R80.10 スタンドアロン構成 セットアップ・ガイド...©2018 Check Point Software...
Transcript of R80.10 スタンドアロン構成 セットアップ・ガイド...©2018 Check Point Software...
1 ©2018 Check Point Software Technologies Ltd. ©2018 Check Point Software Technologies Ltd.
R80.10 スタンドアロン構成 セットアップ・ガイド
2 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
•本ガイドではスタンドアロン構成で Security Management、 Security Gateway をセットアップすることを目的とします
•単一の 3200 アプライアンスを Security Management と Security Gateway として使用します
他のモデルでも手順はほとんど同じです
はじめに
3 ©2018 Check Point Software Technologies Ltd.
サンプル構成
External:192.168.100.0/24
Internal:10.0.0.0/24
eth1: 192.168.100.41
管理PC
192.168.100.1
Mgmt: 10.0.0.10
10.0.0.12
Internet
Security Management
Security Gateway
3200
4 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• 工場出荷状態の 3200 をセットアップ
• First Time Configuration Wizard の実行
アプライアンス (3200) セットアップ
5 ©2018 Check Point Software Technologies Ltd.
サンプル構成
External:192.168.100.0/24
Internal:10.0.0.0/24
eth1: 192.168.100.41
管理PC
192.168.100.1
Mgmt: 10.0.0.10
10.0.0.12
Internet
Security Management
Security Gateway
3200
6 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard はじめに
• 各アプライアンスは、初期設定では MGMT インターフェースに192.168.1.1/24 の IP アドレスが割り当てられています
• PC の IP アドレスが192.168.1.x/24 (.1以外)に設定されていることを確認します
• PC を MGMTインターフェースに接続します
• ブラウザを起動して以下の URL にアクセスします
– https://192.168.1.1/
7 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard ポータルへのログイン
• 初期ユーザIDでログインします
– User : admin
– Password : admin
8 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard ウィザードの開始
• 初めてログインすると First Time Configuration Wizard が開始されます
9 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard 利用オプションの選択
• アプライアンス内に保存されているバージョンをそのまま利用するか、別のバージョンをインストールするか選択できます
– 工場出荷状態の初期バージョンが R80.10 ではない場合もあります
– その場合、初期イメージの変更の手順が必要になります
10 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard 管理者パスワードの変更
• デフォルトの OS 用管理者パスワードを変更します
• WebUI、コンソール、ssh で利用する管理者です
11 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard Mgmt インタフェース IP アドレス変更
• Mgmt インタフェースの IP アドレスを変更します
• サンプル構成では以下を設定します
– IPv4 Address: 10.0.0.10
– Subnet mask: 255.255.255.0
– Default Gateway: 192.168.100.1
• 元の 192.168.1.1 の IP アドレスは Alias として残り、ウィザードはそのまま継続できます
12 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard インターネット接続
• インターネット接続用のインタフェースを設定できます
– IP : 192.168.100.41
– Mask : 255.255.255.0
• 後から設定することもできます
13 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard デバイス情報設定
• ホスト名、DNS サーバを設定します
• サンプル構成では以下を設定します
– Host Name : r8010gw
– Primary DNS Server: 192.168.100.1
• ホスト名は、ゲートウェイ管理の「オブジェクト名」に利用されますので、複数ある場合は重複しない名前を入力します
• 各種アップデートでインターネットへの接続が必要になる場合があります
14 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard 日時に設定
• 日時を設定します
• 日時にずれがある場合は修正します
• NTP サーバを利用することもできます
15 ©2018 Check Point Software Technologies Ltd.
[Protected] Distribution or modification is subject to approval
First Time Configuration Wizard 製品コンポーネント
• 3200 の構成を選択します
• Security Gateway、Security Management の両方をチェックします
16 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard Security Management 管理者
• Security Management 用の管理者を設定します
• ここでは Gaia (OS) の管理者をそのまま利用します
17 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard 管理 GUI クライアント
• GUI クライアントを設定します
• ここでは “Any IP Address” (どこからでもアクセス可能) を選択します
• セキュリティ上は Security Management にアクセスできるクライアントを制限することが望ましいです
18 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard サマリ
• サマリが表示されますので確認します
19 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
First Time Configuration Wizard 設定中・・・
• 管理サーバの設定プロセスが進みます
• “Configuration completed successfully” のメッセージが表示されれば設定は終了です
• アプライアンスのモデルにより再起動が行われる場合があります
20 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
Secondary IP アドレス削除 旧 IP アドレスからログアウト
• Gaia Portal に自動ログインしますが、一度ログアウトします
– 元の IP アドレスである 192.168.1.1 にアクセスしているため
– 前述の再起動が行われるモデルでは自動ログインせず、ログイン画面が表示されます
21 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
Secondary IP アドレス削除 新 IP アドレスでログイン
• 管理 PC の IP アドレスを変更します
– IP : 10.0.0.12/24
– Netmask : 255.255.255.0
– DNS : 192.168.100.1
• https://10.0.0.11/ にアクセスします。
• ウィザードで設定したパスワードでログインします
– Username: admin
– Password: 設定したパスワード
22 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
Secondary IP アドレス削除
• 初期 IP アドレス(192.168.1.1) が Alias (Mgmt:1)として残っていますので削除します
• インタフェースの追加等が必要な場合はここで設定します
①
②
③
④
23 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• Web UI 概要
• Terminal
• CLI
• Expert Mode
• ロック
Gaia オペレーション
24 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• GAIA はチェック・ポイント各種アプライアンス上で動作する OS の名称です
• GAIA OS の上で、Security Gateway 機能(FW、IPS 等)、Security Management (ポリシー管理、ログ等) 機能が動作します
•ネットワークの設定、ルーティング、時間等の基本的な設定は GAIA OS で設定します
GAIA について
25 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
Gaia ポータル – 概要
メニュー 設定画面 メニューで選択した項目に応じて表示されます
26 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
•キーワードで検索できるため、メニューの内容を覚える必要は ありません
Gaia ポータル – 検索
27 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
•メニューの表示を Basic と Advanced で切り替えることができます
• Advanced ではダイナミック・ルーティング等の高度な設定を行えます
Gaia ポータル – Basic & Advanced
Basic モード Advanced モード
28 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• Gaia では設定の矛盾が起きないように排他制御を行います
Gaia ポータル : 鍵マークがロック状態を表します。鍵マークをクリックするとロックを解除できます
ターミナル : CLINFR0771 Config lock is owned by xxxxx. ・・・の表示がされます。“lock database override” コマンドでロックを解除できます
Gaia ポータル – ロック
29 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• ブラウザ上でターミナルを起動できます
login : admin
Password : P@ssw0rd
• CLI で設定・確認が行えます
• ターミナルへのアクセスは、コンソール(シリアル)や ssh からも利用可能です
Gaia ポータル – ターミナル
30 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• CLI からも Web UI と同等の設定を行うことができます
“show version all” コマンドで製品のバージョンを確認できます
“show configuration” コマンドで Gaia 設定を確認できます
“help” コマンドで各種ヘルプが表示されます
CLI
31 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• Expert モードに入ると各種 Unix コマンドを利用できます
• Expert モードに入るためには専用のパスワードが必要です
“set expert-password” コマンドを実行すると新しく設定するパスワードを聞いてきますので「P@ssw0rd」を設定します
CLIで設定変更した場合、”save config” コマンドによる保存が必要です
• “expert” コマンドを利用すると Expert モードに入れます
CLI – Expert Mode
32 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• SmartConsole 入手
• SmartConsole インストール
• SmartConsole 概要
SmartConsole
33 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• SmartConsole は、Check Point 製品を設定・運用するための Windows アプリケーションです
•セキュリティ・ポリシー管理、ログ、モニタ等を総合的に管理できる GUI を提供します
SmartConsole とは
34 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
•インストーラは GAIA ポータル(Overview ページ)からダウンロードすることができます
•ブラウザのダウンロード (IE の例)
インストーラの入手:方法 1
35 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
•最新 Build の SmartConsole は Check Point のサポートサイトから入手可能です
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk119612
•ダウンロードするためにはサポート契約が必要です
インストーラの入手:方法 2
36 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• PC にインストールしないで利用できるポータブル版 SmartConsole もあります
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk116158
参考:ポータブル版 SmartConsole
37 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
•ダウンロードしたファイル(SmartConcole.exe)を実行します
インストールの開始
38 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
•ライセンス・アグリーメントに同意します
インストール(1)
39 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
インストール(2)
40 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
インストール(3)
41 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
• Check Point SmartConsole R80.10 にインストールされます
• SmartConsole R80.10 で GUI を起動します
SmartConsole の起動
42 ©2018 Check Point Software Technologies Ltd.
Security Management へのログイン
• Security Management サーバに SmartConsole でログインします
• 初めてログインする場合、アクセス先確認のため、フィンガープリントの確認が行われます
• アプライアンスのフィンガープリントは GAIA ポータルで確認可能です
43 ©2018 Check Point Software Technologies Ltd.
What’s new 表示
• 初回ログイン時 What’s new が表示されますが右上の「x」をクリックして閉じます
44 ©2018 Check Point Software Technologies Ltd.
SmartConsole 概要 – Gateways & Servers
管理しているゲートウェイ
Security Management サーバで管理しているゲートウェイ(サーバ)を管理します 。各ゲートウェイの状態を確認できます
ゲートウェイの状態
45 ©2018 Check Point Software Technologies Ltd.
SmartConsole 概要 – Security Policies
セキュリティ・ポリシーを管理します
対象ポリシー
Access Control (FW/Application Control など)
Threat Prevention (IPS/AV/Threat Emulation など)
セキュリティ・ポリシー 選択した項目により表示は
変わります
46 ©2018 Check Point Software Technologies Ltd.
SmartConsole 概要 – Log & Monitor
ログ、イベントを管理します
イベントの表示には SmartEvent のライセンスが必要です
47 ©2018 Check Point Software Technologies Ltd.
SmartConsole 概要 – Manage & Settings
全体的な設定を管理します。
管理者の追加・編集もここで行います
49 ©2018 Check Point Software Technologies Ltd.
ゲートウェイ・オブジェクトの編集
• 前ページのウィザードの続き、または作成された Security Gateway オブジェクトをダブルクリックしてプロパティを編集します
• 購入した Software Blade に応じて有効化したい機能を選択します
• ここでは「Firewall」のチェックが入っていることを確認します
• トライアル・ライセンスでは各種 Software Blade を評価できます (Threat Emulation は除く)
50 ©2018 Check Point Software Technologies Ltd.
• Security Gateway オブジェクトで最初に設定しなければならないのがトポロジーです
•トポロジーを正しく設定しないと、Security Gateway は正しくパケットを処理できません
•トポロジーでは、Security Gateway の各インタフェースにどのようなネットワークが接続されているか設定します
• OS やネットワークの構成が変わった場合は、トポロジーを見直す必要があります
トポロジーについて
51 ©2018 Check Point Software Technologies Ltd.
トポロジーの確認
• ルーティングが正しく設定されている場合、ルーティング情報を元にインタフェースのトポロジーが自動的に設定されます
• 今回の構成では eth1 がインターネットに接続するインタフェースになりますので「External」、Mgmt は内部側のインタフェースになりますので「This Network」になります
52 ©2018 Check Point Software Technologies Ltd.
参考: インタフェース情報の取得
• インタフェースの設定を変更した場合、ゲートウェイ・オブジェクトのインタフェース情報を更新します
• 「Get Interfaces」をクリックすると OS で設定されているインタフェースの情報を取得します
• Accept をクリックすると設定を上書きすることを確認されますので、 Yes をクリックして 変更を確定します
OS に設定されている情報が取得されます
53 ©2018 Check Point Software Technologies Ltd.
参考:手動でトポロジーを設定 (外部インタフェース: eth1)
• ルーティング(デフォルト・ルート)が正しく設定されていないとトポロジーが正しく設定されません
• 実際のトポロジーと異なる場合、手動でトポロジーを指定します
eth1 はインターネットに接続するインタフェースなので、「Internet(External)」を選択します
54 ©2018 Check Point Software Technologies Ltd.
参考:手動でトポロジーを設定 (内部インタフェース: Mgmt)
• Mgmt はインターネットに接続するインタフェースなので、「This Network (Internall)」を選択します。
• Mgmt インタフェースに複数のサブネットが接続されている場合、「Specific」を選択して対象のサブネットが すべて含まれる ようにします。
55 ©2018 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
•以上でセキュリティ機能を利用する準備ができました
• FireWall ポリシー作成、IPS 設定等は別のガイドを参照してください
準備完了