R80.10 分散構成セットアップ ガイド 2018 Check 2018 Point Check Software Point Software Technologies Technologies Ltd. Ltd. [Protected] Distribution or modification is subject to approval 1
はじめに 本ガイドでは分散構成で Security Management Security Gateway をセットアップすることを目的とします Security Management として Smart-1 405 Security Gateway として 3200 アプライアンスを使用します 他のモデルでも手順はほとんど同じです 2
サンプル構成 Internet 192.168.100.1 External:192.168.100.0/24 Security Gateway 3200 eth1: 192.168.100.41 Mgmt: 10.0.0.10 Mgmt: 10.0.0.11 10.0.0.12 Internal:10.0.0.0/24 Security Management Smart-1 405 管理 PC 2018 Check Point Software Technologies Ltd. 3
Security Management (Smart-1 405) セットアップ 工場出荷状態の Smart-1 405 をセットアップ First Time Configuration Wizard の実行 4
Security Management 設定 Internet 192.168.100.1 External:192.168.100.0/24 Security Gateway 3200 eth1: 192.168.100.41 Mgmt: 10.0.0.10 Mgmt: 10.0.0.11 10.0.0.12 Internal:10.0.0.0/24 Security Management Smart-1 405 管理 PC 2018 Check Point Software Technologies Ltd. 5
First Time Configuration Wizard はじめに 各アプライアンスは 初期設定では MGMT インターフェースに 192.168.1.1/24 の IP アドレスが割り当てられています PC の IP アドレスが 192.168.1.x/24 (.1 以外 ) に設定されていることを確認します PC を MGMT インターフェースに接続します ブラウザを起動して以下の URL にアクセスします https://192.168.1.1/ 6
First Time Configuration Wizard ポータルへのログイン 初期ユーザ ID でログインします User : admin Password : admin 7
First Time Configuration Wizard ウィザードの開始 初めてログインすると First Time Configuration Wizard が開始されます 8
First Time Configuration Wizard 利用オプションの選択 アプライアンス内に保存されているバージョンをそのまま利用するか 別のバージョンをインストールするか選択できます 工場出荷状態の初期バージョンが R80.10 ではない場合もあります その場合 初期イメージの変更の手順が必要になります 9
First Time Configuration Wizard 利用バージョンの選択 R80.10 のインストールを継続します 10
First Time Configuration Wizard 管理者パスワードの変更 デフォルトの OS 用管理者パスワードを変更します WebUI コンソール ssh で利用する管理者です 11
First Time Configuration Wizard Mgmt インタフェース IP アドレス Mgmt インタフェースの IP アドレスを変更します サンプル構成では以下を設定します IPv4 Address: 10.0.0.11 Subnet mask: 255.255.255.0 Default Gateway: 10.0.0.1 元の 192.168.1.1 の IP アドレスは Alias として残り ウィザードはそのまま継続できます 12
First Time Configuration Wizard インターネット接続 インターネット接続用に Mgmt とは別のインタフェースを設定できます ここではスキップします Mgmt インタフェースを利用してインターネットにアクセスできます 13
First Time Configuration Wizard デバイス情報設定 ホスト名 DNS サーバを設定します サンプル構成では以下を設定します Host Name : r8010mgmt Primary DNS Server: 192.168.100.1 ホスト名は ゲートウェイ管理の オブジェクト名 に利用されますので 複数ある場合は重複しない名前を入力します 各種アップデートでインターネットへの接続が必要になる場合があります 14
First Time Configuration Wizard 日時に設定 日時を設定します 日時にずれがある場合は修正します NTP サーバを利用することもできます 15
First Time Configuration Wizard 製品コンポーネント 管理サーバの構成を選択します Security Management を選択します Dedicated Server を選択すると SmartEvent 専用サーバ ログ専用サーバを選択することもできます 16
First Time Configuration Wizard Security Management 管理者 Security Management 用の管理者を設定します ここでは Gaia (OS) の管理者をそのまま利用します 17
First Time Configuration Wizard 管理 GUI クライアント GUI クライアントを設定します ここでは Any IP Address ( どこからでもアクセス可能 ) を選択します セキュリティ上は Security Management にアクセスできるクライアントを制限することが望ましいです 18
First Time Configuration Wizard サマリ サマリが表示されますので確認します 19
First Time Configuration Wizard 設定中 管理サーバの設定プロセスが進みます Configuration completed successfully のメッセージが表示されれば設定は終了です 20
Secondary IP アドレス削除旧 IP アドレスからログアウト Gaia Portal に自動ログインしますが 一度ログアウトします 元の IP アドレスである 192.168.1.1 にアクセスしているため 21
Secondary IP アドレス削除新 IP アドレスでログイン 管理 PC の IP アドレスを変更します IP : 10.0.0.12/24 Netmask : 255.255.255.0 DNS : 192.168.100.1 https://10.0.0.11/ にアクセスします ウィザードで設定したパスワードでログインします Username: admin Password: 設定したパスワード 22
Secondary IP アドレス削除 1 3 2 4 初期 IP アドレス (192.168.1.1) が Alias (Mgmt:1) として残っていますので削除します 23
Security Gateway (3200) セットアップ 工場出荷状態の 3200 をセットアップ Security Gateway のみ ( 管理なし ) でのセットアップ First Time Configuration Wizard の実行 24
Security Gateway 設定 Internet 192.168.100.1 External:192.168.100.0/24 Security Gateway 3200 eth1: 192.168.100.41 Mgmt: 10.0.0.10 Mgmt: 10.0.0.11 10.0.0.12 Internal:10.0.0.0/24 Security Management Smart-1 405 管理 PC 2018 Check Point Software Technologies Ltd. 25
First Time Configuration Wizard はじめに 各アプライアンスは 初期設定では MGMT インターフェースに 192.168.1.1/24 の IP アドレスが割り当てられています PC の IP アドレスが 192.168.1.x/24 (.1 以外 ) に設定されていることを確認します PC を MGMT インターフェースに接続します ブラウザを起動して以下の URL にアクセスします https://192.168.1.1/ 26
First Time Configuration Wizard ポータルへのログイン 初期ユーザ ID でログインします User : admin Password : admin 27
First Time Configuration Wizard ウィザードの開始 初めてログインすると First Time Configuration Wizard が開始されます 28
First Time Configuration Wizard 利用オプションの選択 アプライアンス内に保存されているバージョンをそのまま利用するか 別のバージョンをインストールするか選択できます 工場出荷状態の初期バージョンが R80.10 ではない場合もあります その場合 初期イメージの変更の手順が必要になります 29
First Time Configuration Wizard 管理者パスワードの変更 デフォルトの OS 用管理者パスワードを変更します WebUI コンソール ssh で利用する管理者です 30
First Time Configuration Wizard Mgmt インタフェース IP アドレス変更 Mgmt インタフェースの IP アドレスを変更します サンプル構成では以下を設定します IPv4 Address: 10.0.0.10 Subnet mask: 255.255.255.0 Default Gateway: 192.168.100.1 元の 192.168.1.1 の IP アドレスは Alias として残り ウィザードはそのまま継続できます 31
First Time Configuration Wizard インターネット接続 インターネット接続用のインタフェースを設定できます IP : 192.168.100.41 Mask : 255.255.255.0 後から設定することもできます 32
First Time Configuration Wizard デバイス情報設定 ホスト名 DNS サーバを設定します Host Name : r8010gw Primary DNS Server: 192.168.100.1 ホスト名は ゲートウェイ管理の オブジェクト名 に利用されますので 複数ある場合は重複しない名前を入力します 33
First Time Configuration Wizard 日時に設定 日時を設定します 日時にずれがある場合は修正します NTP サーバを利用することもできます 34
First Time Configuration Wizard 製品コンポーネント 3200 の構成を選択します Security Gateway を選択します Security Management のチェックを外します 外部の Security Management (Smart-1) から管理するため ローカルの Security Management 機能は利用しません 35
First Time Configuration Wizard Dynamically Assigned IP Security Gateway が動的 IP アドレスかどうかを指定します 動的 IP アドレス (DHCP 等 ) は利用しないため No を選択します 36
First Time Configuration Wizard Secure Internal Communications (SIC) Security Management と連携するためのワンタイムパスワードを設定します SIC とは Check Point のモジュール間で安全に通信する仕組みで 証明書による認証と SSL による暗号化が行われます ここで設定したワンタイムパスワードを利用して Security Gateway を初期認証して 証明書が発行されます 以降は証明書のみが利用されます 37
First Time Configuration Wizard サマリ サマリが表示されますので確認します 38
First Time Configuration Wizard 設定中 Security Gateway の設定プロセスが進みます Configuration completed successfully のメッセージが表示されれば設定は終了です アプライアンスのモデルにより機器の再起動が行われる場合があります 39
Secondary IP アドレス削除旧 IP アドレスからログアウト Gaia Portal に自動ログインしますが 一度ログアウトします 元の IP アドレスである 192.168.1.1 にアクセスしているため 前述の再起動が行われるモデルでは自動ログインせず ログイン画面が表示されます 40
Secondary IP アドレス削除新 IP アドレスでログイン 管理 PC の IP アドレスを変更します IP : 10.0.0.12/24 Netmask : 255.255.255.0 DNS : 192.168.100.1 https://10.0.0.10/ にアクセスします ウィザードで設定したパスワードでログインします Username: admin Password: 設定したパスワード 41
Secondary IP アドレス削除 1 3 2 4 初期 IP アドレス (192.168.1.1) が Alias (Mgmt:1) として残っていますので削除します インタフェースの追加等が必要な場合はここで設定します 42
Gaia オペレーション Web UI 概要 Terminal CLI Expert Mode ロック 43
GAIA について GAIA はチェック ポイント各種アプライアンス上で動作する OS の名称です GAIA OS の上で Security Gateway 機能 (FW IPS 等 ) Security Management ( ポリシー管理 ログ等 ) 機能が動作します ネットワークの設定 ルーティング 時間等の基本的な設定は GAIA OS で設定します 44
Gaia ポータル 概要 メニュー 設定画面メニューで選択した項目に応じて表示されます 45
Gaia ポータル 検索 キーワードで検索できるため メニューの内容を覚える必要はありません 46
Gaia ポータル Basic & Advanced メニューの表示を Basic と Advanced で切り替えることができます Advanced ではダイナミック ルーティング等の高度な設定を行えます Basic モード Advanced モード 47
Gaia ポータル ロック Gaia では設定の矛盾が起きないように排他制御を行います Gaia ポータル : 鍵マークがロック状態を表します 鍵マークをクリックするとロックを解除できます ターミナル : CLINFR0771 Config lock is owned by xxxxx. の表示がされます lock database override コマンドでロックを解除できます 48
Gaia ポータル ターミナル ブラウザ上でターミナルを起動できます login : admin Password : P@ssw0rd CLI で設定 確認が行えます ターミナルへのアクセスは コンソール ( シリアル ) や ssh からも利用可能です 49
CLI CLI からも Web UI と同等の設定を行うことができます show version all コマンドで製品のバージョンを確認できます show configuration コマンドで Gaia 設定を確認できます help コマンドで各種ヘルプが表示されます 50
CLI Expert Mode Expert モードに入ると各種 Unix コマンドを利用できます Expert モードに入るためには専用のパスワードが必要です set expert-password コマンドを実行すると新しく設定するパスワードを聞いてきますので P@ssw0rd を設定します CLI で設定変更した場合 save config コマンドによる保存が必要です expert コマンドを利用すると Expert モードに入れます 51
SmartConsole SmartConsole 入手 SmartConsole インストール SmartConsole 概要 52
SmartConsole とは SmartConsole は Check Point 製品を設定 運用するための Windows アプリケーションです セキュリティ ポリシー管理 ログ モニタ等を総合的に管理できる GUI を提供します 53
インストーラの入手 : 方法 1 インストーラは GAIA ポータル (Overview ページ ) からダウンロードすることができます ブラウザのダウンロード (IE の例 ) 54
インストーラの入手 : 方法 2 最新 Build の SmartConsole は Check Point のサポートサイトから入手可能です https://supportcenter.checkpoint.com/supportcenter/portal?eventsubmit_do Goviewsolutiondetails=&solutionid=sk119612 ダウンロードするためにはサポート契約が必要です 55
参考 : ポータブル版 SmartConsole PC にインストールしないで利用できるポータブル版 SmartConsole もあります https://supportcenter.checkpoint.com/supportcenter/portal?eventsubmit_do Goviewsolutiondetails=&solutionid=sk116158 56
インストールの開始 ダウンロードしたファイル (SmartConcole.exe) を実行します 57
インストール (1) ライセンス アグリーメントに同意します 58
インストール (2) 59
インストール (3) 60
SmartConsole の起動 Check Point SmartConsole R80.10 にインストールされます SmartConsole R80.10 で GUI を起動します 61
Security Management へのログイン Security Management サーバに SmartConsole でログインします 初めてログインする場合 アクセス先確認のため フィンガープリントの確認が行われます アプライアンスのフィンガープリントは GAIA ポータルで確認可能です 2018 Check Point Software Technologies Ltd. 62
What s new 表示 初回ログイン時 What s new が表示されますが右上の x をクリックして閉じます 2018 Check Point Software Technologies Ltd. 63
SmartConsole 概要 Gateways & Servers 管理しているゲートウェイ ゲートウェイの状態 Security Management サーバで管理しているゲートウェイ ( サーバ ) を管理します 各ゲートウェイの状態を確認できます 2018 Check Point Software Technologies Ltd. 64
SmartConsole 概要 Security Policies 対象ポリシー Access Control (FW/Application Control など ) Threat Prevention (IPS/AV/Threat Emulation など ) セキュリティ ポリシー選択した項目により表示は変わります セキュリティ ポリシーを管理します 2018 Check Point Software Technologies Ltd. 65
SmartConsole 概要 Log & Monitor ログ イベントを管理しますイベントの表示には SmartEvent のライセンスが必要です 2018 Check Point Software Technologies Ltd. 66
SmartConsole 概要 Manage & Settings 全体的な設定を管理します 管理者の追加 編集もここで行います 2018 Check Point Software Technologies Ltd. 67
Security Gateway 管理 Security Gateway の追加 トポロジー設定 2018 Check Point Software Technologies Ltd. 68
ネットワーク接続 Internet すべての機器をネットワーク接続します 192.168.100.1 External:192.168.100.0/24 Security Gateway 3200 eth1: 192.168.100.41 Mgmt: 10.0.0.10 Mgmt: 10.0.0.11 10.0.0.12 Internal:10.0.0.0/24 Security Management Smart-1 405 管理 PC 2018 Check Point Software Technologies Ltd. 69
リモート Security Gateway 管理 Security Gateway のポリシー管理は Security Management から行います そのためには Security Management 上で Security Gateway をオブジェクトとして登録し 安全に通信できるようにします 2018 Check Point Software Technologies Ltd. 70
ゲートウェイ オブジェクトの追加 Security Gateway 作成ウィザードの開始 3200 アプライアンスを管理対象に追加します 新規作成ボタンから Gateway を選択します 作成モードとして Wizard Mode を選択します 71
ゲートウェイ オブジェクトの追加ウィザード ゲートウェイの名前 プラットフォーム IP アドレスを指定します Gateway name : r8010gw Gateway platform : 3000 Appliances Static IP address : 10.0.0.10 72
ゲートウェイ オブジェクトの追加ウィザード 3200 の First Time Configuration Wizard - Secure Internal Communications (SIC) で設定したワンタイム パスワードを指定します 73
ゲートウェイ オブジェクトの追加ウィザード 認証が成功すると 3200 と通信を行い 設定済みのインタフェース情報を取得します Security Management と Security Gateway 間で通信が行えないとこの画面に進みません 74
ゲートウェイ オブジェクトの追加ウィザード サマリが表示されます 75
ゲートウェイ オブジェクトの編集 前ページのウィザードの続き または作成された Security Gateway オブジェクトをダブルクリックしてプロパティを編集します 購入した Software Blade に応じて有効化したい機能を選択します ここでは Firewall のチェックが入っていることを確認します トライアル ライセンスでは各種 Software Blade を評価できます (Threat Emulation は除く ) 2018 Check Point Software Technologies Ltd. 76
トポロジーについて Security Gateway オブジェクトで最初に設定しなければならないのがトポロジーです トポロジーを正しく設定しないと Security Gateway は正しくパケットを処理できません トポロジーでは Security Gateway の各インタフェースにどのようなネットワークが接続されているか設定します OS やネットワークの構成が変わった場合は トポロジーを再設定する必要があります 2018 Check Point Software Technologies Ltd. 77
トポロジーの確認 ルーティングが正しく設定されている場合 ルーティング情報を元にインタフェースのトポロジーが自動的に設定されます 今回の構成では eth1 がインターネットに接続するインタフェースになりますので External Mgmt は内部側のインタフェースになりますので This Network になります 2018 Check Point Software Technologies Ltd. 78
参考 : インタフェース情報の取得 インタフェースの設定を変更した場合 ゲートウェイ オブジェクトのインタフェース情報を更新します Get Interfaces をクリックすると OS で設定されているインタフェースの情報を取得します Accept をクリックすると設定を上書きすることを確認されますので Yes をクリックして変更を確定します OS に設定されている情報が取得されます 2018 Check Point Software Technologies Ltd. 79
参考 : 手動でトポロジーを設定 ( 外部インタフェース : eth1) ルーティング ( デフォルト ルート ) が正しく設定されていないとトポロジーが正しく設定されません 実際のトポロジーと異なる場合 手動でトポロジーを指定します eth1 はインターネットに接続するインタフェースなので Internet(External) を選択します 2018 Check Point Software Technologies Ltd. 80
参考 : 手動でトポロジーを設定 ( 内部インタフェース : Mgmt) Mgmt はインターネットに接続するインタフェースなので This Network (Internall) を選択します Mgmt インタフェースに複数のサブネットが接続されている場合 Specific を選択して対象のサブネットがすべて含まれるようにします 2018 Check Point Software Technologies Ltd. 81
準備完了 以上でセキュリティ機能を利用する準備ができました FireWall ポリシー作成 IPS 設定等は別のガイドを参照してください 82
THANK YOU 2018 Check 2018 Point Check Software Point Software Technologies Technologies Ltd. Ltd. [Protected] Distribution or modification is subject to approval 83