Gaia ポータル
https://<管理IF アドレス>
- ナビゲーションツリー
- ツールバー
- ステータスバー
- システム情報を表示するウィジェットのある概要ページ
- 検索ツール
- セキュリティ管理サーバーでエンドポイントポリシー管理ブレードを有効にすると、接続は自動的に変更されます
- デフォルトの TCP ポート 443 から TCP ポート
4434
へ
- デフォルトの TCP ポート 443 から TCP ポート
- 一度に 1 人のユーザーのみが Gaia 設定への読み取り/書き込みアクセス権を持つことができます。 他のすべてのユーザーは、読み取り専用アクセスでログインして、割り当てられた役割で指定された設定を確認できます
- ログインし、他のユーザーが読み取り/書き込みアクセス権を持っていない場合、読み取り/書き込みアクセス権を持つ排他的設定ロックを取得します。 別のユーザーがすでに設定ロックを持っている場合は、そのユーザーのロックを上書きするオプションがあります
- 上書きする場合: 他のユーザーは、読み取り専用アクセスでログインしたままになります
- 上書きしない場合: 設定を変更することはできません
- Gaia ポータルの設定ロックを上書きするには
- (ツールバーの上にある)設定ロック
をクリックします。 鉛筆アイコン(読み取り/書き込みが有効)がロックに置き換わります
- 設定ページを使用する場合は、ここをクリックしてロックリンクを取得してください。 別のユーザーが設定ロックをオーバーライドすると、このリンクが表示されます
- (ツールバーの上にある)設定ロック
■ツールバーアクセサリー
読み取り/書き込みモードが有効になっています
設定がロックされています(読み取り専用モード)
CLIコマンド用のコンソールアクセサリを開きます。読み取り/書き込みモードでのみ使用できます
メモを書き込んだり、すばやくコピー/貼り付けしたりするために、スクラッチパッドアクセサリを開きます。読み取り/書き込みモードでのみ使用できます
■ナビゲーションツリー
ナビゲーションツリーでは、ページを選択できます。 ページは論理的な機能グループに配置されます。 次のいずれかの表示モードでナビゲーションツリーを表示できます。
- Basic: いくつかの標準ページを表示します
- Advanced: すべてのページを表示します。 これがデフォルトのモードです
■設定タブ
- [設定] タブでは、Gaia の機能と設定グループのパラメーターを表示および設定できます。 パラメータは、ナビゲーションツリーの機能設定グループに編成されています。 パラメータを設定するには、設定グループの読み取り/書き込み権限が必要です
■監視タブ
- [監視] タブでは、一部のルーティングおよび高可用性設定グループのステータスと詳細な運用統計をリアルタイムで確認できます。 この情報は、動的ルーティングと VRRP クラスターのパフォーマンスを監視するのに役立ちます
- [監視] タブを表示するには、ルーティングまたは高可用性機能の設定グループを選択し、[監視]タブをクリックします。 一部の設定グループでは、メニューからさまざまな種類の情報を選択できます
■非サポート文字および単語
クロスサイトスクリプティング(XSS)攻撃の可能性を防ぐために、Gaia ポータルは、さまざまなフィールドに入力するときに一部の文字や単語を受け入れません。
- <, >, &, ;
- after, apply, catch, eval, subset
システム情報概要
■Gaia ポータル
概要ページには、ステータスウィジェットが表示されます。
ページにウィジェットを追加またはページから削除したり、ウィジェットをページ内で移動したり、ウィジェットを最小化または展開したりできます。
■Gaia Clish
- Gaia のシェルは
Clish
と呼ばれる
show uptime
- Gaia システムが稼働している時間を表示
show version all
- 完全なシステムバージョン情報を表示
show version os <build | edition | kernel>
- OS コンポーネントのバージョン情報を表示
show version product
- インストールされている製品の名前を表示
CLI
- SmartConsole から、または SSH で、またはコンソールから接続
- 初期ログインユーザ名 / パスワード は
admin
/admin
■設定変更の保存
Gaia Clish で OS 設定を変更すると、変更は実行中のシステムにのみすぐに適用されます。
変更を再起動後にも持続させるには、save config
コマンドを実行する必要があります。
■基本的なコマンド
コマンド | 説明 |
add | システムに新しい設定を追加または作成します |
set | システムに値を設定します |
show | システム内の 1 つまたは複数の値を表示します |
delete | システム内の設定を削除します |
コマンド | 説明 |
save | 最後の保存操作以降に行われた設定変更を保存します |
reboot | システムを再起動します |
halt | コンピューターの電源を切ります |
quit | Gaia Clishを終了します |
exit | 作業しているシェルを終了します |
start | トランザクションを開始します。 Gaia Clish をトランザクションモードにします。 トランザクションモードでコマンドを使用して行われたすべての変更は、 トランザクションモードの終了方法に基づいて、 一度に適用されるか、変更が適用されないかのいずれかです。 |
commit | 変更をコミットしてトランザクションを終了します |
rollback | 変更を破棄してトランザクションを終了します |
expert | エキスパートシェルに入ります。 ファイルシステムを含むシステムへの低レベルのアクセスを許可します。 |
ver | アクティブな Gaia イメージのバージョンを表示します |
restore | システムの設定をリストします |
help | Gaia Clish といくつかの便利なコマンドをナビゲートするための ヘルプを表示します |
■コンフィグロック
「lock database override
」または「unlock database
」コマンドを使用して、システムにログインしている他の管理者から書き込み権限を奪うことにより、Gaia データベースへの排他的な読み取り/書き込みアクセスを取得します。
lock database override
の代わりにset config-lock on override
でも同じ意味unlock database
の代わりにset config-lock off
でも同じ意味
- Gaia 設定データベースの設定ロックの状態を表示
show config-lock
show config-state
■Expert Mode
- デフォルトの(ログイン直後の) Gaia シェルは
Clish
と呼ばれます - Gaia Clish は制限的なシェルです
- 役割ベースの管理はシェルで使用可能なコマンドの数を制御します
- セキュリティ上の理由から Gaia Clish の使用が推奨されていますが、Gaia Clish は低レベルのシステム機能へのアクセスを提供していません
- 低レベルの設定では、より寛容な
Expert Mode
(エキスパートモード) シェルを使用します
- エキスパートモードに移行するためにはパスワードを設定する必要があります
- 設定コマンド:
set expert-password
- コマンド実行後、対話的にパスワードを設定します
- 新しいエキスパートモードのパスワードを永続的に設定するには、
save config
コマンドを実行する必要があります
- エキスパートモードへの移行コマンド:
expert
- エキスパートモードから Clish へ戻る:
exit
Gaia の初期設定ウィザード
Gaia を初めてインストールした後、初期設定ウィザードを使用して、システムとそのシステム上の Check Point 製品を設定します。
https://<管理IF アドレス>
にアクセスします- デフォルトのユーザ名/パスワード
admin
/admin
でログインします - 初期設定ウィザードが開きます
- 初期設定ウィザードの表示に従って設定を進めます
ウィザードの表示内容を以下に記載します。
(1) Deployment Options
この画面では、Gaia オペレーティングシステムの展開方法を選択します。
- Setup
- Continue with R80.40 configuration
- アプライアンス内に保存されいているバージョンを使用
- Continue with R80.40 configuration
- Install
- Install from Check Point Cloud
- Install from USB device
- Recovery
- Import existing snapshot
(2) Management Connection
この画面では、管理インターフェイスを選択して設定します。 この IP アドレスに接続して、Gaia ポータルまたは CLI セッションを開きます。
- Interface
- Configure IPv4
- Manually
- Off
- IPv4 address
- Subnet mask
- Default Gateway
- Configure IPv6
- Manually
- Off
- IPv6 Address
- Mask Length
- Default Gateway
(3) Internet Connection
この画面では、インターネットに接続するインターフェースを設定します。(オプション)
- Interface
- Configure IPv4
- Manually
- Off
- IPv4 address
- Subnet mask
- Configure IPv6
- Manually
- Off
- IPv6 Address
- Subnet
(4) Device Information
この画面では、ホスト名、DNSサーバー、およびプロキシサーバーを設定します。
- Host Name
- Domain Name (オプション)
- Primary DNS Server
- Secondary DNS Server (オプション)
- Tertiary DNS Server (オプション)
- Proxy Settings (オプション)
- Use a Proxy server
- Address
- Port
(5) Date and Time Settings
この画面では、日付と時刻、または NTP を設定します。
- Set the time manually
- Date
- Time
- Time Zone
- Use Network Time Protocol (NTP)
- Primary NTP server
- Version
- Secondary NTP server
- Version
- Time Zone
- Primary NTP server
(6) Installation Type
この画面では、インストールする Check Point 製品のタイプを選択します。
- Security Gateway and/or Security Management
- 以下をインストールする場合に選択
- A Single Security Gateway
- A Cluster Member
- A Security Management Server, including Management High Availability
- An Endpoint Security Management Server
- An Endpoint Policy Server
- CloudGuard Controller
- A dedicated single Log Server
- A dedicated single SmartEvent Server
- A Standalone
- 以下をインストールする場合に選択
- Multi-Domain Server
- 以下をインストールする場合に選択
- A Multi-Domain Server, including Management High Availability
- A dedicated single Multi-Domain Log Server
- 以下をインストールする場合に選択
(7) Products Type
この画面では、インストールする Check Point 製品のタイプを引き続き選択します。
前の [Installation Type] 画面で [Security Gateway and/or Security Management] を選択した場合は、次のオプションが表示されます。
- Products
- Security Gateway
- 以下をインストールする場合に選択
- A single Security Gateway
- A Cluster Member
- A Standalone
- 以下をインストールする場合に選択
- Security Management
- 以下をインストールする場合に選択
- A Security Management Server, including Management High Availability
- An Endpoint Security Management Server
- An Endpoint Policy Server
- CloudGuard Controller
- A dedicated single Log Server
- A dedicated single SmartEvent Server
- A Standalone
- 以下をインストールする場合に選択
- Security Gateway
- Clustering
- Unit is a part of a cluster
- このオプションは、Security Gateway を選択した場合にのみ使用可能
- 専用の Security Gateway のクラスター、または完全 HA クラスターをインストールするには、このオプションを選択
- クラスタータイプを選択
- ClusterXL
- VRRP Cluster
- Define Security Management as
- Primary: 以下をインストールする場合に選択
- A Security Management Server
- An Endpoint Security Management Server
- An Endpoint Policy Server
- CloudGuard Controller
- Secondary: 以下をインストールする場合に選択
- A Secondary Management Server in Management High Availability
- Log Server / SmartEvent only: 以下をインストールする場合に選択
- A dedicated single Log Server
- A dedicated single SmartEvent Server
- Primary: 以下をインストールする場合に選択
- Unit is a part of a cluster
- Automatically download Blade Contracts and other important data
- デフォルトで ON。これについては sk111080 参照
前の [Installation Type] 画面で [Multi-Domain Server] を選択した場合については省略
→ Admin Guide 参照
(8) Dynamically Assigned IP
この画面では、この Security Gateway が IP アドレスを動的に取得するかどうかを選択します(DAIP ゲートウェイ)。
- Yes
- この Security Gateway が IP アドレスを動的に取得する場合(DAIP ゲートウェイ)、このオプションを選択
- No
- この Security Gateway を静的 IP アドレスで設定する場合は、このオプションを選択
(9) Secure Internal Communication (SIC)
この画面では、ワンタイムアクティベーションキーを設定します。 後で対応するオブジェクトを作成して SIC を初期化するときに、SmartConsole でこのキーを入力する必要があります。
- Activation Key
- ワンタイムアクティベーションキー(4〜127文字の長さ)を入力します
- Confirm Activation Key
- 同じワンタイムアクティベーションキーをもう一度入力します
(10) Security Management Administrator
この画面では、この Security Management Server の管理ユーザを設定します。
- Use Gaia administrator: admin
- デフォルトの Gaia 管理者(admin)を使用する場合はこのオプションを選択します
- Define a new administrator
- 管理者のユーザー名とパスワードを手動で設定する場合はこのオプションを選択します
(11) Security Management GUI Clients
この画面では、SmartConsole を使用してこの Security Management Server への接続を許可する接続元 IP を設定します。
- Any IP Address
- すべての接続元 IP を許可する場合
- This machine
- 単一の IP アドレスを指定する場合
- Network
- サブネット形式で指定する場合
- Range of IPv4 addresses
- IP アドレス範囲形式で指定する場合
(12) Leading VIP Interfaces Configuration
この画面では、Multi-Domain Server の main Leading VIP インターフェイスを選択します。
※[Installation Type] 画面で [Multi-Domain Server] を選択した場合のみと思われます
- Select leading interface
(13) Multi-Domain Server GUI Clients
この画面では、SmartConsole を使用して Multi-Domain Server への接続を許可する接続元 IP を設定します。
※[Installation Type] 画面で [Multi-Domain Server] を選択した場合のみと思われます
- Any host
- IP address
(14) First Time Configuration Wizard Summary
この画面では、選択したインストールオプションを確認できます。
デフォルトでは [Improve product experience by sending data to Check Point] オプションが有効になっていますが無効にします。
SmartConsole
■SmartConsole をダウンロード
- SmartConsole アプリケーションパッケージは、Security Management Server または Multi-Domain Security Management Server の Gaia ポータルからダウンロードできます
- SmartConsole パッケージをダウンロードしたら、それをインストールして、Security Management Server または Multi-Domain Security Management Server に接続するために使用できます
●ダウンロード方法
- Gaia ポータルのナビゲーションツリーで、次のいずれかのオプションを選択します
- [Overview] をクリックします。 ページの上部にある [Download Now!] をクリックします
- Maintenance > Download SmartConsole > Download をクリックします
■SmartConsole でできること
- ネットワークトポロジを一元的に設定
- IP アドレス
- スタティックルート
- ネットワークサービスのデバイス設定を一元的に設定
- DNS
- NTP
- プロキシサーバ
- バックアップとリストアの操作を行う
- 圧縮された .tgz バックアップファイルは、Gaia OS 設定と Security Gateway データベースをキャプチャします
- メンテナンス操作
- SmartConsole から Gaia ポータルまたはコマンドシェルを開く
- デバイスから設定を取得するか、デバイスに設定をプッシュします
- 最近のタスクを調べる
- SmartConsole の下部にある [Recent Tasks] タブには、SmartConsole を使用して実行された最近の Gaia Security Gateway 管理タスクが表示されます
- Security Gateway でコマンドラインスクリプトを実行します
- コマンドからの出力が [Recent Tasks] ウィンドウに表示されます
- タスクをダブルクリックして、完全な出力を表示します
- ローカルデバイスの設定変更に関する通知を受信する
- [Gateways] ビューの [Status] 列は、デバイス設定の変更を示します
- ポリシーを完全にインストールせずに設定の変更を実装する([Push Settings to Device] アクション)
- クローングループの設定とメンバー間の同期を自動化する
■バックアップとリストア
- Gaia OS 設定とファイアウォールデータベースを圧縮ファイルにバックアップできます
- 圧縮ファイルから Gaia OS 設定とファイアウォールデータベースをリストアできます
●バックアップ手順
- [Gateways & Servers] ビューで、バックアップする Security Gateway オブジェクトを右クリックします
- Actions > System Backup を選択します。System Backup 画面が開きます
- バックアップの場所を選択します。 次のいずれかのオプションを使用します
- この Gateway 用に定義されたバックアップサーバー
- このセキュリティゲートウェイ用のバックアップサーバーを定義するには、Security Gateway オブジェクトをダブルクリックし、[Network Management > System Backup] をクリックします
- バックアップサーバーの詳細を入力
- バックアップディレクトリへのパスは、スラッシュ(/)文字で開始および終了する必要があります
- 例:/ftroot/backup/、またはサーバーのルートディレクトリの場合は / のみ
- バックアップディレクトリへのパスは、スラッシュ(/)文字で開始および終了する必要があります
- バックアップファイル名は次の形式になります
backup_<Name of Security Gateway object>_<Date of Backup>.tgz
- この Gateway 用に定義されたバックアップサーバー
- OK をクリックします。バックアップ操作のステータスは、タスクに表示されます
- タスクが完了したら、エントリをダブルクリックして、バックアップファイルのファイルパスと名前を確認します
●リストア手順
- [Gateways & Servers] ビューで、リストア対象 Security Gateway オブジェクトを右クリックします
- Actions > System Restore を選択します。System Restore 画面が表示されます
- 必要な情報を入力します
- バックアップファイル名等と思われます
- OK をクリックします
- Security Gateway との接続が切断されます
- Security Gateway は自動的に再起動します
- Security Gateway オブジェクトにポリシーをインストールします(リストアの結果としてインストールされる、という意味と思われます)。リストア操作のステータスが [Tasks] タブに表示されます
■Gaia ポータルと Clish を開く
- Gaia ポータルまたは Clish は、Security Gateway オブジェクトの右クリックメニューから、または上部のツールバーの [Actions] ボタンから開くことができます
参考資料
―――――――――――――