【Check Point】アクセスコントロールポリシーの基礎知識と設定例【R80.40】

ファイアウォール(UTM)

はじめに

Check Point R80.40 における基本的な通信制御機能であるアクセスコントロールポリシー(以下、単にポリシーと表記)について、基礎知識と設定例を記載します。

ポリシーに関する基礎知識

デフォルトのポリシー

Security Management のデフォルトの状態では、ポリシーとしては Cleanup rule という名前の、すべての通信を拒否するポリシーのみが設定されています。

Cleanup rule とは、どのポリシーにも該当しなかった通信に適用されるポリシーです。

Cleanup rule は削除することが可能です。(ただし、ポリシーをすべて削除することはできないため、Cleanup rule が最後の一つのポリシーである場合は削除できません。)

明示的な Cleanup rule が存在しない場合は、どのポリシーにも該当しない通信については暗黙的に拒否されます。またポリシー画面で以下のようなメッセージが表示されます。

クリーンアップ ルールがありません - マッチしないトラフィックは破棄してログ記録しません。

管理アクセスとポリシー

Security Management から Security Gateway へ、または 管理用端末から Security Gateway へ管理アクセスを行うためには、Security Gateway への管理通信を許可するポリシーを設定しておく必要があります。

もし、Security Management から Security Gateway への管理通信を許可するポリシーを設定せずにポリシーのインストールを行ってしまうと、それ以降 Security Management (SmartConsole) で Security Gateway を管理できなくなってしまうため注意が必要です。

後日再確認したところ、SIC 通信についてはポリシーでの許可が無くても通信可能であることを確認しました。

管理用端末から Security Gateway の Gaia ポータルへのアクセスや SSH についても同様です。

また、Security Gateway への ping 通信なども、許可するポリシーを設定しない限りは Security Gateway で拒否されます。

ポリシーの簡単な設定例

作業環境

  • Security Management
    • Gaia OS R80.40
    • VMware Player 上の仮想マシン
  • Security Gateway x2
    • Gaia OS R80.40
    • VMware Player 上の仮想マシン

■検証構成

端末から外部NW(インターネット)への通信を許可するポリシーを設定します。

Security Management から Security Gateway への通信許可設定

SIC 通信を許可するポリシーの追加は必須ではありません。

まず、管理アクセス用の Security Management から Security Gateway への通信を許可するポリシーを設定しておきます。

ポリシー設定画面で、Cleanup rule を選択した状態で画面上部の「ルールをこの上に追加」ボタンをクリックします。

No.1 として行が追加されるため、各項目を設定します。

  • 名前: ポリシー名を入力
  • 発信元: Security Management のオブジェクトを指定
  • 宛先: Security Gateway のオブジェクトを指定
  • VPN: デフォルト(Any)
  • サービス&アプリケーション: SIC-TCP を指定
  • アクション: Accept を指定
  • 追跡: トラフィックログを保存する場合は Log、しない場合は None
  • インストール: デフォルト(Policy Target)

端末からインターネットへの通信許可設定

次に本題の、端末からインターネットへの通信を許可するポリシーを設定します。

今回の検証構成では、Security Gateway の端末側は InternalZone、外部NW 側は ExternalZone と設定しています。

よって今回は InternalZone から ExternalZone への通信を許可する設定を行うこととします。

それでは、先ほどと同様に No.1 のポリシーを選択した状態で「ルールをこの上に追加」ボタンをクリックします。

No.1 として行が追加されるため、各項目を設定します。

  • 名前: ポリシー名を入力
  • 発信元: InternalZone のオブジェクトを指定
  • 宛先: ExternalZone のオブジェクトを指定
  • VPN: デフォルト(Any)
  • サービス&アプリケーション: デフォルト(Any)
  • アクション: Accept を指定
  • 追跡: トラフィックログを保存する場合は Log、しない場合は None
  • インストール: デフォルト(Policy Target)

NAT の設定

ネットワーク環境によっては送信元 NAT を設定する必要があります。

NAT の設定方法はいくつかありますが、ここでは Security Gateway のプロパティ設定で NAT を行うこととします。
※クラスター構成の場合はクラスターのプロパティで設定します

対象 Security Gateway(またはクラスター)のプロパティ画面を開き、NAT 画面にある Hide internal networks behind the Gateway's external IP にチェックを入れます。

この設定によって、トポロジ上で内部ネットワークから外部ネットワークへ通信する際に、送信元アドレスが Security Gateway の外部側アドレスに NAT されます。

公開とポリシーインストール

設定ができたら公開(設定の確定)と Security Gateway へのポリシーインストールを行います。

■公開

■ポリシーインストール

■インストール成功確認

通信確認

端末から yahoo.co.jp へ ping してみます。

C:\Users\user01>ipconfig

Windows IP 構成


イーサネット アダプター Ethernet0:

   接続固有の DNS サフィックス . . . . .:
   リンクローカル IPv6 アドレス. . . . .: fe80::55c:40a:972d:aa1a%9
   IPv4 アドレス . . . . . . . . . . . .: 192.168.200.10
   サブネット マスク . . . . . . . . . .: 255.255.255.0
   デフォルト ゲートウェイ . . . . . . .: 192.168.200.33

C:\Users\user01>ping yahoo.co.jp

yahoo.co.jp [183.79.135.206]に ping を送信しています 32 バイトのデータ:
183.79.135.206 からの応答: バイト数 =32 時間 =47ms TTL=49
183.79.135.206 からの応答: バイト数 =32 時間 =59ms TTL=49
183.79.135.206 からの応答: バイト数 =32 時間 =42ms TTL=49
183.79.135.206 からの応答: バイト数 =32 時間 =52ms TTL=49

183.79.135.206 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 42ms、最大 = 59ms、平均 = 50ms

SmartConsole のログ&モニタリング画面でトラフィックログを確認できます。

ポリシー設定の確認方法

現状のポリシー設定の内容は SmartConsole で確認できますが、CLI でも確認したい場合があるかもしれません。

しかし、残念ながら CLI ではポリシー設定の内容を確認することができません。
show configuration では Gaia OS の設定のみが表示され、ポリシーやオブジェクトの設定は表示されません。

CLI で確認する方法の代わりに、Security Management でポリシーやオブジェクト設定を HTML として出力することができます。

方法は、Security Management の CLI のエキスパートモードで以下コマンドを実行します。

  • $FWDIR/scripts/web_api_show_package.sh

すると、show_package-yyyy-mm-dd_nn-nn-nn.tar.gz というファイルがカレントディレクトリに作成されます。

[Expert@CP-MNG:0]# pwd
/home/admin
[Expert@CP-MNG:0]# $FWDIR/scripts/web_api_show_package.sh
Script finished running successfully!
Result file location: show_package-2021-05-22_00-13-21.tar.gz
[Expert@CP-MNG:0]# ls -l
total 28
-rw-rw---- 1 admin root    60 May 22 00:13 fingerprints.txt
-rw-rw---- 1 admin root 23552 May 22 00:13 show_package-2021-05-22_00-13-21.tar.gz
[Expert@CP-MNG:0]#

作成されたファイルを TFTP などで転送して取得します。

[Expert@CP-MNG:0]# tftp 192.168.200.1
tftp> binary
tftp> put show_package-2021-05-22_00-13-21.tar.gz
tftp> quit
[Expert@CP-MNG:0]#

tftp で put する前に mode を binary にしておく必要があります。デフォルトでは mode が netascii になっていて、このままだとファイルが破損して解凍できなくなります。

圧縮ファイルを解凍すると以下のようなファイルが含まれています。

[Expert@CP-MNG:0]# ls -l
total 200
-rw-r--r-- 1 admin root 30755 May 22 00:13 Network-Management server.html
-rw-r--r-- 1 admin root  3916 May 22 00:13 Network-Management server.json
-rw-r--r-- 1 admin root 29702 May 22 00:13 Standard NAT-Management server.html
-rw-r--r-- 1 admin root  2687 May 22 00:13 Standard NAT-Management server.json
-rw-r--r-- 1 admin root 28276 May 22 00:13 Standard Threat Prevention-Management server.html
-rw-r--r-- 1 admin root  1070 May 22 00:13 Standard Threat Prevention-Management server.json
-rw-r--r-- 1 admin root 12560 May 22 00:13 Standard_gateway_objects.html
-rw-r--r-- 1 admin root  4022 May 22 00:13 Standard_gateway_objects.json
-rw-r--r-- 1 admin root 26668 May 22 00:13 Standard_objects.html
-rw-r--r-- 1 admin root 18136 May 22 00:13 Standard_objects.json
-rw-r--r-- 1 admin root  9755 May 22 00:13 index.html
-rw-r--r-- 1 admin root  1201 May 22 00:13 index.json
-rw-r--r-- 1 admin root  8622 May 22 00:13 show_package-2021-05-22_00-13-21.elg

例えば Network-Management server.html を開くと以下のような内容を表示できます。

※ Show Package Tool については以下記事で詳しく説明しています

参考資料

ERROR: The request could not be satisfied
Layer Properties - Advanced
Releases · CheckPointSW/ShowPolicyPackage
Check Point ShowPolicyPackage tool shows the content of a policy package (layers, rulebase, objects) over HTML pages. - CheckPointSW/ShowPolicyPackage

―――――――――――――

タイトルとURLをコピーしました