デバイス設定の管理

個々のゲートウェイでデバイス設定を直接管理するか、SmartProvisioningプロファイルを使用して複数のゲートウェイを管理できます。詳細については、お使いの管理サーバ閉じた Check PointのSecurity Management ServerまたはマルチドメインのSecurity Management Server。 バージョンの『SmartProvisioning Administration Guide』を参照してください。

これらのデバイス設定は、Check Pointアプライアンスに固有です。これらはデバイス上で直接、またはプロファイルを介して定義できます。それらのタブは次のとおりです。

ファームウェアの設定

このセクションでは、Check Pointアプライアンスのプロビジョニング プロファイルのファームウェア インストール設定を行う方法について説明します。プロビジョニング プロファイルでファームウェア設定を行う場合、このプロファイルを参照するすべてのアプライアンスの設定を指定します。

ファームウェア設定では、セキュリティ ゲートウェイのファームウェアを交換できます。ポリシーが正常に動作するためには、セキュリティ ゲートウェイのバージョンが、SmartConsole閉じた セキュリティポリシーの設定、デバイスの設定、製品やイベントの監視、アップデートのインストールなど、Check Point環境を管理するためのCheck Point GUIアプリケーション。で定義されているSmartLSMプロファイルのバージョンと一致している必要があります。その結果、ファームウェアのアップグレード後、SmartLSMプロファイルはデフォルトのSmartLSMセキュリティ プロファイルに置き換えられます。

場合によっては、デフォルトのSmartLSMセキュリティ プロファイルの例外を定義する必要があります。例えば、インストール後にすべてのゲートウェイが、指定されたデフォルトのSmartLSMプロファイルを使用しないようにする場合は、さまざまなセキュリティ プロファイルをカスタマイズして、既知のセキュリティ プロファイルを置き換えることができます。

例:

  • インストール後のデフォルトのSmartLSMプロファイルが、「NewLSM」と呼ばれるSmartLSMプロファイルを使用するように設定されています。

  • ファームウェアのインストール後、現在「GroupA_LSM」プロファイルを使用しているゲートウェイを除く、すべてのセキュリティ ゲートウェイに「NewLSM」プロファイルをインストールする必要があります。

  • GroupA_LSM」プロファイルを「GroupA_NewLSM」という名前のプロファイルに置き換えます。

このシナリオでは、「GroupA_LSM」プロファイルを「GroupA_NewLSM」プロファイルに置き換える例外を追加します。

次のいずれかのオプションでファームウェアをインストールできます。

  • [今すぐ] - 2つのステップでファームウェアをインストールします。

    • このプロファイルを参照するセキュリティ ゲートウェイとの次回の同期中に、ファームウェアをすぐにダウンロードします。

    • ダウンロードが完了したときに、ファームウェアをインストールします。

  • [時間範囲に従って] - ファームウェア イメージのダウンロードおよびインストールの時間範囲を定義できます。ダウンロードとインストールの時間は、週の指定された時間範囲のリストに制限できます。ファームウェア設定が適用された後、最も近い時間範囲で開始します。上記のようにダウンロードがすぐに実行され、インストールのみが指定された時間範囲に基づくように定義することもできます。例えば、ファームウェアのインストール設定が日曜日に適用され、次の2つの時間範囲があるとします。

    • 金曜日の00:00から土曜日の00:00に設定されている範囲が1つ

    • 水曜日の23:00から木曜日の06:00に設定されている範囲が1つ

      この場合、ファームウェアは水曜日の23:00から木曜日の06:00の間にインストールされます。

      セキュリティ ゲートウェイが最も近い時間範囲でファームウェアのダウンロードやインストールに成功しなかった場合、次の時間範囲で再試行されます。

プロビジョニング プロファイルでファームウェア インストール設定を行うには

  1. [セキュリティ ゲートウェイ プロファイル]ウィンドウを開き、[ファームウェア]タブを選択します。

  2. [このアプリケーションからファームウェアを一元管理する]を選択します。

  3. [詳細]をクリックします。

    [プロファイル設定]ウィンドウが表示されます。

  4. 上書きプロファイル設定を選択します。

    • 許可

    • 拒否

    • 必須

      上書きプロファイル設定の詳細については、以下の を参照してください。

  5. [ファームウェア イメージ][選択]をクリックして、SmartUpdateからアップロードされたファームウェア イメージを選択します。

  6. [インストール後のデフォルトSmartLSMプロファイル]で、セキュリティ ゲートウェイの新しいSmartLSMプロファイルを選択します(ポリシーが正常に動作するためには、セキュリティ ゲートウェイ バージョンが、SmartConsoleで定義されているSmartLSMプロファイルのバージョンと一致する必要があります)。セキュリティ ゲートウェイは、ファームウェアのインストールが成功した後、新しいファームウェア バージョンが現在のバージョンと異なる場合にのみ、SmartLSMプロファイルを置き換えます。

  7. 必要に応じて、[例外]をクリックして、指定したSmartLSMプロファイルを持つセキュリティ ゲートウェイの新しいSmartLSMプロファイルを選択します。

    • [追加/編集] - [追加]または[編集]をクリックして[例外]ウィンドウを開き、SmartLSMプロファイル置換の例外を定義/変更します。R71よりも後のバージョンでない限り、SmartLSMプロファイルは表示されません。

      • [現在のSmartLSMプロファイル] - リストからSmartLSMプロファイルを選択します。バージョンがR71でなく、選択したファームウェア バージョンでない場合にのみ、SmartLSMプロファイルが表示されます。SmartConsoleでSmartLSMプロファイルのポリシーをインストールしたことを確認閉じた トラフィックやファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザはアクティビティの許可を承認できます。してください。

      • [インストール後のSmartLSMプロファイル] - ファームウェア イメージのインストール後にSmartLSMプロファイルを置き換えるSmartLSMプロファイルを選択します。バージョンが選択したファームウェア バージョンと同じ場合にのみ、SmartLSMプロファイルが表示されます。SmartConsoleでSmartLSMプロファイルのポリシーをインストールしたことを確認してください。

    • [削除] - クリックして、SmartLSMプロファイルの[例外]設定を削除します。

  8. ファームウェアをインストールするオプションを選択します。

    • [今すぐ] - ファームウェアをすぐにダウンロードしますが、インストールは、このプロファイルを参照するセキュリティ ゲートウェイとの次回の同期中に行われます。

    • [これらの時間範囲に従って] - セキュリティ ゲートウェイ時間と現地時間のどちらを使用するか選択します。

      • [追加/編集] - [追加]または[編集]をクリックして[時間範囲]ウィンドウを開き、ファームウェア イメージをダウンロードしてインストールする曜日と時間を定義/変更します。日時を選択し、[OK]をクリックします。

      • [削除] - リストから範囲を選択し、[削除]をクリックして時間範囲を削除します。

      • [イメージをすぐにダウンロード] - このオプションをクリックすると、ファームウェア イメージがすぐにダウンロードされますが、設定した時間範囲の1つでイメージがインストールされます。

  9. [プロファイル設定の表示]をクリックして、このゲートウェイが参照するプロビジョニング プロファイルの設定を表示します。

  10. [OK]をクリックします。

RADIUSの設定

Check Pointアプライアンス ゲートウェイに認証、許可、およびアカウンティングを提供するRADIUS サーバ(リモート認証ダイヤルイン ユーザ サービス)を設定できます。プロビジョニング プロファイルでRADIUSを設定する場合、このプロファイルを参照するすべてのゲートウェイに対してRADIUSを設定できます。RADIUS サーバは既にSmartConsoleオブジェクトとして定義されている必要があります。

複数のRADIUS サーバに接続するようにアプライアンスを構成できます。リスト内の最初のサーバに到達できない場合、リスト内の次のRADIUS サーバにアクセスして認証を求めます。

プロビジョニング プロファイルでRADIUS設定を行うには

  1. [セキュリティ ゲートウェイ プロファイル]ウィンドウを開き、[RADIUS]タブを選択します。

    1. [このアプリケーションからRADIUS設定を一元管理する]を選択します。

    2. [詳細]をクリックします。

      [プロファイル設定]ウィンドウが開きます。

    3. 上書きプロファイル設定を選択します。

      • 許可

      • 拒否

      • 必須

  2. Check PointアプライアンスでRADIUSを有効にするには、[RADIUSがデバイスで有効]を選択します。

  3. [追加]をクリックして、SmartConsoleで定義したRADIUS サーバを追加し、リストからRADIUS サーバを選択して[OK]をクリックします。

  4. サーバを削除するには、リストでサーバを選択して[削除]をクリックします。

  5. [アップ]および[ダウン]を使用して、RADIUS サーバに接続する優先度を設定します。

  6. RADIUS サーバーで定義されている特定のグループ閉じた ユーザアカウントなど、属性を共有するオブジェクトの集合体。からの認証を許可するには、[特定のRADIUSグループからの管理者のみを許可する(カンマ区切り)]をクリックします。これらのグループに属する管理者のみがアクセスできます。

  7. [OK]をクリックします。

ホットスポットの設定

プロビジョニング プロファイルでホットスポットを設定するには

  1. [セキュリティ ゲートウェイ プロファイル]ウィンドウを開き、[ホットスポット]タブを選択します。

  2. [このアプリケーションからホットスポット設定を一元管理する]を選択します。

  3. [詳細]をクリックします。[プロファイル設定]ウィンドウが開きます。

  4. 次の上書きプロファイル設定のいずれかを選択します。

    • 許可

    • 拒否

    • 必須

  5. ホットスポットを有効にするには、[デバイスでホットスポットが有効]を選択します。

  6. 以下のフィールドを設定します。

    • [ポータル タイトル] - デフォルトのままにするか、別のタイトルを入力します。

    • [メッセージ内容] - デフォルトのままにするか、別のメッセージを入力します。

    • [利用規約] - 「この利用条件に同意します」というチェックボックスをホットスポットのポータル ページに追加するには、このチェックボックスをオンにします。利用条件のテキストをテキスト ボックスに入力します。ユーザが[利用条件]リンクをクリックすると、ここで入力したテキストが表示されます。

    • [認証を求める] - ユーザ認証を要求するには、チェックボックスをオンにします。

    • [特定のグループのユーザを許可] - すべてのユーザではなく、特定のユーザ グループ閉じた 関連する責任を持つユーザの指定されたグループ。にのみアクセスを許可します。グループ名をテキストボックスに入力します。

  7. 適用をクリックします

設定スクリプトの設定

プロビジョニング プロファイルで設定スクリプトを設定するには

  1. [セキュリティ ゲートウェイ プロファイル]ウィンドウを開き、[設定スクリプト]タブを選択します。

  2. [このアプリケーションから設定スクリプトを一元管理する]を選択します。

  3. [詳細]をクリックします。

    [プロファイル設定]ウィンドウが開きます。

  4. 次の上書きプロファイル設定のいずれかを選択します。

    • 許可

    • 拒否

    • 必須

  5. [設定スクリプト]に、小規模企業向けアプライアンス ゲートウェイで実行するスクリプトを入力します。

  6. 適用をクリックします

プロビジョニング プロファイルの設定

プロビジョニング プロファイルで管理される設定のセットごとに、ローカル(プロビジョニングされていない)または集中(SmartProvisioningの個別の管理またはプロビジョニング プロファイルから)のどちらの設定を優先するかを決定できます。

プロビジョニング プロファイルの設定を行うには

  1. [プロファイル リスト]でプロファイルを右クリックし、[プロビジョニング プロファイルを編集]を選択します。

  2. [プロファイル]ウィンドウで、任意のカテゴリ タブ([一般]以外)をクリックします。

  3. プロファイルを参照するゲートウェイの管理設定を選択します。

    • [デバイスでローカルに設定を管理する]:このプロファイルを参照する各ゲートウェイには、(SmartProvisioning GUIではなく)ローカルで設定された独自の設定があります。これらの設定は、プロビジョニング プロファイルまたはSmartProvisioningゲートウェイ オブジェクトへの変更によって上書きできません。このオプションを選択すると、ゲートウェイ ウィンドウに「設定はデバイスでローカルに管理されるように定義されています。」と表示されます。

    • [このアプリケーションから設定を一元管理する]:このプロファイルを参照する各ゲートウェイは、プロビジョニング プロファイルまたはSmartProvisioningゲートウェイ オブジェクトからこの設定の構成を取得します。

  4. 設定を一元管理することを選択した場合は、[詳細]をクリックします。

    [プロファイル設定]ウィンドウが開きます。

  5. [デバイス レベルでの上書きプロファイル設定]のオプションを選択します。

    • [許可] - プロファイル設定をデバイス ローカル設定で、またはSmartProvisioningデバイス ウィンドウでこれらの設定に加えた変更で上書きできます。プロファイル設定をそのままにすることもできます。

    • [拒否] - 各ゲートウェイはプロファイルから設定を取得します。プロファイル設定を上書きするオプションはありません。

    • [必須] - 各ゲートウェイはプロビジョニング プロファイルなしで管理されます。

  6. [OK]をクリックします。

プロファイルの管理場所

プロファイルの上書き

ゲートウェイ ウィンドウの表示とオプション

ローカル

該当しない

設定はデバイス上でローカルに管理されるように定義されます。

[これを変更するには、添付のプロビジョニング プロファイルprofile_nameを参照してください。]

(コントロールは使用できません)

一元

上書きは拒否される

プロファイル設定の上書きは拒否されています。

[これを変更するには、添付のプロビジョニング プロファイルprofile_nameを参照してください。]

(コントロールは読み取り専用で、プロファイルによって設定されます)

一元

上書きが許可される

上書き方法を選択します。

  • デバイスでローカルに設定を管理する - ローカル管理。ローカル設定でプロビジョニング設定を上書きします。

  • プロファイル設定を使用 - このゲートウェイにプロファイル設定を適用します。

  • 次の設定を使用 - このゲートウェイのこれらの設定は、ここで指定された値を使用して個別に管理されます。

一元

上書きが必須

プロファイル設定の上書きは必須 - ここで設定します。

[これを変更するにはプロビジョニング プロファイルprofile_nameを参照してください]

(各ゲートウェイは個別に設定されます)

  • デバイスでローカルに設定を管理 - このゲートウェイで設定をローカル管理します。

  • 次の設定を使用 - このゲートウェイのこれらの設定は、ここで指定された値を使用して個別に管理されます。

たとえば、ホストの設定に対して中央管理を許可すると、ゲートウェイの[ホスト]タブで、次の場合にゲートウェイのホスト リストを管理できます。

  • ホスト リストをデバイスでローカルに定義します(プロビジョニング プロファイルが割り当てられている場合でも)。

  • プロビジョニング プロファイルのホスト リストを使用して、ゲートウェイをプロビジョニングします。

  • このゲートウェイのプロビジョニング プロファイルを上書きする(ゲートウェイ ウィンドウで)新しいホスト リストを定義します。

警告 - [次の設定を使用]を選択し、指定したトピックに値を入力しないと、デバイスの現在の設定が削除されます。