r76 full ha セットアップガイド · –secondary member ipv4 address: 192.168.1.9...

©2013 Check Point Software Technologies Ltd.

R76 Full HA セットアップガイド

Updated May 10, 2013

Ver 1.1

2 ©2013 Check Point Software Technologies Ltd.

ネットワーク構成図

External:192.168.100.0/24

192.168.100.1

DMZ:192.168.254.0/24

Internal:192.168.1.0/24

VIP:192.168.100.10

VIP:192.168.1.10

VIP:192.168.254.100

Gateway-1

eth1: 192.168.100.8

eth2: 192.168.254.101

Eth5: 10.1.1.1

Mgmt: 192.168.1.8

SYNC:10.1.1.0/24

MGMT:192.168.1.5

Gateway-2

eth1: 192.168.100.9

eth2: 192.168.254.102

Eth5: 10.1.1.2

Mgmt: 192.168.1.9


構成パターン

Management Gateway

Management Gateway Management Gateway

Management Gateway

Management

Gateway Gateway

スタンドアロン構成分散構成

冗長構成 (Full HA) 冗長構成

(ClusterXL or VRRP)

本ドキュメントは、

こちらについて解説します！


三層構造アーキテクチャ冗長構成 (Full HA)

管理コンソール

SmartConsole & Webブラウザ

ゲートウェイ

赤枠: 一台のアプライアンス

Security Management

サーバ

Security Managementサーバではセキュリティ・ポリシーの保存やコンパイルなどが行われる

ゲートウェイで生成されるログは、 Security Managementサーバで保存されます

セキュリティ・ポリシーなど

ログやステータスなどゲートウェイ

Security Management

サーバ


アジェンダ

1 Gaiaセットアップ

Software Bladeセットアップ 2

Management HA 3

運用管理オペレーション 4


アジェンダ



Management HA 3



2200 アプライアンスの例

アプライアンス初期設定

アプライアンスは、初期設定においてMGMTインターフェースに192.168.1.1/24のIPアドレスが割り当てられています

PCをMGMTインターフェースに接続します

ブラウザを起動して以下のURLにアクセスします

– https://192.168.1.1


初期アカウント

初期設定では、以下のアカウントが設定されています

–ユーザ名：admin, パスワード：admin


Gaia First Time Configuration Wizard 1

ログイン後、Gaia First Time Configuration Wizardが表示されます

Nextボタンをクリックしてパスワードを設定します

–今回は、例としてP@ssw0rdと入力します



時刻設定を行います。アプライアンスのローカルクロックを選択するか、NTPサーバによる時刻同期を選択します

Full HA構成では、2台のゲートウェイが同じ時間になるように、NTPサーバを利用します

ローカルクロック NTPサーバ利用例



ホスト名、ドメイン名、DNSサーバを設定します

ホスト名は、ゲートウェイ管理の“オブジェクト名“に利用されますので、慎重に入力します

Gateway-1 Gateway-2



インターフェース、デフォルトゲートウェイの設定を行います。初期設定では、以下の値が設定されていますので、所定のアドレスに変更します

ネットワーク構成図のアドレス体系に設定します

アドレスを変更すると、初期のアドレスはセカンダリIPアドレスに変更されます

Gateway-1の例



アプライアンスの構成を決定します。今回は、Full HA構成なのでSecurity

GatewayとSecurity Managementにチェックをします

“Unit is a part of a cluster, type”にチェックを入れてClusterXLを選択します

Security Managementサーバのプライマリ機はPrimaryを選択、セカンダリ機は、Secondaryを選択します

Gateway-1 Gateway-2



Security Managementサーバのユーザ名、パスワードを設定します

今回は、例として以下を入力します

– Administrator Name: fwadmin, Password: P@ssw0rd

セカンダリ機の場合、SIC(Secure Internal Communication)キーを入力します。ここでは、P@ssw0rdと入力します

Gateway-1 Gateway-2



Security ManagementサーバにGUIアクセスを許可するクライアントを設定します

アドレス、ネットワーク、アドレスレンジでの設定が可能です

セカンダリ機では、この項目は表示されません

ネットワークの設定例



ライセンスの投入を行います

購入ライセンスがない場合、Activate laterを選択頂くと、15日間のトライアル・ライセンスで動作します



設定内容一覧がサマリーとして表示されます。”Finish”ボタンをクリックすると、設定プロセス開始するか問われますので、”Yes”を選択します

Gateway-1の例



設定プロセスが開始されます

設定が完了すると、Successfullyメッセージが表示されますので、”OK”ボタンをクリックします


Gaia Portal 1

新たに設定したIPアドレスにアクセスします

–ユーザ名: admin, パスワード: P@ssw0rd

Gateway-1の例


Gaia Portal 2

ログインするとSoftware Updatesの設定を行うかのメッセージが表示されます

今回は、”No”を選択します

Gaia Portalにて、後から設定の変更が可能です


Gaia Portal 3

システムの概要が表示されます

初期設定時のIPアドレス(192.168.1.1)が、Mgmt: 1に割り当てられている事が分かります


Gaia Portal 4

初期設定されていたIPアドレスを削除します

Network Interface> Mgmt: 1を選択してDeleteボタンをクリックします。確認メッセージが表示されますので、”OK”ボタンをクリックします

Gateway-1の例


Gaia Portal 5

Network Interfaces> eth1を選択して”Edit”ボタンをクリックします

IPv4タブでIPアドレスを設定します

Ethernetタブで”Enabled”, “Auto Negotiation”にチェックします。Comment:

には、インターフェースの利用目的などを入力すると、管理しやすくなります


Gaia Portal 6

eth1と同様の手順でeth2, eth5を設定します

Link StatusがUpされているか確認します。接続機器によっては、Link

Speedを固定にした方が良い場合がありますので、適宜調整します

Gateway-1

Gateway-2


Terminalの起動

Gaia PortalからTerminalアクセスが可能です

show configurationコマンドで、Gaiaの設定が確認できます


バージョン確認

showコマンドでSoftware Bladeバージョンが確認できます

R76-GW> show version all

Product version Check Point Gaia R76

OS build 265

OS kernel version 2.6.18-92cpx86_64

OS edition 32-bit

R76-GW>

R76-GW> show web ssl-port

web-ssl-port 443

R76-GW>


cpconfig

Terminal、もしくはsshでゲートウェイにアクセスして、cpconfig

コマンドを実行します

Gaia First Time Configuration Wizard で設定したSecurity

ManagementサーバのアカウントやGUIアクセスを許容するクライアントなどの再設定などが可能です


expertモード

expertモードでは、Unixコマンドを実行できます

expertモードのアカウントを設定します

– set expert-passwordコマンドで、パスワードを設定します

–今回は、パスワード：P@ssw0rdを設定します


コンフィグレーション・ロック

鍵表示の場合、コンフィグレーション・ロック状態です

ロックを解除してから設定変更を行います

CLIでロックの権限を奪うには以下のコマンドを入力します

– lock database override


アジェンダ




Management HA 4


SmartConsoleのインストール 1

専用GUIのSmartConsoleをダウンロードして、管理用のクライアントにインストールします



SmartConsoleは、MS Visual C++, MS .NET Frameworkを要求しますので、”OK”ボタンをクリックします



SmartConsoleのインストールを開始します

ライセンスにどうして”Next”ボタンをクリックしてプロセスを進めます



インストールが完了したら、”Finish”ボタンをクリックして、SmartDashboardの専用GUIツールを立ち上げます


SmartDashboardの接続 1

SmartDashboardからSecurity Managementサーバに接続を行います

Gaia First Time Configuration Wizardで設定したSecurity Management

サーバのユーザ名、パスワードを入力します

– ユーザ名：fwadmin, パスワード：P@ssw0rd

SmartDashboardは、実際の機器がなくてもSoftware Bladeの機能を確認できる”Demo mode”を利用できます



Security Managementサーバが成りすまされていないかFingerprintを確認します

評価期間であることと、その残存日数が表示されますので、”OK”ボタンをクリックします



ClusterのWizardが表示されます

Cluster Name:にClusterオブジェクトの任意名を入力します。今回は、”GW-Cluster1”と入力します



セカンダリメンバーの入力を行います

– Secondary Member Name: Gateway-2

– Secondary Member IPv4 Address: 192.168.1.9

– Activation Key: P@ssw0rd

プライマリ機とセカンダリ機の間でSICが確立するとインターフェース情報が取得されて表示されます



仮想IPアドレスを入力します

– 192.168.1.10

同期インターフェースには、”Cluster Sync Interface”にチェックを入れます



DMZインターフェース、外部インターフェースの仮想IPアドレスを入力します



WizardによるClusterオブジェクトの設定が完了します

引き続き、オブジェクトの設定を行う場合は、”Edit Cluster in

Advanced mode”にチェックを入れます


ゲートウェイ・オブジェクトの編集 1

オブジェクトでGW-Cluster1を選択してダブルクリックします

Hardware:でアプライアンスを選択し、購入したSoftware Bladeに応じたものを選択します。今回は、Firewall, ClusterXLにチェックを入れます

トライアル・ライセンスでは、各種Software Bladeを確認できます



Full HA構成は、Security ManagementのBladeも選択できます



Cluster MembersのGateway Cluster membersでメンバのIPアドレスを確認します

リストの最上部のメンバが最高位のプライオリティで扱われます。順位を変えるには、”Increase Priority”, “Decrease Priority”を選択して入れ替えます

VPN Bladeの利用時は、”Edit”ボタンをクリックして、メンバのIPアドレスを外部ネットワークIPアドレスに変更します



cluster modeのHigh AvailavilityはClusterXLを選択している事を確認します

Use State Synchronizationにチェックが入っている事を確認します

Upon Cluster Member recoveryで、フェイルオーバー後の動作を決定します

– Maintain current active Cluster Member

– 現在のステータスを維持します

– Switch to higher priority Cluster Member

– プライオリティの高いゲートウェイにフェールバックします



インターフェースのTopologyを設定します

“Edit”ボタンをクリックします



GW-Cluster1のeth1のトポロジーを確認します

– eth1は、Externalにチェックします



eth2のトポロジーを確認します

– eth2は、Internalにチェックします

eth2には、”Interface leads to DMZ”にチェックを入れます。この設定は、コンテンツ検査を行うBladeでInternal, DMZを判別して審査するのに用いられます



Mgmt, eth5のトポロジーを確認します

– Mgmtは、Internalにチェックします

– eth5は、Internalにチェックします


ネットワーク・オブジェクトの追加 1

クラスタメンバは、IGMPパケットを交換します

Network Address:に224.0.0.0/4のネットワークを入力します


ネットワーク・オブジェクトの追加 2

内部のネットワークを入力します

NATを選択して、Add Automatic Address Translation rulesにチェックを入れます

– Hide behind IP Gatewayにチェックをいれると、ゲートウェイのIPアドレスに変換されます


ホスト・オブジェクトの追加

Network Objects> Nodes> Node> Hostを選択してクリックします

DNSサーバをホスト・オブジェクトに設定して、”OK”ボタンをクリックします


FWルールの作成 1

Policy> Add Rule at the Topを選択するとルールが1行追加されます

追加されたルールのDestination欄で”+”を選択します

DNSで検索をして、ホスト・オブジェクトで設定したDNS_Serverを選択します



Action欄を右クリックして、acceptを選択します

Track欄を右クリックして、logを選択します



Name欄、Source欄、Destination欄、Service欄を右クリックして設定を行います

以下のルールを完成します

ルールの最下行には、全てのトラフィックを破棄するクリーンアップ。ルールを入れる必要があります。実環境では、logが大量になってしまうので、TrackはNoneにするのが一般的です


Trackカラム

Trackカラムの選択肢は、 Launch Menu> Policy> Global

Properties> log and Alert> Alertsの項目と対応しています


暗黙のルール 1

Launch Menu> View> Implied Rulesを選択すると、暗黙のルールが確認できます。これは、SmartDashboardクライアント、Security Management

サーバ、ゲートウェイを管理する上で必要なルールが予め設定されています

もう一度選択すると、元の表示に戻ります


暗黙のルール 2

Policy> Global Properties> FireWallで暗黙のルールを制御することができます

誤った設定を行うと、管理に影響が出ますので、注意してください


ルールの解説

ルール１：全てのソースがDNSに通信を許可

ルール２：GW-Cluster1からIGMP_Networkにigmp通信を許可

ルール３：Clusterメンバ間の通信を許可（管理用）

ルール４：内部からGW-Cluster1に通信を許可（実際は管理PCのみにするなど手当が必要）

ルール５：内部から外部に特定のサービスにみ許可

ルール４：クリーンアップ・ルールで全ての通信を破棄

＊今回はDMZを意識していませんが、必要に応じてオブジェクトとルールが必要です


ポリシーのインストール 1

Install PolicyをクリックしてGW-Cluster1にポリシーをインストールします

ゲートウェイが複数ある場合、チェックの有無でポリシーをインストールするゲートウェイを選択できます


ポリシーのインストール 2

ポリシーインストールのプロセスは、ポリシーの不一致を検証するVerifying機能が含まれます

Successfulメッセージが確認できたらポリシーは正常にインストールされました。Error, Warningが発生した場合は、内容を確認して手当てします


アジェンダ



Management HA 3



Management HA 1

Management HAは、管理サーバの冗長機能を提供します

–オブジェクト、ルールの管理データベースを同期

– IPSシグネチャを同期

–ゲートウェイのログは同期されません

Management HAの同期タイミング

–ポリシーインストール

–手動による任意のタイミング

Management HAの同期通信は、クラスタメンバの代表IPアドレスで行われます

設定変更は、Activeモードの管理サーバでのみ行えます


Management HA 2

Management HAのログ転送動作は、Gateway Clusterオブジェクトの”Logs”で設定できます

デフォルトでは、ログはプライマリ機に保存され、セカンダリ機にも転送されます

“Save logs locally on each cluster member”のチェックを外すと、プライマリ機のみに保存されます


Management HA 3

管理データベースの手動同期の方法を記します

Management HAのアクティブ機にアクセスを行います

– Policy> Management High Availabilityを選択します

– “Synchronize”をクリックすると、セカンダリの管理サーバの管理データベースに同期されます


Management HA 4

Management HAのActiveモードからStandbyモードに変更方法を記します

Management HAのアクティブ機にアクセスを行います

– Policy> Management High Availabilityを選択します

– “Change to Standby”をクリックすると、ActiveモードからStandbyモードに降格します


Management HA 4

前述のオペレーションを行うと、両機がStandbyモードになっています

設定変更、ポリシーインストールを行うには、1つをActive機にする必要があります

Management HAのActive機を構成するために、“Change to Active”をクリックしてStandbyモードからActiveモードに昇格させます

モードが変更されると”Change over to Active successful”ポップアップが表示されます


アジェンダ



Management HA 3



SmartView Trackerの起動

SmartConsole> SmartView Trackerを選択します

SmartView Trackerは、各種Bladeで検出したログ、監査ログなどをリアルタイムで確認できます

プライマリのSecurity Managementサーバを選択します


SmartView Trackerのログ 1

特定のレコードをダブルクリックすると、詳細を確認できます

Previousで前のレコード、Nextで次のレコードに移動します

Copyをクリックするとメモ帳などにテキストでコピーできます


SmartView Trackerのログ 2

Managementタブでは、管理系のログを確認できます


SmartView Monitorの起動

SmartConsole> SmartView Monitorを選択します

SmartView Monitorは、システムステータスを確認できます


Threshold Configuration 1

ここでは、CPU使用率が一定の閾値を超えたらAlartを出すように変更してみます


Threshold Configuration 2

CPU Usageにチェックを入れ、Valueを5%に変更します

System Alert Daemonが動作していないメッセージが表示されますので”OK”ボタンをクリックします


System Alert Daemonの起動

Launch Menu> Tools> Start System Alert Daemonをクリックするとスタートします

Launch Menu> Tools> Alertsでアラートを確認できます

CLIでtcpdump -i Mgmt –nを実行してパケットを画面に出す軽い不可などをかけてアラートを確認します


ClusterXLの同期

ステート同期のパケットをtcpdumpコマンドで確認します

CCPパケットは、UDP8116を利用しています


ステートテーブルの確認

各クラスタメンバで以下のコマンドを実行します

VALSの値が近い値になっていれば、正しく同期が行われています

PEAKの値は、メンバ稼働後の最大コネクション数を示しています


ClusterXLの状態確認

cphaprob statコマンドで状態を確認します

ゲートウェイのActive, Standbyが確認できます

Gateway-1 Gateway-2


クリティカルデバイスの確認

cphaprob listコマンドで、Software Bladeが正常動作しているかを確認します。ステータスがOKであることを確認します

1つ以上のステータスがProblemになっている場合、フェイルオーバーします

インターフェースの監視

セッション同期の監視

ポリシーの監視

fwdプロセスの監視

cphadプロセスの監視

復旧遅延の監視


ログ管理 1

ログはゲートウェイで生成されて、Security Managementサーバにネットワーク経由で転送され、 Security ManagementサーバのHDD上の$FWDIR/log/fw.logに累積的に追加されます

ログはfw.logのみではなく、ポインタ・ファイルも構成されます

ログはlog switch(ログ切り換え)という作業を行うことにより、それまでのログを別ファイルに保存できます。 Log switchではポインタ・ファイルも別ファイル名で保存されます

後に再度ログを閲覧する場合、Security Managementサーバ上の$FWDIR/logディレクトリに戻して確認します

Log switchは手動で行う方法と自動で行う方法があります

– 手動では、SmartView TrackerのLaunch Menu> File> Switch Active File、もしくはCLIからfw logswitchコマンドで実行できます

– 自動では、定時に行う、ログファイルのサイズが指定した大きさを超えたら行うなどの設定が可能です


ログ管理 2

$FWDIR/logディレクトリのログファイルの例です


ログ管理 3

オブジェクトのLogs> Local Log Storageで、自動でLog switchする設定が可能です

初期設定で、幾つかのtimeオブジェクトが用意されています


Timeオブジェクト

Launch Menu> Manage> Timeをクリックします

Midnightを確認してみます。23:59が指定されている事が確認できます


SNMP設定 1

GaiaポータルのView modeをAdvancedに変更するとツリーにSNMP項目が表示されます


SNMP設定 2

Enable SNMP Agentにチェックを入れ、必要に応じてTrapで通知する項目を選択します


SNMP設定 3

MIBファイルは、以下が用意されています

– $CPDIR/lib/snmp

– chkpnt.mib, chkpnt-trap.mib

TWSNMPの例


バックアップ・リストア 1

バックアップの方法は、手動で行う方法とスケジュール化による自動の方法があります

– バックアップは、Gaia OSとSoftware Bladeの設定です

– $FWDIR/log/配下は含まれません

バックアップファイルは、/var/CPbackup/backupに保存されます

リストアは、バックアップしたバージョン、Build、HF、HFAなど全て合わせて実行する必要があります


バックアップ・リストア 2

バックアップ・リストアは、CLIからも実行できます

バックアップコマンド： add backup

リストアコマンド：set backup restore

リストア後は、rebootコマンドで再起動を実行します

Localにバックアップの例 show backup statusコマンドの例


Image Management

Image Managementは、Snapshotによるシステムイメージのバックアップです。/bootにディレクトリが作成され、その中にファイルが生成されます

– システム全体をイメージとして保存します

– イメージの容量は数GBに達しますので、数十分要する場合があります

– イメージのexport, importが可能です

Image Managementには、ログファイルは含まれません

Revertで復元できます


初期化 1

CLIでrebootを行います

“Press any key to see the boot menu”が表示されている間に、Enterキーを入力します


初期化 2

Reset to factory defaults – Gaia R76を選択します。確認を求められますので、yesを入力します

プロセスが終了して、loginプロンプトが表示されたら、初期のアカウントでログインします

– login: admin, Passworsd: admin


初期化 3

電源offする場合、Haltコマンドを入力します

Power downが表示されたら、電源offします

r76 full ha セットアップガイド · –secondary member ipv4 address: 192.168.1.9...

Documents