r80.10 ファイアウォール 設定ガイド...©2018 check point software technologies ltd....
TRANSCRIPT
1 ©2018 Check Point Software Technologies Ltd. ©2018 Check Point Software Technologies Ltd.
R80.10 ファイアウォール 設定ガイド
2 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
•本ガイドでは基本的な FireWall ポリシーを作成することを目的とします
•基本的な Security Management、Security Gateway はすでにセットアップ済みであることを想定しています
分散構成セットアップ・ガイド、スタンドアロン構成セットアップ・ガイド等を参照してください
はじめに
3 ©2018 Check Point Software Technologies Ltd.
サンプル構成
External:192.168.100.0/24
Internal:10.0.0.0/24
eth1: 192.168.100.41
管理PC
192.168.100.1
Mgmt: 10.0.0.10
Security Management
Smart-1 405
Mgmt: 10.0.0.11 10.0.0.12
Internet
Security Gateway
3200
10.0.0.0/24 のユーザがインターネットにアクセスできるようにします
(DNS サーバ兼務)
4 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• SmartConsole ログイン
• FireWall ブレードの有効化
はじめに
5 ©2018 Check Point Software Technologies Ltd.
• Security Management サーバに SmartConsole でログインします
SmartConsole ログイン
6 ©2018 Check Point Software Technologies Ltd.
FireWall ブレードの有効化(確認)
• Security Gateway オブジェクトをダブルクリックしてプロパティを編集します
• 購入した Software Blade に応じて有効化したい機能を選択します
• ここでは「Firewall」のチェックが入っていることを確認します
7 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• オブジェクトとは
• オブジェクトの作成
• オブジェクトによる NAT
オブジェクト
8 ©2018 Check Point Software Technologies Ltd.
• FireWall ルールの Source/Destination/Service 等には事前に作成したオブジェクトを利用します
IP アドレスやポートをそのままルールに使用することはできません
•オブジェクトの例
ホスト・オブジェクト
1 つの IP アドレスを定義するオブジェクトです
ネットワーク・オブジェクト
ネットワーク(サブネット)を定義するオブジェクトです
サービス・オブジェクト
サービス情報(ポート番号)を定義するオブジェクトです
オブジェクトとは
9 ©2018 Check Point Software Technologies Ltd.
ネットワーク・オブジェクトの作成 内部ネットワーク (1)
• 内部ネットワークをネットワーク・オブジェクト「Internal_Net」として登録します
– オブジェクト名 : Internal_Net
– Network address : 10.0.0.0
– Net mask : 255.255.255.0
10 ©2018 Check Point Software Technologies Ltd.
ネットワーク・オブジェクトの作成 内部ネットワーク (2)
• ネットワーク・オブジェクトの NAT オプションを利用すると、対象のネットワーク通信に対して NAT を設定することができます
• NAT ページを選択して「Add
automatic address translation rules」をチェックします
• Translation method は Hide を選択します
• Hide behind the gateway を選択するとゲートウェイのインタフェースの IP アドレスに変換されます
11 ©2018 Check Point Software Technologies Ltd.
• NAT の種とは 2 種類あります
• Hide
N : 1 の NAT を行います
プライベート IP アドレスを持つ PC 等がインターネットにアクセスするような場合に利用されます
Linux の IP マスカレードに相当します
• Static
1 : 1 または N : N の NAT を行います
サーバをインターネットに公開したいような場合に利用します
参考:NAT の種類
12 ©2018 Check Point Software Technologies Ltd.
•オブジェクトで NAT 設定を行うと自動的に NAT ルールが作成されます
参考:NAT ルール
13 ©2018 Check Point Software Technologies Ltd.
ホスト・オブジェクトの作成 DNS サーバ
• DNS サーバをホスト・オブジェクト「DNS_Server」として登録します
– オブジェクト名 : DNS_Server
– IPv4 address : 192.168.100.1
14 ©2018 Check Point Software Technologies Ltd.
ホスト・オブジェクトの作成 管理クライアント
• 管理用 PC をホスト・オブジェクト「Admin_PC」として登録します
– オブジェクト名 : Admin_PC
– IPv4 address : 10.0.0.12
15 ©2018 Check Point Software Technologies Ltd.
参考:グループ・オブジェクト
• 複数のオブジェクトをひとまとめにするグループ・オブジェクトを作成することができます
• 例えば Web サーバ群、R&D メンバなどをグループとして登録しておくと、グループ・オブジェクトでルールを作成することができます。メンバが変更になった場合でもルールは変更せず、グループの中身を変更するだけでポリシーの変更を行えます
16 ©2018 Check Point Software Technologies Ltd.
参考:サービス・オブジェクト
• 事前定義に無いサービス(ポート)を制御するルールを作成する場合はサービス・オブジェクトを利用します
• サービス・オブジェクトでは TCP や UDP の特定のポートを指定することができます
17 ©2018 Check Point Software Technologies Ltd.
•それぞれのオブジェクトには色、コメント、タグを付けることができます
便利な機能
色の設定 タグの設定 コメントの設定
18 ©2018 Check Point Software Technologies Ltd.
• FireWall ポリシー
• ポリシー作成操作
ポリシーの作成
19 ©2018 Check Point Software Technologies Ltd.
• FireWall ルールは 1 番目のルールから順番に通信がマッチするか調べます
戻りのパケットに関するルールは記述する必要はありません
•一番最初にマッチしたルールが適用されます
マッチするルールが無い場合デフォルトでは通信は Drop されます
• FireWall ルールは、Source、Destination、Service を基準にし、マッチした場合の Action として Accept または Drop を指定できます
FireWall ポリシーの考え方
20 ©2018 Check Point Software Technologies Ltd.
•内部の PC はインターネットへアクセスできる(HTTP/HTTPS)
•内部の PC は外部の DNS サーバにアクセスできる
インターネットへのアクセスには DNS が必要
•内部の PC がインターネットにアクセスする際は、NAT を行い Security Gateway の IP アドレスでアクセスする
FireWall ポリシーの要件
21 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
•デフォルトではすべてブロックするルールが入っているため、 必要なルールを作成します
セキュリティ・ポリシー
22 ©2018 Check Point Software Technologies Ltd.
• Add rule above をクリックすると、選択したルールの上にルールが 1 行追加されます
• Add rule below をクリックすると、選択したルールの下にルールが 1 行追加されます
ルール(行)の追加
23 ©2018 Check Point Software Technologies Ltd.
• Source/Destination カラムで “+” をクリックするとオブジェクト選択画面が開き、登録済みのオブジェクトをピックアップ(“+”をクリック)して追加できます
• ここでは DNS_Server の “+” をクリックしてルールに追加します
• Search を利用するとキーワード検索を行いオブジェクトの絞込みができます
カラムの編集(Source/Destination)
24 ©2018 Check Point Software Technologies Ltd.
• Service & Application カラムで “+” をクリックするとオブジェクト選択画面が開き、登録済みのオブジェクトをピックアップ(“+”をクリック)して追加できます
• ここでは dns の “+” をクリックしてルールに追加します
• Search を利用するとキーワード検索を行いオブジェクトの絞込みができます
カラムの編集(Service & Application)
25 ©2018 Check Point Software Technologies Ltd.
• Action カラムをクリックして通信に対するアクションを指定できます
• ここでは Accept を選択します
カラムの編集(Action)
26 ©2018 Check Point Software Technologies Ltd.
• Track カラムをクリックしてルールにマッチした通信のログ取得を指定します
• ここでは Log を選択します(ログの取得を行う)
カラムの編集(Track)
27 ©2018 Check Point Software Technologies Ltd.
•ルールが 1 行完成しました
ルールの作成
28 ©2018 Check Point Software Technologies Ltd.
• ルールの No. カラムをドラッグ&ドロップすることでルールの移動が行えます
その他のオペレーション(1)
29 ©2018 Check Point Software Technologies Ltd.
• ルールを右クリックして Disable を選択するとルールを無効化できます
その他のオペレーション(2)
30 ©2018 Check Point Software Technologies Ltd.
• 同様の手順を繰り返して以下のようなルールを作成します
• ルール1: すべての発信元から DNS サーバへの通信を許可
• ルール2: Internal_Net から Any (外部) へ http と https 通信を許可
• ルール3: Admin_PC から r8010gw に通信を許可(管理用)
• ルール4: クリーンアップ・ルールで上記以外を破棄
• ルールは上から順番に評価され、最初にマッチしたルールに従って処理されます
作成するルール
31 ©2018 Check Point Software Technologies Ltd.
• Security Management では複数のポリシーを管理することができます
•複数の Security Gateway を管理するような場合に、それぞれ別のポリシーを割り当てることもできます
参考:複数のポリシー
既存のポリシーを開きます 新しいポリシーを作成します
32 ©2018 Check Point Software Technologies Ltd.
• セッションの公開
• ポリシー・インストール
セッションとポリシー・インストール
33 ©2018 Check Point Software Technologies Ltd.
セッションの公開
• 編集中のポリシーは「自分」だけが見える状態になっています
• 「公開(Publish)」を行うと、自分の行った変更が公開され、すべての管理者から変更されたポリシーが見える状態になります
• 破棄 (Discard) を選択するとセッションの中で行った変更を破棄し、元の状態に戻すことができます
34 ©2018 Check Point Software Technologies Ltd.
ポリシー・インストール
• ポリシーを作成(編集)し、公開したとしても、その段階では内容はまだゲートウェイには反映されません
• 「Install Policy」を実行するとポリシーがゲートウェイに反映されます
• Access Control と Threat Prevention を個別にインストールできます
• 複数のポリシーを管理している場合、 ポリシーの選択画面が表示されます
35 ©2018 Check Point Software Technologies Ltd.
参考:複数のポリシーを管理している場合
• 複数のポリシーを管理している場合、どのポリシーをインストールするか選択します
36 ©2018 Check Point Software Technologies Ltd.
•ポリシー・タブから Install Policy を行うこともできます
•この場合、前ページのようなポリシー選択画面は表示されません
•選択しているタブのポリシーのインストールを行います
参考:ポリシー・タブからのインストール
37 ©2018 Check Point Software Technologies Ltd.
参考:複数の Security Gateway の管理
• インストール対象の Security Gateway が複数ある場合、どの Security Gateway にポリシーをインストールするか選択することができます
• Policy Target オプションでポリシー毎に特定の Security Gateway のみを対象にすることもできます
– 指定外の Security Gateway はリストに表示されません
38 ©2018 Check Point Software Technologies Ltd.
ポリシー・インストール・ステータス
• SmartConsole 左下にポリシー・インストールのステータスが表示されます
• エラーになった場合はエラーの内容に従って対応します
39 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
•以上で FireWall の設定は完了です
•正しく設定されていると PC からインターネットへアクセスできるようになります
• Yahoo や Google 等へアクセスしてみましょう
通信テスト
40 ©2018 Check Point Software Technologies Ltd.
• ログの見方
• ログの検索(フィルタ)
ログ
41 ©2018 Check Point Software Technologies Ltd.
• Logs & Monitor ページでログを確認できます
•各レコードをダブルクリックすると詳細を確認できます(次ページ)
ログ(1)
42 ©2018 Check Point Software Technologies Ltd.
• 各レコードをダブルクリックするとログの詳細を確認できます
ログ(2)
検索 最新の状態に更新
43 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• Queries には事前定義の表示パターンが用意されています。
•例えば、Application Control を選択すると Application Control のログだけを表示することができます
ログのカテゴリ表示
44 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• AND/OR/NOT 条件等でログを検索できます
AND 条件の例
OR 条件の例
ログのフィルタ
45 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• ログとして表示されるカラムは変更可能です
• “Automatic Profile Selection” が選択されていると表示可能なログにより自動的に表示カラム(プロファイル)を切り替えます(デフォルト)
• “Column Profile” で表示パターンを手動で選択することもできます
• “Edit Profile” で任意のパターンに変更することもできます
ログ表示カラム
タイトル上で右クリック
46 ©2018 Check Point Software Technologies Ltd.
[Protected] Distribution or modification is subject to approval
ポリシーでのログ表示
ルールを選択すると、Log ページで対象ルールに関するログだけを表示できます
①
②
47 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
•ログは別ウインドウで表示することもできます
•複数開くことも可能です
別ウインドウでログ表示
48 ©2018 Check Point Software Technologies Ltd. ©2018 Check Point Software Technologies Ltd.
THANK YOU
[Protected] Distribution or modification is subject to approval