R76 Full HA セットアップガイド · –Secondary Member IPv4 Address: 192.168.1.9...
Transcript of R76 Full HA セットアップガイド · –Secondary Member IPv4 Address: 192.168.1.9...
©2013 Check Point Software Technologies Ltd.
R76 Full HA セットアップガイド
Updated May 10, 2013
Ver 1.1
2 ©2013 Check Point Software Technologies Ltd.
ネットワーク構成図
External:192.168.100.0/24
192.168.100.1
DMZ:192.168.254.0/24
Internal:192.168.1.0/24
VIP:192.168.100.10
VIP:192.168.1.10
VIP:192.168.254.100
Gateway-1
eth1: 192.168.100.8
eth2: 192.168.254.101
Eth5: 10.1.1.1
Mgmt: 192.168.1.8
SYNC:10.1.1.0/24
MGMT:192.168.1.5
Gateway-2
eth1: 192.168.100.9
eth2: 192.168.254.102
Eth5: 10.1.1.2
Mgmt: 192.168.1.9
3 ©2013 Check Point Software Technologies Ltd.
構成パターン
Management Gateway
Management Gateway Management Gateway
Management Gateway
Management
Gateway Gateway
スタンドアロン構成 分散構成
冗長構成 (Full HA) 冗長構成
(ClusterXL or VRRP)
本ドキュメントは、
こちらについて解説します!
4 ©2013 Check Point Software Technologies Ltd.
三層構造アーキテクチャ 冗長構成 (Full HA)
管理コンソール
SmartConsole & Webブラウザ
ゲートウェイ
赤枠: 一台のアプライアンス
Security Management
サーバ
Security Managementサーバではセキュリティ・ポリシーの保存やコンパイルなどが行われる
ゲートウェイで生成されるログは、 Security Managementサーバで保存されます
セキュリティ・ポリシーなど
ログやステータスなど ゲートウェイ
Security Management
サーバ
5 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Gaiaセットアップ
Software Bladeセットアップ 2
Management HA 3
運用管理オペレーション 4
6 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Gaiaセットアップ
Software Bladeセットアップ 2
Management HA 3
運用管理オペレーション 4
7 ©2013 Check Point Software Technologies Ltd.
2200 アプライアンスの例
アプライアンス初期設定
アプライアンスは、初期設定においてMGMTインターフェースに192.168.1.1/24のIPアドレスが割り当てられています
PCをMGMTインターフェースに接続します
ブラウザを起動して以下のURLにアクセスします
– https://192.168.1.1
8 ©2013 Check Point Software Technologies Ltd.
初期アカウント
初期設定では、以下のアカウントが設定されています
–ユーザ名:admin, パスワード:admin
9 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 1
ログイン後、Gaia First Time Configuration Wizardが表示されます
Nextボタンをクリックしてパスワードを設定します
–今回は、例としてP@ssw0rdと入力します
10 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 2
時刻設定を行います。アプライアンスのローカルクロックを選択するか、NTPサーバによる時刻同期を選択します
Full HA構成では、2台のゲートウェイが同じ時間になるように、NTPサーバを利用します
ローカルクロック NTPサーバ利用例
11 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 3
ホスト名、ドメイン名、DNSサーバを設定します
ホスト名は、ゲートウェイ管理の“オブジェクト名“に利用されますので、慎重に入力します
Gateway-1 Gateway-2
12 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 4
インターフェース、デフォルトゲートウェイの設定を行います。初期設定では、以下の値が設定されていますので、所定のアドレスに変更します
ネットワーク構成図のアドレス体系に設定します
アドレスを変更すると、初期のアドレスはセカンダリIPアドレスに変更されます
Gateway-1の例
13 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 6
アプライアンスの構成を決定します。今回は、Full HA構成なのでSecurity
GatewayとSecurity Managementにチェックをします
“Unit is a part of a cluster, type”にチェックを入れてClusterXLを選択します
Security Managementサーバのプライマリ機はPrimaryを選択、セカンダリ機は、Secondaryを選択します
Gateway-1 Gateway-2
14 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 7
Security Managementサーバのユーザ名、パスワードを設定します
今回は、例として以下を入力します
– Administrator Name: fwadmin, Password: P@ssw0rd
セカンダリ機の場合、SIC(Secure Internal Communication)キーを入力します。ここでは、P@ssw0rdと入力します
Gateway-1 Gateway-2
15 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 8
Security ManagementサーバにGUIアクセスを許可するクライアントを設定します
アドレス、ネットワーク、アドレスレンジでの設定が可能です
セカンダリ機では、この項目は表示されません
ネットワークの設定例
16 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 9
ライセンスの投入を行います
購入ライセンスがない場合、Activate laterを選択頂くと、15日間のトライアル・ライセンスで動作します
17 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 10
設定内容一覧がサマリーとして表示されます。”Finish”ボタンをクリックすると、設定プロセス開始するか問われますので、”Yes”を選択します
Gateway-1の例
18 ©2013 Check Point Software Technologies Ltd.
Gaia First Time Configuration Wizard 11
設定プロセスが開始されます
設定が完了すると、Successfullyメッセージが表示されますので、”OK”ボタンをクリックします
19 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 1
新たに設定したIPアドレスにアクセスします
–ユーザ名: admin, パスワード: P@ssw0rd
Gateway-1の例
20 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 2
ログインするとSoftware Updatesの設定を行うかのメッセージが表示されます
今回は、”No”を選択します
Gaia Portalにて、後から設定の変更が可能です
21 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 3
システムの概要が表示されます
初期設定時のIPアドレス(192.168.1.1)が、Mgmt: 1に割り当てられている事が分かります
22 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 4
初期設定されていたIPアドレスを削除します
Network Interface> Mgmt: 1を選択してDeleteボタンをクリックします。確認メッセージが表示されますので、”OK”ボタンをクリックします
Gateway-1の例
23 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 5
Network Interfaces> eth1を選択して”Edit”ボタンをクリックします
IPv4タブでIPアドレスを設定します
Ethernetタブで”Enabled”, “Auto Negotiation”にチェックします。Comment:
には、インターフェースの利用目的などを入力すると、管理しやすくなります
24 ©2013 Check Point Software Technologies Ltd.
Gaia Portal 6
eth1と同様の手順でeth2, eth5を設定します
Link StatusがUpされているか確認します。接続機器によっては、Link
Speedを固定にした方が良い場合がありますので、適宜調整します
Gateway-1
Gateway-2
25 ©2013 Check Point Software Technologies Ltd.
Terminalの起動
Gaia PortalからTerminalアクセスが可能です
show configurationコマンドで、Gaiaの設定が確認できます
26 ©2013 Check Point Software Technologies Ltd.
バージョン確認
showコマンドでSoftware Bladeバージョンが確認できます
R76-GW> show version all
Product version Check Point Gaia R76
OS build 265
OS kernel version 2.6.18-92cpx86_64
OS edition 32-bit
R76-GW>
R76-GW> show web ssl-port
web-ssl-port 443
R76-GW>
27 ©2013 Check Point Software Technologies Ltd.
cpconfig
Terminal、もしくはsshでゲートウェイにアクセスして、cpconfig
コマンドを実行します
Gaia First Time Configuration Wizard で設定したSecurity
ManagementサーバのアカウントやGUIアクセスを許容するクライアントなどの再設定などが可能です
28 ©2013 Check Point Software Technologies Ltd.
expertモード
expertモードでは、Unixコマンドを実行できます
expertモードのアカウントを設定します
– set expert-passwordコマンドで、パスワードを設定します
–今回は、パスワード:P@ssw0rdを設定します
29 ©2013 Check Point Software Technologies Ltd.
コンフィグレーション・ロック
鍵表示の場合、コンフィグレーション・ロック状態です
ロックを解除してから設定変更を行います
CLIでロックの権限を奪うには以下のコマンドを入力します
– lock database override
30 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Gaiaセットアップ
Software Bladeセットアップ 2
運用管理オペレーション 3
Management HA 4
31 ©2013 Check Point Software Technologies Ltd.
SmartConsoleのインストール 1
専用GUIのSmartConsoleをダウンロードして、管理用のクライアントにインストールします
32 ©2013 Check Point Software Technologies Ltd.
SmartConsoleのインストール 2
SmartConsoleは、MS Visual C++, MS .NET Frameworkを要求しますので、”OK”ボタンをクリックします
33 ©2013 Check Point Software Technologies Ltd.
SmartConsoleのインストール 3
SmartConsoleのインストールを開始します
ライセンスにどうして”Next”ボタンをクリックしてプロセスを進めます
34 ©2013 Check Point Software Technologies Ltd.
SmartConsoleのインストール 4
インストールが完了したら、”Finish”ボタンをクリックして、SmartDashboardの専用GUIツールを立ち上げます
35 ©2013 Check Point Software Technologies Ltd.
SmartDashboardの接続 1
SmartDashboardからSecurity Managementサーバに接続を行います
Gaia First Time Configuration Wizardで設定したSecurity Management
サーバのユーザ名、パスワードを入力します
– ユーザ名:fwadmin, パスワード:P@ssw0rd
SmartDashboardは、実際の機器がなくてもSoftware Bladeの機能を確認できる”Demo mode”を利用できます
36 ©2013 Check Point Software Technologies Ltd.
SmartDashboardの接続 2
Security Managementサーバが成りすまされていないかFingerprintを確認します
評価期間であることと、その残存日数が表示されますので、”OK”ボタンをクリックします
37 ©2013 Check Point Software Technologies Ltd.
SmartDashboardの接続 3
ClusterのWizardが表示されます
Cluster Name:にClusterオブジェクトの任意名を入力します。今回は、”GW-Cluster1”と入力します
38 ©2013 Check Point Software Technologies Ltd.
SmartDashboardの接続 4
セカンダリメンバーの入力を行います
– Secondary Member Name: Gateway-2
– Secondary Member IPv4 Address: 192.168.1.9
– Activation Key: P@ssw0rd
プライマリ機とセカンダリ機の間でSICが確立するとインターフェース情報が取得されて表示されます
39 ©2013 Check Point Software Technologies Ltd.
SmartDashboardの接続 5
仮想IPアドレスを入力します
– 192.168.1.10
同期インターフェースには、”Cluster Sync Interface”にチェックを入れます
40 ©2013 Check Point Software Technologies Ltd.
SmartDashboardの接続 6
DMZインターフェース、外部インターフェースの仮想IPアドレスを入力します
41 ©2013 Check Point Software Technologies Ltd.
SmartDashboardの接続 7
WizardによるClusterオブジェクトの設定が完了します
引き続き、オブジェクトの設定を行う場合は、”Edit Cluster in
Advanced mode”にチェックを入れます
42 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 1
オブジェクトでGW-Cluster1を選択してダブルクリックします
Hardware:でアプライアンスを選択し、購入したSoftware Bladeに応じたものを選択します。今回は、Firewall, ClusterXLにチェックを入れます
トライアル・ライセンスでは、各種Software Bladeを確認できます
43 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 2
Full HA構成は、Security ManagementのBladeも選択できます
44 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 3
Cluster MembersのGateway Cluster membersでメンバのIPアドレスを確認します
リストの最上部のメンバが最高位のプライオリティで扱われます。順位を変えるには、”Increase Priority”, “Decrease Priority”を選択して入れ替えます
VPN Bladeの利用時は、”Edit”ボタンをクリックして、メンバのIPアドレスを外部ネットワークIPアドレスに変更します
45 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 4
cluster modeのHigh AvailavilityはClusterXLを選択している事を確認します
Use State Synchronizationにチェックが入っている事を確認します
Upon Cluster Member recoveryで、フェイルオーバー後の動作を決定します
– Maintain current active Cluster Member
– 現在のステータスを維持します
– Switch to higher priority Cluster Member
– プライオリティの高いゲートウェイにフェールバックします
46 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 5
インターフェースのTopologyを設定します
“Edit”ボタンをクリックします
47 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 6
GW-Cluster1のeth1のトポロジーを確認します
– eth1は、Externalにチェックします
48 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 7
eth2のトポロジーを確認します
– eth2は、Internalにチェックします
eth2には、”Interface leads to DMZ”にチェックを入れます。この設定は、コンテンツ検査を行うBladeでInternal, DMZを判別して審査するのに用いられます
49 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集 8
Mgmt, eth5のトポロジーを確認します
– Mgmtは、Internalにチェックします
– eth5は、Internalにチェックします
50 ©2013 Check Point Software Technologies Ltd.
ネットワーク・オブジェクトの追加 1
クラスタメンバは、IGMPパケットを交換します
Network Address:に224.0.0.0/4のネットワークを入力します
51 ©2013 Check Point Software Technologies Ltd.
ネットワーク・オブジェクトの追加 2
内部のネットワークを入力します
NATを選択して、Add Automatic Address Translation rulesにチェックを入れます
– Hide behind IP Gatewayにチェックをいれると、ゲートウェイのIPアドレスに変換されます
52 ©2013 Check Point Software Technologies Ltd.
ホスト・オブジェクトの追加
Network Objects> Nodes> Node> Hostを選択してクリックします
DNSサーバをホスト・オブジェクトに設定して、”OK”ボタンをクリックします
53 ©2013 Check Point Software Technologies Ltd.
FWルールの作成 1
Policy> Add Rule at the Topを選択するとルールが1行追加されます
追加されたルールのDestination欄で”+”を選択します
DNSで検索をして、ホスト・オブジェクトで設定したDNS_Serverを選択します
54 ©2013 Check Point Software Technologies Ltd.
FWルールの作成 2
Action欄を右クリックして、acceptを選択します
Track欄を右クリックして、logを選択します
55 ©2013 Check Point Software Technologies Ltd.
FWルールの作成 3
Name欄、Source欄、Destination欄、Service欄を右クリックして設定を行います
以下のルールを完成します
ルールの最下行には、全てのトラフィックを破棄するクリーンアップ。ルールを入れる必要があります。実環境では、logが大量になってしまうので、TrackはNoneにするのが一般的です
56 ©2013 Check Point Software Technologies Ltd.
Trackカラム
Trackカラムの選択肢は、 Launch Menu> Policy> Global
Properties> log and Alert> Alertsの項目と対応しています
57 ©2013 Check Point Software Technologies Ltd.
暗黙のルール 1
Launch Menu> View> Implied Rulesを選択すると、暗黙のルールが確認できます。これは、SmartDashboardクライアント、Security Management
サーバ、ゲートウェイを管理する上で必要なルールが予め設定されています
もう一度選択すると、元の表示に戻ります
58 ©2013 Check Point Software Technologies Ltd.
暗黙のルール 2
Policy> Global Properties> FireWallで暗黙のルールを制御することができます
誤った設定を行うと、管理に影響が出ますので、注意してください
59 ©2013 Check Point Software Technologies Ltd.
ルールの解説
ルール1:全てのソースがDNSに通信を許可
ルール2:GW-Cluster1からIGMP_Networkにigmp通信を許可
ルール3:Clusterメンバ間の通信を許可(管理用)
ルール4:内部からGW-Cluster1に通信を許可(実際は管理PCのみにするなど手当が必要)
ルール5:内部から外部に特定のサービスにみ許可
ルール4:クリーンアップ・ルールで全ての通信を破棄
*今回はDMZを意識していませんが、必要に応じてオブジェクトとルールが必要です
60 ©2013 Check Point Software Technologies Ltd.
ポリシーのインストール 1
Install PolicyをクリックしてGW-Cluster1にポリシーをインストールします
ゲートウェイが複数ある場合、チェックの有無でポリシーをインストールするゲートウェイを選択できます
61 ©2013 Check Point Software Technologies Ltd.
ポリシーのインストール 2
ポリシーインストールのプロセスは、ポリシーの不一致を検証するVerifying機能が含まれます
Successfulメッセージが確認できたらポリシーは正常にインストールされました。Error, Warningが発生した場合は、内容を確認して手当てします
62 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Gaiaセットアップ
Software Bladeセットアップ 2
Management HA 3
運用管理オペレーション 4
63 ©2013 Check Point Software Technologies Ltd.
Management HA 1
Management HAは、管理サーバの冗長機能を提供します
–オブジェクト、ルールの管理データベースを同期
– IPSシグネチャを同期
–ゲートウェイのログは同期されません
Management HAの同期タイミング
–ポリシーインストール
–手動による任意のタイミング
Management HAの同期通信は、クラスタメンバの代表IPアドレスで行われます
設定変更は、Activeモードの管理サーバでのみ行えます
64 ©2013 Check Point Software Technologies Ltd.
Management HA 2
Management HAのログ転送動作は、Gateway Clusterオブジェクトの”Logs”で設定できます
デフォルトでは、ログはプライマリ機に保存され、セカンダリ機にも転送されます
“Save logs locally on each cluster member”のチェックを外すと、プライマリ機のみに保存されます
65 ©2013 Check Point Software Technologies Ltd.
Management HA 3
管理データベースの手動同期の方法を記します
Management HAのアクティブ機にアクセスを行います
– Policy> Management High Availabilityを選択します
– “Synchronize”をクリックすると、セカンダリの管理サーバの管理データベースに同期されます
66 ©2013 Check Point Software Technologies Ltd.
Management HA 4
Management HAのActiveモードからStandbyモードに変更方法を記します
Management HAのアクティブ機にアクセスを行います
– Policy> Management High Availabilityを選択します
– “Change to Standby”をクリックすると、ActiveモードからStandbyモードに降格します
67 ©2013 Check Point Software Technologies Ltd.
Management HA 4
前述のオペレーションを行うと、両機がStandbyモードになっています
設定変更、ポリシーインストールを行うには、1つをActive機にする必要があります
Management HAのActive機を構成するために、“Change to Active”をクリックしてStandbyモードからActiveモードに昇格させます
モードが変更されると”Change over to Active successful”ポップアップが表示されます
68 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Gaiaセットアップ
Software Bladeセットアップ 2
Management HA 3
運用管理オペレーション 4
69 ©2013 Check Point Software Technologies Ltd.
SmartView Trackerの起動
SmartConsole> SmartView Trackerを選択します
SmartView Trackerは、各種Bladeで検出したログ、監査ログなどをリアルタイムで確認できます
プライマリのSecurity Managementサーバを選択します
70 ©2013 Check Point Software Technologies Ltd.
SmartView Trackerのログ 1
特定のレコードをダブルクリックすると、詳細を確認できます
Previousで前のレコード、Nextで次のレコードに移動します
Copyをクリックするとメモ帳などにテキストでコピーできます
71 ©2013 Check Point Software Technologies Ltd.
SmartView Trackerのログ 2
Managementタブでは、管理系のログを確認できます
72 ©2013 Check Point Software Technologies Ltd.
SmartView Monitorの起動
SmartConsole> SmartView Monitorを選択します
SmartView Monitorは、システムステータスを確認できます
73 ©2013 Check Point Software Technologies Ltd.
Threshold Configuration 1
ここでは、CPU使用率が一定の閾値を超えたらAlartを出すように変更してみます
74 ©2013 Check Point Software Technologies Ltd.
Threshold Configuration 2
CPU Usageにチェックを入れ、Valueを5%に変更します
System Alert Daemonが動作していないメッセージが表示されますので”OK”ボタンをクリックします
75 ©2013 Check Point Software Technologies Ltd.
System Alert Daemonの起動
Launch Menu> Tools> Start System Alert Daemonをクリックするとスタートします
Launch Menu> Tools> Alertsでアラートを確認できます
CLIでtcpdump -i Mgmt –nを実行してパケットを画面に出す軽い不可などをかけてアラートを確認します
76 ©2013 Check Point Software Technologies Ltd.
ClusterXLの同期
ステート同期のパケットをtcpdumpコマンドで確認します
CCPパケットは、UDP8116を利用しています
77 ©2013 Check Point Software Technologies Ltd.
ステートテーブルの確認
各クラスタメンバで以下のコマンドを実行します
VALSの値が近い値になっていれば、正しく同期が行われています
PEAKの値は、メンバ稼働後の最大コネクション数を示しています
78 ©2013 Check Point Software Technologies Ltd.
ClusterXLの状態確認
cphaprob statコマンドで状態を確認します
ゲートウェイのActive, Standbyが確認できます
Gateway-1 Gateway-2
79 ©2013 Check Point Software Technologies Ltd.
クリティカルデバイスの確認
cphaprob listコマンドで、Software Bladeが正常動作しているかを確認します。ステータスがOKであることを確認します
1つ以上のステータスがProblemになっている場合、フェイルオーバーします
インターフェースの監視
セッション同期の監視
ポリシーの監視
fwdプロセスの監視
cphadプロセスの監視
復旧遅延の監視
80 ©2013 Check Point Software Technologies Ltd.
ログ管理 1
ログはゲートウェイで生成されて、Security Managementサーバにネットワーク経由で転送され、 Security ManagementサーバのHDD上の$FWDIR/log/fw.logに累積的に追加されます
ログはfw.logのみではなく、ポインタ・ファイルも構成されます
ログはlog switch(ログ切り換え)という作業を行うことにより、それまでのログを別ファイルに保存できます。 Log switchではポインタ・ファイルも別ファイル名で保存されます
後に再度ログを閲覧する場合、Security Managementサーバ上の$FWDIR/logディレクトリに戻して確認します
Log switchは手動で行う方法と自動で行う方法があります
– 手動では、SmartView TrackerのLaunch Menu> File> Switch Active File、もしくはCLIからfw logswitchコマンドで実行できます
– 自動では、定時に行う、ログファイルのサイズが指定した大きさを超えたら行うなどの設定が可能です
81 ©2013 Check Point Software Technologies Ltd.
ログ管理 2
$FWDIR/logディレクトリのログファイルの例です
82 ©2013 Check Point Software Technologies Ltd.
ログ管理 3
オブジェクトのLogs> Local Log Storageで、自動でLog switchする設定が可能です
初期設定で、幾つかのtimeオブジェクトが用意されています
83 ©2013 Check Point Software Technologies Ltd.
Timeオブジェクト
Launch Menu> Manage> Timeをクリックします
Midnightを確認してみます。23:59が指定されている事が確認できます
84 ©2013 Check Point Software Technologies Ltd.
SNMP設定 1
GaiaポータルのView modeをAdvancedに変更するとツリーにSNMP項目が表示されます
85 ©2013 Check Point Software Technologies Ltd.
SNMP設定 2
Enable SNMP Agentにチェックを入れ、必要に応じてTrapで通知する項目を選択します
86 ©2013 Check Point Software Technologies Ltd.
SNMP設定 3
MIBファイルは、以下が用意されています
– $CPDIR/lib/snmp
– chkpnt.mib, chkpnt-trap.mib
TWSNMPの例
87 ©2013 Check Point Software Technologies Ltd.
バックアップ・リストア 1
バックアップの方法は、手動で行う方法とスケジュール化による自動の方法があります
– バックアップは、Gaia OSとSoftware Bladeの設定です
– $FWDIR/log/配下は含まれません
バックアップファイルは、/var/CPbackup/backupに保存されます
リストアは、バックアップしたバージョン、Build、HF、HFAなど全て合わせて実行する必要があります
88 ©2013 Check Point Software Technologies Ltd.
バックアップ・リストア 2
バックアップ・リストアは、CLIからも実行できます
バックアップコマンド: add backup
リストアコマンド:set backup restore
リストア後は、rebootコマンドで再起動を実行します
Localにバックアップの例 show backup statusコマンドの例
89 ©2013 Check Point Software Technologies Ltd.
Image Management
Image Managementは、Snapshotによるシステムイメージのバックアップです。/bootにディレクトリが作成され、その中にファイルが生成されます
– システム全体をイメージとして保存します
– イメージの容量は数GBに達しますので、数十分要する場合があります
– イメージのexport, importが可能です
Image Managementには、ログファイルは含まれません
Revertで復元できます
90 ©2013 Check Point Software Technologies Ltd.
初期化 1
CLIでrebootを行います
“Press any key to see the boot menu”が表示されている間に、Enterキーを入力します
91 ©2013 Check Point Software Technologies Ltd.
初期化 2
Reset to factory defaults – Gaia R76を選択します。確認を求められますので、yesを入力します
プロセスが終了して、loginプロンプトが表示されたら、初期のアカウントでログインします
– login: admin, Passworsd: admin
92 ©2013 Check Point Software Technologies Ltd.
初期化 3
電源offする場合、Haltコマンドを入力します
Power downが表示されたら、電源offします
©2013 Check Point Software Technologies Ltd.
ありがとうございました!