firewallブレード設定ガイド check point r77/gaia · ©2014 check point software...
TRANSCRIPT
©2014 Check Point Software Technologies Ltd.
Firewallブレード設定ガイド - Check Point R77/GAiA
チェック・ポイント・ソフトウェア・テクノロジーズ(株)
[Protected] For public distribution
2 ©2014 Check Point Software Technologies Ltd.
アジェンダ
1 SmartConsoleの導入
Check Pointオブジェクトの設定 2
オブジェクトの設定 3
Firewallルールの設定 4
[Protected] For public distribution
3 ©2014 Check Point Software Technologies Ltd.
変更履歴
Rev1
– R76ベースで作成
Rev1a
–ポリシー管理を追加
– Firewallルール作成時のTipsを追加
Rev2
– R77ベースで作成
–いつくかの機能説明を追加
[Protected] For public distribution
4 ©2014 Check Point Software Technologies Ltd.
アジェンダ
1 SmartConsoleの導入
Check Pointオブジェクトの設定 2
オブジェクトの設定 3
Firewallルールの設定 4
[Protected] For public distribution
5 ©2014 Check Point Software Technologies Ltd.
SmartConsoleとは
SmartConsoleは、Check Point製品を設定、運用するための復数のWindowsアプリケーションです
主なコンポーネントの紹介
– SmartDashboard:セキュリティ・ポリシーを設定します
– SmartView Tracker:ログの参照に利用します
– SmartLog:ログを高速で検索します
– SmartView Monitor:管理対象機器の状態の確認ができます
– 一部機能は、別途ライセンスが必要です
– SmartUpdate:リモートからパッケージ、ライセンスの管理ができます
– 一部機能は、別途ライセンスが必要です
– SmartEvent:複数のSoftware Bladeのログなどの情報から、イベントを収集しグラフィカルに表示します
– 別途、ライセンスが必要です
[Protected] For public distribution
6 ©2014 Check Point Software Technologies Ltd.
SmartConsoleのインストール(1)
SmartConsoleのインストーラーを入手します
– SecurePlatformもしくはGAiAを利用している場合は、OSのポータルからダウンロードすることができます
– GAiAの場合、ログイン直後のOverviewページにリンクがあります
–サポートサイトから入手する
– SK92965から入手出来ます
– ダウンロードにはサポート契約が必要です
– メディアからインストールする
– メディアにSmartConsoleのインストーラーが含まれています
SmartConsoleのインストーラーを実行します
– インストールウィザードが開始されます
[Protected] For public distribution
7 ©2014 Check Point Software Technologies Ltd.
SmartConsoleのインストール(2)
SmartConsoleを利用する際には、MS Visual C++、MS .NET
Frameworkが必要になります
–システムにインストールされていない場合は、下記ダイアログが出てきます
– OKをクリックして必要なコンポーネントをインストールします
8 ©2014 Check Point Software Technologies Ltd.
SmartConsoleのインストール(3)
引続き、SmartConsoleのインストールを行います
ライセンスに同意し、Nextをクリックしてプロセスを進めます
9 ©2014 Check Point Software Technologies Ltd.
SmartConsoleのインストール(4)
インストールが完了したら、Finishをクリックして、SmartDashboard
を起動します
.Net 4.0をインストールした場合、再起動が必要になります
[Protected] For public distribution
10 ©2014 Check Point Software Technologies Ltd.
SmartDashboardの起動(1)
インストールウィザード終了後、SmartDashboardが起動します
– WindowsのメニューからもSmartDashboardの起動が可能です
初期セットアップで設定したユーザ名とパスワード、Security
ManagementサーバのIPアドレス(またはホスト名)を入力します
[Protected] For public distribution
11 ©2014 Check Point Software Technologies Ltd.
SmartDashboardの起動(2)
初回のみFingerprintの確認ダイアログが出ます
– FingerprintはSecurity Managementサーバでcpconfigを実行すると確認できます
– Fingerprintはレジストリーに書き込まれます
– Approveを押して継続します
トライアルライセンスの場合
– トライアル期間のダイアログが表示されます
[Protected] For public distribution
12 ©2014 Check Point Software Technologies Ltd.
SmartDashboardの起動(3)
SmartDashboardが起動しました
[Protected] For public distribution
各Software Bladeタブ
オブジェクトツリー
13 ©2014 Check Point Software Technologies Ltd.
アジェンダ
1 SmartConsoleの導入
Check Pointオブジェクトの設定 2
オブジェクトの設定 3
Firewallルールの設定 4
[Protected] For public distribution
14 ©2014 Check Point Software Technologies Ltd.
Check Pointオブジェクトとは
オブジェクトとは、ネットワーク情報やサービス情報などを事前に登録しておくための要素です
最初にオブジェクトを作成してからポリシーを作成します
–オブジェクトを作成しないと、ポリシーは設定出来ません
オブジェクトには様々な復数の定義があります
–代表的なオブジェクトは、次の章で説明しています
Check Pointオブジェクトとは、これらのオブジェクトの中でCheck
Point製品がインストールされたものを指します
–ネットワーク・オブジェクトの1つとして設定します
–すべてのSoftware Bladeは、このCheck Pointオブジェクトを設定することから始まります
[Protected] For public distribution
15 ©2014 Check Point Software Technologies Ltd.
Check Pointオブジェクトの設定
Check Pointオブジェクトはインストールされている製品によって、設定は異なります
この章では、Security GatewayとSecurity Managementがインストールされてオブジェクトを前提に説明しています
– Security GatewayとSecurity Managementも構成(例えば、分散構成や冗長化構成)によって設定が異なります
左側のペインのネットワーク・オブジェクトから、Check Point以下にあるオブジェクトをダブルクリックし、設定を行います
–右クリックから、Edit…を選択でも同様の動作になります
[Protected] For public distribution
ダブルクリック
16 ©2014 Check Point Software Technologies Ltd.
Check Point Gatewayオブジェクト
[Protected] For public distribution
左側のペインは、構成やSoftware Bladeの選択によって異なります
オブジェクト名とIPアドレスを
変更する際は注意が必要です
Security Gatewayの
Software Bladeを選択します
Security Managementの
Software Bladeを選択します
機能を有効にする
Software Bladeを選択します
(それぞれにライセンスが必要です)
17 ©2014 Check Point Software Technologies Ltd.
Topologyの設定(1)
Gatewayオブジェクトで最初に設定しなくてはならいのがTopologyです
Topologyを正しく設定しないと、Gatewayは正しくパケットを処理できません
Topologyには、Gatewayの各インターフェイスに接続されているネットワークを設定します
–ネットワークの先にルータがあり、さらにネットワークがある場合も定義が必要です
OSのネットワーク設定が正しく行われていれば、ある程度は自動的に設定されます
–必ず、正しく設定されているか確認する必要があります
[Protected] For public distribution
18 ©2014 Check Point Software Technologies Ltd.
Topologyの設定(2)
Gatewayオブジェクトの左側のペインから、Topologyを選択します
–デフォルトで取得されたインターフェイス情報が表示されています
Get…からInterface with Topology…を選択します
– OSの設定から自動的にTopologyを取得します
–現在設定されている情報は上書きされる旨のダイアログが表示されます
[Protected] For public distribution
19 ©2014 Check Point Software Technologies Ltd.
Topologyの設定(3)
OSから情報が取得できた場合、取得できた内容が表示されます
– Acceptを押してダイアログを閉じます
それぞれのインターフェイスを設定していきます
– インターフェイスが表示されているところをダブルクリックし設定ダイアログを表示させます
[Protected] For public distribution
ダブルクリック
20 ©2014 Check Point Software Technologies Ltd.
Topologyの設定(4)
Generalタブにて、インターフェイス名、IPアドレス、ネットマスクが正しいか確認します
– インターフェイス名はOSと同じ必要がありますので、変更しないでください
[Protected] For public distribution
21 ©2014 Check Point Software Technologies Ltd.
Topologyの設定(5)
以下はExternal側のインターフェイスの場合です
– TopologyタブのTopologyがExternalに設定されているか確認します
Externalに設定したインターフェイス間でのルーティングしません
– Externalのインターフェイスから入ってきて、別のExternalのインターフェイスから出て行く通信はできません
[Protected] For public distribution
22 ©2014 Check Point Software Technologies Ltd.
Topologyの設定(6)
以下はInternal側のインターフェイスの場合です – TopologyタブのTopologyがInternalに設定されているか確認します
IP Addresses behind this interfaceには、このインターフェイスに接続されているネットワークを指定する必要があります
– Not Defined:設定しない(Anti-SpoofingはOFFになります)(推奨しません)
– Network defined by the interface IP and Net Mask:このインターフェイスに設定されているサブネットワーク
– Specific:ネットワークオブジェクトやグループオブジェクトを指定します
[Protected] For public distribution
23 ©2014 Check Point Software Technologies Ltd.
Topologyの設定(7)
インターフェイスの背後にルータなどが存在し、復数のネットワークが存在する場合は以下のように設定します
–実際のネットワークに合わせて、ネットワークオブジェクトを作成します
–グループオブジェクトを使って、復数のネットワークオブジェクトをまとめます
– TopologyにSpecificを選択し、作成したグループオブジェクトを指定します
ネットワークオブジェクトやグループオブジェクトの作成方法は、次の章を参照してください
[Protected] For public distribution
24 ©2014 Check Point Software Technologies Ltd.
Topologyの設定(8)
Internal、External共にAnti-Spoofingを実行するように設定します
– Anti-Spoofingとは、IPアドレスを偽装して接続を行おうとしている通信を遮断する機能です
– Anti-SpoofingをOFFにすることは、推奨しません
– Topologyが正しく設定されていないと、Anti-Spoofing機能により通信できないネットワークが出来てしまいます
–通信できない場合は、Anti-Spoofingによるものか、ログを確認します
TopologyはSecurity Gatewayのインターフェイス情報やネットワーク構成が変わった場合、必ず設定し直す必要があります
[Protected] For public distribution
25 ©2014 Check Point Software Technologies Ltd.
Topologyの設定(9)
インターフェイスの接続先がDMZの場合、以下のように設定します
– TopologyはInternalを選択します
– DMZのネットワーク構成に合わせてIP Addresses behind this
interfaceを設定します
– Interface leads to DMZにチェックを入れます
DMZの設定は、一部のSoftware Bladeで有効になります
[Protected] For public distribution
26 ©2014 Check Point Software Technologies Ltd.
Gatewayオブジェクトのその他設定
Topologyの設定が完了すれば、Check Pointオブジェクトに対する最低限の設定は完了です
それぞれのSoftware Bladeを有効にする場合は…
– General Propertiesで該当のSoftware Bladeにチェックを入れます
–左側のペインに該当するBladeの設定が増えます(一部のBladeで増えないものもあります)ので、詳細なオプションを設定します
–各Software Bladeタブの設定画面で、ルールを作成します
– Software Bladeを有効にする場合は、1つずつ有効にし動作確認しながら設定することをお勧めします
[Protected] For public distribution
27 ©2014 Check Point Software Technologies Ltd.
Security Managementの設定
Security Managementの場合は、Logの設定を確認しておくのをお勧めします
[Protected] For public distribution
指定サイズで新しいログファイルを作成
指定した時間で新しいログファイルを作成
ディスクスペースが少なくなったら古いログを削除する
28 ©2014 Check Point Software Technologies Ltd.
アジェンダ
1 SmartConsoleの導入
Check Pointオブジェクトの設定 2
オブジェクトの設定 3
Firewallルールの設定 4
[Protected] For public distribution
29 ©2014 Check Point Software Technologies Ltd.
オブジェクトとは
FirewallルールのSource/DestinationやNATの設定には事前にオブジェクトを作成し、それらをルールに定義します
–先にオブジェクトを作成しなければ、ルールは作成できません
代表的なオブジェクト
–ネットワークオブジェクト
– ネットワーク情報を登録するオブジェクト群
–サービスオブジェクト
– サービス情報(ポート番号など)を登録するオブジェクト群
–サーバ及びOPSECオブジェクト
– 特定のサーバや、OPSEC連携するサーバなどを登録するオブジェクト群
–ユーザ及び管理者オブジェクト
– ユーザの登録、管理をするオブジェクト群
– 管理者の登録、管理をするオブジェクト群
[Protected] For public distribution
30 ©2014 Check Point Software Technologies Ltd.
ネットワークオブジェクト
Firewallルールを構成する上で一番良く使われるオブジェクトです
代表的なネットワークオブジェクト
[Protected] For public distribution
GroupsのSimple Group:復数のオブジェクトを1つにまとめたい場合に定義します
NetworksのNetwork:ネットワーク(192.168.1.0/24などの
ブロードキャストドメイン)を定義します
NodesのHost:IPアドレスを1つ持つホスト(メールサーバや
Webサーバなど) を定義します
Address Range:ブロードキャストドメインではなく、IPアドレスの
範囲(192.168.1.50から192.168.1.100までなど)で定義します
Check Point製品がインストールされているホストなどを定義します
ネットワークオブジェクトを選択
31 ©2014 Check Point Software Technologies Ltd.
ネットワークオブジェクトの作成方法
サブネットワークアドレスを登録する場合に作成します
Networksを右クリックし、Networks…を選択します
ダイアログが表示されますので、オブジェクト名、ネットワークアドレス、ネットマスクを入力します
OKを押してダイアログを閉じます
[Protected] For public distribution
32 ©2014 Check Point Software Technologies Ltd.
ホストオブジェクトの作成方法
1つのIPアドレスを持つホストを登録するときに作成します
Nodesを右クリックし、Node -> Host…を選択します
ダイアログが表示されますので、オブジェクト名、IPアドレスを入力し、OKを押します
復数のIPアドレスを持つホストも登録することも可能です – 左側のペインから、Topologyを選択し、インターフェイスと、IPアドレスを登録します
– 復数のIPアドレスを持つ場合で、ルーティングしないホストの場合にホストオブジェクトを利用します
– ルーティングするホストの場合は、NodesのGatewayオブジェクトで設定します
[Protected] For public distribution
33 ©2014 Check Point Software Technologies Ltd.
アドレスレンジオブジェクトの作成方法
特定のIPアドレスの範囲を登録する場合に作成します
Address Rangesを右クリックし、Address Ranges -> Address
Range…を選択します
ダイアログが表示されますので、オブジェクト名、開始のネットワークアドレス、終了のネットワークアドレスを入力します
OKを押してダイアログを閉じます
[Protected] For public distribution
34 ©2014 Check Point Software Technologies Ltd.
グループオブジェクトの作成方法(1)
復数のオブジェクトをまとめて、1つのオブジェクトにする場合に作成します
Groupsを右クリックし、Groups -> Simple Group…を選択します
ダイアログが表示されますので、オブジェクト名を入力しグルーピングしたいオブジェクトをAddしていきます
[Protected] For public distribution
35 ©2014 Check Point Software Technologies Ltd.
グループオブジェクトの作成方法(2)
復数のオブジェクトを追加する場合は、Controlキーを押しながらクリックすることで同時に追加することができます
検索ダイアログからオブジェクトを検索することができます
Viewボタンを押すことにより、オブジェクトのプロパティを確認できます
右下のNewボタンを押すと、このダイアログから新しいオブジェクトを作成し追加することができます
「Suggest to add objects to this group」のチェックボックスにチェックを入れると、検索条件のダイアログが表示され、たくさんのオブジェクトから効率よくオブジェクトを追加することができます
[Protected] For public distribution
36 ©2014 Check Point Software Technologies Ltd.
サービスオブジェクト
TCP/UDPにおけるポート番号などを定義するオブジェクトです
–デフォルトで数百はありますので、独自プロトコル以外は作成する機会は少ないでしょう
–ポート番号だけではなく、ソースポートの設定、セッションタイムアウトやセッション同期に関する設定なども行います
代表的なサービスオブジェクト
[Protected] For public distribution
TCP:TCPで使われるポート番号を定義します
UDP:UDPで使われるポート番号を定義します
Group:いくつかのサービスオブジェクトをグループ化します
ICMP:ICMPで使われるタイプやコードを定義します
RCP:RCPで使われるプログラム番号を定義します
DCE-RPC:DCE-RPCで使われるUUIDを定義します
Other:IPプロトコル番号を定義します
37 ©2014 Check Point Software Technologies Ltd.
TCPサービスオブジェクト
TCPを利用する通信の定義をします – 例:httpは下記のようにポート80番を使う通信として登録されています
Advancedをクリックするとダイアログが表示され、更に詳しい設定が可能になります
[Protected] For public distribution
38 ©2014 Check Point Software Technologies Ltd.
サービスオブジェクトの検索
膨大なサービスオブジェクトの中から、目的のサービスを簡単に検索できます
–画面右下の^マークをクリックし、検索ウィンドウを表示します
– Objects Listが表示されていない場合は、ViewメニューのObjects List
にチェックが入っているか確認して下さい
検索キーワードを入力すると、マッチした結果が表示されます
[Protected] For public distribution
39 ©2014 Check Point Software Technologies Ltd.
検索時のTips
検索はサービスオブジェクトだけではなく、ネットワークオブジェクトなども検索できます
–プルダウンメニューから対象のオブジェクトを選択してください
検索のキーワードは何でもOK
–例えば、IPアドレスやポート番号などでも検索できます
検索結果からルールの作成
–検索結果に表示されているオブジェクトをドラッグアンドドロップで、Firewallルールに定義することが出来ます
[Protected] For public distribution
40 ©2014 Check Point Software Technologies Ltd.
その他のオブジェクト
サーバ及びOPSECオブジェクト
– RADIUSサーバやLDAPサーバ、CAサーバなどを登録します
– OPSEC連携するサーバを登録します
ユーザ及び管理者オブジェクト
–ユーザオブジェクトは主に認証のために利用されます
– Check Pointが管理するユーザを登録します
– LDAPによって提供されるDNから、グループを登録します
– Active Directoryによって提供されるユーザ、コンピュータ情報を登録します
–復数の管理者を登録します
– 登録する管理者は、それぞれに対して細かく権限を付与(例えばReadOnlyの権限)できます
– インストール時に作成した管理者は削除出来ません
– Unixで言うところのroot、Windowsで言うところのadministratorに相当します [Protected] For public distribution
41 ©2014 Check Point Software Technologies Ltd.
便利な機能
それぞれのオブジェクトには、コメント、色を付けることができます
–検索などに使えますので、あらかじめルールを決めておくといいでしょう
–残念ながら、コメントに日本語を入力することはサポートしていません
どこで使われているか検索することが出来ます
–オブジェクトを右クリックし、Where Used…を選択します
–ダイアログが表示され、選択したオブジェクトがどこで使われているか表示されます
[Protected] For public distribution
Firewallのルール4番、Sourceカラムに使われている
42 ©2014 Check Point Software Technologies Ltd.
アジェンダ
1 SmartConsoleの導入
Check Pointオブジェクトの設定 2
オブジェクトの設定 3
Firewallルールの設定 4
[Protected] For public distribution
43 ©2014 Check Point Software Technologies Ltd.
Firewallルールの考え方
Firewallルールは最初のルールから順番に通信がマッチするか調べます
ステートフル・インスペクションですから、戻りの通信のルールを書く必要はありません
通信の内容とFirewallルールがマッチした場合、以後のFirewallルールは無視されます
– マッチするFirewallルールが無い場合の通信はDropされます
Firewallルールの書き方は、基本的にSource、Destination、Service、Action、Logだけです。
Source、Destinationの項目には、事前にオブジェクトを作成し、それらを指定します
Serviceには事前に定義されたものが数百はありますので、サービス名やポート番号等で検索してください(一覧表はありません)
マシンパフォーマンスに余裕があればすべてのログを取得すべきですが、本番環境では重要と判断したもののみ取得すべきです
[Protected] For public distribution
44 ©2014 Check Point Software Technologies Ltd.
Firewallルールの作成(1)
Firewallタブ、左側のペインからPolicyをクリックします
Firewallルールを作成します
– (左から)Add Rule below Current:選択している行の下に新しいルールを作成します
– Add Rule above Current:選択している行の上に新しいルールを作成します
– Add Rule at the Bottom:ルールの一番最後に新しいルールを追加します
– Add Rule at the Top:ルールの一番最初に新しいルールを追加します
[Protected] For public distribution
45 ©2014 Check Point Software Technologies Ltd.
Firewallルールの作成(2)
Add rule at the Topをクリックしてルールを1行作ります
–空のルールが1行出来た状態になります
– No.:ルール番号(自動で付加されます)
– Name:ルール名(ログで利用します)
– Source:通信元
– Destination:通信先
– VPN:VPNで使用(VPNのルール以外はAny Trafficにしておく)
– Service:対象となるサービス
– Action:通信がマッチした場合の動作
– Track:ロギングの設定
[Protected] For public distribution
46 ©2014 Check Point Software Technologies Ltd.
Firewallルールの作成(3)
設定例として、内部ネットワークから外部へのHTTP/HTTPSを許可するルールを作成します
–内部ネットワークを定義するネットワークオブジェクトを作成します
– 復数のネットワークセグメントがあるのであれば、必要なだけネットワークオブジェクトを作成します
– 大量のネットワークオブジェクトが必要な場合は、グループオブジェクトを使ってオブジェクトをまとめると、効率よく管理できます
– HTTP/HTTPSはデフォルトで定義されているサービスオブジェクトを利用します
–通信がルールとマッチした場合は、ログを取る設定とします
Firewallルールを作成します
–次のようなルールが作成されることになります
[Protected] For public distribution
47 ©2014 Check Point Software Technologies Ltd.
Firewallルールの作成(4)
Source/Destination/Serviceへのオブジェクト追加方法 –各カラムにオブジェクトを設定する場合、以下の方法があります
– カラムを右クリックして、Network Object/Add Objectsを選択する
– カラムの上にカーソルを持っていくと、+のマークが出てくるのでクリックしダイアログから選択する(検索もできます)
– 左側のペインに表示されているオブジェクトをドラッグアンドドロップ
– 検索ウィンドウで表示されているオブジェクトをドラッグアンドドロップ
異なるルール間でも、オブジェクトのドラッグアンドドロップが出来ます
カラム内に復数のオブジェクトを定義した場合、OR条件になります –上記の場合、Serviceはhttpまたはhttpsとのマッチングになります
[Protected] For public distribution
48 ©2014 Check Point Software Technologies Ltd.
Firewallルールの作成(5)
Actionカラムの設定
– Source/Destination/Serviceがマッチした場合の動作を定義します
– Accept:通信を許可します
– Drop:通信を遮断します
– Reject:通信を切断します
– DropとRejectの違い
– どちらも、送信先となる対象のネットワークとは通信できません
– Dropは通信を遮断しますので、送信元では相手からの応答が無いように見えます
– Rejectは通信に対してRSTパケットを送信しますので、送信元では相手から切断されたように見えます
Trackカラムの設定
– Trackカラムにはログをどうするかを設定します
– None/Log以外の詳細設定はグローバルプロパティにあります [Protected] For public distribution
49 ©2014 Check Point Software Technologies Ltd.
Firewallルールの作成(6)
その他のカラム
– Hits:ルールにマッチした通信が何回あったかをレポートしています
– ルールNoの右クリックで、表示方法を変更できます
– カーソルを上に合わせると情報がポップアップします
– Install On:ポリシーを実施する場所を設定します
– 復数のセキュリティ・ゲートウェイがあり、異なるルールを適用したい場合などに利用します
– Time:ルールを有効にする時間帯を設定します
– Comment:コメントを記入します
– 日本語の入力はサポートされていません
[Protected] For public distribution
50 ©2014 Check Point Software Technologies Ltd.
ルールの作成に便利な機能(1)
Negate
–オブジェクトに定義しているネットワーク以外という意味になります
– 例えば、192.168.1.0/24というネットワークオブジェクトをNegateすると、192.168.1.0/24以外のネットワークとのマッチングになります
–ルールに定義しているオブジェクトを右クリックしてNagate Cellを選択します
– オブジェクトに赤い×が付きます
[Protected] For public distribution
Nagete Cellを選択した状態
51 ©2014 Check Point Software Technologies Ltd.
ルールの作成に便利な機能(3)
Section Titleの挿入
–復数のルールを1つのセクションとしてまとめることが出来ます
– 例えば、最初のセクションは外部からのルール、次のセクションは内部からのルールといった具合に整理でき、折りたたむこともできます
–ルールNo.を右クリックして、Add Section TitleからAbove/Belowを選択して設定します
Section Titleの例
– Rule2とRule3はSection Titleによって折りたたまれています
[Protected] For public distribution
52 ©2014 Check Point Software Technologies Ltd.
ルールの作成に便利な機能(3)
ルールの移動
–ルールの順番を変えたい場合は、ルールNoをクリック(ドラッグ)したまま目的の場所でドロップすることにより、簡単に移動することが出来ます
–通信量(Hit Count)が多いルールは、なるべく上の(No.が少ない)ほうにある方がパフォーマンス面で有利です
[Protected] For public distribution
Rule3をRule1とRule2の間にドラッグして移動している状態
53 ©2014 Check Point Software Technologies Ltd.
ルールの作成に便利な機能(4)
Disable
–必要がないルールを削除すること無く、残したまま無効にすることが出来ます
–一時的に無効したい場合などに利用します
–ルールNo.を右クリックしてDisable Rule(s)を選択することで、ルールが無効になります
– Control + クリックで復数のルールを一度に無効にすることも出来ます
[Protected] For public distribution
Rule2をDisableにした状態(ルールがグレイアウトしている)
54 ©2014 Check Point Software Technologies Ltd.
ポリシーのインストール(1)
Install Policyボタンでポリシーをインストールします
– Install Policyを選択すると、ルールなどをコンパイルし、Security
Gatewayにプッシュします
–ポリシーをインストールしない限り、Security Gatewayの動作は変更されません
ダイアログが表示されますので、ポリシーをインストールするSecurity Gatewayを選択し、OKを押します
[Protected] For public distribution
55 ©2014 Check Point Software Technologies Ltd.
ポリシーのインストール(2)
OKを押すと、ルールなどがコンパイルできるか検証します
–エラーが出た場合は、エラーメッセージを確認して、対応してください
正常にポリシーがインストールされるとOKが表示されます
–エラーが出た場合は、エラーメッセージを確認して、対応してください
– Verifyでエラーがなくてもインストール時にエラーが出る場合があります
ポリシーのインストールはバックグラウンドに回しておけます
–右下のPolicy Installation Statusをクリックすると確認できます
[Protected] For public distribution
56 ©2014 Check Point Software Technologies Ltd.
ポリシーの管理
作成されたFirewallルールなどはポリシーと呼ばれ、それらは1つのポリシーパッケージとして定義されています
–デフォルトでは、Standardというパッケージ名で保存されています
– FileメニューのSaveで、現在編集中のポリシーを(上書き)保存出来ます
– FileメニューのNewから、新しいポリシーパッケージを作成できます
– FileメニューのSave asで、現在編集中のポリシーを別の名前で保存することが出来ます
ポリシーのインストール時に、ポリシーパッケージは自動的に保存されます
[Protected] For public distribution
57 ©2014 Check Point Software Technologies Ltd.
ポリシーパッケージの注意点
すべてのポリシーパッケージにおいて、オブジェクトは共通です
–ポリシーパッケージにはオブジェクトの情報は含まれていません
–オブジェクトを修正すれば、すべてのポリシーパッケージに影響します
– 例えばポリシーパッケージAと、ポリシーパッケージBがあった場合
– ポリシーパッケージAでネットワークオブジェクトの変更を行いSaveしたとします
– この後、ポリシーパッケージBをOpenしても、変更したネットワークオブジェクトの情報は変更後のままです
ポリシーをインストールしない限り、Security Gatewayにおける処理は変更されません
–ポリシーパッケージは編集中でのSaveや、新規のOpenができます
オブジェクトの情報を含め、ポリシーを管理したい場合は次のリビジョンコントロール機能をご利用ください
[Protected] For public distribution
58 ©2014 Check Point Software Technologies Ltd.
ポリシーのリビジョン管理(1)
ポリシーのリビジョンコントロール機能を使うことにより、ポリシーのリビジョン管理を行うことが出来ます
– リビジョンコントロールには、すべての情報が含まれています(例えばIPSのシグニチャ情報など
リビジョンコントロールを使うことにより、リビジョンを作成した時点にロールバックすることが出来ます
リビジョンコントロールを利用するためには、FileメニューのDatabase Revision Controlを選択します
– Database Revision Controlのダイアログが表示されます
[Protected] For public distribution
59 ©2014 Check Point Software Technologies Ltd.
ポリシーのリビジョン管理(2)
Createをクリックし、新たなリビジョンを作成します – 最初にポリシーをSaveする旨のダイアログがでます
– リビジョンに名前と、必要であればコメントを付けてOKを押します
過去のリビジョンにロールバックしたい場合は、ロールバックしたいリビジョンを選択し、ActionからRestore Versionを選択します
[Protected] For public distribution
60 ©2014 Check Point Software Technologies Ltd.
ポリシーのリビジョン管理(3)
ポリシーのインストール時に、自動的に新しいリビジョンを作成することが出来ます
–ポリシーのインストールダイアログのRevision ControlのCreate
database versionにチェックを入れます
– リビジョンに名前と、必要であればコメントを付けます
–ポリシーをインストールする前に、ポリシーが保存され、新しいリビジョンが作成されます
[Protected] For public distribution
61 ©2014 Check Point Software Technologies Ltd.
暗黙のルール
ユーザが作成するFirewallルール以外に、モジュール間などの通信を許可する暗黙のルール(Implied Rule)が定義されています
–確認するためには、メニューのViewからImplied Ruleを選択します
–設定はグローバルプロパティから設定できます
[Protected] For public distribution
62 ©2014 Check Point Software Technologies Ltd.
その他ルール
Security Gatewayを保護するFirewallルール – Security Gatewayはインターネットの境界に置かれることが多く、常に脅威にさらされています
– Security Gatewayを保護するためのFirewallルールを最初に書くことをおすすめします
– Security Gatewayへの一部通信は、Implied Ruleで許可されています(Global PropertiesのFirewallで設定出来ます)
クリーンナップ・ルール –すべてのFirewallルールの、一番最後に書くルールです
–設定したFirewallルールが間違っていてDropされているかもしれないので、かならずログを取っておきます
[Protected] For public distribution
63 ©2014 Check Point Software Technologies Ltd.
Firewallルール作成時のTips
Firewallルールはなるべく少ないほうがよい
– Firewallルールが多いと、パフォーマンスに影響があります
まとめられるルールは、まとめたほうが良い
–例えば、以下の様なルールの場合
–次のようにまとめるほうが、効率的です
[Protected] For public distribution
64 ©2014 Check Point Software Technologies Ltd.
アドレス変換機能(NAT)
IPアドレスを変換する機能です
– Static NAT:1対1でIPアドレスを変換する機能
– Hide NAT:n対1でIPアドレスを変換する機能
– Manual NAT:ユーザが独自に設定する機能
Static NAT/Hide NATはオブジェクト内に設定があります
–ネットワークオブジェクトやホストオブジェクトで設定します
NATルールはSmartDashboardから確認できます
– Manual NATはここで設定します
[Protected] For public distribution
65 ©2014 Check Point Software Technologies Ltd.
Hide NATの設定方法
Hide NAT(n対1)の設定は以下のように行います
– NATするNetworkオブジェクトを作成します
– NATのタブを選択します
– Add Automatic Address Translation rulesにチェックを入れます
– Translation methodがHideになっているのを確認します
– Hide behind Gatewayを選択すると、Security GatewayのIPアドレスに変換され、特定のIPアドレスを使いたい場合はHide behind IP addressを選択しIPアドレスを入力します
[Protected] For public distribution
※グループオブジェクトでもHide NATを定義することはできます
66 ©2014 Check Point Software Technologies Ltd.
Hide NATの動作確認
Hide NATの設定が終わったら、ポリシーをインストールします
–設定したネットワークから外部への通信を許可するルールが必要です
Hide NATされるネットワークから、インターネット側の外部に接続できるか確認します
SmartView Trackerを起動し、Hide NATされてたログが残っているか確認します
[Protected] For public distribution
gaia-gw> ping www.google.com PING www.google.com (74.125.235.114) 56(84) bytes of data. 64 bytes from nrt19s02-in-f18.1e100.net (74.125.235.114): icmp_seq=1 ttl=127 time=41.1 ms 64 bytes from nrt19s02-in-f18.1e100.net (74.125.235.114): icmp_seq=2 ttl=127 time=7.99 ms
67 ©2014 Check Point Software Technologies Ltd.
Static NATの設定方法
Static NAT(1対1)の設定は以下のように行います
– NATするHostオブジェクトを作成します
–左側のペインから、NATを選択します
– Add Automatic Address Translation rulesにチェックを入れます
– Translation methodがStaticにします
– Translate to IP Addressに変換後のIPアドレスを設定します
[Protected] For public distribution
68 ©2014 Check Point Software Technologies Ltd.
Static NATのルール
設定したホストへの接続を許可するルールを作成します
–例えば、外部から内部サーバへの通信を許可するルールはSourceにAny、Destinationに作成したHostオブジェクト、Serviceは任意のサービス、ActionはLogにします
–ホストオブジェクトは、グローバルIPで作成しプライベートIPにStatic
NATするように設定します
ポリシーをインストールします
SmartView Trackerを起動して、ログを確認します
[Protected] For public distribution
69 ©2014 Check Point Software Technologies Ltd.
Manual NATの設定
通常のNATルールは自動的に作成されますが、手動で作成することも可能です
–自動で作成されたルールと同じことが、手動でも出来ます
–自動で作成したくない場合などは、手動で作成します
–特定のサービスのみのNATやポートの変換なども出来ます
例えば、Hide NATを自動で設定しているが、あるセグメントへの通信はNATさせたくない場合などで利用します
–以下の様なルール(1行目)を作成することにより可能です
–ルールの書き方はFirewallルールの考え方と全く同じです
[Protected] For public distribution
70 ©2014 Check Point Software Technologies Ltd.
Automatic ARP
デフォルトでは、Automatic ARPが有効です
– Static NATなどで、実際にインターフェイスに割り当てられていないIPアドレスに対するARP応答は自動的に行われます
– Automatic ARPはグローバルプロパティで設定できます
– 左側のペインからNATを選んで設定してください
Automatic ARPを利用しない場合
– OSの設定でProxy ARP設定を行ってください
独自のMACアドレス等でARP応答を行いたい場合
– $FWDIR/conf/local.arpにIPアドレスとMACアドレスを記述することにより、ARP応答することが可能です
[Protected] For public distribution
©2014 Check Point Software Technologies Ltd.
Thank you
[Protected] For public distribution