R76 スタンドアロン構成ハンズオン・トレーニング・ガイド 1台のマシンで

R76/Gaiaスタンドアロン構成
ハンズオン・コース
Last updated August 20, 2013
Ver 1.3
©2013 Check Point Software Technologies Ltd.
新しい最先端の
セキュリティ・ゲートウェイ・プラットフォーム
©2013 Check Point Software Technologies Ltd.
2
1
新しい最先端の
セキュリティ・ゲートウェイ・プラットフォーム
IPSOとSecurePlatform(SPLAT)の
最高の機能を統合
運用の効率性を向上させるとともに、
豊富な新機能を追加
最も要求の厳しい環境に安全なプラットフォーム
©2013 Check Point Software Technologies Ltd.
3
一つのセキュリティ・プラットフォーム





2200
4000
12000
21000
61000
 IP シリーズ
 Power-1
 UTM-1
 Smart-1
 オープン・サーバ
 VMware
©2013 Check Point Software Technologies Ltd.
4
2
GAiAのサポート・ブラウザ
 Microsoft Internet Explorer 8 or higher
 Google Chrome 14 or higher
 Firefox 6 or higher
 Apple Safari 5 or higher
©2013 Check Point Software Technologies Ltd.
5
アプライアンス
アプライアン
ス
FWスループット
標準メモリ
2200
3Gbps
2GB（最大2GB)
32bit
4200
3Gbps
4GB(最大4GB）
32bit
4400
5Gbps
4GB(最大4GB）
32bit
4600
9Gbps
4GB（最大4GB)
4800
11Gbps
4GB
8GB
8GB
32bit / 64bit
12200
15Gbps
4Gb
8GB
8GB
32bit / 64bit
12400
25Gbps
4GB
8GB
12GB
32bit / 64bit
12600
30Gbps
6GB
6GB
12Gb
32bit / 64bit
21400
50Gbps
12GB
12GB
24GB
32bit / 64bit
21600
75Gbps
16GB
16GB
32GB
32bit / 64bit
21700
78.6Gbps
16GB
16GB
32GB
32bit / 64bit
64bit最少メモリ
64bit最大メモリ
OS対応
備考
32bit
6GB RAM以上
が64bitに必要
です
2200 アプライアンス
12000 アプライアンス
4000 アプライアンス
[Protected] For public distribution
21000 アプライアンス
©2013 Check Point Software Technologies Ltd.
6
3
64ビットOSの同時接続数
SecurePlatform/
IPSO
32ビット
64ビット
6GB
120万
240万
8GB
120万
330万
12GB
120万
500万
24GB
120万
1,000万
[Confidential] For company users and approved third parties ©2013 Check Point Software Technologies Ltd.
7
チェック・ポイントのソリューション
CheckPoint
ThreatCloud™
IPS
DDoS
C&C Site
Anti-Bot
AV
VS
VE
AppCont
VPNソリューション
URLF
MobileSecurity
Threat Emulation
DLP
Email / Document / File
スマートフォン
&タブレット
Compliance
SmartWorkflow
DocumentSecurity
USBデバイス
Logging & Status
IA
Network Policy
Management
Bot 感染PC
SmartEvent
EndpointSecurity
©2013 Check Point Software Technologies Ltd.
8
4
SSLで暗号化された通信の検査を実現
IPS
Application
Control
URL Filtering
Anti-Bot
Antivirus
©2013 Check Point Software Technologies Ltd.
9
最新のNSS Labsテストで最高スコアで
3つの”Recommend（推奨）”評価を獲得
次世代ファイ
アウォール
98.5%
阻止率および
管理機能
2013 NGFW Group Test
IPS
99.0%
ファイアウォール
100%
総合防御
阻止率および
管理機能
Product Analysis
Report
2013 Firewall Group Test
第三者機関のテスト結果に裏付けられた信頼の多層防御
©2013 Check Point Software Technologies Ltd.
10
5
ネットワーク構成図
Internet
192.168.100.1
External:192.168.100.0/24
192.168.100.33
192.168.100.32
192.168.1.101
172.16.1.101
172.16.254.102
Internal:172.16.254.0/24
DMZ:192.168.1.0/24
GUI:172.16.1.5
Internal:172.16.1.0/24
[Restricted] ONLY for designated groups and individuals
©2013 Check Point Software Technologies Ltd.
11
構成パターン
本ドキュメントは、
こちらについて解説します！
スタンドアロン構成
Gateway
分散構成
Management
Gateway
Management
冗長構成
(Cluster-XL or VRRP)
冗長構成 (Full HA)
Management
Gateway
Management
Gateway
Management
Gateway
Gateway
©2013 Check Point Software Technologies Ltd.
12
6
三層構造アーキテクチャ
スタンドアロン構成
赤枠: 一台のアプライアンス
セキュリティ・ポリシーなど
ログやステータスなど
ゲートウェイ
Security Management サーバ
管理コンソール
SmartConsole & Webブラウザ
 Security Managementサーバではセキュリティ・ポリシーの保存やコンパイルなどが
行われます
 ゲートウェイで生成されるログは、 Security Managementサーバで保存されます
©2013 Check Point Software Technologies Ltd.
13
©2013 Check Point Software Technologies Ltd.
14
アジェンダ
1
Gaiaセットアップ
2
Software Bladeセットアップ
3
運用管理オペレーション
4
ゲートウェイの追加
7
アジェンダ
1
Gaiaセットアップ
2
Software Bladeセットアップ
3
運用管理オペレーション
4
ゲートウェイの追加
©2013 Check Point Software Technologies Ltd.
15
アプライアンス初期設定
 アプライアンスは、初期設定においてMGMTインターフェース
に192.168.1.1/24のIPアドレスが割り当てられています
 PCのIPアドレスが192.168.1.x/24 (.1以外)に設定されている
ことを確認します
 PCをMGMTインターフェースに接続します
 ブラウザを起動して以下のURLにアクセスします
– https://192.168.1.1
2200 アプライアンスの例
©2013 Check Point Software Technologies Ltd.
16
8
初期アカウント
 初期設定では、以下のアカウントが設定されています
– ユーザ名：admin, パスワード：admin
©2013 Check Point Software Technologies Ltd.
17
Gaia First Time Configuration Wizard 1
 ログイン後、Gaia First Time Configuration Wizardが表示さ
れます
 Nextボタンをクリックしてパスワードを設定します
– 今回は、例としてP@ssw0rdと入力します
©2013 Check Point Software Technologies Ltd.
18
9
Gaia First Time Configuration Wizard 2
 時刻設定を行います。アプライアンスのローカルクロックを選択
するか、NTPサーバによる時刻同期を選択します
ローカルクロック
NTPサーバ利用例
©2013 Check Point Software Technologies Ltd.
19
Gaia First Time Configuration Wizard 3
 ホスト名、ドメイン名、DNSサーバを設定します
 ホスト名は、ゲートウェイ管理の“オブジェクト名“に利用されま
すので、慎重に入力します
©2013 Check Point Software Technologies Ltd.
20
10
Gaia First Time Configuration Wizard 4
 インターフェース、デフォルトゲートウェイの設定を行います。初期設定では、
以下の値が設定されていますので、所定のアドレスに変更します
 ネットワーク構成図のアドレス体系に設定します
 アドレスを変更すると、初期のアドレスはセカンダリIPアドレスに変更されま
す
©2013 Check Point Software Technologies Ltd.
21
Gaia First Time Configuration Wizard 5
 アプライアンスの構成を決定します
 今回は、スタンドアロン構成なのでSecurity Gatewayと
Security Managementにチェックをします
 スタンドアロン構成では、Advanced設定にはチェックを入れま
せん
©2013 Check Point Software Technologies Ltd.
22
11
Gaia First Time Configuration Wizard 6
 Security Managementサーバのユーザ名、パスワードを設定
します
 今回は、例として以下を入力します
– Administrator Name: fwadmin, Password: P@ssw0rd
©2013 Check Point Software Technologies Ltd.
23
Gaia First Time Configuration Wizard 7
 アプライアンスにGUIアクセスを許可するクライアントを設定し
ます
 アドレス、ネットワーク、アドレスレンジでの設定が可能です
ネットワークの設定例
©2013 Check Point Software Technologies Ltd.
24
12
Gaia First Time Configuration Wizard 8
 ライセンスの投入を行います
 購入ライセンスがない場合、Activate laterを選択頂くと、15日
間のトライアル・ライセンスで動作します
©2013 Check Point Software Technologies Ltd.
25
Gaia First Time Configuration Wizard 9
 設定内容一覧がサマリーとして表示されます。”Finish”ボタンを
クリックすると、設定プロセスを開始するか問われますの
で、”Yes”を選択します
©2013 Check Point Software Technologies Ltd.
26
13
Gaia First Time Configuration Wizard 10
 設定プロセスが開始されます
 設定が完了すると、Successfullyメッセージが表示されますの
で、”OK”ボタンをクリックします
©2013 Check Point Software Technologies Ltd.
27
Gaia Portal 1
 クライアントのアドレスネットワーク構成図に合わせて変更しま
す
 新たに設定したIPアドレスにアクセスします
– ユーザ名: admin, パスワード: P@ssw0rd
©2013 Check Point Software Technologies Ltd.
28
14
Gaia Portal 2
 ログインするとSoftware Updatesの設定を行うかのメッセージ
が表示されます
 今回は、”No”を選択します
 Gaia Portalにて、後から設定の変更が可能です
©2013 Check Point Software Technologies Ltd.
29
Gaia Portal 3
 システムの概要が表示されます
 初期設定時のIPアドレス(192.168.1.1)が、Mgmt: 1に割り当て
られている事が分かります
©2013 Check Point Software Technologies Ltd.
30
15
Gaia Portal 4
 初期設定されていたIPアドレスを削除します
 Network Interface> Mgmt: 1を選択してDeleteボタンをクリックします。確認
メッセージが表示されますので、”OK”ボタンをクリックします
©2013 Check Point Software Technologies Ltd.
31
Gaia Portal 5
 Network Interfaces> eth1を選択してEditボタンをクリックして、”Enable”にチェッ
クを入れます(ここで事前にeth1にネットワークケーブルを接続します)
 IPv4タブでIPアドレスを設定します
– IPアドレスは予め説明した[ハンズオン・アドレス情報]に基づきます
 Ethernetタブの“Auto Negotiation”にチェックします。Comment:には、インター
フェースの利用目的などを入力すると、管理しやすくなります
©2013 Check Point Software Technologies Ltd.
32
16
Gaia Portal 6
 Network Interfaces> eth2を選択してEditボタンをクリックします
 eth2にDMZ用のインターフェースを設定します
©2013 Check Point Software Technologies Ltd.
33
Gaia Portal 7
 設定後のインターフェースの状態です(Link Statusは接続状況により異なり
ます)
 Link StatusがUpされているか確認します。接続機器によっては、Link
Speedを固定にした方が良い場合がありますので、適宜調整します
©2013 Check Point Software Technologies Ltd.
34
17
Terminalの起動
 Gaia PortalからTerminalアクセスが可能です
 show configurationコマンドで、Gaiaの設定が確認できます
©2013 Check Point Software Technologies Ltd.
35
バージョン確認
 showコマンドでSoftware Bladeバージョンが確認できます
R76-GW> show version all
Product version Check Point Gaia R76
OS build 265
OS kernel version 2.6.18-92cpx86_64
OS edition 32-bit
R76-GW>
R76-GW> show web ssl-port
web-ssl-port 443
R76-GW>
©2013 Check Point Software Technologies Ltd.
36
18
expertモード
 expertモードでは、Unixコマンドを実行できます
 expertモードのアカウントを設定します
– set expert-passwordコマンドで、パスワードを設定します
– 今回は、パスワード：P@ssw0rdを設定します
©2013 Check Point Software Technologies Ltd.
37
コンフィグレーション・ロック
 鍵表示の場合、コンフィグレーション・ロック状態です
 ロックを解除してから設定変更を行います
©2013 Check Point Software Technologies Ltd.
38
19
アジェンダ
1
Gaiaセットアップ
2
Software Bladeセットアップ
3
運用管理オペレーション
4
ゲートウェイの追加
©2013 Check Point Software Technologies Ltd.
39
SmartConsoleのインストール 1
 専用GUIのSmartConsoleをダウンロードして、管理用のクライ
アントにインストールします
©2013 Check Point Software Technologies Ltd.
40
20
SmartConsoleのインストール 2
 SmartConsoleは、MS Visual C++, MS .NET Frameworkを
要求しますので、”OK”ボタンをクリックします
©2013 Check Point Software Technologies Ltd.
41
SmartConsoleのインストール 3
 SmartConsoleのインストールを開始します
 ライセンスに同意して”Next”ボタンをクリックしてプロセスを進
めます
©2013 Check Point Software Technologies Ltd.
42
21
SmartConsoleのインストール 4
 インストールが完了したら、”Finish”ボタンをクリックして、
SmartDashboardの専用GUIツールを立ち上げます
©2013 Check Point Software Technologies Ltd.
43
SmartDashboardの接続 1
 SmartDashboardからSecurity Managementサーバに接続を行います
 Gaia First Time Configuration Wizardで設定したSecurity Management
サーバのユーザ名、パスワードを入力します
– ユーザ名：fwadmin, パスワード：P@ssw0rd
 SmartDashboardは、実際の機器がなくてもSoftware Bladeの機
能を確認できる”Demo mode”を利用できます
©2013 Check Point Software Technologies Ltd.
44
22
SmartDashboardの接続 2
 Security Managementサーバが成りすまされていないか
Fingerprintを確認します
 評価期間であることと、その残存日数が表示されますの
で、”OK”ボタンをクリックします
©2013 Check Point Software Technologies Ltd.
45
SmartDashboardの接続 3
 各Software Bladeの設定画面がタブで分かれています
Software Bladeタブ
オブジェクト
Security Managementサーバで
管理しているゲートウェイ
©2013 Check Point Software Technologies Ltd.
46
23
ゲートウェイ・オブジェクトの編集 1
 オブジェクトでgw-1を選択してダブルクリックします
 購入したSoftware Bladeに応じたものを選択します
 トライアル・ライセンスでは、各種Software Bladeを確認できます
©2013 Check Point Software Technologies Ltd.
47
ゲートウェイ・オブジェクトの編集 2
 スタンドアロン構成は、Security ManagementのBladeも選択
できます
©2013 Check Point Software Technologies Ltd.
48
24
ゲートウェイ・オブジェクトの編集 3
 Topology> Get> Interfaces with Topologyを選択します
 Anti-Spoofingが設定されているメッセージが表示されますので、”OK”ボタ
ンをクリックします
©2013 Check Point Software Technologies Ltd.
49
ゲートウェイ・オブジェクトの編集 4
 インターフェースのTopology情報を収集した結果が出力されますの
で、”Accept”ボタンをクリックします
 インターフェースを選択して、”Edit”ボタンをクリックします
©2013 Check Point Software Technologies Ltd.
50
25
ゲートウェイ・オブジェクトの編集 5
 MgmtインターフェースのTopologyをInternalに設定します
 Network defined by the interface IP and Net Maskを選択すると、
172.16.1.0/24がInternalインターフェースに入るソースIPアドレスと認識さ
れます
©2013 Check Point Software Technologies Ltd.
51
ゲートウェイ・オブジェクトの編集 6
 eth2インターフェースのTopologyをInternalに設定します
 Interface leads to DMZにチェックを入れます。この設定は、コンテンツ検査
を行うBladeでInternal, DMZを判別して審査するのに用いられます
©2013 Check Point Software Technologies Ltd.
52
26
ゲートウェイ・オブジェクトの編集 7
 eth1インターフェースのTopologyをExternalに設定します
©2013 Check Point Software Technologies Ltd.
53
ネットワーク・オブジェクトの追加 1
 Network Objects> Networkを選択して右クリックしてNetwork
を選択します
 内部ネットワークの172.16.1.0を設定します
©2013 Check Point Software Technologies Ltd.
54
27
ネットワーク・オブジェクトの追加 2
 NATタブを選択して、Add Automatic Address Translation rulesにチェック
を入れます
 Translation method:は、Hideを選択します
– Hideを選択すると、ゲートウェイのIPアドレスに変換されます
©2013 Check Point Software Technologies Ltd.
55
NATルールの確認
 NATを選択すると、ネットワーク・オブジェクトに追加した、
IntranetがNATルールに反映されていることが分かります
©2013 Check Point Software Technologies Ltd.
56
28
初期設定のオブジェクト
 Networksには、初期設定でCP_default_Office_Mode_addresses_poolと
いうオブジェクトが用意されています
 これは、VPNクライアント接続に利用されます
 NATタブで、Add Automatic Address Translation ruleのチェックを外しま
す
©2013 Check Point Software Technologies Ltd.
57
NATルールの確認
 NATルールから、
CP_default_Office_Mode_addresses_poolのオブジェクトが
含まれたルールが削除されたのが分かります
 CP_default_Office_Mode_addresses_poolのオブジェクトは、
影響がなければ特に変更を加える必要はありません
©2013 Check Point Software Technologies Ltd.
58
29
ホスト・オブジェクトの追加 1
 Network Objects> Nodes> Node> Hostを選択してクリックし
ます
 DNSサーバをホスト・オブジェクトに設定して、”OK”ボタンをク
リックします
©2013 Check Point Software Technologies Ltd.
59
ホスト・オブジェクトの追加 2
 同様に管理クライアントをホスト・オブジェクトに追加します
 NATを選択して、Add Automatic Address Translation rulesにチェックを入れます
– Hide behind IP Gatewayにチェックをいれると、ゲートウェイのIPアドレスに変換
されます
– 公開Webサーバなどの場合、Hide Behind IP Addressを選択して、公開IPアドレス
を設定します
©2013 Check Point Software Technologies Ltd.
60
30
FWルールの作成 1
 Policy> Add Rule at the Topを選択するとルールが1行追加されます
 追加されたルールのDestination欄で”+”を選択して、gw-1を選びます
 Sourceには、Admin_PCを選択します
©2013 Check Point Software Technologies Ltd.
61
FWルールの作成 2
 Action欄を右クリックして、acceptを選択します
 Track欄を右クリックして、logを選択します
©2013 Check Point Software Technologies Ltd.
62
31
FWルールの作成 3
 Name, Source, Destination, Service, Actionそれぞれの項目を右クリック
して設定を行い、以下のルールを完成します
 ルールの最下行には、全てのトラフィックを破棄するクリーンアップ・ルール
を入れる必要があります。実環境では、logが大量になってしまうので、
TrackはNoneにするのが一般的です
©2013 Check Point Software Technologies Ltd.
63
Trackカラム
 Trackカラムの選択肢は、 Launch Menu> Policy> Global
Properties> log and Alert> Alertsの項目と対応しています
©2013 Check Point Software Technologies Ltd.
64
32
暗黙のルール 1
 Launch Menu> View> Implied Rulesを選択すると、暗黙のルールが確認
できます。これは、SmartDashboardクライアント、Security Management
サーバ、ゲートウェイを管理する上で必要なルールが予め設定されていま
す
 もう一度選択すると、元の表示に戻ります
©2013 Check Point Software Technologies Ltd.
65
暗黙のルール 2
 Policy> Global Properties> FireWallで暗黙のルールを制御す
ることができます
 誤った設定を行うと、管理に影響が出ますので、注意してください
©2013 Check Point Software Technologies Ltd.
66
33
ルールの解説
 ルール１：Admin_PCからgw-1に対してアクセスを許可
 ルール２：IntranetからDNS_Serverにdns, domain-udp通信を
許可
 ルール３： IntranetからAnyにhttp, https, icmp通信を許可
 ルール４：クリーンアップ・ルールで全ての通信を破棄
©2013 Check Point Software Technologies Ltd.
67
ポリシーのインストール 1
 Install Policyをクリックしてgw-1にポリシーをインストールしま
す
 ゲートウェイが複数ある場合、チェックの有無でポリシーをイン
ストールするゲートウェイを選択できます
©2013 Check Point Software Technologies Ltd.
68
34
ポリシーのインストール 2
 ポリシーインストールのプロセスは、ポリシーの不一致を検証
するVerifying機能が含まれます
 Successfulメッセージが確認できたら正常にポリシーはインス
トールされました。Error, Warningが発生した場合は、内容を
確認して手当てします
©2013 Check Point Software Technologies Ltd.
69
SmartView Trackerの起動
 SmartConsole> SmartView Trackerを選択します
 SmartView Trackerは、各種Bladeで検出したログ、監査ログ
などをリアルタイムで確認できます
©2013 Check Point Software Technologies Ltd.
70
35
SmartView Trackerのログ 1
 特定のレコードをダブルクリックすると、詳細を確認できます
 Previousで前のレコード、Nextで次のレコードに移動します
 Copyをクリックするとメモ帳などにテキストでコピーできます
©2013 Check Point Software Technologies Ltd.
71
SmartView Trackerのログ 2
 Managementタブでは、管理系のログを確認できます
©2013 Check Point Software Technologies Ltd.
72
36
アプリケーション・コントロール 1
 オブジェクトでgw-1を選択してダブルクリックします
 General PropertiesのApplication Controlにチェックを入れます
©2013 Check Point Software Technologies Ltd.
73
アプリケーション・コントロール 2
 User Checkの”Edit”ボタンをクリックします
 Through all interfacesにチェックを入れて”OK”ボタンをクリックします
– 本設定は、ゲートウェイの構成によって異なりますので、詳細はマニュア
ルをご確認ください
©2013 Check Point Software Technologies Ltd.
74
37
アプリケーション・コントロール 3
 Application & URL Filteringタブを選択して、Policyが1行ある
ことを確認します
 Install Policyを選択して、ポリシーのインストールを行います
©2013 Check Point Software Technologies Ltd.
75
アプリケーション・コントロール 4
 AppWikiを選択して、Refreshをクリックします
 SmartDashboardがAppWikiと通信できると、AppWikiに登録
されているアプリケーションが表示されます
– http://appwiki.checkpoint.com/appwikisdb/public.htmでも確認できます
©2013 Check Point Software Technologies Ltd.
76
38
アプリケーション・コントロール 5
 Policyを選択し、既存のポリシーを選択して、右クリックします
 New Rule> Aboveを選択してポリシーを追加します
©2013 Check Point Software Technologies Ltd.
77
アプリケーション・コントロール 6
 追加しポリシーのApplication/Sitesで、”Dropbox”を選択します
 Actionカラムで右クリックして、Ask> Company Policyを選択し
ます
©2013 Check Point Software Technologies Ltd.
78
39
アプリケーション・コントロール 7
 ActionでAskを選択した際のUserCheck機能でリダイレクトされる
メッセージは、日本語を選択します
– Company Policy> Edit User Checkでメッセージが確認できます
– “Preview in browser”ボタンをクリックすると、リダイレクトさ
れるページを確認できます
 LanguagesをJapaneseに変更します
©2013 Check Point Software Technologies Ltd.
79
アプリケーション・コントロール 8
 同様の手順で以下を完成させます
 ActionカラムでBlockを選択した場合のメッセージをBlocked Messageをダ
ブルクリックすると日本語メッセージを設定できます
 ポリシーが完成したら、ポリシーのインストールを行います
 Dropbox, YouTubeにアクセスを試みて、動作を確認します
©2013 Check Point Software Technologies Ltd.
80
40
UserCheckメッセージ
Ask時のメッセージ
ブロック時のメッセージ
©2013 Check Point Software Technologies Ltd.
81
SmartView Monitorの起動
 SmartConsole> SmartView Monitorを選択します
 SmartView Monitorは、システムステータスを確認できます
©2013 Check Point Software Technologies Ltd.
82
41
Threshold Configuration 1
 ここでは、CPU使用率が一定の閾値を超えたらAlertを出すよう
に変更してみます
©2013 Check Point Software Technologies Ltd.
83
Threshold Configuration 2
 CPU Usageにチェックを入れ、Valueを5%に変更します
 System Alert Daemonが動作していないメッセージが表示され
ますので”OK”ボタンをクリックします
©2013 Check Point Software Technologies Ltd.
84
42
System Alert Daemonの起動
 Launch Menu> Tools> Start System Alert Daemonをクリックするとス
タートします
 Launch Menu> Tools> Alertsでアラートを確認できます
 軽い負荷をかけて(例：CLIでtcpdump -i Mgmt –nを実行してパケットを画面
に出す) アラートを確認します
©2013 Check Point Software Technologies Ltd.
85
©2013 Check Point Software Technologies Ltd.
86
アジェンダ
1
Gaiaセットアップ
2
Software Bladeセットアップ
3
運用管理オペレーション
4
ゲートウェイの追加
43
ログ管理 1
 ログはゲートウェイで生成されて、Security Managementサーバにネット
ワーク経由で転送され、 Security ManagementサーバのHDD上の
$FWDIR/log/fw.logに累積的に追加されます
 ログはfw.logのみではなく、ポインタ・ファイルも構成されます
 ログはlog switch(ログ切り換え)という作業を行うことにより、それまでのロ
グを別ファイルに保存できます。 Log switchではポインタ・ファイルも別ファ
イル名で保存されます
 後に再度ログを閲覧する場合、Security Managementサーバ上の
$FWDIR/logディレクトリに戻して確認します
 Log switchは手動で行う方法と自動で行う方法があります
– 手動では、SmartView TrackerのLaunch Menu> File> Switch Active File、
もしくはCLIからfw logswitchコマンドで実行できます
– 自動では、定時に行う、ログファイルのサイズが指定した大きさ
を超えたら行うなどの設定が可能です
©2013 Check Point Software Technologies Ltd.
87
ログ管理 2
 $FWDIR/logディレクトリのログファイルの例です
©2013 Check Point Software Technologies Ltd.
88
44
ログ管理 3
 オブジェクトのLogs> Local Log Storageで、自動でLog switchする設定が
可能です
 初期設定で、幾つかのtimeオブジェクトが用意されています
©2013 Check Point Software Technologies Ltd.
89
Timeオブジェクト
 Launch Menu> Manage> Timeをクリックします
 Midnightを確認してみます。23:59が指定されている事が確認
できます
©2013 Check Point Software Technologies Ltd.
90
45
SNMP設定 1
 View modeをAdvancedに変更するとツリーにSNMP項目が表
示されます
©2013 Check Point Software Technologies Ltd.
91
SNMP設定 2
 Enable SNMP Agentにチェックを入れ、必要に応じてTrapで通知する項目
を選択します
©2013 Check Point Software Technologies Ltd.
92
46
SNMP設定 3
 MIBファイルは、以下が用意されています
– $CPDIR/lib/snmp
– chkpnt.mib, chkpnt-trap.mib
TWSNMPの例
©2013 Check Point Software Technologies Ltd.
93
バックアップ・リストア 1
 バックアップは、手動で行う方法とスケジュール化による自動の方法があり
ます
– バックアップは、Gaia OSとSoftware Bladeの設定です
– $FWDIR/log/配下は含まれません
 バックアップファイルは、/var/CPbackup/backupに保存されます
 リストアは、バックアップしたバージョン、Build、HF、HFAなど全て合わせて
実行する必要があります
©2013 Check Point Software Technologies Ltd.
94
47
バックアップ・リストア 2
 バックアップ・リストアは、CLIからも実行できます
 バックアップコマンド： add backup
 リストアコマンド：set backup restore
 リストア後は、rebootコマンドで再起動を実行します
Localにバックアップの例
show backup statusコマンドの例
©2013 Check Point Software Technologies Ltd.
95
Image Management
 Image Managementは、Snapshotによるシステムイメージのバックアップで
す。/bootにディレクトリが作成され、その中にファイルが生成されます
– システム全体をイメージとして保存します
– イメージの容量は数GBに達しますので、処理が完了するまで数十分要す
る場合があります
– イメージは、export, importが可能です
 Image Managementには、ログファイルは含まれません
Revertで復元できます
©2013 Check Point Software Technologies Ltd.
96
48
初期化 1
 CLIでrebootを行います
 “Press any key to see the boot menu”が表示されている間に、
Enterキーを入力します
©2013 Check Point Software Technologies Ltd.
97
初期化 2
 Reset to factory defaults – Gaia R76を選択します。確認を求められます
ので、yesを入力します
 プロセスが終了して、loginプロンプトが表示されたら、初期のアカウントでロ
グインします
– login: admin, Passworsd: admin
©2013 Check Point Software Technologies Ltd.
98
49
初期化 3
 電源offする場合、Haltコマンドを入力します
 Power downが表示されたら、電源offします
©2013 Check Point Software Technologies Ltd.
99
©2013 Check Point Software Technologies Ltd.
100
アジェンダ
1
Gaiaセットアップ
2
Software Bladeセットアップ
3
運用管理オペレーション
4
ゲートウェイの追加
50
Gaia Portal 1
 Gaia Portalで追加ゲートウェイの設定を行います
©2013 Check Point Software Technologies Ltd.
101
Gaia Portal 2
 追加ゲートウェイは、ゲートウェイのみを構成しますので、
Security Managementのチェックを外します
©2013 Check Point Software Technologies Ltd.
102
51
Gaia Portal 3
 SICパスワードは、Security Managementとのワンタイム・パス
ワードで利用されます
 インターフェースを以下のように設定します
©2013 Check Point Software Technologies Ltd.
103
オブジェクトの追加 1
 SmartDashboardのCheck Point> Security
Gateway/Managementをクリックします
 モードは、Classic Modeを選択してクリックします
©2013 Check Point Software Technologies Ltd.
104
52
オブジェクトの追加 2
 Communicationボタンをクリックして、 Gaia First Time Configuration
Wizardで設定したSICパスワードを入力します
 Initializeボタンをクリックして、”Trust Establish”が表示される事を確認しま
す
©2013 Check Point Software Technologies Ltd.
105
オブジェクトの追加 3
 インターフェースのトポロジー設定を行います
 ネットワーク・オブジェクトでIntranet2を追加して、Translation
method:は、Hideを選択します
©2013 Check Point Software Technologies Ltd.
106
53
ルールの追加・編集
 ルールを選択して、右クリックするとAdd Ruleを選択できます。
Above（上に追加）、Below（下に追加）を選択してルールを完
成させます
 Install Onで該当のゲートウェイを選択します
©2013 Check Point Software Technologies Ltd.
107
ポリシーのインストール
 ポリシーのインストールを実行して、Successfullyが表示される
のを確認します
©2013 Check Point Software Technologies Ltd.
108
54
お知らせ！
©2013 Check Point Software Technologies Ltd.
|
[Protected] All rights reserved - |
109
事前に機能を確認できる安心感
3D Security分析レポート・ツール
お客様環境のセキュリティ脅威を可視化
必要な防御機能とセキュリティ対策が明確になります
©2013 Check Point Software Technologies Ltd.
110
55
Software Blades Training
Software Blades Training
Get Trained. Get Certified.
Stay Top of Today’s Security
最新脅威に対応するSoftware Bladesにフォーカスした
特別トレーニング
今日の脅威に対応するための効果ある7つのSoftware Bladeについて、R75.45をベースに2
日間の短期集中で行われる効率的なトレーニング・コースです。Web 2.0の課題、重要なデータ
の流出保護、継続した侵入防止を実現する機能の有効化と自動的な防御およびチェック・ポイ
ントのThreatCloudによる最新防御情報を活用した複数の脅威防止機能について詳細な解説
と豊富な実習にて学習いただけます。
トレーニング費用: 22,000円*
*トレーニング費用について: 取扱い代理店の手数料が必要な場合があります。クレジット決済の場合は、US$200となります。
©2013 Check Point Software Technologies Ltd.
111
Check Pointのトレーニングと認定資格
セキュリティの第一人者として活躍しませんか!!
ITセキュリティで最高レベルと評価される
チェック・ポイントの認定資格
最新の情報セキュリティ
技術を迅速に取得
迅速な資格
アップグレード
多様なトレーニング・
メニュー
セキュリティの
第一人者
http://www.checkpoint.com/services/education/outrank.html
今まさに情報セキュリティの専門家が必要とされています。
常時、業界各誌で確かなスキルとして評価されるチェック・
ポイントの認定資格を是非取得してください
Certified Security Administrator
導入、ポリシーの設定など日常的なセキュリ
ティ管理を担当するIT管理者向け
多様なトレーニン
グ・メニュー
詳細とお問い合わせ
日本語トレーニングと資格について:
http://www.checkpoint.co.jp/services/education/index.html
豊富なトレーニング・メニュー(英語):
http://www.checkpoint.com/services/education/index.html
Pearson VUE チェック・ポイント試験:
http://www.vue.com/japan/IT/checkp_index.html
その他お問い合わせ:
TEL: 03(5367)2500
E-mail: [email protected]
Certified Security Expert
セキュリティおよびパフォーマンスを最大化
する高度な機能、デバックをなどを含む上級
管理者向け
Certified Security Master Architect
幅広いセキュリティ・ソリューションにわたり
設計、導入、トラブルシューティングを実行す
る最高レベルの管理者向け
Certified Endpoint Expert
包括的なエンドポイント・ソリューションの運
用者向け
©2013 Check Point Software Technologies Ltd.
112
56
ありがとうございました！
©2013 Check Point Software Technologies Ltd.
57

Download Report