【Check Point R80.40】構築用メモ【基礎知識】

Gaia ポータル

• https://<管理IF アドレス>

1. ナビゲーションツリー
2. ツールバー
3. ステータスバー
4. システム情報を表示するウィジェットのある概要ページ
5. 検索ツール

• セキュリティ管理サーバーでエンドポイントポリシー管理ブレードを有効にすると、接続は自動的に変更されます
  • デフォルトの TCP ポート 443 から TCP ポート 4434 へ

• 一度に 1 人のユーザーのみが Gaia 設定への読み取り/書き込みアクセス権を持つことができます。 他のすべてのユーザーは、読み取り専用アクセスでログインして、割り当てられた役割で指定された設定を確認できます

• ログインし、他のユーザーが読み取り/書き込みアクセス権を持っていない場合、読み取り/書き込みアクセス権を持つ排他的設定ロックを取得します。 別のユーザーがすでに設定ロックを持っている場合は、そのユーザーのロックを上書きするオプションがあります
  • 上書きする場合: 他のユーザーは、読み取り専用アクセスでログインしたままになります
  • 上書きしない場合: 設定を変更することはできません

• Gaia ポータルの設定ロックを上書きするには
  • （ツールバーの上にある）設定ロックをクリックします。 鉛筆アイコン（読み取り/書き込みが有効）がロックに置き換わります
  • 設定ページを使用する場合は、ここをクリックしてロックリンクを取得してください。 別のユーザーが設定ロックをオーバーライドすると、このリンクが表示されます

■ツールバーアクセサリー

• 読み取り/書き込みモードが有効になっています
• 設定がロックされています（読み取り専用モード）
• CLIコマンド用のコンソールアクセサリを開きます。読み取り/書き込みモードでのみ使用できます
• メモを書き込んだり、すばやくコピー/貼り付けしたりするために、スクラッチパッドアクセサリを開きます。読み取り/書き込みモードでのみ使用できます

■ナビゲーションツリー

ナビゲーションツリーでは、ページを選択できます。 ページは論理的な機能グループに配置されます。 次のいずれかの表示モードでナビゲーションツリーを表示できます。

• Basic: いくつかの標準ページを表示します
• Advanced: すべてのページを表示します。 これがデフォルトのモードです

■設定タブ

• [設定] タブでは、Gaia の機能と設定グループのパラメーターを表示および設定できます。 パラメータは、ナビゲーションツリーの機能設定グループに編成されています。 パラメータを設定するには、設定グループの読み取り/書き込み権限が必要です

■監視タブ

• [監視] タブでは、一部のルーティングおよび高可用性設定グループのステータスと詳細な運用統計をリアルタイムで確認できます。 この情報は、動的ルーティングと VRRP クラスターのパフォーマンスを監視するのに役立ちます
• [監視] タブを表示するには、ルーティングまたは高可用性機能の設定グループを選択し、[監視]タブをクリックします。 一部の設定グループでは、メニューからさまざまな種類の情報を選択できます

■非サポート文字および単語

クロスサイトスクリプティング（XSS）攻撃の可能性を防ぐために、Gaia ポータルは、さまざまなフィールドに入力するときに一部の文字や単語を受け入れません。

• <, >, &, ;
• after, apply, catch, eval, subset

システム情報概要

■Gaia ポータル

概要ページには、ステータスウィジェットが表示されます。

ページにウィジェットを追加またはページから削除したり、ウィジェットをページ内で移動したり、ウィジェットを最小化または展開したりできます。

■Gaia Clish

• Gaia のシェルは Clish と呼ばれる

• show uptime
  • Gaia システムが稼働している時間を表示

• show version all
  • 完全なシステムバージョン情報を表示

• show version os <build | edition | kernel>
  • OS コンポーネントのバージョン情報を表示

• show version product
  • インストールされている製品の名前を表示

CLI

• SmartConsole から、または SSH で、またはコンソールから接続
• 初期ログインユーザ名 / パスワード は admin / admin

■設定変更の保存

Gaia Clish で OS 設定を変更すると、変更は実行中のシステムにのみすぐに適用されます。
変更を再起動後にも持続させるには、save config コマンドを実行する必要があります。

■基本的なコマンド

■コンフィグロック

「lock database override」または「unlock database」コマンドを使用して、システムにログインしている他の管理者から書き込み権限を奪うことにより、Gaia データベースへの排他的な読み取り/書き込みアクセスを取得します。

• lock database override の代わりに set config-lock on override でも同じ意味
• unlock database の代わりに set config-lock off でも同じ意味

• Gaia 設定データベースの設定ロックの状態を表示
  • show config-lock
  • show config-state

■Expert Mode

• デフォルトの(ログイン直後の) Gaia シェルは Clish と呼ばれます
• Gaia Clish は制限的なシェルです
  • 役割ベースの管理はシェルで使用可能なコマンドの数を制御します
• セキュリティ上の理由から Gaia Clish の使用が推奨されていますが、Gaia Clish は低レベルのシステム機能へのアクセスを提供していません
• 低レベルの設定では、より寛容な Expert Mode (エキスパートモード) シェルを使用します

• エキスパートモードに移行するためにはパスワードを設定する必要があります
• 設定コマンド: set expert-password
  • コマンド実行後、対話的にパスワードを設定します
  • 新しいエキスパートモードのパスワードを永続的に設定するには、save config コマンドを実行する必要があります
• エキスパートモードへの移行コマンド: expert
• エキスパートモードから Clish へ戻る: exit

Gaia の初期設定ウィザード

Gaia を初めてインストールした後、初期設定ウィザードを使用して、システムとそのシステム上の Check Point 製品を設定します。

1. https://<管理IF アドレス> にアクセスします
2. デフォルトのユーザ名/パスワード admin/admin でログインします
3. 初期設定ウィザードが開きます
4. 初期設定ウィザードの表示に従って設定を進めます

ウィザードの表示内容を以下に記載します。

(1) Deployment Options

この画面では、Gaia オペレーティングシステムの展開方法を選択します。

(2) Management Connection

この画面では、管理インターフェイスを選択して設定します。 この IP アドレスに接続して、Gaia ポータルまたは CLI セッションを開きます。

(3) Internet Connection

この画面では、インターネットに接続するインターフェースを設定します。（オプション）

(4) Device Information

この画面では、ホスト名、DNSサーバー、およびプロキシサーバーを設定します。

(5) Date and Time Settings

この画面では、日付と時刻、または NTP を設定します。

(6) Installation Type

この画面では、インストールする Check Point 製品のタイプを選択します。

(7) Products Type

この画面では、インストールする Check Point 製品のタイプを引き続き選択します。

前の [Installation Type] 画面で [Security Gateway and/or Security Management] を選択した場合は、次のオプションが表示されます。

前の [Installation Type] 画面で [Multi-Domain Server] を選択した場合については省略
　→ Admin Guide 参照

(8) Dynamically Assigned IP

この画面では、この Security Gateway が IP アドレスを動的に取得するかどうかを選択します（DAIP ゲートウェイ）。

(9) Secure Internal Communication (SIC)

この画面では、ワンタイムアクティベーションキーを設定します。 後で対応するオブジェクトを作成して SIC を初期化するときに、SmartConsole でこのキーを入力する必要があります。

(10) Security Management Administrator

この画面では、この Security Management Server の管理ユーザを設定します。

(11) Security Management GUI Clients

この画面では、SmartConsole を使用してこの Security Management Server への接続を許可する接続元 IP を設定します。

(12) Leading VIP Interfaces Configuration

この画面では、Multi-Domain Server の main Leading VIP インターフェイスを選択します。
※[Installation Type] 画面で [Multi-Domain Server] を選択した場合のみと思われます

(13) Multi-Domain Server GUI Clients

この画面では、SmartConsole を使用して Multi-Domain Server への接続を許可する接続元 IP を設定します。
※[Installation Type] 画面で [Multi-Domain Server] を選択した場合のみと思われます

(14) First Time Configuration Wizard Summary

この画面では、選択したインストールオプションを確認できます。

デフォルトでは [Improve product experience by sending data to Check Point] オプションが有効になっていますが無効にします。

cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"

[Expert@GW:0]# cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"
Dec 06, 19 19:19:51 FTW: Complete
[Expert@GW:0]#

[Expert@SA:0]# cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"
Dec 06, 2019 03:48:38 PM installation succeeded.
06/12/19 15:48:39 FTW: Complete
[Expert@SA:0]#

[Expert@MDS:0]# cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"
Dec 06, 2019 07:43:15 PM installation succeeded.
[Expert@MDS:0]#

SmartConsole

■SmartConsole をダウンロード

• SmartConsole アプリケーションパッケージは、Security Management Server または Multi-Domain Security Management Server の Gaia ポータルからダウンロードできます
• SmartConsole パッケージをダウンロードしたら、それをインストールして、Security Management Server または Multi-Domain Security Management Server に接続するために使用できます

●ダウンロード方法

• Gaia ポータルのナビゲーションツリーで、次のいずれかのオプションを選択します
  • [Overview] をクリックします。 ページの上部にある [Download Now!] をクリックします
  • Maintenance > Download SmartConsole > Download をクリックします

■SmartConsole でできること

• ネットワークトポロジを一元的に設定
  • IP アドレス
  • スタティックルート
• ネットワークサービスのデバイス設定を一元的に設定
  • DNS
  • NTP
  • プロキシサーバ
• バックアップとリストアの操作を行う
  • 圧縮された .tgz バックアップファイルは、Gaia OS 設定と Security Gateway データベースをキャプチャします
• メンテナンス操作
  • SmartConsole から Gaia ポータルまたはコマンドシェルを開く
  • デバイスから設定を取得するか、デバイスに設定をプッシュします
• 最近のタスクを調べる
  • SmartConsole の下部にある [Recent Tasks] タブには、SmartConsole を使用して実行された最近の Gaia Security Gateway 管理タスクが表示されます
• Security Gateway でコマンドラインスクリプトを実行します
  • コマンドからの出力が [Recent Tasks] ウィンドウに表示されます
  • タスクをダブルクリックして、完全な出力を表示します
• ローカルデバイスの設定変更に関する通知を受信する
  • [Gateways] ビューの [Status] 列は、デバイス設定の変更を示します
• ポリシーを完全にインストールせずに設定の変更を実装する（[Push Settings to Device] アクション）
• クローングループの設定とメンバー間の同期を自動化する

■バックアップとリストア

• Gaia OS 設定とファイアウォールデータベースを圧縮ファイルにバックアップできます
• 圧縮ファイルから Gaia OS 設定とファイアウォールデータベースをリストアできます

●バックアップ手順

1. [Gateways & Servers] ビューで、バックアップする Security Gateway オブジェクトを右クリックします
2. Actions > System Backup を選択します。System Backup 画面が開きます
3. バックアップの場所を選択します。 次のいずれかのオプションを使用します
   • この Gateway 用に定義されたバックアップサーバー
     • このセキュリティゲートウェイ用のバックアップサーバーを定義するには、Security Gateway オブジェクトをダブルクリックし、[Network Management > System Backup] をクリックします
   • バックアップサーバーの詳細を入力
     • バックアップディレクトリへのパスは、スラッシュ（/）文字で開始および終了する必要があります
       • 例：/ftroot/backup/、またはサーバーのルートディレクトリの場合は / のみ
   • バックアップファイル名は次の形式になります
     • backup_<Name of Security Gateway object>_<Date of Backup>.tgz
4. OK をクリックします。バックアップ操作のステータスは、タスクに表示されます
5. タスクが完了したら、エントリをダブルクリックして、バックアップファイルのファイルパスと名前を確認します

●リストア手順

1. [Gateways & Servers] ビューで、リストア対象 Security Gateway オブジェクトを右クリックします
2. Actions > System Restore を選択します。System Restore 画面が表示されます
3. 必要な情報を入力します
   • バックアップファイル名等と思われます
4. OK をクリックします
   • Security Gateway との接続が切断されます
   • Security Gateway は自動的に再起動します
5. Security Gateway オブジェクトにポリシーをインストールします（リストアの結果としてインストールされる、という意味と思われます）。リストア操作のステータスが [Tasks] タブに表示されます

■Gaia ポータルと Clish を開く

• Gaia ポータルまたは Clish は、Security Gateway オブジェクトの右クリックメニューから、または上部のツールバーの [Actions] ボタンから開くことができます

参考資料

• 【PDF】GAIA R80.40 Administration Guide

―――――――――――――

Check Point アプライアンス設定用情報まとめ

基礎知識 【LT 風】Check Point アプライアンス構築ロードマップ ※以下は公式マニュアル等の内容のまとめ 【Check Point R80.40】構築用メモ【基礎知識】【Check Point R80.40】インターフェース設定...

nwengblog.com

2021.05.10