【LT 風】Check Point アプライアンス構築ロードマップ

ファイアウォール(UTM)
スポンサーリンク

はじめに

ファイアウォール/UTM 製品である Check Point アプライアンスについて、初めて触る人向けに構築ロードマップを作成しました。

今回は LT 風に説明してみます。

Check Point アプライアンス構築ロードマップ

それでは Check Point アプライアンス構築ロードマップについて説明していきます。

まずは Check Point アプライアンスの概要について把握してください。

Check Point アプライアンスでは OS として Gaia OS を使用しています。

Gaia OS は Linux ベースの OS です。表記としては公式のページでも GAiAGaia の 2 パターンがあり、使い分けはいまだに謎です。

ファイアウォール/UTM 機能は、Gaia OS 上で動作するソフトウェアとして存在します。

Check Point アプライアンスの構成イメージはこのようになります。

ハードに Gaia OS がインストールされていて、OS の上にファイアウォール/UTM ソフトウェアが動作しています。

ファイアウォール/UTM ソフトウェアの機能としては主に Security GatewaySecurity Management の 2 つがあります。

Security Gateway はファイアウォール/UTM 機能です。

Security Management は Security Gateway のポリシー管理を行います。ポリシーインストールを実行することで Gateway にポリシー設定が反映されます。

またログサーバ機能もあり、Gateway からアクセスログ等を受信しそのログを表示することができます。

Check Point アプライアンスを使用する場合の機器構成について説明します。

一つ目のパターンはスタンドアロン構成です。

この構成では、機器 1 台の中に Security Gateway と Security Management の両方がインストールされています。

二つ目のパターンは分散構成です。

この構成では Security Gateway と Security Management が別々の機器にインストールされています。

Security Management は 複数の Security Gateway を管理することができます。冗長構成の場合は Security Gateway が 2 台で計 3 台の構成になります。

こちらは分散構成で Security Gateway を冗長化した場合の構成例です。

構築時の設定対象についてです。

Gaia OS の設定とファイアウォール/UTM 機能の設定の 2 種類があります。

Gaia OS 設定は機器ごとに行います。

ファイアウォール/UTM 機能の設定は、Security Management 上で管理し、Security Management から各 Security Gateway へ展開する流れになります。

次に管理用のツールについてです。

まず CLI がありますが、CLI では Gaia OS の設定、各種状態表示、その他様々な操作を行うことができます。

2 つ目の Gaia ポータルは Gaia OS 設定を管理するための Web UI です。Gaia OS の設定は基本的には Gaia ポータルで行うことが多いと思います。

3 つ目は SmartConsole です。SmartConsole では Security Management が持つファイアウォール/UTM 機能の設定を管理します。

SmartConsole は Windows にインストールして使用するアプリケーションであり、Security Management とネットワーク接続した管理用端末で実行して使用します。

Gaia ポータルの画面はこのようになっています。

SmartConsole の画面はこのようになっています。

次に SIC について説明します。

SIC は Secure Internal Communication の略で、Security Management と Security Gateway 間の管理用の通信で使用される通信方式です。

Security Management で Security Gateway を管理するためには、最初にワンタイムパスワードを使用して機器間で信頼の確立を行い、その後は Security Management の内部認証局で発行された証明書を使用した通信を行います。

Security Management での Security Gateway の管理や Security Gateway からのログ収集は信頼の確立を前提としています。

ここからは本題の構築ロードマップについて説明します。

構築時に行う設定の流れは大体このようになります。

最初の初期設定ウィザードでは、ホスト名や IP アドレス、時刻などの OS 基本設定を行います。この設定内容は後から変更可能です。

また、Security Gateway 機能と Security Management 機能それぞれをインストールするかどうかを指定します。ですが、実際は Check Point アプライアンスでは、Gateway 用の機種、Management 用の機種といったように機種で役割が決まっているので、Gateway の機種についてのみ Management の役割も持つスタンドアロンとするかどうかの選択をすることになります。

この役割の設定については後から変更することができないため注意が必要です。後から変更したい場合はファクトリーリセットして設定し直す必要があります。

2 つ目の設定内容は Gaia OS の設定です。

Gaia OS の設定手順としては、まずライセンス適用し、次に Deployment Agent のアップデート、そして必要に応じてアップデートパッチの適用を行います。

その上で Gaia OS の各種設定を行っていきます。

ホスト名、SNMP、Syslog、DNS、NTP などのシステム設定、ネットワーク・ルーティング設定、VRRP の設定などがあります。

各機器の Gaia OS の設定ができたら SmartConsole でファイアウォール機能の設定をしていきます。

SmartConsole での設定項目としては、一つ目は Gateway オブジェクトの追加があります。これは Security Management で管理したい Security Gateway の登録を意味します。SIC の信頼の確立を行ったうえで Gateway オブジェクトのプロパティの設定を行います。

二つ目に、セキュリティポリシーを設定します。内容としては、各種ネットワーク/サービスオブジェクトの追加、アクセスコントロールポリシーや NAT ルールの追加、必要に応じて脅威防止ポリシーや HTTPS インスペクションの設定を行います。

その他に設定する項目としては管理ユーザ設定やグローバルプロパティ設定などがあります。

SmartConsole での各種設定ができたら、Security Management から各 Security Gateway へ設定したポリシー内容を展開します。

この操作のことをポリシーインストールと呼んでいます。

これで構築時の設定は完了となります。

最後に今回の内容のまとめです。

構築時の設定の流れはこのようになります。

今回の内容は以上となります。

ありがとうございました !


タイトルとURLをコピーしました