【Check Point R80.40】構築用メモ【基礎知識】

ファイアウォール(UTM)

Gaia ポータル

  • https://<管理IF アドレス>
  1. ナビゲーションツリー
  2. ツールバー
  3. ステータスバー
  4. システム情報を表示するウィジェットのある概要ページ
  5. 検索ツール
  • セキュリティ管理サーバーでエンドポイントポリシー管理ブレードを有効にすると、接続は自動的に変更されます
    • デフォルトの TCP ポート 443 から TCP ポート 4434
  • 一度に 1 人のユーザーのみが Gaia 設定への読み取り/書き込みアクセス権を持つことができます。 他のすべてのユーザーは、読み取り専用アクセスでログインして、割り当てられた役割で指定された設定を確認できます
  • ログインし、他のユーザーが読み取り/書き込みアクセス権を持っていない場合、読み取り/書き込みアクセス権を持つ排他的設定ロックを取得します。 別のユーザーがすでに設定ロックを持っている場合は、そのユーザーのロックを上書きするオプションがあります
    • 上書きする場合: 他のユーザーは、読み取り専用アクセスでログインしたままになります
    • 上書きしない場合: 設定を変更することはできません
  • Gaia ポータルの設定ロックを上書きするには
    • (ツールバーの上にある)設定ロックをクリックします。 鉛筆アイコン(読み取り/書き込みが有効)がロックに置き換わります
    • 設定ページを使用する場合は、ここをクリックしてロックリンクを取得してください。 別のユーザーが設定ロックをオーバーライドすると、このリンクが表示されます

■ツールバーアクセサリー

  • 読み取り/書き込みモードが有効になっています
  • 設定がロックされています(読み取り専用モード)
  • CLIコマンド用のコンソールアクセサリを開きます。読み取り/書き込みモードでのみ使用できます
  • メモを書き込んだり、すばやくコピー/貼り付けしたりするために、スクラッチパッドアクセサリを開きます。読み取り/書き込みモードでのみ使用できます

■ナビゲーションツリー

ナビゲーションツリーでは、ページを選択できます。 ページは論理的な機能グループに配置されます。 次のいずれかの表示モードでナビゲーションツリーを表示できます。

  • Basic: いくつかの標準ページを表示します
  • Advanced: すべてのページを表示します。 これがデフォルトのモードです

■設定タブ

  • [設定] タブでは、Gaia の機能と設定グループのパラメーターを表示および設定できます。 パラメータは、ナビゲーションツリーの機能設定グループに編成されています。 パラメータを設定するには、設定グループの読み取り/書き込み権限が必要です

■監視タブ

  • [監視] タブでは、一部のルーティングおよび高可用性設定グループのステータスと詳細な運用統計をリアルタイムで確認できます。 この情報は、動的ルーティングと VRRP クラスターのパフォーマンスを監視するのに役立ちます
  • [監視] タブを表示するには、ルーティングまたは高可用性機能の設定グループを選択し、[監視]タブをクリックします。 一部の設定グループでは、メニューからさまざまな種類の情報を選択できます

■非サポート文字および単語

クロスサイトスクリプティング(XSS)攻撃の可能性を防ぐために、Gaia ポータルは、さまざまなフィールドに入力するときに一部の文字や単語を受け入れません。

  • <, >, &, ;
  • after, apply, catch, eval, subset

システム情報概要

■Gaia ポータル

概要ページには、ステータスウィジェットが表示されます。

ページにウィジェットを追加またはページから削除したり、ウィジェットをページ内で移動したり、ウィジェットを最小化または展開したりできます。

■Gaia Clish

  • Gaia のシェルは Clish と呼ばれる
  • show uptime
    • Gaia システムが稼働している時間を表示
  • show version all
    • 完全なシステムバージョン情報を表示
  • show version os <build | edition | kernel>
    • OS コンポーネントのバージョン情報を表示
  • show version product
    • インストールされている製品の名前を表示

CLI

  • SmartConsole から、または SSH で、またはコンソールから接続
  • 初期ログインユーザ名 / パスワード は admin / admin

■設定変更の保存

Gaia Clish で OS 設定を変更すると、変更は実行中のシステムにのみすぐに適用されます。
変更を再起動後にも持続させるには、save config コマンドを実行する必要があります。

■基本的なコマンド

コマンド説明
addシステムに新しい設定を追加または作成します
setシステムに値を設定します
showシステム内の 1 つまたは複数の値を表示します
deleteシステム内の設定を削除します
コマンド説明
save最後の保存操作以降に行われた設定変更を保存します
rebootシステムを再起動します
haltコンピューターの電源を切ります
quitGaia Clishを終了します
exit作業しているシェルを終了します
startトランザクションを開始します。
Gaia Clish をトランザクションモードにします。
トランザクションモードでコマンドを使用して行われたすべての変更は、
トランザクションモードの終了方法に基づいて、
一度に適用されるか、変更が適用されないかのいずれかです。
commit変更をコミットしてトランザクションを終了します
rollback変更を破棄してトランザクションを終了します
expertエキスパートシェルに入ります。
ファイルシステムを含むシステムへの低レベルのアクセスを許可します。
verアクティブな Gaia イメージのバージョンを表示します
restoreシステムの設定をリストします
helpGaia Clish といくつかの便利なコマンドをナビゲートするための
ヘルプを表示します

■コンフィグロック

lock database override」または「unlock database」コマンドを使用して、システムにログインしている他の管理者から書き込み権限を奪うことにより、Gaia データベースへの排他的な読み取り/書き込みアクセスを取得します。

  • lock database override の代わりに set config-lock on override でも同じ意味
  • unlock database の代わりに set config-lock off でも同じ意味
  • Gaia 設定データベースの設定ロックの状態を表示
    • show config-lock
    • show config-state

■Expert Mode

  • デフォルトの(ログイン直後の) Gaia シェルは Clish と呼ばれます
  • Gaia Clish は制限的なシェルです
    • 役割ベースの管理はシェルで使用可能なコマンドの数を制御します
  • セキュリティ上の理由から Gaia Clish の使用が推奨されていますが、Gaia Clish は低レベルのシステム機能へのアクセスを提供していません
  • 低レベルの設定では、より寛容な Expert Mode (エキスパートモード) シェルを使用します

  • エキスパートモードに移行するためにはパスワードを設定する必要があります
  • 設定コマンド: set expert-password
    • コマンド実行後、対話的にパスワードを設定します
    • 新しいエキスパートモードのパスワードを永続的に設定するには、save config コマンドを実行する必要があります
  • エキスパートモードへの移行コマンド: expert
  • エキスパートモードから Clish へ戻る: exit

Gaia の初期設定ウィザード

Gaia を初めてインストールした後、初期設定ウィザードを使用して、システムとそのシステム上の Check Point 製品を設定します。

  1. https://<管理IF アドレス> にアクセスします
  2. デフォルトのユーザ名/パスワード admin/admin でログインします
  3. 初期設定ウィザードが開きます
  4. 初期設定ウィザードの表示に従って設定を進めます

ウィザードの表示内容を以下に記載します。

(1) Deployment Options

この画面では、Gaia オペレーティングシステムの展開方法を選択します。

  • Setup
    • Continue with R80.40 configuration
      • アプライアンス内に保存されいているバージョンを使用
  • Install
    • Install from Check Point Cloud
    • Install from USB device
  • Recovery
    • Import existing snapshot

(2) Management Connection

この画面では、管理インターフェイスを選択して設定します。 この IP アドレスに接続して、Gaia ポータルまたは CLI セッションを開きます。

  • Interface
  • Configure IPv4
    • Manually
    • Off
  • IPv4 address
  • Subnet mask
  • Default Gateway
  • Configure IPv6
    • Manually
    • Off
  • IPv6 Address
  • Mask Length
  • Default Gateway

(3) Internet Connection

この画面では、インターネットに接続するインターフェースを設定します。(オプション

  • Interface
  • Configure IPv4
    • Manually
    • Off
  • IPv4 address
  • Subnet mask
  • Configure IPv6
    • Manually
    • Off
  • IPv6 Address
  • Subnet

(4) Device Information

この画面では、ホスト名、DNSサーバー、およびプロキシサーバーを設定します。

  • Host Name
  • Domain Name (オプション)
  • Primary DNS Server
  • Secondary DNS Server (オプション)
  • Tertiary DNS Server (オプション)
  • Proxy Settings (オプション)
    • Use a Proxy server
    • Address
    • Port

(5) Date and Time Settings

この画面では、日付と時刻、または NTP を設定します。

  • Set the time manually
    • Date
    • Time
    • Time Zone
  • Use Network Time Protocol (NTP)
    • Primary NTP server
      • Version
    • Secondary NTP server
      • Version
    • Time Zone

(6) Installation Type

この画面では、インストールする Check Point 製品のタイプを選択します。

  • Security Gateway and/or Security Management
    • 以下をインストールする場合に選択
      • A Single Security Gateway
      • A Cluster Member
      • A Security Management Server, including Management High Availability
      • An Endpoint Security Management Server
      • An Endpoint Policy Server
      • CloudGuard Controller
      • A dedicated single Log Server
      • A dedicated single SmartEvent Server
      • A Standalone
  • Multi-Domain Server
    • 以下をインストールする場合に選択
      • A Multi-Domain Server, including Management High Availability
      • A dedicated single Multi-Domain Log Server

(7) Products Type

この画面では、インストールする Check Point 製品のタイプを引き続き選択します。

前の [Installation Type] 画面で [Security Gateway and/or Security Management] を選択した場合は、次のオプションが表示されます。

  • Products
    • Security Gateway
      • 以下をインストールする場合に選択
        • A single Security Gateway
        • A Cluster Member
        • A Standalone
    • Security Management
      • 以下をインストールする場合に選択
        • A Security Management Server, including Management High Availability
        • An Endpoint Security Management Server
        • An Endpoint Policy Server
        • CloudGuard Controller
        • A dedicated single Log Server
        • A dedicated single SmartEvent Server
        • A Standalone
  • Clustering
    • Unit is a part of a cluster
      • このオプションは、Security Gateway を選択した場合にのみ使用可能
      • 専用の Security Gateway のクラスター、または完全 HA クラスターをインストールするには、このオプションを選択
      • クラスタータイプを選択
        • ClusterXL
        • VRRP Cluster
    • Define Security Management as
      • Primary: 以下をインストールする場合に選択
        • A Security Management Server
        • An Endpoint Security Management Server
        • An Endpoint Policy Server
        • CloudGuard Controller
      • Secondary: 以下をインストールする場合に選択
        • A Secondary Management Server in Management High Availability
      • Log Server / SmartEvent only: 以下をインストールする場合に選択
        • A dedicated single Log Server
        • A dedicated single SmartEvent Server
  • Automatically download Blade Contracts and other important data
    • デフォルトで ON。これについては sk111080 参照

前の [Installation Type] 画面で [Multi-Domain Server] を選択した場合については省略
 → Admin Guide 参照

(8) Dynamically Assigned IP

この画面では、この Security Gateway が IP アドレスを動的に取得するかどうかを選択します(DAIP ゲートウェイ)。

  • Yes
    • この Security Gateway が IP アドレスを動的に取得する場合(DAIP ゲートウェイ)、このオプションを選択
  • No
    • この Security Gateway を静的 IP アドレスで設定する場合は、このオプションを選択

(9) Secure Internal Communication (SIC)

この画面では、ワンタイムアクティベーションキーを設定します。 後で対応するオブジェクトを作成して SIC を初期化するときに、SmartConsole でこのキーを入力する必要があります。

  • Activation Key
    • ワンタイムアクティベーションキー(4〜127文字の長さ)を入力します
  • Confirm Activation Key
    • 同じワンタイムアクティベーションキーをもう一度入力します

(10) Security Management Administrator

この画面では、この Security Management Server の管理ユーザを設定します。

  • Use Gaia administrator: admin
    • デフォルトの Gaia 管理者(admin)を使用する場合はこのオプションを選択します
  • Define a new administrator
    • 管理者のユーザー名とパスワードを手動で設定する場合はこのオプションを選択します

(11) Security Management GUI Clients

この画面では、SmartConsole を使用してこの Security Management Server への接続を許可する接続元 IP を設定します。

  • Any IP Address
    • すべての接続元 IP を許可する場合
  • This machine
    • 単一の IP アドレスを指定する場合
  • Network
    • サブネット形式で指定する場合
  • Range of IPv4 addresses
    • IP アドレス範囲形式で指定する場合

(12) Leading VIP Interfaces Configuration

この画面では、Multi-Domain Server の main Leading VIP インターフェイスを選択します。
※[Installation Type] 画面で [Multi-Domain Server] を選択した場合のみと思われます

  • Select leading interface

(13) Multi-Domain Server GUI Clients

この画面では、SmartConsole を使用して Multi-Domain Server への接続を許可する接続元 IP を設定します。
※[Installation Type] 画面で [Multi-Domain Server] を選択した場合のみと思われます

  • Any host
  • IP address

(14) First Time Configuration Wizard Summary

この画面では、選択したインストールオプションを確認できます。

デフォルトでは [Improve product experience by sending data to Check Point] オプションが有効になっていますが無効にします。

  • 初期設定ウィザードの終了時にシステムが再起動し、初期化プロセスがバックグラウンドで数分間実行されます
  • Security Management Server または Multi-Domain Server としてインストールした場合、この初期化中は、SmartConsole で読み取り専用アクセスのみが可能です
  • 初期設定が完了したことは次のように確認できます
    1. 機器の CLI に接続
    2. エキスパートモードに移行
    3. /var/log/ftw_install.log に次のいずれかの出力があることを確認する
      • installation succeeded
      • FTW: Complete
      • 次のコマンドを実行すると良い
cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"

出力例:

●Security Gateway または Cluster Member の場合

[Expert@GW:0]# cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"
Dec 06, 19 19:19:51 FTW: Complete
[Expert@GW:0]#

●Security Management Server または Standalone の場合

[Expert@SA:0]# cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"
Dec 06, 2019 03:48:38 PM installation succeeded.
06/12/19 15:48:39 FTW: Complete
[Expert@SA:0]#

●Multi-Domain Server の場合

[Expert@MDS:0]# cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"
Dec 06, 2019 07:43:15 PM installation succeeded.
[Expert@MDS:0]#

SmartConsole

■SmartConsole をダウンロード

  • SmartConsole アプリケーションパッケージは、Security Management Server または Multi-Domain Security Management Server の Gaia ポータルからダウンロードできます
  • SmartConsole パッケージをダウンロードしたら、それをインストールして、Security Management Server または Multi-Domain Security Management Server に接続するために使用できます

●ダウンロード方法

  • Gaia ポータルのナビゲーションツリーで、次のいずれかのオプションを選択します
    • [Overview] をクリックします。 ページの上部にある [Download Now!] をクリックします
    • Maintenance > Download SmartConsole > Download をクリックします

■SmartConsole でできること

  • ネットワークトポロジを一元的に設定
    • IP アドレス
    • スタティックルート
  • ネットワークサービスのデバイス設定を一元的に設定
    • DNS
    • NTP
    • プロキシサーバ
  • バックアップとリストアの操作を行う
    • 圧縮された .tgz バックアップファイルは、Gaia OS 設定と Security Gateway データベースをキャプチャします
  • メンテナンス操作
    • SmartConsole から Gaia ポータルまたはコマンドシェルを開く
    • デバイスから設定を取得するか、デバイスに設定をプッシュします
  • 最近のタスクを調べる
    • SmartConsole の下部にある [Recent Tasks] タブには、SmartConsole を使用して実行された最近の Gaia Security Gateway 管理タスクが表示されます
  • Security Gateway でコマンドラインスクリプトを実行します
    • コマンドからの出力が [Recent Tasks] ウィンドウに表示されます
    • タスクをダブルクリックして、完全な出力を表示します
  • ローカルデバイスの設定変更に関する通知を受信する
    • [Gateways] ビューの [Status] 列は、デバイス設定の変更を示します
  • ポリシーを完全にインストールせずに設定の変更を実装する([Push Settings to Device] アクション)
  • クローングループの設定とメンバー間の同期を自動化する

■バックアップとリストア

  • Gaia OS 設定とファイアウォールデータベースを圧縮ファイルにバックアップできます
  • 圧縮ファイルから Gaia OS 設定とファイアウォールデータベースをリストアできます

●バックアップ手順

  1. [Gateways & Servers] ビューで、バックアップする Security Gateway オブジェクトを右クリックします
  2. Actions > System Backup を選択します。System Backup 画面が開きます
  3. バックアップの場所を選択します。 次のいずれかのオプションを使用します
    • この Gateway 用に定義されたバックアップサーバー
      • このセキュリティゲートウェイ用のバックアップサーバーを定義するには、Security Gateway オブジェクトをダブルクリックし、[Network Management > System Backup] をクリックします
    • バックアップサーバーの詳細を入力
      • バックアップディレクトリへのパスは、スラッシュ(/)文字で開始および終了する必要があります
        • 例:/ftroot/backup/、またはサーバーのルートディレクトリの場合は / のみ
    • バックアップファイル名は次の形式になります
      • backup_<Name of Security Gateway object>_<Date of Backup>.tgz
  4. OK をクリックします。バックアップ操作のステータスは、タスクに表示されます
  5. タスクが完了したら、エントリをダブルクリックして、バックアップファイルのファイルパスと名前を確認します
  • バックアップファイルの名前は、システムのリストアを行うために必要です
  • 複数のセキュリティゲートウェイで同時にバックアップを実行できます
  • クラスターをバックアップすると、システムはすべてのメンバーをバックアップします

●リストア手順

  1. [Gateways & Servers] ビューで、リストア対象 Security Gateway オブジェクトを右クリックします
  2. Actions > System Restore を選択します。System Restore 画面が表示されます
  3. 必要な情報を入力します
    • バックアップファイル名等と思われます
  4. OK をクリックします
    • Security Gateway との接続が切断されます
    • Security Gateway は自動的に再起動します
  5. Security Gateway オブジェクトにポリシーをインストールします(リストアの結果としてインストールされる、という意味と思われます)。リストア操作のステータスが [Tasks] タブに表示されます

■Gaia ポータルと Clish を開く

  • Gaia ポータルまたは Clish は、Security Gateway オブジェクトの右クリックメニューから、または上部のツールバーの [Actions] ボタンから開くことができます

参考資料

―――――――――――――

タイトルとURLをコピーしました