管理者アクセスの設定

デバイス > システム > 管理者アクセスページでは、以下のことが可能です:

  • 管理者がQuantum Spark Applianceにアクセスするために使用できるIPアドレスとインタフェースソースを設定します。

  • 2要素認証(2FA)を有効にして、ゲートウェイに追加のセキュリティレイヤーを追加します。

  • WebポートとSSHポートを設定します。

次の1つ以上のオプションを選択します。

  • [LAN] - すべての内部物理ポートです。

  • [トラスト ワイヤレス] - デフォルトでLANにアクセス許可されているワイヤレス ネットワーク(ワイヤレス ネットワーク モデルのみ)。

  • [VPN] - VPNトンネルを使用して、リモート サイトまたはリモート アクセス クライアントからのトラフィックを暗号化します。

  • [インターネット] - インターネットからのトラフィックをクリアします(すべてのIPアドレスからのアクセス許可はお勧めしません)。

  1. [任意のIPアドレス]を選択します。このオプションは安全性を考えるとお勧めできません。インターネットから特定のIPアドレスだけを許可することをお勧めします。

  2. 必要に応じて、[Webポート(HTTPS)][SSHポート]のいずれかまたは両方を変更します。

  3. [保存]をクリックします。

    管理者は、許可されたインタフェース ソースの任意のIPアドレスを使ってQuantum Sparkアプライアンスにアクセスできるようになります。

  1. [特定のIPアドレスのみ]を選択します。

  2. [新規]をクリックします。

    [IPアドレス設定]ページが表示されます。

  3. [タイプ]を選択します。

    • IPv4アドレス

    • IPv4ネットワーク

    • IPv6アドレス

    • IPv6 ネットワーク

  4. IPアドレスを入力するか、または[コンピュータからIPを取得]をクリックします。

  5. [保存]をクリックします。

    IPアドレスがテーブルに追加されます。

  6. 必要に応じて、[Webポート(HTTPS)][SSHポート]のいずれかまたは両方を変更します。

  7. [保存]をクリックします。

    管理者は、許可されたインタフェース ソースの指定IPアドレスを使ってアプライアンスにアクセスできるようになります。

インターネットから管理者アクセスを許可するにはこのオプションを選択します(特定のIPアドレスを定義する必要があります)。他のソースが任意のIPアドレスから管理者アクセスをできるようになります。

  1. [インターネット ソース]を選択します。

  2. [インターネットからの指定IPアドレスとインターネット以外からの任意のIPアドレス]オプションを選択します。

  3. [新規]をクリックします。

    [IPアドレス設定]ページが表示されます。

  4. [タイプ]を選択します。

    • IPv4アドレス

    • IPv4ネットワーク

    • IPv6アドレス

    • IPv6 ネットワーク

  5. IPアドレスを入力するか、または[コンピュータからIPを取得]をクリックします。

  6. [保存]をクリックします。

    IPアドレスがテーブルに追加されます。

  7. 必要に応じて、[Webポート(HTTPS)][SSHポート]のいずれかまたは両方を変更します。

  8. [保存]をクリックします。

    管理者は、許可されたインタフェース ソースの指定IPアドレスを使ってアプライアンスにアクセスできるようになります。

  1. IPアドレス テーブルから削除するIPアドレスを選択します。

  2. [削除]をクリックします。

重要

2段階認証(2FA)

2要素認証は、ゲートウェイのセキュリティを強化するものです。管理者アクセスページで[2要素認証]を有効にすると、アプライアンスに設定されたすべての管理者に2要素認証が必須となり、ログインで必要になります。すべての管理者は、メールアドレスと電話番号の両方を設定する必要があります。

2要素認証が有効な場合、情報が不足している管理者がいると、デバイス >  システム > 管理者アクセスページに、すべての管理者が最初にEメールアドレスと電話番号を設定する必要があるという警告メッセージが表示されます。情報が不足している管理者のリストも表示されます。

このページに表示される別のメッセージは、Authenticatorアプリとの同期の問題を回避するために、アプライアンスの日付と時刻を設定するためにネットワーク タイム プロトコル (NTP) サーバを使用することを推奨するものです。

- この機能はR81.10.10から利用可能です。

- R81.10.10では、管理者アクセスにRADIUSまたはTACACSが設定されている場合、2要素認証がサポートされません。

重要 - 2要素認証が有効になっている場合、ログインには常に2要素認証が必要です。

2要素認証の前提条件

  1. 各管理者オブジェクトで、Eメールアドレス電話番号を設定します。「ローカルとリモート システム管理者の設定」を参照してください。

  2. Authenticatorアプリとの同期の問題を回避するには、アプライアンスの日付と時刻を設定するためにネットワーク タイム プロトコル (NTP) サーバを使用します。 「日付と時刻の管理」を参照してください。

  1. デバイス > システム > 管理者アクセスページに進みます。

  2. 2要素認証(2FA)セクションで、2要素認証の実施を有効にするを選択します。

  3. [保存]をクリックします。

  4. ゲートウェイから、Authenticatorアプリの使用方法を説明するEメール (do-not-reply@portal.checkpoint.com)が、設定されたすべての管理者に送信されます。

    メールにはQRコードと緊急キーも記載されます。

    重要 - 緊急キーと一緒にメールを保存してください。スマートフォンを紛失した場合、携帯電話番号のペアリング設定を紛失した場合、またはゲートウェイがインターネットに接続されていない場合は、これらのキーを使用してログインします。各緊急キーは1回しか使用できないことに注意してください。

  5. Web UIのポップアップウィンドウで、メールを受信した場合はI received email(メールを受信済み)を、そうでない場合はResend email(メールの再送信)をクリックします。

  6. Authenticatorアプリをインストールします。

    Microsoft AuthenticatorまたはGoogle Authenticatorのいずれかを使用できます。

    アプリはAppleのApp StoreまたはGoogle Playから入手できます。

  7. Authenticatorアプリで、次のいずれかの方法で新しいアカウントを追加します。

    • メールに記載されているQRコードを読み取ってください。

    • メールに記載されているワンタイム認証コードを入力します。

  1. アプライアンスのログインページで、管理者名とパスワードを入力します。

    2要素認証画面が表示されます。

  2. 以下のいずれかの方法で認証コードを受け取ります。

    • SMSEメールの2つのチェックボックスを選択

      - この認証オプションでログインするには、ゲートウェイがインターネットに接続している必要があります。

    • SMSチェックボックスのみを選択

      - この認証オプションでログインするには、ゲートウェイがインターネットに接続している必要があります。

    • Eメールチェックボックスのみを選択

      - この認証オプションでログインするには、ゲートウェイがインターネットに接続している必要があります。

    • 認証アプリをクリック

      - 初回認証後、ゲートウェイがインターネットに接続していない場合でも、Authenticatorアプリで生成された時間ベースのコードを使用してログインできます。

      選択したログインオプションで受信した確認閉じた トラフィックやファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザはアクティビティの許可を承認できます。コードを入力します:

      • SMSから

      • メールから

      • Authenticatorアプリから

  3. [次へ]をクリックします。

  4. 受け取った認証コードを入力し、次へをクリックします。

  5. コードが届かない場合は、コードの再送信または別の方法を選択してコードを受信します。

  1. アプライアンスでコマンドラインにアクセスします。

  2. ユーザ名とパスワードを入力します。

  3. 認証コードの受信方法について、希望する番号を入力します。

  4. 検証コードを入力します。

  1. デバイス >  システム >  管理者ページに移動します。

  2. 管理者を選択します。

  3. キーの再生成ボタンをクリックします。

- これにより、現在のシークレットキーと緊急キーは無効になります。

新しいキーは、選択した管理者のEメールアドレスに送信されます。Eメールを受信したことを確認し、Authenticatorアプリでログインできるように新しいシークレットキーをAuthenticatorアプリに設定します。