1 ©2018 Check Point Software Technologies Ltd. ©2018 Check Point Software Technologies Ltd.

R80.10 ファイアウォール 設定ガイド

2 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

•本ガイドでは基本的な FireWall ポリシーを作成することを目的とします

•基本的な Security Management、Security Gateway はすでにセットアップ済みであることを想定しています

分散構成セットアップ・ガイド、スタンドアロン構成セットアップ・ガイド等を参照してください

はじめに

3 ©2018 Check Point Software Technologies Ltd.

サンプル構成

External:192.168.100.0/24

Internal:10.0.0.0/24

eth1: 192.168.100.41

管理PC

192.168.100.1

Mgmt: 10.0.0.10

Security Management

Smart-1 405

Mgmt: 10.0.0.11 10.0.0.12

Internet

Security Gateway

3200

10.0.0.0/24 のユーザがインターネットにアクセスできるようにします

(DNS サーバ兼務)

4 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• SmartConsole ログイン

• FireWall ブレードの有効化

はじめに

5 ©2018 Check Point Software Technologies Ltd.

• Security Management サーバに SmartConsole でログインします

SmartConsole ログイン

6 ©2018 Check Point Software Technologies Ltd.

FireWall ブレードの有効化(確認)

• Security Gateway オブジェクトをダブルクリックしてプロパティを編集します

• 購入した Software Blade に応じて有効化したい機能を選択します

• ここでは「Firewall」のチェックが入っていることを確認します

7 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• オブジェクトとは

• オブジェクトの作成

• オブジェクトによる NAT

オブジェクト

8 ©2018 Check Point Software Technologies Ltd.

• FireWall ルールの Source/Destination/Service 等には事前に作成したオブジェクトを利用します

IP アドレスやポートをそのままルールに使用することはできません

•オブジェクトの例

ホスト・オブジェクト

1 つの IP アドレスを定義するオブジェクトです

ネットワーク・オブジェクト

ネットワーク(サブネット)を定義するオブジェクトです

サービス・オブジェクト

サービス情報(ポート番号)を定義するオブジェクトです

オブジェクトとは

9 ©2018 Check Point Software Technologies Ltd.

ネットワーク・オブジェクトの作成 内部ネットワーク (1)

• 内部ネットワークをネットワーク・オブジェクト「Internal_Net」として登録します

– オブジェクト名 : Internal_Net

– Network address : 10.0.0.0

– Net mask : 255.255.255.0

10 ©2018 Check Point Software Technologies Ltd.

ネットワーク・オブジェクトの作成 内部ネットワーク (2)

• ネットワーク・オブジェクトの NAT オプションを利用すると、対象のネットワーク通信に対して NAT を設定することができます

• NAT ページを選択して「Add

automatic address translation rules」をチェックします

• Translation method は Hide を選択します

• Hide behind the gateway を選択するとゲートウェイのインタフェースの IP アドレスに変換されます

11 ©2018 Check Point Software Technologies Ltd.

• NAT の種とは 2 種類あります

• Hide

N : 1 の NAT を行います

プライベート IP アドレスを持つ PC 等がインターネットにアクセスするような場合に利用されます

Linux の IP マスカレードに相当します

• Static

1 : 1 または N : N の NAT を行います

サーバをインターネットに公開したいような場合に利用します

参考：NAT の種類

12 ©2018 Check Point Software Technologies Ltd.

•オブジェクトで NAT 設定を行うと自動的に NAT ルールが作成されます

参考：NAT ルール

13 ©2018 Check Point Software Technologies Ltd.

ホスト・オブジェクトの作成 DNS サーバ

• DNS サーバをホスト・オブジェクト「DNS_Server」として登録します

– オブジェクト名 : DNS_Server

– IPv4 address : 192.168.100.1

14 ©2018 Check Point Software Technologies Ltd.

ホスト・オブジェクトの作成 管理クライアント

• 管理用 PC をホスト・オブジェクト「Admin_PC」として登録します

– オブジェクト名 : Admin_PC

– IPv4 address : 10.0.0.12

15 ©2018 Check Point Software Technologies Ltd.

参考：グループ・オブジェクト

• 複数のオブジェクトをひとまとめにするグループ・オブジェクトを作成することができます

• 例えば Web サーバ群、R&D メンバなどをグループとして登録しておくと、グループ・オブジェクトでルールを作成することができます。メンバが変更になった場合でもルールは変更せず、グループの中身を変更するだけでポリシーの変更を行えます

16 ©2018 Check Point Software Technologies Ltd.

参考：サービス・オブジェクト

• 事前定義に無いサービス(ポート)を制御するルールを作成する場合はサービス・オブジェクトを利用します

• サービス・オブジェクトでは TCP や UDP の特定のポートを指定することができます

17 ©2018 Check Point Software Technologies Ltd.

•それぞれのオブジェクトには色、コメント、タグを付けることができます

便利な機能

色の設定 タグの設定 コメントの設定

18 ©2018 Check Point Software Technologies Ltd.

• FireWall ポリシー

• ポリシー作成操作

ポリシーの作成

19 ©2018 Check Point Software Technologies Ltd.

• FireWall ルールは 1 番目のルールから順番に通信がマッチするか調べます

戻りのパケットに関するルールは記述する必要はありません

•一番最初にマッチしたルールが適用されます

マッチするルールが無い場合デフォルトでは通信は Drop されます

• FireWall ルールは、Source、Destination、Service を基準にし、マッチした場合の Action として Accept または Drop を指定できます

FireWall ポリシーの考え方

20 ©2018 Check Point Software Technologies Ltd.

•内部の PC はインターネットへアクセスできる(HTTP/HTTPS)

•内部の PC は外部の DNS サーバにアクセスできる

インターネットへのアクセスには DNS が必要

•内部の PC がインターネットにアクセスする際は、NAT を行い Security Gateway の IP アドレスでアクセスする

FireWall ポリシーの要件

21 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

•デフォルトではすべてブロックするルールが入っているため、 必要なルールを作成します

セキュリティ・ポリシー

22 ©2018 Check Point Software Technologies Ltd.

• Add rule above をクリックすると、選択したルールの上にルールが 1 行追加されます

• Add rule below をクリックすると、選択したルールの下にルールが 1 行追加されます

ルール(行)の追加

23 ©2018 Check Point Software Technologies Ltd.

• Source/Destination カラムで “+” をクリックするとオブジェクト選択画面が開き、登録済みのオブジェクトをピックアップ(“+”をクリック)して追加できます

• ここでは DNS_Server の “+” をクリックしてルールに追加します

• Search を利用するとキーワード検索を行いオブジェクトの絞込みができます

カラムの編集(Source/Destination)

24 ©2018 Check Point Software Technologies Ltd.

• Service & Application カラムで “+” をクリックするとオブジェクト選択画面が開き、登録済みのオブジェクトをピックアップ(“+”をクリック)して追加できます

• ここでは dns の “+” をクリックしてルールに追加します

• Search を利用するとキーワード検索を行いオブジェクトの絞込みができます

カラムの編集(Service & Application)

25 ©2018 Check Point Software Technologies Ltd.

• Action カラムをクリックして通信に対するアクションを指定できます

• ここでは Accept を選択します

カラムの編集(Action)

26 ©2018 Check Point Software Technologies Ltd.

• Track カラムをクリックしてルールにマッチした通信のログ取得を指定します

• ここでは Log を選択します(ログの取得を行う)

カラムの編集(Track)

27 ©2018 Check Point Software Technologies Ltd.

•ルールが 1 行完成しました

ルールの作成

28 ©2018 Check Point Software Technologies Ltd.

• ルールの No. カラムをドラッグ＆ドロップすることでルールの移動が行えます

その他のオペレーション(1)

29 ©2018 Check Point Software Technologies Ltd.

• ルールを右クリックして Disable を選択するとルールを無効化できます

その他のオペレーション(2)

30 ©2018 Check Point Software Technologies Ltd.

• 同様の手順を繰り返して以下のようなルールを作成します

• ルール1: すべての発信元から DNS サーバへの通信を許可

• ルール2: Internal_Net から Any (外部) へ http と https 通信を許可

• ルール3: Admin_PC から r8010gw に通信を許可(管理用)

• ルール4: クリーンアップ・ルールで上記以外を破棄

• ルールは上から順番に評価され、最初にマッチしたルールに従って処理されます

作成するルール

31 ©2018 Check Point Software Technologies Ltd.

• Security Management では複数のポリシーを管理することができます

•複数の Security Gateway を管理するような場合に、それぞれ別のポリシーを割り当てることもできます

参考：複数のポリシー

既存のポリシーを開きます 新しいポリシーを作成します

32 ©2018 Check Point Software Technologies Ltd.

• セッションの公開

• ポリシー・インストール

セッションとポリシー・インストール

33 ©2018 Check Point Software Technologies Ltd.

セッションの公開

• 編集中のポリシーは「自分」だけが見える状態になっています

• 「公開(Publish)」を行うと、自分の行った変更が公開され、すべての管理者から変更されたポリシーが見える状態になります

• 破棄 (Discard) を選択するとセッションの中で行った変更を破棄し、元の状態に戻すことができます

34 ©2018 Check Point Software Technologies Ltd.

ポリシー・インストール

• ポリシーを作成(編集)し、公開したとしても、その段階では内容はまだゲートウェイには反映されません

• 「Install Policy」を実行するとポリシーがゲートウェイに反映されます

• Access Control と Threat Prevention を個別にインストールできます

• 複数のポリシーを管理している場合、 ポリシーの選択画面が表示されます

35 ©2018 Check Point Software Technologies Ltd.

参考：複数のポリシーを管理している場合

• 複数のポリシーを管理している場合、どのポリシーをインストールするか選択します

36 ©2018 Check Point Software Technologies Ltd.

•ポリシー・タブから Install Policy を行うこともできます

•この場合、前ページのようなポリシー選択画面は表示されません

•選択しているタブのポリシーのインストールを行います

参考：ポリシー・タブからのインストール

37 ©2018 Check Point Software Technologies Ltd.

参考：複数の Security Gateway の管理

• インストール対象の Security Gateway が複数ある場合、どの Security Gateway にポリシーをインストールするか選択することができます

• Policy Target オプションでポリシー毎に特定の Security Gateway のみを対象にすることもできます

– 指定外の Security Gateway はリストに表示されません

38 ©2018 Check Point Software Technologies Ltd.

ポリシー・インストール・ステータス

• SmartConsole 左下にポリシー・インストールのステータスが表示されます

• エラーになった場合はエラーの内容に従って対応します

39 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

•以上で FireWall の設定は完了です

•正しく設定されていると PC からインターネットへアクセスできるようになります

• Yahoo や Google 等へアクセスしてみましょう

通信テスト

40 ©2018 Check Point Software Technologies Ltd.

• ログの見方

• ログの検索(フィルタ)

ログ

41 ©2018 Check Point Software Technologies Ltd.

• Logs & Monitor ページでログを確認できます

•各レコードをダブルクリックすると詳細を確認できます(次ページ)

ログ(1)

42 ©2018 Check Point Software Technologies Ltd.

• 各レコードをダブルクリックするとログの詳細を確認できます

ログ(2)

検索 最新の状態に更新

43 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• Queries には事前定義の表示パターンが用意されています。

•例えば、Application Control を選択すると Application Control のログだけを表示することができます

ログのカテゴリ表示

44 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• AND/OR/NOT 条件等でログを検索できます

AND 条件の例

OR 条件の例

ログのフィルタ

45 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• ログとして表示されるカラムは変更可能です

• “Automatic Profile Selection” が選択されていると表示可能なログにより自動的に表示カラム(プロファイル)を切り替えます(デフォルト)

• “Column Profile” で表示パターンを手動で選択することもできます

• “Edit Profile” で任意のパターンに変更することもできます

ログ表示カラム

タイトル上で右クリック

46 ©2018 Check Point Software Technologies Ltd.

[Protected] Distribution or modification is subject to approval

ポリシーでのログ表示

ルールを選択すると、Log ページで対象ルールに関するログだけを表示できます

①

②

47 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

•ログは別ウインドウで表示することもできます

•複数開くことも可能です

別ウインドウでログ表示

48 ©2018 Check Point Software Technologies Ltd. ©2018 Check Point Software Technologies Ltd.

THANK YOU

[Protected] Distribution or modification is subject to approval