SecurePlatform/SecurePlatform Pro NGX（R60A）

Transcription

1 SecurePlatform/ SecurePlatform Pro NGX(R60A) 本書に記載されていない技術的な情報については 以下の SecureKnowledge を参照してください 本書の最新版については 以下の Web サイトを参照してください Part No.: 年 4 月

2

3 Check Point Software Technologies Ltd. All rights reserved. 本製品および関連ドキュメントは著作権法によって保護されており その使用 複写 逆コンパイルを制限するライセンス契約に基づいて配布されています 本製品または関連ドキュメントのいかなる部分も チェック ポイントの書面による事前承諾を得ない限り いかなる形態や方法によっても複製することはできません 本マニュアルを製作するにあたっては細心の注意が払われていますが チェック ポイントはいかなる誤りまたは欠落に対しても一切責任を負いません 本マニュアルおよびその記述内容は 予告なく変更される場合があります 権利の制限米国政府による本製品の使用 複写 または開示は DFARS( 連邦国防調達規定 ) および FAR( 連邦調達規定 ) の技術データおよびコンピュータ ソフトウェアに関する権利条項 (c)(1)(ii) により制限されます 商標 Check Point Software Technologies Ltd. All rights reserved. Check Point Application Intelligence Check Point Express Check Pointのロゴ AlertAdvisor ClusterXL Cooperative Enforcement ConnectControl Connectra CoSa Cooperative Security Alliance Eventia Eventia Analyzer FireWall-1 FireWall-1 GX FireWall-1 SecureServer FloodGate-1 Hacker ID IMsecure INSPECT INSPECT XL Integrity InterSpect IQ Engine Open Security Extension OPSEC Policy Lifecycle Management Provider-1 Safe@Home Safe@Office SecureClient SecureKnowledge SecurePlatform SecuRemote SecureXL Turbocard SecureServer SecureUpdate SecureXL SiteManager-1 SmartCenter SmartCenter Pro Smarter Security SmartDashboard SmartDefense SmartLSM SmartMap SmartUpdate SmartView SmartView Monitor SmartView Reporter SmartView Status SmartViewTracker SofaWare SSL Network Extender Stateful Clustering TrueVector Turbocard UAM User-to-Address Mapping UserAuthority VPN-1 VPN-1 Accelerator Card VPN-1 Edge VPN-1 Pro VPN-1 SecureClient VPN-1 SecuRemote VPN-1 SecureServer VPN-1 VSX VPN-1 XL Web Intelligence ZoneAlarm ZoneAlarm Pro Zone Labs および Zone Labsのロゴは チェック ポイント ソフトウェア テクノロジーズまたはその関連会社の商標または登録商標です 本書に記載されているその他の製品名は 各所有者の商標または商標登録です 本書に記載された製品は 米国の特許 No. 5,606,668 5,835,726 6,496,935 および 6,850,943 によって保護されています また その他の米国における特許およびその他の国における特許で保護されているか 出願中の可能性があります サード パーティ Entrust は 米国およびその他の国における Entrust Technologies, Inc. の登録商標です Entrust のロゴ Entrust の製品およびサービスの名称も Entrust Technologies, Inc. の登録商標です Entrust Technologies Limited は Entrust Technologies, Inc. の完全所有子会社です FireWall-1 および SecuRemote には Entrust の証明書管理技術が採用されています Verisign は Verisign Inc. の商標です 下記は ソフトウェアのうちミシガン大学が著作権を所有する部分に関する記述です Portions of the software copyright Regents of the University of Michigan. All rights reserved. この表記が削除されることなく かつ Ann Arbor のミシガン大学に正当な帰属承認が与えられる限り ソース形式およびバイナリ形式での再配布および使用は認められています あらかじめミシガン大学から書面による特定の承諾を得ない限り 本ソフトウェアに基づく製品の保証または販売促進に大学名を使用することはできません 本ソフトウェアは 明示もしくは黙示の保証なく そのままの状態 で供給されます Copyright Sax Software ( 端末エミュレーションのみ ) 下記は ソフトウェアのうちカーネギー メロン大学が著作権を所有する部分に関する記述です Copyright 1997 by Carnegie Mellon University. All Rights Reserved. 本ソフトウェアおよび関連するドキュメントを何らかの目的のために無償で使用 複製 変更および配布することは認められています ただし 上記著作権表記がすべての複製物に記載され その著作権表記およびこの許可表記が全関連ドキュメントに記載され かつ書面による特定の事前承諾なく本ソフトウェアの配布に関する広告または宣伝にカーネギー メロン大学の名称が使用されることのない場合に限ります カーネギー メロン大学は 市場性および適合性の黙示保証を含め 本ソフトウェアに関するすべての保証を拒否します 契約行為 過失または不法行為にかかわらず 本ソフトウェアの使用または性能から またはそれらに関連して生じる特定の 間接的なもしくは派生的な損害 または使用能力 データ 利益の損失によるいかなる損害に対しても カーネギー メロン大学は一切責任を負いません 下記は ソフトウェアのうち The Open Group が著作権を所有する部分に関する記述です ソフトウェアは 市場性 特定目的への適合性 および非侵害の保証等を含めた明示または黙示の保証なく そのままの状態 で供給されます The Open Group は 契約行為 不法行為その他にかかわらず ソフトウェアもしくはソフトウェアの使用や取り扱いから またはそれらに関連して生じる補償請求 損害その他の賠償に対して一切責任を負いません 下記は ソフトウェアのうち OpenSSL Project が著作権を所有する部分に関する記述です 本製品には OpenSSL Toolkit で使用するために OpenSSL Project が開発したソフトウェアが含まれています ( 本ソフトウェアは OpenSSL Project により そのままの状態 で供給されます OpenSSL Project は 市場性および特定目的への適合性の黙示保証等を含め 明示または黙示の保証をすべていたしません 本ソフトウェアを使用した結果として 直接的損害 間接的損害 付随的損害 特別損害 懲罰的損害 または派生的損害 ( 代替品もしくは代替サービスの調達 使用能力 データもしくは利益の損失 または事業の中断を含みますが それらに限定されません ) が発生した場合は いかなる原因で生じたとしても またいかなる責任論上においても 契約行為 無過失責任または不法行為 ( 怠慢その他を含め ) によるものかを問わず たとえ当該損害が発生する可能性を事前に通知されていたとしても OpenSSL Project またはそれに対する寄稿者は いかなる場合も一切の責任を負いません 下記は ソフトウェアのうち Eric Young が著作権を所有する部分に関する記述です 本ソフトウェアは Eric Young により そのままの状態 で供給されます Eric Young は 市場性および特定目的への適合性の黙示保証等を含め 明示または黙示の保証をすべていたしません 本ソフトウェアを使用した結果として 直接的損害 間接的損害 付随的損害 特別損害 懲罰的損害 または派生的損害 ( 代替品もしくは代替サービスの調達 使用能力 データもしくは利益の損失 または事業の中断を含みますが それらに限定されません ) が発生した場合は いかなる原因で生じたとしても またいかなる責任論上においても 契約行為 無過失責任または不法行為 ( 怠慢その他を含め ) によるものかを問わず たとえ当該損害が発生する可能性を事前に通知されていたとしても 著作者またはそれに対する寄稿者は いかなる場合も一切の責任を負いません Copyright 1998 The Open Group. 下記は ソフトウェアのうち Jean-loup Gailly および Mark Adler が著作権を所有する部分に関する記述です Copyright (C) Jean-loup Gailly and Mark Adler. 本ソフトウェアは 明示もしくは黙示の保証なく そのままの状態 で供給されます 本ソフトウェアの使用から生じる損害に対して 著者は一切の責任を負いません 本ソフトウェアを 商用アプリケーションを含め 何らかの目的のために使用し また自由に変更および再配布することは認められています ただし その場合は以下の制限を条件とします 1. 本ソフトウェアの出自について虚偽の表示をすることはできません また 自分がソフトウェアの原著作者であると主張することはできません 本ソフトウェアを製品の一部として使用する場合 製品のドキュメントに謝辞を入れていただければ幸いですが 必須ではありません 2. ソース バージョンを変更した場合は その旨を明示する必要があります また オリジナルのソフトウェアであるという虚偽の表示をすることはできません 3. この表示をソースの配布物から削除したり変更したりすることはできません 下記は ソフトウェアのうち Gnu Public License が著作権を所有する部分に関する記述です 本プログラムはフリーソフトウェアです Free Software Foundation が公表した GNU General Public License(GNU 一般公衆利用許諾契約書 ) のバージョン 2 または ( 任意で ) それ以降のバージョンの条件に基づき 本ソフトウェアを再配布および / または変更することができます 本プログラムは実用に万全を期して配布されていますが 市場性または特定目的への適合性の黙示保証を含め 一切の保証を伴いません 詳細については GNU General Public License をご参照ください 本プログラムには GNU General Public License のコピーが同梱されています 同梱されていない場合は Free Software Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA. までお問い合わせください 下記は ソフトウェアのうち Thai Open Source Software Center Ltd および Clark Cooper が著作権を所有する部分に関する記述です Copyright (c) 2001, 2002 Expat maintainers. 本使用条件に従い 本ソフトウェアおよび関連するドキュメント ファイル ( 以下 ソフトウェア といいます ) のコピーを入手する人物に対して無償で ソフトウェアのコピーの使用 複製 変更 統合 公表 配布 サブライセンス発行 および / または販売などを含め 制限なくソフトウェアを取り扱い またソフトウェアを提供された人物にこれらを行うことを許可することが認められています ただし その場合は以下の条件に従うものとします 上記著作権表記およびこの許可表記がソフトウェアのすべての複製物または実質的に同様な部分に記載される必要があります ソフトウェアは 市場性 特定目的への適合性 および非侵害の保証等を含めた明示もしくは黙示の保証なく そのままの状態 で供給されます 契約行為 不法行為その他にかかわらず ソフトウェアもしくはソフトウェアの使用や取り扱いから またはそれらに関連して生じる補償請求 損害その他の賠償に対し 著作者または著作権所有者は一切責任を負いません GDChart はお客様のアプリケーションで またチャート作成のために自由に使用できます ただし コードを自分のものとして再配布または表明することはできません コードを再配布する場合は 著者を表記し Check Point Software Technologies Ltd. 米国本社 : 800 Bridge Parkway, Redwood City, CA 電話 : (650) ファックス : (650) info@checkpoint.com イスラエル本社 : 3A Jabotinsky Street, Ramat Gan, 52520, Israel 電話 : ファックス :

4 すべてのオリジナル ドキュメントを含める必要があります Copyright. Bruce Verderaime.1998, 1999, 2000, 部分的著作権 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Cold Spring Harbor Laboratory. 米国国立衛生研究所による許可 P41-RR02188 に基づく資金供給を受けています 部分的著作権 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Boutell.Com, Inc. GD2 フォーマットに関する部分的著作権 1999, 2000, 2001, 2002 Philip Warner.PNG に関する部分的著作権 1999, 2000, 2001, 2002 Greg Roelofs.gdttf.c に関する部分的著作権 1999, 2000, 2001, 2002 John Ellson に関する部分的著作権 2001, 2002 John Ellson および color quantization に関する部分的著作権 2000, 2001, 2002, Doug Becker and copyright (C) 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002, Thomas G. Lane. 本ソフトウェアの一部は Independent JPEG Group の著作物に基づいています 詳細については README-JPEG.TXT ファイルを参照してください WBMP に関する部分的著作権 2000, 2001, 2002 Maurice Szmurlo and Johan Van den Brande.gd を 商用アプリケーションを含め 何らかの目的のために無償で複製 配布および変更することは認められています ただし この表記がユーザのアクセスできる全関連ドキュメントに記載されている場合に限ります これはお客様の派生著作物自体の所有権に影響を与えるものではありません その目的はあくまでも gd の著者の適切なクレジットを確保することであり お客様による gd の生産的な利用を妨げるためではありません 詳細についてはお問い合わせください 派生著作物 にはライブラリを利用したすべてのプログラムが含まれます ユーザのアクセスできるドキュメントにはクレジットを表記する必要があります 本ソフトウェアは そのままの状態 で供給されます 著作権所有者は 市場性および特定目的への適合性の黙示保証等を含め このコードおよび付属ドキュメントに関する明示または黙示の保証をすべて行いません gd に記載されているコードはありませんが 著作者は David Koblas David Rowley および Hutchison Avenue Software Corporation のこれまでの貢献に謝意を表します Apache License, Version 2.0( 本ライセンス ) に基づいてライセンスが許諾されます このファイルを使用するためには 本ライセンスに従う必要があります 本ライセンスのコピーは から入手できます curl license 著作権および許可表記 Copyright (c) , Daniel Stenberg, <daniel@haxx.se>. All rights reserved. 本ソフトウェアを 有償 無償にかかわらず 何らかの目的のために使用 複製 変更および配布することは認められています ただし 上記著作権表記およびこの許可表記がすべての複製物に記載される必要があります 本ソフトウェアは 市場性 特定目的への適合性 およびサード パーティの権利の非侵害の保証等を含めた明示もしくは黙示の保証なく そのままの状態 で供給されます 契約行為 不法行為その他にかかわらず ソフトウェアもしくはソフトウェアの使用や取り扱いから またはそれらに関連して生じる補償請求 損害その他の賠償に対し 著者または著作権所有者は一切責任を負いません この表記に含まれるものを除き 著作権所有者の書面による事前承諾なく 本ソフトウェアの販売 使用 またはその他の取り引きを促進するための広告その他のものに著作権所有者の名称を使用することはできません PHP License, version 3.0 Copyright (c) The PHP Group. All rights reserved. ソース形式およびバイナリ形式での再配布および使用は その改変の有無にかかわらず 認められています ただし その場合は以下の条件に従うものとします 1. ソース コードの再配布物には上記著作権表記 本条件一覧 および下記免責条項を含める必要があります 2. バイナリ形式で再配布する場合は 上記著作権表記 本条権一覧 および下記免責条項を配布物と共に供給されるドキュメントおよび / またはその他の資料に転載する必要があります 3. 書面による事前許可を得ずに 本ソフトウェアから派生した製品の保証または販売促進に PHP という名称を使用することはできません 書面による承諾については group@php.net. までお問い合わせください 4. group@php.net からの書面による事前許可を得ずに 本ソフトウェアから派生した製品を PHP と呼ぶことはできません またそれらの名称に PHP と記載することはできません お客様のソフトウェアを PHP Foo または phpfoo と呼ぶ代わりに Foo for PHP と記載することにより そのソフトウェアが PHP と連携して動作する旨を表すことができます 5. PHP Group は随時 ライセンスの改訂バージョンおよび / または新しいバージョンを発行することがあります 各バージョンには 識別のためのバージョン番号が割り当てられます 対象コードが特定のバージョンのライセンスに基づき公開された後 お客様は常に当該バージョンの条件に従ってそれを引き続き使用することができます また PHP Group が発行するそれ以降の任意のバージョンのライセンスの条件に従って 当該対象コードを使用することもできます 本ライセンスに基づいて作成される対象コードに適用される条件を変更する権利は PHP Group のみが保持しています 6. いかなる形式で再配布する場合も 次の文言を表示する必要があります This product includes PHP, freely available from < 本ソフトウェアは PHP Development Team により そのままの状態 で供給されます PHP Development Team は 市場性および特定目的への適合性の黙示保証等を含め 明示または黙示の保証をすべて行いません 本ソフトウェアを使用した結果として 直接的損害 間接的損害 付随的損害 特別損害 懲罰的損害 または派生的損害 ( 代替品もしくは代替サービスの調達 使用能力 データもしくは利益の損失 または事業の中断を含みますが それらに限定されません ) が発生した場合は いかなる原因で生じたとしても またいかなる責任論上においても 契約行為 無過失責任または不法行為 ( 怠慢その他を含め ) によるものかを問わず たとえ当該損害が発生する可能性を事前に通知されていたとしても PHP Development Team またはその寄稿者は いかなる場合も一切の責任を負いません 本ソフトウェアは 多くのお客様による PHP Group のための自発的な貢献によって成り立っています PHP Group へは電子メール (group@php.net) でお問い合わせください PHP Group および PHP プロジェクトについての詳細は を参照してください 本製品には Zend Engine が含まれています Zend Engine は から自由に入手できます 本製品には Tim Hudson(tjh@cryptsoft.com) が作成したソフトウェアが含まれています Copyright (c) 2003, Itai Tzur <itzur@actcom.co.il> All rights reserved. ソース形式およびバイナリ形式での再配布および使用は その改変の有無にかかわらず 認められています ただし その場合は以下の条件に従うものとします ソース コードの再配布物には上記著作権表記 本条件一覧 および下記免責条項を含める必要があります 書面による特定の事前許可を得ずに 本ソフトウェアから派生した製品の保証または販売促進に Itai Tzur またはその他の寄稿者の名前を使用することはできません 本ソフトウェアは著作権所有者および寄稿者により そのままの状態 で供給されます 著作権所有者および寄稿者は 市場性および特定目的への適合性の黙示保証等を含め 明示または黙示の保証をすべて行いません 本ソフトウェアを使用した結果として 直接的損害 間接的損害 付随的損害 特別損害 懲罰的損害 または派生的損害 ( 代替品もしくは代替サービスの調達 使用能力 データもしくは利益の損失 または事業の中断を含みますが それらに限定されません ) が発生した場合は いかなる原因で生じたとしても またいかなる責任論上においても 契約行為 無過失責任または不法行為 ( 怠慢その他を含め ) によるものかを問わず たとえ当該損害が発生する可能性を事前に通知されていたとしても 著作権所有者または寄稿者は いかなる場合も一切の責任を負いません Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd 本使用条件に従い 本ソフトウェアおよび関連するドキュメント ファイル ( 以下 ソフトウェア といいます ) のコピーを入手する人物に対して無償で ソフトウェアのコピーの使用 複製 変更 統合 公表 配布 サブライセンス発行 および / または販売などを含め 制限なくソフトウェアを取り扱い またソフトウェアを提供された人物にこれらを行うことを許可することが認められています ただし その場合は以下の条件に従うものとします 上記著作権表記およびこの許可表記がソフトウェアのすべての複製物または実質的に同一の部分に記載される必要があります ソフトウェアは 市場性 特定目的への適合性 および非侵害の保証等を含めた明示もしくは黙示の保証なく そのままの状態 で供給されます 契約行為 不法行為その他にかかわらず ソフトウェアもしくはソフトウェアの使用や取り扱いから またはそれらに関連して生じる補償請求 損害その他の賠償に対し 著者または著作権所有者は一切責任を負いません Copyright 2003, 2004 NextHop Technologies, Inc. All rights reserved. 機密著作権表記本文書に記載されている事項を除き NextHop Technologies, Inc. の書面による事前許可を得ずに 本ドキュメントの一部として供給される資料を 電子 機械 写真複写 筆記その他による手段等を含め いかなる形式または方法によっても 複写 複製 配布 再発行 ダウンロード 表示 掲示 または送信することはできません 別段の記載がない限り 資料を改変しないこと および著作権その他の所有権の表記をすべて資料に含めることを条件として 個人的な非商業目的に限り 本ドキュメントの資料を表示 複写 配布およびダウンロードすることは認められています NextHop の書面による事前許可を得ずに 本ドキュメントに含まれている資料を別のサーバに ミラーリングコピー することはできません 本ドキュメントに含まれている資料を許可なく使用した場合は 著作権法 商標法 プライバシーおよびパブリシティーに関する法律 通信に関する規制および法令に違反する可能性があります 以上の許可は 本条項または条件に違反した場合には自動的に終了します 本許可が終了した場合 ダウンロードおよび印刷した資料は直ちに破棄する必要があります

5 商標表記本ドキュメントに使用および記載されている商標 サービスマーク およびロゴ ( 以下 商標 といいます ) は米国および / またはその他の国における NextHop の登録商標または商標です ここに記載した会社および製品の名称は各所有者の商標である場合があります 本ドキュメントのいかなる記載も 黙示 禁反言その他によって ドキュメントに記載されている商標を使用するライセンスまたは権利を許諾するものとは解釈されないものとします 所有者は法律の認める最大の範囲内で自己の知的所有権を積極的に行使します 商標は 書面による事前の許可なく 使用を含め 本ドキュメントの資料の配布または資料へのアクセスに関する宣伝広告を含むいかなる手段によっても 使用することはできません ほかの Web サイトへの ホット リンクとして商標を使用することは 当該リンクの構築が書面により事前に承認されない限り 禁じられています これらの商標の使用に関する質問については 米国の NextHop( ) までお問い合わせください アメリカ合衆国政府の制限された権利ドキュメントの資料は 制限付き権利 を付して提供されています ソフトウェアおよび付随する文書は 制限付き権利を伴う連邦調達規則に準拠する取引に基づき 米連邦政府 ( 以下 政府 ) といいます ) に提供されています 政府による使用 変更 複製 公表 実行 表示または開示の権利は DFAR (1995 年 6 月 ) の非商用コンピュータ ソフトウェアおよび非商用コンピュータ ソフトウェアドキュメンテーションに関する権利条項 (b) (3) ならびに FAR , Alternative III(1987 年 6 月 ) の一般データに関する権利条項 (g)(3)(i) および FAR (1987 年 6 月 ) の商用コンピュータ ソフトウェアに関する制限付き権利条項 (c)(2) におけるその他の限定および条件により制限されます 政府による本ドキュメントの資料の使用は 当該資料における NextHop または原著作者の所有権の承認となります 請負業者 / 実施許諾者は 1911 Landings Drive, Mountain View, California にある NextHop です 政府による使用 複製 または開示は適用法令に記載されている制限を受けます 保証の放棄本ドキュメントの資料は明示もしくは黙示の保証なく そのままの状態 で供給されます NextHop は 適用法に従って認められる最大の範囲で 市場性 特定目的への適合性 権利の非侵害その他の黙示保証等を含め 明示または黙示の保証をすべて行いません NextHop または本ドキュメントに含まれている資料の提供者もしくは開発者は 本ドキュメントの資料の使用 有効性 正確性もしくは信頼性 またはその使用の結果その他の事項に関して いかなる保証または表明も行いません 責任の制限 NextHop はいかなる場合においても 本ドキュメントの資料の使用もしくは使用不能から生じるデータまたは利益の損失等を含めた直接的損害 間接的損害 特別損害 付随的損害 または派生的損害に対して たとえ NextHop または NextHop の正式な代表者が当該損害の発生する可能性を事前に通知していたとしても 一切責任を負いません 本ドキュメントの資料を使用した結果 機器またはデータの付帯サービス 修理もしくは修正が必要になった場合 その費用はお客様の負担となります 一部の州は付随的または派生的損害に対する免責または制限を認めていないため お客様によっては上記の制限または免責は適用されない場合があります Copyright ComponentOne, LLC All Rights Reserved. BIND: ISC Bind (Copyright (c) 2004 by Internet Systems Consortium, Inc. ("ISC")) Copyright , Theo de Raadt: OpenBSD 2.9 リリース

6

7 目次 第 1 章第 2 章第 3 章第 4 章第 5 章 はじめに概要 9 SecurePlatform のハードウェア要件 10 SecurePlatform Pro 10 SecurePlatform のインストールの準備 SecurePlatform コンピュータの準備 13 ハードウェア互換性テスト ツール 14 はじめに 15 ハードウェア互換性テスト ツールの使用 17 推奨される BIOS セキュリティの設定 18 インストールネットワークを使用したインストール 20 起動フロッピー ディスクを使用したネットワーク インストール 20 フロッピー ディスク ドライブまたは CD-ROM ドライブのないコンピュータでのインストール 26 SecurePlatform CD を使用したインストール 26 アップグレード 28 はじめに 28 アップグレードの計画 28 SecurePlatform のアップグレード 31 設定コマンド ラインの使用 35 コマンド ラインを使用した初期設定 35 sysconfig の使用 36 チェック ポイント製品の設定 38 Web インタフェースの使用 38 Web インタフェースを使用した初期設定 38 Web インタフェースのレイアウト 47 最初の再起動とログイン 59 管理 SecurePlatform システムの管理 62 Secure Shell を使用した SecurePlatform への接続 62 ユーザ管理 63 SecurePlatform 管理者 64 7

8 FIPS に準拠するシステム 66 TFTP の使用 66 バックアップとリストア 67 SecurePlatform シェル 68 コマンド シェル 68 管理コマンド 70 ドキュメント コマンド 71 日時コマンド 71 システム コマンド 74 スナップショット イメージの管理 80 システム診断コマンド 82 チェック ポイント コマンド 84 ネットワーク診断コマンド 94 ネットワーク設定コマンド 99 ダイナミック ルーティング コマンド 107 ユーザ コマンドと管理者コマンド 107 SNMP サポート 109 SNMP エージェントの設定 109 SNMP トラップの設定 110 チェック ポイントのダイナミック ルーティング 113 サポートされている機能 114 コマンドライン インタフェース 116 SecurePlatform のブート ローダ 117 メンテナンス モードでの起動 118 ブート プロセスのカスタマイズ 118 スナップショット イメージの管理 118 第 6 章 付録 A SecurePlatform Pro - Advanced Routing Suite はじめに 119 チェック ポイントの Advanced Routing Suite 119 サポートされている機能 120 コマンドライン インタフェース 121 フロッピー ドライブまたは CD-ROM ドライブのないコンピュータへのインストール一般的な手順 123 クライアントのセットアップ 124 サーバのセットアップ 124 必要なパッケージ 124 DHCP デーモンのセットアップ 126 TFTP デーモンと FTP デーモンのセットアップ 126 インストール ファイルのホスティング 127 索引 8

9 第 1 章 はじめに この章の構成 概要 9 ページ SecurePlatform のハードウェア要件 10 ページ SecurePlatform Pro 10 ページ 概要 SecurePlatform NGX(R60A) をお使いいただきありがとうございます 本書では SecurePlatform NGX(R60A) をインストールして設定する方法を説明します SecurePlatform NGX(R60A) は VPN-1 Pro Check Point QoS SmartView Monitor Policy Server および UserAuthority Server で構成されるチェックポイントの NGX(R60A) 製品スイートを含み 起動可能な CD-ROM に収録されて配布されます SecurePlatform NGX(R60A)CD-ROM は Intel Pentium III/IV または AMD Athlon CPU を搭載したすべての PC にインストールできます SecurePlatform NGX(R60A) は カスタマイズおよび強化されたオペレーティング システムを含み セキュリティ上のリスクになるような不要コンポーネントを含んでいません システムは ネットワーク セキュリティ デバイスとしてタスクを実行するように事前設定および最適化されており ユーザは IP アドレスやルートなどの最小限の基本的要素を設定するだけで済みます ほとんどのシステムでは このインストールは 5 分未満で完了し ネットワーク セキュリティ デバイスが導入可能になります 9

10 SecurePlatform のハードウェア要件 SecurePlatform を使用すると コンピュータとネットワークを簡単に設定してチェック ポイント製品をインストールできます 便利なシェルが用意されており ネットワーク設定 バックアップおよびリストア ユーティリティ アップグレード ユーティリティ システム ログ閲覧機能 コントロールなど セキュリティ システムの設定や日常管理を簡単に行うために必要なコマンド セットが提供されます Web GUI を使用すると 使いやすいインタフェースにより ほとんどの管理設定および最初のインストール時の設定を実行できます SecurePlatform のハードウェア要件 SecurePlatform 上で VPN-1 Pro SmartCenter サーバ 実施モジュール または SmartPortal をインストールするための最小ハードウェア要件は次のとおりです Intel Pentium III 300 MHz 以上のプロセッサ 4 GB の空きディスク スペース 256 MB(512 MB を推奨 ) サポートされる 1 つ以上のネットワーク アダプタ カード CD-ROM ドライブ ( 起動可能 ) 1024 x 768 のビデオ アダプタ カード 特定のハードウェア プラットフォーム上の SecurePlatform の詳細については を参照してください 注 : Check Point Performance Pack を実行する高性能システムの推奨構成については Performance Pack Guide を参照してください SecurePlatform Pro SecurePlatform Pro は SecurePlatform の拡張バージョンです SecurePlatform Pro は 次のようなネットワーク機能と管理機能を SecurePlatform に追加します ダイナミック ルーティング SecurePlatform 管理者の Radius 認証 SecurePlatform Pro をインストールするには インストール中に [SecurePlatform Pro] オプションを選択します 10

11 通常の SecurePlatform を SecurePlatform Pro に変換するには エキスパート モードのコマンド ラインから pro enable コマンドを実行します 注 : SecurePlatform Pro を使用するには SecurePlatform Pro 実施モジュールを管理する SmartCenter サーバに個別のライセンスをインストールする必要があります RADIUS サポートの詳細については 次のガイドを参照してください 64 ページの RADIUS による管理者の認証方法 を参照してください 高度なルーティングの詳細については SecurePlatform Pro & Advanced Routing Command Line Interface ガイドを参照してください 意図および目的に関係なく SecurePlatform という名前を使用する場合は SecurePlatform Pro が暗黙的に含まれます 第 1 章はじめに 11

12 SecurePlatform Pro 12

13 第 2 章 SecurePlatform のインストールの準備 この章の構成 SecurePlatform コンピュータの準備 13 ページ ハードウェア互換性テスト ツール 14 ページ 推奨される BIOS セキュリティの設定 18 ページ SecurePlatform コンピュータの準備 SecurePlatform のインストールは CD ドライブ フロッピー ディスク またはネットワーク サーバから特別なブート フロッピー ディスクを使用して実行できます SecurePlatform のインストール処理を始める前に 次の要件が満たされていることを確認してください 対象のコンピュータに CD ドライブがある場合は 最初の起動オプションとしてこのドライブから再起動するようにシステムの BIOS が設定されていることを確認してください ( この BIOS 設定機能は通常 [Boot Sequence] という名前です ) 対象のコンピュータが CD ドライブから起動できない場合 またはリモート ファイル サーバを使用してインストールする場合は 20 ページの 起動フロッピー ディスクを使用したネットワーク インストール で 起動フロッピー ディスクを作成する方法を参照してください 警告 : インストール手順によりすべてのハード ディスクが消去されるので 以前のオペレーティング システムは回復できません 13

14 ハードウェア互換性テスト ツール 注 : SecurePlatform は シリアル ポートに接続されたシリアル コンソールを使用して キーボードまたは VGA ディスプレイが付いていないコンピュータにインストールできます ハードウェア互換性テスト ツール このセクションの構成 はじめに 15 ページ ハードウェア互換性テスト ツールの使用 17 ページ ハードウェア互換性テスト ツールを使用して SecurePlatform が特定のハードウェア プラットフォーム上でサポートされているかどうかを特定できます このユーティリティは CD ISO イメージ (hw.iso) としてダウンロードできます ISO イメージは CD 書き込みツールを使用して 空の CD-R または CD-RW メディアに書き込むことができます ハードウェア互換性テスト ツールは そのハードウェア プラッ 注 : 単一のファイルではなく CD イメージ を書き込むことを指定する必要があります トフォームに SecurePlatform をインストールしたときと同じ方法で実行する必要があります ( たとえば CD から起動 フロッピー ディスクから起動 ネットワーク経由でインストールなど ) このツールは プラットフォーム上のすべてのハードウェア コンポーネントを検出し それらがサポートされているかどうかを確認して その結果を表示します つまり SecurePlatform をコンピュータにインストールできるかどうか ( サポートされる入出力デバイスおよびサポートされる大容量ストレージ デバイスが見つかったかどうか ) およびサポートされるイーサネット コントローラの数とサポートされないイーサネット コントローラの数を表示します ユーザは コンピュータ上で検出されたすべてのデバイスに関する詳細情報を表示できます 14

15 はじめに ユーザは 詳細情報をフロッピー ディスクまたは TFTP サーバに保存したり シリアル ポート経由でダンプしたりできます この情報は サポートされていないデバイスにサポートを追加するために チェック ポイント サポートに送ることができます このツールは テスト対象のハードウェア プラットフォームには変更を加えないので 安全に使用できます はじめに 注 : SecurePlatform には次のハードウェアが必要です 入出力デバイス ( キーボードとモニタまたはシリアル コンソール ) 大容量ストレージ デバイス 1 台以上のサポートされるイーサネット コントローラ (SecurePlatform が VPN-1 Pro ゲートウェイとして設定される場合は複数のコントローラが必要です ) このセクションの構成 CD からの起動フロッピー ディスクから起動してローカルの CD にアクセスフロッピー ディスクから起動してネットワーク経由で CD にアクセス 15 ページ 15 ページ 16 ページ ユーザは ツールが収録された CD から起動するか ディスクから起動してローカルの CD にアクセスするか またはフロッピー ディスクから起動してネットワーク経由で CD にアクセスすることができます ハードウェア プラットフォームにキーボードとモニタが接続されていない場合は シリアル コンソールを使用してハードウェアを検出できます CD からの起動 CD から起動するには 以下の手順に従います 1 コンピュータの BIOS を CD から起動するように設定します 2 ドライブに CD を挿入します 3 コンピュータを起動します フロッピー ディスクから起動してローカルの CD にアクセス このオプションは CD ドライブから起動するようにハードウェア プラットフォームを設定できない ( ただしフロッピー ディスクからは起動できる ) 場合で かつ CD ドライブがある場合に使用する必要があります 第 2 章 SecurePlatform のインストールの準備 15

16 ハードウェア互換性テスト ツール フロッピー ディスクから起動してローカルの CD にアクセスするには 以下の手順に従います 1 ドライブに CD を挿入します 2 ドライブにフロッピー ディスクを挿入します 3 CD-ROM ドライブを参照し SecurePlatform/images フォルダを選択します 4 boot.img ファイルを cprawrite 実行可能ファイルの上にドロップします または NT コマンド シェル (cmd) を使用して 次のコマンドを実行します (D: は CD-ROM ドライブ文字です ) D: SecurePlatform images cprawrite.exe D: SecurePlatform images boot.img 5 コンピュータを起動します フロッピー ディスクから起動してネットワーク経由で CD にアクセス このオプションは テスト対象のコンピュータに CD ドライブがない場合に使用する必要があります この場合は 次の 2 台のコンピュータを使用します CD を挿入するコンピュータ ツールを実行するコンピュータ フロッピー ディスクから起動してネットワーク経由で CD にアクセスするには 以下の手順に従います CD ドライブが搭載されたコンピュータでの操作 以下の手順に従います 1 Microsoft Windows ベースのコンピュータのドライブに CD を挿入します 2 フロッピー ディスク ドライブにフロッピー ディスクを挿入します 3 CD-ROM ドライブを参照し SecurePlatform/images フォルダを選択します 4 bootnet.img ファイルを cprawrite 実行可能ファイルの上にドロップします または NT コマンド シェル (cmd) を使用して 次のコマンドを実行します (D: は CD-ROM ドライブ文字です ) D: SecurePlatform images cprawrite.exe D: SecurePlatform images bootnet.img この手順では フロッピー ディスクに書き込みます このファイルを他のコンピュータ ( ツールを実行するコンピュータ ) に転送します 5 CD ドライブへのアクセスを許可するか CD をハード ディスクにコピーしてそのディスクへのアクセスを有効にすることによって FTP HTTP NFS などを使用してコンテンツをネットワーク上で利用できるようにします 16

17 ハードウェア互換性テスト ツールの使用 テスト対象のコンピュータでの操作 以下の手順に従います 1 上記の手順 4 で作成したフロッピー ディスクをテスト対象のコンピュータのフロッピー ディスク ドライブに挿入します 2 コンピュータを起動します 3 IP アドレス ネットマスク デフォルト ゲートウェイ DNS などのインタフェースのプロパティを設定します このインタフェースを使用してこのコンピュータがネットワークに接続されます このインタフェースを動的 IP アドレス インタフェースとして設定することもできます 4 CD ドライブを搭載したコンピュータ上のファイルへのアクセスを有効にします ( 手順 5 を参照 ) 5 他のコンピュータに対して次の設定を指定します IP アドレス またはホスト名 パッケージ ディレクトリ ユーザ / パスワード ( 必要な場合 ) 6 キーボードとモニタの代わりにシリアル コンソールを使用してインストールする場合は ターミナル エミュレーション ソフトウェアが次のように設定されていることを確認してください 9600 bps 8 データ ピット パリティなし フロー制御なし ハードウェア互換性テスト ツールの使用 ハードウェア ツールは ハードウェアの互換性を自動的にテストします 注 : 単純な 純正の 検出ツールが起動フロッピー ツールに含まれています 何らかの理由で完全な検出ツールが使用できない場合 ( たとえば CDR ドライブがサポートされていない場合 ) でも 単純なツールを使用してハードウェアに関する情報を取得できます この単純なツールは [Installation Method] 画面で [Probe Hardware] ボタンをクリックすることによって使用できます 第 2 章 SecurePlatform のインストールの準備 17

18 推奨される BIOS セキュリティの設定 ツールは 実行が終了すると次の情報を含む概要ページを表示します プラットフォームが SecurePlatform のインストールに適しているかどうかを示すテキスト 検出されたサポートされている大容量ストレージ デバイスおよびサポートされていない大容量ストレージ デバイスの数 検出されたサポートされているイーサネット コントローラおよびサポートされていないイーサネット コントローラの数 [Devices] ボタンをクリックすることによって追加の情報を取得できます デバイス情報ウィンドウにコンピュータ上で検出されたすべてのデバイスが機能別にグループ化されて一覧表示されます 矢印キーを使用してリスト内を移動します 特定のデバイス上で Enter キーを押すと そのデバイスに関する詳細情報が表示されます 詳細情報は フロッピー ディスクまたは TFTP サーバーに保存したり シリアル コンソールを使用してダンプしたりできます この操作は 一部のデバイスがサポートされていない場合に必要になることがあります 推奨される BIOS セキュリティの設定 次に 推奨される BIOS の設定を示します 不正なフロッピー ディスクからの起動およびシステム設定の変更を防止するために システムの BIOS で フロッピー ディスクから起動する オプションを無効にします BIOS の設定変更を防止するために BIOS のパスワードを適用します パスワードを暗記するか安全な場所に保管します 18

19 第 3 章 インストール この章の構成 ネットワークを使用したインストール フロッピー ディスク ドライブまたは CD-ROM ドライブのないコンピュータでのインストール SecurePlatform CD を使用したインストール アップグレード 20 ページ 26 ページ 26 ページ 28 ページ SecurePlatform をインストールする場合は CD フロッピー ディスク またはネットワークからインストールする方法を使用できます これらの方法では linux カーネルと ramdisk が最小限の環境と共にメモリにロードされ その後で RAM ディスク上で検出されたインストーラが実行されます CD インストーラは CD からパッケージを取得します 19

20 ネットワークを使用したインストール ネットワークを使用したインストール このセクションの構成 起動フロッピー ディスクを使用したネットワーク インストール 20 ページ フロッピー ディスクからインストールする場合は インストールするパッケージのソース (FTP HTTP または NFS イメージ ) を指定するように要求されます ネットワーク インストールでは カーネルと RAM ディスクをサーバからロードし その後でフロッピー ディスクによるインストールと同じ方法で続行されます 起動フロッピー ディスクを使用したネットワーク インストール このセクションの構成 ネットワーク インストール サーバの準備 20 ページ ネットワーク インストール起動フロッピー ディスクの準備 22 ページ インストール 23 ページ インストール対象のコンピュータからアクセス可能なリモート ファイル サーバ上で CD 配布ファイルを見つけることによって ネットワークを使用して SecurePlatform をインストールできます 次の 3 つのタイプのサーバおよびプロトコルを使用できます FTP HTTP(Web) NFS ネットワーク ベースのインストールを実行するには 以下の手順に従います 1 ファイル サーバを準備します 2 インストール対象のコンピュータを SecurePlatform 起動フロッピー ディスクから起動します 3 インストール プログラムでサーバを指定します ネットワーク インストール サーバの準備 サポートされているいずれかのリモート ファイル サーバ上で CD 配布ファイルを指定することによって ネットワーク インストール サーバを準備します 注 : Windows コンピュータは インストール用の FTP または HTTP サーバとして使用できません 20

21 起動フロッピー ディスクを使用したネットワーク インストール FTP FTP サーバをネットワーク インストール サーバとして準備するには 以下の手順に従います 1 ローカル ネットワーク内のコンピュータに FTP サーバをインストールするか 既存のサーバを使用します 2 ユーザ アカウントを作成します (FTP インストールでは匿名ユーザまたは認証されたユーザを使用できます ) 3 配布ファイルを格納する FTP クライアントからアクセス可能なファイル サーバ ディレクトリを作成します 4 SecurePlatform CD から SecurePlatform ディレクトリを 手順 3 で作成したファイル サーバ ディレクトリにコピーします 注 : ユーザ アカウントとパスを使用してファイルにアクセスします 5 インストールを実行する前に リモート コンピュータからの FTP 接続性をテストします HTTP HTTP サーバをネットワーク インストール サーバとして準備するには 以下の手順に従います 1 ローカル ネットワーク内のコンピュータに HTTP サーバをインストールするか 既存のサーバを使用します 2 配布ファイルを格納する HTTP クライアントからアクセス可能なディレクトリを作成します 3 SecurePlatform CD から SecurePlatform ディレクトリを手順 2 で作成したファイル サーバ ディレクトリにコピーします 注 : URL を使用してファイルにアクセスします 4 インストールを実行する前に リモート コンピュータから適切な URL へのアクセスをテストします 第 3 章インストール 21

22 ネットワークを使用したインストール NFS NFS サーバをネットワーク インストール サーバとして準備するには 以下の手順に従います 1 ローカル ネットワーク内のコンピュータに NFS サーバをインストールするか 既存のサーバを使用します 2 配布ファイルを格納する NFS クライアントからアクセス可能な新しいディレクトリを共有サブディレクトリの下に作成します 3 SecurePlatform CD から SecurePlatform ディレクトリを手順 2 で作成したファイル サーバ ディレクトリにコピーします または CD 自体をエクスポートしてマウントすることもできます 注 : パスを使用してファイルにアクセスします 4 インストールを実行する前に リモート コンピュータから マウントされたディレクトリへのアクセスをテストします ネットワーク インストール起動フロッピー ディスクの準備 SecurePlatform は FTP HTTP または NFS サーバを使用して ネットワークからインストールできます そのためには cpawrite ユーティリティを使用して 特別なネットワーク インストール起動フロッピー ディスクを準備する必要があります 以下のものを用意する必要があります 空の ( フォーマット済みの )1.44 インチ フロッピー ディスク SecurePlatform CD Windows PC 1 フロッピー ディスクと CD を PC にインストールします 2 CD の SecurePlatform/Images ディレクトリを参照します 3 bootnet.img ファイルを cpawrite のアイコンにドラッグします これにより ネットワーク インストール起動フロッピー ディスクを作成するプロセスが開始されます 22

23 起動フロッピー ディスクを使用したネットワーク インストール インストール FTP HTTP または NFS サーバを使用して SecurePlatform をインストールするには 以下の手順に従います 1 作成した起動フロッピー ディスクをフロッピー ディスク ドライブに挿入し そこから起動します 再起動した後で [SecurePlatform with Application Intelligence Installation] 画面が表示されます 2 Enter キーを押して インストールすることを確認します 続行しないことを選択した場合は CD またはフロッピー ディスクを取り出して再起動するように要求されます 確認したあとに [Welcome] メニューが表示されます 図 3-1 SecurePlatform インストールの [Welcome] メニュー 3 [OK] を選択し Enter キーを押します [Installation Method] メニューが表示されます 第 3 章インストール 23

24 ネットワークを使用したインストール 図 3-2 [Installation Method] メニュー 4 次のいずれかのネットワーク インストール方法を選択し [OK] を選択して Enter キーを押します NFS イメージ FTP HTTP [Interface Selection] メニューが表示されます 図 3-3 [Interface Selection] メニュー 24

25 起動フロッピー ディスクを使用したネットワーク インストール 5 ファイル サーバが実行されているネットワークに接続されたネットワーク インタフェース カードを選択し [OK] を選択して Enter キーを押します [Configure TCP/IP] メニューが表示されます 図 3-4 [Configure TCP/IP] メニュー 6 このコンピュータの IP アドレス設定を指定し [OK] を選択して Enter キーを押します これらの IP アドレスの設定は ファイル サーバへの TCP セッションを作成するために使用され インストールの完了後も有効なままになります ネットワーク インストール方法 (FTP HTTP NFS) に応じて セッション を要求する選択ウィンドウが表示されます 7 セッションの詳細を入力し [OK] を選択して Enter キーを押します バスを要求されたら SecurePlatform がインストールされているディレクトリのパスを入力します 匿名ではない FTP を使用している場合は アカウントの詳細を尋ねられます インストール プログラムがネットワークから配布ファイルを読み取り [Welcome] メニュー (23 ページの図 3-1) が表示されます 8 インストールを続行するには SecurePlatform CD を使用したインストール の 26 ページの手順 3 を参照してください 注 : インストール対象のコンピュータを再起動するように要求されるまで ネットワーク接続を切断しないでください 第 3 章インストール 25

26 フロッピー ディスク ドライブまたは CD-ROM ドライブのないコンピュータでのインストール フロッピー ディスク ドライブまたは CD-ROM ドライブのないコンピュータでのインストール ネットワーク インストール用のサーバを設定し SecurePlatform がインストールされているホスト上でクライアントの設定を実行する必要があります 詳細については 123 ページの フロッピー ドライブまたは CD-ROM ドライブのないコンピュータへのインストール を参照してください SecurePlatform CD を使用したインストール SecurePlatformCD を使用して SecurePlatform をインストールするには 以下の手順に従います 1 次のいずれかを選択します SecurePlatform CD を CD-ROM ドライブに挿入し SecurePlatformNGX CD からコンピュータを再起動します 作成したフロッピー ディスクをフロッピー ディスク ドライブに挿入し そこから起動します 再起動したあとに [SecurePlatform NGX] 画面が表示されます 2 Enter キーを押してインストールを開始します 指定時間内に Enter キーを押さないと コンピュータがハードディスク ドライブから再起動されます 確認したあとに [Welcome] メニューが表示されます 注 : 使用可能なオプションを切り替えるには Tab キーを使用します 3 [Device List] を選択すると [Hardware Scan Details] メニューが表示されます 項目を選択すると 詳細情報を取得できます ハードウェア デバイスのカテゴリには [OTHER DEVICES] [NETWORK DEVICES] および [AUDIO DEVICES] があります ハードウェア デバイスごとの情報には クラス バス ドライバ デバイス デタッチ ベンダ ID デバイス ID サブ ベンダ ID サブ デバイス ID および PCI タイプがあります [Back] を選択すると [Hardware Scan Details] メニューに戻ります デバイス情報の保存先として [Floppy] [TFTP] または[Serial] を選択できます 4 [Add Driver] を選択すると [Devices] メニューが表示されます ドライバ ディスクがあるかどうかを尋ねられます 注 : 更新されたハードウェアが 以前のバージョンのドライバと互換性がないことがあります このような場合は適切なドライバが検出されないので インストール時にエラーが表示されることがあります または インストールは完了してもハードウェアが正しく機能しないことがあります この問題に対処するには インストール時に [Add Driver] を選択し 不足しているドライバを追加します 26

27 起動フロッピー ディスクを使用したネットワーク インストール 5 [Yes] を選択すると デバイス ドライバのディスクを挿入し [OK] を選択して次に進むように指示されます 6 [OK] を選択すると デバイス ドライバがインストールされます 7 [OK] を選択してインストールを進めます 中止する場合は [Cancel] を選択します [Keyboard Selection] メニューが表示されます 8 キーボードの種類を選択し [OK] を選択します 9 [Networking Device] メニューで 最初のネットワーク インタフェース ( 通常は eth0) を管理インタフェースとして選択し [OK] を選択します IP アドレス ネットマスク およびデフォルト ゲートウェイを指定して [OK] を選択します この IP アドレスは インストールが完了し コンピュータを再起動したあとで Web UI を使用して設定作業を行うための接続時に使用されます また インストールが完了した後でも SecurePlatform コンピュータにアクセスするときにこのインタフェースを使用できます 10 [HTTPS Server Configuration] メニューで HTTPS を使用して設定する SecurePlatform を有効にするかどうかを指定します 有効にする場合は 使用するポートを指定します [Confirmation] メニューが表示されます 11 次に進むには [OK] を選択します 中止する場合は [Cancel] を選択します 警告 : インストール手順を実行すると ハードディスク ドライブの情報がすべて消去されます 以下のインストール操作が実行されます ハードディスク ドライブのフォーマット パッケージのインストール インストールの後処理この手順には数分かかります 手順が完了すると [Installation Complete] メニューが表示されます 12 [OK] を選択すると インストールが完了します 13 システムが再起動します インストール中に使用した CD-ROM やフロッピー ディスクは必ず取り出してください ほとんどのシステムでは [Installation Complete] メニューで [OK] を選択すると CD-ROM が自動的に取り出されます 第 3 章インストール 27

28 アップグレード アップグレード このセクションの構成 はじめにアップグレードの計画 SecurePlatform のアップグレード 28 ページ 28 ページ 31 ページ はじめに SecurePlatform を使用すると コンピュータとネットワークの各要素およびインストール済みのチェック ポイント製品を簡単に設定できます 便利なシェルが用意されており ネットワーク設定 バックアップおよびリストア ユーティリティ アップグレード ユーティリティ システム ログ閲覧機能 コントロールなど セキュリティ システムの設定や日常管理を簡単に行うために必要なコマンド セットが提供されます Web GUI を使用すると ほとんどの管理設定と最初のインストール時の設定を使いやすい Web インタフェースから実行できます この章では SecurePlatform NGX にアップグレードする方法を説明します アップグレードの計画 SecurePlatform とその上にインストールされたすべてのチェック ポイント製品をアップグレードするには 製品 CD に収録されたアップグレード パッケージを使用する必要があります この CD を使用すると コマンド ラインまたは SmartUpdate を使用して SecurePlatform をアップグレードできます 注 : SecurePlatform をアップグレードすると SecurePlatform サーバにインストールされているすべてのチェック ポイント製品も自動的にアップグレードされます バックアップ コマンド SecurePlatform のアップグレードでは 次の 2 つのバックアップ シナリオが用意されています セーフ アップグレードでは システム全体の状態の自動スナップショットが取得されるので アップグレード中に問題が発生した場合にシステムを復元できます 手動バックアップでは 次の 2 つのセクションで説明するバックアップ コマンドを使用します 28

29 アップグレードの計画 NG with Application Intelligence 以前のバックアップ コマンド NG with Application Intelligence 以前のバージョンをバックアップするには次の構文を使用します 構文 backup(system cp all) <name> [tftp <ip-address>] 表 3-1 SecurePlatform のバックアップ用 system cp all name [tftp <ip-address>] 説明システム設定のバックアップチェック ポイント製品設定のバックアップすべての設定のバックアップ復元先のバックアップ名設定のバックアップ先 tftp サーバの IP アドレス NG with Application Intelligence R55 以降のバックアップ コマンド NG with Application Intelligence R55 以降のバージョンをバックアップするには次の構文を使用します 構文. backup [-h] [-d] [--purge DAYS] [--sched [on hh:mm <-m DayOfMonth> <-w DaysOfWeek>] off] [[--tftp <ServerIPList> [<Filename>]] [--scp <ServerIPList> <Username> <Password> [<Filename>]] [--file <Filename>]] 注 : たとえば 次のようにバックアップ ユーティリティで purge オプションを使用する場合 0 は有効なオプションではありません backup --purge 0 第 3 章インストール 29

30 アップグレード 表 3-2 バックアップ 説明 -h 使用状況を取得します -d デバッグ フラグ --purge DAYS 以前のバックアップから古いバックアップを削除します [--sched [on hh:mm <-m DayOfMonth> <-w DaysOfWeek>] off] --tftp <ServerIPList> [<Filename>] --scp <ServerIPList> <Username> <Password> [<Filename>] --file <Filename> バックアップを実行する間隔をスケジュールします On - 時間と曜日または日付を指定します Off - スケジュールを無効にします 設定のバックアップ先 TFTP サーバの IP アドレスおよびオプションのファイル名のリスト ServerIPList は , のようなカンマで区切られたサーバー名のリストであり スペースは含みません このリストに含まれる IP アドレスが 1 つだけの場合もあります その場合はカンマは必要ありません 設定のバックアップ先 SCP サーバの IP アドレス SCP サーバにアクセスするために使用されるユーザ名とパスワード およびオプションのファイル名のリスト バックアップをローカルで実行する場合に オプションのファイル名を指定します 注 : Filename を指定しない場合は たとえば :\backup_13_11_2003_12_47.tgz のように backup_day of month_month_year_hour_minutes.tgz の形式でデフォルトの名前が指定されます Patch コマンド Patch コマンドを使用して ソフトウェア製品 パッチなどを SecurePlatform オペレーティング システムにインストールできます Patch コマンドは 次の場所にアクセスしてソフトウェア パッケージを取得できます TFTP サーバ CD-ROM ドライブ ローカル ハード ドライブ上の特定の場所 注 : NGX R60A にアップグレードする場合は patch add CD のみを使用できます 30

31 SecurePlatform のアップグレード 構文 patch add tftp <ip_address> <patch_name> patch add cd <patch_name> patch add <full_patch_path> patch log 表 3-3 Patch 説明 シェル add 新しいパッチをインストールします エキスパート / 制限 log インストールされているすべてのパッチをエキスパート / 制限一覧表示します cd CD からインストールします エキスパート / 制限 tftp TFTP サーバからインストールします エキスパート / 制限 ip パッチが含まれている TFTP サーバのエキスパート / 制限 IP アドレス patch_name インストールするパッチの名前 エキスパート / 制限 password パスワード ( エキスパート モード ) エキスパート / 制限 full_patch_path パッチ ファイルの完全なパス ( たとえばエキスパート /var/tmp/mypatch.tgz) SecurePlatform のアップグレード このセクションの構成 SecurePlatform R54 R55 以降のバージョンでの VPN-1 Pro ゲートウェイのアップグレード SecurePlatform NG FP2 FP3 FP3 Edition 2 上での VPN-1 Pro ゲートウェイのアップグレード 32 ページ 33 ページ このセクションでは SecurePlatform NGX にアップグレードする方法を説明します SecurePlatform は SecurePlatform NGX R60A CD-ROM を使用し # patch add cd コマンドを実行してアップグレードできます さまざまな Patch コマンドのオプションについては 30 ページの Patch コマンド を参照してください 注 : アップグレード ファイルから SecurePlatform NGX R60A へのアップグレードはサポートされていません 第 3 章インストール 31

32 アップグレード SecurePlatform R54 R55 以降のバージョンでの VPN-1 Pro ゲートウェイのアップグレード SecurePlatform オペレーティング システム上で NGX(R60A) にアップグレードするには オペレーティング システムとインストールされているソフトウェア製品の両方を更新する必要があります SecurePlatform のユーザは 正しい SecurePlatform のアップグレード手順に従う必要があります このセクションで説明する手順を実行すると 1 回の手順ですべてのコンポーネント ( オペレーティング システムとソフトウェア パッケージ ) がアップグレードされます 追加のアップグレードは必要ありません CD-ROM の使用 次の手順では CD-ROM ドライブを使用して SecurePlatform R54 以降のバージョンをアップグレードする方法を説明します 1 SecurePlatform にログインします ( エキスパート モードは必要ありません ) 2 次のコマンドを使用して SecurePlatform NGX(R60A) アップグレード パッケージを適用します # patch add cd 3 MD5 チェックサムを確認します 4 次の質問に答えます Do you want to create a backup image for automatic revert? Yes/No [Yes] を選択した場合は セーフ アップグレードが実行されます セーフ アップグレードでは システム全体のスナップショットが自動的に取得されるので アップグレード中に問題 ( たとえば互換性のないハードウェア ) が発生した場合にシステムを復元できます アップグレード プロセスによって動作不良が検出された場合は セーフ アップグレード イメージが自動的に復元されます アップグレードが完了したあとで再起動するするときに SecurePlatform オペレーティング システムを アップグレード後のバージョンのイメージを使用して起動するか またはアップグレード前のイメージを使用して起動するかを手動で選択するオプションが表示されます 32

33 SecurePlatform のアップグレード SecurePlatform NG FP2 FP3 FP3 Edition 2 上での VPN-1 Pro ゲートウェイのアップグレード SecurePlatform オペレーティング システム上で NGX(R60A) にアップグレードするには オペレーティング システムとインストールされているソフトウェア製品の両方を更新する必要があります SecurePlatform ユーザは 正しい SecurePlatform のアップグレード手順に従う必要があります このセクションで説明する手順を実行すると 1 回の手順ですべてのコンポーネント ( オペレーティング システムとソフトウェア パッケージ ) がアップグレードされます 追加のアップグレードは必要ありません 詳細については SecurePlatform/SecurePlatform Pro NGX(R60A) を参照してください R54 より前のバージョンをアップグレードするには Patch コマンドをアップグレードする必要があります 1 SecurePlatform NGX(R60A)CD をドライブに挿入します 2 [Expert] モードに切り替えます # expert 3 次のオプションを選択して patch コマンドをアップグレードします CD-ROM ドライブを使用して Patch コマンドをアップグレードするには 以下のコマンドを実行します # mount /mnt/cdrom # patch add /mnt/cdrom/secureplatform/patch/cppatch_command_*.tgz. 4 次のコマンドを使用し CD-ROM ドライブを使用して SecurePlatform NGX(R60A) アップグレード パッケージを適用します # patch add cd 5 MD5 チェックサムを確認します 6 次の質問に答えます Do you want to create a backup image for automatic revert? Yes/No [Yes] を選択した場合は セーフ アップグレードが実行されます セーフ アップグレードでは システム全体のスナップショットが自動的に取得されるので アップグレード中に問題 ( たとえば互換性のないハードウェア ) が発生した場合にシステムを復元できます アップグレード プロセスによって動作不良が検出された場合は セーフ アップグレード イメージが自動的に復元されます アップグレードが完了した後に再起動すると アップグレードされたバージョンのイメージを使用して SecurePlatform オペレーティング システムを起動するか アップグレード前のイメージを使用するかを手動で選択するオプションが表示されます 第 3 章インストール 33

34 アップグレード 34

35 第 4 章 設定 この章の構成 コマンド ラインの使用 35 ページ Web インタフェースの使用 38 ページ SecurePlatform を使用すると コンピュータとネットワークを簡単に設定してチェック ポイント製品をインストールできます コマンド ラインの使用 このセクションでは すべての設定を行うための対話型のメニューを提供する sysconfig アプリケーションについて説明します 設定は SecurePlatform シェルによって提供されるコマンド ライン ユーティリティを使用して行うこともできます SecurePlatform シェルについては 68 ページの SecurePlatform シェル で説明します コマンド ラインを使用した初期設定 CD-ROM からのインストールが完了し コンピュータが再起動された後は 以下を実行するために初期設定が必要になります ネットワークの設定 ライセンスの適用 インストールする製品の選択 SmartCenter の初期設定 ( 選択した場合 ) 新規インストールの手順 1 コンソールから sysconfig コマンドを実行し テキスト インタフェースを使用して SecurePlatform を設定します 2 コマンドラインのセットアップ ウィザードが開始されます 画面の指示に従って 初回の設定を進めます 35

36 コマンド ラインの使用 3 次のメニューに進む場合は N キーを ウィザードを終了する場合は Q キーを押してから Enter キーを押します 4 N キーを押して Enter キーを押した場合は 以下の [Network Configuration] メニュー オプションが表示されます 1)Host Name( ホスト名の設定と表示 ) 2)Domain Name( ドメイン名の設定と表示 ) 3)Domain Name Servers(DNS サーバの追加 削除 表示 ) 4)Network Connections( 接続の追加 設定 削除 表示 ) 5)Routing( デフォルト ゲートウェイの設定と表示 ) 5 以下の項目を設定する必要があります コンピュータ名 ドメイン名と最大 3 つの DNS サーバ コンピュータのネットワーク インタフェース デフォルト ゲートウェイ 6 必要なオプション番号を入力して Enter キーを押します [Choose an action] メニューの操作オプションが表示されます 7 必要なオプション番号を入力して Enter キーを押します 前のメニューに戻るには E キーを押してから Enter キーを押します 8 [Network Configuration] の完了後は N キーを押してから Enter キーを押し 次のメニューである [Time and Date Configuration] に進みます P キーを押してから Enter キーを押し 前のメニューに戻るか Q キーを押してから Enter キーを押し ウィザードを終了します [Time and Date Configuration] メニューで現在の日時を入力し タイム ゾーンを設定できます 注 : これにより SecurePlatform オペレーティング システムのインストールが完了します 特定の製品の詳細なインストール手順については その製品のマニュアルを参照してください sysconfig の使用 コマンド ライン セットアップ ウィザードを使用して初期設定を実行した後に sysconfig を使用して設定を変更できます sysconfig を実行するには SecurePlatform にログインし プロンプトで sysconfig と入力します sysconfig メイン メニューには さまざまな設定項目が一覧表示されます ( すべての設定項目を定義する必要があります ) 各メニュー項目を 1 つずつ順番に設定することをお勧めします 36

37 sysconfig の使用 メニュー項目を設定するには 対応する番号を入力して Enter キーを押します メイン メニューのオプションを選択すると さまざまな設定項目を設定または表示するための追加メニューが表示されます メイン メニューに戻るには [Done] メニュー項目を選択します 終了するには メイン メニューから [Exit] を選択します 設定オプションを選択すると sysconfig から すべての関連する設定を入力するように要求されます すべてのの入力が完了すると すぐに変更が適用されます 注 : sysconfig の使用中に e を入力すると 1 つ上のレベルのメニューに移動します 表 4-1 Sysconfig 設定オプション メニュー項目 各メニュー項目の内容 1 Host Name ホスト名の設定または表示 2 Domain Name ドメイン名の設定または表示 3 Domain Name Servers DNS サーバの追加または削除 あるいは設定済み DNS サーバの表示 4 Time & Date タイム ゾーン 日付 およびローカル時刻の設定 または日付と時刻の設定の表示 5 Network Connections 設定の追加または削除 ネットワーク接続の設定 またはネットワーク接続の設定の表示 6 Routing ネットワークとルートの追加 新しいホストの追加 デフォルト ゲートウェイの設定 ルートの削除 またはルーティング設定の表示 7 DHCP Server SecurePlatform DHCP サーバの設定 Configuration 8 DHCP Relay DHCP リレーの設定 Configuration 9 Export Setup チェック ポイント環境のエクスポート 10 Products Installation チェック ポイント製品のインストール (cpconfig) 詳細については 製品のインストール手順を参照してください 11 Products Configuration チェック ポイント製品の設定 (cpconfig) 詳細については 次の チェック ポイント製品の設定 を参照してください 第 4 章設定 37

38 Web インタフェースの使用 チェック ポイント製品の設定 チェック ポイント製品を設定するには sysconfig アプリケーションでこのオプションを選択するか SecurePlatform シェルから使用できる cpconfig アプリケーションを実行します チェック ポイント製品の設定の詳細については 導入の手引き を参照してください チェック ポイント製品の設定手順が終了するとすぐにシステムを再起動するように要求されます 再起動すると システムが使用可能になります 注 : 製品を有効にするには チェック ポイント製品の設定手順 (cpconfig) を実行する必要があります 以下の手順に従います 実施モジュールをインストールした場合は 新しいゲートウェイのセキュリティ VPN および QoS ポリシーの設定方法について 導入の手引き および SmartCenter Guide を参照してください SmartCenter サーバをインストールした場合は チェック ポイント SmartConsole を使用して新しい SmartCenter サーバを接続する方法について 導入の手引き および SmartCenter Guide を参照してください VPN-1 Pro をインストールした場合は 新しい製品を接続して設定する方法について 導入の手引き を参照してください Web インタフェースの使用 この章では SecurePlatform の Web インタフェースについて説明します ほとんどの一般的な操作は Web インタフェースを使用して実行できます 他の設定オプションの詳細については 35 ページの コマンド ラインの使用 を参照してください 注 : Web インタフェースは FIPS 準拠モードではアクセスできません Web インタフェースを使用した初期設定 CD-ROM からのインストールが完了し コンピュータが再起動された後は 以下を実行するために初期設定が必要になります ネットワークの設定 時刻 / 日付 / タイム ゾーンの設定 使用可能な SSH および管理 Web UI クライアントの IP アドレスの設定 インストールする製品の選択 インストールした製品の初期設定 38

39 Web インタフェースを使用した初期設定 初期設定を行うには 以下の手順に従います 1 ネットワークの設定中に指定した IP アドレス ( たとえば を使用するようにブラウザを設定します 初めてインストールする場合は [End User s License Agreement ] ページが表示されます ライセンス契約の条件に同意すると [Login] ページが表示されます または コンソールから sysconfig コマンドを実行し テキスト インタフェースを使用して SecurePlatform を設定できます 2 [Login] ページで ユーザ名に admin パスワードに admin を使用してログインします 初めてユーザ名とパスワードを入力した場合は [Change Password] ページが表示されます 3 [Change Password] ページで 以下の手順に従います 使用可能なワンタイム ログイン キーを使用することをお勧めします [Onetime Login Key] セクションで [Download] をクリックします [Login Key Challenge] ページが表示されます [Question] と [Answer] に入力し [OK] をクリックします 管理者のユーザ名とパスワードを入力します 作業が終了したら [Save and Login ] をクリックします 注 : 定義したユーザ名とパスワードは Web インタフェースとコンソールの両方で使用されます [Welcome] ページが表示されます セットアップ ウィザードが開始されます 画面の指示に従って初回の設定を進めます 次のページに進むには [Next] をクリックし 前のページに戻るには [Back] をクリックします 4 [Next] をクリックして [Network Configuration] ページに進みます 各インタフェースの IP アドレスとネットワーク マスクを設定できます イーサネット インタフェースの MAC アドレスの変更 VLAN の追加などを行うことができます 各インタフェースをプライマリ IP アドレスに関連付け オプションで 1 つ以上のセカンダリ IP アドレスに関連付けることができます 注 : このページにはアプライアンス上のすべての物理 NIC のリストが表示されます プライマリ IP アドレスは DHCP を使用して自動的に IP アドレスを取得するように設定できます ただし 実稼動環境の構成ではこのオプションはお勧めできません 第 4 章設定 39

40 Web インタフェースの使用 インタフェースのプライマリ IP アドレスを設定するには 以下の手順に従います a 特定のインタフェースをクリックします [Connection Configuration] ページが表示されます b [Use the following configuration] を有効にした場合は IP アドレスとネットマスクを入力します c [Obtain IP address automatically (DHCP)] を有効にした場合は プライマリ IP アドレスは DHCP を使用して自動的に取得されます d e f MTU 値を指定します 物理アドレス (MAC アドレス ) を指定します リンク速度とデュプレックスの値をドロップダウン ボックスから選択します g [Apply] をクリックします インタフェースに IP アドレスを追加するには 以下の手順に従います [Network Connections] ページで [New] をクリックします [Add Network Connections] ドロップダウン ボックスが表示されます 以下のオプションがあります Secondary IP PPTP PPPoE ISDN VLAN Loopback インタフェースにセカンダリ IP アドレスを追加するには 以下の手順に従います a [Secondary IP] を選択します [Add Secondary IP Connection] ページが表示されます b [Add Secondary IP Connection] ページで以下の手順に従います i) ドロップダウン ボックスからインタフェースを選択します ii)ip アドレスを指定します iii) ネットワーク マスクを指定します c [Apply] をクリックします 40

41 Web インタフェースを使用した初期設定 インタフェースに PPTP 接続を追加するには 以下の手順に従います a [PPTP] を選択します [Add PPTP Connection] ページが表示されます b [Add PPTP Connection] ページで以下の手順に従います i) リモート サーバの IP アドレスを指定します ii) リモート サーバ名を指定します 注 : このコンピュータからリモート サーバにアクセスできることを確認します iii) ユーザ名とパスワードを指定します iv) デフォルト ゲートウェイの自動取得を選択できます v)dns の自動取得を選択できます vi) 起動時の自動接続を選択できます c [Apply] をクリックします インタフェースに PPPoE 接続を追加するには 以下の手順に従います a [PPPoE] を選択します [Add PPPoE Connection] ページが表示されます b [Add PPPoE Connection] ページで 以下の手順に従います i) ドロップダウン ボックスからインタフェースを選択します ii) ユーザ名とパスワードを指定します iii) デフォルト ゲートウェイの自動取得を選択できます iv)dns の自動取得を選択できます v) 起動時の自動接続を選択できます c [Apply] をクリックします インタフェースに ISDN 接続を追加するには 以下の手順に従います a [ISDN] を選択します [Add ISDN Connection] ページが表示されます b [Add ISDN Connection] ページで 以下の手順に従います i) ドロップダウン ボックスからチャネル プロトコルを選択します ii) プロバイダ名を指定します iii) 国コードを指定します iv) 市外局番を指定します v) 電話番号を指定します vi) ユーザ名とパスワードを指定します vii) デフォルト ゲートウェイの自動取得を選択できます viii) ダイヤル オン デマンドを選択できます ix)dns の自動取得を選択できます x) 起動時の自動接続を選択できます 第 4 章設定 41

42 Web インタフェースの使用 c [Apply] をクリックします インタフェースに VLAN 接続を追加するには 以下の手順に従います a [VLAN] を選択します [Add VLAN Connection] ページが表示されます b [Add VLAN Connection] ページで以下の手順に従います i) ドロップダウン ボックスからインタフェースを選択します ii)vlan 番号を指定します iii)[use the following configuration] を有効にした場合は IP アドレスとネットマスクを入力します iv)[obtain IP address automatically (DHCP)] を有効にした場合は プライマリ IP アドレスは DHCP を使用して自動的に取得されます c [Apply] をクリックします インタフェースにループバック接続を追加するには 以下の手順に従います a [Loopback] を選択します [Add Loopback Connection] ページが表示されます b [Add Loopback Connection] ページで 以下の手順に従います i) IP アドレスを指定します ii) ネットマスクを指定します c [Apply] をクリックします 5 [Routing Table] ページで 静的ルートまたはデフォルト ルートを追加したり それらを削除したりできます 注 : 既存のルートを編集することはできません 特定のルートを変更するには ルートを削除してその代わりに新しいルートを作成します デバイスに接続できるようにするルートを削除しないように注意してください ルートを削除するには 以下の手順に従います 特定のルートのチェック ボックスをオンにし [Delete] をクリックします ルーティングを設定するには 以下の手順に従います [Routing Table] ページで [New] をクリックします [Add Route] ドロップダウン ボックスが表示されます 以下のオプションがあります Route Default Route 42

43 Web インタフェースを使用した初期設定 新しいルートを追加するには 以下の手順に従います a [Route] を選択します [Add New Route] ページが表示されます b [Add New Route] ページで次の項目を指定します i) 接続先の IP アドレス ii) 接続先のネットマスク iii) インタフェース ( ドロップダウン ボックスから選択します ) iv) ゲートウェイ v) メトリック c [Apply] をクリックします デフォルト ルートを追加するには 以下の手順に従います a [Default Route] を選択します [Add Default Route] ページが表示されます b [Add Default Route] ページで次の項目を指定します i) ゲートウェイ ii) メトリック c [Apply] をクリックします 6 [DNS Servers] ページで 最大 3 つの DNS サーバの IP アドレスを指定します 7 [Host and Domain Name] ページで 以下の手順に従います ホスト名を指定します ドメイン名を指定します ドロップダウン ボックスからインタフェースを選択します ホスト名は このインタフェースの IP アドレスに関連付けられます 8 [Date and Time Setup] ページで 現在の日付と時刻およびタイム ゾーンの設定を入力できます 日付は dd-mon-yyyy( たとえば 31-Dec-2003) の形式で指定する必要があります 時刻は HH:mm( たとえば 23:30) の形式で指定する必要があります NTP は インターネット上でコンピュータのクロックを同期させるために使用されます [Apply] をクリックして日付と時刻を適用します 警告 : 日付と時刻を変更しても [Apply] をクリックしないと変更は有効になりません 第 4 章設定 43

44 Web インタフェースの使用 9 [Web/SSH Clients] ページに クライアントの設定済み IP アドレスのリストが表示されます クライアントの設定済み IP アドレスのみが SecurePlatform と SSH サービスにアクセスを許可されます Web/SSH クライアントを追加または削除できます Web/SSH クライアントを削除するには 以下の手順に従います 特定の Web/SSH クライアントのチェック ボックスをオンにし [Delete] をクリックします Web/SSH クライアントを追加するには 以下の手順に従います a [Web/SSH Clients] ページで [New] をクリックします [Add Web/SSH Client] ページが表示されます b IP アドレス 解決可能な名前 または Web クライアントのネットワークを追加できます 注 : ホスト名にワイルドカードまたは any を含めることもできます any を指定すると すべての Web/SSH クライアントからの接続が有効になります c [Apply] をクリックします 10 [Installation options] ページで [Check Point Enterprise/Pro]( 本社と支社の場合 ) または [Check Point Express]( 中規模企業の場合 ) を選択します 選択した項目に応じて ウィザードに表示される他のページが決まります 11 [Products Selection] ページで 次の 1 つ以上のオプションを選択し [Next] をクリックします ( 選択した項目に応じて ウィザードに表示される他のページが決まります ) VPN-1 Pro: チェック ポイント VPN ソリューションの基礎であり リモート アクセス イントラネット およびエクストラネットの VPN 用の最も包括的な製品とテクノロジのセットです VPN-1 Pro はインターネット経由のビジネス コミュニケーションのプライバシを保護し 同時に重要なネットワーク リソースを不正なアクセスから保護します Advanced Routing Suite: ダイナミック ルーティングとマルチキャスト プロトコルのサポートを SecurePlatform およびその上にインストールされるチェック ポイント製品の統合された一部として追加します サポートされるプロトコルには RIP v.1 と v.2 OSPF BGP IGMP PIM-SM PIM-DM などがあります SmartCenter: チェック ポイントの最も重要な管理ソリューションであり 使いやすいダッシュボードを備えています 管理者は このダッシュボードを使用して VPN ファイアウォール および QoS ポリシーを中央で定義できます Eventia Reporter: チェック ポイントのログ データから取得した詳細なネットワーク セキュリティの活動とイベントの情報を提供する 完全なレポート システムです 44

45 Web インタフェースを使用した初期設定 VPN-1 Pro を選択した場合は 次の 1 つ以上のオプションを選択してください Performance Pack:VPN-1 Pro ゲートウェイ用のソフトウェア ベースのアクセラレーション モジュールです アクセス制御 暗号化 NAT アカウンティングなどの主要なセキュリティ機能を強化することによって ギガビット ネットワークでワイヤ スピードによるファイアウォールと VPN のスループットを実現します SmartView Monitor: セキュリティおよび VPN のパフォーマンス分析ソリューションであり 帯域幅 ラウンドトリップ タイム CPU 使用率などのメトリックをグラフィカルに表示します 組織は SmartView Monitor によって提供される情報を活用して セキュリティに関する ROI の最大化 パフォーマンスの強化 ネットワークとセキュリティ コストの管理を行うことができます SmartDefense: 顧客は SmartDefense を使用してすべてのネットワークおよびアプリケーションに対する攻撃の防御を設定 適用 および更新できます SmartDefense は ステートフル インスペクションと Application Intelligence のテクノロジを使用して 既知および未知のすべての攻撃から組織を保護します SmartDefense はさらに チェック ポイント SMART 管理およびレポート インフラストラクチャと統合され 攻撃 攻撃検出 遮断 ロギング 監査 警告に関するリアルタイム情報を表示する 集中管理された単一のコンソールを提供します Web Intelligence:Web Intelligence と Malicious Code Protector を併用して Web コンテンツおよび埋め込みアプリケーション コードを検査します Web Intelligence は高速で正確であり 攻撃を事前に阻止します チェック ポイント セキュリティ ソリューションと統合することで 迅速な導入 簡単な管理 Web 環境全体の最も強力な保護を実現できます UserAuthority:e ビジネス アプリケーションに対してユーザを認証するための 統一された安全な通信レイヤを提供します UserAuthority を使用すると アプリケーションで VPN-1 Pro の認証およびセキュリティ情報を基にしてインテリジェントな認証判断を行うことができます 12 [VPN-1 Pro] を選択した場合は [Gateway Type] ページが表示されます 必要な場合はゲートウェイのタイプを定義し 必要ない場合はこのオプションをスキップします a[define the gateway type] を選択した場合は 次のいずれかを選択できます This gateway is a member of a Cluster This gateway uses dynamically assigned IP b[next] をクリックします 第 4 章設定 45

46 Web インタフェースの使用 クラスタのメンバ ゲートウェイをクラスタのメンバとして設定する場合は 初めに [This gateway is a member of a Cluster] を選択し 次に SmartDashboard を使用して設定を実行する必要があります 動的に割り当てられた IP アドレスの使用 ゲートウェイで DAIP を使用する場合は ゲートウェイで接続を開始する必要があります ただし [VPN Link Selection] タブで [DNS Resolution] 機能を有効にした場合は ピアも接続を開始できます 13 [Secure Internal Communication (SIC) Setup] ページで ゲートウェイと SmartCenter サーバの間の SIC(Secure Internal Communication) を確立できます その後で このゲートウェイの証明書がこの接続を介して配信されます 証明書がこのゲートウェイに到着すると ゲートウェイは他のチェック ポイント通信コンポーネントと通信できます ウィザードを実行しているときに アクティベーション キーを入力して [Next] をクリックすることで SIC を確立します または アクティベーション キーを入力して [Initialize] をクリックすることで SIC を確立することもできます SIC は SmartCenter サーバとゲートウェイの両方で初期化または再初期化する必要があります この処理を行うには SmartDashboard または SmartLSM を使用し ゲートウェイ オブジェクトを編集して このページで指定したと同じアクティベーション キーを入力します [Next] をクリックします 14 [SmartCenter] を選択した場合は [Management Type] ページが表示されます 次のいずれかのオプションを選択し [Next] をクリックします Primary SmartCenter: 最初にインストールする SmartCenter サーバは チェック ポイント Management High Availability を使用するかどうかに関係なく 常にプライマリ SmartCenter として定義する必要があります Secondary SmartCenter: チェック ポイント Management High Availability で 次に定義する SmartCenter サーバはセカンダリ SmartCenter として定義する必要があります このサーバはプライマリ SmartCenter に障害が発生した場合にプライマリ SmartCenter から処理を引き継ぎます Log Server:SmartCenter サーバの負荷を減らすために 管理者はログ サーバをインストールし ログをこれらのログ サーバに転送するようにモジュールを設定できます この場合 SmartView Tracker を使用して SmartCenter サーバ コンピュータではなくログ サーバ コンピュータにログを記録することでログが表示されます プライマリ SmartCenter またはセカンダリ SmartCenter を選択した場合は ログ サーバが含まれます 15 Eventia Reporter は チェック ポイント製品によって発行されたログを基にしてレポートを生成します [Eventia Reporter] を選択し [SmartCenter] を選択しない場合は [Eventia Reporter Setup Type] ページが表示されます [Local Eventia Reporter installation] または [Eventia Reporter SmartCenter Add-on] を選択して [Next] をクリックする必要があります 46

47 Web インタフェースのレイアウト 16 [SmartCenter GUI Clients] ページでは 管理者が SmartCenter サーバに接続するときに接続を許可されるリモート コンピュータを指定します GUI クライアントを追加または削除することもできます 構成済みの GUI クライアントのタイプ ホスト名 IP アドレス およびネットマスクが表示されます 新しい GUI クライアントを追加するには [Add] をクリックします GUI クライアントを削除するには 特定の GUI クライアントのチェック ボックスをオンにして [Remove] をクリックします 17 [Add a SmartCenter GUI Client] ページで ホスト名またはネットワーク名を入力できます ホスト名にワイルドカード IP アドレスの範囲 または any を含めることもできます any を指定すると すべての GUI クライアントからの接続が有効になります [Apply] をクリックし [Next] をクリックします 18 [SmartCenter Administrators] ページに設定済みの管理者が一覧表示され SmartCenter 管理者を追加できます 管理者が設定されていない場合も このページで SmartCenter 管理者を追加できます この SmartCenter 管理者は SmartCenter に対する読み取り / 書き込み権限を持ち SmartCenter 管理者アカウントの管理を許可されます 新しい管理者をリストに追加するには [Add] をクリックします SmartCenter 管理者を削除するには 特定の SmartCenter 管理者のチェック ボックスをオンにして [Remove] をクリックします 19 [Add a SmartCenter Administrator] ページで 管理者名とパスワードを入力します [Apply] をクリックし [Next] をクリックします 20 ウィザードの最後のページである [Summary] ページには インストールすることを選択したすべての製品が表示されます 21 [Finish] をクリックすると インストールが完了します Web インタフェースのレイアウト SecurePlatform の初期設定を実行するには 初期設定ウィザードを使用します その後で SecurePlatform Web UI を使用して詳細な設定を行います Web UI のレイアウトは 次の 3 つの部分に分かれています 左側のメイン ナビゲーション メニューでは 主なカテゴリを選択できます 右上の [Page Title] ペインには [Help] と [Logout] リンクが表示されます 右下の [Page Contents] ペインには ページのデータが表示されます Status [Status] カテゴリには システムの機能の要約が示されます Device Status このページには デバイスのステータスの要約 コンピュータのホスト名 バージョンとビルド インストールのタイプなどの情報が表示されます 第 4 章設定 47

48 Web インタフェースの使用 Network このカテゴリには 物理ネットワーク インタフェース VLAN ルーティング DNS その他のデバイスなど ネットワーク設定の管理を指定するためのツールが含まれています Network Connections このページでは 既存のネットワーク接続 ( たとえば PPPoE や PPTP を使用した xdsl 接続 ) のプロパティを編集したり イーサネット インタフェースに VLAN を追加したりできます [Network Connections] の表には 使用可能なすべてのネットワーク接続が表示されます この表を使用するには 以下の手順に従います 1 特定の接続のプロパティを編集するには 特定のインタフェースのリンクをクリックします 2 選択した接続を削除するには 特定のインタフェースのチェック ボックスをオンにして [Delete] をクリックします 注 : 特定のインタフェースのチェック ボックスをオンにし [Down] ボタンをクリックしてインタフェースを無効にすることができます ループバックおよびイーサネット接続を削除することはできません 3 接続を追加するには [New] をクリックし ドロップダウン リストから接続のタイプを選択します [Apply] をクリックします 4 このページを表示しているときに設定を変更した場合は [Refresh] をクリックして表を更新します Routing このページを使用して デバイス上のルーティング テーブルを管理できます 静的ルートまたはデフォルト ルートを追加したり それらを削除したりできます 注 : 既存のルートを編集することはできません 特定のルートを変更するには ルートを削除してその代わりに新しいルートを作成します デバイスに接続できるようにするルートは削除しないように注意してください ルートを削除するには 以下の手順に従います 特定のルートのチェック ボックスをオンにし [Delete] をクリックします ルーティングを設定するには 以下の手順に従います 48

49 Web インタフェースのレイアウト [Routing Table] ページで [New] をクリックします [Add Route] ドロップダウン ボックスが表示されます 以下のオプションがあります Route Default Route 新しいルートを追加するには 以下の手順に従います 1 [Route] を選択します [Add New Route] ページが表示されます 2 [Add New Route] ページで次の項目を指定します a 宛先 IP アドレス b 宛先ネットマスク c インタフェース ( ドロップダウン ボックスから選択します ) d ゲートウェイ e メトリック f [Apply] をクリックします デフォルト ルートを追加するには 以下の手順に従います 1 [Default Route] を選択します [Add Default Route] ページが表示されます 2 [Add Default Route] ページで次の項目を指定します a ゲートウェイ b メトリック c[apply] をクリックします DNS [DNS] ページで 最大 3 つの DNS サーバの IP アドレスを定義できます ドメイン [Host and Domain Name] ページで 以下の手順に従います ホスト名を指定します ドメイン名を指定します ドロップダウン ボックスからプライマリ インタフェースを選択します ホスト名は このインタフェースの IP アドレスに関連付けられます 第 4 章設定 49

50 Web インタフェースの使用 Hosts( ホスト ) このページを使用してホストのローカル解決を設定できます [New] をクリックして新しいホストを追加したり 特定のホスト名のチェック ボックスをオンにして [Delete] をクリックすることで既存のエントリを削除したりできます ホストを追加するには 以下の手順に従います 1 [Next] をクリックします [Add Host] ページが表示されます 2 [Add Host] ページで 以下の手順に従います ホスト名を指定します ホストの IP アドレスを指定します 3 [Apply] をクリックします Device( デバイス ) デバイス カテゴリを使用してデバイス自体を制御できます このカテゴリには次のトピックが含まれています Control Date and Time Backup Upgrade Administration Web Server Device Administrators Authentication Servers Web and SSH Clients Administrator Security SmartCenter Administrators SmartCenter GUI Clients Download SmartConsole Applications Control このページには コンピュータ上で実行されているすべてのプロセスに関する診断情報が表示されます 各プロセスについて ユーザ PID 親の PID CPU 使用率 メモリ使用率 およびコマンドが表示されます [Device Control] ドロップダウン リストを使用して 任意のチェック ポイント製品を開始 再開 または停止できます さらに デバイスをシャットダウンまたは再起動したり サポートに役立つ診断ファイル (cpinfo の出力 ) をダウンロードしたりできます [Refresh] をクリックして ページに表示される情報を更新できます 現在表示されている診断情報をファイルに保存できます 50

51 Web インタフェースのレイアウト Date and Time このページでは SecurePlatform の日付と時刻を定義できます オプションで NTP を使用できます [Date and Time Setup] ページで 現在の日付と時刻およびタイム ゾーンの設定を入力できます 日付は dd-mon-yyyy( たとえば 31-Dec-2003) の形式で指定する必要があります 時刻は HH:mm( たとえば 23:30) の形式で指定する必要があります NTP は インターネット上のコンピュータのクロックを同期するために使用されます [Apply] をクリックして日付と時刻を設定します 警告 : 日付と時刻を変更しても [Apply] をクリックしないと変更は有効になりません Backup このページを使用してバックアップを設定できます バックアップのスケジュールを設定することも すぐにバックアップ操作を実行することもできます バックアップ データは TFTP サーバ SCP サーバ またはローカルに保存できます さらに バックアップ ログを表示できます 注 : Unix/Linux がインストールされた TFTP サーバを保存用に使用する場合は バックアップを実行する前に 指定したバックアップ ファイルと同じ名前のどこからでも書き込み可能なファイルを作成する必要があります そのようにしないと バックアップは成功しません TFTP サーバのマニュアルまたは TFTP プロトコルを参照して 作業している環境と util に互換性があることを確認してください SecurePlatform のバックアップ メカニズムを使用して 動的な構成全体のスナップショットをエクスポートできます あとで障害が発生したときには 以前の状態を復元するためにエクスポートした設定をインポートできます このメカニズムは ソフトウェアのシームレスなアップグレードでも使用されます 情報のバックアップ バックアップされる情報には次のものが含まれます 管理 GUI で実行されたすべての設定 ネットワーク設定データ ユーザ設定 ( お気に入り クレデンシャル クッキーなど ) のデータベース 一般的に次の 2 つのケースでバックアップが使用されます 現在の設定が機能しなくなった場合に 以前のシステム状態に戻すために以前にエクスポートした設定を使用できることがあります 第 4 章設定 51

52 Web インタフェースの使用 新しい SecurePlatform のバージョンへのアップグレード 以下の手順が含まれます 現在のバージョンの設定のバックアップ 新しいバージョンのインストール バックアップした設定のインポート 設定可能なスケジュールに従ってバックアップを実行できます [Backup] ページに [Current device date and time] が表示されます このフィールドには デバイスの現在のローカル時刻が表示されます この時刻はブラウザのコンピュータ時刻とは異なる場合があります スケジュールのステータスの表示 スケジュールのステータスを表示するには 以下の手順に従います [Scheduling Status] ペインには 以下の情報が表示されます Enabled: バックアップが現在有効になっています Backup to: バックアップ先として 現在の SecurePlatform TFTP サーバ SCP サーバのいずれかを指定できます Start at: バックアップの開始時刻 Recur every: 繰り返しのパターン バックアップの復元 バックアップを復元するには デバイスから restore shell コマンドを実行します 構文は次のとおりです restore [-h] [-d][[--tftp <ServerIP> <Filename>] [--scp <ServerIP> <Username> <Password> <Filename>] [--file <Filename>]] 説明 -h 使用方法を取得します -d デバッグ フラグ --tftp <ServerIP> [<Filename>] --scp <ServerIP> <Username> <Password> [<Filename>] --file <Filename> 設定の復元元の TFTP サーバの IP アドレスとファイル名 設定の復元元の SCP サーバの IP アドレス SCP サーバにアクセスするために使用されるユーザ名とパスワード およびファイル名 ローカルで実行される復元操作のためのファイル名を指定します 52

53 Web インタフェースのレイアウト 追加のフラグを指定せずに restore コマンド自体を実行すると オプションのメニューが表示されます メニュー内のオプションは restore コマンドのコマンド ライン フラグと同じ機能を提供します Choose one of the following: [L] Restore local backup package [T] Restore backup package from TFTP server [S] Restore backup package from SCP server [R] Remove local backup package [Q] Quit 操作を選択します 古いバージョンの SecurePlatform のバックアップの復元 FP2 FP3 NG AI など古いバージョンの SecurePlatform のバックアップを復元する場合は ルート IP の設定 VLAN インタフェースの構成 ユーザ アカウント ホスト名とドメイン名 WebUI ポートなどのシステム設定のみが復元されます 新しいバージョンの SecurePlatform で保存したバックアップを古いバージョンの SecurePlatform に復元することはできません たとえば R55 で保存したバックアップを NG AI に復元することはできません restore で 現在インストールされているチェック ポイント製品のバージョンが バックアップ ファイルに保存されているバージョンと一致しないことが検出されると 次の情報が表示されます SecurePlatform NG AI R55 以降のバックアップから復元する場合 The following information will be restored: system The following information will NOT be restored: cp_products Choose one of the following: [C] Continue. [M] Modify which information to restore. [Q] Quit Your choice: 第 4 章設定 53

54 Web インタフェースの使用 [Continue] を選択すると システム設定のみが復元されます SecurePlatform NG AI 以前のバックアップから復元する場合は 次の情報が表示されます Restoring... Backup file was created MM-DD-YYYY-HH:MM. The MD5 checksum of the backup file is: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Do you wish to restore this file (Y/N)? N を入力すると 復元が中止されます The restore operation will replace current configuration. After restore you have to reboot your system. Do you wish to proceed (Y/N)? N を入力すると 復元が中止されます Restore completed successfully. You have to reboot your system now. Reboot now (Y/N)? バックアップのスケジュール バックアップをスケジュールするには 以下の手順に従います 1 [Backup] ページで [Scheduled backup] をクリックします [Scheduled backup] ページが表示されます 2 [Enable backup recurrence] チェック ボックスをオンにします 3 バックアップ スケジュールを設定します 4 バックアップを格納するデバイスを選択します オプションには 現在の SecurePlatform TFTP サーバ (Trivial File Transfer Protocol: ディレクトリまたはパスワード機能を持たない TCP/IP FTP プロトコルのバージョン ) または SCP サーバ (SCP は安全な FTP プロトコル ) があります 5 [Apply] をクリックします バックアップを実行するには 以下の手順に従います [Backup now] をクリックします バックアップ ログの表示 バックアップ ログを表示するには 以下の手順に従います [View backup log] をクリックします [Backup Log] ページが表示されます デバイスの日付と時刻 場所 ( バックアップの送信先のデバイス ) 場所の IP アドレス バックアップのステータスと詳細が表示されます アップグレード デバイスをアップグレードするには 以下の手順に従います 54

55 Web インタフェースのレイアウト 1 アップグレード パッケージ ファイルを選択します 2 [Upload package to device] をクリックします 3 [Safe Upgrade] または [Double-Safe Upgrade] を選択します [Double-Safe Upgrade] を選択した場合は アップグレード直後の設定した時間内に 最初のログインがブラウザによって自動的に試行されます この機能を有効にするには [Upgrade] ページを開いたままにし 他のページを参照しないようにする必要があります そのようにしない場合は 上記の時間が経過する前に手動でログインする必要があります 上記の時間内に手動でログインしない場合は システムが接続性が失われたと解釈して 保存されている状態をリセットします 4 パッケージのアップグレードが終了したら [package information] リンクをクリックして バージョン情報やパッケージの MD5 チェックサムなどのパッケージに関する詳細情報を表示できます このチェックサムを使用して パッケージが正しいことを検証できます 5 [Start Upgrade] をクリックします [Upgrade Status] ペインには [Action] [Start Time] [Status] [Details] などの情報が表示されます Administration Web Server( 管理 Web サーバ ) このページを使用して 管理 Web サーバが待機している IP アドレスとポートを設定できます 1 ボートを指定します 2 [All] を選択する代わりにドロップダウン リストからアドレスを選択できます この場合 Web サーバはその IP アドレスでのみ待機します 3 [Apply] をクリックします Device Administrators( デバイス管理者 ) このページには デバイス管理者が一覧表示され デバイス管理者を作成したり ワンタイム ログイン キーをダウンロードしたりできます デバイス管理者を作成するには 以下の手順に従います 1 [Administrator Configuration] ページで [New] をクリックします [Add New Administrator] ページが表示されます 2 デバイス管理者の名前とパスワードを指定します 3 ドロップダウン ボックスから認証スキームを選択します 4 [Apply] をクリックします ワンタイム ログイン キーをダウンロードするには 以下の手順に従います 第 4 章設定 55

56 Web インタフェースの使用 1 [Download] をクリックします 注 : ワンタイム ログイン キーはパスワードを忘れた場合に必要になります このファイルは安全な場所に保存してください [Login Key Challenge] ページが表示されます 2 チャレンジの質問と答えを指定して ログイン キーを不正なアクセスから保護します 3 [OK] をクリックします Authentication Servers( 認証サーバ ) このページには 設定済みの RADIUS 認証サーバと認証サーバ グループが表示されます このページではまた 新しい RADIUS サーバや新しい認証サーバ グループを追加したり それらを削除したりすることもできます. 注 : すべての管理者は サポートされているいずれかの認証メソッドを使用して認証される必要があります 管理者は 内部データベースを使用して認証する以外に RADIUS を使用して認証することもできます 新しい RADIUS サーバを追加するには 以下の手順に従います 1 [Authentication Servers] セクションで [New] をクリックします [New RADIUS Server] ページが表示されます 2 [New RADIUS Server] ページで 以下の手順に従います 名前を指定します IP アドレスを指定します 注 : ポートとタイムアウトの値は事前に定義されています 共有の秘密鍵を追加します 3 [Apply] をクリックします 新しい認証サーバ グループを追加するには 以下の手順に従います 1 [Authentication Server Group ] セクションで [New] をクリックします [New Authentication Server Group] ページが表示されます 2 [New Authentication Server Group] ページで グループ名を指定し [Apply] をクリックします 56

57 Web インタフェースのレイアウト Web/SSH Clients(Web/SSH クライアント ) [Web/SSH Clients] ページには設定済みのクライアントの IP アドレスのリストが表示されます 設定済みのクライアントの IP アドレスのみが SecurePlatform と SSH サービスへのアクセスを許可されます Web/SSH クライアントを追加または削除できます Web/SSH クライアントを削除するには 以下の手順に従います 特定の Web/SSH クライアントのチェック ボックスをオンにし [Delete] をクリックします Web/SSH クライアントを追加するには 以下の手順に従います 1 [Web/SSH Clients] ページで [Add] をクリックします [Add Web/SSH Client] ページが表示されます 2 IP アドレス 解決可能な名前 または Web クライアントのネットワークを追加できます 注 : ホスト名にワイルドカードまたは any を含めることもできます any を指定すると すべての Web/SSH クライアントからの接続が有効になります 3 [Apply] をクリックします Administrator Security( 管理者のセキュリティ ) [Administrator Security] ウィンドウで 管理者のセキュリティ を設定できます 管理者のセキュリティ を設定するには 以下の手順に従います 1 [Administrator Session Timeout] の値を設定します 2 [Administrator Login Restrictions] セクションで [Lock Administrator s account after <x> login failures] を有効にして設定します 3 [Unlock Administrator s account after <y> minutes] を設定します 4 [Apply] をクリックします SmartCenter Administrators(SmartCenter 管理者 ) [SmartCenter Administrators] ページには 設定済みの管理者が一覧表示されます 管理者が設定されていない場合は このページで SmartCenter 管理者を追加できます この SmartCenter 管理者は SmartCenter に対する読み取り / 書き込み権限を持ち SmartCenter 管理者アカウントの管理を許可されます このリストには 1 人の管理者のみを追加できます 複数の管理者を追加するには SmartDashboard を使用する必要があります SmartCenter 管理者を削除するには 特定の SmartCenter 管理者のチェック ボックスをオンにし [Remove] をクリックします 第 4 章設定 57

58 Web インタフェースの使用 [Add a SmartCenter Administrator] ページで 管理者名とパスワードを入力します [Apply] をクリックします SmartCenter GUI Clients(SmartCenter GUI クライアント ) [SmartCenter GUI Clients] ページには 設定済みの GUI クライアントのタイプ ホスト名 IP アドレス およびネットマスクが表示され GUI クライアントを追加または削除できます GUI クライアントを削除するには 特定の GUI クライアントのチェック ボックスをオンにし [Remove] をクリックします 新しい GUI クライアントを追加するには [Add] をクリックします [Add a GUI Client] ページで ホスト名またはネットワーク名を入力できます ホスト名にワイルドカード IP アドレスの範囲 または any を含めることもできます any を指定すると すべての GUI クライアントからの接続が有効になります [Apply] をクリックします 製品設定 製品カテゴリを使用して デバイスにインストールされている製品を定義し ([Products] ページ ) これらの製品にライセンスを適用できます ([Licenses] ページ ) Products Installed( インストール済みの製品 ) このページを使用して コンピュータにすでにインストールされている製品を表で確認できます 注 : VPN-1 Pro は 常にインストールされている必要があります 認証局 Internal Certificate Authority( 内部認証局 ) 管理ステーション モジュール ユーザ およびシステムで使用される OPSEC アプリケーションなどの信頼されたエントリの証明書発行を行うエンティティ [Certificate Authority] ページ [Certificate Authority] ページには SmartCenter 認証局の主要なが一覧表示されます 次のが表示されます Certificate Authority Status SmartCenter DN Fingerprint [Reset] をクリックすると 現在のの値が表示されます 58

59 Web インタフェースのレイアウト Licenses [Licenses] ページを使用して インストールした製品のライセンスを適用します ライセンスを適用するには 以下の手順に従います 1 [Check Point User Center] リンクをクリックして ユーザ センターからライセンスを取得できます 2 [Next] をクリックします 3 [IP Address] [Expiration Date] [SKU/Features] および[Signature Key] に値を入力します 4 ライセンス文字列をクリップボードにコピーし [Paste License] をクリックしてすべての情報をフィールドにコピーできます 5 作業が終了したら [Apply] をクリックします 注 : SmartUpdate を使用してライセンスを適用することもできます ログアウト システムからログアウトするには [Logout] をクリックします [Logon] ページが表示されます 最初の再起動とログイン インストール後にシステムを再起動するとすぐに [SecurePlatform NGX Boot Loader] 画面が表示されます 注 : ブート ローダはコンピュータに接続されたコンソールに表示されます コンソールは コンピュータに接続されたモニタとキーボードの場合もあれば 最初のシリアル ポート (com1) に接続されたシリアル コンソールの場合もあります ブート ローダでは 起動オプションを選択できます デフォルトでは ユーザが介入しない場合 数秒後に最初のオプションが選択されます ここは このオプションを実行します ブート ローダの詳細については 117 ページの SecurePlatform のブート ローダ を参照してください 再起動が完了すると ログイン プロンプトが表示されます 第 4 章設定 59

60 最初の再起動とログイン 60

61 第 5 章 管理 この章の構成 SecurePlatform システムの管理 62 ページ SecurePlatform シェル 68 ページ SNMP サポート 109 ページ チェック ポイントのダイナミック ルーティング 113 ページ SecurePlatform のブート ローダ 117 ページ この章では SecurePlatform システムの管理方法 SecurePlatform のシェル コマンドの使用方法 および SecurePlatform で使用するための SNMP の設定方法を説明します また ダイナミック ルーティング機能とブート ローダ機能についても説明します 61

62 SecurePlatform システムの管理 SecurePlatform システムの管理 このセクションの構成 Secure Shell を使用した SecurePlatform への接続 62 ページ ユーザ管理 63 ページ SecurePlatform 管理者 64 ページ FIPS に準拠するシステム 66 ページ TFTP の使用 66 ページ バックアップとリストア 67 ページ このセクションでは SecurePlatform コマンド シェルを使用して SecurePlatform NGX システムを管理する方法を説明します コマンド シェルは システムのさまざまな側面の設定 管理 および診断に必要なコマンド セットを提供します セキュリティ VPN および QoS ポリシーを管理するには 以下のいずれかを使用します Enterprise 製品用の SmartConsole VPN-1 SmallOffice 用の VPN-1 SmallOffice NG Web GUI SmartConsole の詳細については SmartCenter と該当する製品のリリース ノートを参照してください Secure Shell を使用した SecurePlatform への接続 SecurePlatform NGX は SecurePlatform システムへの安全で 認証された暗号化アクセスを可能にする SSH サービスを提供します SSH(Secure SHell) は 2 つのシステム間に安全な接続を作成するプロトコルです SSH プロトコルでは クライアント コンピュータがサーバ コンピュータとの接続を開始します 以下の保護機能が SSH によって提供されます クライアントは 最初に接続したあと 以降のセッションで同じサーバに接続していることを確認できます クライアントは ユーザ名やパスワードなどの認証情報を暗号化形式でサーバに送信できます 接続中に送受信されるすべてのデータは 強力な暗号化を使用して転送されるので 復号化と読み取りが非常に困難です SSH サービスはデフォルトで実行されます また SSH サービスへのアクセスは Web UI へのアクセスが許可された IP に制限されます SSH により SecurePlatform システムにアクセスが許可されるコンピュータの詳細制御は VPN-1 Pro セキュリティ ポリシーを使用して設定できます 62

63 ユーザ管理 SSH ログインは 標準モード アカウントのユーザ名とパスワードのみを使用して許可されます SCP サービスおよびクライアント ファイルは SCP クライアント ソフトウェアを使用して SecurePlatform 間でコピーできます SCP へのアクセスは /etc/scpusers を編集して制御されます ユーザ管理 SecurePlatform シェルには 標準とエキスパートの 2 つのアクセス許可レベル ( モード ) があります 標準モード これは SecurePlatform システムにログインする場合のデフォルト モードです 標準モードでは SecurePlatform シェルは SecurePlatform システムの設定や日常管理を簡単に行うために必要なコマンド セットを提供します ほとんどのシステム コマンドは このモードではサポートされていません 68 ページの SecurePlatform シェル に 標準モードのコマンドを示します 標準モードでは [hostname]# というプロンプトが表示されます hostname はコンピュータのホスト名です エキスパート モードエキスパート モードでは システム ルートへのフル アクセス許可とフル システム シェルがユーザに与えられます 標準モードからエキスパート モードに切り替えるにはパスワードが必要です 初めてエキスパート モードに切り替えるときに パスワードを入力するよう要求されます それまでは 標準モードで設定したパスワードと同じです 管理者ユーザとしてログイン時に使用したパスワードを 最初に置き換えるパスワードとして入力する必要があります 管理者パスワードを何回変更しても 初回のエキスパート ユーザ パスワード変更時に入力する必要のあるエキスパート パスワードは更新されません エキスパート モードを終了するには exit コマンドを実行します エキスパート モードでは [Expert@hostname]# というプロンプトが表示されます hostname はコンピュータのホスト名です 警告 : エキスパート モードは注意して使用する必要があります オープンなシェルで柔軟性があり ルート アクセス許可を持っているので システムで管理エラーが発生する可能性があります 注 : エキスパート ユーザはまず標準ユーザとしてログインし 次に expert コマンドを入力してエキスパート モードにアクセスする必要があります エキスパート パスワードは パスワードを変更するまでは標準モードで設定したパスワードと同じです つまり 管理者ユーザとしてログイン時に使用したパスワードを 最初に置き換えるパスワードとして入力する必要があります 何回管理者パスワードを変更しても 初回のエキスパート ユーザ パスワード変更時に入力する必要のあるエキスパート パスワードは更新されません 第 5 章管理 63

64 SecurePlatform システムの管理 SecurePlatform 管理者 SecurePlatform NGX は 通常のシェルに対する複数の管理者アクセスをサポートしています これを使用して 管理者が行った設定変更を監査できます このようなすべての変更は 管理者のユーザ名をタグとして使用して システムの syslog メカニズムに記録されます cpshell から別の管理者を設定するには 以下のコマンドを使用します adduser [-x EXTERNAL_AUTH] <user name> 注 : SecurePlatform Pro のみが SecurePlatform 管理者の RADIUS 認証をサポートしています 管理者のパスワードを入力して確認するよう要求されます パスワードは 以下の複雑な要件に従って入力する必要があります 長さは 6 文字以上にする アルファベットと数字を混ぜる 異なる文字を 4 つ以上使用する 辞書に載っている簡単な単語や qwerty などの一般的な文字列を使用しない cpshell から管理者を削除するには 以下のコマンドを使用します deluser <name> Web GUI を使用して追加の管理者を定義することもできます RADIUS による管理者の認証方法 すべての管理者は サポートされている認証方法のいずれかによって認証する必要があります 内部データベースを介した認証の場合と同様に RADIUS を使用して管理者を認証することもできます SecurePlatform 管理者は 以下の 2 つ方法で RADIUS サービスを使用して認証できます 1) RADIUS サーバを介してローカル ユーザ認証を設定する方法 この場合には すべての SecurePlatform コンピュータで RADIUS サーバによって認証されるすべてのユーザを定義する必要がありますが RADIUS グループを定義する必要はありません 2) RADIUS グループの一覧を定義する方法 SecurePlatform で定義されたRADIUS グループに属するすべてのユーザは 認証してログインを実行できます 64

65 SecurePlatform 管理者 RADIUS グループを利用するオプションは 各 SecurePlatform コンピュータですべての RADIUS ユーザを定義する必要がなくなるので 柔軟性が増します any と呼ばれる特別な RADIUS グループがあります このグループがグループ リストに入っている場合は RADIUS サーバで定義されたすべてのユーザは SecurePlatform コンピュータにログインできます RADIUS を使用して管理者を認証するには 以下の手順に従います 1 RADIUS サーバが設定されていることを確認します RADIUS サーバが設定されていない場合は 以下のコマンドを使用してサーバを追加します radius servers add <server[:port]> <secret> <timeout> <label> 2 少なくとも以下のいずれかに該当することを確認します a RADIUS サーバを使用して認証するユーザが RADIUS 認証方法を使用するとして SecurePlatfrom で設定されている RADIUS によって認証するローカル ユーザは 以下のコマンドを使用して定義できます radius users add <username> b 少なくとも 1 つの RADIUS グループが設定され RADIUS サーバで定義されたユーザがそのグループに属している RADIUS グループは 以下のコマンド ラインを使用して定義できます radius groups add <groupname> 3 以下のコマンドを使用して 管理者を RADIUS ユーザとして定義します radius users add <username> 以下のコマンドを使用して RADIUS 設定を監視および変更できます RADIUS サーバを制御するには 以下のコマンドを使用します radius servers show radius servers add <server[:port]> <secret> <timeout> radius servers del <server[:port]> RADIUS ユーザ グループを制御するには 以下のコマンドを使用します radius groups show radius groups add <groupname> radius groups del <groupname> ローカル RADIUS ユーザを制御するには 以下のコマンドを使用します radius users show radius users add <username> radius users del <username> 第 5 章管理 65

66 SecurePlatform システムの管理 FIPS に準拠するシステム FIPS(Federal Information Processing Standard)140-2 は SecurePlatform の動作に一定の制約を課します FIPS に準拠するシステムの管理者は 以下のようにシステムを設定する必要があります cpshell から以下のコマンドを実行します fips on このコマンドは以下の処理を行います 1 システムをネットワークに接続する前に すべての実行可能プログラム スクリプト および設定ファイルの完全性を確認する完全性チェックを追加します 2 失敗したログイン試行回数のしきい値を超えた管理者のアカウントをロックするポリシーを実施します ( 下の 管理者アカウントのロック アウト を参照 ) 3 Web GUI デーモンを削除して Web GUI を無効にします 4 Check Point Remote Installation デーモンを削除して SmartUpdate を無効にします 5 VPN-1 Pro のデフォルト フィルタを設定して すべての着信を破棄します 管理者アカウントのロック アウト 1 分間に 3 回ログオン試行に失敗した管理者のアカウントは 60 分間ロックされます この機能は lockout コマンドを使用して設定できます TFTP の使用 TFTP(Trivial File Transfer Protocol) は SecurePlatform システムとの間でインストール ファイルなどのファイルを簡単に転送する方法です TFTP を利用できる SecurePlatform メカニズムは以下のとおりです backup/restore ユーティリティ patch ユーティリティ ソフトウェアのアップデートに使用します diag ユーティリティ 各種の診断情報の取得に使用します 注 : インターネットからフリーウェアおよびシェアウェアの TFTP サーバを入手できます ベンダーの指示に従って TFTP サーバをセットアップし ファイルの送受信を許可するようにサーバを設定します 警告 : TFTP は 暗号化も認証もされないプロトコルです TFTP サーバは内部ネットワークのみで実行してください 66

67 バックアップとリストア バックアップとリストア SecurePlatform NGX は システム設定と製品構成のバックアップを行うためのコマンド ライン機能または Web GUI 機能を提供します backup ユーティリティは ローカルの SecurePlatform コンピュータのハード ドライブ またはリモートの TFTP サーバや SCP サーバにバックアップを保存できます バックアップは要求に応じて実行するか 設定した間隔で実行するようにスケジュール設定できます バックアップ ファイルは tar gzipped 形式 (.tgz) で保存されます ローカルに保存されたバックアップ ファイルは /var/cpbackup/backups に保持されます restore コマンド ライン ユーティリティは バックアップ ファイルから SecurePlatform の設定または製品構成を復元するのに使用されます 注 : エキスパート アクセス許可を持つ管理者のみが SecurePlatform NGX システムのディレクトリに直接アクセスできます restore コマンドを実行するにはエキスパート パスワードが必要です backup と restore ユーティリティの詳細については 75 ページの backup と 77 ページの restore を参照してください 第 5 章管理 67

68 SecurePlatform シェル SecurePlatform シェル このセクションの構成 コマンド シェル 68 ページ 管理コマンド 70 ページ ドキュメント コマンド 71 ページ 日時コマンド 71 ページ システム コマンド 74 ページ スナップショット イメージの管理 80 ページ システム診断コマンド 82 ページ チェック ポイント コマンド 84 ページ ネットワーク診断コマンド 94 ページ ネットワーク設定コマンド 99 ページ ダイナミック ルーティング コマンド 107 ページ ユーザ コマンドと管理者コマンド 107 ページ このセクションでは SecurePlatform のすべてのシェル コマンドの一覧を示します これらのコマンドは システムのさまざまな設定 管理 および診断に必要です 注 : すべてのコマンドで大文字と小文字が区別されます コマンド シェル コマンド セット 使用可能なコマンドの一覧を表示するには コマンド プロンプトで? または help と入力します 多くのコマンドは --help を付けるか を付けずに実行すると 短い使用方法の説明が表示されます 68

69 コマンド シェル コマンド ラインの編集 SecurePlatform コマンド シェルはコマンド ライン編集規約に従っています 上または下方向キーを使用して 以前に入力したコマンドにスクロールできます 使用するコマンドが表示されたら 編集したり Enter キーを押して実行できます コマンド プロンプトで入力したコマンドの履歴を表示するには audit コマンドを使用します (74 ページの audit を参照 ) 表 5-1 コマンド ライン編集用キー キー コマンド 右方向キー /^f カーソルを右に移動します 左方向キー /^b カーソルを左に移動します Home/^a カーソルを行の先頭に移動します End/^e カーソルを行末に移動します Backspace/^h 最後の文字を削除します ^d カーソル位置の文字を削除します ^u 行を削除します ^w カーソルの左側の 1 単語を削除します ^k カーソル位置から行末までを削除します 上方向キー /^p 前のコマンドを表示します 下方向キー /^n 次のコマンドを表示します コマンド出力 一部のコマンド出力は複数の画面に表示される場合があります デフォルトでは 1 つの画面と -More- プロンプトが表示されます 任意のキーを押すと コマンド出力の残りが続けて表示されます More 機能は scroll コマンドを使用してオン / オフを切り替えできます 第 5 章管理 69

70 SecurePlatform シェル 管理コマンド このセクションの構成 exit 70 ページエキスパート モード 70 ページ passwd 70 ページ exit 現在のモードを終了します 標準モードでは シェルを終了します (SecurePlatform システムからログアウトします ) エキスパート モードでは 標準モードに戻ります 構文 exit エキスパート モード標準モードからエキスパート モードに切り替えます 構文 expert 説明 expert コマンドを入力したあとに エキスパート パスワードを入力します パスワードが確認されると エキスパート モードに切り替わります passwd パスワードの変更は 両方のモードで実行できます 標準モードでパスワードを変更すると ログイン パスワードが変更されます エキスパート モードでパスワードを変更すると エキスパート モードのパスワードおよびブート ローダのパスワードが変更されます エキスパート モードに初めて切り替えるときは 標準モードのパスワードを入力する必要があります つまり 管理者ユーザとしてログイン時に使用したパスワードを 最初に置き換えるパスワードとして入力する必要があります 何回管理者パスワードを変更しても 初回のエキスパート ユーザ パスワード変更時に入力する必要のあるエキスパート パスワードは更新されません エキスパート モードのパスワードを変更します エキスパート モードのパスワードを変更したあとに 新しいパスワードを使用してエキスパート モードでのアクセスを行う必要があります 70

71 ドキュメント コマンド 構文 passwd ドキュメント コマンド このセクションの構成 help 使用可能なコマンドとその説明を一覧表示します 構文 help または? help 71 ページ 日時コマンド このセクションの構成 date システムの日付を表示または設定します 日付や時刻を変更すると ハードウェアのクロックに影響します 構文 date 71 ページ time 72 ページ timezone 72 ページ ntp 73 ページ ntpstop 73 ページ ntpstart 73 ページ date [MM-DD-YYYY] 第 5 章管理 71

72 SecurePlatform シェル 表 5-2 date コマンドの 意味 MM-DD-YYYY 設定する日付を指定します 最初の 2 桁 (MM) は月 (01 ~ 12) 次の 2 桁 (DD) は日付 (01 ~ 31) 最後の 4 桁 (YYYY) は年です time システムの時刻を表示または設定します 日付や時刻を変更すると ハードウェアのクロックに影響します 構文 time [HH:MM] 表 5-3 time コマンドの HH:MM 意味設定する時刻です 最初の 2 桁 (HH) は時 (00 ~ 23) 最後の 2 桁 (HH) は分 (00 ~ 59) を表します timezone システムのタイム ゾーンを設定します 構文 timezone [-show --help] 表 5-4 timezone コマンドの -show --help 意味を入力しない場合は 対話型モードのタイム ゾーンの選択が表示されます 現在選択されているタイム ゾーンを表示します ヘルプを表示します 72

73 日時コマンド ntp Network Time Protocol ポーリング クライアントを設定および起動します 構文 ntp <MD5_secret> <interval> <server1> [<server2>[<server3>]] ntp -n <interval> <server1> [<server2>[<server3>]] 表 5-5 ntp コマンドの MD5_secret interval server[1,2,3] 意味 NTP サーバに対する認証に使用するプリシェアード シークレットを指定します 認証が不要な場合は -n を使用します ポーリング間隔を分単位で指定します NTP サーバの IP アドレスまたは解決可能な名前を指定します ntpstop NTP サーバのポーリングを停止します 構文 ntpstop ntpstart NTP サーバのポーリングを開始します 構文 ntpstart 第 5 章管理 73

74 SecurePlatform シェル システム コマンド このセクションの構成 audit 特定のセッションでシェルに入力されたコマンドを表示または編集します 監査の設定はセッション間で維持されません 構文 audit 74 ページ backup 75 ページ 例 76 ページ patch 77 ページ restore 77 ページ shutdown 80 ページ ver 80 ページ audit setlines <number_of_lines> audit show <number_of_lines> audit clear <number_of_lines> 表 5-6 audit コマンドの lines<number_of_lines> show <number_of_lines> clear 意味表示できるコマンド履歴の長さを <number_of_lines> に制限します 最近入力した <number_of_lines> 個のコマンドを表示します コマンド履歴を消去します 74

75 システム コマンド backup システム設定のバックアップを作成します バックアップの信頼性を向上させるために 複数の SCP サーバや TFTP サーバにバックアップ ファイルをコピーすることもできます 追加のフラグなしに backup コマンドを単独で実行すると デフォルトのバックアップ設定に従ってローカル バックアップが実行されます 構文 backup [-h] [-d] [-l] [--purge DAYS] [--sched [on hh:mm <-m DayOfMonth> <-w DaysOfWeek>] off] [[--tftp <ServerIP> [-path <Path>] [<Filename>]] [--scp <ServerIP> <Username> <Password> [-path <Path>][<Filename>]] [--file [-path <Path>][<Filename>]] 表 5-7 backup コマンドの 意味 -h ヘルプを表示します -d デバッグを実行します -l VPN-1 Pro のログをバックアップします ( デフォルトでは VPN-1 Pro のログはバックアップされません ) --purge DAYS 以前に作成したバックアップから古いバックアップを削除します [--sched [on hh:mm <-m バックアップ実行間隔のスケジュールを設定します DayOfMonth> <-w on - 時刻と曜日または日付を指定します DaysOfWeek>] off] off - スケジュールを無効にします --tftp <ServerIP> [-path <Path>][<Filename>] --scp <ServerIP> <Username> <Password>[- path <Path>] [<Filename>] --file [-path <Path>]<Filename> 設定のバックアップ先にする TFTP サーバの IP アドレス一覧と オプションでファイル名を指定します 設定のバックアップ先にする SCP サーバの IP アドレス一覧 SCP サーバへのアクセスに必要なユーザ名とパスワード およびオプションでファイル名を指定します バックアップをローカルで実行するときは オプションでファイル名を指定します 注 : ファイル名を指定しない場合は backup_gateway1.mydomain.com_13_11_2003_12_47.tgzz という形式のデフォルトの名前が付けられます 第 5 章管理 75

76 SecurePlatform シェル 例 backup -file -path /tmp filename ( バックアップ ファイルはローカルの /tmp に入れられ filename の名前が付けられます ) backup -tftp <ip1> -path tmp -tftp <ip2> -path var file1 -scp <ip3> username1 password1 -path /bin file2 -file file3 --scp <ip4> username2 password2 file4 --scp <ip5> username3 password3 -path mybackup バックアップ ファイルは以下の場所に保存されます 1 ip1 の TFTP サーバの tmp ディレクトリ (TFTP サーバのデフォルト ディレクトリ 通常は /tftproot の下にあります ) に デフォルト ファイル名 backup_systemname_timastamp.tgz で 2 ip2 の TFTP サーバの var ディレクトリ (TFTP サーバのデフォルト ディレクトリ 通常は /tftproot の下にあります ) に file1 として 3 ip3 の SCP サーバの /bin ディレクトリに file2 として 4 ローカルのデフォルト ディレクトリ (/var/cpbackup/backups) に file3 として 5 ip4 の SCP サーバで username2 のホーム ディレクトリに file4 として 6 ip5 の SCP サーバで ~username3/mybackup/ ディレクトリにデフォルトのバックアップ ファイル名を付けて reboot システムを再起動します 構文 reboot 76

77 システム コマンド patch アップグレード ファイルや修正ファイルを適用します 注 : patch ユーティリティを最新バージョンに置き換える時期については リリース ノートを参照してください 構文 patch add scp <ip_address> <patch_name> [password (in expert mode)] patch add tftp <ip_address> <patch_name> patch add cd <patch_name> patch add <full_patch_path> patch log 表 5-8 patch コマンドの add log scp cd tftp ip patch_name password full_patch_path 意味 新しいパッチをインストールします インストールされているすべてのパッチを一覧表示します SCP サーバからインストールします CD からインストールします TFTP サーバからインストールします パッチが存在する TFTP サーバの IP アドレスを指定します インストールするパッチの名前を指定します エキスパート モードのパスワードを指定します パッチ ファイルの完全なパス ( たとえば /var/tmp/mypatch.tgz) を指定します restore システム設定を復元します 構文 restore [-h] [-d][[--tftp <ServerIP> <Filename>] [--scp <ServerIP> <Username> <Password> <Filename>] [--file <Filename>]] 第 5 章管理 77

78 SecurePlatform シェル 意味 -h ヘルプを表示します -d デバッグを実行します --tftp <ServerIP> 設定の復元元の TFTP サーバの IP アドレスとファイル名を [<Filename>] 指定します --scp <ServerIP> 設定の復元元の SCP サーバの IP アドレス SCP サーバへの <Username> <Password> アクセスに必要なユーザ名とパスワード およびファイル名 [<Filename>] を指定します --file <Filename> 復元操作をローカルで実行する場合にファイル名を指定します 追加のフラグなしに restore コマンドを単独で実行すると 以下に示すオプションのメニューが表示されます メニュー内の各オプションは コマンド ラインのフラグと同じ機能を restore コマンドに提供します Choose one of the following: [L] Restore local backup package [T] Restore backup package from TFTP server [S] Restore backup package from SCP server [R] Remove local backup package [Q] Quit 必要な操作を選択してください 古いバージョンの SecurePlatform のバックアップの復元 FP2 FP3 NG AI などの古いバージョンの SecurePlatform のバックアップを復元した場合は ルート IP 設定 VLAN インタフェース設定 ユーザ アカウント ホスト名とドメイン名 WebUI ポートなどのシステム設定のみが復元されます 新しいバージョンの SecurePlatform で保存されたバックアップを古いバージョンの SecurePlatform で復元することはできません たとえば R55 で保存されたバックアップを NG AI で復元することはできません restore コマンドで 現在インストールされているチェック ポイント製品のバージョンがバックアップ ファイルに保存されているバージョンに一致しないことが検出されると 以下の情報が表示されます 78

79 システム コマンド SecurePlatform NG AI R55 以降のバックアップから復元する場合 The following information will be restored: system The following information will NOT be restored: cp_products Choose one of the following: [C] Continue. [M] Modify which information to restore. [Q] Quit Your choice: 操作を続行すると システム設定のみが復元されます SecurePlatform NG AI 以前のバックアップから復元する場合には 以下の情報が表示されます Restoring... Backup file was created MM-DD-YYYY-HH:MM. The MD5 checksum of the backup file is: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Do you wish to restore this file (Y/N)? N を選択すると 復元操作が中止されます The restore operation will replace current configuration. After restore you have to reboot your system. Do you wish to proceed (Y/N)? N を選択すると 復元操作は中止されます Restore completed successfully. You have to reboot your system now. Reboot now (Y/N)? 第 5 章管理 79

80 SecurePlatform シェル shutdown システムをシャット ダウンします 構文 shutdown ver SecurePlatform システムのバージョンを表示します 構文 ver スナップショット イメージの管理 このセクションの構成 システム全体のスナップショットを作成するコマンドと スナップショットからシステムを復元するコマンドが用意されています システムはいつでも復元でき 使用可能な任意のスナップショットから起動するオプションが起動時に表示されます これにより 設定変更に伴うリスクを大幅に軽減できます snapshot コマンドと revert コマンドでは TFTP サーバや SCP サーバを使用してスナップショットを保存できます スナップショットをローカルに保存することもできます コマンドの詳細は以下のとおりです revert revert 80 ページ snapshot 81 ページ スナップショット ファイルからシステムを再起動します 追加のフラグなしに revert コマンドを単独で実行すると デフォルトのバックアップ設定に従って システムがローカル スナップショットから再起動されます revert [-h] [-d] [[--tftp <ServerIP> <Filename>] [--scp <ServerIP> <Username> <Password> <Filename>] [--file <Filename>]] 80

81 スナップショット イメージの管理 表 5-9 revert コマンドの revert コマンド機能は [Snapshot image management] 起動オプションからもアクセスできます snapshot このコマンドはスナップショット ファイルを作成します 追加のフラグなしに snapshot コマンドを単独で実行すると デフォルトのバックアップ設定に従ってローカル スナップショットが作成されます 構文 意味 -h ヘルプを表示します -d デバッグを実行します --tftp <ServerIP> <Filename> --scp <ServerIP> <Username> <Password> <Filename> --file <Filename> 再起動に使用するスナップショットが保存されている TFTP サーバの IP アドレスと スナップショットのファイル名を指定します 再起動に使用するスナップショットが保存されている SCP サーバの IP アドレス SCP サーバへのアクセスに必要なユーザ名とパスワード およびスナップショットのファイル名を指定します スナップショットをローカルに作成する場合のファイル名を指定します snapshot [-h] [-d] [[--tftp <ServerIP> <Filename>] [--scp <ServerIP> <Username> <Password> <Filename>] [--file <Filename>]] 表 5-10 snapshot コマンドの意味 -h ヘルプを表示します -d デバッグを実行します 第 5 章管理 81

82 SecurePlatform シェル 表 5-10 snapshot コマンドの ( 続き ) --tftp <ServerIP> <Filename> --scp <ServerIP> <Username> <Password> <Filename> --file <Filename> 意味 スナップショットの作成先にする TFTP サーバの IP アドレスと スナップショットのファイル名を指定します スナップショットの作成先にする SCP サーバの IP アドレス SCP サーバへのアクセスに必要なユーザ名とパスワード およびスナップショットのファイル名を指定します スナップショットをローカルに作成する場合のファイル名を指定します システム診断コマンド このセクションの構成 diag 82 ページ log 83 ページ top 83 ページ diag システムの診断情報 (diag ファイル ) を表示または送信します 構文 diag <log_file_name> tftp <tftp_host_ip_address> 表 5-11 diag コマンドの log_file_name tftp tftp_host_ip_address 意味 送信するログ ファイルの名前を指定します TFTP を使用して診断情報をアップロードします ( 将来 ほかのアップロード方式が追加される可能性があります ) 診断情報を受け取るホストの IP アドレスを指定します 82

83 システム診断コマンド log 使用可能なログ ファイルの一覧表示 ログ ローテーション の適用 リスト内のログ ファイルのインデックス指定 および表示するログの行数指定を行います 構文 log --help log list log limit <log-index><max-size><backlog-copies> log unlimit <log-index> log show <log-index> [<lines>] 表 5-12 log コマンドの list limit unlimit log-index max-size backlog-copies lines 意味使用可能なログ ファイルの一覧を表示します ログ ローテーション を適用します ログ サイズの制限を除去します リスト内のログ ファイルのインデックスを指定します ログ ファイルのサイズをバイト単位で指定します ログ ファイルのバックログ コピー数を指定します 表示するログの行数を指定します top システムで実行している上位 15 のプロセスを表示し その情報を定期的に更新します CPU 使用率に基づいてプロセスの順位を設定します 構文 top 第 5 章管理 83

84 SecurePlatform シェル チェック ポイント コマンド このセクションの構成 cpconfig cpconfig は 設定オプションの画面を表示します 表示されるタブは インストールされている設定と製品によって異なります 表 5-13 に 各タブとそれぞれのフィールドの概要を示します 詳細については 導入の手引き の第 5 章 Installing and Configuring VPN-1 Pro と SmartCenter の第 1 章 SmartCenter Overview を参照してください 構文 cpconfig cpconfig 84 ページ cpstart 87 ページ cpstop 87 ページ fw 87 ページ cpinfo 88 ページ cpstat 89 ページ cplic 89 ページ cpshared_ver 90 ページ cphastart 90 ページ cphastop 90 ページ cphaprob 91 ページ fwm 92 ページ vpn 93 ページ LSMcli 94 ページ LSMcli 94 ページ LSMenabler 94 ページ 注 : 以下のオプション ( 表 5-13) の一部はモジュールでのみ使用可能で 一部は管理サーバでのみ使用可能です ここでは 参照しやすいようにすべてのオプションを示します 84

85 チェック ポイント コマンド 表 5-13 設定オプション Welcome to VPN-1 Pro Configuration Program. ============================================ This program will let you re-configure your VPN-1 Pro configuration (1) Licenses (2) Administrators (3) GUI clients (4) SNMP Extension (5) Groups (6) PKCS#11 Token (7) Random Pool (8) Certificate Authority (9) Secure Internal communication (10) CA Keys (11) Fingerprint (12) Enable ClusterXL (High Availability) (13) Automatic Start of Check Point Modules (14) Exit Enter your choice (1-14) : Thank You... 表 5-14 cpconfig 設定オプション オプション 説明 関連項目 Licenses SecurePlatform のライセンスを更新します SmartCenter の コマンドライン インタフェース Administrators 管理者 ( チェック ポイント SmartConsole からチェック ポイント SmartCenter サーバに接続する権限が与えられているユーザ ) の一覧を更新します 導入の手引き の Installation and Configuration GUI clients SNMP Extension Groups チェック ポイント SmartConsole からチェック ポイント SmartCenter サーバに接続する権限が管理者に与えられている GUI クライアントとコンピュータの一覧を更新します SNMP デーモンを設定します SNMP デーモンにより SecurePlatform のステータスを外部ネットワーク管理ツールにエクスポートできます SecurePlatform を実行する権限が与えられている UNIX グループの一覧を更新します 導入の手引き の Installation and Configuration SmartCenter の SNMP and Network Management Tools 第 5 章管理 85

86 SecurePlatform シェル 表 5-14 cpconfig 設定オプション オプション説明関連項目 PKCS #11 Token Random Pool Certificate Authority Secure Internal communication Fingerprint ClusterXL (High Availability) Automatic Start of Check Point Modules SecurePlatform 用の暗号化トークンを登録し トークンの詳細情報表示と機能テストを行います RSA キーを SecurePlatform で使用できるように設定します 認証局が発行するキーを SecurePlatform で使用できるように設定します このコンピュータとチェック ポイント SmartCenter サーバの間の信頼関係を設定するために使用します 信頼関係が設定されると このコンピュータはほかのチェック ポイント通信コンポートと交信できます チェック ポイント SmartCenter サーバのフィンガープリント ( 指紋 ) つまりチェック ポイント SmartCenter サーバの証明書から取得されたテキスト文字列を表示します この文字列を使用して GUI クライアントからアクセスされるチェック ポイント SmartCenter サーバの ID が確認されます このゲートウェイが ClusterXL( 高可用性 ) ゲートウェイ クラスタかどうかを指定します チェック ポイント モジュールが システムの起動時に SecurePlatform を自動的に起動するかどうかを指定します バーチャル プライベート ネットワーク の PKCS#11 Token バーチャル プライベート ネットワーク の 認証局 バーチャル プライベート ネットワーク の 認証局 導入の手引き の First Time Setup 導入の手引き の Installation and Configuration SmartCenter の Check Point ClusterXL 86

87 チェック ポイント コマンド cpstart cpstart は コンピュータ上のすべてのチェック ポイント アプリケーションを起動します ( ただし cprid を除きます cprid は システムの起動時に呼び出され 独立して動作を継続します ) cpstart は fwstart( または etmstart uagstart などの インストールされているほかのチェック ポイント製品 ) を自動的に呼び出します 構文 cpstart cpstop cpstop は コンピュータ上のすべてのチェック ポイント アプリケーションを停止します ( ただし cprid を除きます cprid は システムの起動時に呼び出され 独立して動作を継続します ) cpstop は fwstop( または etmstop uagstop などの インストールされているほかのチェック ポイント製品 ) を自動的に呼び出します 構文 cpstop fw SecurePlatform コマンドを実行します 構文 表 5-15 fw の構文 fw ver [-k] fw kill [-t sig_no] procname fw putkey fw sam fw fetch targets fw tab [-h] fw monitor [-h] fw ctl [args] fw lichosts fw log [-h] fw logswitch [-h target] [+ -][oldlog] fw repairlog... fw mergefiles fw lslogs fw fetchlogs 第 5 章管理 87

88 SecurePlatform シェル 表 5-16 fw コマンドの構文オプション コマンドの構文 fw ver [-k] fw kill [-t sig_no] procname fw putkey fw sam fw fetch targets fw tab [-h] fw monitor [-h] fw ctl [args] fw lichosts fw log [-h] fw logswitch [-h target] [+ -][oldlog] fw repairlog... fw mergefiles fw lslogs fw fetchlogs 意味 バージョンを表示します デーモンに信号を送ります クライアント サーバ キーを作成します SAM サーバを制御します 最後のポリシーを取得します カーネル テーブルの内容を表示します SecurePlatform トラフィックを監視します カーネルを制御します 保護されているホストを表示します ログを表示します 新しいログ ファイルを作成し 古いログを移動します ログ インデックスを再作成します ログ ファイルをマージします リモート コンピュータのログ ファイルの一覧を表示します リモート ホストからログを取得します cpinfo チェック ポイント診断情報を表示します 構文 cpinfo [[-v] [-o filename]] 表 5-17 cpinfo コマンドの意味 v cpinfo のバージョンを表示します ( エキスパート モードの場合のみ ) -o filename 出力を filename に保存します ( エキスパート モードの場合のみ ) 88

89 チェック ポイント コマンド cpstat cpstat は ローカルまたはローカル以外のコンピュータ上のチェック ポイント アプリケーションのステータスをさまざまな形式で表示します 構文 cpstat [-h host][-p port][-f flavour][-d] application_flag 表 5-18 cpstat コマンドの cplic チェック ポイントのライセンスを表示 追加 または削除します 構文 意味 -h host 解決可能なホスト名またはドット表記のアドレス ( など ) を指定します デフォルトはローカル ホストです -p port AMON サーバのポート番号を指定します デフォルトは標準 AMON ポート (18192) です -f flavor 設定ファイルに表示される出力の形式を指定します デフォルトでは 設定 ファイルで検索された最初の形式が使用されます entity 以下のいずれかを指定します fw FireWall vpn VPN fg Check Point QoS ha Cluster XL( 高可用性 ) os SVN Foundation および OS のステータス mg 管理ステータス cplic [put del print check ] 第 5 章管理 89

90 SecurePlatform シェル 表 5-19 cplic コマンドの put del print check 意味 cplic put コマンド ( 格納場所 :$CPDIR/bin) は 1 つ以上のローカル ライセンスをインストールする際に使用します このコマンドは ライセンスをローカル コンピュータにインストールするだけです リモートでは実行できません cplic del コマンド ( 格納場所 : $CPDIR/bin) は 1 つのチェック ポイント ライセンスをホストから削除します 不必要な評価ライセンスや有効期限が切れたライセンスなどを削除する際に使用します cplic print コマンド ( 格納場所 :CPDIR/bin) は ローカル コンピュータ上のチェック ポイント ライセンスの詳細情報を出力します cplic check コマンド ( 格納場所 :$CPDIR/bin) は コンピュータにインストールされているライセンスで特定の機能を使用できるかどうかを確認するために使用します cpshared_ver SVN Foundation のバージョンを表示します 構文 cpshared_ver cphastart cphastart は コンピュータ上で Cluster XL 機能を有効にします 構文 cphastart start cphastop cphastop は コンピュータ上の Cluster XL 機能を無効にします 構文 cphastop 90

91 チェック ポイント コマンド cphaprob cphaprob は クリティカル プロセスを定義します クリティカル プロセスが失敗した場合は コンピュータに障害が発生したと見なされます 構文 cphaprob -d <device> -t <timeout(sec)> -s <ok init problem> register cphaprob -f <file> register cphaprob -d <device> unregisterc phaprob -a unregister cphaprob -d <device> -s <ok init problem> report cphaprob [-i[a]] [-e] list cphaprob state cphaprob [-a] if 表 5-20 cphaprob コマンドの register 意味 <device> をクリティカル プロセスとして登録します -d <device> cphaprob リストの出力に表示されるデバイスの名前 <device> を指定します -t <timeout> <device> が <timeout> 秒以内に CPHA モジュールとのコンタクトに失敗した場合は <device> に障害が発生したと見なされます このを無効にするには タイムアウト値に <0> を入力します 別の状態が明示的に報告されるまで 最後に報告された状態が継続します -s 報告する状態として以下のいずれかを指定します ok <device> は動作中 init <device> は初期化中 problem <device> に障害が発生 -f <file> register unregister report このオプションを使用して 複数のデバイスを自動的に登録できます <file> フィールドに定義するファイルには 以下のを持つデバイスの一覧を入れる必要があります デバイス名 タイムアウト 状態 <device> をクリティカル プロセス登録から削除します -a unregister は すべてのデバイスを登録から削除します <device> の状態を VPN/FireWall モジュールに報告します 第 5 章管理 91

92 SecurePlatform シェル 表 5-20 cphaprob コマンドの list state if 意味 以下のデバイスの状態を表示します -i 内部 ( および外部 ) のデバイス ( たとえば Interface Active Check HA Initialization Load Balancing Configuration) -e 外部のデバイス つまり cphaprob によって制御可能で ユーザによって登録されたデバイス またはシステムによって自動的に登録されたデバイス たとえば fwd Synchronization Filter などです -i[a] 内部用に使用されるデバイスを含むすべてのデバイス (Note Inititialization Load Balance Configuration など ) ClusterXL( 高可用性 ) 構成内のこの VPN-1 Pro モジュールとその他すべての VPN-1 Pro モジュールの状態を表示します インタフェースの状態を表示します -a は インタフェースごとに追加の情報 ( たとえば secured shared など ) を表示します <device> で指定されたプロセスは -s ok を付けて cphaprob を実行し プロセスが動作中であることを ClusterXL( 高可用性 ) モジュールに通知する必要があります この通知が <timeout> 秒以内に受信されない場合は プロセス ( とコンピュータ ) に障害が発生したと見なされます fwm fwm は SmartCenter サーバ コマンドを実行します 構文 fwm ver [-h]... targets fwm unload [opts] targets fwm dbload [targets] fwm logexport [-h]... fwm gen [-RouterType [-import]] rule-base fwm dbexport [-h]... fwm ikecrypt <key> <password> fwm ver [-h]... fwm load [opts] [filter-file rule-base] targets 表 5-21 fwm コマンドの fwm ver [-h]... fwm load [opts] [filterfile rule-base] targets fwm unload [opts] targets fwm dbload [targets] 意味バージョンを表示します ポリシーをターゲットにインストールします ターゲットをアンインストールします データベースをダウンロードします 92

93 チェック ポイント コマンド 表 5-21 fwm コマンドの ( 続き ) fwm logexport [-h]... fwm gen [-RouterType [- import]] rule-base fwm dbexport [-h]... fwm ikecrypt <key> <password> vpn このコマンドとサブコマンドは VPN のさまざまな側面を操作するのに使用します コマンド ラインで実行された vpn コマンドは VPN プロセスに関するステータス情報を表示します また特定の VPN サービスを停止および開始するのに使用されます すべての vpn コマンドは VPN-1 Pro モジュールで実行されます vpn コマンドは 使用可能なコマンドの一覧を標準出力に送信します vpn ver は VPN-1 Pro のメジャー バージョン番号 ビルド番号 および著作権表記を表示します 使用法とオプションは fw ver と同じです vpn debug は VPN デーモンに対して デバッグ メッセージを VPN ログ ファイル $FWDIR/log/vpnd.elg に書き込むように指示します vpn debug ikeon ikeoff は VPN デーモンに対して デバッグ メッセージを IKE ログ ファイル $FWDIR/log/IKE.elg に書き込むように指示します vpn drv は vpnk カーネルをインストールし 対応するドライバをアタッチして fwk カーネルに接続します 詳細については コマンドライン インタフェース を参照してください 構文 意味ログを ASCII ファイルにエクスポートします 検査スクリプトまたはルータ アクセス リストを生成します データベースをエクスポートします 鍵を使って秘密情報を暗号化します fwm dbimport [-h]... データベースにインポートします (dbexport コマンド用 ) vpn ver vpn debug on off vpn debug ikeon ikeoff vpn drv on off 第 5 章管理 93

94 SecurePlatform シェル 表 5-22 vpn コマンドの ver debug on off debug ikeon ikeoff drv on off 意味 VPN-1 Pro のメジャー バージョン番号 ビルド番号 および著作権表記を表示します デバッグ モードを開始または停止します ikeonはike.elgファイルへのikeログ記録を開始し ikeoffは停止します IKE ログは IKEView.exe( チェック ポイントのサポートが使用するユーティリティ ) によって分析されます VPN-1 Pro カーネル ドライバを起動または停止します LSMcli LSMcli は Smart LSM を設定します コマンドのの詳細については SmartLSM を参照してください 構文 LSMcli [-h --help] LSMcli [-d] <Server> <User> <Pswd> <Action> LSMenabler LSMenabler は Smart LSM を有効または無効にします コマンドのの詳細については SmartLSM を参照してください 構文 LSMenabler [-d] [-r] <off on> ネットワーク診断コマンド このセクションの構成 Ping 95 ページ traceroute 96 ページ netstat 98 ページ 94

95 ネットワーク診断コマンド Ping ICMP ECHO_REQUEST パケットをネットワーク ホストに送信します 構文 ping [-dfnqrvr] [-c count] [-i wait] [-l preload] [-p pattern] [-s packetsize] 表 5-23 ping コマンドの 意味 -c count カウント ECHO_RESPONSE パケットの送信 ( および受信 ) 後に停止します -d 使用中のソケットの SO_DEBUG オプションを設定します -f Ping 情報を出力します パケットが戻るか または 1 秒間に 100 回送信されるかのいずれか早い時点でパケットを出力します ECHO_REQUEST が送信されるたびにピリオド. が出力され ECHO_REPLY が受信されるたびにバックスペースが出力されます これにより ドロップされているパケット数の迅速な表示が可能になります このオプションは スーパーユーザだけが使用できます この場合 ネットワークの負荷が非常に大きくなる可能性があるので注意して使用してください -i wait 待機 : パケットを送信するたびに i 秒間待機します デフォルトでは パケットごとに 1 秒間待機します このオプションは -f オプションと併用できません -l プリロード : プリロードを指定すると ping コマンドは できるだけ多くのパケットを送信してから通常の動作モードに復帰します このオプションは スーパーユーザだけが使用できます -n 数値出力のみを生成します ホスト アドレスのシンボリック名を検索しません -p pattern 送信するパケットに書き込む パッド バイトを最大 16 まで指定できます これは データ依存のネットワーク障害を診断する際に役立ちます たとえば -p ff を指定すると 送信パケットに一連の数値 1 が書き込まれます -q 通常の出力を生成しません 起動時と終了時に要約行が表示されますが それ以外は何も表示されません -R ルートを記録します ECHO_REQUEST パケットに RECORD_ROUTE オプションを設定し 返送されたパケットのルート バッファを表示します IP ヘッダは 9 つのルート分の大きさしかないことに注意してください このオプションは多くのホストで無視または破棄されます 第 5 章管理 95

96 SecurePlatform シェル 表 5-23 ping コマンドの ( 続き ) -r 通常のルーティング テーブルをバイパスし 接続ネットワーク上のホストに直接送信します ホストが直接接続されたネットワーク上に存在しない場合は エラーが返されます このオプションを使用すると ルート情報を持たないインタフェースを通じてローカル ホストへの Ping を実行できます -s packetsize traceroute パケットがたどるルートの追跡や パケットを破棄する問題のあるゲートウェイを見つけることが困難な場合があります traceroute は IP プロトコルの time to live フィールドを利用し 送信先ホストへのパスに沿った各ゲートウェイから ICMP TIME_EXCEEDED 応答を引き出します 構文 意味 送信するデータのバイト数を指定します デフォルトは 56 で ICMP ヘッダ データの 8 バイトを加えて 64 バイトの ICMP データに変換されます -v 冗長 ( 詳細 ) 出力を生成します ECHO_RESPONSE 以外の受信した ICMP パケットの一覧を表示します traceroute [ -dfinrvx ] [ -f first_ttl ] [ -g gateway ] [ -i iface ] [ -m max_ttl ] [ -p port ] [ -q nqueries ] [ -s src_addr ] [ -t tos ] [ -w waittime ] host [ packetlen ] 表 5-24 traceroute コマンドの 意味 -f 最初の発信プローブ パケットで使用される初期有効時間を設定します first_ttl -F 分割禁止ビットを設定します -d ソケット レベルのデバッグを有効にします -g ゲートウェイ : ルース ソース ルート ゲートウェイを指定します ( 最大 8 個 ) -i インタフェース : 発信プローブ パケットの発信元 IP アドレスを取得するネットワーク インタフェースを指定します 通常 これはマルチホーム ホストでのみ使用できます ( これと別の方法については -s フラグ を参照してください ) -I UDP データグラムの代わりに ICMP ECHO を使用します -m max_ttl 発信プローブ パケットで使用される最大有効時間 ( ホップの最大数 ) を設定します デフォルトは 30 ホップです (TCP 接続で使用されるデフォルトと同じです ) 96

97 ネットワーク診断コマンド 表 5-24 traceroute コマンドの ( 続き ) 意味 -n ホップ アドレスを名前ではなく数字として出力します ( パスで見つかった各ゲートウェイについて ネームサーバで名前からアドレスを割り出す処理を省くことができます ) -p port プローブで使用される UDP ベース ポート番号を設定します ( デフォルトは です ) traceroute では 宛先ホストの UDP ポート ( ベースからベース +n ホップ -1 までのポート ) が待機していない必要があります ( 待機している場合は ICMP PORT_UNREACHABLE メッセージが返されて ルートのトレースが終了します ) デフォルトの範囲にあるポートが待機している場合は このオプションを使用すると未使用のポート範囲を選択できます -q nqueries 実行するクエリの数を指定します -r 通常のルーティング テーブルをバイパスし 接続ネットワーク上のホストに直接送信します ホストが直接接続ネットワーク上に存在しない場合は エラーが返されます このオプションを使用すると ルート情報を持たないインタフェースを通じてローカル ホストへの Ping を実行できます -s src_addr 発信プローブ パケットの発信元アドレスとして後続の IP アドレスを使用します (IP アドレスは通常 ホスト名ではなく数字で指定します ) 複数の IP アドレスを複数持つマルチホーム ホストでは このオプションを使用して 発信元アドレスをプローブ パケットが送信されるインタフェースの IP アドレス以外のアドレスにすることができます IP アドレスがこのコンピュータのインタフェース アドレス以外の場合は エラーが返されて何も送信されません ( これと別の方法については -i フラグ を参照してください ) -t tos プローブ パケットでの TOS( サービスの種別 ) を後続の値に設定します ( デフォルトは 0( ゼロ ) です ) この値は 0 から 255 までの 10 進整数にする必要があります このオプションを使用すると サービスの種類によってパスが異なるかどうかを確認できます (UNIX 4.4bsd を実行していない場合は telnet や ftp などの通常のネットワーク サービスでは TOS を制御できないので このオプションは無効になる可能性があります また TOS のすべての値が適正または有意であるとは限りません 各値の定義については IP 仕様を参照してください 有効な値として -t 16 ( ロー ディレイ ) と -t 8 ( 高スループット ) が考えられます ) -v 冗長 ( 詳細 ) 出力を生成します TIME_EXCEEDED と UNREACHABLE 以外の受信した ICMP パケットの一覧が表示されます -w waittime プローブへの応答待ち時間 ( 秒 ) を設定します ( デフォルトは 5 秒です ) -x チェックサムを切り替えます 通常はこのオプションにより traceroute はチェックサムを計算しませんが オペレーティング システムによっては 発信パケットの一部を上書きすることはできても チェックサムを再計算できない場合があります そのため デフォルトの設定でチェックサムが計算されない場合は -x を指定することでチェックサムが計算されます 通常チェックサムは ICMP ECHO プローブの使用時 (-I の使用時 ) の最終ホップで必要になります 第 5 章管理 97

98 SecurePlatform シェル netstat ネットワーク統計情報を表示します 構文 netstat [-veennccf] [<Af>] -r netstat {-V --version -h --help} netstat [-vnncaeol] [<Socket>...] netstat { [-veennac] -i [-cnne] -M -s } 表 5-25 netstat コマンドの 意味 詳細 -r ルート ルーティング テーブルを表示します -i インタフェース インタフェース テーブルを表示します -g グループ マルチキャスト グループのメンバシップを表示します -s 統計情報 ネットワーク統計情報 (SNMP など ) を表示します -M マスカレード マスカレード接続を表示します -v 冗長 冗長 ( 詳細 ) にします -n 数値 名前を解決しません -N シンボリック ハードウェア名を解決します -e 拡張 ほかの情報や詳細情報を表示します -p プログラム ソケットの PID 名またはプログラム名を表示します -c 連続 連続表示します -l 待機 待機中のサーバ ソケットを表示します -a すべて 待機 すべてのソケットを表示します ( デフォルトは接続ソケット ) -o タイマ タイマを表示します -F 転送情報ベース 転送情報ベース (FIB) を表示します ( デフォルト ) -C キャッシュ FIB の代わりにルーティング キャッシュを表示します <Socket> ソケットの種類として次のいずれかを指定できます {-t --tcp} {-u --udp} {-w --raw} {-x --unix} --ax25 --ipx -- netrom -A <AF>, af <AF> アドレス ファミリです 次のいずれかを指定できます inet(darpa Internet) inet6(ipv6) ax25(ampr AX.25) netrom(ampr NET/ROM) ipx(novell IPX) ddp(appletalk DDP) 98

99 ネットワーク設定コマンド ネットワーク設定コマンド このセクションの構成 arp arp は カーネルの ARP キャッシュをさまざまな方法で操作します 主要なオプションは アドレス マップ エントリのクリアおよび手動設定です デバッグのために ARP プログラムでは ARP キャッシュの完全ダンプも可能です 構文 addarp addarp は 永続的な ARP エントリ ( 再起動後も存続するエントリ ) を追加します 構文 arp 99 ページ addarp 99 ページ delarp 100 ページ hosts 101 ページ ifconfig 101 ページ vconfig 103 ページ route 104 ページ hostname 105 ページ domainname 105 ページ dns 106 ページ sysconfig 106 ページ webui 106 ページ arp [-vn] [-H type] [-i if] -a [hostname] arp [-v] [-i if] -d hostname [pub] arp [-v] [-H type] [-i if] -s hostname hw_addr [temp] arp [-v] [-H type] [-i if] -s hostname hw_addr [netmask nm] pub arp [-v] [-H type] [-i if] -Ds hostname ifa [netmask nm] pub arp [-vnd] [-H type] [-i if] -f [filename] addarp <hostname> <MAC> 第 5 章管理 99

100 SecurePlatform シェル delarp delarp は addarp によって作成された ARP エントリを削除します 構文 delarp <hostname> <MAC> 表 5-26 arp コマンドの 意味詳細 -v 詳細実行中の処理の詳細をユーザに伝えます -n 数値 シンボリックなホスト名 ポート名 またはユーザ名の解決 を試みずに 数値アドレスを表示します -H type, ハードウェアの種類 -a [hostname] [hostname] の表示 -d hostname hostname の削除 -D 使用デバイス -i If デバイス インタフェース -f filename ファイル filename このオプションのは ARP キャッシュを設定または読み取るときに チェックするエントリのクラスを arp に示します こののデフォルト値は ether(ieee Mbps Ethernet に対応するハードウェア コード 0x01) です これ以外に ARCnet(arcnet) PROnet(pronet) AX.25(ax25) NET/ROM(netrom) などのネットワーク技術の値も指定できます 指定したホストのエントリを表示します hostname を使用しない場合は すべてのエントリが表示されます 指定したホストのエントリを削除します 指定したホストが停止した場合などに使用できます インタフェース ifa のハードウェア アドレスを使用します インタフェースを選択します ARP キャッシュをダンプしたときは 指定したインタフェースに一致するエントリだけが出力されます 永続または一時 ARP エントリを設定すると このインタフェースは いずれかのエントリに関連付けられます このオプションを使用しない場合 カーネルはルーティング テーブルに基づいてエントリを推測します パブリック エントリの場合は 指定したインタフェースが ARP 要求に応答するインタフェースになります -s オプションと同じで この場合にのみ 設定されたファイル filename からアドレス情報が取得されます データ ファイルの名前は 多くの場合 /etc/ethers です filename を指定しない場合は /etc/ethers がデフォルトとして使用されます 100

101 ネットワーク設定コマンド hosts ホスト名と IP アドレスの関連付けを表示 設定 または削除します 構文 hosts add <IP-ADDRESS> <host1> [<host2>...] hosts remove <IP_ADDRESS> <host1> [<host2>...] hosts 表 5-27 hosts コマンドの hosts 意味 なしで hosts を実行すると 現在のホスト名と IP アドレスの関 連付けが表示されます add IP-ADDRESS ホストが追加される IP アドレスを指定します host1, host2... 追加するホストを指定します remove IP-ADDRESS ホストを削除する IP アドレスを指定します host1, host2... 削除するホストの名前を指定します ifconfig ネットワーク インタフェースの設定を表示 設定 または保存します 構文 ifconfig [-a] [-i] [-v] [-s] <interface> [[<AF>] <address>] [add <address>[/<prefixlen>]] [del <address>[/<prefixlen>]] [[-]broadcast [<address>]] [[-]pointopoint [<address>]] [netmask <address>] [dstaddr <address>] [tunnel <address>] [outfill <NN>] [keepalive <NN>] [hw <HW> <address>] [metric <NN>] [mtu <NN>] [[-]trailers] [[-]arp] [[-]allmulti] [multicast] [[-]promisc] [mem_start <NN>] [io_addr <NN>] [irq <NN>] [media <type>] [txqueuelen <NN>] [[-]dynamic] [up down] [--save] 第 5 章管理 101

102 SecurePlatform シェル 表 5-28 ifconfig コマンドの interface up down [-]arp [-]promisc [-]allmulti metric N mtu N dstaddr addr netmask addr irq addr io_addr addr mem_start addr media type [-]broadcast [addr] 意味 インタフェースの名前を指定します これは通常 ドライバ名とユニット番号の組み合わせ ( たとえば 最初の Ethernet インタフェースの場合は eth0) です インタフェースをアクティブにします インタフェースにアドレスが割り当てられている場合 このフラグは自動的に指定されます このインタフェースのドライバを停止させます このインタフェースで ARP プロトコルを有効または無効にします インタフェースの無差別モードを有効または無効にします このオプションを選択すると ネットワーク上のすべてのパケットがこのインタフェースで受け取られます オールマルチキャスト モードを有効または無効にします このオプションを選択すると ネットワーク上のすべてのマルチキャスト パケットが このインタフェースで受け取られます インタフェース メトリックを設定します インタフェースの最大転送単位 (MTU) を設定します PPP などのポイントツーポイント リンクのリモート IP アドレスを設定します このキーワードは廃止されたため 代わりにポイントツーポイント キーワードを使用してください このインタフェースに IP ネットワーク マスクを設定します この値のデフォルトは インタフェース IP アドレスから取得された通常のクラス A B または C のネットワーク マスクですが 任意の値に設定できます このデバイスで使用される割り込みラインを設定します デバイスによっては IRQ 設定を動的に変更できないことがあります このデバイスの I/O 空間の開始アドレスを設定します このデバイスによって使用される共有メモリの開始アドレスを設定します このの設定が必要なデバイスはごくわずかです デバイスによって使用される物理ポートまたはメディアの種類を設定します デバイスによってはこの設定を変更できず サポートしている値も異なる可能性があります 一般的な値は 10base2(thin Ethernet) 10baseT ( ツイストペア 10Mbps Ethernet) AUI( 外部トランシーバ ) などです 特別な medium type として auto を使用すると メディアを自動感知するようにドライバに指示できます ドライバによってはこの機能をサポートしていません アドレス引数を指定した場合は このインタフェースのプロトコル ブロードキャスト アドレスを設定します アドレス引数を指定しない場合は インタフェースの IFF_BROADCAST フラグを設定またはクリアします 102

103 ネットワーク設定コマンド 表 5-28 ifconfig コマンドの ( 続き ) [- ]pointopoint [addr] hw class address multicast Address txqueuelen length --save 意味 インタフェースのポイントツーポイント モードを有効にします これにより インタフェースは 他者が待機しない 2 台のコンピュータを直結するリンクになります 同時にアドレス引数も指定した場合は 廃止された dstaddr キーワードと同様に リンクの相手側のプロトコル アドレスを設定します アドレス引数を指定しない場合は インタフェースの IFF_POINTOPOINT フラグを設定またはクリアします このインタフェースのハードウェア アドレスを設定します ただし この操作がデバイス ドライバによってサポートされている場合に限られます このキーワードのあとに ハードウェア クラスの名前 およびハードウェア アドレスと等価の出力可能な ASCII 文字列を配置する必要があります 現在サポートされているハードウェア クラスは ether(ethernet) ax25(ampr AX.25) ARCnet および netrom(ampr NET/ROM) です インタフェースにマルチキャスト フラグを設定します マルチキャスト フラグは ドライバ自体によって正しく設定されるので 通常 このを設定する必要はありません このインタフェースに割り当てる IP アドレスを指定します デバイスの送信キューの長さを設定します 待ち時間の長い低速のデバイス ( モデム リンクや ISDN など ) では 高速のバルク転送により TELNET などの対話型トラフィックが過度に妨げらないようにするために小さい値に設定するのが有効です インタフェース IP 設定を保存します VPN-1 Express がインストールされている場合は使用できません vconfig 仮想 LAN インタフェースを設定します 構文 vconfig add [interface-name] [vlan_id] vconfig rem [vlan-name] 表 5-29 vconfig コマンドの interface-name vlan_id skb_priority vlan_qos 意味 VLAN をホストするイーサネット カードの名前を指定します VLAN の識別子 (0 ~ 4095) を指定します ソケット バッファ (sk_buff) 内での優先順位を指定します VLAN ヘッダの 3 ビット優先順位フィールドを指定します 第 5 章管理 103

104 SecurePlatform シェル 表 5-29 vconfig コマンドの ( 続き ) name-type bind-type flag-num 意味 以下のいずれかを指定します VLAN_PLUS_VID( たとえば vlan0005) VLAN_PLUS_VID_NO_PAD( たとえば vlan5) DEV_PLUS_VID( たとえば eth0.0005) DEV_PLUS_VID_NO_PAD( たとえば eth0.5) 以下のいずれかを指定します PER_DEVICE # eth0 と eth1 の vlan 5 は一意にできます PER_KERNEL # すべてのデバイス全体で vlan 5 を一意にする必要があります 0 または 1(REORDER_HDR) を指定します このを設定すると VLAN デバイスは 実際のイーサネット デバイスとまったく同じように見えるようにイーサネット ヘッダを移動します route ルーティング エントリを表示 設定 または保存します 構文 route [-nnvee] [-FC] [<AF>] List kernel routing tables route [-v] [-FC] {add del flush}... Modify routing table for AF. route {-h --help} [<AF>] Detailed usage syntax for specified AF. route {-V --version} Display version/author and exit. route --save 表 5-30 route コマンドの 意味 詳細 -v 詳細 詳細にします -n 数値 名前を解決しません -N シンボリック ハードウェア名を解決します -e 拡張 ほかの情報や詳細情報を表示します -F 転送情報ベース 転送情報ベース (FIB) を表示します ( デフォルト ) -C キャッシュ FIB の代わりにルーティング キャッシュを表示します 104

105 ネットワーク設定コマンド 表 5-30 route コマンドの ( 続き ) 意味詳細 -A <AF> af <AF> アドレス ファミリです 次のいずれかを指定できます inet(darpa Internet) inet6(ipv6) ax25(ampr AX.25) netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP) save ルーティング設定を保存します hostname システムのホスト名を表示または設定します 構文 hostname [--help] hostname <host> hostname <host> <external_ip_address> 表 5-31 hostname コマンドの host external_ip_address help 意味ホスト名を表示します 新しいホスト名を指定します インタフェースに割り当てる IP アドレスを指定します ヘルプを表示します domainname システムのドメイン名を表示または設定します 構文 domainname [<domain>] 表 5-32 domainname コマンドの domain 意味 ドメイン名を表示します ドメインにドメイン名を設定します 第 5 章管理 105

106 SecurePlatform シェル dns ドメイン名を解決するサーバを追加 削除 または表示します 構文 dns [add del <ip_of_nameserver>] 表 5-33 dns コマンドの add del <ip_of_nameserver> 意味設定されている DNS サーバを表示します 新しいネームサーバを追加します 既存のネームサーバを削除します ネームサーバの IP アドレスを指定します sysconfig システムのネットワーク機能とセキュリティを設定する対話型スクリプトです 構文 sysconfig webui webui は SecurePlatform HTTPS Web サーバが管理インタフェースに使用するポートを設定します 構文 webui enable [https_port] webui disable 表 5-34 webui コマンドの enable [https_port] disable 意味 ポート https_port で Web GUI を有効にします Web GUI を無効にします 106

107 ダイナミック ルーティング コマンド ダイナミック ルーティング コマンド このセクションの構成 router 107 ページ 注 : SecurePlatform Pro のみがダイナミック ルーティング コマンドをサポートします router チェック ポイントのダイナミック ルーティングを設定します 構文 router [enable config disable] 表 5-35 router コマンドの enable config disable 意味 ダイナミック ルーティングを有効にします ダイナミック ルーティング CLI を起動します ( 詳細は 116 ページの コマンドライン インタフェース を参照 ) ダイナミック ルーティングを無効にします ユーザ コマンドと管理者コマンド このセクションの構成 adduser 108 ページ deluser 108 ページ showusers 108 ページ lockout 108 ページ unlockuser 109 ページ checkuserlock 109 ページ 第 5 章管理 107

108 SecurePlatform シェル adduser adduser は SecurePlatform 管理者を追加します (SecurePlatform Pro は SecurePlatform 管理者の RADIUS 認証をサポートします ) 構文 adduser [-x EXTERNAL_AUTH] <user name> deluser deluser は SecurePlatform 管理者を削除します 構文 deluser <user name> showusers showusers はすべての SecurePlatform 管理者を表示します 構文 showusers lockout SecurePlatform 管理者をロック アウトします 構文 lockout enable <attempts> <lock_period> lockout disable lockout show 表 5-36 lockout コマンドの enable attempts lock_period disable show 意味 ログイン試行に指定回数失敗したあとにロック アウト機能を起動し lock_period 分間にわたってアカウントをロックします ロック アウト機能を無効にします ロック アウト機能の現在の設定を表示します 108

109 SNMP エージェントの設定 unlockuser ロックされた管理者をロック解除します (108 ページの lockout を参照してください) 構文 unlockuser <username> checkuserlock SecurePlatform 管理者のロック アウト ステータス ( 管理者がロックされているかどうか ) を表示します 構文 checkuserlock <username> SNMP サポート このセクションの構成 SNMP エージェントの設定 109 ページ SNMP トラップの設定 110 ページ SNMP サポートは 以下のように SecurePlatform に完全に組み込まれています 完全な OS-MIB-II に対する Net-SNMP サポート SNMP を介したチェック ポイント ステータス情報の監視 (AMON) SNMP V.2 および V.3 のサポート SNMP エージェントの設定 基本的な SNMP 設定では 以下のように snmp コマンドを制限付きシェルで使用します snmp service enable [<portnumber>] snmp service stat snmp service disable snmp user add noauthuser <username> [oidbase <OID>] snmp user add authuser <username> pass <passphrase> [priv <privacyphrase>] [oidbase <OID>] snmp user del [<username>] snmp user show [<username>] 第 5 章管理 109

110 SNMP サポート 表 5-37 snmp コマンドの snmp service enable snmp service disable snmp service stat snmp user snmp user del snmp user show snmp user show [<username>] 意味 UDP ポートで待機する SNMP エージェント デーモンを起動します SNMP エージェント デーモンを停止します サービスの状態を表示します SNMP v3 ユーザをエージェントに追加します ユーザの認証パスワードと暗号化パスワードを指定できます また 指定した OID サブツリーのみにユーザのアクセスを制限できます ユーザを削除します このコマンドを使用して SNMP v1 と v2 のユーザを削除することもできます 既存ユーザの一覧を表示します 指定したユーザ ( またはすべてのユーザ ) の詳細 ( アクセス レベル情報と OID サブツリー制限 ) を表示します SNMP トラップの設定 snmptrap コマンドを使用して SNMP トラップを送信できます ( エキスパート モードの場合のみ ) snmpd.conf ファイル また SNMP トラップを /etc/snmp/snmpd.conf ファイルで設定できます snmpd.conf は Net-SNMP SNMP- エージェントの動作方法を定義する設定ファイルです エージェントが動作して要求に応答するためには このファイルは必要ありません 重要な snmpd.conf のディレクティブについて以下で説明します authtrapenable NUMBER authtrapenable を 1 に設定すると 認証エラー トラップの生成が有効になります デフォルト値は無効 (2) です 通常 対応するオブジェクト (snmpenableauthentraps.0) は読み書き可能ですが 値を設定してオブジェクトを読み取り専用にします オブジェクトの値をさらに設定しようとすると notwritable エラー応答が発生します 110

111 SNMP トラップの設定 trapcommunity STRING trapcommunity STRING は トラップの送信時に使用されるデフォルトのコミュニティ ストリングを定義します このコマンドは コミュニティ ストリングを使用する以下の 3 つのコマンドよりも前に使用する必要があります trapsink HOST [COMMUNITY [PORT]] trap2sink HOST [COMMUNITY [PORT]] informsink HOST [COMMUNITY [PORT]] これらのコマンドは トラップ ( または通知 ) を受け取るホストを指定します デーモンは 起動時に Cold Start トラップを送信します 有効な場合は 認証エラーに対するトラップも送信します 複数の trapsink trap2sink および informsink 回線を指定して 複数の宛先を指定できます trap2sink を使用して SNMPv2 トラップを送信し informsink を使用して通知を送信します COMMUNITY が指定されていない場合は 以前の trapcommunity ディレクティブのストリングが使用されます PORT が指定されていない場合は 既知の SNMP トラップ ポート (162) が使用されます trapsess [SNMPCMD_ARGS] HOST trapsess [SNMPCMD_ARGS] HOST はより汎用的なトラップ設定トークンであり 任意のバージョンの SNMP で任意の種類のトラップ宛先を指定できるようにします SNMPCMD ARGS として渡すことができる引数の詳細については snmpcmd(1) マニュアル ページを参照してください そのページに表示されている引数のほかに特別な引数 -Ci が 未承認のトラップの代わりに情報の通知を使用するよう指示します これには バージョン番号 v2c または v3 を指定する必要があります agentsecname NAME DISMAN-EVENT-MIB サポートでは エージェントをスキャンする有効なユーザ名が必要です 有効なユーザ名は agentsecname トークンを使用して指定するか または -u スイッチを使用して 以下で説明する monitor 行に明示的に指定します いずれの場合にも 同じセキュリティ名を使用して rouser 行 ( または同等のアクセス制御設定 ) を指定する必要があります 例 agentsecname internal rouser internal 第 5 章管理 111

112 SNMP サポート monitor [OPTIONS] NAME EXPRESSION このディレクティブは EXPRESSION に基づいて エージェント自体の問題を監視するようエージェントに指示します EXPRESSION は OID 比較演算子 (!= == < <= > >=) および整数値 ( 以下の例を参照 ) を使用した簡単な式です NAME は 自由に選択できる任意の管理専用の名前です OPTIONS に含まれる可能性のあるは以下のとおりです 意味 -r FREQUENCY 指定された式を FREQUENCY 秒ごとに監視します デフォルトは 600(10 分 ) です -u SECNAME ローカル ホストをスキャンするために SECNAME セキュリティ名を使用します 特に この式を常に有効にするには rouser snmpd.conf トークンなどを使用してこの SECNAME にアクセス制御権を与える必要があります 指定しない場合は エージェントの ecname snmpd.conf トークンで指定されたデフォルトのセキュリティ名が使用されます -u フラグまたは有効な agentsecname トークンを指定する必要があります ( また rouser トークンを使用して その名前に適切なアクセス制御権を与える必要があります ) -o OID 通常のトラップ オブジェクトのほかに 生成されるトラップと一緒に渡される追加のオブジェクト値を指定します 詳細については下の例を参照してください 以下の設定例は 10 MB を超えるメモリを消費しているプロセスがないかどうかについて ( 実行中のプロセスを表示する )hrswrunperftable をチェックします このチェックは 600 秒 ( デフォルト値 ) ごとに実行されます 制限を超えるプロセスが見つかるたびに 通知が 1 つ送出されます トラップで通常送信される hrswrunperfmem の OID と値のほかに hrswrunname も送信されます hrswrunname オブジェクトは実際には別のテーブルで発生しますが 2 つのテーブルのインデックスは同じなので影響はありません rouser admin monitor -u me -o sysuptime.0 -o hrswrunname "high process memory" hrswrunperfmem > 上の行は 以下のように snmptrapd によって書式化されたトラップを生成します :33:53 localhost.localdomain [udp: :32931]: sysuptimeinstance = Timeticks: (1629) 0:00:16.29 snmptrapoid.0 = OID: mtetriggerfired mtehottrigger = high process memory mtehottargetname = mtehotcontextname = mtehotoid = OID: hrswrunperfmem.1968 mtehotvalue = hrswrunname.1968 = "fw" 112

113 SNMP トラップの設定 これは fw プロセスが常駐メモリを 28 MB 使用していることを示しています defaultmonitors yes デフォルトでは エージェントと DISMAN-EVENT-MIB サポートは 設定されるまで何も行いません 通常 ユーザは 問題を報告するために特別に設計された UCD-SNMP-MIB 内のテーブルの数を監視する必要があります defaultmonitors yes 行が snmpd.conf ファイルにある場合は ( 適切な agentsecname 行と rouser 行があとに続いている必要があります ) 以下の監視条件がインストールされます monitor -o prnames -o prerrmessage "process table" prerrorflag!= 0 monitor -o memerrorname -o memswaperrormsg "memory" memswaperror!= 0 monitor -o extnames -o extoutput "exttable" extresult!= 0 monitor -o dskpath -o dskerrormsg "dsktable" dskerrorflag!= 0 monitor -o lanames -o laerrmessage "latable" laerrorflag!= 0 monitor -o filename -o fileerrormsg "filetable" fileerrorflag!= 0 チェック ポイントのダイナミック ルーティング このセクションの構成 サポートされている機能 114 ページ コマンドライン インタフェース 116 ページ チェック ポイントは SecurePlatform の一部としてダイナミック ルーティング ( ユニキャストおよびマルチキャスト ) プロトコルをサポートしています 設定は SecurePlatform シェルに組み込まれた 業界標準 のコマンドライン インタフェースを使用して行います ログ表示などの その他の管理タスクは標準 SecurePlatform ツールを使用して行います この章では SecurePlatform とダイナミック ルーティングの統合について説明します 第 5 章管理 113

114 チェック ポイントのダイナミック ルーティング サポートされている機能 このセクションの構成 : このセクションでは チェック ポイントのダイナミック ルーティングによってサポートされている重要な機能を説明します サポートされているプロトコル 以下のプロトコルがチェック ポイントのダイナミック ルーティングでサポートされています ユニキャスト RIP-1 RIP-2 OSPF BGP マルチキャスト PIM-DM PIM-SM IGMP サポートされているプロトコル 114 ページ ダイナミック ルーティング サポートの有効化と無効化 114 ページ トレース オプションとログ オプション 115 ページ SNMP を使用したステータスの監視 115 ページ バックアップとリストア 116 ページ ダイナミック ルーティング サポートの有効化と無効化 チェック ポイントのダイナミック ルーティングを使用するには 以下の CLI コマンドが必要です router: チェック ポイントのダイナミック ルーティングを設定します router コマンドの構文との説明を以下に示します 114

115 サポートされている機能 router チェック ポイントのダイナミック ルーティングを設定します 構文 router [enable config disable] 表 5-38 router コマンドの enable config disable 意味ダイナミック ルーティングを有効にします ダイナミック ルーティング CLI を起動します ( 詳細については 116 ページの コマンドライン インタフェース を参照 ) ダイナミック ルーティングを無効にします チェック ポイントのダイナミック ルーティング状態は 再起動処理中に維持されます たとえば 再起動前に Enabled であった場合には 再起動後も Enabled のままです 注 : ただし ダイナミック ルーティング設定は再起動処理中に維持されません CLI を使用して保存された最後の設定のみが再起動中に維持されます トレース オプションとログ オプション チェック ポイントのダイナミック ルーティングのトレース オプションは多くのレベルで設定できます トレース オプションには ファイル指定 グローバルなトレース オプション プロトコル固有のトレース オプションなどがあります トレース ファイルは ログ スイッチ メカニズムを使用してあとで表示できます ダイナミック ルーティングのログ メッセージは routing_messages に保存され 標準の SecurePlatform ログ メカニズムを使用して表示できます 詳細については 83 ページの log を参照してください SNMP を使用したステータスの監視 チェック ポイントのダイナミック ルーティングは RFC 1227 SMUX インタフェースを介して SNMP をサポートします ダイナミック ルーティングはデフォルトで有効です SNMP を介してダイナミック ルーティングのステータス情報を取得するには 標準の SNMP クライアントを使用します SNMP バージョン 1 のみがサポートされ すべての MIB 変数は読み取り専用です 詳細については 109 ページの SNMP サポート を参照してください 第 5 章管理 115

116 チェック ポイントのダイナミック ルーティング バックアップとリストア SecurePlatform メカニズムは ダイナミック ルーティング設定の保存と復元も行います これは snapshot コマンドと revert コマンドを使用した場合も同様です 注 : ダイナミック ルーティング設定はシステム設定の一部として保存されます 詳細については 67 ページの バックアップとリストア を参照してください コマンドライン インタフェース このセクションの構成 : 概要 概要 116 ページ コマンド ラインの編集とオートコンプリート 116 ページ 状況依存のヘルプ 116 ページ コマンド履歴 117 ページ CLI トレースの無効化 / 有効化 117 ページ チェック ポイントのダイナミック ルーティングは 業界標準のコマンドを利用して設定を行います CLI の基本的な機能は以下のとおりです コマンド ラインの編集とオートコンプリート 状況依存のヘルプ コマンド履歴 CLI トレースの無効化 / 有効化 コマンド ラインの編集とオートコンプリート コマンド ラインの入力途中で Tab キーを押して 入力中のコマンドを自動的に入力したり 入力候補のコマンドを一覧表示したりできます 状況依存のヘルプ コマンドの直後に? と入力すると 直前に入力したコマンドに関する状況依存のヘルプが表示されます コマンド セットのあとに? と入力すると コマンドで使用できるオプションの一覧が表示されます 116

117 コマンドライン インタフェース コマンド履歴 CLI セッション中に入力したすべてのコマンドはコマンド履歴に保存されます 履歴のオン / オフを切り替えできます CLI トレースの無効化 / 有効化 CLI は柔軟なトレース メカニズムを備えています トレース対象のイベントは複数のクラスに分けられ 各クラスは個別にトレースできます クラスは 端末 ファイル または基になるシステムのトレース システム (syslog) のいずれか またはこれらのすべてにいたるまでトレースできます SecurePlatform のブート ローダ このセクションの構成 メンテナンス モードでの起動 118 ページ ブート プロセスのカスタマイズ 118 ページ スナップショット イメージの管理 118 ページ SecurePlatform コンピュータを起動するたびに ブート ローダ画面が表示されます ブート ローダでは ブート オプションを選択し スナップショット イメージから起動する方法を含め ブート プロセスをカスタマイズできます デフォルトでは ユーザが操作を行わないと 最後に選択されたブート オプション ( オプションが一度も選択されていない場合は デフォルトのオプション ) が選択されます メンテナンス モードで起動したり ブート プロセスをカスタマイズするには パスワードが必要です これはシステムのエキスパート モードのパスワードです ヒント : 初めてエキスパート モードに切り替えるときに パスワードを入力するよう要求されます それまでは 標準モードのパスワードと同じです つまり 管理者ユーザとしてログイン時に使用したパスワードを 最初に置き換えるパスワードとして入力する必要があります 何回管理者パスワードを変更しても 初回のエキスパート ユーザ パスワード変更時に入力する必要のあるエキスパート パスワードは更新されません 警告 : ブート オプションを変更したり ブート プロセスをカスタマイズするには システム管理と Linux に精通している必要があります 第 5 章管理 117