r76 スタンドアロン構成...

©2013 Check Point Software Technologies Ltd.

R76 スタンドアロン構成設定ガイド

Last updated Jun 20, 2013

Ver 1.2

2 ©2013 Check Point Software Technologies Ltd.

ネットワーク構成図

External:192.168.100.0/24

DMZ:192.168.1.0/24

Internal:172.16.1.0/24

192.168.100.8 192.168.100.9

GUI:172.16.1.5

Internal:172.16.254.0/24

192.168.100.1

Internet

172.16.1.101 172.16.254.102

192.168.1.101


構成パターン

Management Gateway

Management Gateway Management Gateway

Management Gateway

Management

Gateway Gateway

スタンドアロン構成分散構成

冗長構成 (Full HA) 冗長構成

(Cluster-XL or VRRP)

本ドキュメントは、

こちらについて解説します！


三層構造アーキテクチャスタンドアロン構成

管理コンソール

SmartConsole & Webブラウザ

ゲートウェイ

赤枠: 一台のアプライアンス

Security Management サーバ

Security Managementサーバではセキュリティ・ポリシーの保存やコンパイルなどが行われます

ゲートウェイで生成されるログは、 Security Managementサーバで保存されます

セキュリティ・ポリシーなど

ログやステータスなど


アジェンダ

1 Gaiaセットアップ

Software Bladeセットアップ 2

運用管理オペレーション 3

ゲートウェイの追加 4


アジェンダ






2200 アプライアンスの例

アプライアンス初期設定

アプライアンスは、初期設定においてMGMTインターフェースに192.168.1.1/24のIPアドレスが割り当てられています

PCをMGMTインターフェースに接続します

ブラウザを起動して以下のURLにアクセスします

– https://192.168.1.1


初期アカウント

初期設定では、以下のアカウントが設定されています

–ユーザ名：admin, パスワード：admin


Gaia First Time Configuration Wizard 1

ログイン後、Gaia First Time Configuration Wizardが表示されます

Nextボタンをクリックしてパスワードを設定します

–今回は、例としてP@ssw0rdと入力します



時刻設定を行います。アプライアンスのローカルクロックを選択するか、NTPサーバによる時刻同期を選択します

ローカルクロック NTPサーバ利用例



ホスト名、ドメイン名、DNSサーバを設定します

ホスト名は、ゲートウェイ管理の“オブジェクト名“に利用されますので、慎重に入力します



インターフェース、デフォルトゲートウェイの設定を行います。初期設定では、以下の値が設定されていますので、所定のアドレスに変更します

ネットワーク構成図のアドレス体系に設定します

アドレスを変更すると、初期のアドレスはセカンダリIPアドレスに変更されます



アプライアンスの構成を決定します

今回は、スタンドアロン構成なのでSecurity GatewayとSecurity Managementにチェックをします

スタンドアロン構成では、Advanced設定にはチェックを入れません



Security Managementサーバのユーザ名、パスワードを設定します

今回は、例として以下を入力します

– Administrator Name: fwadmin, Password: P@ssw0rd



アプライアンスにGUIアクセスを許可するクライアントを設定します

アドレス、ネットワーク、アドレスレンジでの設定が可能です

ネットワークの設定例



ライセンスの投入を行います

購入ライセンスがない場合、Activate laterを選択頂くと、15日間のトライアル・ライセンスで動作します



設定内容一覧がサマリーとして表示されます。”Finish”ボタンをクリックすると、設定プロセス開始するか問われますので、”Yes”を選択します



設定プロセスが開始されます

設定が完了すると、Successfullyメッセージが表示されますので、”OK”ボタンをクリックします


Gaia Portal 1

クライアントのアドレスネットワーク構成図に合わせて変更します

新たに設定したIPアドレスにアクセスします

–ユーザ名: admin, パスワード: P@ssw0rd


Gaia Portal 2

ログインするとSoftware Updatesの設定を行うかのメッセージが表示されます

今回は、”No”を選択します

Gaia Portalにて、後から設定の変更が可能です


Gaia Portal 3

システムの概要が表示されます

初期設定時のIPアドレス(192.168.1.1)が、Mgmt: 1に割り当てられている事が分かります


Gaia Portal 4

初期設定されていたIPアドレスを削除します

Network Interface> Mgmt: 1を選択してDeleteボタンをクリックします。確認メッセージが表示されますので、”OK”ボタンをクリックします


Gaia Portal 5

Network Interfaces> eth1を選択してEditボタンをクリックします

IPv4タブでIPアドレスを設定します

Ethernetタブで”Enabled”, “Auto Negotiation”にチェックします。Comment:

には、インターフェースの利用目的などを入力すると、管理しやすくなります


Gaia Portal 6

Network Interfaces> eth1を選択してEditボタンをクリックします

eth2にDMZ用のインターフェースを設定します


Gaia Portal 7

設定後のインターフェースの状態です

Link StatusがUpされているか確認します。接続機器によっては、Link

Speedを固定にした方が良い場合がありますので、適宜調整します


Terminalの起動

Gaia PortalからTerminalアクセスが可能です

show configurationコマンドで、Gaiaの設定が確認できます


バージョン確認

showコマンドでSoftware Bladeバージョンが確認できます

R76-GW> show version all

Product version Check Point Gaia R76

OS build 265

OS kernel version 2.6.18-92cpx86_64

OS edition 32-bit

R76-GW>

R76-GW> show web ssl-port

web-ssl-port 443

R76-GW>


expertモード

expertモードでは、Unixコマンドを実行できます

expertモードのアカウントを設定します

– set expert-passwordコマンドで、パスワードを設定します

–今回は、パスワード：P@ssw0rdを設定します


コンフィグレーション・ロック

鍵表示の場合、コンフィグレーション・ロック状態です

ロックを解除してから設定変更を行います


アジェンダ






SmartConsoleのインストール 1

専用GUIのSmartConsoleをダウンロードして、管理用のクライアントにインストールします



SmartConsoleは、MS Visual C++, MS .NET Frameworkを要求しますので、”OK”ボタンをクリックします



SmartConsoleのインストールを開始します

ライセンスに同意して”Next”ボタンをクリックしてプロセスを進めます



インストールが完了したら、”Finish”ボタンをクリックして、SmartDashboardの専用GUIツールを立ち上げます


SmartDashboardの接続 1

SmartDashboardからSecurity Managementサーバに接続を行います

Gaia First Time Configuration Wizardで設定したSecurity Management

サーバのユーザ名、パスワードを入力します

– ユーザ名：fwadmin, パスワード：P@ssw0rd

SmartDashboardは、実際の機器がなくてもSoftware Bladeの機能を確認できる”Demo mode”を利用できます



Security Managementサーバが成りすまされていないかFingerprintを確認します

評価期間であることと、その残存日数が表示されますので、”OK”ボタンをクリックします



各Software Bladeの設定画面がタブで分かれています

オブジェクト

Software Bladeタブ

Security Managementサーバで

管理しているゲートウェイ


ゲートウェイ・オブジェクトの編集 1

オブジェクトでgw-1を選択してダブルクリックします

購入したSoftware Bladeに応じたものを選択します

トライアル・ライセンスでは、各種Software Bladeを確認できます



スタンドアロン構成は、Security ManagementのBladeも選択できます



Topology> Get> Interfaces with Topologyを選択します

Anti-Spoofingが設定されているメッセージが表示されますので、”OK”ボタンをクリックします



インターフェースのTopology情報を収集した結果が出力されますので、”Accept”ボタンをクリックします

インターフェースを選択して、”Edit”ボタンをクリックします



MgmtインターフェースのTopologyをInternalに設定します

Network defined by the interface IP and Net Maskを選択すると、172.16.1.0/24がInternalインターフェースに入るソースIPアドレスと認識されます



eth2インターフェースのTopologyをInternalに設定します

Interface leads to DMZにチェックを入れます。この設定は、コンテンツ検査を行うBladeでInternal, DMZを判別して審査するのに用いられます



eth1インターフェースのTopologyをExternalに設定します


ネットワーク・オブジェクトの追加 1

Network Objects> Networkを選択して右クリックしてNetwork

を選択します

内部ネットワークの172.16.1.0を設定します


ネットワーク・オブジェクトの追加 2

NATタブを選択して、Add Automatic Address Translation rulesにチェックを入れます

Translation method:は、Hideを選択します

– Hideを選択すると、ゲートウェイのIPアドレスに変換されます


NATルールの確認

NATを選択すると、ネットワーク・オブジェクトに追加した、IntranetがNATルールに反映されていることが分かります


初期設定のオブジェクト

Networksには、初期設定でCP_default_Office_Mode_addresses_poolというオブジェクトが用意されています

これは、VPNクライアント接続に利用されます

NATタブで、Add Automatic Address Translation ruleのチェックを外します


NATルールの確認

NATルールから、

CP_default_Office_Mode_addresses_poolのオブジェクトが含まれたルールが削除されたのが分かります

CP_default_Office_Mode_addresses_poolのオブジェクトは、影響がなければ特に変更を加える必要はありません


ホスト・オブジェクトの追加 1

Network Objects> Nodes> Node> Hostを選択してクリックします

DNSサーバをホスト・オブジェクトに設定して、”OK”ボタンをクリックします


ホスト・オブジェクトの追加 2

管理クライアントをホスト・オブジェクトに追加します

NATを選択して、Add Automatic Address Translation rulesにチェックを入れます

– Hide behind IP Gatewayにチェックをいれると、ゲートウェイのIPアドレスに変換されます

– 公開Webサーバなどの場合、Hide Behind IP Addressを選択して、公開IPアドレスを設定します


FWルールの作成 1

Policy> Add Rule at the Topを選択するとルールが1行追加されます

追加されたルールのDestination欄で”+”を選択します

DNSで検索をして、ホスト・オブジェクトで設定したDNS_Serverを選択します



Action欄を右クリックして、acceptを選択します

Track欄を右クリックして、logを選択します



Name欄、Service欄を右クリックして設定を行います

以下のルールを完成します

ルールの最下行には、全てのトラフィックを破棄するクリーンアップ。ルールを入れる必要があります。実環境では、logが大量になってしまうので、TrackはNoneにするのが一般的です


Trackカラム

Trackカラムの選択肢は、 Launch Menu> Policy> Global

Properties> log and Alert> Alertsの項目と対応しています


暗黙のルール 1

Launch Menu> View> Implied Rulesを選択すると、暗黙のルールが確認できます。これは、SmartDashboardクライアント、Security Management

サーバ、ゲートウェイを管理する上で必要なルールが予め設定されています

もう一度選択すると、元の表示に戻ります


暗黙のルール 2

Policy> Global Properties> FireWallで暗黙のルールを制御することができます

誤った設定を行うと、管理に影響が出ますので、注意してください


ルールの解説

ルール１：全てのソースがDNSに通信を許可

ルール２：IntranetからNATしてhttp, https通信を許可

ルール３：Admin_PCからgw-1に通信を許可（管理用）

ルール４：クリーンアップ・ルールで全ての通信を破棄


ポリシーのインストール 1

Install Policyをクリックしてgw-3にポリシーをインストールします

ゲートウェイが複数ある場合、チェックの有無でポリシーをインストールするゲートウェイを選択できます


ポリシーのインストール 2

ポリシーインストールのプロセスは、ポリシーの不一致を検証するVerifying機能が含まれます

Successfulメッセージが確認できたら正常ポリシーはインストールされました。Error, Warningが発生した場合は、内容を確認して手当てします


SmartView Trackerの起動

SmartConsole> SmartView Trackerを選択します

SmartView Trackerは、各種Bladeで検出したログ、監査ログなどをリアルタイムで確認できます


SmartView Trackerのログ 1

特定のレコードをダブルクリックすると、詳細を確認できます

Previousで前のレコード、Nextで次のレコードに移動します

Copyをクリックするとメモ帳などにテキストでコピーできます


SmartView Trackerのログ 2

Managementタブでは、管理系のログを確認できます


SmartView Monitorの起動

SmartConsole> SmartView Monitorを選択します

SmartView Monitorは、システムステータスを確認できます


Threshold Configuration 1

ここでは、CPU使用率が一定の閾値を超えたらAlartを出すように変更してみます


Threshold Configuration 2

CPU Usageにチェックを入れ、Valueを5%に変更します

System Alert Daemonが動作していないメッセージが表示されますので”OK”ボタンをクリックします


System Alert Daemonの起動

Launch Menu> Tools> Start System Alert Daemonをクリックするとスタートします

Launch Menu> Tools> Alertsでアラートを確認できます

CLIでtcpdump -i Mgmt –nを実行してパケットを画面に出す軽い不可などをかけてアラートを確認します


アジェンダ






ログ管理 1

ログはゲートウェイで生成されて、Security Managementサーバにネットワーク経由で転送され、 Security ManagementサーバのHDD上の$FWDIR/log/fw.logに累積的に追加されます

ログはfw.logのみではなく、ポインタ・ファイルも構成されます

ログはlog switch(ログ切り換え)という作業を行うことにより、それまでのログを別ファイルに保存できます。 Log switchではポインタ・ファイルも別ファイル名で保存されます

後に再度ログを閲覧する場合、Security Managementサーバ上の$FWDIR/logディレクトリに戻して確認します

Log switchは手動で行う方法と自動で行う方法があります

– 手動では、SmartView TrackerのLaunch Menu> File> Switch Active File、もしくはCLIからfw logswitchコマンドで実行できます

– 自動では、定時に行う、ログファイルのサイズが指定した大きさを超えたら行うなどの設定が可能です


ログ管理 2

$FWDIR/logディレクトリのログファイルの例です


ログ管理 3

オブジェクトのLogs> Local Log Storageで、自動でLog switchする設定が可能です

初期設定で、幾つかのtimeオブジェクトが用意されています


Timeオブジェクト

Launch Menu> Manage> Timeをクリックします

Midnightを確認してみます。23:59が指定されている事が確認できます


SNMP設定 1

View modeをAdvancedに変更するとツリーにSNMP項目が表示されます


SNMP設定 2

Enable SNMP Agentにチェックを入れ、必要に応じてTrapで通知する項目を選択します


SNMP設定 3

MIBファイルは、以下が用意されています

– $CPDIR/lib/snmp

– chkpnt.mib, chkpnt-trap.mib

TWSNMPの例


バックアップ・リストア 1

バックアップの方法は、手動で行う方法とスケジュール化による自動の方法があります

– バックアップは、Gaia OSとSoftware Bladeの設定です

– $FWDIR/log/配下は含まれません

バックアップファイルは、/var/CPbackup/backupに保存されます

リストアは、バックアップしたバージョン、Build、HF、HFAなど全て合わせて実行する必要があります


バックアップ・リストア 2

バックアップ・リストアは、CLIからも実行できます

バックアップコマンド： add backup

リストアコマンド：set backup restore

リストア後は、rebootコマンドで再起動を実行します

Localにバックアップの例 show backup statusコマンドの例


Image Management

Image Managementは、Snapshotによるシステムイメージのバックアップです。/bootにディレクトリが作成され、その中にファイルが生成されます

– システム全体をイメージとして保存します

– イメージの容量は数GBに達しますので、数十分要する場合があります

– イメージのexport, importが可能です

Image Managementには、ログファイルは含まれません

Revertで復元できます


初期化 1

CLIでrebootを行います

“Press any key to see the boot menu”が表示されている間に、Enterキーを入力します


初期化 2

Reset to factory defaults – Gaia R76を選択します。確認を求められますので、yesを入力します

プロセスが終了して、loginプロンプトが表示されたら、初期のアカウントでログインします

– login: admin, Passworsd: admin


初期化 3

電源offする場合、Haltコマンドを入力します

Power downが表示されたら、電源offします


アジェンダ






Gaia Portal 1

Gaia Portalで追加ゲートウェイの設定を行います


Gaia Portal 2

追加ゲートウェイは、ゲートウェイのみを構成しますので、Security Managementのチェックを外します


Gaia Portal 3

SICパスワードは、Security Managementとのワンタイム・パスワードで利用されます

インターフェースを以下のように設定します


オブジェクトの追加 1

SmartDashboardのCheck Point> Security

Gateway/Managementをクリックします

モードは、Classic Modeを選択してクックします



Communicationボタンをクリックして、 Gaia First Time Configuration

Wizardで設定したSICパスワードを入力します

Initializeボタンをクリックして、”Trust Establish”が表示される事を確認します



インターフェースのトポロジー設定を行います

ネットワーク・オブジェクトでIntranet2を追加して、Translation

method:は、Hideを選択します


ルールの追加・編集

ルールを選択して、右クリックするとAdd Ruleを選択できます。Above（上に追加）、Below（下に追加）を選択してルールを完成させます

Install Onで該当のゲートウェイを選択します


ポリシーのインストール

ポリシーのインストールを実行して、Successfullyが表示されるのを確認します

r76 スタンドアロン構成...

Documents