（仮想アプライアンス）を導入いただく際のガイドです。

AWS R77.10 セットアップガイド
[Restricted] ONLY for designated groups and individuals
©2014
Check
Point
Software
Technologies
©2014
Check
Point
Software
Technologies
Ltd.Ltd1
もくじ
• AWS 対応製品概要
• セットアップガイド
– 想定構成
– VPC 環境設定
– SG インスタンス設定
– SG 初期設定
– Web サーバ設定
– 内部セグメント設定
– セキュリティ設定
• 付録１：Connect Control で Web サーバを負荷分散
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 2
Amazon Web Services 向け
先進のセキュリティ！
Amazon パブリック・クラウド用
仮想アプライアンス
Public Cloud
チェック・ポイントの Software Blade が
Amazon Public Cloud 上で展開可能となりました
©2014 Check Point Software Technologies Ltd. 33
Amazon VPCトポロジーと構成要素
Internet
4 インターネット接続
（直結または VPN）
4
3 アマゾン VPC
3
Amazon
VPC
インターネットゲートウェイ
2 Check Point VPC 用
仮想アプライアンス
2
1 プライベート・サブネットの
1
AWS EC2インスタンス
©2014 Check Point Software Technologies Ltd. 4
クラウドのためのフルレンジ防御
貴社のセキュリティ要件に応じた
Software Blade をご選択ください
Public Cloud
©2014 Check Point Software Technologies Ltd. 5
クラウド上でのネットワーク攻撃から防御
Firewall & IPS Software Blades
お客様向けサーバ
Firewall と IPS
Software Blades
チェック・ポイント
バーチャル・アプライアンス
SQL
インジェクション
攻撃
攻撃者
すべてのDBの内容を
閲覧しよう・・・
攻撃パターンの
検知
©2014 Check Point Software Technologies Ltd. 6
先端のセキュリティを手軽に導入
Amazon Web Services上で
チェック・ポイント
バーチャル・アプライアンス
を有効化
Public Cloud
©2014 Check Point Software Technologies Ltd. 7
迅速に先進のセキュリティを利用可能
Application Control
Amazon Web Services上で
チェック・ポイント
バーチャル・アプライアンス
を有効化
Identify and control usage of
thousands of applications based
on user and machine identity.
必要な Software Blade を
選択するだけ
Public Cloud
©2014 Check Point Software Technologies Ltd. 8
ADVANCED SECURITY
for Amazon Public Cloud
完全な防御
簡単な導入
統合管理
Virtual Appliance for
Amazon Public Cloud
Public Cloud
©2014 Check Point Software Technologies Ltd. 99
想定構成
VPC 環境の Web サーバを保護
[Restricted] ONLY for designated groups and individuals
©2014
Check
Software
Technologies
©2014
Check
PointPoint
Software
Technologies
Ltd. Ltd
10
想定構成
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 11
環境概要
• VPC としては 10.0.0.0/16 の空間を利用
• 外部セグメントとして 10.0.0.0/24 を利用
• 内部セグメントとして 10.0.1.0/24 を利用
– このセグメント内の Web サーバを保護
• SG には自身の IP アドレスと Web サーバ用の IP アドレ
スの 2 つを割り当てる
• EIP も同様に SG 用と Web サーバ用の 2 つを割り当てる
– EIP1 ←→ 10.0.0.100
– EIP2 ←→ 10.0.0.101
• SG は Static NAT を行い、Web サーバへの通信を行う
©2014 Check Point Software Technologies Ltd. 12
VPC 環境設定
[Restricted] ONLY for designated groups and individuals
©2014
Check
Software
Technologies
©2014
Check
PointPoint
Software
Technologies
Ltd. Ltd
13
VPC 作成
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 14
VPC 環境作成
VPC
Your VPCs でVPC 環境(Demo VPC)を作
成します。VPC 環境では 10.0.0.0/16 の
ネットワーク空間を利用します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 15
VPC 環境作成
VPC
VPC 環境(Demo VPC)が作成されました。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 16
VPC
外部セグメント作成
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 17
外部セグメント作成
VPC
VPC 環境内に外部セグメント(Ext-Net)を作成
します。外部サブネットを作成する VPC
(Demo VPC) と、割り当てるサブネット
(10.0.0.0/24) を指定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 18
外部セグメント作成
VPC
外部セグメント (Ext-Net) が作成されました。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 19
VPC
内部セグメント作成
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 20
内部セグメント作成
VPC
VPC 環境内に内部セグメント(Int-Net)を作成
します。内部サブネットを作成する VPC
(Demo VPC) と、割り当てるサブネット
(10.0.0.0/24) を指定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 21
内部セグメント作成
VPC
内部セグメント (Int-Net) が作成されました。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 22
VPC
Internet Gateway 作成
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 23
Internet Gateway 作成
VPC
インターネットに接続する Internet
Gateway (Internet GW for Demo VPC) を
作成します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 24
Internet Gateway 作成 - VPC の紐付け
VPC
Internet Gateway と VPC を紐付けます。
紐付ける VPC (Demo VPC) を指定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 25
VPC
Internet Gateway 作成
Internet Gateway が作成され、VPC
(Demo VPC) に紐付きました。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 26
外部セグメント用ルーティング設定
VPC
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 27
VPC
ルート・テーブル作成
外部セグメントで使用するルート・
テーブル(Route for SG)を作成します。
ルート・テーブルを作成する VPC (Demo
VPC)を選択します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 28
VPC
ルート・テーブル作成
作成されたルート・テーブルにルーティ
ング情報を追加します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 29
ルート・テーブル作成
VPC
デフォルトルート(0.0.0.0/0)が Internet
Gateway (Internet GW for Demo VPC) に
向くように設定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 30
VPC
ルート・テーブル作成
このルート・テーブルを使用するサブ
ネットを指定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 31
VPC
ルート・テーブル作成
外部セグメント(Ext-Net : 10.0.0.0/24)を
選択します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 32
ルート・テーブル作成
VPC
ルート・テーブルの設定が完了しました。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 33
Security Group (AWS 標準セキュリティ)設定
VPC
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 34
Security Group 作成
VPC
各インスタンスが使用する Security
Group を作成します。
デフォルトの Security Group は限られた
通信しか許可されません(SG に通信が到
達しない)。そのため、特別な Security
Group を作成します。
Security Group の名前
(PermissiveSecGrp) と、Security
Group を作成する VPC を指定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 35
Security Group 作成
VPC
作成された Security Group
(PermissiveSecGrp) にインバウンド(内向
き)のルールを作成します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 36
VPC
Security Group 作成
すべての通信を許可します。
Type: ALL Traffic
Source: 0.0.0.0/0
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 37
Security Group 作成
VPC
Security Group (PermissiveSecGrp) が作
成されました。この Security Group を使
用すると、すべての通信が許可されます。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 38
SG インスタンス設定
[Restricted] ONLY for designated groups and individuals
©2014
Check
Software
Technologies
©2014
Check
PointPoint
Software
Technologies
Ltd. Ltd
39
SG インスタンス作成
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 40
EC2
SG インスタンス作成
SG インスタンスを作成します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 41
EC2
SG インスタンス作成
AWS Marketplace で “Check Point” で検
索します。Pay-As-You-Go ではないイ
メージを選択します。
ヒント：Pay-As-You-Go はライセンス込みのイン
スタンスになります。利用時間に応じてAmazon
経由で R77.10 使用料が課金されます。どちらの
モデルも 15 日間の評価機期間があります。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 42
EC2
SG インスタンス作成
インスタンス・タイプを選択します。
ここでは、c3.large を選択しています。
ヒント：選択可能なタイプはリリース
ノートを参照してください。未対応のタ
イプでの動作は保障されません。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 43
SG インスタンス作成
EC2
SG インスタンスを設置する VPC (Demo
VPC) とサブネット(外部セグメント ExtNet :10.0.0.0/24)を指定します。
【次ページに続く】
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 44
EC2
SG インスタンス作成
1. SG インスタンスに割り当てる外部セ
グメント側の IP アドレス(10.0.0.100)を
指定します。
2. 内部セグメント用にインタフェース
(eth1)を追加します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 45
SG インスタンス作成
EC2
SG インスタンスに割り当てる内部セグメ
ント側のサブネット(Int-Net : 10.0.1.0/24)
と IP アドレス(10.0.1.100)を指定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 46
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 47
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 48
EC2
SG インスタンス作成
インスタンスに適用するセキュリティ・グ
ループ(PermissiveSecGrp)を指定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 49
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 50
SG インスタンス作成
EC2
ssh でアクセスするための証明書キーを選択
します(事前作成済み)。または新規に作成す
ることもできます。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 51
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 52
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 53
SG インスタンス作成
EC2
SG インスタンスが作成されました。インス
タンスのタイプにより running 状態になるま
で時間がかかることがあります。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 54
インタフェースにタグ付け
EC2
SG インスタンスのインタフェースにタグを
付けておくと、インタフェースを参照する際
に便利です。まず、10.0.0.100 の付いたイン
タフェースを探します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 55
インタフェースにタグ付け
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 56
インタフェースにタグ付け
EC2
Name の Key に適当な名前を付けます。こ
こでは、SG Ext Interface を指定しています。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 57
インタフェースにタグ付け
EC2
SG の内部側インタフェース(10.0.1.100)も
同様の手順でタグ付けを行います。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 58
EC2
Source/Dest Check 無効化
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 59
EC2
Source/Dest Check 無効化
Security Gateway 宛(発)以外の通信も
送受信できるようにします。
ヒント：デフォルトだと、自身宛(発)以外の
通信しか送受信しません(パケットが到達し
ません)。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 60
Source/Dest Check 無効化
EC2
Source/Destination Check を無効化します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 61
内部インタフェース Source/Dest Check 無効化
EC2
内部インタフェース(SG Int Interface) におい
ても Security Gateway 宛(発)以外の通信も
送受信できるようにします。
Source/Destination Check を無効化します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 62
SG への EIP 割り当て
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 63
SG 用 EIP 取得
EC2
SG 用の EIP を取得します。SG の管理に利
用します。
EIP は VPC で使用できるように
します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 64
EC2
SG への EIP 割り当て
取得した EIP を SG に割り当てます。
EIP を割り当てる SG インスタンス (Demo
Security Gateway) と対応する IP アドレス
(10.0.0.100) を指定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 65
EC2
SG への EIP 割り当て
EIP が SG に割り当てられました。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 66
SG への EIP 割り当て(Webサーバ用)
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 67
SG への Secondary IP 割り当て(Webサーバ用)
EC2
内部の Web サーバに対応する IP アドレス
を SG に割り当てます。
ヒント：インターネットからは、
EIP→10.0.0.101→10.0.1.200 と2段階にNAT
されて Web サーバにアクセスされます。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 68
SG への Secondary IP 割り当て(Webサーバ用)
EC2
eth0 (外部) インタフェースにセカンダリ IP
アドレスを割り当てます。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 69
SG への Secondary IP 割り当て(Webサーバ用)
EC2
セカンダリ IP アドレス(10.0.0.101)を指定し
ます。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 70
SG への Secondary IP 割り当て(Webサーバ用)
EC2
ヒント：セカンダリ IP アドレスは SG 側で
は特に設定を行う必要はありません。セカン
ダリ IP 宛ての通信は IG が SG の外部イン
タフェースにルーティングしてくれます。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 71
EC2
SG Secondary IP 用 EIP 取得(Webサーバ用)
Web サーバ用のセカンダリ IP に対応する
EIP を取得します。
EIP は VPC で使用できるように
します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 72
EC2
SG Secondary IP に EIP 割り当て(Webサーバ用)
Web サーバ用 EIP を SG の Secondary IP
に割り当てます。
EIP を割り当てる SG インスタンス
(Demo Security Gateway)と対応する IP
アドレス(10.0.0.101)を指定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 73
EC2
SG Secondary IP に EIP 割り当て(Webサーバ用)
Web サーバ用 EIP が SG の Secondary IP
に割り当てられました。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 74
SG 初期設定
[Restricted] ONLY for designated groups and individuals
©2014
Check
Software
Technologies
©2014
Check
PointPoint
Software
Technologies
Ltd. Ltd
75
SG GAiA 管理者パスワード設定
GAiA
ssh で SG 用 EIP にアクセスします。証明書
を利用し「admin」ユーザでログインします。
デフォルトでは admin ユーザにパスワード
が設定されていないため、パスワードを設定
し、設定を保存します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 76
SG First Time Configuration Wizard(参考)
GAiA
ブラウザで SG の EIP に https でアクセスし
ます。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 77
SG First Time Configuration Wizard(参考)
GAiA
通常の製品と同様に First Time Configuration
Wizard が起動しますので、手順に従います。
ここではシングル構成でセットアップします。
詳細の手順は各種セットアップガイドを参照
してください。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 78
SG First Time Configuration Wizard(参考)
GAiA
eth0 にはインスタンス作成時に指定した IP
アドレス(10.0.0.100)が設定されています。
この IP アドレスを変更することはできませ
ん。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 80
GAiA
GAiA ポータル
First Time Configuration Wiuzard 終了後、
GAiA ポータルにログインします。
GAiA ポータルで AWS が認識されています。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 93
SG 内部インタフェース設定
GAiA
追加した内部インタフェース(eth1)は自動で
は設定されないため、手動で設定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 94
SG 内部インタフェース設定
GAiA
SG の内部側インタフェースを有効化し、 IP
アドレス(10.0.1.100)とサブネットマスク
(255.255.255.0)を指定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 95
SG 内部インタフェース設定
GAiA
SG の内部側インタフェースが有効化されま
した。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 96
Web サーバ設定
[Restricted] ONLY for designated groups and individuals
©2014
Check
Software
Technologies
©2014
Check
PointPoint
Software
Technologies
Ltd. Ltd
97
Web サーバ設定
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 98
Web サーバ環境
• Web サーバは VPC(Demo VPC) の内部セグメント(Int-Net)
上に構成します。
• Web サーバへのアクセスは後半手順のセキュリティ・ポリ
シー、NAT ポリシー等の設定が完了するまでアクセスする
ことはできません。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 99
Web サーバ環境 (参考)
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 100
Web サーバ環境 (参考)
EC2
Web サーバを VPC (Demo VPC) 内の内部セ
グメント(Int-Net : 10.0.1.0)に構成します。
【次ページに続く】
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 102
Web サーバ環境 (参考)
EC2
内部セグメントの IP アドレス(10.0.1.200)を
指定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 103
Web サーバ環境 (参考)
EC2
Web サーバへのアクセス制御は SG で行う
ため、SG と同様に PermissiveSecGrp を使
用します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 106
Web サーバ環境 (参考)
EC2
Web サーバ・インスタンスが作成されました。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 110
Web
Web サーバ設定(参考)
Web サーバ用 EIP に証明書認証を利用して
ログインします。
Web サーバをインストール
Web サーバの実行
Web サーバへは SG の NAT 設定、
セキュリティ・ポリシーが適用され
るまでこの手順は実行できません。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 111
内部セグメント設定
[Restricted] ONLY for designated groups and individuals
Point Software
Technologies
Ltd
©2014©2014
CheckCheck
Point Software
Technologies
Ltd. 112
内部セグメント用ルーティング設定
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 113
Web サーバ用ルートテーブル作成
VPC
Web サーバ(内部セグメント/Int-Net)で使用
するルート・テーブルを作成します。
ルート・テーブルは VPC (Demo VPC) で
使用します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 114
Web サーバ用ルートテーブル作成
VPC
作成したルート・テーブル(Web Route)に
ルーティング情報を追加します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 115
Web サーバ用ルートテーブル作成
VPC
デフォルト・ルート(0.0.0.0/0)が SG の内部
インタフェース(SG Int Interface) に向かうよ
うにします。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 116
Web サーバ用ルートテーブル作成
VPC
ルート・テーブルを使用するサブネットを指
定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 117
Web サーバ用ルートテーブル作成
VPC
ルート・テーブルを内部セグメント
(Int-Net:10.0.1.0/24)で使用します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 118
セキュリティ設定
[Restricted] ONLY for designated groups and individuals
Point Software
Technologies
Ltd
©2014©2014
CheckCheck
Point Software
Technologies
Ltd. 119
GUI
SmartDashboard で SG 用 EIP にアクセスし
ます。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 120
GW プロパティ
GUI
利用するソフトウェア・ブレードを指定しま
す。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 121
GUI
SG トポロジー設定
トポロジーを正しく設定します。
eth0 (10.0.0.100): External
eth1 (10.0.1.100): Internal (This Network)
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 122
Web サーバ・オブジェクト(外部)
GUI
Web サーバの外部側での IP アドレス
(10.0.0.101) のオブジェクトを作成します。
NAT および FireWall ルールで使用します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 123
Web サーバ・オブジェクト(内部)
GUI
Web サーバの内部側での IP アドレス
(10.0.1.200) のオブジェクトを作成します。
NAT および FireWall ルールで使用します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 124
NAT ルール
GUI
Web サーバを NAT する Manual NAT ルール
を追加します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 125
GUI
NAT ルールの説明
1. デフォルトで入っている Office Mode 用 NAT ルール(削除可)
2. デフォルトで入っている Office Mode 用 NAT ルール(削除可)
3. インターネットから Web サーバ(10.0.0.101) 宛ての通信を
10.0.1.200 宛てに変換
4. Web サーバ(10.0.1.200)からの通信を 10.0.0.101 からの通信に変換
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 126
FW ルールの例
GUI
適切なセキュリティ・ポリシーを指定します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 127
GUI
ルール説明
1. インターネットから SG への ssh 通信を許可
2. インターネットから Web サーバへの ssh/http 通信を許可
3. Web サーバからインターネットへの http/dns 通信を許可
(Web インスタンスから Web 機能のインストールに必要)
4. 上記以外はドロップ
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 128
ポリシー・インストール
[Restricted] ONLY for designated groups and individuals
GUI
©2014 Check Point Software Technologies Ltd. 129
以上で設定は完了です！！！
正しく設定できていれば内部
の Web サーバに通信を行うこ
とができるはずです。
ブラウザで Web サーバにアクセスする前に Web インスタンス上で、Web
サーバ機能のインストール、起動をしておきます。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 130
Web サーバへアクセス
Web サーバの EIP にアクセスしてみましょう。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 131
ログの例
GUI
Web サーバ(10.0.0.101)への通信が見えます。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 132
ログ詳細
GUI
ログを詳しく見ると、10.0.1.200 へ NAT されて
いることが分かります。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 133
付録１：Connect Control で Web サーバを負荷分散
[Restricted] ONLY for designated groups and individuals
Point Software
Technologies
Ltd
©2014©2014
CheckCheck
Point Software
Technologies
Ltd. 134
Connect Control による負荷分散
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
IG
仮想IP: 101
10.0.0.0/24
外部セグメント
100
SG
100
10.0.1.0/24
200
Web サーバ1
201
Web サーバ2
内部セグメント
VPC: 10.0.0.0/16
SG : Security Gateway
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 135
Web サーバ１・オブジェクト(内部)
GUI
Web サーバ１の内部側での IP アドレス
(10.0.1.200)のオブジェクトを作成します。
NAT および FireWall ルールで使用します。
これまでの手順で作成済みです。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 136
Web サーバ２・オブジェクト(内部)
GUI
Web サーバ２の内部側での IP アドレス
(10.0.1.201)のオブジェクトを作成します。
NAT および FireWall ルールで使用します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 137
Web サーバ・グループ
GUI
負荷分散対象の Web サーバ群をグループ
(Web_Group)として登録します。ロジカ
ル・サーバで利用します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 138
ロジカル・サーバ
GUI
Web サーバへの負荷分散を提供するロジカ
ル・サーバを作成します。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 139
ロジカル・サーバ
GUI
ロジカル・サーバでは、指定の IP アドレス
(10.0.0.101) 宛ての通信が、指定のサーバ群
(Web_Group)に負荷分散されます。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 140
サービス・オブジェクト
GUI
各Web サーバへアクセス用に EIP を割り当
てるのは無駄なため、NAT＋ポート変換を利
用して各 Web サーバへアクセスします。こ
こでは、ポート 10001 と 10002 を利用しま
す。
EIP:10001 → Web サーバ1:22
EIP:10002 → Web サーバ2:22
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 141
FireWall ルールの例
[Restricted] ONLY for designated groups and individuals
GUI
©2014 Check Point Software Technologies Ltd. 142
GUI
ルールの説明
1. インターネットから SG への ssh 通信を許可
2. インターネットから Web サーバへの ssh 通信を許可(NAT)
3. インターネットから Web サーバへ http 通信を許可(負荷分散)
4. 各 Web サーバからインターネットへの http/dns 通信を許可
(Web インスタンスから Web 機能のインストールに必要)
5. 上記以外はドロップ
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 143
NAT ルールの例
[Restricted] ONLY for designated groups and individuals
GUI
©2014 Check Point Software Technologies Ltd. 144
GUI
NAT ルールの説明
1.
デフォルトで入っている Office Mode 用 NAT ルール(削除可)
2.
デフォルトで入っている Office Mode 用 NAT ルール(削除可)
3.
インターネットから Web サーバ代表アドレス(10.0.0.101) 宛ての10001
ポート通信を Web サーバ１(10.0.1.200) 宛て ssh に変換
4.
インターネットから Web サーバ代表アドレス(10.0.0.101) 宛ての
10002 ポート通信を Web サーバ２(10.0.1.201) 宛て ssh に変換
5.
Web サーバ群(10.0.1.200/10.0.1.201)からの通信を 10.0.0.101 からの通
信に変換(Hide NAT)
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 145
各 Web サーバへの ssh アクセス
GUI
今回の設定では Web サーバ１へは Web
サーバ EIP の 10001 ポート、Web サーバ2
へは Web サーバ EIP の 10002 ポートを利
用して ssh アクセスします。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 146
ログの例
[Restricted] ONLY for designated groups and individuals
GUI
©2014 Check Point Software Technologies Ltd. 147
GUI
Web サーバへのアクセス
Web サーバ１とWeb サーバ２に NAT され
て通信が行われます。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 148
各 Web サーバへの ssh アクセス
GUI
Web サーバ EIP の 10001 ポートへの通信が
Web サーバ１の 22 ポートへ変換されている
ことが分かります。
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 149
Thank You
[Restricted] ONLY for designated groups and individuals
Point Software
Technologies
Ltd
©2014©2014
CheckCheck
Point Software
Technologies
Ltd. 165

Download Report