システム サービスの管理
[ユーザ&オブジェクト]>[サービス]ページには、システムに定義されているシステム サービスのリストが表示されます。このページでは、新しいサービスの追加や、サービスの編集と削除を行うことができます。
サービス オブジェクトを使って、異なるネットワーク プロトコルを簡単に定義できます。通常はIPプロトコルとポート(TCPおよびUDP IPプロトコルで使用)を使います。
これらのオブジェクトで、セキュリティ ポリシー
ネットワークトラフィックを制御し、パケットインスペクションによりデータ保護やリソースへのアクセスに関する組織のガイドラインを実施するルールの集合体。やポリシー ベースのルーティング ルール ルールベースにおいて、通信セッションに対して指定されたアクションを実行するためのトラフィックパラメータやその他の条件セット。を定義できます。サービス オブジェクトの多くはシステムで事前に定義されており、削除することはできません。事前に定義されている「システムのサービス」は、対象サービスの接続性やセキュリティに関する精密なインスペクションを実行するアプライアンスでの機能性を表わしています。システムのサービスには、追加の設定オプションがある場合があります。
新しいサービスを作成するには
-
[新規]をクリックします。
-
[サービス]タブで、指定するサービスのタイプに適用するフィールドの情報を入力します。すべてのフィールドが表示されない場合もあります。
-
[名前] - サービス名を入力します。
-
[タイプ] - リストからサービスのタイプを選択します。
-
TCP
-
UDP
-
ICMP - ICMPプロトコルで特定のオプションが必要な場合はこれを選択します。これは高度なオプションです。
-
その他 - TCPまたはUDP以外の任意のIPプロトコルの場合はこれを選択します。
-
-
ポート - [タイプ]でTCPまたはUDPを選択した場合はポートを入力します。特定のポート番号/範囲を入力します。
-
[IPプロトコル] - [タイプ]でその他を選択した場合はIPプロトコルを入力します。
-
[ICMPタイプ]と[ICMPコード] - サービス オブジェクトをRFC 792でリストされるようにするには、ICMPタイプとコードを入力します。このオプションは、[タイプ]フィールドでICMPを選択した場合のみ該当します。
-
[コメント] - オプションのコメントを入力します。
-
[このサービスのインスペクションを無効にする] - このサービスに一致するトラフィックの詳細インスペクションを無効にする場合はこのチェックボックスをオンにします。このオプションはビルトイン サービスでのみ選択できます。
-
-
[詳細]タブで、指定するサービスのタイプに適用するフィールドの情報を入力します。すべてのフィールドが表示されない場合もあります。
全般
-
[セッション タイムアウト(秒)] - セッションのタイムアウトまでの時間を秒で示します。
-
[ソース ポートの使用] - クライアント側のサービスに対し、このオプションを選んでポート番号を入力します。このオプションにより、指定の発信元のポート番号だけが、このサービスのパケット検査で許可、破棄、拒否の対象になります。指定しない場合は、発信元ポートは検査されません。
-
[返答を許可](TCPサービス以外に該当)- オフの場合、サーバからクライアントのパケットが異なる接続として処理されます。
-
[一致](Check Pointサポートが使う高度なオプション)。
接続処理
-
[ポリシーのインストール後も接続したままにする] - 新しいポリシーで禁止されていても、このオプションを優先させます。この設定を変更した場合、オープン接続には影響せず、以降の接続のみに反映されます。
-
[クラスタ
ハイアベイラビリティを実現するために相互接続された2台のQuantum Sparkアプライアンス。での同期] - クラスタでのHAまたは負荷共有での状態の同期を有効にします。ルール ベースで許可するサービスの中で、クラスタの同期接続のサービスだけが、クラスタを通過する際に同期されます。デフォルトでは、新規/既存に関わらずすべてのサービスが同期されます。 -
[同期開始X秒後(接続開始後)] - TCPサービスの場合には、このオプションを使用してQuantum Sparkアプライアンスへの接続情報の通知を遅らせ、接続開始x秒後に接続がまだ存在する場合にのみ接続を同期するように設定できます。一部のTCPサービス(たとえばHTTP)には、継続時間が非常に短いという特徴があります。これらの接続を同期化すると、ゲートウェイ リソースを消費しフェイルオーバー
障害が発生したクラスタメンバから別のクラスタメンバへのトラフィック制御(パケットフィルタリング)の転送(クラスタ内部のアルゴリズムに基づく)。同義語:Fail-over、フェールオーバー。が発生する時までに接続が終了してしまうため、同期化は意味がありません。
アグレッシブ エージング
この機能は、[デバイス]>[詳細]ページから設定できます。アプライアンスに負荷がかかっている場合、古い接続が先にメモリから削除され、新しい接続ができるように容量を確保します。
-
[アグレッシブ エージングを有効にする] - このオプションを選択してコネクション テーブルの容量を管理し、ゲートウェイのメモリ消費を減らして継続時間と安定性を向上させます。
-
[アグレッシブ エージングのタイムアウト(秒)] - セッションのタイムアウトまでの時間を秒で示します。
-
-
適用をクリックします
サービスを編集するには
-
リストからサービスを選択します。
-
[編集]をクリックします。
-
必要な変更を行います。一部のフィールドは編集できない場合もあります。
-
適用をクリックします
サービスを削除するには
-
リストからサービスを選択します。削除できるのはユーザが定義したサービスのみです。
-
[削除]をクリックします。
-
確認
トラフィックやファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザはアクティビティの許可を承認できます。メッセージで[はい]をクリックします。
特定のサービスを絞り込むには
-
[入力して絞り込み]ボックスにサービス名やその一部を入力します。
-
入力するにつれてリストが絞り込まれ、入力内容に合致する結果が表示されます。
組み込みのシステム サービス
組み込みサービスの中には、Check Pointの技術をフル活用して特定のプロトコルを深いレベルで検査できるものがあります。これらのシステム サービスは削除することができません。編集する場合は、いつ詳細インスペクションが行われるかは設定したポートで決定します。デフォルトのポートは追加/変更できます。一部のシステム サービスには、詳細インスペクションの実行方法に影響する追加設定が含まれています。
-
HTTP - [IPS設定]タブでは、HTTPの詳細インスペクションを実行する方法とタイミングを設定できます。該当するオプションを選択します。
-
HTTPS - [URLフィルタリング設定]タブでは、証明書の情報ごとにHTTPSサイトを分類できます。
-
FTP - ファイアウォール設定タブで、ファイアウォールでデータ接続を自動的に検出
トラフィックやファイルの内部ネットワークへのアクセスを許可し、それらをログに記録するUserCheckルールアクション。する方法を設定します。以下のいずれかのオプションを選択します。 -
任意 - ファイアウォールですべてのモードのFTPデータ接続を検知および許可します。
-
アクティブ - ファイアウォールでアクティブ モードのFTPデータ接続のみを検知および許可します。
-
パッシブ - ファイアウォールでパッシブ モードのFTPデータ接続のみを検知および許可します。
-
-
PPTP_TCP - [IPS設定]タブでは、PPTPの詳細インスペクション方法を設定できます。
-
Action on malformed connections - 解析が失敗した場合に接続で実行するアクションを選択します。
-
トラッキング - 解析が失敗した場合に発行するログのタイプを選択します。
-
厳格な PPTP 解析を実施 - プロトコルに対する厳しい実施を行う場合はこれを選択します。
-
-
SNMP - [ファイアウォール設定]タブで、ファイアウォールでSNMPでの読み取り専用モードを実施するよう設定できます。
-
SSH - [ファイアウォール設定]タブで、ファイアウォールで古いバージョンのSSHプロトコル(1.x)をブロックするよう設定できます。
-
Citrix - [ファイアウォール設定]タブで、設定したポートでサポートするプロトコルを設定できます。デフォルトのポート1494番は、一般的に2つの異なるプロトコル、WinframeまたはCitrix ICAで使われます。