システム サービスの管理
ユーザ & オブジェクト > サービスページには、システムに構成されたシステムサービスが一覧表示されます。このページでは、新しいサービスの追加や、サービスの編集と削除を行うことができます。
サービス オブジェクトを使って、異なるネットワーク プロトコルを簡単に定義できます。通常はIPプロトコルとポート(TCPおよびUDP IPプロトコルで使用)を使います。
これらのオブジェクトで、セキュリティ ポリシーやポリシー ベースのルーティング ルール
ルールベースにおいて、通信セッションに対して指定されたアクションを実行するためのトラフィックパラメータやその他の条件セット。を定義できます。サービス オブジェクトの多くはシステムで事前に定義されており、削除することはできません。事前に定義されている「システムのサービス」は、対象サービスの接続性やセキュリティに関する精密なインスペクションを実行するアプライアンスでの機能性を表わしています。システムのサービスには、追加の設定オプションがある場合があります。
新しいサービスを作成するには
-
[新規]をクリック。
-
サービスタブで、選択したサービスの種類に該当するフィールドに情報を入力します。すべてのフィールドが表示されない場合もあります。
-
名前- サービス名を入力します。
-
タイプ- リストからサービスタイプを選択します:
-
TCP
-
UDP
-
ICMP- ICMPプロトコル内の特定のオプションを表す必要がある場合、このオプションを選択する。これは高度なオプションです。
-
その他 - TCPまたはUDP以外の任意のIPプロトコルの場合はこれを選択します。
-
-
ポート- タイプ - TCPまたはUDPを選択した場合は、ポートを入力します。特定のポート番号/範囲を入力します。
-
[IPプロトコル] - [タイプ]でその他を選択した場合はIPプロトコルを入力します。
-
ICMP タイプと ICMP コード-RFC 792 に記載されているように、サービスオブジェクトを表すICMPタイプとコードを入力します。このオプションは、[タイプ]フィールドでICMPを選択した場合のみ該当します。
-
コメント- オプションのコメントを入力します。
-
このサービスのインスペクションを無効にする- このサービスに一致するトラフィックのディープインスペクションを無効にするには、このチェックボックスを選択します。このオプションはビルトイン サービスでのみ選択できます。
-
-
詳細タブで、選択したサービスの種類に該当するフィールドに情報を入力します。すべてのフィールドが表示されない場合もあります。
一般
-
セッションタイムアウト (秒)- セッションがタイムアウトするまでの時間(秒)。
-
ソースポートを使う- このオプションを選択し、クライアント側サービスのポート番号を入力します。このオプションにより、指定の発信元のポート番号だけが、このサービスのパケット検査で許可、破棄、拒否の対象になります。指定しない場合は、発信元ポートは検査されません。
-
返信を受け入れる(TCP以外のサービスに関連)-クリアすると、サーバからクライアントへのパケットは別のコネクションとして扱われる。
-
[一致](Check Pointサポートが使う高度なオプション)。
接続処理
-
ポリシーがインストールされた後も、接続をオープンにしておく- 新しいポリシーでは許可されない場合でも。この設定を変更した場合、オープン接続には影響せず、以降の接続のみに反映されます。
-
クラスタ上の接続を同期する- クラスタ
ハイアベイラビリティを実現するために相互接続された2台のQuantum Sparkアプライアンス。上で状態同期されたハイアベイラビリティまたは負荷分散を有効にします。ルール ベースで許可するサービスの中で、クラスタの同期接続のサービスだけが、クラスタを通過する際に同期されます。デフォルトでは、新規/既存に関わらずすべてのサービスが同期されます。 -
接続が開始されてからX秒後に同期を開始する- TCPサービスの場合、このオプションを有効にすると、接続についてQuantum Sparkアプライアンスに通知するのが遅くなり、接続が開始されてからX秒後にまだ接続が存在する場合にのみ同期が行われます。一部のTCPサービス(たとえばHTTP)には、継続時間が非常に短いという特徴があります。これらの接続を同期化すると、ゲートウェイ リソースを消費しフェイルオーバー
障害が発生したクラスタメンバから別のクラスタメンバへのトラフィック制御(パケットフィルタリング)の転送(クラスタ内部のアルゴリズムに基づく)。同義語:フェイルオーバー。が発生する時までに接続が終了してしまうため、同期化は意味がありません。
アグレッシブ エージング
この機能はデバイス>詳細ページから設定できます。アプライアンスに負荷がかかっている場合、古い接続が先にメモリから削除され、新しい接続ができるように容量を確保します。
-
アグレッシブ エージングを有効にする- このオプションを選択すると、接続テーブルの容量が管理され、ゲートウェイのメモリ消費量が削減され、耐久性と安定性が向上します。
-
アグレッシブエージングタイムアウト (秒)- セッションがタイムアウトするまでの時間(秒)。
-
-
[適用]をクリックします。
サービスを編集するには
-
リストからサービスを選択します。
-
[編集]をクリックします。。
-
必要な変更を行います。一部のフィールドは編集できない場合もあります。
-
[適用]をクリックします。
サービスを削除するには
-
リストからサービスを選択します。削除できるのはユーザが定義したサービスのみです。
-
[削除]をクリックします。。
-
確認
トラフィックとファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザは、活動を許可することに同意することができます。メッセージで[はい]をクリックします。
特定のサービスを絞り込むには
-
入力して絞り込みボックスに、サービス名またはその一部を入力します。
-
入力するにつれてリストが絞り込まれ、入力内容に合致する結果が表示されます。
組み込みのシステム サービス
組み込みサービスの中には、Check Pointの技術をフル活用して特定のプロトコルを深いレベルで検査できるものがあります。これらのシステム サービスは削除することができません。編集する場合は、いつ詳細インスペクションが行われるかは設定したポートで決定します。デフォルトのポートは追加/変更できます。一部のシステム サービスには、詳細インスペクションの実行方法に影響する追加設定が含まれています。
-
HTTP- IPS設定タブでは、HTTPディープインスペクションの実行方法とタイミングを設定できます。該当するオプションを選択します。
-
HTTPS- URLフィルタリング設定タブでは、証明書の情報によってHTTPSサイトを分類できます。
-
FTP- ファイアウォール設定タブでは、ファイアウォールがデータ接続を自動的に検出
UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。する方法を設定できます。以下のいずれかのオプションを選択します。-
任意 - ファイアウォールですべてのモードのFTPデータ接続を検知および許可します。
-
アクティブ - ファイアウォールでアクティブ モードのFTPデータ接続のみを検知および許可します。
-
パッシブ - ファイアウォールでパッシブ モードのFTPデータ接続のみを検知および許可します。
-
-
PPTP_TCP - [IPS設定]タブでは、PPTPの詳細インスペクション方法を設定できます。
-
Action on malformed connections - 解析が失敗した場合に接続で実行するアクションを選択します。
-
トラッキング - 解析が失敗した場合に発行するログのタイプを選択します。
-
厳格な PPTP 解析を実施 - プロトコルに対する厳しい実施を行う場合はこれを選択します。
-
-
SNMP- ファイアウォール設定タブでは、SNMPで読み取り専用モードを強制するようにファイアウォールを設定できます。
-
SSH- ファイアウォール設定タブでは、古いバージョンのSSHプロトコル(1.x)をブロック
トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。するようにファイアウォールを設定できます。 -
Citrix- ファイアウォールの設定タブでは、設定されたポートでサポートするプロトコルを設定できます。デフォルトのポート1494番は、一般的に2つの異なるプロトコル、WinframeまたはCitrix ICAで使われます。