セキュリティ ポリシーの設定

このセクションでは、小規模な環境でのセキュリティ ポリシーの利用方法を説明します。

セキュリティ ポリシーの作成

R80.20以降のバージョンでは、ポリシーの順序付きレイヤとインライン レイヤがサポートされています。これは、ゲートウェイが着信トラフィックと発信トラフィックに適用する一連のルールです。レイヤ付きのルール ベースを作成できます。各レイヤには独自のセキュリティ ルールのセットがあります。レイヤは、定義された順序で検査されます。これにより、セキュリティ機能のルール ベース フローと優先度を制御できます。許可アクションがレイヤで実行されると、検査は次のレイヤで続行されます。

サブポリシーは、特定のルールに添付する一連のルールです。ルールが一致した場合、検査はルールに関連付けられたサブポリシーで続行されます。ルールが一致しない場合、サブポリシーはスキップされます。例えば、サブポリシーはネットワーク セグメントや支店を管理できます。

ポリシー レイヤとサブポリシーは、権限プロファイルに従って、特定の管理者が管理できます。

セキュリティ ゾーン オブジェクトの操作

セキュリティ ゾーン オブジェクトは、指定されたインタフェースの背後にあるネットワークを表す論理オブジェクトです。例えば、InternalZoneオブジェクトは、すべての内部ゲートウェイ インタフェースの背後にある内部ネットワークIPアドレスを表します。

セキュリティ ゾーン オブジェクトを使用して、一般的なセキュリティ ポリシーを作成し、ルール ベースで必要なルールの量を減らすことができます。このセキュリティ ポリシーは、多数のCheck Pointゲートウェイに適用できます。セキュリティ ゾーンの解決は、SmartConsoleのCheck Pointアプライアンス ゲートウェイ オブジェクトに関する実際のアソシエーションによって行われます。

ワークフロー

  1. セキュリティ ゾーン オブジェクトをゲートウェイ オブジェクトのインタフェースに関連付けます。

  2. ルールでセキュリティ ゾーン オブジェクトを使用します。

  3. ポリシーをインストールします。

セキュリティ ゾーン オブジェクトをゲートウェイ オブジェクトのインタフェースに関連付けるには

  1. 左側のナビゲーション パネルから、[ゲートウェイ&サーバ]をクリックします。

  2. Check Pointアプライアンスのゲートウェイ オブジェクトをダブルクリックします。

  3. [トポロジ]から適切なインタフェースを選択し、[編集]をクリックします。

  4. [セキュリティ ゾーン]フィールドで、事前定義されたセキュリティ ゾーンのうち1つを選択します。

  5. オプション - 新しいセキュリティ ゾーンを作成する場合は、[新規]をクリックし、詳細を入力して[OK]をクリックします。

  6. [OK]をクリックします[インタフェースのプロパティ]ウィンドウを閉じます。

  7. [OK]をクリックしますオブジェクト ウィンドウを閉じます。

セキュリティ ゾーンを含むルールを作成するには

セキュリティ ゾーン オブジェクトをゲートウェイ上の適切なインタフェースに関連付けたら、それをルールで使用できます。セキュリティ ゾーンを含むルールを作成するには、セキュリティ ゾーン オブジェクトを[ソース]または[宛先]セルに追加するだけです。

例えば、内部ユーザが外部ネットワークにアクセスすることを許可するルールを作成するには、次のフィールドでルールを作成します。

ポリシー フィールド

ソース

InternalZone

宛先

ExternalZone

アクション

許可

インストール

いずれかの方法を実行します。

  • ゲートウェイまたはクラスタ オブジェクト

  • SmartLSMセキュリティ プロファイル オブジェクト

  1. 左側のナビゲーション パネルから、[セキュリティ ポリシー]をクリックします。

  2. トップのセクションで、アクセス コントロール > ポリシーをクリックします。

  3. [ルールの追加]ボタンを使用して、ルールをルール ベースに配置します。

  4. 新しいルールの名前カラムをクリックしてテキストを入力します。

  5. 新しいルールの[ソース]カラムで[+]アイコンをクリックし、リストから[InternalZone]を選択します。

  6. 新しいルールの[宛先]カラムで[+]アイコンをクリックし、[ネットワーク オブジェクト]をクリックして、リストから[ExternalZone]を選択します。

  7. 新しいルールの[アクション]カラムで、Acceptを選択します。

  8. 新しいルールの[インストール]カラムで[+]アイコンをクリックし、該当するオブジェクトを選択します。

  9. SmartConsoleセッションを公開します。

アップデート可能なオブジェクトについて

更新可能なオブジェクトは、Office365、AWS、GEOロケーションなどの外部サービスを表すネットワーク オブジェクトです。更新可能なオブジェクトのリストから選択できます。カテゴリはオンライン サービス アップデートに依存します。

外部サービス プロバイダは、IPアドレスまたはドメインのリストを発行するか、またはその両方を使用してサービスへのアクセスを許可します。これらのリストは動的に更新されます。更新可能なオブジェクトは、これらのパブリッシュされたプロバイダのリストから、Check Pointクラウドにアップロードすることを確認します。更新可能なオブジェクトは、プロバイダがリストを変更するたびにセキュリティゲートウェイ上で自動的に更新されます。更新のためのポリシーをインストールする必要はありません。

詳細については、お使いのバージョンのQuantum Security Management 管理ガイドの「オブジェクトの管理」の章から、「ネットワーク オブジェクト タイプ」>「更新可能なオブジェクト」セクションを参照してください。

-

  • オンラインサービス - Office365、AWS、Azure、Google、その他。

  • GEOロケーション - GEOデータベースは、ロケーション データのIPアドレスへのマッピングを提供します。それぞれの場所には、SmartConsoleにインポートできるネットワーク オブジェクトがあります。IPアドレスに基づいて特定の場所へのアクセスをブロックまたは許可することができます。

  • 各国/大陸の場合、Check PointはSmartConsoleにインポートすることができるネットワーク オブジェクトを提供します。

  • 各国/大陸オブジェクトは、外部サービス(MaxMind)データベースに従ってIPアドレスのリストに一致します。

  • これらのオブジェクトは、MaxMindデータベースに更新があるたびに、ゲートウェイで自動的に更新されます(ポリシーをインストールする必要はありません)。

  • ソースまたは宛先IPアドレスが更新可能なオブジェクトと一致する場合、そのアクションはポリシーに従って選択されます。

既知の制限

  • 更新可能なオブジェクトを宛先として持つルールは、外部プロキシが使用されている場合はHTTP/HTTPSトラフィックが無視されます。

  • 更新可能なオブジェクトは、脅威対策ポリシーでは使用できません。

  • 更新可能なオブジェクトは、HTTPSインスペクション ポリシーでは使用できません。

セキュリティ ポリシーのインストール

この手順を使用して、ゲートウェイが接続するときの自動インストールのポリシーを準備します。

- Quantum Sparkアプライアンスが物理的にセットアップおよび構成されている場合、この手順を正常に完了すると、ポリシーがゲートウェイにプッシュされます。起こり得るステータスのリストについては、 を参照してください。

ポリシーのインストール プロセスの最後に、まだセットアップされていないQuantum Sparkアプライアンスのポリシー ステータスは「ポリシー インストールの待機中」です。これは、Security Management ServerとQuantum Sparkアプライアンスの間でトラスト通信がまだ確立されていないことを意味します。ゲートウェイが接続するとトラストが確立され、ポリシーが自動的にインストールされます。

SmartProvisioning GUIでセキュリティ ポリシーをインストールするには

  1. メニューから[ポリシー]>[インストール]の順にクリックします。

    [ポリシーのインストール]ウィンドウが開きます。

  2. インストール ターゲットを選択します。これは、ポリシーとポリシー コンポーネント(ネットワーク セキュリティやQoSなど)をインストールするQuantum Sparkアプライアンスのセキュリティ ゲートウェイです。

    デフォルトでは、Security Management Serverによって管理されているすべてのゲートウェイを選択できます。

  3. [インストール モード]セクションで、セキュリティ ポリシーのインストール方法を以下から選択します。

    • 選択した各ゲートウェイで個別に - 管理優先導入モードのアプライアンスの場合、このオプションのみを使用する必要があります。

    • 選択したすべてのゲートウェイで失敗した場合は、同じバージョンのゲートウェイにインストールしないでください

  4. [OK]をクリックします。

    重要 - アプライアンスで定義されたQuantum Sparkアプライアンス オブジェクトが未設定で、最初の接続ステータスを待機中の場合、次のメッセージが表示されます: インストールが完了しました。これは、ポリシーがインストール用に正常に準備されたことを意味します。

ポリシーのインストールとステータス バーを使用して、セキュリティ ポリシーのインストール ステータスを追跡し続けます。

ポリシーのインストール ステータスの表示

SmartConsoleウィンドウの下部に表示されるステータスバーを使用して、管理対象ゲートウェイのインストール ステータスが表示されます。ステータス バーには、保留モードまたは失敗モードのゲートウェイの数が表示されます。

  • 保留 - ポリシー インストールの待機中か、保留中の状態にあるゲートウェイ(詳細な説明については、以下を参照してください)。

  • 失敗 - ポリシーのインストールに失敗したゲートウェイ。

ステータス バーは、ゲートウェイがポリシーをインストールするか、Security Management Serverへの接続を試みるたびに、動的に更新されます。これらのアクションの結果は、イベントが発生したときのSmartConsoleポップアップ通知バルーンにも表示されます。このような通知を設定できます。

各ゲートウェイに最後にインストールされたポリシーのステータスをモニタするには、[ポリシーのインストール ステータス]ウィンドウを使用できます。

ウィンドウには2つのセクションがあります。上部のセクションには、ゲートウェイのリストと、インストールされているポリシーに関するステータスの詳細が表示されます。フィルタ フィールドを使用すると、各フィールドに適用可能な基準を定義することで、関心のあるポリシーのみを表示し、他の詳細を非表示にすることができます。フィルタリング基準を適用すると、選択した基準に一致するエントリのみが表示されます。システムが不明なゲートウェイからのトラスト通信(SIC)の試行をログに記録すると、フィルタ フィールドの下に黄色のステータス バーが開きます。

下部のセクションには、ゲートウェイ リストで選択した行の詳細(発生したエラー、ポリシーが準備された日付、検証の警告)が表示されます。黄色のステータス バーがある場合は、[詳細の表示]をクリックして、Security Management Serverへの接続を試みている不明なゲートウェイの詳細を表示します。

表: ポリシーのインストール ステータス

アイコン

ポリシー ステータス

説明

成功

ポリシーのインストールに成功しました。

成功

ポリシーのインストールは成功しましたが、検証の警告があります。

最初の接続の待機中

Quantum Sparkアプライアンス オブジェクトは構成されていますが、ゲートウェイはSecurity Management Serverに接続されていません(初期のトラストが確立されていません)。

  • ポリシーが準備されている場合、ゲートウェイが接続されるとポリシーがプルされます。

  • ポリシーが準備されていない場合、[ポリシー タイプ]列には「ポリシーが準備されていません」と表示されます。ゲートウェイが最初に接続されたとき、トラストのみが確立されます。

最初の接続の待機中

上記と同じですが、トラストを確立しようとする警告が失敗したか、または検証の警告があります。

保留

ゲートウェイがSecurity Management Serverに正常に接続してポリシーを取得するまで、ポリシーは保留状態のままです。このステータスは、少なくとも1つのポリシーのインストールが成功した場合にのみ表示されます。例えば、Security Management Serverにゲートウェイへの接続の問題があります(NATの背後にあるため、ゲートウェイは通信の受信に使用できません)。

保留

上記と同じですが、検証の警告があります。

警告

警告

情報

情報

失敗

検証エラーのため、ポリシーはインストールされませんでした。

失敗

ポリシーのインストールに失敗しました。

次の方法で[ポリシーのインストール ステータス]ウィンドウにアクセスできます。

  • メニュー バーから - [ポリシー]>[ポリシーのインストール ステータス]をクリックします。

  • ステータス バーから - ポリシーのインストール ステータス アイコンをクリックします。

  • ステータス バーから - [失敗]または[保留]をクリックします。[ポリシーのインストール ステータス]ウィンドウの内容は、クリックされたリンクに応じてフィルタリングされて表示されます。

  • 通知バルーンから - バルーンの[詳細を表示]をクリックします。

サード パーティのNATデバイスの背後にある管理サーバIPアドレスの設定

監理優先導入シナリオを使用する場合、ポリシーは、アプライアンスが設定されたときに、アプライアンスによって取得されるように準備されます。

各アプライアンスの初回設定時に、Security Management Serverのルーティング可能なIPアドレスは、最初の接続を作成するように手動で設定されます。

アプライアンスとSecurity Management Serverの間でSICが確立されると、ポリシーが初めて取得されます。次に、自動メカニズムにより、定期的なポリシーの取得の試行に対してSecurity Management Serverのルーティング可能なIPアドレスが計算されます。ただし、Security Management Serverがサード パーティのNATデバイスの背後にある場合、自動メカニズムは失敗します。

このような場合、最初の接続だけでなく、Security Management Serverのルーティング可能なIPアドレスを手動で決定できます。アプライアンスが常に手動で設定されたIPアドレスで接続を試行するように要求できます。これは、初期設定ウィザード - [Security Management Server接続]ページ([常にこのIPアドレスを使用する]を選択し、IPアドレスを入力する)、またはWebUIの[ホーム]>Security Managementページから設定できます。