインスペクション メカニズムで破棄するかどうかを表示します。

 

表:ステートフル インスペクションの属性

ステートフル インスペクションの属性

説明

ステート外TCPパケットを許可

TCP接続の現行ステートと一致しないTCPパケットは破棄 (0の場合) または許可 (0以外の場合)

ステートフルICMPエラーを許可

ルール ベースによって許可された非ICMP接続 (継続中のTCPまたはUDP接続など) を参照するICMPエラー パケットを許可します。

ステートフルICMP応答を許可

ルール ベースによって許可されたICMPリクエストに対するICMP応答パケットを許可します。

不明サービスのステートフルUDP応答を許可

不明なサービスに対するステートフルUDP応答を許可するかどうかを指定します。各UDPサービス オブジェクトについて、サービスがトラフィックを許可するルールに合致する場合に、それに対するUDPリプライを許可するかどうかを設定できます。このパラメータはサービス オブジェクトが対象としないすべての接続を参照します。

不明サービスのステートフルな他のIPプロトコル応答を許可

不明なサービスに対するその他のステートフルIPプロトコルを許可します。各サービス オブジェクトについて、サービスがトラフィックを許可するルールに合致する場合に、それに対するリプライを許可するかどうかを設定できます。このパラメータはサービス オブジェクトが対象としないすべての非UDP/TCP接続を参照します。

LAN-DMZ DPIの許可

内部ネットワークとDMZネットワーク間のトラフィックでのディープ パケット インスペクションを許可します。

- DMZは1530/1550アプライアンスではサポートされていません。

LAN-LAN DPIの許可

内部ネットワーク間のトラフィックでのディープ パケット インスペクションを許可します。

ステート外ICMPパケットを破棄

"バーチャル セッション" にはないICMPパケットを破棄します。

ICMPバーチャル セッションのタイムアウト

この時間 (秒) を過ぎたICMPバーチャル セッションはタイムアウトしたとみなされます。

破棄されたステート外ICMPパケットをログ記録

破棄されたステート外ICMPパケットをログ記録するかどうかを表示します。"ステート外ICMPパケットの破棄" パラメータを参照してください。

破棄されたステート外TCPパケットをログ記録

破棄されたステート外TCPパケットをログ記録するかどうかを表示します。"ステート外TCPパケットを許可" パラメータを参照してください。

他のIPプロトコルのバーチャル セッションのタイムアウト

この時間 (秒) を過ぎたTCP、UDPまたはICMP以外のバーチャル ッションはタイムアウトしたと見なされます。

TCPエンド タイムアウト

TCPセッション終了のタイムアウト (秒) 時間を表示します。2個または各方向に1つのFINパケットまたはRSTパケットの後、TCPセッションは「終了」したものと見なされます。

TCPセッション タイムアウト

TCPセッションのタイムアウト (秒) 時間を表示します。この時間 (秒) 以上にアイドリングが続いたTCPセッションはタイムアウトします。

TCPスタート タイムアウト

TCPセッション開始のタイムアウト (秒) 時間を表示します。最初のパケットの到着から接続 (TCP 3方向ハンドシェイク) が確立されるまでの間隔がこの時間 (秒) を超えると、TCP接続ははタイムアウトします。

UDPバーチャル セッションのタイムアウト

この時間 (秒) を過ぎたUDPバーチャル セッションはタイムアウトしたとみなされます。

 

表:ストリーミング エンジン設定の属性

ストリーミング エンジン設定の属性

説明

複数のパラメータ

これらの設定では、様々な詳細インスペクションのブレード (IPS、アプリケーション コントロール、アンチボット、アンチウイルスなど) で使用するTCPストリーミング エンジンがストリーミング エンジンによるインスペクションを妨げるプロトコル違反やイベントをどのように処理するかを決定します。

設定は常にブロック モードにすることをお勧めします。これらの設定を検出モードで使用すると、イベントまたは違反が発生するとインスペクションが停止し、セキュリティが大幅に低下することがあります。

この設定がこのようなイベントをログ記録するように設定されている場合、IPSブレードの[ログ&モニタリング]>[セキュリティ ログ]にログが表示されます。

各違反またはイベントについては、アクションおよび追跡モードで設定します。

TCPセグメント制限の実施

ゲートウェイを通過する各TCPセグメントについて、ゲートウェイはセグメント受信通知を受けるまでセグメントのコピーを保持します。これによりバッファされたデータはゲートウェイのメモリの容量を占有します。このパラメータはバッファするセグメントの数とサイズを接続ごとに制限します。接続がこれらの制限のいずれかに達すると、ゲートウェイはバッファされたセグメントが認知されるまでその接続の新たなセグメントを受け付けなくなります。

TCPシーケンス外

TCPストリームの受信ホストはセグメントをバッファリングし、指定のウィンドウ内にそれらのセグメントのみを保持します。このウィンドウの外のセグメントは受信ホストによる処理を受けません。TCP受信ウィンドウの外にあるTCPセグメントはゲートウェイで処理すべきではありません。ウィンドウの外にあるTCPセグメントからのすべてのデータはドロップまたは削除されます。セグメントがウィンドウに近い場合、データは取り除かれます。セグメントがウィンドウから離れている場合は、データはドロップされます。

TCP無効な再送

ゲートウェイを通過する各TCPセグメントについて、ゲートウェイはセグメント受信通知を受けるまでセグメントのコピーを保持します。通知の受信がない場合、ソース マシンはセグメントを再送信し、ゲートウェイがコピーと比較して新しいパケットが元のパケットと一致しているか確認します。元のセグメントと一致しない再送信を通すことにより、未検査データを目的のアプリケーションに届けることができます。これにより、元のセグメントと異なるセグメントの再送信がブロックされ、ゲートウェイが受信側アプリケーションで処理されるすべてのデータを確実に検査できるようになります。検出するように設定した場合、このような再送信によってトラフィックがブレードの詳細な検査をバイパスします。

TCP無効なチェックサム

無効なTCPチェックサムを持ったパケットは受信ホストのTCPスタックでドロップされるため、ゲートウェイはそのようなパケットを検査する必要がありません。これにより無効なチェックサムを持ったTCPパケットがブロックされます。ネットワーク機器の不調により、ネットワーク上に誤ったチェックサムを持つパケットが現れることは普通のことです。これは攻撃の試みを示すものではないため、デフォルトではこうしたイベントは記録されません。

TCP SYN 変更された再送

IPSが検査していない接続を開始しようとして、変更されたシーケンス番号でTCP SYNパケットが再送信されることがあります。このため、シーケンス番号が変更されたSYNの再送信をブロックします。検出するように設定した場合、このような再送信によってトラフィックがブレードの詳細な検査をバイパスします。

TCP 緊急データ実施

Telnetのような一部のTCPプロトコルでは、プロトコル構文の一部としてTCP URGビットを使用して帯域外データを送信しますが、ほとんどのプロトコルではTCPの帯域外データ処理機能を使用しません。URGビットを含むパケットを許可すると、受信しているアプリケーションによってどのデータが処理されているかゲートウェイが判断できなくなることがあります。このため、ゲートウェイによって検査したデータが 受信しているアプリケーションが処理するデータと異なるという状態になることがあります。この場合にはIPS保護がバイパスされることになります。帯域外データ処理機能をサポートしていないプロトコルでURGビットを含むパケットを受信した場合、ゲートウェイは受信しているアプリケーションがそのデータを処理するかどうか判断できません。そこで、TCPの帯域外データ処理機能をサポートしていないプロトコルにセットされたURGビットを含むTCPセグメントからURGビットを削除します。検出するように設定した場合、URGビットを使用すると、トラフィックがブレードの詳細な検査をバイパスします。

ストリーム インスペクション タイムアウト

特定の処理によって接続を検査した場合、検査完了までに遅れが発生することがあります。検査が制限時間内に完了しない場合、リソースを開放したままにしないように接続は切断されます。このようにして、検査制限時間を超過した接続をブロックします。検出するように設定した場合、このようなタイムアウトを超えるによってトラフィックがブレードの詳細な検査をバイパスします。

 

表:脅威対策アンチボット ポリシーの属性

脅威対策アンチボット ポリシーの属性

説明

リソース分類モード

アンチボット エンジンによるリソースの分類に使用するモードを示します。

  • [ホールド] - 分類が完了するまで、接続はブロックされます。

    接続がキャッシュされた情報で分類できない場合、Check PointのオンラインWebサービスによる分類が完了するまで接続はブロックされたままになります。

  • [バックグラウンド] - 分類が完了するまで、接続は許可されます。接続がキャッシュされた情報で分類できない場合、分類されていない応答を受信します。接続は許可されます。バックグラウンドではCheck PointのオンラインWebサービスにより分類が続行されます。このとき、応答は今後の要求に備えてローカルにキャッシュされます。このオプションにより分類プロセスの待ち時間が短縮されます。

 

表:脅威対策アンチウイルス ポリシーの属性

脅威対策アンチウイルス ポリシーの属性

説明

ファイル スキャンのサイズ制限

アンチウイルス エンジンでスキャンするファイルサイズ制限 (KB)。制限を指定しない場合は0にします。

MIME最大ネスト レベル

ネストされたMIMEコンテンツを含むメールに対して、ThreatSpectエンジンがどのネスト レベルのメールまでスキャンするかを示す最大ネスト レベル数を設定します。

MIMEネスト レベル超過時のアクション

MIMEコンテンツのネスト レベルが設定されたレベルより大きい場合、ファイルを[ブロック]または[許可]するよう設定できます。

優先スキャニング

スキャンを最適化するために、セキュリティとパフォーマンスの優先度に従ってスキャンします。

リソース分類モード

アンチウイルス エンジンによるリソースの分類に使用するモードを示します。

  • [ホールド] - 分類が完了するまで、接続はブロックされます。

    接続がキャッシュされた情報で分類できない場合、Check PointのオンラインWebサービスによる分類が完了するまで接続はブロックされたままになります。

  • [バックグラウンド] - 分類が完了するまで、接続は許可されます。接続がキャッシュされた情報で分類できない場合、分類されていない応答を受信します。接続は許可されます。バックグラウンドではCheck PointのオンラインWebサービスにより分類が続行されます。このとき、応答は今後の要求に備えてローカルにキャッシュされます。このオプションにより分類プロセスの待ち時間が短縮されます。

 

表:脅威対策Threat Emulationポリシーの属性

脅威対策Threat Emulationポリシーの属性

説明

エミュレーション時の接続処理モード - IMAP

IMAPでのThreat Emulationエンジンのモード:

  • バックグラウンド - ファイルのエミュレーションが完了するまで許可 (必要な場合)。

  • ホールド - ファイルのエミュレーションが完了するまでブロック

エミュレーション時の接続処理モード - POP3

POP3でのThreat Emulationエンジンのモード:

  • バックグラウンド - ファイルのエミュレーションが完了するまで許可 (必要な場合)

  • ホールド - ファイルのエミュレーションが完了するまでブロック

エミュレーション時の接続処理モード - SMTP

SMTPでのThreat Emulationエンジンのモード:

  • バックグラウンド - ファイルのエミュレーションが完了するまで許可(必要な場合)

  • ホールド - ファイルのエミュレーションが完了するまでブロック

エミュレーション場所

Public ThreatCloudまたはリモート (プライベート) SandBlastでエミュレーションを実行するかどうかを示します。

プライマリ エミュレーション ゲートウェイ

メインのリモート エミュレーション ゲートウェイのIPアドレス。

 

表:脅威対策ポリシーの属性

脅威対策ポリシーの属性

説明

サービスが利用不可の場合はブロック

Check Point ThreatCloudオンラインWebサービスが利用不可の場合に Web リクエスト トラフィックをブロック

フェイル モード

内部システムエラーまたはオーバーロードが起きた場合、トラフィックに対して実行するアクション([すべてのリクエストを許可]または[すべてのリクエストをブロック])を示します。

インスペクションのサイズ制限

脅威対策エンジンで検査されるファイル サイズ制限(KB)。

- 制限が低すぎると Application Control Blade の機能に影響が出る可能性があります。制限を指定しない場合は0にします。

HTTPインスペクションをスキップする方法

警告:[フル]に設定変更すると、セキュリティに重大な影響を与えます。

HTTP接続はさまざまなセッションで構成されていることがあります。1つのHTTP接続の一部のファイルはHTTPセッションを通過します。

[検査するファイル サイズの制限]の設定が0でない場合、[HTTP検査のスキップ方法]を[デフォルト]に設定すると、ファイルの検査がそのセッションの終わりまでスキップされ、次のHTTPセッションから再開されます。

[検査するファイル サイズの制限]の設定が0でない場合に[HTTP検査のスキップ方法]の設定を[フル]に変更すると、ファイルの検査がその接続の終わりまでスキップされ、次の接続から再開されます。これによってその接続の残りの検査が速まり、パフォーマンスが改善されます。しかし、[フル]への設定変更はセキュリティに重大な影響を与えるためお勧めしません。その接続の残りのセッションは検査されないままになります。

脅威対策ポリシー - 脅威対策をフルパッケージでアップデート

脅威対策を最新パッケージにアップデートします。

 

表:USB モデム ウォッチドッグの属性

USBモデム ウォッチドッグの属性

内容

間隔

USB モデム ウォッチドッグがインターネットをプローブする頻度 (分) を示します。

モード

インターネット プロービングが有効かつリセット タイプの時、USB モデム ウォッチドッグが有効かどうかを示します。

インターネットをプローブしてもインターネット アクセスがない場合、USB モデム ウォッチドッグを有効にするために、次のリセット オプションのいずれかを選択します。

  • [無効] - デフォルト。

  • [ハード リセット] - USBモデムの電源をオフにしてから再投入します。

  • [ゲートウェイ リセット] - アプライアンスを再起動します。

  • [ハード ゲートウェイ リセット] - 最初にゲートウェイを再起動します。成功しない場合は、アプライアンスを再起動します。

USBのみ

USB モデム接続のみモニタリングし、それ以外のインターネット接続はモニタリングしません。

このモードでは、その他のインターネット接続をモニタリングする場合、ゲートウェイ リセットはプロービングが USB モデムだけでなく、すべてのインターネット接続で失敗したときのみ起こります。

タイプ -Boolean

 

表:アップデート サービスのスケジュールの属性

アップデート サービスのスケジュールの属性

説明

再試行の最大数

クラウドを利用できない時、単一のアップデートに対する再試行の最大数を示します。

再試行するまでのタイムアウト値

アップデートを再試行するまでのタイムアウト値(秒)を示します。

 

表:ユーザ認識の属性

ユーザ認識の属性

説明

Active Directory関連付けのタイムアウト値

ユーザとIPアドレスとの関連付けをキャッシュするまでのタイムアウト値(分)を示します。

不明ユーザにDNSを許可

[ユーザ&オブジェクト]>[ユーザ認識]>[ブラウザ ベース認証]>[認識]タブで[キャプティブ ポータルが利用できない場合は認識できないユーザをブロック]が選択されているとき、認証されないユーザからのDNSトラフィックはブロックされないことを示します。

DNSトラフィックを許可しないと、エンドユーザのブラウザでキャプティブ ポータルを表示できないことがあるためです。

各ユーザに1つのIPアドレス

[ユーザ&オブジェクト]>[ユーザ認識]でActive Directoryクエリを有効にすると、1台のデバイスに対して1人のユーザのみが認識されるようになることがパラメータで示されます。2人以上のユーザが1台のデバイスから接続した場合、最後にログオンしたユーザのみが認識されます。

ブロックした不明ユーザをログ記録

[ユーザ&オブジェクト]>[ユーザ認識]>[ブラウザ ベースの認証]>[認識]タブで[キャプティブ ポータルが利用できない場合は認識できないユーザをブロック] が選択されているとき、ブロックした認証されないユーザをログ記録するかどうかを示します。

 

表:ユーザ管理の属性

ユーザ管理の属性

説明

失効したローカル ユーザを自動削除

失効したローカル ユーザを24時間ごと自動削除 (日付変更後)

 

表:VPNリモート アクセスの属性

VPNリモート アクセスの属性

説明

オフライン時のトラフィックのクリアを許可

リモート アクセスVPNクライアントがサイトに未接続の場合、VPNドメインへのトラフィックが処理される方法 (クリア/破棄)

同時ログインを許可

複数のセッションへのログインを許可するかどうかを示します。このオプションが無効の場合、ユーザが同じ認証情報で2度目にログインすると、最初のセッションは切断されます。

認証タイムアウト

タイムアウトが有効な場合、リモート クライアントのパスワードの有効性が維持される時間(分)を示します。

認証タイムアウト - 有効

リモート クライアントのパスワードの有効性が維持されるのは設定した時間のみかどうかを示します(認証タイムアウトの属性)。

VPNドメインで自動切断

クライアントが安全な内部ネットワーク内(ローカル暗号化ドメイン)から接続している場合、リソース消費削減のためにクライアントが自動的に切断されるかどうかを示します。

バック接続 - 有効

ゲートウェイで隠れている暗号化ドメインからクライアントへの逆向き接続を有効にします。

バック接続キープアライブの間隔

ゲートウェイへのキープアライブ パケットと逆向き接続のクライアントへのキープアライブ パケットとのサイクル間隔(秒)を示します。

すべてのインタフェースでビジター モードを有効にする

このインタフェースでビジター モードを有効にする

このダイアログ ボックスを使用して、ビジター モードの特定のインタフェースを設定できます。ビジター モードでは、リモート アクセス クライアントからのIKE接続のバックアップとして、アプライアンスにより指定されたポート(デフォルトはポート443)でTCPTトラフィックの待ち受けをすることができます。

一般に、このモードの使用によって、ホテルなど制約のある環境でのVPNリモート アクセスを可能にします。

特定のインタフェースだけにビジター モードを有効にすることはお勧めしません。

DNSトラフィックの暗号化

リモート クライアントによって暗号化ドメインにあるDNSサーバに送られたDNSクエリがVPNトンネルを通過するかどうかを示します。

暗号化メソッド

IKEフェーズの1および2に、どのIKE暗号化メソッド(バージョン)が使用されるかを示します。

Endpoint Connectの再認証タイムアウト

Endpoint Connectのユーザ認証情報が、認証確認のためにゲートウェイに再送されるまでの時間(分)を示します。

IKE IP圧縮のサポート

リモート アクセス クライアントからのIPSecパケットが圧縮されるかどうか

IKE over TCP

IKE over TCPのサポートを有効にします。

IKE再起動リカバリ

リモート アクセス クライアントを扱う場合、クライアントのアドレスが不明なため、アプライアンスではIKEフェーズ1ネゴシエーションを開始できません。アプライアンスにおいてリモート アクセス クライアントを含むアクティブなSAがある状態で再起動した場合、SAが失われるためアプライアンスではIKEフェーズ1ネゴシエーションを開始できません。しかし、再起動オプションが選択されている場合はトンネルの詳細情報が1分ごとにアプライアンスに保存されます。アプライアンスの再起動後に最初の暗号化パケットが届くと、アプライアンスによってSA削除メッセージが送信されます。これにより、リモート クライアントは古いSAを破棄し、さらに、IKEフェーズ1を開始してトンネルを再構築します。

レガシーNATトラバーサル

Check Point独自のNATトラバーサル メカニズム(UDPカプセル化)がSecureClientに対して有効かどうかを示します。

SSL VPNポータルの最低限TLSバージョンのサポート

SSL VPNポータルでサポートする最低限のTLSプロトコル バージョンを示します。 セキュリティ上の理由から、TLS 1.2およびそれ以上のサポートを推奨します。

複数インタフェースでオフライン モードを有効にする

複数の外部インタフェースによってリモート アクセス クライアントとアプライアンスとの接続性を改善するパフォーマンスインパクトのあるメカニズムが有効かどうかを示します。

オフィスモードでアンチスプーフィングを実行

各サイトにシングル オフィス モード

  • [オフィス モードでアンチスプーフィングを実行] - このオプションを選択した場合、カプセル化されたパケットのIPアドレスがオフィス モードIPアドレスになっているが、オフィス モードで作業中のクライアントのアドレスから確かに送信されたものかをVPNによって確認します。IPアドレスがDHCPサーバで割り当てられる場合、アンチスプーフィング実行のために、VPNはDHCPスコープから割り当てられたアドレスの範囲を知る必要があります。DHCPスコープを表すネットワーク オブジェクトを定義し、それを選択します。

  • [各サイトにシングル オフィス モード] - リモート ユーザが接続して、ゲートウェイからオフィス モードIPアドレスを受け取った後は、このゲートウェイ暗号化ドメインに対するすべての接続では、オフィス モードIPが内部の送信元IPとして使用されます。オフィス モードIPは、暗号化ドメインのホストがリモート ユーザのIPアドレスとして認識するアドレスです。特定のゲートウェイが割り当てるオフィス モードIPアドレスは、それ自体の暗号化ドメインと共に、隣接する暗号化ドメインでも使用できます。隣接する暗号化ドメインは、アドレスを割り当てたゲートウェイと同じVPNコミュニティに属すゲートウェイの背後にある必要があります。リモート ホスト接続は、受け取ったオフィス モードIPアドレスに依存しているため、IPを発行したゲートウェイが使用不能になると、このサイトに対するすべての接続が終了します。

オフィス モードにRADIUSから割り当て

オフィス モードに割り当てられたIPアドレスはユーザ認証に使うRADIUSサーバから取得されるかどうか

オフライン モード - 無効

オフィス モード(IPアドレスをリモート アクセス クライアントに割り当て)が無効になっているかどうかを示します。このオプションは選択しないことをお勧めします。

クライアントでパスワードのキャッシュ

パスワードのキャッシュを使用するかどうかを示します。キャッシュを使用する場合、クライアントが複数のゲートウェイにアクセスしても再認証する必要はありません。

IP NATプールをブロック

IPプールNAT設定をオフィス モードのユーザに適用しない。SecureClientやその他のVPNクライアントを使用する場合、この措置が必要です(sk20251を参照)。

RADIUS再送信タイムアウト

各RADIUSサーバの接続のタイムアウト間隔 (秒)

リモート アクセス ポート

ポート443番をポート転送に予約

デフォルトのリモート アクセス ポートはポート443番です。このポート番号を使用している別のサーバと競合が生じる場合、別のリモート アクセス ポートに設定します。Check PointのVPNクライアント、Mobileクライアント、SSL VPNリモート アクセス メソッドのいずれかが有効で、ポート443番をデフォルトで使用している場合、デフォルトのリモート アクセス ポートを変更する必要があります。デフォルトのポート番号443を変更する場合、必ず[ポート443番をポート転送に予約]を選択してください。

SNXキープアライブ間隔

SSL Network Extenderキープアライブ パケット間の時間(秒)を示します。

SNX再認証タイムアウト

SSL Network Extenderリモート アクセス ユーザの再認証までの時間(分)を示します。

SNXの3DESサポート

3DES暗号化アルゴリズムがデフォルト アルゴリズムと同様SSLクライアントでサポートされるかどうか

SNXのRC4サポート

RC4暗号化アルゴリズムがデフォルト アルゴリズムと同様SSLクライアントでサポートされるかどうか

SNXアンインストール

このパラメータを使用して、SSL Network Extenderクライアントをアンインストールする条件を設定できます。設定オプションは以下のとおりです。自動的にアンインストールはしません(推奨設定、デフォルト)。ユーザが接続を切断すると常にアンインストールします。ユーザが接続を切断すると、アンインストールするかどうか尋ねます。

SNXアップグレード

このパラメータを使用して、SSL Network Extenderクライアントをインストールする条件を設定できます。設定オプションは以下のとおりです。自動的にアップグレードしない、常にアップグレード、アップグレードするかどうかユーザに確認(デフォルト)。

トポロジ アップデートの手動間隔

手動で設定したクライアントへのトポロジ アップデート間隔 (時間)。上書き設定がtrueの場合のみ該当します。

トポロジ アップデートの上書き

設定したトポロジ アップデートがデフォルトの'週に一度'のポリシーを上書きするかどうか

起動時のみトポロジ アップデート

トポロジ アップデートがクライアント起動時のみに行われるかどうか。上書き設定がtrueの場合のみ該当します。

デバイス証明書の検証

リモート アクセス クライアントにより、証明書失効リストでデバイス証明書の確認をします。

権限のないグループに1つでも属していた場合、そのユーザをブロックします

厳格なグループ権限が有効になっている場合 - ユーザがリモートアクセス権限を持たないグループに1つでも属していた場合、そのユーザはリモートアクセスを利用できません。

 

表:VPNサイト間のグローバル設定の属性

VPNサイト間のグローバル設定の属性

説明

NATトラバーサルを許可

標準NATトラバーサル(UDPカプセル化)が有効かどうかを示します。これにより、リモート サイトがNATデバイスで隠れている場合でもVPNトンネルの確立が可能になります。

管理通知

管理イベント(たとえば、証明書の有効期限が間もなく切れる場合)を記録する方法を示します。

IPSec応答パケットの妥当性チェック

IPSec応答パケットの妥当性チェックを行うかどうかを示します。

クラスタSA同期パケットのしきい値

パケット数がこのしきい値に達する場合、他のクラスタ メンバを含む同期SA。

暗号化/復号IPSecパケットからのDiffServマークをコピー

暗号化/復号されたIPSecパケットからDiffServマークをコピーします。

DiffServマークを暗号化/復号IPSecパケットへコピー

暗号化/復号IPSecパケットへDiffServマークをコピーします。

DPDで新しいIKEネゴシエーションをトリガ

DPDで新しいIKEネゴシエーションをトリガします。

IKE SAをデッド ピアから削除

IKE SAをデッド ピアから削除します。

IKE SAの削除時にIPsec SAも削除

IKE SAの削除時にIPsec SAも削除します。

トンネル テストが失敗したらトンネルSAを削除

永続的VPNトンネルが有効でトンネル テストが失敗する場合、該当するピアのトンネルSAを削除します。

ローカル ゲートウェイからの接続は暗号化しない

元のソース/宛先IPアドレスがローカル ゲートウェイのインターネット接続IPアドレスのパケットは、VPNトンネルを経由しません。このパラメータは、ゲートウェイがNATで隠れている場合に役立ちます。

ローカルのDNSリクエストを暗号化しない

有効な場合、アプライアンスからのDNSリクエストは暗号化されません。(DNSサーバがVPNピアの暗号化ドメインにある場合)

暗号化パケットの再ルーティングを有効にする

ピアのIPアドレスまたはプロービングに従って、暗号化パケットが最適なインタフェースを使用するようにルート変更されるかどうかを示します。値をfalseに変えることはお勧めしません。

CRLが無効になるまでの時間

CRLの猶予期間は、アプライアンスとリモートCAとのシステム時刻のずれの問題を解決するために必要です。

猶予期間によってCRL有効期間を拡げることができます。

リモート サイトの失効した証明書が失効後も有効とみなされる時間(秒)を示します。

CRLが有効になるまでの時間

CRLの猶予期間は、アプライアンスとリモートCAとのシステム時刻のずれの問題を解決するために必要です。

猶予期間によってCRL有効期間を拡げることができます。

CAによって証明書が有効と設定される時刻に先立って有効と見なされる時間(秒)を示します。

既知サイトからのIKE DoS保護

認識しているIPアドレスからのIKE DoSに対する保護がアクティブになっており、潜在的な攻撃者を検出できる方法であるかどうかを示します。

未知サイトからのIKE DoS保護

認識していないIPアドレスからのIKE DoSに対する保護がアクティブになっており、潜在的な攻撃者を検出できる方法であるかどうかを示します。

同じIPからのIKE応答

IKEセッションで使われるIPアドレスが、着信接続の応答時の宛先に基づくか、または基本の発信元IPアドレス リンク選択設定に基づくかどうか

IKEクイック モードの連続するサブネットをまとめる

IKEクイック モードにおいて、隣接するサブネットを結合するかどうかを示します。

DFフラグをパケットに設定

暗号化/復号処理中、パケットのDFフラグ(「断片化しない」)が保持されるかどうかを示します。

IKE SAキーの保存

IKE SAキーを保存します。

キー交換エラーの追跡

VPN設定エラーまたは鍵交換エラーのログ記録の方法を示します。

最大同時IKEネゴシエーション数

同時実行VPN IKEネゴシエーションの最大数を示します。

最大同時トンネル数

トンネル同時使用の最大数を示します。

オープンSA制限

VPNピアごとの有効なSAの最大数を示します。

外部へのリンクの追跡

発信VPNリンクのログ記録の方法を示します(ログ記録、ログ記録しない、警告)。

管理者のデバイスへのアクセスのための設定「すべてのトラフィックをリモートVPNサイトへルーティング」を無効にします。

このオプションを選択して、「すべてのトラフィックをリモートVPNサイトにルーティング」が設定されている場合でも、管理者がリモート サイトへのルートでこのアプライアンスへアクセスしないようにします。

パケット処理エラーの追跡

VPNパケット処理エラーのログ記録の方法を示します(ログ記録、ログ記録しない、警告)。

内部IPアドレスでトンネル テストを実行

トンネル テストによって、ピアVPNゲートウェイ間のVPNトンネルがアップ状態であることを確認します。

デフォルトでは、テストによりピアVPNゲートウェイのすべての外部IPアドレス間が接続されていることを確認します。

このオプションを変更して、ゲートウェイの内部IPアドレスを使用してトンネル テストをすることができます。この場合、ローカル暗号化ドメインの一部分を使用することになります。

[ログ&モニタリング]タブでVPNトンネルのステータスを確認できます。

永続的なトンネル ダウンの追跡

トンネルがダウンした場合のログ記録の方法を示します(ログ記録、ログ記録しない、警告)。

永続的なトンネル アップの追跡

トンネルがアップ状態の場合のログ記録の方法を示します(ログ記録、ログ記録しない、警告)。

RDPパケット応答タイムアウト

RDPパケット応答のタイムアウト(秒)。

外部からのインタフェースからの応答

トンネルがリモート サイトから開始された場合、同じ着信インタフェースから応答します(IKEおよびRDPセッションのみ該当)。

完了したキー交換の追跡

キー交換が正常に行われた場合のログ記録の方法を示します(ログ記録、ログ記録しない、警告)。

IKEにクラスタIPアドレスを使用

IKEがクラスタIPアドレス(使用できる場合)を使用して行われるかどうかを示します。

ローカル ゲートウェイからの暗号化接続に内部 IP アドレスを使用

ローカル ゲートウェイから送られる暗号化接続に、内部インタフェースのIPアドレスを接続ソースとして使います。

VPNトンネル共有

新規トンネルの作成の条件には以下の種類があることを示します。ホストのペアごとに1つのVPNトンネル、サブネット(業界標準)のペアごとに1つのVPNトンネル、リモート サイト/ゲートウェイのペアごとに1つのVPNトンネル。これにより、作成されるトンネルの数を抑制します。

 

表:VoIPの属性

VoIPの属性

説明

登録したポートにMGCP接続を許可

MGCPトラフィックの詳細インスペクションで登録したポートにMGCP接続を自動的に許可するかどうか

登録したポートにSIP接続を許可

SIPトラフィックの詳細インスペクションで登録したポートにSIP接続を自動的に許可するかどうか

 

表:Webインタフェース設定とカスタマイズの属性

Webインタフェース設定とカスタマイズの属性

説明

複数のパラメータ

[アプライアンスのWebインタフェースに企業ロゴを使用]を選択して別のロゴを表示します(Check Pointのデフォルト ロゴ以外)。

[企業ロゴ][企業ロゴのアップロード]リンクをクリックし、ロゴ ファイルの場所を探して[適用]をクリックします。

会社URLに会社のURLを入力します。会社のロゴをWebインタフェースでクリックすると、URLが開きます。