AWS R77.30 セットアップガイド 2014 2014 Check Check Point Point Software Software Technologies Ltd. Ltd1
Amazon Web Services 向け先進のセキュリティ! Amazon パブリック クラウド用仮想アプライアンス Public Cloud チェック ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました 2014 Check Point Software Technologies Ltd. 22
Amazon VPC トポロジーと構成要素 Internet 4 4 インターネット接続 ( 直結または VPN) 3 Amazon VPC 3 アマゾン VPC インターネットゲートウェイ 2 2 Check Point VPC 用仮想アプライアンス 1 1 プライベート サブネットの AWS EC2 インスタンス 2014 Check Point Software Technologies Ltd. 3
クラウドのためのフルレンジ防御 貴社のセキュリティ要件に応じた Software Blade をご選択ください Public Cloud 2014 Check Point Software Technologies Ltd. 4
クラウド上でのネットワーク攻撃から防御 Firewall & IPS Software Blades お客様向けサーバ Firewall と IPS Software Blades チェック ポイントバーチャル アプライアンス SQL インジェクション 攻撃 攻撃者 すべてのDBの内容を閲覧しよう 攻撃パターンの検知 2014 Check Point Software Technologies Ltd. 5
先端のセキュリティを手軽に導入 Amazon Web Services 上でチェック ポイントバーチャル アプライアンスを有効化 Public Cloud 2014 Check Point Software Technologies Ltd. 6
迅速に先進のセキュリティを利用可能 Amazon Web Services 上でチェック ポイント バーチャル アプライアンスを有効化 必要な Software Blade を 選択するだけ Public Cloud 2014 Check Point Software Technologies Ltd. 7
ADVANCED SECURITY for Amazon Public Cloud 完全な防御 簡単な導入 統合管理 Virtual Appliance for Amazon Public Cloud Public Cloud 2014 Check Point Software Technologies Ltd. 88
VPC 環境の Web サーバを保護 2014 2014 Check Check Point Point Software Software Technologies Ltd. Ltd9
想定構成 EIP1 SG 用 EIP2 Web サーバ用 IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 10
環境概要 VPC としては 10.0.0.0/16 の空間を利用 外部セグメントとして 10.0.0.0/24 を利用 内部セグメントとして 10.0.1.0/24 を利用 このセグメント内の Web サーバを保護 SG には自身の IP アドレスと Web サーバ用の IP アドレスの 2 つを割り当てる EIP も同様に SG 用と Web サーバ用の 2 つを割り当てる EIP1 10.0.0.100(SG アクセス用 ) EIP2 10.0.0.101(Web サーバ用 ) SG は Static NAT を い Web サーバへの通信を う 2014 Check Point Software Technologies Ltd. 11
VPC 環境設定 2014 2014 Check Check Point Point Software Software Technologies Ltd. Ltd 12
VPC 作成 EIP1 SG 用 EIP2 Web サーバ用 IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 13
VPC 環境作成 VPC VPC の項目をクリックします 2014 Check Point Software Technologies Ltd. 14
VPC 環境作成 VPC VPC 環境を作成します VPC 環境では 10.0.0.0/16 のネットワーク空間を利用します testx_vpc で して下さい 2014 Check Point Software Technologies Ltd. 15
VPC 環境作成 VPC VPC 環境 (Demo VPC) が作成されました 2014 Check Point Software Technologies Ltd. 16
外部セグメント作成 EIP1 SG 用 EIP2 Web サーバ用 VPC IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 17
外部セグメント作成 VPC VPC 環境内に外部セグメントを作成します 外部サブネットを作成する VPC と 割り当てるサブネット (10.0.0.0/24) を指定します testx_ext-net で して下さい testx_vpc を選択 2014 Check Point Software Technologies Ltd. 18
外部セグメント作成 VPC 外部セグメントが作成されました 2014 Check Point Software Technologies Ltd. 19
内部セグメント作成 EIP1 SG 用 EIP2 Web サーバ用 VPC IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 20
内部セグメント作成 VPC VPC 環境内に内部セグメントを作成します 内部サブネットを作成する VPC と 割り当てるサブネット (10.0.1.0/24) を指定します testx_int-net で して下さい testx_vpc を選択 2014 Check Point Software Technologies Ltd. 21
内部セグメント作成 VPC 内部セグメントが作成されました 2014 Check Point Software Technologies Ltd. 22
Internet Gateway 作成 EIP1 SG 用 EIP2 Web サーバ用 VPC IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 23
Internet Gateway 作成 VPC インターネットに接続する Internet Gateway を作成します testx_internetgw で して下さい 2014 Check Point Software Technologies Ltd. 24
Internet Gateway 作成 VPC testx_vpc を選択 Internet Gateway と VPC を紐付けます 紐付ける VPC(testX_VPC) を指定します 2014 Check Point Software Technologies Ltd. 25
Internet Gateway 作成 VPC Internet Gateway が作成されました 2014 Check Point Software Technologies Ltd. 26
外部セグメント用ルーティング設定 EIP1 SG 用 EIP2 Web サーバ用 VPC IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 27
ルート テーブル作成 VPC 外部セグメントで使用するルート テーブルを作成します testx_sg-route で して下さい testx_vpc を選択 ルート テーブルを作成する VPC (testx_vpc) を選択します 2014 Check Point Software Technologies Ltd. 28
ルート テーブル作成 VPC 作成されたルート テーブルにルーティング情報を追加します 2014 Check Point Software Technologies Ltd. 29
ルート テーブル作成 VPC デフォルトルート (0.0.0.0/0) が Internet Gateway に向くように設定します ヒント :Internet Gateway の名前は Internet Gateways ページで確認します 2014 Check Point Software Technologies Ltd. 30
ルート テーブル作成 VPC このルート テーブルを使用するサブネットを指定します 2014 Check Point Software Technologies Ltd. 31
ルート テーブル作成 VPC 外部セグメント (10.0.0.0/24) を選択します 2014 Check Point Software Technologies Ltd. 32
ルート テーブル作成 VPC ルート テーブルの設定が完了しました 2014 Check Point Software Technologies Ltd. 33
Security Group (AWS 標準セキュリティ ) 設定 EIP1 SG 用 EIP2 Web サーバ用 VPC IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 34
Security Group 作成 VPC 各インスタンスが使用する Security Group (PermissiveSecGrp) を作成します ヒント : デフォルトの Security Group は限られた通信しか許可されません (SG に通信が到達しない ) そのため 特別な Security Group を作成します 2014 Check Point Software Technologies Ltd. 35
Security Group 作成 VPC testx_persecgrp で して下さい testx_vpc を選択 Security Group の名前 (PermissiveSecGrp) と Security Group を作成する VPC を指定します 2014 Check Point Software Technologies Ltd. 36
Security Group 作成 VPC 作成された Security Group (PermissiveSecGrp) にインバウンド ( 内向き ) のルールを作成します 2014 Check Point Software Technologies Ltd. 37
Security Group 作成 VPC すべての通信を許可します タイプ : 全てのトラフィック 送信元 : 0.0.0.0/0 2014 Check Point Software Technologies Ltd. 38
Security Group 作成 VPC Security Group (PermissiveSecGrp) が作成されました この Security Group を使用すると すべての通信が許可されます 2014 Check Point Software Technologies Ltd. 39
SG インスタンス設定 2014 2014 Check Check Point Point Software Software Technologies Ltd. Ltd 40
SG インスタンス作成 EIP1 SG 用 EIP2 Web サーバ用 IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 41
SG インスタンス作成 EC2 EC2 をクリックします 2014 Check Point Software Technologies Ltd. 42
SG インスタンス作成 EC2 SG インスタンスを作成します 2014 Check Point Software Technologies Ltd. 43
SG インスタンス作成 EC2 AWS Marketplace で Check Point で検索します PAYG ではないイメージ (BYOL) を選択します ヒント :PAYG はライセンス込みのインスタンスになります 利用時間に応じて Amazon 経由で R77.30 使用料が課 されます どちらのモデルも 15 日間の評価機期間があります 2014 Check Point Software Technologies Ltd. 44
SG インスタンス作成 EC2 インスタンスタイプを選択します ここでは c4.large を選択しています ヒント : 選択可能なタイプはリリースノートを参照してください 未対応のタイプでの動作は保障されません 2014 Check Point Software Technologies Ltd. 45
SG インスタンス作成 EC2 SG インスタンスを設置する VPC とサブネット ( 外部セグメント :10.0.0.0/24) を指定します 次ページに続く testx_vpc を選択 testx_ext-net を選択 2014 Check Point Software Technologies Ltd. 46
SG インスタンス作成 EC2 1. SG インスタンスに割り当てる外部セグメント側の IP アドレス (10.0.0.100) を指定します 2. 内部セグメント用にインタフェース (eth1) を追加します 2014 Check Point Software Technologies Ltd. 47
SG インスタンス作成 EC2 SG インスタンスに割り当てる内部セグメント側のサブネット (10.0.1.0/24) と IP アドレス (10.0.1.100) を指定します 2014 Check Point Software Technologies Ltd. 48
SG インスタンス作成 EC2 特に設定変更せず 次に進みます 2014 Check Point Software Technologies Ltd. 49
SG インスタンス作成 EC2 キー と 値 の欄に testx_sg と して下さい 2014 Check Point Software Technologies Ltd. 50
SG インスタンス作成 EC2 インスタンスに適用するセキュリティ グループ (testx_persecgrp) を指定します 2014 Check Point Software Technologies Ltd. 51
SG インスタンス作成 EC2 特に選択肢は変更せず 次に進みます 2014 Check Point Software Technologies Ltd. 52
SG インスタンス作成 EC2 2014 Check Point Software Technologies Ltd. 53
SG インスタンス作成 EC2 testx と し キーペアのダウンロード をクリックします ssh でアクセスするための証明書キーを作成し ローカルに保存します キーペアのダウンロード後に インスタンスの作成 ボタンがクリックできるようになります 2014 Check Point Software Technologies Ltd. 54
SG インスタンス作成 EC2 2014 Check Point Software Technologies Ltd. 55
SG インスタンス作成 EC2 2014 Check Point Software Technologies Ltd. 56
SG インスタンス作成 EC2 2014 Check Point Software Technologies Ltd. 57
SG インスタンス作成 EC2 作成後 Name の欄に testx_sg と します SG インスタンスが作成されました インスタンスのタイプにより running 状態になるまで時間がかかることがあります 2014 Check Point Software Technologies Ltd. 58
送信先 / 送信元の変更チェック無効化 EIP1 SG 用 EIP2 Web サーバ用 EC2 IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 59
送信先 / 送信元の変更チェック無効化 EC2 Security Gateway 宛 ( 発 ) 以外の通信も送受信できるようにします ヒント : デフォルトでは 自身宛 ( 発 ) 以外の通信しか送受信しません ( パケットが到達しません ) 2014 Check Point Software Technologies Ltd. 60
送信先 / 送信元の変更チェック無効化 EC2 ソース / 宛先チェックを無効化します 2014 Check Point Software Technologies Ltd. 61
内部インタフェース送信先 / 送信元の変更チェック無効化 EC2 内部インタフェースにおいても Security Gateway 宛 ( 初 ) 以外の通信も送受信できるようにします 2014 Check Point Software Technologies Ltd. 62
内部インタフェース送信先 / 送信元の変更チェック無効化 EC2 送信元 / 送信先の変更チェックを無効化します 2014 Check Point Software Technologies Ltd. 63
SG への EIP 割り当て EIP1 SG 用 EIP2 Web サーバ用 IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 64
SG 用 EIP 取得 EC2 SG 用の EIP を取得します この EIP は SG の管理に利用します EIP を VPC で使用できるようにします 2014 Check Point Software Technologies Ltd. 65
SG への EIP 割り当て EC2 取得した EIP を SG に割り当てます testx_sg を選択 EIP を割り当てる SG インスタンスと対応する IP アドレス (10.0.0.100) を指定します 2014 Check Point Software Technologies Ltd. 66
SG への EIP 割り当て EC2 EIP が SG に割り当てられました 2014 Check Point Software Technologies Ltd. 67
SG への EIP 割り当て (Web サーバ用 ) EIP1 SG 用 EIP2 Web サーバ用 IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 68
SG への Secondary IP 割り当て (Web サーバ用 ) EC2 内部の Web サーバに対応する IP アドレスを SG に割り当てます ヒント : インターネットからは EIP 10.0.0.101 10.0.1.200 と 2 段階に NAT されて Web サーバにアクセスされます 2014 Check Point Software Technologies Ltd. 69
SG への Secondary IP 割り当て (Web サーバ用 ) EC2 eth0 ( 外部 ) インタフェースに セカンダリ IP アドレスを割り当てます 2014 Check Point Software Technologies Ltd. 70
SG への Secondary IP 割り当て (Web サーバ用 ) EC2 セカンダリ IP アドレス (10.0.0.101) を指定します 2014 Check Point Software Technologies Ltd. 71
SG への Secondary IP 割り当て (Web サーバ用 ) EC2 ヒント : セカンダリ IP アドレスは SG 側では特に設定を う必要はありません セカンダリ IP 宛ての通信は IG が SG の外部インタフェースにルーティングしてくれます 2014 Check Point Software Technologies Ltd. 72
SG Secondary IP 用 EIP 取得 (Web サーバ用 ) Web サーバ用のセカンダリ IP に対応する EIP を取得します EC2 2014 Check Point Software Technologies Ltd. 73
SG Secondary IP に EIP 割り当て (Web サーバ用 ) Web サーバ用 EIP を SG の Secondary IP に割り当てます EC2 EIP を割り当てるインタフェースと対応する IP アドレスを指定します ヒント : インタフェース名は Network Interfaces ページで事前に確認しておきます 2014 Check Point Software Technologies Ltd. 74
SG Secondary IP に EIP 割り当て (Web サーバ用 ) EC2 Web サーバ用 EIP が SG の Secondary IP に割り当てられました 2014 Check Point Software Technologies Ltd. 75
SG 初期設定 2014 2014 Check Check Point Point Software Software Technologies Ltd. Ltd 76
SG GAiA 管理者パスワード設定 GAiA ssh で SG 用 EIP にアクセスします 証明書を利用し admin ユーザでログインします デフォルトでは admin ユーザにパスワードが設定されていないため パスワードを設定し 設定を保存します パスワードは P@ssw0rd と設定してください 2014 Check Point Software Technologies Ltd. 77
SG GAiA 管理者パスワード設定 GAiA admin ユーザ用のパスワード作成コマンド コンフィグを保存するコマンド 2014 Check Point Software Technologies Ltd. 78
SG First Time Configuration Wizard GAiA ブラウザで SG の EIP に https でアクセスします 初回アクセス時に証明書のエラーが表示されますが 続けてアクセスしてください 2014 Check Point Software Technologies Ltd. 79
SG First Time Configuration Wizard GAiA 通常の製品と同様に First Time Configuration Wizard が起動しますので 手順に従います ここではシングル構成でセットアップします 2014 Check Point Software Technologies Ltd. 80
SG First Time Configuration Wizard GAiA 今回は新規インストールを実施するので 一番上の選択肢を選んだまま次に進めます 2014 Check Point Software Technologies Ltd. 81
SG First Time Configuration Wizard GAiA eth0 にはインスタンス作成時に指定した IP アドレス (10.0.0.100) が設定されています この IP アドレスを変更することはできません 2014 Check Point Software Technologies Ltd. 82
SG First Time Configuration Wizard GAiA メーカサイト (UserCenter) へ接続するインタフェースを選択する画面となりますが 特に変更せずに次に進めます 2014 Check Point Software Technologies Ltd. 83
SG First Time Configuration Wizard GAiA GW のホスト名やドメイン DNS サーバの設定画面が表示されますが 今回は特に内容を追加せず 次に進めます 2014 Check Point Software Technologies Ltd. 84
SG First Time Configuration Wizard GAiA 次に 日付や時刻の設定画面が表示されます 日付や時刻に大きなズレがないことを確認して次に進めます NTP 連携は実施しません 2014 Check Point Software Technologies Ltd. 85
SG First Time Configuration Wizard GAiA 管理サーバの種類を選択する画面が表示されますが 標準で選択している項目のまま次に進めます 2014 Check Point Software Technologies Ltd. 86
SG First Time Configuration Wizard GAiA 展開する製品 機能の選択画面が表示されます Security Gateway 及び Security Management にチェックが っていることを確認し 次に進めます 2014 Check Point Software Technologies Ltd. 87
SG First Time Configuration Wizard GAiA 管理ツール (SmartConsole) でアクセスする際のアカウントを作成します 管理者名 : fwadmin パスワード : P@ssw0rd に設定します 2014 Check Point Software Technologies Ltd. 88
SG First Time Configuration Wizard GAiA 管理ツールでアクセスするクライアントの制限画面となりますが 特に変更せずに次に進めます 2014 Check Point Software Technologies Ltd. 89
SG First Time Configuration Wizard GAiA サマリー画面が表示されますので Finish ボタンをクリックして設定を反映させます 2014 Check Point Software Technologies Ltd. 90
SG First Time Configuration Wizard GAiA Yes ボタンをクリックします 2014 Check Point Software Technologies Ltd. 91
SG First Time Configuration Wizard GAiA ウィザードが完了すると 自動的に再起動します 2014 Check Point Software Technologies Ltd. 92
SG First Time Configuration Wizard GAiA GAiA ポータルで AWS が認識されていることが確認できます 2014 Check Point Software Technologies Ltd. 93
SG 内部インタフェース設定 GAiA 追加した内部インタフェース (eth1) は 自動では設定されないため 手動で設定する必要が あります 2014 Check Point Software Technologies Ltd. 94
SG 内部インタフェース設定 GAiA SG の内部側インタフェースを有効化し IP アドレス (10.0.1.100) とサブネットマスク (255.255.255.0) を指定します 2014 Check Point Software Technologies Ltd. 95
SG 内部インタフェース設定 GAiA 2014 Check Point Software Technologies Ltd. 96
Web サーバ設定 2014 2014 Check Check Point Point Software Software Technologies Ltd. Ltd 97
Web サーバ設定 EIP1 SG 用 EIP2 Web サーバ用 IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 98
Web サーバ環境 ( 参考 ) EC2 2014 Check Point Software Technologies Ltd. 99
Web サーバ環境 ( 参考 ) EC2 2014 Check Point Software Technologies Ltd. 100
Web サーバ環境 ( 参考 ) EC2 Web サーバを VPC 内の内部セグメント (10.0.1.0) に構成します 2014 Check Point Software Technologies Ltd. 101
Web サーバ環境 ( 参考 ) EC2 内部セグメントの IP アドレス (10.0.1.200) を指定します 2014 Check Point Software Technologies Ltd. 102
Web サーバ環境 ( 参考 ) EC2 2014 Check Point Software Technologies Ltd. 103
Web サーバ環境 ( 参考 ) EC2 キー と 値 の欄に testx_webserver と して下さい 2014 Check Point Software Technologies Ltd. 104
Web サーバ環境 ( 参考 ) EC2 Web サーバへのアクセス制御は SG で うため SG と同様に testx_persecgrp を使用します 2014 Check Point Software Technologies Ltd. 105
Web サーバ環境 ( 参考 ) EC2 2014 Check Point Software Technologies Ltd. 106
Web サーバ環境 ( 参考 ) EC2 testx を選択 ssh でアクセスするための証明書キーを選択します ( 事前作成済み ) 新規に作成することもできます 2014 Check Point Software Technologies Ltd. 107
Web サーバ環境 ( 参考 ) EC2 2014 Check Point Software Technologies Ltd. 108
Web サーバ環境 ( 参考 ) EC2 testx_webserver と設定します 2014 Check Point Software Technologies Ltd. 109
Web サーバ設定 ( 参考 ) Web ユーザ名を ec2-user と します 証明書 (testx.pem) を指定して ログインします 2014 Check Point Software Technologies Ltd. 110
Web サーバ設定 ( 参考 ) Web sudo yum y install httpd コマンドを実 します 2014 Check Point Software Technologies Ltd. 111
Web サーバ設定 ( 参考 ) Web sudo service httpd start コマンドを実 します 2014 Check Point Software Technologies Ltd. 112
Web サーバ設定 ( 参考 ) Web 注意! Web サーバへは SG の NAT 設定 セキュリティ ポリシーが適用されるまでアクセスできません!! 2014 Check Point Software Technologies Ltd. 113
内部セグメント設定 2014 2014 Check Check Point Software Point Software Technologies Technologies Ltd. 114 Ltd
内部セグメント用ルーティング設定 EIP1 SG 用 EIP2 Web サーバ用 IG 仮想 IP: 101 10.0.0.0/24 外部セグメント 100(eth0) SG 200 100(eth1) 10.0.1.0/24 内部セグメント Web サーバ VPC: 10.0.0.0/16 SG : Security Gateway 2014 Check Point Software Technologies Ltd. 115
Web サーバ用ルートテーブル作成 VPC Web サーバ ( 内部セグメント ) で使用するルート テーブルを作成します ルート テーブルは VPC で使用します testx_webroute と設定します 2014 Check Point Software Technologies Ltd. 116
Web サーバ用ルートテーブル作成 VPC 作成したルート テーブル (Web Route) にルーティング情報を追加します 2014 Check Point Software Technologies Ltd. 117
Web サーバ用ルートテーブル作成 VPC デフォルト ルート (0.0.0.0/0) が SG の内部インタフェースに向かうようにします SG の内部インタフェースは EC2 の Network Interface ページで調べておきます 2014 Check Point Software Technologies Ltd. 118
Web サーバ用ルートテーブル作成 VPC ルート テーブルを使用するサブネットを指定します 2014 Check Point Software Technologies Ltd. 119
Web サーバ用ルートテーブル作成 VPC ルート テーブルを内部セグメント (10.0.1.0) で使用します 2014 Check Point Software Technologies Ltd. 120
セキュリティ設定 2014 2014 Check Check Point Software Point Software Technologies Technologies Ltd. 121 Ltd
SmartDashboard ログイン GUI SmartDashboard で SG にアクセスします ID : fwadmin Password : P@ssw0rd 2014 Check Point Software Technologies Ltd. 122
SmartDashboard ログイン GUI ログインに成功すると 上記のような画面が表示されます 2014 Check Point Software Technologies Ltd. 123
GW プロパティ GUI 画面左下にあるメニューから GW のオブジェクトをダブルクリックします 2014 Check Point Software Technologies Ltd. 124
GW プロパティ GUI 利用するソフトウェア ブレードを指定します 今回は特に変更しません 2014 Check Point Software Technologies Ltd. 125
SG トポロジー設定 GUI トポロジーを正しく設定します Get Interface with Topology.. を選択します 正しく設定できると 以下のような状態に更新されます eth0 (10.0.0.100): External eth1 (10.0.1.100): Internal 2014 Check Point Software Technologies Ltd. 126
Web サーバ オブジェクト ( 外部 ) GUI Web サーバ用のオブジェクトを作成するために 画面右下にある Nodes の項目を右クリックして オブジェクトの作成画面を表示させます 2014 Check Point Software Technologies Ltd. 127
Web サーバ オブジェクト ( 外部 ) GUI Web サーバの外部側での IP アドレスのオブジェクトを作成します NAT および FireWall ルールで使用します Name : Web-SV-ext IPv4 Address : 10.0.0.101 2014 Check Point Software Technologies Ltd. 128
Web サーバ オブジェクト ( 内部 ) GUI 外部側のオブジェクトと同じ流れで Web サーバの内部側での IP アドレスのオブジェクトを作成します ( 実際の IP アドレス ) NAT および FireWall ルールで使用します Name : Web-SV-int IPv4 Address : 10.0.1.200 2014 Check Point Software Technologies Ltd. 129
NAT ルール GUI Web サーバを NAT する Manual NAT ルールを追加するために 画面左上にある NAT を選択します 2014 Check Point Software Technologies Ltd. 130
NAT ルールの説明 1. デフォルトで っている Office Mode 用 NAT ルール ( 削除可 ) 2. デフォルトで っている Office Mode 用 NAT ルール ( 削除可 ) 3. インターネットから Web サーバ (10.0.0.101) 宛ての通信を 10.0.1.200 宛てに変換 4. Web サーバ (10.0.1.200) からの通信を 10.0.0.101 からの通信に変換 2014 Check Point Software Technologies Ltd. 131
FW ルールの例 GUI 適切なセキュリティ ポリシーを作成するために 画面左上にある Policy を選択します 2014 Check Point Software Technologies Ltd. 132
ルール説明 1. インターネットから SG への ssh / https 通信を許可 2. インターネットから Web サーバへの http / ssh 通信を許可 3. Web サーバからインターネットへの http/dns 通信を許可 4. 上記以外はドロップ 2014 Check Point Software Technologies Ltd. 133
ポリシー インストール GUI 2014 Check Point Software Technologies Ltd. 134
以上で設定は完了です! 正しく設定できていれば 内部の Web サーバに通信を うことができるはずです 110 ページ目の作業が必要になります 2014 Check Point Software Technologies Ltd. 135
Web サーバへアクセス Web サーバの EIP にアクセスしてみましょう 2014 Check Point Software Technologies Ltd. 136
ログの例 : SmartView Tracker GUI Web サーバ (Web-SV-ext / 10.0.0.101) への通信が えます 2014 Check Point Software Technologies Ltd. 137
ログ詳細 GUI ログを詳しく ると 10.0.1.200 へ NAT されていることが分かります 2014 Check Point Software Technologies Ltd. 138
Thank You 2014 2014 Check Check Point Software Point Software Technologies Technologies Ltd. 139 Ltd