firewallブレード設定ガイド check point r77/gaia · ©2014 check point software...

©2014 Check Point Software Technologies Ltd.

Firewallブレード設定ガイド - Check Point R77/GAiA

チェック・ポイント・ソフトウェア・テクノロジーズ(株)

[Protected] For public distribution

2 ©2014 Check Point Software Technologies Ltd.

アジェンダ

1 SmartConsoleの導入

Check Pointオブジェクトの設定 2

オブジェクトの設定 3

Firewallルールの設定 4



変更履歴

Rev1

– R76ベースで作成

Rev1a

–ポリシー管理を追加

– Firewallルール作成時のTipsを追加

Rev2

– R77ベースで作成

–いつくかの機能説明を追加



アジェンダ







SmartConsoleとは

SmartConsoleは、Check Point製品を設定、運用するための復数のWindowsアプリケーションです

主なコンポーネントの紹介

– SmartDashboard：セキュリティ・ポリシーを設定します

– SmartView Tracker：ログの参照に利用します

– SmartLog：ログを高速で検索します

– SmartView Monitor：管理対象機器の状態の確認ができます

– 一部機能は、別途ライセンスが必要です

– SmartUpdate：リモートからパッケージ、ライセンスの管理ができます

– 一部機能は、別途ライセンスが必要です

– SmartEvent：複数のSoftware Bladeのログなどの情報から、イベントを収集しグラフィカルに表示します

– 別途、ライセンスが必要です



SmartConsoleのインストール(1)

SmartConsoleのインストーラーを入手します

– SecurePlatformもしくはGAiAを利用している場合は、OSのポータルからダウンロードすることができます

– GAiAの場合、ログイン直後のOverviewページにリンクがあります

–サポートサイトから入手する

– SK92965から入手出来ます

– ダウンロードにはサポート契約が必要です

– メディアからインストールする

– メディアにSmartConsoleのインストーラーが含まれています

SmartConsoleのインストーラーを実行します

– インストールウィザードが開始されます


https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk92965



SmartConsoleを利用する際には、MS Visual C++、MS .NET

Frameworkが必要になります

–システムにインストールされていない場合は、下記ダイアログが出てきます

– OKをクリックして必要なコンポーネントをインストールします



引続き、SmartConsoleのインストールを行います

ライセンスに同意し、Nextをクリックしてプロセスを進めます



インストールが完了したら、Finishをクリックして、SmartDashboard

を起動します

.Net 4.0をインストールした場合、再起動が必要になります



SmartDashboardの起動(1)

インストールウィザード終了後、SmartDashboardが起動します

– WindowsのメニューからもSmartDashboardの起動が可能です

初期セットアップで設定したユーザ名とパスワード、Security

ManagementサーバのIPアドレス(またはホスト名)を入力します




初回のみFingerprintの確認ダイアログが出ます

– FingerprintはSecurity Managementサーバでcpconfigを実行すると確認できます

– Fingerprintはレジストリーに書き込まれます

– Approveを押して継続します

トライアルライセンスの場合

– トライアル期間のダイアログが表示されます




SmartDashboardが起動しました


各Software Bladeタブ

オブジェクトツリー


アジェンダ







Check Pointオブジェクトとは

オブジェクトとは、ネットワーク情報やサービス情報などを事前に登録しておくための要素です

最初にオブジェクトを作成してからポリシーを作成します

–オブジェクトを作成しないと、ポリシーは設定出来ません

オブジェクトには様々な復数の定義があります

–代表的なオブジェクトは、次の章で説明しています

Check Pointオブジェクトとは、これらのオブジェクトの中でCheck

Point製品がインストールされたものを指します

–ネットワーク・オブジェクトの1つとして設定します

–すべてのSoftware Bladeは、このCheck Pointオブジェクトを設定することから始まります



Check Pointオブジェクトの設定

Check Pointオブジェクトはインストールされている製品によって、設定は異なります

この章では、Security GatewayとSecurity Managementがインストールされてオブジェクトを前提に説明しています

– Security GatewayとSecurity Managementも構成(例えば、分散構成や冗長化構成)によって設定が異なります

左側のペインのネットワーク・オブジェクトから、Check Point以下にあるオブジェクトをダブルクリックし、設定を行います

–右クリックから、Edit…を選択でも同様の動作になります


ダブルクリック


Check Point Gatewayオブジェクト


左側のペインは、構成やSoftware Bladeの選択によって異なります

オブジェクト名とIPアドレスを

変更する際は注意が必要です

Security Gatewayの

Software Bladeを選択します

Security Managementの


機能を有効にする


(それぞれにライセンスが必要です)


Topologyの設定(1)

Gatewayオブジェクトで最初に設定しなくてはならいのがTopologyです

Topologyを正しく設定しないと、Gatewayは正しくパケットを処理できません

Topologyには、Gatewayの各インターフェイスに接続されているネットワークを設定します

–ネットワークの先にルータがあり、さらにネットワークがある場合も定義が必要です

OSのネットワーク設定が正しく行われていれば、ある程度は自動的に設定されます

–必ず、正しく設定されているか確認する必要があります




Gatewayオブジェクトの左側のペインから、Topologyを選択します

–デフォルトで取得されたインターフェイス情報が表示されています

Get…からInterface with Topology…を選択します

– OSの設定から自動的にTopologyを取得します

–現在設定されている情報は上書きされる旨のダイアログが表示されます




OSから情報が取得できた場合、取得できた内容が表示されます

– Acceptを押してダイアログを閉じます

それぞれのインターフェイスを設定していきます

– インターフェイスが表示されているところをダブルクリックし設定ダイアログを表示させます


ダブルクリック



Generalタブにて、インターフェイス名、IPアドレス、ネットマスクが正しいか確認します

– インターフェイス名はOSと同じ必要がありますので、変更しないでください




以下はExternal側のインターフェイスの場合です

– TopologyタブのTopologyがExternalに設定されているか確認します

Externalに設定したインターフェイス間でのルーティングしません

– Externalのインターフェイスから入ってきて、別のExternalのインターフェイスから出て行く通信はできません




以下はInternal側のインターフェイスの場合です – TopologyタブのTopologyがInternalに設定されているか確認します

IP Addresses behind this interfaceには、このインターフェイスに接続されているネットワークを指定する必要があります

– Not Defined：設定しない(Anti-SpoofingはOFFになります)(推奨しません)

– Network defined by the interface IP and Net Mask：このインターフェイスに設定されているサブネットワーク

– Specific：ネットワークオブジェクトやグループオブジェクトを指定します




インターフェイスの背後にルータなどが存在し、復数のネットワークが存在する場合は以下のように設定します

–実際のネットワークに合わせて、ネットワークオブジェクトを作成します

–グループオブジェクトを使って、復数のネットワークオブジェクトをまとめます

– TopologyにSpecificを選択し、作成したグループオブジェクトを指定します

ネットワークオブジェクトやグループオブジェクトの作成方法は、次の章を参照してください




Internal、External共にAnti-Spoofingを実行するように設定します

– Anti-Spoofingとは、IPアドレスを偽装して接続を行おうとしている通信を遮断する機能です

– Anti-SpoofingをOFFにすることは、推奨しません

– Topologyが正しく設定されていないと、Anti-Spoofing機能により通信できないネットワークが出来てしまいます

–通信できない場合は、Anti-Spoofingによるものか、ログを確認します

TopologyはSecurity Gatewayのインターフェイス情報やネットワーク構成が変わった場合、必ず設定し直す必要があります




インターフェイスの接続先がDMZの場合、以下のように設定します

– TopologyはInternalを選択します

– DMZのネットワーク構成に合わせてIP Addresses behind this

interfaceを設定します

– Interface leads to DMZにチェックを入れます

DMZの設定は、一部のSoftware Bladeで有効になります



Gatewayオブジェクトのその他設定

Topologyの設定が完了すれば、Check Pointオブジェクトに対する最低限の設定は完了です

それぞれのSoftware Bladeを有効にする場合は…

– General Propertiesで該当のSoftware Bladeにチェックを入れます

–左側のペインに該当するBladeの設定が増えます(一部のBladeで増えないものもあります)ので、詳細なオプションを設定します

–各Software Bladeタブの設定画面で、ルールを作成します

– Software Bladeを有効にする場合は、1つずつ有効にし動作確認しながら設定することをお勧めします



Security Managementの設定

Security Managementの場合は、Logの設定を確認しておくのをお勧めします


指定サイズで新しいログファイルを作成

指定した時間で新しいログファイルを作成

ディスクスペースが少なくなったら古いログを削除する


アジェンダ







オブジェクトとは

FirewallルールのSource/DestinationやNATの設定には事前にオブジェクトを作成し、それらをルールに定義します

–先にオブジェクトを作成しなければ、ルールは作成できません

代表的なオブジェクト

–ネットワークオブジェクト

– ネットワーク情報を登録するオブジェクト群

–サービスオブジェクト

– サービス情報(ポート番号など)を登録するオブジェクト群

–サーバ及びOPSECオブジェクト

– 特定のサーバや、OPSEC連携するサーバなどを登録するオブジェクト群

–ユーザ及び管理者オブジェクト

– ユーザの登録、管理をするオブジェクト群

– 管理者の登録、管理をするオブジェクト群



ネットワークオブジェクト

Firewallルールを構成する上で一番良く使われるオブジェクトです

代表的なネットワークオブジェクト


GroupsのSimple Group:復数のオブジェクトを1つにまとめたい場合に定義します

NetworksのNetwork:ネットワーク(192.168.1.0/24などの

ブロードキャストドメイン)を定義します

NodesのHost:IPアドレスを1つ持つホスト(メールサーバや

Webサーバなど) を定義します

Address Range:ブロードキャストドメインではなく、IPアドレスの

範囲(192.168.1.50から192.168.1.100までなど)で定義します

Check Point製品がインストールされているホストなどを定義します

ネットワークオブジェクトを選択


ネットワークオブジェクトの作成方法

サブネットワークアドレスを登録する場合に作成します

Networksを右クリックし、Networks…を選択します

ダイアログが表示されますので、オブジェクト名、ネットワークアドレス、ネットマスクを入力します

OKを押してダイアログを閉じます



ホストオブジェクトの作成方法

1つのIPアドレスを持つホストを登録するときに作成します

Nodesを右クリックし、Node -> Host…を選択します

ダイアログが表示されますので、オブジェクト名、IPアドレスを入力し、OKを押します

復数のIPアドレスを持つホストも登録することも可能です – 左側のペインから、Topologyを選択し、インターフェイスと、IPアドレスを登録します

– 復数のIPアドレスを持つ場合で、ルーティングしないホストの場合にホストオブジェクトを利用します

– ルーティングするホストの場合は、NodesのGatewayオブジェクトで設定します



アドレスレンジオブジェクトの作成方法

特定のIPアドレスの範囲を登録する場合に作成します

Address Rangesを右クリックし、Address Ranges -> Address

Range…を選択します

ダイアログが表示されますので、オブジェクト名、開始のネットワークアドレス、終了のネットワークアドレスを入力します

OKを押してダイアログを閉じます



グループオブジェクトの作成方法(1)

復数のオブジェクトをまとめて、1つのオブジェクトにする場合に作成します

Groupsを右クリックし、Groups -> Simple Group…を選択します

ダイアログが表示されますので、オブジェクト名を入力しグルーピングしたいオブジェクトをAddしていきます



グループオブジェクトの作成方法(2)

復数のオブジェクトを追加する場合は、Controlキーを押しながらクリックすることで同時に追加することができます

検索ダイアログからオブジェクトを検索することができます

Viewボタンを押すことにより、オブジェクトのプロパティを確認できます

右下のNewボタンを押すと、このダイアログから新しいオブジェクトを作成し追加することができます

「Suggest to add objects to this group」のチェックボックスにチェックを入れると、検索条件のダイアログが表示され、たくさんのオブジェクトから効率よくオブジェクトを追加することができます



サービスオブジェクト

TCP/UDPにおけるポート番号などを定義するオブジェクトです

–デフォルトで数百はありますので、独自プロトコル以外は作成する機会は少ないでしょう

–ポート番号だけではなく、ソースポートの設定、セッションタイムアウトやセッション同期に関する設定なども行います

代表的なサービスオブジェクト


TCP：TCPで使われるポート番号を定義します

UDP：UDPで使われるポート番号を定義します

Group：いくつかのサービスオブジェクトをグループ化します

ICMP：ICMPで使われるタイプやコードを定義します

RCP：RCPで使われるプログラム番号を定義します

DCE-RPC：DCE-RPCで使われるUUIDを定義します

Other：IPプロトコル番号を定義します


TCPサービスオブジェクト

TCPを利用する通信の定義をします – 例：httpは下記のようにポート80番を使う通信として登録されています

Advancedをクリックするとダイアログが表示され、更に詳しい設定が可能になります



サービスオブジェクトの検索

膨大なサービスオブジェクトの中から、目的のサービスを簡単に検索できます

–画面右下の^マークをクリックし、検索ウィンドウを表示します

– Objects Listが表示されていない場合は、ViewメニューのObjects List

にチェックが入っているか確認して下さい

検索キーワードを入力すると、マッチした結果が表示されます



検索時のTips

検索はサービスオブジェクトだけではなく、ネットワークオブジェクトなども検索できます

–プルダウンメニューから対象のオブジェクトを選択してください

検索のキーワードは何でもOK

–例えば、IPアドレスやポート番号などでも検索できます

検索結果からルールの作成

–検索結果に表示されているオブジェクトをドラッグアンドドロップで、Firewallルールに定義することが出来ます



その他のオブジェクト

サーバ及びOPSECオブジェクト

– RADIUSサーバやLDAPサーバ、CAサーバなどを登録します

– OPSEC連携するサーバを登録します

ユーザ及び管理者オブジェクト

–ユーザオブジェクトは主に認証のために利用されます

– Check Pointが管理するユーザを登録します

– LDAPによって提供されるDNから、グループを登録します

– Active Directoryによって提供されるユーザ、コンピュータ情報を登録します

–復数の管理者を登録します

– 登録する管理者は、それぞれに対して細かく権限を付与(例えばReadOnlyの権限)できます

– インストール時に作成した管理者は削除出来ません

– Unixで言うところのroot、Windowsで言うところのadministratorに相当します [Protected] For public distribution


便利な機能

それぞれのオブジェクトには、コメント、色を付けることができます

–検索などに使えますので、あらかじめルールを決めておくといいでしょう

–残念ながら、コメントに日本語を入力することはサポートしていません

どこで使われているか検索することが出来ます

–オブジェクトを右クリックし、Where Used…を選択します

–ダイアログが表示され、選択したオブジェクトがどこで使われているか表示されます


Firewallのルール4番、Sourceカラムに使われている


アジェンダ







Firewallルールの考え方

Firewallルールは最初のルールから順番に通信がマッチするか調べます

ステートフル・インスペクションですから、戻りの通信のルールを書く必要はありません

通信の内容とFirewallルールがマッチした場合、以後のFirewallルールは無視されます

– マッチするFirewallルールが無い場合の通信はDropされます

Firewallルールの書き方は、基本的にSource、Destination、Service、Action、Logだけです。

Source、Destinationの項目には、事前にオブジェクトを作成し、それらを指定します

Serviceには事前に定義されたものが数百はありますので、サービス名やポート番号等で検索してください(一覧表はありません)

マシンパフォーマンスに余裕があればすべてのログを取得すべきですが、本番環境では重要と判断したもののみ取得すべきです



Firewallルールの作成(1)

Firewallタブ、左側のペインからPolicyをクリックします

Firewallルールを作成します

– (左から)Add Rule below Current：選択している行の下に新しいルールを作成します

– Add Rule above Current：選択している行の上に新しいルールを作成します

– Add Rule at the Bottom：ルールの一番最後に新しいルールを追加します

– Add Rule at the Top：ルールの一番最初に新しいルールを追加します




Add rule at the Topをクリックしてルールを1行作ります

–空のルールが1行出来た状態になります

– No.：ルール番号(自動で付加されます)

– Name：ルール名(ログで利用します)

– Source：通信元

– Destination：通信先

– VPN：VPNで使用(VPNのルール以外はAny Trafficにしておく)

– Service：対象となるサービス

– Action：通信がマッチした場合の動作

– Track：ロギングの設定




設定例として、内部ネットワークから外部へのHTTP/HTTPSを許可するルールを作成します

–内部ネットワークを定義するネットワークオブジェクトを作成します

– 復数のネットワークセグメントがあるのであれば、必要なだけネットワークオブジェクトを作成します

– 大量のネットワークオブジェクトが必要な場合は、グループオブジェクトを使ってオブジェクトをまとめると、効率よく管理できます

– HTTP/HTTPSはデフォルトで定義されているサービスオブジェクトを利用します

–通信がルールとマッチした場合は、ログを取る設定とします

Firewallルールを作成します

–次のようなルールが作成されることになります




Source/Destination/Serviceへのオブジェクト追加方法 –各カラムにオブジェクトを設定する場合、以下の方法があります

– カラムを右クリックして、Network Object/Add Objectsを選択する

– カラムの上にカーソルを持っていくと、＋のマークが出てくるのでクリックしダイアログから選択する(検索もできます)

– 左側のペインに表示されているオブジェクトをドラッグアンドドロップ

– 検索ウィンドウで表示されているオブジェクトをドラッグアンドドロップ

異なるルール間でも、オブジェクトのドラッグアンドドロップが出来ます

カラム内に復数のオブジェクトを定義した場合、OR条件になります –上記の場合、Serviceはhttpまたはhttpsとのマッチングになります




Actionカラムの設定

– Source/Destination/Serviceがマッチした場合の動作を定義します

– Accept：通信を許可します

– Drop：通信を遮断します

– Reject：通信を切断します

– DropとRejectの違い

– どちらも、送信先となる対象のネットワークとは通信できません

– Dropは通信を遮断しますので、送信元では相手からの応答が無いように見えます

– Rejectは通信に対してRSTパケットを送信しますので、送信元では相手から切断されたように見えます

Trackカラムの設定

– Trackカラムにはログをどうするかを設定します

– None/Log以外の詳細設定はグローバルプロパティにあります [Protected] For public distribution



その他のカラム

– Hits：ルールにマッチした通信が何回あったかをレポートしています

– ルールNoの右クリックで、表示方法を変更できます

– カーソルを上に合わせると情報がポップアップします

– Install On：ポリシーを実施する場所を設定します

– 復数のセキュリティ・ゲートウェイがあり、異なるルールを適用したい場合などに利用します

– Time：ルールを有効にする時間帯を設定します

– Comment：コメントを記入します

– 日本語の入力はサポートされていません



ルールの作成に便利な機能(1)

Negate

–オブジェクトに定義しているネットワーク以外という意味になります

– 例えば、192.168.1.0/24というネットワークオブジェクトをNegateすると、192.168.1.0/24以外のネットワークとのマッチングになります

–ルールに定義しているオブジェクトを右クリックしてNagate Cellを選択します

– オブジェクトに赤い×が付きます


Nagete Cellを選択した状態



Section Titleの挿入

–復数のルールを1つのセクションとしてまとめることが出来ます

– 例えば、最初のセクションは外部からのルール、次のセクションは内部からのルールといった具合に整理でき、折りたたむこともできます

–ルールNo.を右クリックして、Add Section TitleからAbove/Belowを選択して設定します

Section Titleの例

– Rule2とRule3はSection Titleによって折りたたまれています




ルールの移動

–ルールの順番を変えたい場合は、ルールNoをクリック(ドラッグ)したまま目的の場所でドロップすることにより、簡単に移動することが出来ます

–通信量(Hit Count)が多いルールは、なるべく上の(No.が少ない)ほうにある方がパフォーマンス面で有利です


Rule3をRule1とRule2の間にドラッグして移動している状態



Disable

–必要がないルールを削除すること無く、残したまま無効にすることが出来ます

–一時的に無効したい場合などに利用します

–ルールNo.を右クリックしてDisable Rule(s)を選択することで、ルールが無効になります

– Control + クリックで復数のルールを一度に無効にすることも出来ます


Rule2をDisableにした状態(ルールがグレイアウトしている)


ポリシーのインストール(1)

Install Policyボタンでポリシーをインストールします

– Install Policyを選択すると、ルールなどをコンパイルし、Security

Gatewayにプッシュします

–ポリシーをインストールしない限り、Security Gatewayの動作は変更されません

ダイアログが表示されますので、ポリシーをインストールするSecurity Gatewayを選択し、OKを押します



ポリシーのインストール(2)

OKを押すと、ルールなどがコンパイルできるか検証します

–エラーが出た場合は、エラーメッセージを確認して、対応してください

正常にポリシーがインストールされるとOKが表示されます

–エラーが出た場合は、エラーメッセージを確認して、対応してください

– Verifyでエラーがなくてもインストール時にエラーが出る場合があります

ポリシーのインストールはバックグラウンドに回しておけます

–右下のPolicy Installation Statusをクリックすると確認できます



ポリシーの管理

作成されたFirewallルールなどはポリシーと呼ばれ、それらは1つのポリシーパッケージとして定義されています

–デフォルトでは、Standardというパッケージ名で保存されています

– FileメニューのSaveで、現在編集中のポリシーを(上書き)保存出来ます

– FileメニューのNewから、新しいポリシーパッケージを作成できます

– FileメニューのSave asで、現在編集中のポリシーを別の名前で保存することが出来ます

ポリシーのインストール時に、ポリシーパッケージは自動的に保存されます



ポリシーパッケージの注意点

すべてのポリシーパッケージにおいて、オブジェクトは共通です

–ポリシーパッケージにはオブジェクトの情報は含まれていません

–オブジェクトを修正すれば、すべてのポリシーパッケージに影響します

– 例えばポリシーパッケージAと、ポリシーパッケージBがあった場合

– ポリシーパッケージAでネットワークオブジェクトの変更を行いSaveしたとします

– この後、ポリシーパッケージBをOpenしても、変更したネットワークオブジェクトの情報は変更後のままです

ポリシーをインストールしない限り、Security Gatewayにおける処理は変更されません

–ポリシーパッケージは編集中でのSaveや、新規のOpenができます

オブジェクトの情報を含め、ポリシーを管理したい場合は次のリビジョンコントロール機能をご利用ください



ポリシーのリビジョン管理(1)

ポリシーのリビジョンコントロール機能を使うことにより、ポリシーのリビジョン管理を行うことが出来ます

– リビジョンコントロールには、すべての情報が含まれています(例えばIPSのシグニチャ情報など

リビジョンコントロールを使うことにより、リビジョンを作成した時点にロールバックすることが出来ます

リビジョンコントロールを利用するためには、FileメニューのDatabase Revision Controlを選択します

– Database Revision Controlのダイアログが表示されます




Createをクリックし、新たなリビジョンを作成します – 最初にポリシーをSaveする旨のダイアログがでます

– リビジョンに名前と、必要であればコメントを付けてOKを押します

過去のリビジョンにロールバックしたい場合は、ロールバックしたいリビジョンを選択し、ActionからRestore Versionを選択します




ポリシーのインストール時に、自動的に新しいリビジョンを作成することが出来ます

–ポリシーのインストールダイアログのRevision ControlのCreate

database versionにチェックを入れます

– リビジョンに名前と、必要であればコメントを付けます

–ポリシーをインストールする前に、ポリシーが保存され、新しいリビジョンが作成されます



暗黙のルール

ユーザが作成するFirewallルール以外に、モジュール間などの通信を許可する暗黙のルール(Implied Rule)が定義されています

–確認するためには、メニューのViewからImplied Ruleを選択します

–設定はグローバルプロパティから設定できます



その他ルール

Security Gatewayを保護するFirewallルール – Security Gatewayはインターネットの境界に置かれることが多く、常に脅威にさらされています

– Security Gatewayを保護するためのFirewallルールを最初に書くことをおすすめします

– Security Gatewayへの一部通信は、Implied Ruleで許可されています(Global PropertiesのFirewallで設定出来ます)

クリーンナップ・ルール –すべてのFirewallルールの、一番最後に書くルールです

–設定したFirewallルールが間違っていてDropされているかもしれないので、かならずログを取っておきます



Firewallルール作成時のTips

Firewallルールはなるべく少ないほうがよい

– Firewallルールが多いと、パフォーマンスに影響があります

まとめられるルールは、まとめたほうが良い

–例えば、以下の様なルールの場合

–次のようにまとめるほうが、効率的です



アドレス変換機能(NAT)

IPアドレスを変換する機能です

– Static NAT：1対1でIPアドレスを変換する機能

– Hide NAT：n対1でIPアドレスを変換する機能

– Manual NAT：ユーザが独自に設定する機能

Static NAT/Hide NATはオブジェクト内に設定があります

–ネットワークオブジェクトやホストオブジェクトで設定します

NATルールはSmartDashboardから確認できます

– Manual NATはここで設定します



Hide NATの設定方法

Hide NAT(n対1)の設定は以下のように行います

– NATするNetworkオブジェクトを作成します

– NATのタブを選択します

– Add Automatic Address Translation rulesにチェックを入れます

– Translation methodがHideになっているのを確認します

– Hide behind Gatewayを選択すると、Security GatewayのIPアドレスに変換され、特定のIPアドレスを使いたい場合はHide behind IP addressを選択しIPアドレスを入力します


※グループオブジェクトでもHide NATを定義することはできます


Hide NATの動作確認

Hide NATの設定が終わったら、ポリシーをインストールします

–設定したネットワークから外部への通信を許可するルールが必要です

Hide NATされるネットワークから、インターネット側の外部に接続できるか確認します

SmartView Trackerを起動し、Hide NATされてたログが残っているか確認します


gaia-gw> ping www.google.com PING www.google.com (74.125.235.114) 56(84) bytes of data. 64 bytes from nrt19s02-in-f18.1e100.net (74.125.235.114): icmp_seq=1 ttl=127 time=41.1 ms 64 bytes from nrt19s02-in-f18.1e100.net (74.125.235.114): icmp_seq=2 ttl=127 time=7.99 ms


Static NATの設定方法

Static NAT(1対1)の設定は以下のように行います

– NATするHostオブジェクトを作成します

–左側のペインから、NATを選択します

– Add Automatic Address Translation rulesにチェックを入れます

– Translation methodがStaticにします

– Translate to IP Addressに変換後のIPアドレスを設定します



Static NATのルール

設定したホストへの接続を許可するルールを作成します

–例えば、外部から内部サーバへの通信を許可するルールはSourceにAny、Destinationに作成したHostオブジェクト、Serviceは任意のサービス、ActionはLogにします

–ホストオブジェクトは、グローバルIPで作成しプライベートIPにStatic

NATするように設定します

ポリシーをインストールします

SmartView Trackerを起動して、ログを確認します



Manual NATの設定

通常のNATルールは自動的に作成されますが、手動で作成することも可能です

–自動で作成されたルールと同じことが、手動でも出来ます

–自動で作成したくない場合などは、手動で作成します

–特定のサービスのみのNATやポートの変換なども出来ます

例えば、Hide NATを自動で設定しているが、あるセグメントへの通信はNATさせたくない場合などで利用します

–以下の様なルール(1行目)を作成することにより可能です

–ルールの書き方はFirewallルールの考え方と全く同じです



Automatic ARP

デフォルトでは、Automatic ARPが有効です

– Static NATなどで、実際にインターフェイスに割り当てられていないIPアドレスに対するARP応答は自動的に行われます

– Automatic ARPはグローバルプロパティで設定できます

– 左側のペインからNATを選んで設定してください

Automatic ARPを利用しない場合

– OSの設定でProxy ARP設定を行ってください

独自のMACアドレス等でARP応答を行いたい場合

– $FWDIR/conf/local.arpにIPアドレスとMACアドレスを記述することにより、ARP応答することが可能です


firewallブレード設定ガイド check point r77/gaia · ©2014 check point software...

Documents