gaiaインストールガイド check point r77...©2013 check point software technologies ltd. 5...

©2013 Check Point Software Technologies Ltd.

GAiAインストールガイド - Check Point R77

チェック・ポイント・ソフトウェア・テクノロジーズ(株)

[Protected] For public distribution

2 ©2013 Check Point Software Technologies Ltd.

アジェンダ

1 Check Point R77

アプライアンスへのインストール 2

VMwareへのインストール 3

IPアプライアンスへのインストール 4



変更履歴

Rev1

– R75.40ベースにて新規作成

Rev2

– R75.46ベースに改定

Rev3 – R76ベースに改定

Rev3a – vmnetのドライバー変更を削除ほか

Rev4

– R77ベースに改定



アジェンダ

1 Check Point R77






Check Point R77での新機能

Threat Emulation Software Blade – Sandbox技術を利用し、未知の攻撃からの防御を提供

– SmartConsoleからGAiAの集中管理が可能

– クラスタリングされているGAiA環境を自動的に同期

–必要であれば、自動的にOSのアップデートを実行

Identity Awarenessの改善 – RADIUSのサポートや、Agentの配布やインストールを改善

Endpoint Security – Endpoint Security Serverの機能を統合

その他、多数の新機能を搭載！



Check Point R77の入手

sk92965からISOイメージをダウンロードします

– Fresh InstallationからGAiAのISOイメージをダウンロードします

–アプライアンスやオープンサーバーも、すべて同じISOイメージです

ISOイメージをDVDに焼きます

– USBメモリーからインストールする場合は、sk65205を参照してください

– USBメモリーによってはブートできないものもあります

– VMwareにインストールする場合はISOイメージから直接インストールできます

– DVDメディアに焼く必要はありません

インストール後、15日間はフル機能の評価ができます

–継続して評価が必要な場合は、1ヶ月の評価ライセンスの入手が必要です


https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk92965https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk91140

http://supportcontent.checkpoint.com/file_download?id=26745

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk65205


アジェンダ

1 Check Point R77






アプライアンスへのインストール(1)

USB接続のDVDドライブを用意します

–認識されないドライブもありますのでご注意ください

DVDドライブにISOイメージを焼いたDVDをセットし、アプライアンスのUSBポートに接続します

シリアルコンソールにコンソールケーブルを接続し、ターミナルソフトから参照できるようにします

– 9600bps/8bit/No Parity/1 stop bit

アプライアンスの電源を入れます




DVDドライブからBoot出来ると「Welcome to Check Point Gaia」「Press any key to start installation」と表示されますので、60秒以内に何かキーを押せばインストールが始まります

– 60秒以内にキーを押さなかった場合は、ローカルのハードディスクからBootします


Welcome to Check Point Gaia

Press any key to start installation

Automatic boot in 60 seconds...



インストール作業はすべて自動的に行われます

「You may safely reboot your system」と表示されれば終了です

アプライアンスの電源を切り、DVDドライブをUSBから取り外します

再度、電源を入れローカルのハードディスクからBootします


：

/mnt/sysimage/tmp/fcd_GAIA/dev done

/mnt/sysimage/tmp/fcd_GAIA done

/mnt/sysimage/var/log done

/mnt/sysimage/dev done

/mnt/sysimage done

You may safely reboot your system メッセージを確認


PCとのネットワーク接続

アプライアンスのINTまたはMGMTポートとPCをイーサーネットケーブルで接続します(Auto MDI-Xなのでストレートケーブルで接続可能)

PCのネットワークインターフェイスに、IPアドレス：192.168.1.x(ｘは2~254までの任意)、サブネットマスク：255.255.255.0を設定します

デフォルト・ゲートウェイは特に設定しなくても構いませんが、192.168.1.1を設定しておいてもいいでしょう

準備ができたら、アプライアンスの電源を入れます

アプライアンスが起動したら、「https://192.168.1.1/」にブラウザからアクセスします

証明書のエラーが出ますが、無視して続行してください [Protected] For public distribution

https://192.168.1.1/


First Time Configuration Wizard(1)

ブラウザから正常に接続できると、ポータル画面が表示されます

コマンドラインからの初期設定はできなくなっていますのでご注意ください

初期のユーザ名：admin、パスワード：adminでログインします




ログインすると、First Time Configuration Wizardが開始されます

Cancelすることも可能ですが、Wizardを完了することをお勧めします




OSのパスワードを設定し直します(初期値はadminでした)

大文字、小文字、記号をすべて含むパスワードを設定します




INTまたはMGMTインターフェイスのIPアドレスを設定、変更します



First Time Configuration Wizard(4-a)

IPアドレスを変更し、Nextをクリックすると以下のダイアログが出ます

設定したIPアドレスをインターフェスに割り当てましたが、ブラウザの接続性を保つために、デフォルトのIPアドレス(192.168.1.1)はセカンダリーIP(Alias)として残してあります

Wizard終了後に、新しいIPアドレスでアクセスできるのを確認してから、セカンダリーIPを削除してください




ホスト名、ドメイン名(任意)、DNSサーバのアドレスを設定します

ホスト名を後から変更するのは大変なので、慎重に決定します




おおよその日時とタイムゾーンを設定します

NTPサーバを使う場合は、インターネット接続が可能になってから設定したほうがいいでしょう




インストールするプロダクトを選択します

アプライアンスの場合Security Gatewayは外せません(Smart-1は除きます)

冗長化構成の場合は、冗長化構成のタイプ等を設定してください




Security Gatewayのみを選択した場合のみです

動的IP（DHCPやPPPoEなど）を使ってIPアドレスを設定する場合はYesを選択します



First Time Configuration Wizard(8-b)


SICのアクティベーションキーを入力します(ワンタイムパスワードなので、SICが確立すれば、以後利用することはありません)




Security Managementのインストールを選択した場合、管理者の設定を行います(SmartDashboardにて入力するユーザ名/パスワード)

OS(GAiA)のアカウントとは関係ありません




Security Managementのインストールを選択した場合、 GUI

Clients(SmartDashboardなど)の接続を許可するIPアドレスを設定します

指定したIPアドレスをもつPC以外からGUIの接続はできなくなります




この画面はアプライアンスによって異なります

インターネット経由でUserCenterにアクセス出来る場合、必要なライセンスをここで投入することができます

評価目的等であれば、Activate laterを選択して次に進んでください(後からでも評価、または正規ライセンスを入れることが出来ます)




以上で初期設定は終わり、Finishをクリックし確認のためのメッセージが出ますので、Yesをクリックすれば設定が反映されます




設定の反映が正常に終了しました



セカンダリーIPの削除(1)

初期設定完了後は、まだセカンダリーIPが設定されているため、初期値の192.168.1.1に対してアクセスしています

Sign Outをクリックして、Portalからログアウトします


サインアウト



PCのIPアドレスを変更し、新たに割り当てたIPアドレスでポータルに再ログインします




ログイン出来るのを確認したら、Network InterfacesからセカンダリーIPを削除します




Deleteをクリックすると、確認のダイアログが出てきますので、OKをクリックし設定を完了させます

以上で、最低限の初期設定は終了です –引続き、OSの設定を行なってください

– その他インターフェスへのIPアドレスの付与

– ルーティングの設定 – NTPの設定 – 必要であれば冗長化の設定 – ライセンスの投入、アクティベーション – バックアップの作成 – Etc, etc...



アジェンダ

1 Check Point R77






VMwareの準備

評価目的でVMware上で稼働させることが可能です

–実際にサポートされる環境は下記でご確認ください

– http://www.checkpoint.com/services/techsupport/hcl/index.html

VMware Workstation又は、VMware Playerをインストールしておきます(本来サポートされるのはESXi環境ですがここでは省略します)

ipconfig等を使って、事前にVMネットワーク構成を把握しておいてください

VMware Playerの場合、vmnetcfg.exeを別途導入しておくと便利です

ここでは、VMware Player 4.xを使ってインストールしています


http://www.checkpoint.com/services/techsupport/hcl/index.html


VMの作成(1)

VMware Playerを起動し、新規仮想マシンの作成を選択します

インストーラーディスクイメージとして、ダウンロードしたISOイメージを指定します



VMの作成(2)

ゲストOSはLinuxから「Red Hat Enterprise Linux 5 64 ビット」を選択します(32bitカーネルでも64bitカーネルでもどちらでも使えます)



VMの作成(3)

任意の仮想マシン名と、保存する場所を選択します



VMの作成(4)

ハードディスクは、最低20GB確保してください



VMの作成(5)

「この仮想マシンを作成後にパワーオンする」のチェックを外して、完了をクリックします



VMの作成(6)

ウィザード終了後、仮想マシン設定の編集をクリックします



VMの作成(7)

ウイザードでの仮想マシン作成直後は下記のようになっています

この状態から、使いやすいようにチューニングします



VMの作成(8)

メモリーは1.5GB以上(推奨2GB)、プロセッサーは1又は2

フロッピー、USBコントローラ、サウンドカード、プリンタは削除します

ネットワークアダプタは環境に合わせてください(ブリッジ or NAT)



VMの作成(9)

Gateway型で設定する場合、ネットワークアダプタを追加します

追加したネットワークアダプタをInternal(内側ネットワーク)として利用します



VMの作成(10)

Internal(内側のネットワーク)として利用する場合は、外部に接続する必要がないので、ホストオンリーを選択します



VMの作成(11)

下記のような状態になれば、最低限のチューニングは終了です

ネットワークアダプタが2つ以上必要な場合は、それぞれ追加してください



GAiAのインストール(1)

ISOイメージからBootすると、以下の状態になります

60秒以内に操作しなかった場合、ローカルのハードディスクからBootします(空の状態なので何も起こらないはずです)

VMware toolのインストールダイアログが出た場合は、「後で」を選択します(GAiAにVMware toolは含まれています)




矢印の上下を使って「Install Gaia on this system」を選択し、リターンキーを押します




インストール作業を行う旨の確認メッセージがでますので、OKでリターンキーを押します




キーボードのタイプを指定します

jのキーを押すと、jから始まるところに素早く移動できます

パスワードに記号などが必要になりますので、正しいタイプを指定してください




パーティションサイズを決定します

System-rootは最低6GB確保してください

OSのスナップショット機能を使わないのであれば、Backup images

は最小で構いません




adminユーザのパスワードを設定します

英数字、記号を混在させて、結果がStrongになるようにしてください




マネージメントポートを指定します

このポートに対して、次のステップでIPアドレスを付与します

マネージメントポートと書いてありますが、このポートからだけ管理するようになるものではありませんし、後で変更もできます




マネージメントポートに指定したインターフェスに対して、IPアドレスを付与します

初期セットアップのためのIPアドレスで、後で変更することも可能です




入力した設定を反映させ、インストール作業を開始する確認画面になります

OKでリターンキーを押すと、(バーチャル)ハードディスクの内容はすべて初期化されますのでご注意ください




インストールが正常に終了しましたので、リターンキーを押してRebootします

ブラウザでアクセスするIPアドレスを忘れないでください



GAiAの起動

正常に起動すると、以下の状態になりますので、これ以降はブラウザを使って設定していきます




インストール時に設定したIPアドレスに対して、ブラウザからhttpsでアクセスします

ユーザ名：admin、パスワードはインストール時に設定したものでログインします




マネージメントポートに指定したインターフェイスのIPアドレス(IPv6も設定可能)を設定します(初期値はインストール時に指定したもの)




IPアドレスを変更した場合、Nextをクリックすると以下のダイアログが出ます

設定したIPアドレスをインターフェスに割り当てましたが、ブラウザの接続性を保つために、以前のIPアドレス(ここでは172.16.1.60)はセカンダリーIP(Alias)として残してあります


セカンダリーIPの削除はアプライアンスの項を参照してください




Security Gateway又はSecurity Managementをインストールするのか、Multi-Domain Server(旧Provider-1)をインストールするのか選択します

ここではSecurity Gateway or Security Managementを選択します




前段のプロダクト選択において、Security Gatewayのみ選択した場合、次の設定項目が追加されます

–ダイナミックIP(DHCPなどからIPを取得する)を利用するのか？

– SICのアクティベーションキーを入力します(ワンタイムパスワードなので、SICが確立すれば、以後利用することはありません)




Security Managementのインストールを選択した場合、管理者の設定を行います(SmartDashboardにて入力するユーザ名/パスワード)

OSのアカウントとは関係ありません





Clients(SmartDashboard)の接続を許可するIPアドレスを設定します





設定を完了するためにリブートが必要です

OKを押してリブートし、設定を完了します

– OKを押さなくても、60秒経つと自動的に再起動します



インストールの完了

再起動後、ポータルに再度ログインします



– ルーティングの設定

– NTPの設定

– 必要であれば冗長化の設定

– ライセンスの投入

– バックアップの作成

– Etc, etc...



アジェンダ

1 Check Point R77






IPアプライアンスの準備

GAiAをサポートしているIPアプライアンスを準備します – IP150/IP280/IP290/IP390/IP560/IP690/IP1280/IP2450

– 64bitカーネルを利用するためには8GBのメモリーが必要です – IP1280とIP2450で利用することができます

R77のGAiAでは、フラッシュベース又はハイブリッドモードのプラットフォームはサポートしていません

事前にIPSO 6.2をインストールし、最低限1つのインターフェイスをセットアップしておきます – IPSO 6.2であれば、どのBuildでもインストールが可能です – インターフェイスのセットアップを行わないとインストールに失敗します

バックアップ等は事前に取得し、アプライアンス以外の場所で保管してください – ここでは、新規インストールの場合のみを説明しています



ftpサーバの準備

IPアプライアンスにGAiAをインストールする場合、別途ftpサーバが必要です – 100以上の同時セッションが接続できる必要があります – ftpサーバのOSはLinuxでもWindowsでも構いません

– Linux OSを推奨します – Windowsの場合、ISOイメージ内のファイルをすべてコピーする必要がありますのでご注意ください(Installation and Upgrade Guideのドキュメントを参照)

USBポートを搭載しているIPアプライアンスはUSBメモリーからのインストールも可能です

事前にプリセットしたftpサーバのVMwareイメージの用意があります – 入手希望の方は、弊社担当者にお問い合わせください

ここでは、事前に用意したVMware上のLinux(Ubuntu)からのインストール手順を記述してあります – 個別に準備される場合は、Installation and Upgrade Guideのマニュアルを元に準備してください



インストール環境

ここでは、以下の条件でGAiAの新規インストールを行うものとします

IPアプライアンスの設定

– eth1c0：192.168.1.1/24

–デフォルトゲートウェイ：192.168.1.254

ftpサーバ(PC上のVMwareにて稼働)

–ブリッジインターフェイス：192.168.1.254/24

–デフォルトゲートウェイ：192.168.1.1

IPアプライアンスとPCのブリッジインターフェイスをイーサネットケーブルで接続します

–事前にpingコマンド等で疎通確認をしてください


192.168.1.1/24

192.168.1.254/24


GAiAの新規インストール(1)

GAiAをインストールするためのパッケージをIPSOに導入します

– clishから導入します(太字の部分が入力するコマンドです)

エラーが無いことを確認して次に進みます


ip390[admin]# clish

NokiaIP390:1> add package media anonftp addr 192.168.1.254 name /Check_Point_Upgrade_R77_T237.IPSO6.2_to_Gaia.tgz

Trying to install package: /opt/packages/Check_Point_Upgrade_R77_T237.IPSO6.2_to_Gaia.tgz

Package Information --

Name : IPSO to Gaia Upgrade

Version : 1.29

Release : 2

Description: IPSO to Gaia Upgrade Package (1.29.2-6.2.B990000006.1)

Package will be installed under: /opt

Package installed and activated successfully.

End of package installation.

NokiaIP390:2> exit

ip390[admin]#



パッケージのインストール後、新規インストールのスクリプトを実行します(太字の部分が入力するコマンドで、オレンジは説明です)


ip390[admin]# cd /opt/CP-IPSO2GaiaUpgrade-1.29-2/

ip390[admin]# ./run-install-Gaia (新規インストール用のスクリプトを実行)

Welcome to the IPSO to Gaia Install/Upgrade procedure.

Checking platform...OK

Checking IPSO OS version ...OK

Checking hostname ...OK

You have selected to do an install and your settings will be lost.

If you wanted to preserve the configuration in Gaia,

exit and run script 'run-upgrade-to-Gaia'.

Do you want to continue with the install ? [n] y

=========================================================

The following types of information are needed to prepare

your IPSO appliance for the install:

- info about downloading the Gaia image.

- info about transferring an IPSO backup (optional).



続き


Answer the prompts for this info and then the install is performed.

Hit 'Enter' to continue or Ctrl-C to exit

[Enter] (Enterキーを押してインストールを続行します)

=========================================================

Info for download of the Gaia image:

IP address of FTP server []: 192.168.1.254 (ftpサーバーのIPアドレスを入力します)

User name []: ftp (ftpサーバーのユーザ名を入力します)

Password []: **** (ftpサーバーのパスワードを入れますがAnonymousなので適当に入力)

Directory (full pathname) []: /gaia

Performing tests to access FTP server and Gaia ISO

Checking route to 192.168.1.254 ... OK

Interface: eth1 speed 1000M, duplex full

Checking FTP access with given credentials ... OK

Checking FTP access to /gaia ... OK

Checking directory /gaia ... OK

Checking directory /gaia is Gaia ISO ... OK

Checking multiple simultaneous connections to 192.168.1.254 ... OK

Checking timeout to 192.168.1.254 ... OK

Checking FTP access to files downloaded by Gaia boot-manager

system/ramdisk.pxe ... OK

system/base/stage2.img ... OK



続き


=========================================================

A complete backup of the IPSO system can performed

including system configuration, user home directories,

log files and files from packages.

IPSO directories for backup use 1 MB

Directories for Check Point packages use 536 MB

Do you want to perform this backup ? [y] n (今回はバックアップを取らない)

-------------------------

Information for download of the Gaia image:

FTP Server IP Address = 192.168.1.254

FTP Server user name = ftp

Directory on FTP Server = /gaia

Are these values correct? [y] y (インストール情報が正しいか確認)

Writing values to file

Installing Gaia Boot Manager ... done



続き

再起動後もインストール作業が続きますので、ftpサーバは起動したまま、構成を変えずにそのままでインストール作業を続行してください


IP appliance reboots automatically in 30 seconds to complete the install.

Do nothing to continue or hit 'Enter' to abort.[Enter]

Aborted. (30秒待つ必要は無いのでEnterでAbortする)

When you are ready to proceed with the install,use the 'reboot' command.

ip390[admin]# reboot (rebootコマンドで再起動するとインストールが始まる)



再起動後、再度ftpサーバーに接続し、自動的にGAiAのインストールが再開されます

–途中で絶対にネットワーク構成などを変更しないでください



GAiAの起動

正常にインストールされると、以下の状態になりますので、これ以降はブラウザを使って設定していきます




ブラウザからhttpsで最後に設定したIPアドレスにアクセスすると、ポータル画面が表示されます

–証明書の警告は無視してください

コマンドラインからの初期設定はできなくなっていますのでご注意ください

初期のユーザ名：admin、パスワード：adminでログインします




OSのパスワードを設定し直します(初期値はadminでした)

大文字、小文字、記号をすべて含むパスワードを設定します




eth1(インストールに使った)インターフェイスのIPアドレスを設定、変更します




IPアドレスを変更し、Nextをクリックすると以下のダイアログが出ます

設定したIPアドレスをインターフェスに割り当てましたが、ブラウザの接続性を保つために、デフォルトのIPアドレス(192.168.1.1)はセカンダリーIP(Alias)として残してあります






IPアプライアンスの場合のSecurity Managementは、アップグレードの場合のみ認められています






動的IP（DHCPやPPPoEなど）を使ってIPアドレスを設定する場合はYesを選択します



First Time Configuration Wizard(8-b)


SICのアクティベーションキーを入力します(ワンタイムパスワードなので、SICが確立すれば、以後利用することはありません)




Security Managementのインストールを選択した場合、管理者の設定を行います

OSのアカウントとは関係ありません





Clients(SmartDashboard)の接続を許可するIPアドレスを設定します





設定の反映が正常に終了しました




初期設定完了後は、まだセカンダリーIPが設定されているため、初期値の192.168.1.1に対してアクセスしています

Sign Outをクリックして、Portalからログアウトします


サインアウト



PCのIPアドレスを変更し、新たに割り当てたIPアドレスでポータルに再ログインします




ログイン出来るのを確認したら、Network InterfacesからセカンダリーIPを削除します




Deleteをクリックすると、確認のダイアログが出てきますので、OKをクリックし設定を完了させます



– ルーティングの設定 – NTPの設定 – 必要であれば冗長化の設定 – ライセンスの投入 – バックアップの作成 – Etc, etc...


gaiaインストールガイド check point r77...©2013 check point software technologies ltd. 5...

Documents