r76 スタンドアロン構成...
TRANSCRIPT
©2013 Check Point Software Technologies Ltd.
R76 スタンドアロン構成 設定ガイド
Last updated Jun 20, 2013
Ver 1.2
2 ©2013 Check Point Software Technologies Ltd.
ネットワーク構成図
External:192.168.100.0/24
DMZ:192.168.1.0/24
Internal:172.16.1.0/24
192.168.100.8 192.168.100.9
GUI:172.16.1.5
Internal:172.16.254.0/24
192.168.100.1
Internet
172.16.1.101 172.16.254.102
192.168.1.101
3 ©2013 Check Point Software Technologies Ltd.
構成パターン
Management Gateway
Management Gateway Management Gateway
Management Gateway
Management
Gateway Gateway
スタンドアロン構成 分散構成
冗長構成 (Full HA) 冗長構成
(Cluster-XL or VRRP)
本ドキュメントは、
こちらについて解説します!
4 ©2013 Check Point Software Technologies Ltd.
三層構造アーキテクチャ スタンドアロン構成
管理コンソール
SmartConsole & Webブラウザ
ゲートウェイ
赤枠: 一台のアプライアンス
Security Management サーバ
Security Managementサーバではセキュリティ・ポリシーの保存やコンパイルなどが行われます
ゲートウェイで生成されるログは、 Security Managementサーバで保存されます
セキュリティ・ポリシーなど
ログやステータスなど
5 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Gaiaセットアップ
Software Bladeセットアップ 2
運用管理オペレーション 3
ゲートウェイの追加 4
6 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Gaiaセットアップ
Software Bladeセットアップ 2
運用管理オペレーション 3
ゲートウェイの追加 4
7 ©2013 Check Point Software Technologies Ltd.
2200 アプライアンスの例
アプライアンス初期設定
アプライアンスは、初期設定においてMGMTインターフェースに192.168.1.1/24のIPアドレスが割り当てられています
PCをMGMTインターフェースに接続します
ブラウザを起動して以下のURLにアクセスします
– https://192.168.1.1
8 ©2013 Check Point Software Technologies Ltd.
初期アカウント
初期設定では、以下のアカウントが設定されています
–ユーザ名:admin, パスワード:admin
9 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 1
ログイン後、Gaia First Time Configuration Wizardが表示されます
Nextボタンをクリックしてパスワードを設定します
–今回は、例としてP@ssw0rdと入力します
10 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 2
時刻設定を行います。アプライアンスのローカルクロックを選択するか、NTPサーバによる時刻同期を選択します
ローカルクロック NTPサーバ利用例
11 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 3
ホスト名、ドメイン名、DNSサーバを設定します
ホスト名は、ゲートウェイ管理の“オブジェクト名“に利用されますので、慎重に入力します
12 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 4
インターフェース、デフォルトゲートウェイの設定を行います。初期設定では、以下の値が設定されていますので、所定のアドレスに変更します
ネットワーク構成図のアドレス体系に設定します
アドレスを変更すると、初期のアドレスはセカンダリIPアドレスに変更されます
13 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 5
アプライアンスの構成を決定します
今回は、スタンドアロン構成なのでSecurity GatewayとSecurity Managementにチェックをします
スタンドアロン構成では、Advanced設定にはチェックを入れません
14 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 6
Security Managementサーバのユーザ名、パスワードを設定します
今回は、例として以下を入力します
– Administrator Name: fwadmin, Password: P@ssw0rd
15 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 7
アプライアンスにGUIアクセスを許可するクライアントを設定します
アドレス、ネットワーク、アドレスレンジでの設定が可能です
ネットワークの設定例
16 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 8
ライセンスの投入を行います
購入ライセンスがない場合、Activate laterを選択頂くと、15日間のトライアル・ライセンスで動作します
17 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 9
設定内容一覧がサマリーとして表示されます。”Finish”ボタンをクリックすると、設定プロセス開始するか問われますので、”Yes”を選択します
18 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 10
設定プロセスが開始されます
設定が完了すると、Successfullyメッセージが表示されますので、”OK”ボタンをクリックします
19 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 1
クライアントのアドレスネットワーク構成図に合わせて変更します
新たに設定したIPアドレスにアクセスします
–ユーザ名: admin, パスワード: P@ssw0rd
20 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 2
ログインするとSoftware Updatesの設定を行うかのメッセージが表示されます
今回は、”No”を選択します
Gaia Portalにて、後から設定の変更が可能です
21 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 3
システムの概要が表示されます
初期設定時のIPアドレス(192.168.1.1)が、Mgmt: 1に割り当てられている事が分かります
22 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 4
初期設定されていたIPアドレスを削除します
Network Interface> Mgmt: 1を選択してDeleteボタンをクリックします。確認メッセージが表示されますので、”OK”ボタンをクリックします
23 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 5
Network Interfaces> eth1を選択してEditボタンをクリックします
IPv4タブでIPアドレスを設定します
Ethernetタブで”Enabled”, “Auto Negotiation”にチェックします。Comment:
には、インターフェースの利用目的などを入力すると、管理しやすくなります
24 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 6
Network Interfaces> eth1を選択してEditボタンをクリックします
eth2にDMZ用のインターフェースを設定します
25 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 7
設定後のインターフェースの状態です
Link StatusがUpされているか確認します。接続機器によっては、Link
Speedを固定にした方が良い場合がありますので、適宜調整します
26 ©2013 Check Point Software Technologies Ltd.
Terminalの起動
Gaia PortalからTerminalアクセスが可能です
show configurationコマンドで、Gaiaの設定が確認できます
27 ©2013 Check Point Software Technologies Ltd.
バージョン確認
showコマンドでSoftware Bladeバージョンが確認できます
R76-GW> show version all
Product version Check Point Gaia R76
OS build 265
OS kernel version 2.6.18-92cpx86_64
OS edition 32-bit
R76-GW>
R76-GW> show web ssl-port
web-ssl-port 443
R76-GW>
28 ©2013 Check Point Software Technologies Ltd.
expertモード
expertモードでは、Unixコマンドを実行できます
expertモードのアカウントを設定します
– set expert-passwordコマンドで、パスワードを設定します
–今回は、パスワード:P@ssw0rdを設定します
29 ©2013 Check Point Software Technologies Ltd.
コンフィグレーション・ロック
鍵表示の場合、コンフィグレーション・ロック状態です
ロックを解除してから設定変更を行います
30 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Gaiaセットアップ
Software Bladeセットアップ 2
運用管理オペレーション 3
ゲートウェイの追加 4
31 ©2013 Check Point Software Technologies Ltd.
SmartConsoleのインストール 1
専用GUIのSmartConsoleをダウンロードして、管理用のクライアントにインストールします
32 ©2013 Check Point Software Technologies Ltd.
SmartConsoleのインストール 2
SmartConsoleは、MS Visual C++, MS .NET Frameworkを要求しますので、”OK”ボタンをクリックします
33 ©2013 Check Point Software Technologies Ltd.
SmartConsoleのインストール 3
SmartConsoleのインストールを開始します
ライセンスに同意して”Next”ボタンをクリックしてプロセスを進めます
34 ©2013 Check Point Software Technologies Ltd.
SmartConsoleのインストール 4
インストールが完了したら、”Finish”ボタンをクリックして、SmartDashboardの専用GUIツールを立ち上げます
35 ©2013 Check Point Software Technologies Ltd.
SmartDashboardの接続 1
SmartDashboardからSecurity Managementサーバに接続を行います
Gaia First Time Configuration Wizardで設定したSecurity Management
サーバのユーザ名、パスワードを入力します
– ユーザ名:fwadmin, パスワード:P@ssw0rd
SmartDashboardは、実際の機器がなくてもSoftware Bladeの機能を確認できる”Demo mode”を利用できます
36 ©2013 Check Point Software Technologies Ltd.
SmartDashboardの接続 2
Security Managementサーバが成りすまされていないかFingerprintを確認します
評価期間であることと、その残存日数が表示されますので、”OK”ボタンをクリックします
37 ©2013 Check Point Software Technologies Ltd.
SmartDashboardの接続 3
各Software Bladeの設定画面がタブで分かれています
オブジェクト
Software Bladeタブ
Security Managementサーバで
管理しているゲートウェイ
38 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 1
オブジェクトでgw-1を選択してダブルクリックします
購入したSoftware Bladeに応じたものを選択します
トライアル・ライセンスでは、各種Software Bladeを確認できます
39 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 2
スタンドアロン構成は、Security ManagementのBladeも選択できます
40 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 3
Topology> Get> Interfaces with Topologyを選択します
Anti-Spoofingが設定されているメッセージが表示されますので、”OK”ボタンをクリックします
41 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 4
インターフェースのTopology情報を収集した結果が出力されますので、”Accept”ボタンをクリックします
インターフェースを選択して、”Edit”ボタンをクリックします
42 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 5
MgmtインターフェースのTopologyをInternalに設定します
Network defined by the interface IP and Net Maskを選択すると、172.16.1.0/24がInternalインターフェースに入るソースIPアドレスと認識されます
43 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 6
eth2インターフェースのTopologyをInternalに設定します
Interface leads to DMZにチェックを入れます。この設定は、コンテンツ検査を行うBladeでInternal, DMZを判別して審査するのに用いられます
44 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 7
eth1インターフェースのTopologyをExternalに設定します
45 ©2013 Check Point Software Technologies Ltd.
ネットワーク・オブジェクトの追加 1
Network Objects> Networkを選択して右クリックしてNetwork
を選択します
内部ネットワークの172.16.1.0を設定します
46 ©2013 Check Point Software Technologies Ltd.
ネットワーク・オブジェクトの追加 2
NATタブを選択して、Add Automatic Address Translation rulesにチェックを入れます
Translation method:は、Hideを選択します
– Hideを選択すると、ゲートウェイのIPアドレスに変換されます
47 ©2013 Check Point Software Technologies Ltd.
NATルールの確認
NATを選択すると、ネットワーク・オブジェクトに追加した、IntranetがNATルールに反映されていることが分かります
48 ©2013 Check Point Software Technologies Ltd.
初期設定のオブジェクト
Networksには、初期設定でCP_default_Office_Mode_addresses_poolというオブジェクトが用意されています
これは、VPNクライアント接続に利用されます
NATタブで、Add Automatic Address Translation ruleのチェックを外します
49 ©2013 Check Point Software Technologies Ltd.
NATルールの確認
NATルールから、
CP_default_Office_Mode_addresses_poolのオブジェクトが含まれたルールが削除されたのが分かります
CP_default_Office_Mode_addresses_poolのオブジェクトは、影響がなければ特に変更を加える必要はありません
50 ©2013 Check Point Software Technologies Ltd.
ホスト・オブジェクトの追加 1
Network Objects> Nodes> Node> Hostを選択してクリックします
DNSサーバをホスト・オブジェクトに設定して、”OK”ボタンをクリックします
51 ©2013 Check Point Software Technologies Ltd.
ホスト・オブジェクトの追加 2
管理クライアントをホスト・オブジェクトに追加します
NATを選択して、Add Automatic Address Translation rulesにチェックを入れます
– Hide behind IP Gatewayにチェックをいれると、ゲートウェイのIPアドレスに変換されます
– 公開Webサーバなどの場合、Hide Behind IP Addressを選択して、公開IPアドレスを設定します
52 ©2013 Check Point Software Technologies Ltd.
FWルールの作成 1
Policy> Add Rule at the Topを選択するとルールが1行追加されます
追加されたルールのDestination欄で”+”を選択します
DNSで検索をして、ホスト・オブジェクトで設定したDNS_Serverを選択します
53 ©2013 Check Point Software Technologies Ltd.
FWルールの作成 2
Action欄を右クリックして、acceptを選択します
Track欄を右クリックして、logを選択します
54 ©2013 Check Point Software Technologies Ltd.
FWルールの作成 3
Name欄、Service欄を右クリックして設定を行います
以下のルールを完成します
ルールの最下行には、全てのトラフィックを破棄するクリーンアップ。ルールを入れる必要があります。実環境では、logが大量になってしまうので、TrackはNoneにするのが一般的です
55 ©2013 Check Point Software Technologies Ltd.
Trackカラム
Trackカラムの選択肢は、 Launch Menu> Policy> Global
Properties> log and Alert> Alertsの項目と対応しています
56 ©2013 Check Point Software Technologies Ltd.
暗黙のルール 1
Launch Menu> View> Implied Rulesを選択すると、暗黙のルールが確認できます。これは、SmartDashboardクライアント、Security Management
サーバ、ゲートウェイを管理する上で必要なルールが予め設定されています
もう一度選択すると、元の表示に戻ります
57 ©2013 Check Point Software Technologies Ltd.
暗黙のルール 2
Policy> Global Properties> FireWallで暗黙のルールを制御することができます
誤った設定を行うと、管理に影響が出ますので、注意してください
58 ©2013 Check Point Software Technologies Ltd.
ルールの解説
ルール1:全てのソースがDNSに通信を許可
ルール2:IntranetからNATしてhttp, https通信を許可
ルール3:Admin_PCからgw-1に通信を許可(管理用)
ルール4:クリーンアップ・ルールで全ての通信を破棄
59 ©2013 Check Point Software Technologies Ltd.
ポリシーのインストール 1
Install Policyをクリックしてgw-3にポリシーをインストールします
ゲートウェイが複数ある場合、チェックの有無でポリシーをインストールするゲートウェイを選択できます
60 ©2013 Check Point Software Technologies Ltd.
ポリシーのインストール 2
ポリシーインストールのプロセスは、ポリシーの不一致を検証するVerifying機能が含まれます
Successfulメッセージが確認できたら正常ポリシーはインストールされました。Error, Warningが発生した場合は、内容を確認して手当てします
61 ©2013 Check Point Software Technologies Ltd.
SmartView Trackerの起動
SmartConsole> SmartView Trackerを選択します
SmartView Trackerは、各種Bladeで検出したログ、監査ログなどをリアルタイムで確認できます
62 ©2013 Check Point Software Technologies Ltd.
SmartView Trackerのログ 1
特定のレコードをダブルクリックすると、詳細を確認できます
Previousで前のレコード、Nextで次のレコードに移動します
Copyをクリックするとメモ帳などにテキストでコピーできます
63 ©2013 Check Point Software Technologies Ltd.
SmartView Trackerのログ 2
Managementタブでは、管理系のログを確認できます
64 ©2013 Check Point Software Technologies Ltd.
SmartView Monitorの起動
SmartConsole> SmartView Monitorを選択します
SmartView Monitorは、システムステータスを確認できます
65 ©2013 Check Point Software Technologies Ltd.
Threshold Configuration 1
ここでは、CPU使用率が一定の閾値を超えたらAlartを出すように変更してみます
66 ©2013 Check Point Software Technologies Ltd.
Threshold Configuration 2
CPU Usageにチェックを入れ、Valueを5%に変更します
System Alert Daemonが動作していないメッセージが表示されますので”OK”ボタンをクリックします
67 ©2013 Check Point Software Technologies Ltd.
System Alert Daemonの起動
Launch Menu> Tools> Start System Alert Daemonをクリックするとスタートします
Launch Menu> Tools> Alertsでアラートを確認できます
CLIでtcpdump -i Mgmt –nを実行してパケットを画面に出す軽い不可などをかけてアラートを確認します
68 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Gaiaセットアップ
Software Bladeセットアップ 2
運用管理オペレーション 3
ゲートウェイの追加 4
69 ©2013 Check Point Software Technologies Ltd.
ログ管理 1
ログはゲートウェイで生成されて、Security Managementサーバにネットワーク経由で転送され、 Security ManagementサーバのHDD上の$FWDIR/log/fw.logに累積的に追加されます
ログはfw.logのみではなく、ポインタ・ファイルも構成されます
ログはlog switch(ログ切り換え)という作業を行うことにより、それまでのログを別ファイルに保存できます。 Log switchではポインタ・ファイルも別ファイル名で保存されます
後に再度ログを閲覧する場合、Security Managementサーバ上の$FWDIR/logディレクトリに戻して確認します
Log switchは手動で行う方法と自動で行う方法があります
– 手動では、SmartView TrackerのLaunch Menu> File> Switch Active File、もしくはCLIからfw logswitchコマンドで実行できます
– 自動では、定時に行う、ログファイルのサイズが指定した大きさを超えたら行うなどの設定が可能です
70 ©2013 Check Point Software Technologies Ltd.
ログ管理 2
$FWDIR/logディレクトリのログファイルの例です
71 ©2013 Check Point Software Technologies Ltd.
ログ管理 3
オブジェクトのLogs> Local Log Storageで、自動でLog switchする設定が可能です
初期設定で、幾つかのtimeオブジェクトが用意されています
72 ©2013 Check Point Software Technologies Ltd.
Timeオブジェクト
Launch Menu> Manage> Timeをクリックします
Midnightを確認してみます。23:59が指定されている事が確認できます
73 ©2013 Check Point Software Technologies Ltd.
SNMP設定 1
View modeをAdvancedに変更するとツリーにSNMP項目が表示されます
74 ©2013 Check Point Software Technologies Ltd.
SNMP設定 2
Enable SNMP Agentにチェックを入れ、必要に応じてTrapで通知する項目を選択します
75 ©2013 Check Point Software Technologies Ltd.
SNMP設定 3
MIBファイルは、以下が用意されています
– $CPDIR/lib/snmp
– chkpnt.mib, chkpnt-trap.mib
TWSNMPの例
76 ©2013 Check Point Software Technologies Ltd.
バックアップ・リストア 1
バックアップの方法は、手動で行う方法とスケジュール化による自動の方法があります
– バックアップは、Gaia OSとSoftware Bladeの設定です
– $FWDIR/log/配下は含まれません
バックアップファイルは、/var/CPbackup/backupに保存されます
リストアは、バックアップしたバージョン、Build、HF、HFAなど全て合わせて実行する必要があります
77 ©2013 Check Point Software Technologies Ltd.
バックアップ・リストア 2
バックアップ・リストアは、CLIからも実行できます
バックアップコマンド: add backup
リストアコマンド:set backup restore
リストア後は、rebootコマンドで再起動を実行します
Localにバックアップの例 show backup statusコマンドの例
78 ©2013 Check Point Software Technologies Ltd.
Image Management
Image Managementは、Snapshotによるシステムイメージのバックアップです。/bootにディレクトリが作成され、その中にファイルが生成されます
– システム全体をイメージとして保存します
– イメージの容量は数GBに達しますので、数十分要する場合があります
– イメージのexport, importが可能です
Image Managementには、ログファイルは含まれません
Revertで復元できます
79 ©2013 Check Point Software Technologies Ltd.
初期化 1
CLIでrebootを行います
“Press any key to see the boot menu”が表示されている間に、Enterキーを入力します
80 ©2013 Check Point Software Technologies Ltd.
初期化 2
Reset to factory defaults – Gaia R76を選択します。確認を求められますので、yesを入力します
プロセスが終了して、loginプロンプトが表示されたら、初期のアカウントでログインします
– login: admin, Passworsd: admin
81 ©2013 Check Point Software Technologies Ltd.
初期化 3
電源offする場合、Haltコマンドを入力します
Power downが表示されたら、電源offします
82 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Gaiaセットアップ
Software Bladeセットアップ 2
運用管理オペレーション 3
ゲートウェイの追加 4
83 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 1
Gaia Portalで追加ゲートウェイの設定を行います
84 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 2
追加ゲートウェイは、ゲートウェイのみを構成しますので、Security Managementのチェックを外します
85 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 3
SICパスワードは、Security Managementとのワンタイム・パスワードで利用されます
インターフェースを以下のように設定します
86 ©2013 Check Point Software Technologies Ltd.
オブジェクトの追加 1
SmartDashboardのCheck Point> Security
Gateway/Managementをクリックします
モードは、Classic Modeを選択してクックします
87 ©2013 Check Point Software Technologies Ltd.
オブジェクトの追加 2
Communicationボタンをクリックして、 Gaia First Time Configuration
Wizardで設定したSICパスワードを入力します
Initializeボタンをクリックして、”Trust Establish”が表示される事を確認します
88 ©2013 Check Point Software Technologies Ltd.
オブジェクトの追加 3
インターフェースのトポロジー設定を行います
ネットワーク・オブジェクトでIntranet2を追加して、Translation
method:は、Hideを選択します
89 ©2013 Check Point Software Technologies Ltd.
ルールの追加・編集
ルールを選択して、右クリックするとAdd Ruleを選択できます。Above(上に追加)、Below(下に追加)を選択してルールを完成させます
Install Onで該当のゲートウェイを選択します
90 ©2013 Check Point Software Technologies Ltd.
ポリシーのインストール
ポリシーのインストールを実行して、Successfullyが表示されるのを確認します
©2013 Check Point Software Technologies Ltd.
ありがとうございました!