ゲートウェイとクラスタ オブジェクトの設定

この章では、SmartConsole閉じた セキュリティポリシーの設定、デバイスの設定、製品やイベントの監視、アップデートのインストールなど、Check Point環境を管理するためのCheck Point GUIアプリケーション。でゲートウェイまたはゲートウェイ クラスタ閉じた ハイアベイラビリティを実現するために相互接続された2台のQuantum Sparkアプライアンス。を定義する手順について説明します。

要件に一致する手順を実行してから、ポリシーをインストールします。

ゲートウェイ オブジェクトの定義

ゲートウェイ オブジェクトの定義には、次のオプションがあります。

  • 管理優先

    サイトで実際のアプライアンスを設定およびセットアップする前に、SmartConsoleでゲートウェイ オブジェクトを定義します。これは、SmartConsoleでのオブジェクトの構成時にIPアドレスが知られていないときに、動的IPアドレス(DHCPサーバまたはISPによって割り当てられている)でSecurity Management Server閉じた Check Point環境のオブジェクトとポリシーを単一の管理ドメインで管理するために、Check Pointソフトウェアを実行するCheck Point専用サーバ。同義語:シングルドメインのSecurity Management Serverに接続するリモート展開アプライアンスまたはアプライアンスによく使用されます。設定時にアプライアンスがプルするポリシーを準備できます。

    ワークフロー

    1. SmartConsoleで:

      1. 必要なオブジェクトを作成して必要な設定を行います。

        IPSec VPNSoftware Bladeを有効にする前に、VPNコミュニティを設定する必要があります(任意でVPNドメインも設定)。

      2. アプライアンスに必要なゲートウェイまたはクラスタ オブジェクトを作成します。

      3. ゲートウェイ オブジェクトにセキュリティ ポリシー閉じた ネットワークトラフィックを制御し、パケットインスペクションによりデータ保護やリソースへのアクセスに関する組織のガイドラインを実施するルールの集合体。をインストールします。

    2. 初期設定ウィザードでアプライアンスを設定します。

      または、USBドライブを使用すると、初期設定ウィザードなしで複数のアプライアンスを簡単に構成できます。

      詳細については、USBドライブまたはSDカードからの導入を参照してください。

    3. SmartProvisioningで、ゲートウェイ オブジェクト設定を管理します。

  • ゲートウェイ優先

    最初にアプライアンスを設定およびセットアップします。その後、1時間間隔でSecurity Management Serverとの通信を試みます(これが設定されている場合)。SmartConsoleでのオブジェクト作成時にゲートウェイとの接続がある場合、ウィザードでゲートウェイからデータを取得して(トポロジなど)、設定を支援できます。

    ワークフロー

    1. 初期設定ウィザードで関連アプライアンスを設定します。

      または、USBドライブを使用すると、初期設定ウィザードなしで複数のアプライアンスを簡単に構成できます。

      詳細については、USBドライブまたはSDカードからの導入を参照してください。

    2. SmartConsoleで:

      1. 必要なオブジェクトを作成して必要な設定を行います。

        IPSec VPNSoftware Bladeを有効にする前に、VPNコミュニティを設定する必要があります(任意でVPNドメインも設定)。

      2. アプライアンスに必要なゲートウェイまたはクラスタ オブジェクトを作成します。

      3. ゲートウェイ オブジェクトにセキュリティ ポリシーをインストールします。

    3. SmartProvisioningで、ゲートウェイ オブジェクト設定を管理します。

単一のゲートウェイ オブジェクトを定義するには

  1. SmartConsoleでSecurity Management Serverにアクセスします。

  2. 左側のナビゲーション パネルから、[ゲートウェイ&サーバ]をクリックします。

  3. 上部のツールバーから、 (新規) >ゲートウェイをクリックします。

  4. Check Point Security Gatewayの作成ウィンドウでウィザードモードをクリックします。

  5. の[一般プロパティ]ページが開きます。

    1. ゲートウェイ名フィールドで、セキュリティ ゲートウェイ オブジェクトの名前を入力します。

    2. ゲートウェイ プラットフォームフィールドで、Quantum Sparkアプライアンスの正しいアプライアンス シリーズを選択します。

    3. バージョンフィールドには、サポートされている最新のバージョンが自動的に表示されます。

    4. プラットフォームのタイプ フィールドで、Quantum Sparkアプライアンスの正しいアプライアンス タイプを選択します。

    5. Quantum SparkアプライアンスのIPアドレスを次のいずれかの方法で設定します。

      • 静的IPアドレスを選択してIPアドレスを入力します。

      • 動的IPアドレスを選択して、DHCPサーバからゲートウェイのIPアドレスを取得します。

    6. [次へ]をクリックします。

  6. トラスト通信ページで、Security Management ServerとQuantum Sparkアプライアンスの間での認証方法を設定して[次へ]をクリックします。

    • 一般のプロパティ ページで静的IPアドレスを選択した場合:

      1. [認証]セクションで、[ワンタイム パスワードを使用して信頼できる通信を安全に開始]または[認証なしでトラスト通信を開始する(安全性が低い)]を選択します。

      2. [ワンタイム パスワードを使用して信頼できる通信を安全に開始]を選択した場合は、[ワンタイム パスワード]を入力して確認閉じた トラフィックやファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザはアクティビティの許可を承認できます。します。

        このパスワードは信頼を確立する一番最初のみに使われます。通信が確立されると、セキュリティ証明書がトラストに使われます。

        重要 - このパスワードは、初期設定ウィザードでアプライアンスに定義したワンタイム パスワードと同じである必要があります。

      3. [トラスト通信]セクションで、[ゲートウェイが初めてSecurity Management Serverに接続するときにトラスト通信を自動的に開始する]または[トラスト通信を今すぐ開始する]を選択します。

      4. [接続]をクリックします。

        ステータス ウィンドウが表示されます。

    • 全般のプロパティページで動的IPアドレスを選択した場合:

      1. [ゲートウェイ識別子]セクションで、識別子を1つ選択します。[ゲートウェイ名][MACアドレス]、または[最初の接続先]から識別子を1つ選択します。

      2. [認証]セクションで、[ワンタイム パスワードを使用して信頼できる通信を安全に開始]または[認証なしでトラスト通信を開始する(安全性が低い)]を選択します。

      3. [ワンタイム パスワードを使用して信頼できる通信を安全に開始]を選択した場合は、[ワンタイム パスワード]を入力して確認します。

        このパスワードは初期の信頼を確立するためだけに使われます。通信が確立されると、セキュリティ証明書がトラストに使われます。

        重要 - このパスワードは、初期設定ウィザードでアプライアンスに定義したワンタイム パスワードと同じである必要があります。

  7. ブレードの有効化ページで、[今すぐソフトウェア ブレードを有効にして設定する]または[後でソフトウェア ブレードを有効にして設定する]を選択します。

    [今すぐソフトウェア ブレードを有効にして設定する]を選択した場合

    1. 有効にして設定するブレードの横にあるチェックボックスをオンにします。

    2. [次へ]をクリックします。

  8. ブレード設定ページで、必要なオプションを設定して[次へ]をクリックします。

    - このページは、前のブレードの有効化ページで[今すぐソフトウェア ブレードを有効にして設定する]を選択した場合のみ表示されます。

    • [NAT] - [内部ネットワークをゲートウェイの外部IPの背後に隠す]チェックボックスがデフォルトでオンになります。

    • [IPSec VPN] - [サイト コミュニティへの参加]リストから、ゲートウェイが参加するVPNコミュニティを選択します(ウィザードが開始する前にこのVPNコミュニティを作成する必要があります)。スター コミュニティの場合、ゲートウェイはサテライト ゲートウェイとして追加されます。

    • [QoS] - インバウンドとアウトバウンドの帯域幅レートを設定します。

  9. VPNドメインページで、VPN暗号化ドメインを設定して[次へ]をクリックします。

    - このページは、前のブレードの有効化ページで[IPSec VPN]Software Bladeを選択した場合のみ表示されます。

    設定可能なオプション

    • [このゲートウェイの外部IPの背後にあるVPNドメインを非表示にする]

      このオプションは、このゲートウェイの外部IPの背後にあるすべての内部ネットワークを非表示にする場合にのみ選択してください。このゲートウェイの背後にあるネットワークからVPNコミュニティに参加している他のサイトへのすべての発信トラフィックが暗号化されます。

      このオプションを使用すると、このゲートウェイの背後にあるホストに送信される他のサイトから開始された接続は暗号化されません。このゲートウェイの背後にあるホストにアクセスする必要がある場合は、他のオプションを選択する(VPNトポロジを定義する)か、他のサイトからのすべてのトラフィックがこのゲートウェイの外部IPアドレスに送信されるようにして、対応するNATポート転送ルール閉じた ルールベースにおいて、通信セッションに対して指定されたアクションを実行するためのトラフィックパラメータやその他の条件セット。を定義します(このゲートウェイの外部IPアドレスへの着信HTTP接続の宛先をこのゲートウェイ背後のWebサーバのIPアドレスへ変換するなど)。

    • 新しいVPNドメインを作成

      1. グループ閉じた ユーザアカウントなど、属性を共有するオブジェクトの集合体。の名前を[名前]フィールドに入力します。

      2. [使用可能なオブジェクト]リストから適切なオブジェクトを選択し、[追加]をクリックします。オブジェクトがVPNドメイン メンバ リストに追加されます。

        - 複数の異なるオブジェクトを選択する場合は、Ctrlキーを押しながらクリックします。隣同士の複数のオブジェクトを選択する場合は、Shiftキーを押しながら最初と最後をクリックします。

    • 既存のVPNドメインを選択

      このVPNドメインはウィザードを開始する前に指定する必要があります。

  10. インストール ウィザードの完了ページ:

    設定したパラメータのサマリが表示されます。

    セキュリティ ゲートウェイのオプションをさらに設定する場合は、[詳細設定のためにゲートウェイ プロパティを編集]を選択します。

    [完了]をクリックします。

  11. 新しく定義したオブジェクトの[全般のプロパティ]ウィンドウが開きます。

    必要な設定を行って、[OK]をクリックします

  12. ゲートウェイ オブジェクトにセキュリティ ポリシーをインストールします。

Quantum Spark GatewayでのSICの確立

ゲートウェイをSecurity Management Serverに初めて接続する場合は、SmartConsoleで新しいゲートウェイオブジェクトを作成する必要があります。これは、SmartConsoleを開いて新しいゲートウェイの作成 > SMBを選択して実行します。

SICを確立するには

  1. SmartConsoleで、[ゲートウェイ & サーバ]へ移動します。

    1. Quantum Sparkゲートウェイを選択し、[編集]>[トラスト通信]をクリックします。

    2. [認証]セクションで、[ワンタイム パスワードを使用して信頼できる通信を安全に開始]が選択されていることを確認します。ワンタイムパスワードを入力して[OK]をクリックします。

  2. ゲートウェイのWebUIに接続します。

    1. ブラウザで、URL https://<Quantum SparkゲートウェイのIP> を入力します。

    2. ホーム > Security Management > SIC (再接続、初期SIC閉じた 安全な内部通信(Secure Internal Communication)。Check Pointソフトウェアを実行するCheck Pointのコンピュータ同士がSSLを介して認証を行い、安全な通信を行うためのCheck Point独自のメカニズム。この認証は、ICAがCheck Point Management Server上で発行した証明書に基づいて行われます。、SIC設定など)へ移動し、ユーザ名とパスワードを入力します。

ゲートウェイ クラスタ オブジェクトの定義

Quantum SparkアプライアンスのSecurity Managementクラスタは2つのメンバのグループです。それぞれが、ハイ アベイラビリティ ソフトウェアがインストールされている個別のQuantum Sparkアプライアンスを表しています。ClusterXLは、Check Pointのクラスタリング ソリューションです。サード パーティのOPSEC認定クラスタリング製品はサポートされていません。

ハイ アベイラビリティ

ハイ アベイラビリティにより、クラスタ メンバに障害が発生した場合でも、組織は接続を維持できます。この構成では、1台のマシンのみがアクティブ(アクティブ/スタンバイ操作)です。このアプライアンスでは負荷共有はサポートされていません。

事前準備

したがって、最初に実際のIPアドレスを使用して2つのゲートウェイを設定する必要があります。設定した後に、SmartConsoleまたはSmartProvisioningでクラスタ オブジェクトを作成します。Security Management Serverからのポリシー インストールはゲートウェイに対し、ゲートウェイがクラスタ メンバーとして構成されていることを警告します。

ワークフロー

  1. 2台のQuantum Sparkアプライアンスを電源に接続しないでください。

  2. 必要なケーブルを接続します。

  3. 1番目のアプライアンス:

    1. 電源をオンにします。

    2. 初期設定ウィザードでアプライアンスを設定します。

    3. 再起動します。

    4. シャットダウンします。

    - この指示に従わないと、http://my.firewallURLを正しく使用できず、ゲートウェイの実際のIPアドレスに接続する必要があります。(Quantum Sparkアプライアンスで設定する前のIPアドレスはLAN1の192.168.1.1)。

  4. 2番目のアプライアンス:

    1. 電源をオンにします。

    2. 初期設定ウィザードでアプライアンスを設定します。

    3. 再起動します。

  5. 最初のアプライアンスをオンにします。

  6. SmartConsoleで:

    1. クラスタ オブジェクトを設定します。

    2. クラスタ オブジェクトにセキュリティ ポリシーをインストールします。

  7. クラスタ オブジェクトについて、SmartProvisioningでアプライアンス設定を管理します。

新規ゲートウェイ用のクラスタの作成

- Quantum Sparkアプライアンスのセットアップと接続の詳細な手順については、Quantum Sparkアプライアンスの「導入の手引き」を参照してください。

設定方法は2つのパートに分かれています。

  1. 2つの新しいQuantum Sparkアプライアンス ゲートウェイの初期設定

  2. クラスタ オブジェクトの作成と設定

パート1 - 2つの新しいQuantum Sparkアプライアンス ゲートウェイの初期設定

  1. 2台のQuantum Sparkアプライアンスを電源に接続しないでください。

  2. 2台のQuantum Sparkアプライアンス同士と電源に必要なケーブルを接続します。

  3. 1台目のQuantum Sparkアプライアンスを電源に接続して、オンにします。

  4. コンピュータを1台目のQuantum Sparkアプライアンスにつなぎ、LAN1インタフェースに接続します。

  5. IPアドレスを自動的に取得するようにコンピュータを設定します。

  6. コンピュータのWebブラウザで、次にアクセスします:

    http://my.firewall

  7. 手順に従って、1台目のQuantum Spark アプライアンスを初期設定ウィザードで設定します。

    重要

    • WANインタフェース:

      SmartConsoleのウィザード モードでクラスタ オブジェクトを作成する場合は、WANインタフェースがクラスタの一部であることが前提となっています。

      2台のアプライアンスのWANインタフェースが、一致するサブネットの静的IPアドレスで構成されていることを確認してください。

    • クラスタSYNCインタフェース:

      • イーサネットのクロスケーブルを使って2台のアプライアンスのSYNCインタフェースを接続します。

      • デフォルトでは、LAN2インタフェースがクラスタ同期に使われます。

      • ゲートウェイ側の設定のどの段階でも、LAN2インタフェースにIPアドレスを設定する必要はありません。

        LAN2インタフェースでIPアドレスを設定しない場合は、SYNCインタフェースのIPアドレスは自動的に10.231.149.110.231.149.2になります。

      • SYNCインタフェースで手動でIPアドレスを設定する場合は、指定するIPアドレスを同じサブネット上に設定する必要があります。

      • LAN2以外の別のSYNCインタフェースを使用できます。詳細は、sk52500を参照してください。

    • WANとLAN1以外のインタフェースでIPアドレスを設定するには、各ゲートウェイのWebUIの[インターネット]ページまたは[ローカル ネットワーク]ページで設定します。クラスタの一部である各インタフェースでは、ピア クラスタ メンバと同じサブネットでIPアドレスを設定してください。

    • ワンタイム パスワード:

      • ワンタイム パスワードは忘れないようにしてください。SmartConsoleでクラスタ オブジェクトを設定する際に必要です。

      • ワンタイム パスワードは、ウィザードモードでクラスタ オブジェクトを作成するために2つのクラスタ メンバで同じである必要があります。

      • 2つのクラスタ メンバ間でワンタイム パスワードが異なる場合、クラシック モードでクラスタ オブジェクトを作成する必要があります。

  8. 1台目のQuantum Sparkアプライアンスを再起動します。

  9. 1台目のQuantum Sparkアプライアンスをシャットダウンします。

  10. 2台目のQuantum Sparkアプライアンスを電源に接続して、オンにします。

  11. コンピュータを2台目のQuantum Sparkアプライアンスにつなぎ、LAN1インタフェースに接続します。

  12. コンピュータで動的IP アドレスを更新します。

  13. コンピュータのWebブラウザで、次にアクセスします:

    http://my.firewall

  14. 手順に従って、初期設定ウィザードで2台目のQuantum Sparkアプライアンスを設定します。

    重要

    • WANインタフェース:

      SmartConsoleのウィザード モードでクラスタ オブジェクトを作成する場合は、WANインタフェースがクラスタの一部であることが前提となっています。

      2台のアプライアンスのWANインタフェースが、一致するサブネットの静的IPアドレスで構成されていることを確認してください。

    • クラスタSYNCインタフェース:

      • イーサネットのクロスケーブルを使って2台のアプライアンスのSYNCインタフェースを接続します。

      • デフォルトでは、LAN2インタフェースがクラスタ同期に使われます。

      • ゲートウェイ側の設定のどの段階でも、LAN2インタフェースにIPアドレスを設定する必要はありません。

        LAN2インタフェースでIPアドレスを設定しない場合は、SYNCインタフェースのIPアドレスは自動的に10.231.149.110.231.149.2になります。

      • SYNCインタフェースで手動でIPアドレスを設定する場合は、指定するIPアドレスを同じサブネット上に設定する必要があります。

      • LAN2以外の別のSYNCインタフェースを使用できます。詳細は、sk52500を参照してください。

    • WANとLAN1以外のインタフェースでIPアドレスを設定するには、各ゲートウェイのWebUIの[インターネット]ページまたは[ローカル ネットワーク]ページで設定します。クラスタの一部である各インタフェースでは、ピア クラスタ メンバと同じサブネットでIPアドレスを設定してください。

    • ワンタイム パスワード:

      • ワンタイム パスワードは忘れないようにしてください。SmartConsoleでクラスタ オブジェクトを設定する際に必要です。

      • ワンタイム パスワードは、ウィザードモードでクラスタ オブジェクトを作成するために2つのクラスタ メンバで同じである必要があります。

      • 2つのクラスタ メンバ間でワンタイム パスワードが異なる場合、クラシック モードでクラスタ オブジェクトを作成する必要があります。

  15. 2台目のQuantum Sparkアプライアンスを再起動します。

  16. 1台目のQuantum Sparkアプライアンスをオンにします(電源に接続)。

パート2 - クラスタ オブジェクトの作成と設定

  1. SmartConsoleでSecurity Management Serverにアクセスします。

  2. オブジェクト メニューから、その他のオブジェクト タイプ > ネットワーク オブジェクト > ゲートウェイとサーバ > 新規のSmall Officeクラスタをクリックします。

    Check Pointセキュリティ ゲートウェイ クラスタの作成ウィンドウが開きます。

  3. ウィザード モードを選択します。

  4. クラスタの全般のプロパティ ページで次を実行します。

    1. クラスタ オブジェクトの名前をクラスタ名フィールドに入力します。

    2. ハードウェア フィールドで、Quantum Sparkアプライアンスの正しいアプライアンス シリーズを選択します。

    3. [次へ]をクリックします。

  5. クラスタ メンバ ページで次を実行します。

    • 1番目のメンバ セクション:

      1. 1番目のクラスタ メンバ オブジェクトの名前を[メンバ名]フィールドに入力します。

      2. 1番目のクラスタ メンバ オブジェクトのIPv4アドレスを[メンバIPv4アドレス]フィールドに入力します。デフォルト値では、IPv4アドレスはWANインタフェースに割り当てられたものです。

    • 2番目のメンバ セクション:

      1. 通信と接続を確認する場合は、[2番目のクラスタ メンバを今すぐ定義する]チェックボックスをオフにします。

        これにより、1番目のメンバのウィザード定義だけを完了することができます。

      2. 2番目のクラスタ メンバ オブジェクトの名前を[メンバ名]フィールドに入力します。

      3. 2番目のクラスタ メンバ オブジェクトのIPv4アドレスを[メンバIPv4アドレス]フィールドに入力します。デフォルト値では、IPv4アドレスはWANインタフェースに割り当てられたものです。

    • SICセクション:

      パスワード フィールドで、各アプライアンスの初期設定ウィザードで入力した同じワンタイム パスワードを入力します。

      [次へ]をクリックします。

      Security Management Serverとアプライアンスの間でトラスト(信頼)が確立されます。

      - トラストが確立されたら、以降はセキュリティ証明書が使われます。

  6. [クラスタ インタフェース設定]ウィンドウでは、Quantum Sparkアプライアンスのネットワーク インタフェースがクラスタの一部であるかどうかを定義します。

    このウィンドウには、Quantum Sparkアプライアンスで設定された各ネットワーク インタフェースが表示されます。

    ゲートウェイに設定されたインタフェースの総数がウィンドウのタイトルに表示されます。例えば、ゲートウェイに3つのインタフェースが設定されている場合、合計3つのウィンドウを設定する必要があります。ウィンドウ上部のパンくず画像は、現在設定しているインタフェースを示しています。現在設定しているインタフェースの名前が[インタフェース]カラムに表示されます。ページ下部の画像は、インタフェースがハイ アベイラビリティに設定されているかどうかを示しています。ハイ アベイラビリティを設定すると、両方のクラスタ メンバの物理IPアドレスは、クラスタの仮想IPアドレスで示されるポイントで交わります。

    (両方クラスタ メンバの)各ネットワーク インタフェースには一意のIPアドレスがあります。

    ハイ アベイラビリティがインタフェースで有効になっている場合、クラスタには追加の一意の仮想IPアドレスが必要です。このIPアドレスはネットワークに表示され、フェイルオーバー閉じた 障害が発生したクラスタメンバから別のクラスタメンバへのトラフィック制御(パケットフィルタリング)の転送(クラスタ内部のアルゴリズムに基づく)。同義語:Fail-over、フェールオーバー。 イベントがネットワーク内のすべてのホストに対して確実に透過的になります。

    ハイ アベイラビリティが有効でない場合、インタフェースはモニタされていないプライベート(クラスタ設定に関連していない)と見なされます。

    WANインタフェースを除くすべてのネットワーク インタフェースにハイ アベイラビリティを設定できます。デフォルトでは、WANインタフェースは常にクラスタの一部です。WANインタフェースをクラスタの一部にしない場合は、ウィザードが完了した後にSmartConsoleでクラスタ オブジェクトを編集します。

    WANインタフェースが定義されていない場合は、SmartConsoleのクラスタ オブジェクトを編集して、クラスタ オブジェクトの正しいメインIPアドレスを選択します。(このIPアドレスは、たとえばVPNでリンク選択オプションの1つとして使用されます。)

    LAN2インタフェースはウィザードによって自動的に設定され、SYNCインタフェースに対してのみ使用されるため、LAN2インタフェースの設定は行いません。両方のアプライアンスの2つのLAN2/SYNCポート間にケーブルが接続されていることを確認してください。

    - LAN2/SYNCインタフェースはIPv4アドレスのみをサポートします。

    設定

    1. クラスタの仮想[IPアドレス][ネット マスク]を入力します。仮想IPアドレスは次のポリシー インストールで適用されます。

    2. [次へ]をクリックします。

    3. インタフェースでハイ アベイラビリティを有効にするには、[<name>インタフェースでハイ アベイラビリティを有効にする]チェックボックスをオンにします。

      <name>は、Quantum Sparkアプライアンスで定義されたネットワーク インタフェースを示します。

      ハイ アベイラビリティを選択した場合、クラスタの仮想[IPアドレス][ネット マスク]を入力します。仮想IPアドレスは次のポリシー インストールで適用されます。

    4. [次へ]をクリックします。

    5. 定義されたインタフェースごとに上記のステップを繰り返します。

    6. [次へ]をクリックします。

  7. インストール ウィザードの完了ページ:

    設定したパラメータのサマリが表示されます。

    クラスタ オブジェクトでさらに設定をする場合は、詳細モードでクラスタを編集するを選択します

    [完了]をクリックします。

  8. 新しく定義したオブジェクトの[全般のプロパティ]ウィンドウが開きます。

    必要な設定を行って、[OK]をクリックします

  9. クラスタ オブジェクトにセキュリティ ポリシーをインストールします。

  10. クラスタ メンバの1つに接続されているコンピュータの動的IPアドレスを更新します。

    続いて、Webブラウザでアクティブクラスタメンバ閉じた クラスタの一部であるセキュリティゲートウェイ。にアクセスできます:http://my.firewall

既存のQuantum Sparkアプライアンスのクラスタへの変換

以下の手順を実行して、既存のQuantum Sparkアプライアンスをクラスタに変換します。

手順にはダウンタイムがある程度必要です。

使用される用語:

  • GW - 既にトラストを確立し、ポリシーがインストールされている既存のQuantum Sparkアプライアンス ゲートウェイ オブジェクト。

  • クラスタ - 作成する新しいQuantum Sparkアプライアンス クラスタ オブジェクト。

  • GW_2 - 既存のゲートウェイに参加する新しいクラスタ メンバ オブジェクト。

初期設定ウィザードで新しいアプライアンスGW_2を構成するには

  1. 既存のゲートウェイGWで使用されている仮想IPアドレスではなく、実際のIPアドレスを設定してください。

  2. [LAN ポートのスイッチを有効にする]チェックボックスをオフにします。

    これを行わないと、デフォルトのスイッチ設定はクラスタ設定でサポートされていないため、クラスタの最初のポリシーのインストール中に自動的に削除されます。

    - 初期ポリシーをインストールする前に、スイッチ設定を削除する方が安全です。

  3. 他のクラスタ メンバと同じネットワークにあるIPアドレスを使用して、LAN2ポート(クラスタの同期に使用される)を設定します。

    同期インタフェースには静的IPアドレスを割り当てることをお勧めします。

  4. Security Management Serverからポリシーを取得しないでください。

SmartConsoleでクラスタ オブジェクトを作成および設定するには

  1. ウィザードを使用して、新しいQuantum Sparkアプライアンス クラスタを作成します。

  2. 既存のゲートウェイGWで使用されるIPアドレスとしてIPアドレスを定義します。

  3. 最初のメンバをGW_2のIPアドレスで定義します。

    重要 - ウィザードを使用して2番目のメンバを定義しないでください。

  4. トラスト通信を確立します。

  5. クラスタ化されたインタフェースのすべてのIPアドレスを定義します。

    既存のゲートウェイGWのIPアドレスをクラスタの仮想IPアドレスとして使用します。

  6. ウィザードの最後で、[クラスタを詳細モードで編集]チェックボックスをオンにします。

  7. 詳細モードで、クラスタ オブジェクトに関連するGWの構成設定をすべて入力します。

既存のQuantum Sparkアプライアンスを再設定するには

  1. WebUIで、GWに移動して接続します。

  2. クラスタ化されたインタフェースのIPアドレスを、ゲートウェイがクラスタのメンバとして使用する実際のIPアドレスで再設定します。

    重要 - ダウンタイムが始まります。

SmartConsoleでクラスタを設定するには

  1. メインIPアドレスとGWオブジェクトのトポロジ テーブルに表示されるIPアドレスを変更します。

  2. [クラスタ]にポリシーをインストールします。

    重要 - ダウンタイムが終了します。この時点で、クラスタにはメンバGW_2のみが含まれています。

  3. [クラスタ メンバ]>[追加]>[既存のゲートウェイを追加]に移動して、[クラスタ]オブジェクトを編集します。

  4. GWがリストに表示されない場合は、[ヘルプ]を押して、GWがクラスタに追加されないようにするいずれのカテゴリにも一致していないことを確認してください。

    - このヘルプページの情報を使用して、新しい[クラスタ]オブジェクトにコピーする構成設定があるかどうかを確認します。

  5. 新しいGWオブジェクトの下で、[トポロジ]>[トポロジの取得]をクリックして、[クラスタ]オブジェクトのトポロジを編集します。

  6. クラスタ オブジェクトにポリシーをインストールします。

WebUIでのクラスタ ステータスの表示

Quantum Sparkアプライアンス ゲートウェイでポリシーのインストールを完了し、ゲートウェイがクラスタ メンバとして機能すると、クラスタのステータスをWebUIアプリケーションで確認できます([デバイス]>[ハイ アベイラビリティ])。