1 ©2018 Check Point Software Technologies Ltd. ©2018 Check Point Software Technologies Ltd.

R80.10 スタンドアロン構成 セットアップ・ガイド

2 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

•本ガイドではスタンドアロン構成で Security Management、 Security Gateway をセットアップすることを目的とします

•単一の 3200 アプライアンスを Security Management と Security Gateway として使用します

他のモデルでも手順はほとんど同じです

はじめに

3 ©2018 Check Point Software Technologies Ltd.

サンプル構成

External:192.168.100.0/24

Internal:10.0.0.0/24

eth1: 192.168.100.41

管理PC

192.168.100.1

Mgmt: 10.0.0.10

10.0.0.12

Internet

Security Management

Security Gateway

3200

4 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• 工場出荷状態の 3200 をセットアップ

• First Time Configuration Wizard の実行

アプライアンス (3200) セットアップ

5 ©2018 Check Point Software Technologies Ltd.

サンプル構成

External:192.168.100.0/24

Internal:10.0.0.0/24

eth1: 192.168.100.41

管理PC

192.168.100.1

Mgmt: 10.0.0.10

10.0.0.12

Internet

Security Management

Security Gateway

3200

6 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard はじめに

• 各アプライアンスは、初期設定では MGMT インターフェースに192.168.1.1/24 の IP アドレスが割り当てられています

• PC の IP アドレスが192.168.1.x/24 (.1以外)に設定されていることを確認します

• PC を MGMTインターフェースに接続します

• ブラウザを起動して以下の URL にアクセスします

– https://192.168.1.1/

7 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard ポータルへのログイン

• 初期ユーザIDでログインします

– User : admin

– Password : admin

8 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard ウィザードの開始

• 初めてログインすると First Time Configuration Wizard が開始されます

9 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard 利用オプションの選択

• アプライアンス内に保存されているバージョンをそのまま利用するか、別のバージョンをインストールするか選択できます

– 工場出荷状態の初期バージョンが R80.10 ではない場合もあります

– その場合、初期イメージの変更の手順が必要になります

10 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard 管理者パスワードの変更

• デフォルトの OS 用管理者パスワードを変更します

• WebUI、コンソール、ssh で利用する管理者です

11 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard Mgmt インタフェース IP アドレス変更

• Mgmt インタフェースの IP アドレスを変更します

• サンプル構成では以下を設定します

– IPv4 Address: 10.0.0.10

– Subnet mask: 255.255.255.0

– Default Gateway: 192.168.100.1

• 元の 192.168.1.1 の IP アドレスは Alias として残り、ウィザードはそのまま継続できます

12 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard インターネット接続

• インターネット接続用のインタフェースを設定できます

– IP : 192.168.100.41

– Mask : 255.255.255.0

• 後から設定することもできます

13 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard デバイス情報設定

• ホスト名、DNS サーバを設定します

• サンプル構成では以下を設定します

– Host Name : r8010gw

– Primary DNS Server: 192.168.100.1

• ホスト名は、ゲートウェイ管理の「オブジェクト名」に利用されますので、複数ある場合は重複しない名前を入力します

• 各種アップデートでインターネットへの接続が必要になる場合があります

14 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard 日時に設定

• 日時を設定します

• 日時にずれがある場合は修正します

• NTP サーバを利用することもできます

15 ©2018 Check Point Software Technologies Ltd.

[Protected] Distribution or modification is subject to approval

First Time Configuration Wizard 製品コンポーネント

• 3200 の構成を選択します

• Security Gateway、Security Management の両方をチェックします

16 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard Security Management 管理者

• Security Management 用の管理者を設定します

• ここでは Gaia (OS) の管理者をそのまま利用します

17 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard 管理 GUI クライアント

• GUI クライアントを設定します

• ここでは “Any IP Address” (どこからでもアクセス可能) を選択します

• セキュリティ上は Security Management にアクセスできるクライアントを制限することが望ましいです

18 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard サマリ

• サマリが表示されますので確認します

19 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

First Time Configuration Wizard 設定中・・・

• 管理サーバの設定プロセスが進みます

• “Configuration completed successfully” のメッセージが表示されれば設定は終了です

• アプライアンスのモデルにより再起動が行われる場合があります

20 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

Secondary IP アドレス削除 旧 IP アドレスからログアウト

• Gaia Portal に自動ログインしますが、一度ログアウトします

– 元の IP アドレスである 192.168.1.1 にアクセスしているため

– 前述の再起動が行われるモデルでは自動ログインせず、ログイン画面が表示されます

21 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

Secondary IP アドレス削除 新 IP アドレスでログイン

• 管理 PC の IP アドレスを変更します

– IP : 10.0.0.12/24

– Netmask : 255.255.255.0

– DNS : 192.168.100.1

• https://10.0.0.11/ にアクセスします。

• ウィザードで設定したパスワードでログインします

– Username: admin

– Password: 設定したパスワード

22 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

Secondary IP アドレス削除

• 初期 IP アドレス(192.168.1.1) が Alias (Mgmt:1)として残っていますので削除します

• インタフェースの追加等が必要な場合はここで設定します

①

②

③

④

23 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• Web UI 概要

• Terminal

• CLI

• Expert Mode

• ロック

Gaia オペレーション

24 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• GAIA はチェック・ポイント各種アプライアンス上で動作する OS の名称です

• GAIA OS の上で、Security Gateway 機能(FW、IPS 等)、Security Management (ポリシー管理、ログ等) 機能が動作します

•ネットワークの設定、ルーティング、時間等の基本的な設定は GAIA OS で設定します

GAIA について

25 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

Gaia ポータル – 概要

メニュー 設定画面 メニューで選択した項目に応じて表示されます

26 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

•キーワードで検索できるため、メニューの内容を覚える必要は ありません

Gaia ポータル – 検索

27 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

•メニューの表示を Basic と Advanced で切り替えることができます

• Advanced ではダイナミック・ルーティング等の高度な設定を行えます

Gaia ポータル – Basic & Advanced

Basic モード Advanced モード

28 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• Gaia では設定の矛盾が起きないように排他制御を行います

Gaia ポータル : 鍵マークがロック状態を表します。鍵マークをクリックするとロックを解除できます

ターミナル : CLINFR0771 Config lock is owned by xxxxx. ・・・の表示がされます。“lock database override” コマンドでロックを解除できます

Gaia ポータル – ロック

29 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• ブラウザ上でターミナルを起動できます

login : admin

Password : P@ssw0rd

• CLI で設定・確認が行えます

• ターミナルへのアクセスは、コンソール(シリアル)や ssh からも利用可能です

Gaia ポータル – ターミナル

30 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• CLI からも Web UI と同等の設定を行うことができます

“show version all” コマンドで製品のバージョンを確認できます

“show configuration” コマンドで Gaia 設定を確認できます

“help” コマンドで各種ヘルプが表示されます

CLI

31 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• Expert モードに入ると各種 Unix コマンドを利用できます

• Expert モードに入るためには専用のパスワードが必要です

“set expert-password” コマンドを実行すると新しく設定するパスワードを聞いてきますので「P@ssw0rd」を設定します

CLIで設定変更した場合、”save config” コマンドによる保存が必要です

• “expert” コマンドを利用すると Expert モードに入れます

CLI – Expert Mode

32 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• SmartConsole 入手

• SmartConsole インストール

• SmartConsole 概要

SmartConsole

33 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• SmartConsole は、Check Point 製品を設定・運用するための Windows アプリケーションです

•セキュリティ・ポリシー管理、ログ、モニタ等を総合的に管理できる GUI を提供します

SmartConsole とは

34 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

•インストーラは GAIA ポータル(Overview ページ)からダウンロードすることができます

•ブラウザのダウンロード (IE の例)

インストーラの入手：方法 1

35 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

•最新 Build の SmartConsole は Check Point のサポートサイトから入手可能です

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk119612

•ダウンロードするためにはサポート契約が必要です

インストーラの入手：方法 2

36 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• PC にインストールしないで利用できるポータブル版 SmartConsole もあります

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk116158

参考：ポータブル版 SmartConsole

37 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

•ダウンロードしたファイル(SmartConcole.exe)を実行します

インストールの開始

38 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

•ライセンス・アグリーメントに同意します

インストール(1)

39 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

インストール(2)

40 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

インストール(3)

41 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

• Check Point SmartConsole R80.10 にインストールされます

• SmartConsole R80.10 で GUI を起動します

SmartConsole の起動

42 ©2018 Check Point Software Technologies Ltd.

Security Management へのログイン

• Security Management サーバに SmartConsole でログインします

• 初めてログインする場合、アクセス先確認のため、フィンガープリントの確認が行われます

• アプライアンスのフィンガープリントは GAIA ポータルで確認可能です

43 ©2018 Check Point Software Technologies Ltd.

What’s new 表示

• 初回ログイン時 What’s new が表示されますが右上の「x」をクリックして閉じます

44 ©2018 Check Point Software Technologies Ltd.

SmartConsole 概要 – Gateways & Servers

管理しているゲートウェイ

Security Management サーバで管理しているゲートウェイ(サーバ)を管理します 。各ゲートウェイの状態を確認できます

ゲートウェイの状態

45 ©2018 Check Point Software Technologies Ltd.

SmartConsole 概要 – Security Policies

セキュリティ・ポリシーを管理します

対象ポリシー

Access Control (FW/Application Control など)

Threat Prevention (IPS/AV/Threat Emulation など)

セキュリティ・ポリシー 選択した項目により表示は

変わります

46 ©2018 Check Point Software Technologies Ltd.

SmartConsole 概要 – Log & Monitor

ログ、イベントを管理します

イベントの表示には SmartEvent のライセンスが必要です

47 ©2018 Check Point Software Technologies Ltd.

SmartConsole 概要 – Manage & Settings

全体的な設定を管理します。

管理者の追加・編集もここで行います

48 ©2018 Check Point Software Technologies Ltd.

• トポロジー設定

Security Gateway 管理

49 ©2018 Check Point Software Technologies Ltd.

ゲートウェイ・オブジェクトの編集

• 前ページのウィザードの続き、または作成された Security Gateway オブジェクトをダブルクリックしてプロパティを編集します

• 購入した Software Blade に応じて有効化したい機能を選択します

• ここでは「Firewall」のチェックが入っていることを確認します

• トライアル・ライセンスでは各種 Software Blade を評価できます (Threat Emulation は除く)

50 ©2018 Check Point Software Technologies Ltd.

• Security Gateway オブジェクトで最初に設定しなければならないのがトポロジーです

•トポロジーを正しく設定しないと、Security Gateway は正しくパケットを処理できません

•トポロジーでは、Security Gateway の各インタフェースにどのようなネットワークが接続されているか設定します

• OS やネットワークの構成が変わった場合は、トポロジーを見直す必要があります

トポロジーについて

51 ©2018 Check Point Software Technologies Ltd.

トポロジーの確認

• ルーティングが正しく設定されている場合、ルーティング情報を元にインタフェースのトポロジーが自動的に設定されます

• 今回の構成では eth1 がインターネットに接続するインタフェースになりますので「External」、Mgmt は内部側のインタフェースになりますので「This Network」になります

52 ©2018 Check Point Software Technologies Ltd.

参考: インタフェース情報の取得

• インタフェースの設定を変更した場合、ゲートウェイ・オブジェクトのインタフェース情報を更新します

• 「Get Interfaces」をクリックすると OS で設定されているインタフェースの情報を取得します

• Accept をクリックすると設定を上書きすることを確認されますので、 Yes をクリックして 変更を確定します

OS に設定されている情報が取得されます

53 ©2018 Check Point Software Technologies Ltd.

参考：手動でトポロジーを設定 (外部インタフェース: eth1)

• ルーティング(デフォルト・ルート)が正しく設定されていないとトポロジーが正しく設定されません

• 実際のトポロジーと異なる場合、手動でトポロジーを指定します

eth1 はインターネットに接続するインタフェースなので、「Internet(External)」を選択します

54 ©2018 Check Point Software Technologies Ltd.

参考：手動でトポロジーを設定 (内部インタフェース: Mgmt)

• Mgmt はインターネットに接続するインタフェースなので、「This Network (Internall)」を選択します。

• Mgmt インタフェースに複数のサブネットが接続されている場合、「Specific」を選択して対象のサブネットが すべて含まれる ようにします。

55 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval

•以上でセキュリティ機能を利用する準備ができました

• FireWall ポリシー作成、IPS 設定等は別のガイドを参照してください

準備完了

56 ©2018 Check Point Software Technologies Ltd. ©2018 Check Point Software Technologies Ltd.

THANK YOU

[Protected] Distribution or modification is subject to approval