ClusterXL 管理ガイド R75.40VS - Check Point

More documents

Recommendations

Info

ClusterXL でのクロックの同期 ClusterXL を使用する場合、クラスタ・メンバのすべてのクロックを同期してください。手作業で設定するか、NTP などのプロトコルを使用して同期させることができます。VPN などの機能は、すべてのクラスタ・メンバのクロックが同期している場合にのみ正常に動作します。クラスタの定義と用語ゲートウェイ・クラスタ、ハイ・アベイラビリティ、負荷共有に関連する用語の意味は、ベンダーによって異なる場合があります。チェック・ポイントでは、クラスタについて説明する際には、以下の定義と用語を使用します。アクティブ・アップ - アクティブであった HA マシンに障害が発生し、そのマシンが再び使用可能になった場合、アクティブ・マシンとしてではなく、クラスタ内のスタンバイ・マシンの 1 つとしてクラスタに復帰します。クラスタ - 負荷共有または HA を提供するために一緒に動作する複数のマシンで構成されるグループ。クリティカル・デバイス - 管理者が、クラスタ・メンバの動作にとって重要と定義したデバイス。クリティカル・デバイスは問題通知 (pnote)とも呼ばれます。クリティカル・デバイスは常時監視されます。クリティカル・デバイスが動作を停止した場合、デバイスの障害と見なされます。デバイスは、ハードウェアでもプロセスでも構いません。fwd プロセスと cphad プロセスは、デフォルトでクリティカル・デバイスとして事前に定義されています。セキュリティ・ポリシーもクリティカル・デバイスとして事前に定義されています。管理者は、cphaprob コマンドを使用してクリティカル・デバイスの一覧に追加できます。障害 - マシンがパケットをフィルタリングできなくなる原因となるハードウェアまたはソフトウェアの問題。アクティブなマシンに障害が発生すると、フェイルオーバーが発生します。フェイルオーバー - クラスタ内で、障害が発生したマシンに代わって、別のマシンがパケットのフィルタリングを引き継ぐこと。ハイ・アベイラビリティ(HA) - 障害が発生した場合に、クラスタ内の別マシンに接続を引き継がせることによって接続を維持する機能。パケットのフィルタリングを行うのはアクティブ・マシンのみです。クラスタ内の 1 つのマシンがアクティブ・コンピュータとして設定されます。アクティブ・マシンで障害が発生した場合、クラスタ内のほかのマシンの 1 つがその処理を引き継ぎます。ホット・スタンバイ - アクティブ/スタンバイとも呼ばれます。HA と同じ意味を持ちます。負荷共有 - 負荷共有のゲートウェイ・クラスタでは、クラスタにあるすべてのマシンがパケットをフィルタにかけます。負荷共有は HA を実現し、障害が発生した場合、クラスタ内のほかのマシンに透過的なフェイルオーバーを行い、信頼性とパフォーマンスを向上させます。負荷共有はアクティブ/アクティブとも呼ばれます。マルチキャスト負荷共有 - ClusterXL の負荷共有マルチキャスト・モードでは、クラスタのすべてのメンバが、クラスタ IP アドレスに送信されたすべてのパケットを受信します。ルータまたはレイヤ 3 スイッチは、マルチキャストを使用してパケットをすべてのクラスタ・メンバに転送します。すべてのクラスタ・メンバ上にある ClusterXL 決定アルゴリズムによって、パケットに対してエンフォースメント処理を行うクラスタ・メンバが決定されます。ユニキャスト負荷共有 - ClusterXL の負荷共有ユニキャスト・モードでは、1 台のマシン(ピボット)がすべてのトラフィックをユニキャスト設定でルータから受信し、パケットをクラスタ内にあるほかのマシンに再配分します。ピボット・マシンは、ClusterXL によって自動的に選択されます。 10 | ClusterXL 管理ガイド R75.40VS
第 2 章クラスタ間での接続情報の同期この章の構成チェック・ポイントのステート同期ソリューション 11 ステート同期の設定 15 チェック・ポイントのステート同期ソリューションファイアウォールに障害が発生すると、組織と外部との接続は直ちに切断されます。金融取引など、これらの接続の多くはミッション・クリティカルであり、これらが切断されると重要なデータが失われてしまいます。ClusterXL は、各ゲートウェイ・クラスタ・メンバがほかのメンバを経由する接続を認識できるようにして、障害が発生してもデータが失われないインフラストラクチャを提供します。接続とほかの Security Gateway の状態に関する情報をクラスタ・メンバ間で受け渡すことを「ステート同期」を呼びます。 Security Gateway によって認識されるすべての IP ベースのサービス(TCP や UDP を含む)は同期されます。ステート同期は、ClusterXL ソリューションとサード・パーティの OPSEC 認定クラスタ製品の両方で使用されます。 ClusterXL 負荷共有構成内のマシンは同期させる必要があります。ClusterXL HA(ハイ・アベイラビリティ) 構成内のマシンは同期させる必要はありませんが、同期していないとフェイルオーバー時に接続が失われます。同期ネットワーク同期ネットワークは、接続とクラスタ・メンバ間のほかの Security Gateway の状態に関する同期情報を転送する際に使用します。同期ネットワークは最も重要なセキュリティ・ポリシー情報を組織内に送信するため、悪質な脅威および不意の脅威にさらされないように保護する必要があります。次の方法のうち 1 つを実行して同期インタフェースを保護することをお勧めします。専用の同期ネットワークを使用する。クロスケーブルを使用して、クラスタ・メンバの物理ネットワーク・インタフェースを直接接続する。3 つ以上のメンバを含むクラスタでは、専用のハブまたはスイッチを使用してください。注 - WAN を介してメンバを同期することが可能です。詳細については、15ページの「WAN を介したクラスタの同期」を参照してください。これらの推奨方法に従うことによって、ほかのネットワークが同期情報を送信しないため、同期ネットワークの安全性が保証されます。バックアップのために複数の同期ネットワークを定義できます。バックアップも専用ネットワークにすることをお勧めします。 Cluster XL では、同期ネットワークは VLAN インタフェースの最も小さい VLAN タグでサポートされます。たとえば、タグ 10、20、および 30 の 3 つの VLAN がインタフェース eth1 に構成されている場合には、インタフェース eth1.10 が同期に使用され非対称の通信の同期ます。 ClusterXL 管理ガイド R75.40VS | 11
Page 1 and 2: ClusterXL R75.40VS 管理ガイ
Page 3 and 4: ドキュメントに関する
Page 5 and 6: 異なるサブネット上の
Page 7 and 8: モジュール変数の IPSO 6.
Page 9: ClusterXL の動作 ClusterXL は
Page 13 and 14: 継続時間が制限され
Page 15 and 16: WAN を介したクラスタの
Page 17 and 18: 第 3 章対称通信この
Page 19 and 20: 以下の図にこの構成
Page 21 and 22: 第 4 章 ClusterXL における HA
Page 23 and 24: 注 1. HA Legacy モードでは
Page 25 and 26: HA Legacy 機能の詳細に
Page 27 and 28: 15. 最初のマシンが復帰
Page 29 and 30: クラスタ内で上記のい
Page 31 and 32: マルチキャスト・モード
Page 33 and 34: スタティック CAM エントリ
Page 35 and 36: ClusterXL の IPS との互換
Page 37 and 38: 第 5 章 ClusterXL の設定こ
Page 39 and 40: クラシック・モード: 次
Page 41 and 42: a) [General]タブで、仮想
Page 43 and 44: 第 6 章 OPSEC 認定クラス
Page 45 and 46: 同期ネットワークを定
Page 47 and 48: 第 7 章ゲートウェイ・ク
Page 49 and 50: クラスタの状態状態内
Page 51 and 52: Multicast(マルチキャスト)ま
Page 53 and 54: クリティカル・デバイス
Page 55 and 56: メンバにインストールす
Page 57 and 58: パラメータ set_ccp 説明
Page 59 and 60: ほかのクラスタ・メンバ
Page 61 and 62:
パラメータ: Sync Statistics (I
Page 63 and 64:
Timed out Sync Connection ほかの
Page 65 and 66:
新しい接続の遮断の
Page 67 and 68:
Queues: 各クラスタ・メン
Page 69 and 70:
ClusterXL のエラー・メッセ
Page 71 and 72:
FW-1: fwlddist_mode_change: Failed
Page 73 and 74:
開設されている通信の
Page 75 and 76:
[Manually Defined] - クラスタ
Page 77 and 78:
宛先 MAC アドレスの変更
Page 79 and 80:
注 - インタフェースのリ
Page 81 and 82:
ゲートウェイ・クラスタ
Page 83 and 84:
sysconfig 2. [Network Connections]
Page 85 and 86:
3. スレーブ・インタフェ
Page 87 and 88:
a) ボンディングのインタ
Page 89 and 90:
トラブルシューティング
Page 91 and 92:
クラスタリング・タイマ
Page 93 and 94:
実行される詳細ハンド
Page 95 and 96:
最初のステップは、各
Page 97 and 98:
手動プロキシ ARP スタテ
Page 99 and 100:
マシン「A」に対する Smar
Page 101 and 102:
障害からの復旧 ClusterXL
Page 103 and 104:
共有インタフェースの IP
Page 105 and 106:
a) [Cluster Members Properties]ウ
Page 107 and 108:
SmartDashboard からの設定 Sm
Page 109 and 110:
第 10 章 cphaprob スクリプト
Page 111:
fi result=0 done if [ $result = 0 ]
show all

ClusterXL 管理ガイド R75.40VS - Check Point

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?