ファイアウォール管理ガイド R75.40VS - Check Point

ファイアウォール 

R75.40VS 

管理ガイド

© 2013 Check Point Software Technologies Ltd. 

All rights reserved. 本製品および関連ドキュメントは著作権法によって保護されており、その使用、複写、逆コン 

パイルを制限するライセンス契約に基づいて配布されています。本製品または関連ドキュメントのいかなる部分も、 

チェック・ポイントの書面による事前承諾を得ない限り、いかなる形態や方法によっても複製することはできません。 

本マニュアルを製作するにあたっては細心の注意が払われていますが、チェック・ポイントはいかなる誤りまたは 

欠落に対しても一切責任を負いません。本マニュアルおよびその記述内容は、予告なく変更される場合があり 

ます。 

権利の制限 

米国政府による本製品の使用、複写、または開示は、DFARS( 連邦国防調達規定 )252.227-7013 および FAR 

( 連邦調達規定 )52.227-19 の技術データおよびコンピュータ・ソフトウェアに関する権利条項 (c)(1)(ii)により制限 

されます。 

商標 

チェック・ポイントの商標の一覧は、こちら 

サード・パーティの商標および著作権については、こちら 

を参照してください。

ドキュメントに関する情報 

最新版ソフトウェア 

最新版ソフトウェアには、機能や安定性の向上、セキュリティの拡張、新たな脅威や進化する攻撃に対処する最新 

の保護機能が備えられているため、最新版をインストールすることをお勧めします。 

関連情報 

このドキュメントの最新バージョンについては、次を参照してください。 

http://supportcontent.checkpoint.com/documentation_download?ID=22303 

チェック・ポイント製品の詳細な技術情報については、チェック・ポイントのサポート・センター 

(http://supportcenter.checkpoint.com)を参照してください。 

改訂履歴 

日付 

説明 

2013 年 04 月 12 日初版 

ドキュメントに関するご意見 

チェック・ポイントは、わかりやすいマニュアルの作成に日々取り組んでいます。ご意見やご要望がありましたら、 

ぜひ以下の宛先までお送りください。 

cp_techpub_feedback@checkpoint.com

目次 

ドキュメントに関する情報 3 

アクセス制御 ................................................................................................................................... 8 

アクセス制御の概要 ................................................................................................................... 8 

Application Control と Identity Awareness ........................................................................... 9 

ルールおよびルール・ベース .................................................................................................... 10 

ルール・ベース要素 ............................................................................................................. 10 

暗黙ルール ......................................................................................................................... 11 

ルール施行の順序 .............................................................................................................. 11 

アクセス制御ルールの例 ..................................................................................................... 12 

アクセス制御に関する特別な考慮事項 ................................................................................ 12 

SmartDashboard ツール・バー ........................................................................................... 13 

アクセス制御ルールの定義 ................................................................................................. 14 

アクセス制御ポリシーの定義 ............................................................................................... 14 

Hit Count ............................................................................................................................ 15 

IP スプーフィングの防止 ........................................................................................................... 17 

スプーフィング対策の設定 ................................................................................................... 18 

特定内部アドレスの除外 ..................................................................................................... 19 

適正なアドレス .................................................................................................................... 20 

マルチキャスト・アクセス制御 .................................................................................................... 20 

マルチキャスト・ルーティング・プロトコル .............................................................................. 20 

IGMP を使用した動的登録 .................................................................................................. 20 

IP マルチキャスト・グループのアドレス指定 .......................................................................... 20 

インタフェースごとのマルチキャストの制限 ........................................................................... 21 

マルチキャスト·アクセス制御の設定 .................................................................................... 22 

Microsoft Networking Services のセキュリティ ........................................................................ 23 

Microsoft Networking Services(CIFS)の保護 ................................................................... 23 

サーバと共有へのアクセス制限 (CIFS リソース) ................................................................. 23 

認証 .............................................................................................................................................. 24 

Identity Awareness ................................................................................................................. 24 

AD Query ........................................................................................................................... 27 

Browser-Based Authentication .......................................................................................... 28 

Identity Agent .................................................................................................................... 29 

導入 ........................................................................................................................................ 31 

Identity Awareness のシナリオ ................................................................................................ 32 

Active Directory ユーザのアイデンティティ取得 ................................................................... 32 

Identity Awareness の設定 ..................................................................................................... 40 

ネットワーク・アドレス変換 (NAT) .................................................................................................... 41 

NAT モード .............................................................................................................................. 41 

Static NAT ......................................................................................................................... 42 

Hide NAT ........................................................................................................................... 42 

NAT ルール・ベース ................................................................................................................. 44 

ルール照合順序 ................................................................................................................. 44 

自動および手動の NAT ルール ........................................................................................... 45 

双方向 NAT ........................................................................................................................ 45 

自動生成ルールについて .................................................................................................... 45 

NAT の計画での考慮事項 ....................................................................................................... 47 

Hide 対 Static ..................................................................................................................... 47

自動ルールと手動ルール .................................................................................................... 47 

Hide NAT による隠匿アドレスの選択 .................................................................................. 47 

特定の導入における検討事項 ............................................................................................. 47 

NAT の設定 ............................................................................................................................. 48 

NAT 設定の一般的な手順 .................................................................................................. 48 

基本設定 - Hide NAT を持つネットワーク・ノード ................................................................. 49 

設定例 (Static NAT と Hide NAT) ....................................................................................... 50 

設定例 ( 手動ルールのポート変換 ) ...................................................................................... 51 

高度な NAT 設定 ..................................................................................................................... 52 

異なるインタフェース上の変換されたオブジェクト間の接続 ................................................... 52 

重複アドレスでの内部コミュニケーション .............................................................................. 52 

NAT の背後にある Security Management .......................................................................... 55 

IP プール NAT .................................................................................................................... 56 

IPv6 .............................................................................................................................................. 61 

サポート機能 ........................................................................................................................... 61 

サポートするチェック・ポイント機能 ....................................................................................... 61 

Security Gateway での IPv6 の有効化 .................................................................................... 62 

SecurePlatform .................................................................................................................. 62 

IPSO アプライアンス ........................................................................................................... 62 

GAIA .................................................................................................................................. 62 

Security Gateway での IPv6 の無効化 .................................................................................... 63 

SecurePlatform .................................................................................................................. 63 

IPSO アプライアンス ........................................................................................................... 63 

GAIA .................................................................................................................................. 63 

SmartConsole で IPv6 を使用した作業 .................................................................................... 64 

IPv6 のオブジェクトの作成 .................................................................................................. 64 

IPv6 ルール ........................................................................................................................ 64 

IPv6 アドレスでのスプーフィング対策 .................................................................................. 64 

SmartView Tracker での IPv6 ............................................................................................ 66 

ICMPv6 の使用 .................................................................................................................. 66 

IPv6 での ClusterXL ........................................................................................................... 67 

高度な機能 .............................................................................................................................. 68 

IPv6 または IPv4 だけのルールの定義 ............................................................................... 68 

IPv6 での Traceroute ......................................................................................................... 69 

IPv6 拡張ヘッダ .................................................................................................................. 70 

6in4 トンネルの使用 ............................................................................................................ 70 

部分アドレス・ベース・フィルタリング..................................................................................... 71 

IPv6 のカーネルへのアクセス ............................................................................................. 71 

ISP の冗長性 ................................................................................................................................ 73 

ISP の冗長モード ..................................................................................................................... 73 

ISP 冗長性の設定 ................................................................................................................... 74 

ISP リンクの設定 ................................................................................................................ 74 

Security Gateway の DNS への設定 .................................................................................. 75 

ファイアウォールの設定 ...................................................................................................... 75 

VPN を使用した設定 ........................................................................................................... 76 

ISP リンク・ステートの強制 .................................................................................................. 77 

ISP 冗長性スクリプトの編集 ................................................................................................ 77 

アンチスパムとメール .................................................................................................................... 78 

アンチスパムとメール・セキュリティについて .............................................................................. 78 

メール・セキュリティの概要 ....................................................................................................... 79 

アンチスパム....................................................................................................................... 79 

アダプティブ連続ダウンロード .............................................................................................. 79 

アンチスパムの設定 ................................................................................................................. 80 

ファイアウォール 管理ガイド R75.40VS | v

コンテンツ・アンチスパム・ポリシーの設定 ............................................................................ 80 

IP レピュテーション・ポリシーの設定 .................................................................................... 80 

ブロック・リストの設定 .......................................................................................................... 81 

アンチスパム SMTP の設定 ................................................................................................ 81 

アンチスパム POP3 の設定 ................................................................................................ 81 

ネットワーク例外の設定 ...................................................................................................... 82 

許可リストの設定 ................................................................................................................ 82 

カスタマイズ・サーバの選択 ................................................................................................ 82 

UTM-1 Edge デバイスでのアンチスパム ............................................................................. 82 

ブリッジ・モードとアンチスパム ............................................................................................. 83 

メールのウイルス対策保護の設定 ............................................................................................ 83 

メールのウイルス対策の設定 .............................................................................................. 83 

ゼロ・アワー・マルウェア対策の設定 .................................................................................... 84 

SMTP と POP3 の設定 ....................................................................................................... 84 

ファイル・タイプの設定 ......................................................................................................... 85 

値の設定 ............................................................................................................................ 85 

免責条項の設定 ...................................................................................................................... 85 

アンチスパムのログ記録と監視 ................................................................................................ 86 

チェック・ポイントへの誤検出の報告 ......................................................................................... 86 

アンチスパム追跡とレポート・オプション .................................................................................... 86 

SmartView Tracker ............................................................................................................ 86 

SmartView Monitor ............................................................................................................ 86 

SmartReporter ................................................................................................................... 86 

VoIP ............................................................................................................................................. 88 

ConnectControl - サーバの負荷分散 ........................................................................................... 89 

ConnectControl について ........................................................................................................ 89 

負荷分散方式 .......................................................................................................................... 89 

ConnectControl のパケットの流れ ........................................................................................... 90 

論理サーバのタイプ ................................................................................................................. 90 

HTTP ................................................................................................................................. 90 

Other .................................................................................................................................. 91 

論理サーバのタイプの検討 ................................................................................................. 91 

永続サーバ・モード................................................................................................................... 92 

サーバごとの永続性 ........................................................................................................... 92 

サービスごとの永続性 ......................................................................................................... 92 

永続サーバのタイムアウト ................................................................................................... 93 

サーバの可用性 ...................................................................................................................... 93 

負荷の測定 ............................................................................................................................. 93 

ConnectControl の設定 ........................................................................................................... 93 

CoreXL 管理 ................................................................................................................................ 95 

サポートされるプラットフォームとサポートされない機能 ............................................................. 95 

デフォルト設定 ......................................................................................................................... 96 

IPv6 での CoreXL ................................................................................................................... 96 

パフォーマンス・チューニング .................................................................................................... 96 

プロセッシング・コアの割り当て ............................................................................................ 96 

プロセッシング・コアの割り当て ............................................................................................ 97 

CoreXL の設定 ...................................................................................................................... 100 

コマンドライン ......................................................................................................................... 100 

アフィニティ設定 ................................................................................................................ 100 

fwaffinity.conf ................................................................................................................... 100 

fwaffinty_apply ................................................................................................................. 101 

fw ctl affinity ..................................................................................................................... 101 

fw ctl multik stat ............................................................................................................... 103 

vi | ファイアウォール 管理ガイド R75.40VS

付録 ............................................................................................................................................ 104 

ファイアウォールを有効にする前のセキュリティ ....................................................................... 104 

ブート・セキュリティ ................................................................................................................. 104 

起動時の IP 転送の制御 ................................................................................................... 104 

デフォルト・フィルタ ................................................................................................................. 104 

デフォルト・フィルタのドロップ・フィルタへの変更 ................................................................. 105 

カスタムデフォルト·フィルタの定義 ..................................................................................... 106 

メンテナンス時のデフォルト・フィルタの使用 ....................................................................... 106 

初期ポリシー ......................................................................................................................... 106 

デフォルト·フィルタと初期ポリシーの管理 ................................................................................ 107 

デフォルト・フィルタまたは初期ポリシーが読み込まれていることを確認 .............................. 107 

デフォルト·フィルタまたは初期ポリシーのアンロード ........................................................... 108 

トラブルシューティング: 再起動を完了できない ................................................................. 108 

コマンドライン .................................................................................................................... 108 

付録 ............................................................................................................................................ 111 

認証の設定 ........................................................................................................................... 111 

ゲートウェイのユーザ検索 ................................................................................................. 111 

認証スキーム ......................................................................................................................... 112 

チェック・ポイント・パスワード ............................................................................................. 112 

オペレーティング・システム・パスワード .............................................................................. 112 

RADIUS ........................................................................................................................... 112 

SecurID ............................................................................................................................ 114 

TACACS .......................................................................................................................... 115 

Undefined ........................................................................................................................ 116 

認証方式 ............................................................................................................................... 116 

ユーザ認証 ....................................................................................................................... 116 

セッション認証 ................................................................................................................... 117 

クライアント認証 ................................................................................................................ 119 

ユーザとグループの作成 ........................................................................................................ 125 

ユーザ・グループの作成 .................................................................................................... 125 

ユーザ・テンプレートの作成 ............................................................................................... 125 

ユーザの作成 ................................................................................................................... 125 

データベース内のユーザ情報のインストール ..................................................................... 125 

認証トラッキングの設定 .......................................................................................................... 126 

Windows ユーザ・グループ用のポリシーの設定 ..................................................................... 126 

付録 ............................................................................................................................................ 127 

実施モード ............................................................................................................................. 128 

NAT 環境 .............................................................................................................................. 128 

Monitor Only 導入モード ........................................................................................................ 128 

協調施行の設定 .................................................................................................................... 128 

ファイアウォール 管理ガイド R75.40VS | vii

第 1 章 

アクセス制御 

この章の構成 

アクセス制御の概要 8 

ルールおよびルール・ベース 10 

IP スプーフィングの防止 17 

マルチキャスト・アクセス制御 20 

Microsoft Networking Services のセキュリティ 23 

アクセス制御の概要 

ネットワーク境界の Security Gateway はすべてのトラフィックの検査とアクセス制御を提供します。ゲートウェイを通 

過しないトラフィックは制御されません。 

セキュリティ管理者は、企業のセキュリティ・ポリシーを実施する責任があります。Security Management Server を 

使用することで、管理者は複数のゲートウェイ全体のセキュリティ・ポリシーを一貫して実施できます。これを施行す 

るには、管理者は SmartDashboard を使用して会社全体のセキュリティ・ポリシー・ルール・ベースを定義し、 

Security Management Server にインストールします。SmartDashboard は、管理者がセキュリティ・ポリシーをゲー 

トウェイに適用する SmartConsole クライアント・アプリケーションです。特定のルールを特定のゲートウェイに適用 

することで、詳細なセキュリティ・ポリシー制御が可能になります。 

Security Gateway は、ネットワークを通過するすべてのサービスとアプリケーションをきめ細かく解析することにより、 

安全なアクセス制御を可能にします。ステートフル・インスペクション技術はアプリケーション層での完全な認識と事 

前定義済みアプリケーション、サービス、プロトコルに対する包括的なアクセス制御を提供するとともに、カスタム・ 

サービスを指定および定義する機能も提供します。 

8 | ファイアウォール 管理ガイド R75.40VS

Application Control と Identity Awareness 

効果的なアクセス制御を行うには、管理者は以下を行う必要があります。 

 

 

アプリケーションのアクセスとネットワーク・リソースの使用方法の制御 

IP アドレスの背後にいるユーザとコンピュータを識別し把握 

Application Control の必要性 

ソーシャル・メディアと Web 2.0 アプリケーションの広範囲にわたる普及で、インターネットの使い方は大きく変わって 

きています。さまざまな企業にとって、日々進化するセキュリティ脅威に対処することが、困難な課題となっていま 

す。 

多様なインターネット・アプリケーションの使用に伴い、管理者は新たな課題に直面しています。たとえば、以下のよ 

うな課題があげられます。 

 

 

 

マルウェアの脅威 - アプリケーションを使用することで、ネットワークがマルウェアの脅威にさらされる危険性が 

あります。Twitter、Facebook、YouTube のような一般的なアプリケーションは、ユーザが無意識にウイルスを 

ダウンロードする原因になります。また、ファイル共有アプリケーションを使用すると、ネットワークに簡単にマル 

ウェアがダウンロードされてしまう危険性もあります。 

帯域幅の浪費 - 帯域幅を浪費するアプリケーション(メディア・ストリーミングなど)により、業務にとって重要な 

アプリケーションを利用するための帯域幅が制限されてしまう可能性があります。 

生産性の低下 - 従業員がソーシャル・ネットワークやその他のアプリケーションに時間を費やし、企業の生産 

性を著しく低下させる可能性があります。 

従業員がインターネット上で何をしているか、またどのような影響を及ぼしているのか、企業が把握することは困難 

です。 

Application Control の詳細については、『R75.40VS Application and URL Filtering 管理ガイド』 

(http://supportcontent.checkpoint.com/solutions?id=sk76540)を参照してください。 

Identity Awareness の必要性 

従来のファイアウォールは IP アドレスを利用してトラフィックを監視し、それら IP アドレスの背後にあるユーザとコン 

ピュータの ID を認識しません。Identity Awareness はユーザとマシンの ID をマッピングするので、匿名の概念がな 

くなります。これを使用すると、ID に基づいてデータのアクセスおよび監査を行うことが可能になります。 

Identity Awareness は導入や拡張が簡単に行えるソリューションです。これは、Active Directory および非 Active 

Directory ベース両方のネットワークや、従業員、ゲスト・ユーザにも適用できます。現在は Firewall Blade と 

Application Control Blade で利用可能で、将来的には他の Blade でも使用できる予定です。 

Identity Awareness を使用することで、ネットワークの場所と以下に基づいてネットワークのアクセスと監査を簡単 

に設定することができます。 

 

 

ユーザ ID 

コンピュータ ID 

Identity Awareness が送信元または宛先を識別する場合は、ユーザまたはコンピュータの IP アドレスを名前で表し 

ます。たとえば、これらいずれかのプロパティでファイアウォール・ルールを作成することができます。特定のユー 

ザが特定のコンピュータからトラフィックを送信する場合のファイアウォール・ルールを定義することができます。また 

トラフィックを送信するコンピュータに関係なく特定のユーザ用のファイアウォール・ルールを定義することもできま 

す。 

SmartDashboard の場合は、アクセス・ロール・オブジェクトを使用して 1 つのオブジェクトとしてユーザ、コンピュータ 

やネットワークの場所を定義します。 

Identity Awareness の詳細については、『R75.40VS Identity Awareness 管理ガイド』 


ファイアウォール 管理ガイド R75.40VS | 9

ルールおよびルール・ベース 

セキュリティ・ポリシーは順序付けされたルールの集合で構成され、ルール・ベースと呼ばれます。明確に定義され 

たセキュリティ・ポリシーは、効果的なセキュリティ・ソリューションに不可欠です。ルール・ベースの基本原則は、「明 

示的に許可されていないすべてのアクションは禁止する」です。 

ルール·ベース内の各規則では、送信元、宛先、サービス、およびセッションごとに行われるアクションを指定します。 

ルールでは、イベントを追跡する方法も指定します。イベントをログに残し、そして警告メッセージをトリガすることが 

できます。トラフィック・ログと警告を確認することは、セキュリティ管理の重要な事項です。 

ルール・ベース要素 

ルールは、以下のルール・ベース要素で構成されています(すべてのフィールドが特定のルールに定義されるわけ 

ではありません)。 

ルール・ベース要素 

項目 

Hits 

説明 

Hit Count は各ルールに一致する接続数を追跡します。ルール・ベースでの各 

ルールのため、ヒット数のカラムは、デフォルトでは、K(1000)、M(100 万 )、G(10 

億 )、または T(1 兆 )のヒット数と一緒に接続マッチングの視覚的な指標を表しま 

す。総ヒット数から見たヒット数の割合や、指標レベル( 非常に高、高、中、低、また 

はゼロ)の表示、表示されるデータの時間枠などを設定できます。これらのオプショ 

ンは、ヒット数のカラム・ヘッダまたはルール番号を右クリックして、ファイアウォー 

ルのルール・ベースより設定できます。詳細については、「Hit Count」を参照してく 

ださい。 

Source と Destination 接続の発信元と宛先を指します。クライアント・サーバ・モデルで動作するアプリ 

ケーションでは、Source はクライアント、Destination はサーバです。接続が許可さ 

れると、接続を介して転送されるパケットは双方向に自由に通過します。 

Source と Destination のパラメータの否定をとることができます。つまり、特定の 

ルールは、指定した場所を除くすべての接続の Source/Destination に適用されま 

す。たとえば、Source が特定のネットワークに含まれないと指定する方が便利な 

場合があります。接続の Source または Destination の否定をとるには、該当する 

ルールのセルを右クリックして、オプション・メニューから[Negate Cell]を選択しま 

す。 

VPN 

Service 

Action 

TRACK 

暗号化の有無に関わらずルールをすべての接続に適用するか、VPN 接続にのみ 

適用するかを設定できます。ルールを VPN 接続に限定するには、該当するルー 

ルをダブルクリックして、2 つの VPN オプションのいずれかを選択します。 

ルールを特定の事前定義済みプロトコル、サービス、またはアプリケーションに適 

用できます。新しいカスタム・サービスを定義できます。 

パケットを許可 (Accept)、拒否 (Reject)、または破棄 (Drop)するかどうかを決定し 

ます。接続が拒否されると、ファイアウォールは接続の発信元に RST パケットを送 

り接続を閉じます。パケットが破棄されると応答は送信されず、接続は最後に時間 

切れになります。認証に関するアクションの詳細については、認証 (111ページ)を 

参照してください。 

さまざまなロギング・オプションを提供します(『R75.40VS Security Management 

管理ガイド』(http://supportcontent.checkpoint.com/solutions?id=sk76540)を参 

照 )。 


項目 

Install-On 

Time 

説明 

ルールをインストールする Security Gateway を指定します。特定のルールをすべ 

ての Security Gateway で実施する必要はありません。たとえば、特定のネットワ 

ーク・サービスは特定のゲートウェイのみを通過させるルールを作成できます。こ 

の場合、特定のルールを他のゲートウェイにインストールする必要はありません 

(『R75.40VS Security Management 管理ガイド』 

(http://supportcontent.checkpoint.com/solutions?id=sk76540)を参照 )。 

ルールを実施する時間 ( 有効と失効 )、時間帯、日付を( 毎日、曜日、毎月 )を指定 

します。 

暗黙ルール 

Security Gateway は、管理者が定義するルール以外に[Global Properties]で定義される暗黙のルールも作成し 

ます。暗黙のルールにより、各種機能を使用するために必要なゲートウェイを発着信する通信が許可されます。ファ 

イアウォールは暗黙のルールを最初、最後、またはルール・ベースの最後のルールの直前に配置します。 

暗黙のルールの例としては、Security Gateway 制御接続と Security Gateway から発信するパケットを許可する 

ルールが含まれます。 

暗黙のルールを表示するには 

1. ルール・ベースに 1 つ以上のルールを追加します。 

2. [View]→[Implied Rules]の順にクリックします。 

[Firewall]タブに、ユーザ定義のルールに加えて、暗黙ルールが表示されます。 

ルール施行の順序 

Security Gateway はパケットを検査し、順番にルールを適用します。Security Gateway は接続からのパケット受信 

時、そのパケットを検査し、それをルール・ベースの 1 番目のルール、2 番目のルールのように順番に適用します。 

与えられたルールのすべての要素がパケット(Source、Destination、Service など)に含まれる情報に一致したら、 

Security Gateway は検査を中止し、すぐにそのルールを適用します。ルール・ベースで適用可能なルールが見つ 

からない場合は、トラフィックはブロックされます。 

ルール処理の概念を理解する必要があります。ファイアウォールは常に与えられたパケットに最初に一致したルー 

ルを適用します。これはトラフィックに最適なルールでなくてもかまいません。 

ルール・ベースは慎重に計画し、適切な順序でルールを設定することが重要です。最も良いのは、ルール・ベースの 

冒頭で非常に具体的な条件に適用するルールを置くことです。一般的なルールは、ルール・ベースの最後の方に配 

置する必要があります。 

ルールは以下の順序で処理されます。 

1. First( 最初 )と設定されているの暗黙ルール: このルールは、ルール・ベースで変更または上書きすることはで 

きません。このルールの前に、他のルールを配置することはできません。 

2. 明示的ルール: これらは、First( 最初 )と Before Last( 最後から 2 番目 )の暗黙のルールの間の任意の場所に 

配置することができる管理者が定義したルールです。 

3. Before Last( 最後から 2 番目 )の暗黙ルール: 最後のルールが適用される前に実施する、より具体的なルール 

です。 

4. Last( 最後 )の暗黙ルール: これはデフォルトのルールで、ログを取らずにすべてのパケットを拒否するルール 

です。 


アクセス制御ルールの例 

このテーブルでは、SmartDashboard の[Firewall]タブで表示される、典型的なアクセス制御ルールを表します。こ 

のルールでは、支社から任意の宛先への HTTP 接続を許可しログを取得します。 

Source Destination VPN Service Action TRACK 

Branch-Office-gw Any Any Traffic http accept log 

アクセス制御に関する特別な考慮事項 

このセクションでは、アクセス制御のシナリオについて説明します。 

簡潔性 

効果的なファイアウォール 保護を実現するための鍵は簡潔なルール・ベースです。組織のセキュリティにとって最も 

危険なことの 1 つは、設定ミスです。たとえば、誤って無制限にメッセージング・プロトコルを許可していれば、ユーザ 

は偽の断片化されたパケットを使用してファイアウォールをすり抜けようとするかもしれません。ルール・ベースを簡 

潔にすることにより、ルールの管理と維持を簡単に行うことができます。ルールが増えれば増えるほど間違いを起こ 

す可能性が高まります。 

基本ルール 

ルールを作成する場合は、必要なトラフィックのみを許可するようにしてください。ファイアウォールで保護されている 

側と保護されていない側の両方から発信されてファイアウォールを通過するトラフィックを考慮する必要があります。 

すべてのルール・ベースに次の基本アクセス制御ルールを含めることをお勧めします。 

 

 

Security Gateway への直接アクセスを防止するためのステルス・ルール。 

前のルールで許可されていないトラフィックをすべて破棄するクリーンアップ・ルール。これを行う暗黙ルールが 

ありますが、クリーンアップ・ルールによりそのようなアクセスの試みをログに記録できます。 

ルール・ベースの基本原則は、「明示的に許可されないすべてのアクションは禁止する」であることをあらためて認 

識する必要があります。 

ルールの順序 

ルールの順序は、効果的なルール・ベースの重要な要素です。同じルールでも、順序を変更するとファイアウォール 

の効果が大幅に変わります。最も具体的なルールを最初に置き、より一般的なルールを最後に置くことが適切です。 

この順序により、具体的なルールの前に一般的なルールが適用されるのを防ぎ、ファイアウォールを設定ミスから 

保護できます。 

トポロジに関する考慮事項 : DMZ 

インターネットを使用して外部からアクセスできるサーバがある場合は、非武装地帯 (DMZ)を作成する必要があり 

ます。DMZ は、インターネットなどの信頼されていない発信元からアクセス可能なすべてのサーバを隔離することに 

よって、仮にこれらのサーバに侵入されたとしても、侵入者によるアクセスを外部からアクセス可能なサーバのみに 

制限します。DMZ 内のサーバは任意のネットワークからアクセスできるため、外部からアクセス可能なサーバはす 

べて DMZ に設置する必要があります。DMZ ゾーン内のサーバは、できる限り安全に保護する必要があります。 

UserAuthority などの特定のアプリケーションを除き、DMZ から内部ネットワークへのアクセスを許可しないでくださ 

い。 

X11 サービス 

X11(X ウィンドウ・システム・バージョン 11)グラフィックス表示システムは、UNIX 環境におけるグラフィックス・シス 

テムの標準です。X11 を有効にするには、X11 サービスを許可するルールを作成する必要があります。[Source]ま 


たは[Destination]を「Any」とした場合、X11 サービスは含まれません。X11 サービスを使用する場合は、GUI アプ 

リケーションがクライアントではなくサーバとして機能するためです。 

暗黙ルールの編集 

暗黙ルールは、[Global Properties]ウィンドウから[Firewall Implied Rules]ページを選択して定義します。一般に 

定義済みの暗黙ルールは変更する必要がありません。プロパティをルール・ベースから詳細に管理できるよう、一 

部の暗黙ルールを選択しないことをお勧めします。たとえば、特定のゲートウェイでのみ ICMP Ping を許可したい場 

合があります。 

ファイアウォールの暗黙ルールの推奨設定 

暗黙ルール 

推奨設定 

Accept control connections( 制御接続の受け入れ) 

Accept Remote Access control connections 

(リモート・アクセス制御接続の受け入れ) 

Accept SmartUpdate connections 

(SmartUpdate 接続の受け入れ) 

Accept outbound packets originating from the gateway 

(ゲートウェイから発信されたアウトバウンド・パケットの受け入れ) 

Accept RIP(RIP の受け入れ) 

Accept Domain Name Over UDP (Queries) 

(UDP でのドメイン名の受け入れ(クエリ)) 

Accept Domain Name over TCP (Zone transfer) 

(TCP でのドメイン名の受け入れ(ゾーン転送 )) 

Accept ICMP requests(ICMP 要求の受け入れ) 

Accept dynamic address DHCP traffic 

(ダイナミック・アドレス DHCP トラフィックの受け入れ) 

Accept VRRP packets originating from cluster members (VSX IPSO 

VRRP) 

(クラスタ·メンバから発信される VRRP パケットの受け入れ(VSX Nokia 

VRRP)) 

最初 

最初 

最初 

オフ 

オフ 

オフ 

オフ 

オフ 

最初 

最初 

SmartDashboard ツール・バー 

SmartDashboard ツール・バーを使用して以下のアクションを行います。 

アイコン 

説明 

SmartDashboard メニューを開きます。 

メニュー・オプションを選択するよう指示された場合は、最初にこのボタンをクリック 

します。 

たとえば、[Manage]→[Users and Administrators]の順に選択するよう指示され 

た場合は、このボタンをクリックして管理メニューを開き、[Users and 

Administrators]オプションを選択します。 


アイコン 

説明 

現在のポリシーとすべてのシステム・オブジェクトを保存します。 

Security Management Server からポリシーを更新します。 

グローバル・プロパティを変更します。 

ルール・ベースの一貫性を検証します。 

Security Gateway または VSX ゲートウェイにポリシーをインストールします。 

SmartConsole を開きます。 

アクセス制御ルールの定義 

アクセス制御ルールを定義するには、SmartDashboard を使用して以下の手順に従います。 

1. SmartDashboard を使用して、各ネットワークおよびホストのネットワーク・オブジェクトを定義します。 

2. SmartDashboard から[Firewall]タブをクリックします。 

3. SmartDashboard メニューから[Rules]→[Add Rule]の順に選択し、[Bottom]、[Top]、[Below]または 

[Above]のいずれかを選択します。 

4. ルールで以下の項目を定義します。 

 

 

 

 

 

 

 

 

 

Name 

Source 

Destination 

VPN 

Service 

Action (Accept、Drop、Reject) 

TRACK 

Install on 

Time 

アクセス制御ポリシーの定義 

アクセス制御ポリシーは以下の目的で必要です。 

 

 

 

内部ユーザにインターネットへのアクセスを許可する。 

すべてのユーザに DMZ ネットワークのサーバへのアクセスを許可する。 

ネットワークを外部の者から保護する。 


ポリシーはまた 2 つの基本的なルール、ステルス・ルールとクリーンアップ・ルールが必要です。 

Hit Count 

Hit Count は各ルールに一致する接続数を追跡します。ルール・ベースでの各ルールのデフォルトでは、[Hits]カラ 

ムは、デフォルトでヒット数と一緒に一致する接続の視覚的指標を表します。 

総ヒット数から見たルールのヒット数の割合、指標レベル( 非常に高、高、中、低、またはゼロ)、表示するデータの時 

間枠を設定できます。これらのオプションはファイアウォール・ルール・ベースで設定され、他のサポートされる 

Software Blade の表示に影響を与えます。 

Hit Count を有効にする場合は、Security Management Server はサポートされているゲートウェイからデータを収 

集します(R75.40 以降のバージョンより対応 )。Hit Count は、ログとは独立して動作します。各ルールの[Track]オ 

プションを[Log]に設定する必要はありません。[Track]オプションが[None]である場合でも、Hit Count は動作しま 

す。 

ルール・ベースの[Hits]カラムで表示されたデータにより、以下が可能です。 

 

 

 

より効果的なルール・ベースに変更 - 一致する接続がないルールを削除できます。Hit Count がゼロのルール 

が表示される場合は、Hit Count が有効なっている Security Gateway で一致する接続がないことを意味します。 

他のゲートウェイは一致する接続がある可能性があります。 

ルール・ベースの性能向上 - ファイアウォールのルール・ベースで、高いヒット数を持つルールをルール・ベー 

スの高位置に移動することができます( 最初のルールの 1 つ)。 

ポリシーの動作をよく理解できます。 

Hit Count の有効化または無効化 

デフォルトでは、Hit Count はすべてのサポートされる Security Gateway(R75.40 以降 )で有効です。データ収集の 

時間範囲を定義する時間枠は、全体に設定されます。必要に応じて、特定の Security Gateway の Hit Count 機能 

を無効にすることも可能です。 

Hit Count を有効または無効にした後、データの収集を開始または終了するためには、Security Gateway のポリシ 

ーをインストールする必要があります。 

Hit Count を全体的に有効または無効にするには 

1. [Policy]メニューから、[Global Properties]を選択します。 

2. ツリーから[Hit Count]を選択します。 

3. 以下のオプションを選択します。 

 

Enable Hit Count - 選択して、すべての Security Gateway を有効にし、各ルールが一致する接続数を追 

跡します。また選択を外して、無効にします。 


Keep Hit Count data up to - 時間範囲のいずれかのオプションを選択します。デフォルトは 6 ヶ月間です。 

この期間にデータは Security Management Server データベースに保存され、[Hits]カラムで表示されま 

す。 

4. [OK]をクリックします。 

5. ポリシーをインストールします。 

各セキュリティ・ゲートウェイの Hit Count を有効または無効にするには 

1. Security Gateway の[Gateway Properties]のツリーから[Hit Count]を選択します。 

2. [Enable Hit Count]チェックボックスをオンにして機能を有効するか、オフにして無効にします。 



Hit Count 表示の設定 

これらのオプションで、[Hits]カラムにマッチした接続データを表示する方法を設定できます。 

 

 

 

Value - サポートされているゲートウェイでのルールのヒット数を表します。下記の接続ヒット数は合計ヒット数に 

含まれません 

 

 

サポートされていないゲートウェイ(R75.40 以前のバージョン) 

Hit Count 機能が無効なゲートウェイ 

値は以下の文字略語で表示されます。 

K = 1,000 

M = 1,000,000 

G = 1,000,000,000 

T = 1,000,000,000,000 

たとえば、259K は 259,000 の接続を表し、2M は 200 万の接続を表します。 

Percentage – 一致した接続の合計数で、ルールが一致したヒット数の割合を表します。割合 (パーセント)は百 

分率によって四捨五入され、パーセントの 10 の位で切り捨てられます。 

Level – Hit Count のレベルは、下記の表にあるようにヒットの範囲を表示するラベルです。 

Hit Count の範囲 = 最大ヒット値 - 最小ヒット値 (ヒット数ゼロは含まれない) 

Hit Count ラベルアイコン範囲 

Zero(ゼロ) 

0 ヒット 

Low( 低 ) 

Medium( 中 ) 

High( 高 ) 

Hit Count 範囲の 10% 未満 

Hit Count 範囲の 70% - 10 の間 

Hit Count 範囲の 70% - 90%の間 

Very High( 非常に高い) 

Hit Count 範囲の 90% 以上 

[Hits]カラムですべてを表示するオプション 


Hit Count 表示を設定するには 

1. [Hits]カラム・ヘッダまたは行のルール番号を右クリックします。 

2. メニューから[Display]を選択します。 

3. 以下のいずれかのオプションを選択します。 

 

 

 

Percentage 

Value 

Level 

Hit Count 時間枠の設定 

[Hits]カラムに示されている値は、時間枠の設定に基づいています。デフォルトでは、時間枠は[Global 

Properties] 設定の[Keep Hit Count data up to]パラメータに応じて累積されます。パラメータが 6 ヶ月に設定され 

ている場合は、利用可能な時間枠は、1 ヶ月、3 ヶ月、6 ヶ月です。 

[Global Properties] 設定のパラメータに基づいた間隔に従って期間を変更することができます。 

Hit Count 時間枠を設定するには 


2. メニューから[Timeframe]を選択します。 

3. 時間枠を選択します。 

Hit Count データの更新 

各ルールの Hit Count データは、3 時間ごとに 1 回、Security Gateway から Security Management Server に転送 

されます。Hit Count データを更新する場合は、直接 Security Gateway からではなく、Security Management 

Server のデータベースのデータから最新データを取得します。 

ポリシーのインストール後、Hit Count はポリシーにある各 Security Gateway から Security Management Server 

のデータベースに更新されます。ポリシーがインストールされた後の最初の 3 分間以内にに行われます。 

ファイアウォール・ルール・ベースの Hit Count データを更新するには 


2. メニューから、[Hit Count]→[Refresh]の順に選択します。 

Application and URL Filtering のルール・ベースの Hit Count データを更新するには 

 

ポリシー・ツールバーで[Hit Count]をクリックします。 

IP スプーフィングの防止 

ネットワークが IP アドレス・スプーフィングから保護されていない場合、アクセス制御ルールは無効になり、攻撃者に 

パケットの発信元アドレスを変更され簡単にアクセスされてしまいます。このため、内部インタフェースを含む 

Security Gateway のすべてのインタフェースに、必ずスプーフィング対策保護を設定してください。 

IP スプーフィングは、高いアクセス権を持つネットワーク・ノードからパケットが発生したかのように見せるため、パ 

ケットの IP アドレスを変更し、許可されていないアクセス権を侵入者が取得しようとする手法です。 

注 -すべての通信が明確な発信元から発生しているかどうかを確認することが重要です。 

スプーフィング対策保護は、パケットがゲートウェイの正しいインタフェースに発着信することを検証します。この機能 

では、パケットが特定の内部ネットワークのインタフェースから送信されているかを確認します。また、パケットが 

ルーティングされた後、それが適切なインタフェースを通過することを検証します。 


外部インタフェースから来たパケットが偽の内部 IP アドレスを持っていても、ファイルウォールのスプーフィング対策 

機能が不正なインタフェースから来たことを検知するのでブロックされます。 

Alaska_GW では、ファイルウォールは以下のことを保証します。 

 

 

インタフェース IF1 へのすべての着信パケットはインターネットから送信されている。 

インタフェース IF2 へのすべての着信パケットは Alaska_LAN、Alaska_RND_LAN、または Florida_LAN から 

送信されている。 

Alaska_RND_GW では、ファイルウォールは以下のことを保証します。 

 

 

インタフェース IF3 へのすべての着信パケットは Alaska_LAN、Florida_LAN、またはインターネットから送信さ 

れている。 

インタフェース IF4 へのすべての着信パケットは Alaska_RND_LAN から送信されている。 

スプーフィング対策を設定する場合は、インタフェース・トポロジの定義でインタフェースがインターネットに接続して 

いる(「External」として定義する)か、内部ネットワークに接続している(「Internal」として定義する)かを指定する必 

要があります。 

スプーフィング対策の設定 

内部インタフェースを含む Security Gateway のすべてのインタフェースで、スプーフィング対策を設定することが重 

要です。 

設定 

外部インタフェースで有効なアドレスを定義するには 

1. SmartDashboard から、[Manage]→[Network Objects]を選択します。 

2. ゲートウェイを選択して、[Edit]をクリックします。 

3. ページのリストから[Topology]を選択してクリックします。 

4. [Get]→[Interfaces]の順にクリックして、ゲートウェイ・コンピュータのインタフェース情報を取得します。 

5. [Accept]をクリックします。 

SmartDashboard がトポロジ情報を取得できない場合は、ゲートウェイの[General Properties]が正しく一覧表 

示され、ゲートウェイ、Security Management Server と SmartDashboard のすべてが機能し通信していること 

を確認します。 

6. [Topology]ページで、インターネットへのインタフェースを選択して[Edit]をクリックします。 


7. [Interface Properties]ウィンドウで[Topology]タブを開きます。 

8. [External (leads out to the Internet)]を選択します。 

9. [Perform Anti-Spoofing based on interface topology]を選択します。 

10. [Anti-Spoofing action is set to]から、以下のいずれか 1 つのオプションを選択します。 

 

 

Prevent - スプーフィングされたパケットをブロックします。 

Detect - スプーフィングされた可能性のあるパケットを許可します。このオプションは監視目的に使用され、 

いずれか 1 つのトラッキング・オプションと組み合わせて使用する必要があります。これは、実際にパケット 

を拒否することなくネットワークのトポロジを学習するためのツールとして機能します。 

11. [Don't check packets from]は外部インタフェースに着信する特定の内部ネットワークからのアドレスに対して 

アンチ・スプーフィング・チェックを動作させないようにするのに使用します。 

このオプションを使用するには、チェックボックスを選択し、ドロップダウン・リストから有効なアドレスを持つ内部 

ネットワークを表すネットワーク・オブジェクトを選択します。必要なネットワーク・オブジェクトがリストにない場合 

は、[New]をクリックして必要な内部ネットワーク・オブジェクトを定義します。 

ドロップダウン・リストで選択したオブジェクトは、スプーフィング対策の実施メカニズムによって無視されます。 

12. [Spoof Tracking]オプションから[Log]を選択し、[OK]をクリックします。 

内部インタフェースのスプーフィング対策設定 

内部インタフェースの有効アドレスを定義するには 

1. SmartDashboard から、[Manage]→[Network Objects]を選択します。 

2. チェック・ポイントのゲートウェイを選択し、[Edit]をクリックします。 

3. ゲートウェイ・ウィンドウから、[Topology]を選択します。 

4. [Topology]ウィンドウから、[Get]→[Interfaces]の順にクリックして、ゲートウェイ・コンピュータのインタフェース 

情報を取得します。 

5. [Name]カラムから内部インタフェースを選択して[Edit]ボタンをクリックします。 

6. [Interface Properties]ウィンドウから[Topology]をクリックし、[Internal (leads to the local network)]を選択 

します。 

7. [IP Addresses behind this interface]から、以下のいずれか 1 つを実行します。 

 

 

インタフェースの背後に 1 つのネットワークしかない場合は、[Network defined by the interface IP and 

Net Mask]を選択します。 

インタフェースの背後に複数のネットワークがある場合は、インタフェースの背後のすべてのネットワークを 

構成するネットワーク・グループ・オブジェクトを定義し、[Specific]を選択し、作成したグループを選択しま 

す。 

8. [Perform Anti-Spoofing based on interface topology]を選択します。 

9. [Anti-Spoofing action is set to]から、以下のいずれかのオプション 1 つを選択します。 

 

 

Prevent - スプーフィングされたパケットをブロックします。 

Detect - スプーフィングされたパケットを許可します。このオプションは監視目的に使用され、いずれか 1 つ 

のトラッキング・オプションと組み合わせて使用する必要があります。これは、実際にパケットを拒否すること 

なく、ネットワークのトポロジを学習するためのツールとして機能します。 

10. [Spoof Tracking]から[Log]を選択し、[OK]をクリックしてください。 

11. すべての内部インタフェースに対して、手順 1 から 8 まで繰り返します。 

12. [Policy]→[Install]の順に選択してセキュリティ・ポリシーをインストールします。 

特定内部アドレスの除外 

状況によっては、内部ネットワークに属する送信元アドレスを持つパケットを、外部インタフェース経由でゲートウェイ 

に送信できるようにする必要があります。これは、外部アプリケーションが内部 IP アドレスを外部クライアントに割り 

当てる場合に役立つことがあります。この場合、指定した内部ネットワークからのパケットに対してスプーフィング対 

策・チェックを行わないように指定できます。 


適正なアドレス 

適正なアドレスとは、Security Gateway インタフェースへの入力を許可されるアドレスです。適正なアドレスはネット 

ワーク・トポロジによって決定します。ファイアウォールでスプーフィング対策保護を設定する場合は、管理者はイン 

タフェースの背後にある適正な IP アドレスを指定します。[Get Interfaces with Topology]オプションは自動的にイ 

ンタフェースとそのトポロジを定義し、ネットワーク・オブジェクトを作成します。ファイアウォールはルーティング・テー 

ブルのエントリを読み取ってこの情報を取得します。 

マルチキャスト・アクセス制御 

マルチキャスト IP は、事前定義されたグループの受信者に単一のメッセージを送信します。この例としては、分散型 

の会議に参加している一連のホストへリアルタイムのオーディオやビデオの配信があります。 

マルチキャストは、選択した周波数にチューナを合わせて情報を受信するラジオやテレビに似ています。マルチキャ 

ストでは興味のあるチャンネルだけを聞き、他のチャンネルは聞きません。 

IP マルチキャスト・アプリケーションは、各データグラムの 1 つのコピー(IP パケット)を受信したいコンピュータのグルー 

プ宛に送信します。この方法では、データグラムを 1 人の受信者 (ユニキャスト・アドレス)ではなく、受信者のグルー 

プ(マルチキャスト・アドレス)に送信します。ネットワーク内のルータは、データグラムを必要としているルータとホス 

トにのみ転送します。 

IETF(Internet Engineering Task Force)は、以下を定義するマルチキャスト通信標準を開発しました。 

 

 

 

マルチキャスト・ルーティング・プロトコル 

動的な登録 

IP マルチキャスト・グループのアドレス指定 

マルチキャスト・ルーティング・プロトコル 

マルチキャスト・ルーティング・プロトコルは、マルチキャスト・グループ間で情報を伝達します。マルチキャスト・ルー 

ティング・プロトコルの例として、Protocol-Independent Multicast(PIM)、Distance Vector Multicast Routing 

Protocol(DVMRP)、Multicast Extensions to OSPF(MOSPF)などがあります。 

IGMP を使用した動的登録 

ホストは IGMP(Internet Group Management Protocol)を使用して、ホストが特定のマルチキャスト・グループに所 

属する必要があるかどうかを、最も近いマルチキャスト・ルータに通知します。ホストは、いつでもグループから抜け 

たりグループに参加したりできます。IGMP は RFC 1112 で定義されています。 

IP マルチキャスト・グループのアドレス指定 

IP アドレスの領域には、クラス A、クラス B、クラス C、クラス D の 4 つのセクションがあります。クラス A、B、C のア 

ドレスはユニキャスト・トラフィックのために使用されます。クラス D のアドレスは、マルチキャスト・トラフィック用に予 

約され、動的に割り当てられます。 

マルチキャスト・アドレスの範囲「224.0.0.0~239.255.255.255」は、IP マルチキャスト・トラフィックのグループ・アド 

レスまたは送信先アドレス専用です。宛先アドレスが「1110」で始まるすべての IP データグラムは IP マルチキャス 

ト・データグラムです。 


ラジオを特定の周波数にチューニングして、放送されている番組を受信するのと同じように、ホスト・インタフェースを 

「調整」して、特定のマルチキャスト・グループに送信されたデータグラムを受信できます。このプロセスはマルチキャ 

スト・グループへの参加と呼ばれます。 

マルチキャスト・アドレス範囲の残りの 28 ビットは、データグラムの送信先のマルチキャスト・グループを識別します。 

マルチキャスト・グループのメンバシップは動的です(ホストはいつでもグループに参加したり、グループから抜けた 

りできます)。マルチキャスト・データグラムの発信元アドレスは、常にユニキャスト発信元アドレスです。 

予約済みローカル・アドレス 

Internet Assigned Numbers Authority(IANA)は、「224.0.0.0~224.0.0.255」の範囲のマルチキャスト・グループ・ 

アドレスを、ルータによって転送されずに特定の LAN セグメント内のローカルで使用されるアプリケーション用に割り 

当てています。 

これらのアドレスはパーマネント・ホスト・グループと呼ばれます。以下の表は、予約済みのローカル·ネットワーク·マ 

ルチキャスト·グループの例です。 

ローカル・ネットワーク・マルチキャスト・グループの例 

マルチキャスト・アドレス 

目的 

224.0.0.1 すべてのホスト。このグループに送信される ICMP リクエスト(Ping)は、ネット 

ワーク上のすべてのマルチキャスト対応のホストによって応答される必要があ 

ります。すべてのマルチキャスト対応ホストは、すべてのマルチキャスト対応イ 

ンタフェースで起動時にこのグループに参加する必要があります。 

224.0.0.2 すべてのルータ。すべてのマルチキャスト・ルータは、すべてのマルチキャスト 

対応インタフェースでこのグループに参加する必要があります。 

224.0.0.4 すべての DVMRP ルータ。 

224.0.0.5 すべての OSPF ルータ。 

224.0.0.13 すべての PIM ルータ。 

予約されたマルチキャスト・アドレスの詳細については、IANA Web サイト 

(http://www.iana.org/assignments/multicast-addresses)を参照してください。 

インタフェースごとのマルチキャストの制限 

マルチキャスト対応のルータは、1 つのインタフェースから別のインタフェースにマルチキャスト・データグラムを転送 

します。SecurePlatform で実行される Security Gateway でマルチキャストを有効にすると、インタフェースごとにマ 

ルチキャスト・アクセスを制限することができます。これらの制限では、許可またはブロックするマルチキャスト・グ 

ループ(アドレスまたはアドレス範囲 )を指定します。制限は発信マルチキャスト・データグラムに対して適用されま 

す。 


発信 IGMP マルチキャスト・パケットのマルチキャスト・グループへのアクセスがインタフェースで拒否される場合は、 

着信パケットも拒否されます。 

マルチキャスト・データグラムのアクセス制限が定義されていない場合、1 つのインタフェースからゲートウェイに入っ 

た着信マルチキャスト・データグラムは、他のすべてのインタフェースから出ることが許可されます。 

インタフェースごとのアクセス制限を定義する以外に、マルチキャスト・トラフィックとサービスを許可するルールを 

ルール・ベースで定義し、ルールの宛先には必要なマルチキャスト・グループを指定する必要があります。 

VPN 接続 

マルチキャスト・トラフィックは暗号化して、複数の VPN トンネル・インタフェース( 同じ物理インタフェースに関連付け 

られた仮想インタフェース)を使用して定義された VPN リンク経由で送信できます。 

マルチキャスト·アクセス制御の設定 

マルチキャスト・アクセス制御を設定するには 

1. SmartDashboard からゲートウェイ·オブジェクトを選択します。 

2. [General Properties]ページから、ゲートウェイのバージョンが正しく指定されていることを確認します。 

3. [Topology]ページからインタフェースを選択して[Edit]をクリックしてください。 

4. [Interface Properties]ページの[Multicast Restrictions]タブから、[Drop Multicast packets by the following 

conditions]を選択します。 

5. 以下のいずれかのインタフェースのマルチキャスト・ポリシーを選択します。 

 

 

Drop multicast packets whose destination is in the list 

Drop all multicast packets except those whose destination is in the list 

6. [Add]をクリックしてマルチキャスト・アドレスの範囲を追加します。リストから選択したマルチキャスト・アドレス 

範囲のオブジェクトが[Add Object]ウィンドウに表示されます。 

7. [New]→[Multicast Address Range]をクリックします。[Multicast Address Range Properties]ウィンドウが 

表示されます。 

8. この範囲の名前を入力します。 

9. 「224.0.0.0~239.255.255.255」の範囲内で IP Address Range か Single IP Address を選択して IP アドレス 

範囲や単一 IP アドレスを定義します。 

10. [OK]をクリックします。名前付けられたマルチキャスト範囲は、[Add Object]ウィンドウで表示されます。 

11. [OK]をクリックします。名前付けられたマルチキャスト範囲は、[Interface Properties]→[Multicast 

Restrictions]ウィンドウの順に選択して表示します。 

12. [OK]をクリックし、[Interface Properties]ウィンドウを選択し、再度ゲートウェイ・ウィンドウを閉じます。 


13. ルール・ベースにマルチキャスト・アドレスの範囲を許可するルールを追加します。ルールの宛先として、手順 5 

で定義した範囲を指定します。 

14. セキュリティ・ポリシーを保存して、[Policy]→[Install]の順に選択してインストールします。 

Microsoft Networking Services のセキュリティ 

Microsoft Networking Services(CIFS)の保護 

CIFS(Common Internet File System)は、ネットワーク上のサーバ・システムにファイル共有と印刷サービスを要 

求するのに使用するプロトコルです。CIFS は SMB(Server Message Block)プロトコルの拡張です。CIFS は、TCP 

ポート「139」を使用する NETBIOS セッション(nbsession)サービスの基本となるトランスポート層として使用されま 

す。Windows ネットワーキングでは、CIFS は Microsoft-DS プロトコル(ポート「445」)でネットワーキングおよびファ 

イル共有に使用されます。CIFS の詳細については、http://samba.org/cifs/を参照してください。 

Windows サーバは、管理上の理由からデフォルトの共有 (C$, ADMIN$, PRINT$)がオープンになっているので、 

ファイル・サーバに対するパスワード攻撃などの内部攻撃の格好の標的になります。 

Security Gateway は、セキュリティ・サーバを使用せずに検査モジュールで Microsoft Networking Services のセキ 

ュリティを確保します。これにより、LAN セキュリティ(Fast Ethernet と Gigabit Ethernet)に必要な高性能要件を満 

たすことが可能になります。 

CIFS リソースを使用して、CIFS 接続に対して以下のセキュリティ・チェックを実行できます。 

 

 

 

 

プロトコルの正確性を確認する 

クライアントが発行した CIFS メッセージと NETBIOS メッセージが境界を越えた場所を示すのを防止する 

CIFS サーバとディスク共有のリストへのアクセスを制限する 

ディスク共有へのアクセスをログに記録する 

サーバと共有へのアクセス制限 (CIFS リソース) 

サーバと共有へのアクセスを制限するには 

1. 新しい CIFS リソースを定義します。 

2. CIFS リソースを設定します。[Allowed Disk¥Print Shares]は、許可された CIFS サーバとディスク共有のリスト 

です。ワイルドカードを使用できます。[Add]、[Edit]、または[Delete]を選択してリストを変更します。 

たとえば、CIFS サーバ BEATLES 上のディスク共有 PAUL へのアクセスを許可するには、以下の手順に従い 

ます。 

a) [Add]ボタンをクリックして[Server Name]フィールドに「BEATLES」、[Share Name]フィールドに「IPC$」 

と入力します。[OK]をクリックします。 

b) 再度 [Add]ボタンをクリックして[Server Name]フィールドに「BEATLES」、[Share Name]フィールドに 

「PAUL」と入力します。[OK]をクリックします。 

3. 新しいルールを追加します。[Service]の下に、設定したリソースと共に「nbsession」または「Microsoft-DS」を 

追加します。 

重要 - コンテンツ検査を行うサービス・オブジェクトのプロトコルは、削除または変更しないで 

ください。サービスを変更すると保護機能が機能しなくなります。 



第 2 章 

認証 


Identity Awareness 24 

導入 31 

Identity Awareness のシナリオ 32 

Identity Awareness の設定 40 

Identity Awareness 

Identity Awareness は、簡単に導入し拡張できる高性能な認証ソリューションです。Active Directory と非 Active 

Directory の両方のネットワーク、そして従業員やゲスト・ユーザにも適用できます。Identity Awareness を使用する 

ことで、ID に基づいて社員とゲスト・ユーザのネットワーク・アクセスの制御と監査が可能です 

現時点では Firewall Software Blade と Application Control Software Blade で利用可能で、将来的に他のブレー 

ドでもサポートされる予定です。 

Identity Awareness のネットワーク・アクセスと監査の設定は簡単です。この設定は、ネットワークの場所だけでなく、 

次の条件に基づきます。 

 

 

ユーザ ID 

コンピュータ ID 

Identity Awareness で送信元や送信先を識別すると、ユーザやマシンの IP アドレスが名前で表示されます。たとえ 

ば、このプロパティに基づくファイアウォール・ルールを作成するといったこともできるようになります。特定のユーザ 

が特定のマシンからトラフィックを送信する場合にこのユーザにファイアウォールを定義したり、トラフィックを送信す 

るマシンに関係なく特定ユーザにファイアウォールを定義することが可能です。 


SmartDashboard からアクセス・ロール・オブジェクトを使用して、1 つのオブジェクトとしてユーザ、マシン、ネット 

ワークの場所を定義します。 

Identity Awareness を使用することで、IP アドレスだけでなくユーザおよびマシン名に基づいたユーザのアクティビ 

ティを SmartView Tracker と SmartEvent で確認できます。 

Identity Awareness は以下の情報から ID を取得します。 

 

 

 

 

 

AD Query 

Browser-Based Authentication 

Endpoint Identity Agent 

Terminal Servers Identity Agent 

Remote Access 

以下の表では、用途や導入の検討事項によって、アイデンティティ・ソースが異なることを表わしています。検討事項 

に応じて、単一のアイデンティティ・ソースを使用するか、複数のアイデンティティ・ソースを併せて使用するかを 

Identity Awareness で設定できます。 


ソース説明推奨用途導入の検討事項 

AD Query 

Browser-Based 

Authentication 

Microsoft Active 

Directory(AD)から 

シームレスにアイデン 

ティティ・データを取得 

Captive Portal から 

未認識ユーザを認証 

するために Web ポー 

タルへ送信 

Transparent 

Kerberos 

Authentication を設 

定している場合、ユー 

ザに Captive Portal 

のユーザ名 /パスワー 

ド入力ページが表示 

される前に、ブラウザ 

でアイデンティティ情 

報を取得してユーザ 

に透過的な認証が試 

行されます。 

 

 

 

アイデンティティ・ベース 

の監査とログ記録 

アイデンティティ情報を 

インターネット・アプリ 

ケーション・コントロール 

に利用 

内部ネットワーク 

での基本的アイ 

デンティティの実 

施 

Captive Portal 

 

 

AD ユーザ以外に対しア 

イデンティティ・ベースの 

実施 (Windows 以外の 

ユーザとゲスト・ユーザ) 

Endpoint Identity 

Agents の導入 

Transparent Kerberos 

Authentication 

AD 環境では、ユーザがす 

でにログインしている場合 

は最初のログイン(SSO) 

に使われた認証情報から 

アイデンティティ情報をブラ 

ウザで取得 

 

 

 

簡単な設定 (AD 管理者認証 

情報は必要 ) 管理者ユーザを 

サード・パーティ製デバイス 

のサービス・アカウントとして 

使用させたくない場合、AD 

Query を AD 管理者権限なし 

で設定可能。sk43874 

(http://supportcontent.che 

ckpoint.com/solutions?id=s 

k43874)を参照。 

デスクトップ・ユーザ向け 

AD ユーザとマシンの 

みを検出 

アイデンティティの実施目的 (ロ 

グ記録目的ではない) 

Identity Agent 

SSO で安全に認証を 

行うライト版エンドポ 

イント・エージェント 

 

 

 

アイデンティティをデー 

タ・センター保護に利用 

非常に重要なサーバ 

の保護向け 

アイデンティティ 

検知の正確性が 

重要な環境 

『R75.40VS Identity 

Awareness 管理ガイド 

(http://supportcontent.checkpo 

int.com/solutions?id=sk76540 

)の「アイデンティティ・ソースの 

選択」の章を参照してください。 

Terminal Servers 


同じ IP アドレスから接 

続する複数ユーザを 

認識するため、 

Terminal/Citrix サー 

ビスをホスティングす 

るアプリケーション・サ 

ーバに Terminal 

Server Identity 

Agent がインストール 

されます。 

 

Terminal 

Server/Citrix 環 

境を使うユーザ 

の認識 

Remote Access 

IPSec VPN オフィス・ 

モードでアクセスする 

ユーザをシームレス 

に認証 

 

VPN で組織にア 

クセスするユー 

ザにアイデンティ 

ティ・ベースで認 

識してセキュリテ 

ィ・ポリシーを適 

用 


アイデンティティを識別するゲートウェイは、取得するアイデンティティ情報をほかのアイデンティティ識別を行うゲー 

トウェイと共有することができます。共有することで、何度もアイデンティティ認証が必要なユーザが実際に認証を行 

うのは最初の一度で済みます。詳細については、「高度な導入」を参照してください。 

AD Query 

AD Query 簡単に導入できるクライアントレスのアイデンティティ取得メソッドです。これは Active Directory 統合に基 

づいていて、ユーザに完全に透過的な方法です。 

AD Query のオプションは、以下の状況において操作します。 

 

 

識別されたアセット(ユーザ/マシン)が、認証を必要とする内部リソースにアクセスしようとしたとき。たとえば、ユ 

ーザがログインする、画面のロック解除を行う、ネットワーク・ドライブを共有する、Exchange でメールを確認す 

る、内部ポータルにアクセスするといった場合です。 

AD Query がアイデンティティ取得の方法として選択されているとき。 

この技術は、Active Directory Security Event ログにクエリを行い、そこからネットワーク・アドレスにマッピングを行 

うユーザおよびマシンを抽出する仕組みです。Microsoft プロトコルである WMI(Windows Management 

Instrumentation)に基づいています。Security GatewayはActive Directoryドメイン・コントローラと直接通信を行い、 

個別のサーバは必要ありません。 

 

 

クライアントまたは Active Directory サーバ上にインストールする必要はありません。 

Identity Awareness では、Windows Server 2003 および 2008 の Microsoft Active Directory への接続がサポ 

ートされています。 

AD Query の仕組み - ファイアウォール・ルール・ベースの例 

1. セキュリティ・イベント・ログを受け取れるように Security Gateway を Active Directory ドメイン・コントローラに登 

録します。 

2. ユーザが、Active Directory 認証情報を使ってデスクトップ・コンピュータにログインします。 

3. Active Directory ドメイン・コントローラから、セキュリティ・イベント・ログが Security Gateway に送信されます。 

Security Gateway で、ユーザおよび IP 情報を取り出します(ユーザ名 @ドメイン名、マシン名、発信元 IP アドレ 

ス)。 

4. ユーザがインターネット接続を実行します。 

5. Security Gateway でユーザが認識されていることを確認し、ポリシーに基づいてインターネットへのアクセスを 

許可します。 


Browser-Based Authentication 

Browser-Based Authentication は、認識していないユーザからのアイデンティティを取得します。以下の取得方法 

を設定できます。 

 

 

Captive Portal 

Transparent Kerberos Authentication 

Captive Portal はイントラネット・リソースへのアクセスを許可する前に、Web インタフェースからユーザを認証する 

シンプルな方法です。ユーザが保護されているリソースにアクセスしようとすると Web ページが表示され、続行する 

ためにはユーザが必要な情報を入力する必要があります。 

Transparent Kerberos Authentication を使用すると、Captive Portal のユーザ名とパスワードを入力するページが 

開く前に、ブラウザで ID 情報を取得して透過的なユーザ認証の試みが行われます。このオプションを設定すると、 

Captive Portal でブラウザからの認証データを要求します。認証に成功すると、ユーザは元のアクセス先にリダイレ 

クトされます。認証が失敗した場合、ユーザは Captive Portal で認証情報を入力する必要があります。 

Captive Portal で上記のオプションが実行されるのは、ユーザが Web にアクセスしようとする際に以下の条件がす 

べて当てはまる場合です。 

 

 

アイデンティティ取得の方法として Captive Portal を選択していて、ルールにリダイレクトのオプションが設定さ 

れている場合。 

ファイアウォール/アプリケーション・ルール・ベースのアクセス・ロールのルールに基づき、識別されないユーザ 

がリソースにアクセスできない状態の場合。また、ユーザが識別された後はリソースにアクセスできるようにな 

る場合。 

Transparent Kerberos Authentication が設定されていて、認証が失敗した場合。条件がすべて当てはまる場合、 

Captive Portal でユーザのアイデンティティが取得されます。 

ユーザは Captive Portal から以下を実行できます。 

 

 

 

既存のユーザ名とパスワードがある場合は入力する。 

ゲスト・ユーザの場合、必要な認証情報を入力する。必要な入力情報の設定は[Portal Settings]で行います。 

Identity Awareness エージェントをダウンロードするリンクをクリックする。この設定は[Portal Settings]で行い 

ます。 

Captive Portal の仕組み - ファイアウォール・ルール・ベース 

次の例は、下の図にある各番号に該当する説明です。 

1. ユーザが内部データ・センターへアクセスしたいと考えます。 


2. Identity Awareness でユーザが認識されず、ブラウザで Captive Portal にリダイレクトされます。 

3. ユーザが通常のオフィスで使用する認証情報を入力します。認証情報は、AD またはチェック・ポイントでサポー 

トされている認証メソッドを使用できます(LDAP、チェック・ポイント内部認証情報、RADIUS など)。 

4. 認証情報が Security Gateway に送られます。この例では AD サーバに対して確認が行われます。 

5. ユーザが当初アクセスしようとした URL にアクセスします。 

Transparent Kerberos Authentication の仕組み 

1. ユーザが内部データ・センターへアクセスしたいと考えます。 

2. Identity Awareness でユーザが認識されず、ブラウザで[Transparent Authentication]ページにリダイレクトさ 

れます。 

3. [Transparent Authentication]ページで、ブラウザでの認証実行を要求します。 

4. Active Directory から Kerberos チケットを取得し、ブラウザから[Transparent Authentication]ページに渡され 

ます。 

5. [Transparent Authentication]ページからチケットが Security Gateway に送信され、ユーザ認証が行われます。 

その後、ユーザがアクセスしたい URL にリダイレクトされます。 

6. Kerberos 認証が失敗した場合は、Identity Awareness によってブラウザから Captive Portal にリダイレクトされ 

ます。 


Identity Agent には以下の 2 種類があります。 

 

 

Identity Agent – ユーザのコンピュータにインストールする専用クライアント・エージェントで、アイデンティティを 

取得して Security Gateway にレポートする働きをします。 

Terminal Servers Identity Agent - Citrix/Terminal サービスをホスティングするアプリケーション・サーバにイン 

ストールするエージェント。ソースが同じ IP アドレスのユーザを個々に識別します。 


Check Point Endpoint Identity Agent 

Identity Agent の使用には、以下のような利点があります。 

 

 

 

 

 

ユーザとマシンのアイデンティティ 

最小限のユーザ操作 - 必要な設定はすべて管理者が行い、ユーザの入力は必要ありません。 

シームレスな接続 – ドメインにユーザがログインすると、Kerberos SSO を使用した透過的な認証が行われま 

す。SSO を使用したくない場合は、ユーザが手動で認証情報を入力します。入力した情報は保存することが可 

能です。 

ローミング時の接続性 - クライアント上エージェントの移動検知、自動再接続機能により、シームレスにネット 

ワーク間を移動できます。 

セキュリティの向上 - 特許を取得したパケットのタグ付け技術を利用して、IP スプーフィングを防御できます。 

また、Endpoint Identity Agent では高度な(Kerberos ベースの)ユーザおよびマシン認証を実現します。 

以下の種類の Identity Agent をインストールできます。 

 

 

 

Full - インストールには管理者権限が必要です。管理者権限を持たないユーザがインストールすると、自動的 

に Light 版のインストールに変わります。Full バージョンでは、パケットのタグ付けとマシン認証が利用できま 

す。 

Light - インストールに管理者権限は必要ありません。パケットのタグ付けとマシン認証は設定できません。こ 

のバージョンでは Microsoft Windows と Mac OS X がサポートされています。サポートされているバージョンの 

情報については、『R75.40VS Release Notes』を参照してください . 

Custom - カスタマイズ版インストール・パッケージ。 

詳細については、「Identity Agent の事前パッケージ化」を参照してください。 

Endpoint Identity Agent のインストールは、ユーザが Captive Portal からダウンロードすることも、管理者が配布ソ 

フトウェアや別のメソッド(クライアントをダウンロードする場所を伝えるなど)を使って MIS/DMG ファイルをコンピュー 

タに配布することもできます。 

Identity Agent のダウンロード方法 - 例 

Captive Portal から Identity Agent をダウンロードするには、以下の手順に従います。 

1. ユーザが認証情報を使って PC にログインし、内部データ・センターにアクセスしたいと考えます。 

2. Identity Awareness が有効な Security Gateway でユーザを認識していないため、ユーザは Captive Portal に 

リダイレクトされます。 


3. Security Gateway からユーザに Captive Portal のページを表示します。このページには Endpoint Identity 

Agent をダウンロードするリンクが表示されます。 

4. ユーザは Captive Portal から Endpoint Identity Agent をダウンロードして、PC にインストールします。 

5. Endpoint Identity Agent クライアントが Security Gateway に接続します。 

Kerberos の SSO が設定されている場合、ユーザは自動的に接続します。 

6. ユーザが認証され、ファイアウォール・ルール・ベースに基づき Security Gateway からユーザがアクセスしたい 

宛先につながります。 

導入 

Identity Awareness は通常、組織の境界ゲートウェイで有効に設定します。また、多くの場合 Application Control 

と併用します。 

内部データ・センターを保護するために、データ・センターのような内部サーバの前にある内部ゲートウェイ上で 

Identity Awareness を有効にできます。この場合、境界ゲートウェイでの設定に追加するかたちでも、境界ゲートウ 

ェイがなくても可能です。 

Identity Awareness は、ブリッジ・モードでもルーティング・モードでも導入できます。 

 

 

ブリッジ・モードでは、既存のサブネットを使用でき、ホストの IP アドレスを変更する必要はありません。 

ルーティング・モードでは、ゲートウェイはネットワーク・インタフェースに接続した異なるサブネットを持つルータ 

として動作します。 

冗長性を持たせるために、ゲートウェイ・クラスタを「Active-Standby(HA)」モードまたは「Active-Active(LS)」モー 

ドで導入することができます。Identity awareness では ClusterXL の HA モードおよび LS モードがサポートされてい 

ます。 

複数のゲートウェイに Identity Awareness を導入する場合は、アイデンティティ情報をゲートウェイ間で共有するよう 

に設定できます。複数導入するケースには、以下のような状況が考えられます。 

 

 

 

境界ゲートウェイとデータ・センター・ゲートウェイに導入する。 

複数のデータ・センター・ゲートウェイに導入する。 

ブランチ・オフィスのゲートウェイと中央ゲートウェイに導入する。 

ほかのゲートウェイと共有するアイデンティティ情報を取得するゲートウェイは、1 つまたは複数設定できます。 

さらに、異なるマルチ・ドメイン・サーバで管理されたゲートウェイ間でのアイデンティティ情報の共有も可能です。 


Identity Awareness のシナリオ 

このセクションでは、Identity Awareness を使ってユーザがネットワーク内のリソースを利用できるようにするシナリ 

オを考えます。 

最初の 3 つのシナリオは、ファイアウォール・ルール・ベース環境でアイデンティティを取得する場合の異なる状況に 

ついて説明します。最後のシナリオは、Application Control 環境で Identity Awareness を使用する場合について説 

明します。 

Active Directory ユーザのアイデンティティ取得 

組織で Microsoft Active Directory を従業員データの主要ユーザ・リポジトリとして使用する場合、AD Query でアイ 

デンティティを取得することができます。 

AD Query オプションを設定してアイデンティティ取得するということは、すべての Active Directory ユーザに対してク 

ライアントレスな従業員のアクセスを設定することになります。アクセス・オプションを実施するには、アクセス・ロー 

ル・オブジェクトを含むファイアウォール・ルール・ベースでルールを作成します。アクセス・ロール・オブジェクトでは、 

ユーザ、マシン、ネットワークの場所が 1 つのオブジェクトとして定義されます。 

ログインおよび認証を行った Active Directory ユーザは、ファイアウォール・ルール・ベースのルールに基づいて、リ 

ソースへのシームレスなアクセスが可能になります。 

AD Query がどのように機能するか、シナリオで考えてみましょう。 

シナリオ: ノート PC のアクセス 

John Adams は、ACME 社の人事関連パートナです。ACME 社の IT 担当者は、HR サーバへのアクセスを特定の 

IP アドレスだけに制限して、マルウェア感染や不正アクセスなどのリスクを最小限に抑えたいと思っています。その 

ためゲートウェイ・ポリシーでは、静的 IP アドレス「10.0.0.19」に割り当てられている John のデスクトップ・マシンから 

のアクセスだけが許可されます。 

John は新しくノート PC を持つことになり、社内のどこからでも HR Web サーバにアクセスできるようにしたいと希望 

しています。IT 担当者はノート PC に静的 IP アドレスを割り当てましたが、このために John は自分のデスクからし 

かアクセスできません。現在のルール・ベースには、John Adams が静的 IP アドレス「10.0.0.19」のノート PC を使っ 

て HR Web サーバにアクセスすることを許可するルールが設定されています。 

Name Source Destination VPN Service Action TRACK 

Jadams to 

HR Server 

Jadams_PC HR_Web_Server Any Traffic Any Accept log 

John は、オフィス内のどこに移動しても HR Web サーバにアクセスできるようにしたいと希望しています。 

これを実現させるためには、IT 担当者は次の手順を実行します。 

1. ゲートウェイで Identity Awareness を有効にして、AD Query をアイデンティティ・ソースの 1 つとして選択し、ポ 

リシーをインストールします。 

2. SmartView Tracker のログをチェックして、システムで John Adams を識別していることを確認します。 

[Welcome to the network]ウィンドウが開きます。 

3. アクセス・ロール・オブジェクトをファイアウォール・ルール・ベースに追加し、どの場所 /マシンからでも John 

Adams が HR Web サーバにアクセスできるようにします。 

4. システムでアクセス・ロールのアクションを追跡している様子を SmartView Tracker で確認します。 


ログでのユーザ識別 

SmartView Tracker ログには、システムで John Adams が IP 10.0.0.19 のユーザだと認識されていることが示され 

ます。 

このログ・エントリでは、システムでソース IP を CORP.ACME.COM からのユーザ John Adams にマッピングしてい 

ることがわかります。これは、AD Query から取得するアイデンティティを使用しています。 

注 - AD Query は、AD アクティビティに基づいてユーザのマッピングを行います。ユーザのア 

クティビティによって、これには時間がかかる場合があります。John Adams が認識されない 

場合 (IT 管理者がログを確認しない場合 )、コンピュータをロック/ロック解除してみる必要があ 

ります。 

アクセス・ロールの使用 

John Adams が、どのマシンからでも HR Web サーバにアクセスできるようになるためには、管理者がルール・ベー 

スの現在のルールを変更する必要があります。これを行うには、任意のネットワーク/マシンからの特定ユーザとして 

「John Adams」を指定したアクセス・ロール(エラー! ブックマークが定義されていません。ページの「アクセス・ロー 

ルの作成」を参照 )を John Adams に対して作成する必要があります。 

その後、IT 管理者が現在のルールのソース・オブジェクトを HR_Partner アクセス・ロール・オブジェクトに置き換え、 

ポリシーをインストールして変更を反映させます。 


HR Partner 

Access 

HR_Partner HR_Web_Server Any Traffic Any accept None 

IT 管理者は、その後静的 IP を John Adams のノート PC から削除し、動的 IP を設定します。HR_Partner アクセス・ 

ロールで、任意のマシン/ネットワークからのユーザ「John Adams」が HR Web サーバにアクセスできる設定になっ 

ているため、Security Gateway により、動的 IP のノート PC を使用して John Adams が HR Web サーバにアクセ 

スできるようになります。 


Browser-Based Authentication でのアイデンティティ取得 

Browser-Based Authentication では、以下のような認識していないユーザからアイデンティティを取得することがで 

きます。 

 

 

Linux コンピュータや iPhone といった不明デバイスからネットワークに接続する管理ユーザ 

パートナや契約社員といった管理されていないゲスト・ユーザ 

認識していないユーザが、認証されたユーザだけがアクセスできるネットワークのリソースにアクセスを試みると、情 

報が自動的に Captive Portal へ送られます。Transparent Kerberos Authentication が設定されている場合、 

Captive Portal が表示される前に、SSO を利用してドメインにログインしたユーザの識別がブラウザで行われます。 

Browser-Based Authentication がどのように機能するか、またそれぞれの状況で必要な設定をシナリオごとに考 

えてみましょう。 

シナリオ: 管理対象外デバイスからの認識済みユーザ 

ACME の CEO は、最近個人用に iPad を購入しました。この購入した iPad から、内部の Finance Web サーバにア 

クセスしたいと考えています。iPad は Active Directory ドメインのメンバではないので、AD Query でシームレスに認 

識できません。オフィスのコンピュータでは、Captive Portal で AD 認証情報を入力し、問題なくアクセスすることがで 

きます。リソースへのアクセスは、ファイアウォール・ルール・ベースのルールに基づいています。 

必要な SmartDashboard の設定 


1. ゲートウェイで Identity Awareness を有効にして、アイデンティティ・ソースの 1 つに[Browser-Based 

Authentication]を選択します。 

2. [User Access]セクションの[Portal Settings]ウィンドウで、[Name and password login]が選択されているこ 

とを確認します。 

3. ファイアウォール・ルール・ベースに新しいルールを作成して、Jennifer McHanry がネットワークの宛先にアクセ 

スできるように設定します。[Action]には[access]を指定します。 

4. [Action]カラムを右クリックし、[Edit Properties]を選択します。 

[Action Properties]ウィンドウが開きます。 

5. [Redirect http connections to an authentication (captive) portal. Note: redirection will not occur if the 

source IP is already mapped to a user]チェックボックスを選択します。 


7. ルールの[Source]で、右クリックして新しいアクセス・ロールを作成します。 

A) アクセス・ロールの[Name]を入力します。 

B) [Users]タブで[Specific users]を選択して「Jennifer McHanry」を指定します。 

C) [Machines]タブで、[Any machine]が選択されていることを確認します。 

D) [OK]をクリックします。 

アクセス・ロールがルールに追加されます。 


CEO 

Access 

Jennifer_McHanry Finance_Server Any 

Traffic 

http 

accept(display 

captive portal) 

Log 

ユーザの操作 

Jennifer McHanry は次の手順を実行します。 

1. iPad から Finance サーバにアクセスします。 

このユーザは識別されていないためサーバにアクセスできません。そのため Captive Portal が開きます。 


2. Captive Portal で、通常のシステム認証情報を入力します。 


3. Finance サーバにアクセスできるようになります。 

ログのユーザ認識 

SmartView Tracker ログには、システムで iPad からの Jennifer McHanry が認識されていることが示されます。 

このログ・エントリでは、システムでソース "Jennifer McHanry" をユーザ名にマッピングしていることがわかります。 

これは、AD Query から取得するアイデンティティを使用しています。 

シナリオ: 管理対象外デバイスからのゲスト・ユーザ 

ACME 社にはゲストが頻繁に訪れます。訪問者には、持参したノート PC からインターネットにアクセスできるよう許 

可したいと CEO は考えています。 

IT 管理者である Amy は、未登録ゲストがポータルにログインしてネットワークにアクセスできるよう、Captive Portal 

を設定します。ファイアウォール・ルール・ベースでルールを作成し、認証されていないゲストにはインターネット・アク 

セスのみ許可します。 

ゲストがインターネットにアクセスしようとすると、まず Captive Portal が開きます。ゲストは名前、企業名、メール・ア 

ドレス、電話番号をポータルに入力します。その後、ネットワーク・アクセスについての使用許諾条件に同意します。 

同意すると、特定の時間だけインターネットにアクセスできるようになります。 

必要な SmartDashboard 設定 



1. ゲートウェイで Identity Awareness を有効にして、アイデンティティ・ソースの 1 つに[Browser-Based 

Authentication]を選択します。 


2. [User Access]セクションの[Portal Settings]ウィンドウで、[Unregistered guest login]が選択されていること 


3. [Unregistered guest login - Settings]をクリックします。 

4. [Unregistered guest login - Settings]ウィンドウで、以下を設定します。 

• ゲストの入力必須データ。 

• ゲストがネットワーク・リソースにアクセスできる期間。 

• ユーザの使用許諾の同意が必要かどうか、またそのテキスト内容 

5. ファイアウォール・ルール・ベースに新しいルールを 2 つ作成します。 

A) 認識されるユーザは組織からインターネットにアクセスできるようにルールを作成します(ない場合 )。 

i. ルールの[Source]で、右クリックして新しいアクセス・ロールを作成します。 

ii. 

iii. 

iv. 

アクセス・ロールの[Name]を入力します。 

[Users]タブで[All identified users]を選択します。 

[OK]をクリックします。 


Name Source Destination VPN Service Action 

Internet Identified_users ExternalZone Any 

Traffic 

http 

accept 

B) 認識されないユーザはインターネットだけにアクセスできるようにルールを作成します。 

v. ルールの[Source]で、右クリックして新しいアクセス・ロールを作成します。 

vi. 

vii. 

viii. 

ix. 

アクセス・ロールの[Name]を入力します。 

[Users]タブで[Specific users]を選択し、[Unauthenticated Guests]を指定します。 

[OK]をクリックします。アクセス・ロールがルールに追加されます。 

[Action]には[access]を指定します 

x. [Action]カラムを右クリックして、[Edit Properties]を選択します。[Action Properties]ウィンドウが 

開きます。 

xi. 

xii. 

[Redirect http connections to an authentication (captive) portal. Note: redirection will not 

occur if the source IP is already mapped to a user]を選択します。 

[OK]をクリックします。 


Guests Guests ExternalZone Any 

Traffic 

http 

accept(display captive 

portal) 


ACME のゲスト・ユーザとして、次の手順を実行します。 

1. ノート PC からインターネット・サイトへアクセスします。 

このユーザは識別されていないためインターネットにアクセスできません。そのため Captive Portal が開きま 

す。 

2. ID 情報をを Captive Portal に入力し、ネットワーク・アクセスの使用許諾条件を読んで同意します。 


3. ユーザは、特定の時間だけインターネットのブラウジングができるようになります。 

ログのユーザ認識 

以下の SmartView Tracker ログは、システムがどのようにゲストを識別するかを表しています。 


このログ・エントリは、システムがユーザ ID で送信元 IP アドレスをマップすることを表します。ユーザが Captive 

Portal で「ゲスト」として識別されたので、この場合に ID は「ゲスト」です。 

Identity Agent でのアイデンティティ取得 

シナリオ: Endpoint Identity Agent の導入とユーザ・グループ・アクセス 

ACME 社では、Finance チームだけが Finance Web サーバにアクセスできるよう徹底したいと考えています。従来 

のルール・ベースでは、静的 IP アドレスを使って Finance チームのアクセスを定義していました。 

IT 管理者の Amy は、Endpoint Identity Agent を活用して以下のようにしたいと考えています。 

 

 

 

Finance のユーザは、SSO でログインするとそれ以降自動的に認証されるようにする(Microsoft Active 

Directory にビルトインされている Kerberos を使用 )。 

組織の広範囲にアクセスするユーザは Finance Web サーバに継続的にアクセスできるようにする。 

Finance Web サーバへのアクセスは、IP スプーフィング攻撃を防御してより安全に設定する。 

Amy は、Finance チームのユーザには Captive Portal から Endpoint Identity Agent をダウンロードしてもらいたい 

と考えます。この場合、以下の設定が必要です。 

 

 

 

Identity Agent を Identity Awareness のアイデンティティ・ソースにします。 

Financeグループへのエージェント導入を Captive Portal から行います。IPスプーフィング攻撃を阻止するため 

に Full Identity Agent を導入する必要があります。IP スプーフィング攻撃の保護は、クライアント側での設定は 

不要です。 

すべての管理対象マシンとすべての場所に対して、Finance ユーザのアクセス・ロールを持つルール・ベース 

のルールを、IP スプーフィング保護を有効にして設定します。 

設定を完了してポリシーをインストールすると、Finance Web サーバにアクセスするユーザは Captive Portal が表 

示されて Endpoint Identity Agent をダウンロードできます。 



1. ゲートウェイで Identity Awareness を有効にして、アイデンティティ・ソースに[Identity Agents]と 

[Browser-Based Authentication]を選択します。 

2. Browser-Based Authenticationの[Settings]ボタンをクリックします。 

3. [User Access]セクションの[Portal Settings]ウィンドウで、[Name and password login]を選択します。 

4. ポータルの[Identity Agent Deployment]で、[Require users to download]を選択し、[Identity Agent - Full] 

オプションをクリックします。 

注 – これで、すべてのユーザに Endpoint Identity Agent が設定されます。Identity Agent 

のダウンロードは、特定のグループに設定することもできます。 

5. Kerberos SSO を設定します。 

6. ファイアウォール・ルール・ベースに、Finance チームのユーザだけが Finance Web サーバにアクセスできるよ 

うにルールを作成し、ポリシーをインストールします。 

A) ルールの[Source]で、右クリックして新しいアクセス・ロールを作成します。 

B) アクセス・ロールの[Name]を入力します。 

C) [Networks]タブで[Specific users]を選択して「Active Directory Finance」ユーザ・グループを追加します。 

D) [Users]タブで[All identified users]を選択します。 

E) [Machines]タブで、[All identified machines]を選択し、[Enforce IP spoofing protection (requires Full 

Identity Agent)]を選択します。 

F) [OK]をクリックします。 




Finance 

Web 

Finance_dept Finance_web_server Any 

Traffic 

http 

https 

accept 

Server 



Finance チームのユーザは次の手順を実行します。 

1. Finance Web サーバにアクセスします。 

ユーザは識別されていないためサーバにアクセスできません。そのため Captive Portal が開きます。Endpoint 

Identity Agent をダウンロードするリンクが表示されます。 

2. ユーザはリンクをクリックして Identity Agent をダウンロードします。 

ユーザは自動的にゲートウェイに接続されます。ウィンドウが開き、サーバを信頼するようユーザに要求します。 

注 - ユーザは、ファイル名ベースのサーバ検出オプションを使用した Identity Awareness 

機能を持つ Security Gateway に接続します。このため、トラスト・ウィンドウが開きます。ユ 

ーザのトラスト確認を必要としないサーバ検出メソッドについての詳細は、エラー! ブック 

マークが定義されていません。ページの「サーバの検出とトラスト」を参照してください。 

3. [OK]をクリックします。ユーザは自動的に Finance Web サーバに接続されます。 

ユーザは、特定の時間だけインターネットの閲覧ができるようになります。 


次のステップ 

Identity Agent に設定できるその他のオプションは以下のとおりです。 

 

Identity Agent が、Identity Awareness を備えた Security Gateway にどのように接続し、信頼するかを 

決定するメソッド。詳細については、「サーバの検出とトラスト」を参照してください。このシナリオでは、フ 

ァイル名のサーバ検出メソッドが使われています。 

マシンの識別を活用するアクセス・ロール(「アクセス・ロールの作成」を参照 )。 

ユーザがクライアント設定にアクセスできないようにするエンド・ユーザ・インタフェース保護。 

 

クライアント・インストールをユーザが一定期間延ばせるオプション、さらにユーザに条件同意を求めるオ 

プション。「ユーザ・アクセス」を参照してください。 

端末サーバ環境でのアイデンティティ取得 

シナリオ: Terminal Server 経由でインターネットにアクセスするユーザの識別 

ACME 社では、ユーザが Terminal Server 経由でのみインターネットにアクセスするよう、新しくポリシーを定義しま 

した。ACME 社では、Sales チームだけが Facebook にアクセスできるよう徹底したいと考えています。従来のルー 

ル・ベースでは、静的 IP アドレスを使って Facebook のアクセスを定義していましたが、今後はすべての接続が 

Terminal Server の IP アドレス経由になります。 

IT 管理者の Amy は、Terminal Server のソリューションを活用して以下のようにしたいと考えています。 

 

 

 

Sales ユーザが Terminal Server にログインすると、Identity Awareness で自動的に認証される。 

インターネットへの接続をすべて認識およびログ記録する。 

Facebook へのアクセスを Sales チームのユーザのみに制限する。 

Terminal Server ソリューションを有効にするには、以下を実行する必要があります。 

 

 

 

 

Terminal Server/Citrix Identity Agent を Identity Awareness のアイデンティティ・ソースにします。 

Terminal Server Identity Agent を各 Terminal Server にインストールします。 

Terminal Server Identity Agent と Identity Server 間の共有秘密鍵を設定します。 

設定を完了してポリシーをインストールすると、Terminal Server にログインしてインターネットにアクセスするす 

べてのユーザが識別され、Sales チームのユーザのみが Facebook にアクセスできるようになります。 

Application Control と URL Filtering でのアイデンティティ取得 

Identity Awareness と Application and URL Filtering を併用して、チェック・ポイント・ゲートウェイでのユーザ認識、 

マシン認識、アプリケーション認識を設定できます。これらの機能は、以下のプロセスで連動します。 

 

 

 

ルールのソースとして、Application and URL Filtering ルールの Identity Awareness アクセス・ロールを使用 

します。 

アプリケーションにアクセスしようとするユーザのアイデンティティを取得するには、すべてのタイプのアイデン 

ティティ・ソースを使用できます。 

SmartView Tracker ログと SmartEvent イベントで、各アプリケーションにアクセスするユーザと IP アドレスを 

確認できます。 

シナリオ: Application Control ログのユーザの識別 

ACME 社では、Identity Awareness を使ってアウトバウンドのアプリケーション・トラフィックをモニタリングし、従業員 

のアクティビティを監視したいと考えています。これを行うには、まず IT 管理者が Application Control と Identity 

Awareness を有効に設定する必要があります。その後、SmartView Tracker と SmartEvent のログで、トラフィック 

のアイデンティティ情報が表示されるようになります。 


次に、IT チームでルールを追加し、Application Control ポリシーで特定のアプリケーションをブロックする、または別 

の方法で追跡し、さらに効果的な設定を行います。『R75.40VS Application Control and URL Filtering 

Administration Guide』を参照してください。 



4. ゲートウェイで Application Control Software Blade を有効にします。 

Application Control ルール・ベースにデフォルトのルールが追加され、既知のアプリケーションからのトラフィッ 

クを許可し、さらに追跡として「Log」が設定されます。 

Source Destination Application/Sites Action Track 

Any Internet Any Recognized Allow Log 

5. ゲートウェイで Identity Awareness を有効にし、アイデンティティ・ソースの 1 つとして[AD Query]を選択しま 

す。 


ログでのユーザ識別 

 

 

 

SmartView Tracker および SmartEvent のアプリケーション・トラフィックに関連するログには、認識されたユー 

ザのデータが表示されます。 

SmartView Tracker ログ・エントリでは、システムでソース IP アドレスとユーザのアイデンティティをマッピングし 

ていることがわかります。また、Application Control のデータも確認できます。 

SmartEvent Intro ログ・エントリでは、Identity Awareness によるユーザとマシンのアイデンティティと共に 

Application Control のイベントの詳細がわかります。 

Identity Awareness の設定 

Identity Awareness を設定するには、『R75.40VS Identity Awareness 管理ガイド』 



第 3 章 

ネットワーク・アドレス変換 (NAT) 


NAT モード 41 

NAT ルール・ベース 44 

NAT の計画での考慮事項 47 

NAT の設定 48 

NAT の詳細設定 52 

ネットワーク・アドレス変換 (NAT)は、IP アドレスを異なる IP アドレスに置き換えます。NAT はパケット内の発信元 IP 

と宛先 IP の両方のアドレスを変更することができます。つまり、ファイアウォールの内側 ( 保護 )から外側 ( 非保護 )へ 

送信されるパケットは、宛先側から見ると別のアドレスから送信されたように見え、ファイアウォールの外側から内側 

へ送信されたパケットは正しいアドレスに到達します。 

NAT は、全てのチェック・ポイントのネットワーク・オブジェクト、ノード、ネットワーク、アドレス範囲、およびダイナミッ 

ク・オブジェクトと動作します。自動的に NAT ルール·ベースにルールが追加されるネットワーク・オブジェクトの設定 

によって、自動的に NAT を定義することができます。また、NAT ルール・ベースにルールを手動で定義することもで 

きます。 

NAT ルールを手動で作成する場合は柔軟性が増します。たとえば、IP アドレスを変換するのに加え、サービスまた 

は宛先ポート番号を変換できます。ポート番号変換は、特定のポート番号が異なるポート番号に変換される Static 

NAT の一種です。 

NAT モード 

Security Gateway では以下の 2 つのタイプの NAT をサポートします。 

 

 

Static NAT: 各プライベート・アドレスを、対応するパブリック・アドレスに変換します。接続は、Security 

Gateway の両側から発信できるので、内部サーバは外部ソースからアクセスできます。 

Hide NAT: 指定されたすべての内部アドレスを単一のパブリック IP アドレスにマップし外部ソースから内部の 

IP 構造を隠します。接続は、Security Gateway の内部、保護された側から発信することができます。内部リソー 

スには、外部ソースからはアクセスできません。 


Static NAT 

以下の例は、一般的な Static NAT の配置を表します。ノードの Static NAT は、プライベート・アドレスをユニークな 

パブリック・アドレスに変換します。ネットワークまたはアドレス範囲での Static NAT は、ネットワーク内の各 IP アドレ 

スまたは範囲を、定義済みの静的 IP アドレスから始まる対応するパブリック IP アドレスに変換します。 

Hide NAT 

Hide NAT モードでは、全てのパケットの発信元ポート番号が変更されます。戻りのパケットがファイアウォールに到 

達すると、Security Gateway はポート番号を使用して、どの内部コンピュータへパケットが送信されているかを判定 

します。ポート番号は、2 つの番号プールから動的に割り当てられます。2 つの番号プールは、600~1023 と 10,000~ 

60,000 です。 

ポート番号は通常、2 番目のプールから割り当てられます。最初のプールは 3 つだけのサービス、rlogin( 宛先ポート 

512)、rshell( 宛先ポート 513)、および rexec( 宛先ポート 514)に使用されます。これらのサービスのいずれかを使 

用した接続で、オリジナルの発信元ポートが 1024 よりも小さい場合は、ポート番号は 1 番目のプールから割り当て 

られます。この動作は設定可能です。 

Security Gateway は割り当てられたポート番号を記憶しているので、戻りのパケットに元のポート番号が正しく復元 

され、使用中のポート番号が再び新しい接続に割り当てられることはありません。 

Hide NAT はサーバあたり最大 5 万接続をサポートします。つまり Hide NAT の容量は、Hide NAT された内部クラ 

イアントからの保護されていない側の 1 台のサーバに向けられた接続が同時に 50,000 を超えて発生した時にのみ 

限界に達します。ただし、これはめったに起こりません。 

NAT ゲートウェイを利用すると、イントラネット内のプライベート・アドレスを割り当てられた複数のコンピュータで、1 

つのパブリック・アドレスを共有できます。アクセスされたインターネット上のサーバは、インターネットとイントラネット 

の区別はできず、複数のコンピュータからの接続は単一のコンピュータからの接続として処理されます。 

Hide NAT は、内部ネットワークから開始される接続のみを許可します。これにより、内部ホストはイントラネットの内 

側と外側の両方への接続を開始できますが、ネットワークの外側のホストは内部ホストへの接続を開始できませ 

ん。 

Hide Address( 隠蔽アドレス)は、その背後に内部ネットワーク、アドレス範囲あるいはノードが隠れているアドレス 

です。内部アドレスを隠蔽するには以下のいずれかの方法があります。 

 

 

ルーティング可能で、どの実コンピュータにも属さないパブリック IP アドレスである仮想 IP アドレスの背後に隠蔽 

します。 

パケットがルーティングされるインタフェースを通して、Security Gateway の IP アドレスの背後に隠蔽します。 


たとえば、10.1.1.2 から 10.1.1.10 までのアドレスは、外部インタフェースのアドレス 192.168.0.1 の背後に隠蔽す 

ると仮定します。10.1.1.3 からの接続は、送信元と宛先の元々のパケットと応答パケットが変換されます。 

ポート変換 

ポート変換は、要求されたサービス(または宛先ポート)に基づき、1 つの IP アドレスを使用して、隠蔽されたネット 

ワーク上の複数のアプリケーション・サーバにアクセスできるようにします。これにより、不足しているパブリック IP ア 

ドレスを節約します。典型的な導入例では、1 つの IP パブリック・アドレスを使用して FTP サーバ(ポート 21 からアク 

セス可能 )、SMTP サーバ(ポート 25)、および HTTP サーバ(ポート 80)にアクセスできます。 

ポート変換を使用するには、手動 NAT ルールを作成する必要があります。 

内部ネットワーク用の自動 Hide NAT 

Hide NAT を使用すると、認識されていないサブネットも含んだ多くのサブネットを持つ、大きくて複雑な内部ネッ 

トワークでインターネット・アクセスを行うことができます。 

通常の Hide NAT では、変換する必要があるすべての内部ネットワーク・アドレスを指定する必要があります。しか 

し、実用的でない場合もあります。 

このような場合は、すべての内部ネットワークに対して自動 Hide NAT を指定できます。つまり、ゲートウェイの外部 

インタフェース宛てに内部インタフェースから発信されるすべての接続 (ゲートウェイ・オブジェクトの[Topology]ペー 

ジで定義されます)が、ゲートウェイのインタフェース・アドレスに変換されます。 


たとえば、内部ネットワーク内のクライアントがインターネット上のサーバへの接続を開始すると仮定します。内部ク 

ライアントの発信元アドレスは、接続が発生したインタフェースに応じて外部インタフェースのアドレス 192.168.0.1 ま 

たは 172.16.1.1 に変換されます。 

注 - 通常の NAT ルールは、内部ネットワーク用 NAT ルールよりも優先されます。接続が両 

方の NAT ルールのタイプと一致する場合、接続には通常の NAT ルールが適用されます。 

アクセス・ルールもルール・ベース内で定義する必要があります。 

詳細については、内部ネットワーク用の自動 Hide NAT の設定も参照してください。 

NAT ルール・ベース 

各ルールは、接続の最初のパケットをどのように扱うかを指定します。応答パケットは、送信パケットと反対方向に 

送信されますが、同一のルールと照合されます。 

NAT ルール・ベースは以下の 2 つのセクションに分かれています。 

 

 

Original Packet: ルールが適用されるときの条件を指定します。 

Translated Packet: ルールが適用されたときのアクションを指定します。 

NAT ルール・ベース・エディタ内のそれぞれのセクションは、[Source]、[Destination]、および[Service]に分かれ 

ています。以下のアクションが実行されます。 

 

 

 

[Original Packet]の下の[Source]を[Translated Packet]の[Source]に変換する。 

[Original Packet]の下の[Destination]を[Translated Packet]の[Destination]に変換する。 

[Original Packet]の下の[Service]を[Translated Packet]の[Service]に変換する。 

Original Packet 

Translated Packet 

Source Destination Service Source Destination Service 

Alaska_Web Any Any Alaska_Web 

(Hidden 

Address) 

= Original = Original 

ルール照合順序 

NAT ルール・ベースのルール照合は、セキュリティのルール・ベースと同じ方式で行われます。ファイアウォールは 

接続に属するパケットを受け取ると、まずそれをルール・ベースの最初のルールと比較し、次に 2 番目のルール、3 

番目のルールと順次比較します。ルールに一致するパケットが見つかると、検査を停止してそのルールを適用しま 

す。 


この原則の例外は、2 つの自動ルールが接続に一致する場合です。その場合は、双方向 NAT が適用されます。 

自動および手動の NAT ルール 

NAT は、ネットワーク・オブジェクト(ノード、ネットワーク、またはアドレス範囲 )によって自動的に定義できます。この 

ようにして NAT を定義すると、ルールは自動的に NAT ルール・ベースに追加されます。 

NAT ルール・ベースの NAT ルールを追加または編集して、NAT ルールを手動で定義できます。ファイアウォールは 

手動 NAT ルールを検証し、設定プロセスの間違いを防止できるように支援します。手動で NAT ルールを作成すると 

NAT の機能を最大限に活用できます。元のパケットおよび変換されたパケットの両方に対して発信元、宛先、およ 

びサービスを個別に指定できます。 

手動 NAT ルールを作成する場合は、元のオブジェクトの他に、変換されたネットワーク・オブジェクトを定義する必要 

があります。 

双方向 NAT 

双方向 NAT は NAT ルール・ベース内の自動 NAT ルールに適用され、2 つの自動 NAT ルールが接続に一致でき 

るようにします。双方向 NAT を使用しない場合は、1 つの自動 NAT ルールのみが接続に一致します。 

ネットワーク・オブジェクトに対して NAT が定義されているときは、必要な変換を行う自動 NAT ルールが生成されま 

す。自動 NAT ルールが定義された 2 つのネットワーク・オブジェクトがあり、一方が接続の発信元で、もう一方が宛 

先の場合には、双方向 NAT を使用すると自動 NAT ルールが両方とも適用され、両方のオブジェクトが変換されま 

す。 

以下は、双方向 NAT の背後にあるロジックです。 

 

 

接続が最初に手動 NAT ルールに一致した場合は、NAT ルール・ベースはそれ以上検査されません。 

接続が最初に自動 NAT ルールに一致した場合は、残りの NAT ルール・ベースのルールが一度に1つずつ調べ 

られ、別の自動 NAT ルールが接続に一致するかどうかがチェックされます。別の NAT ルールが接続に一致し 

た場合は、両方のルールが一致したと見なされ、それ以上検査されません。 

双方向 NAT の動作は、SmartView Tracker の[NAT Rule Number]および[NAT Additional Rule Number]フィー 

ルドを使用してトラッキングできます。[NAT Additional Rule Number]は、双方向 NAT の 2 番目のオブジェクトに対 

して実行される自動変換に一致するルールです。 

自動生成ルールについて 

NAT は、ネットワーク・オブジェクト(ノード、ネットワーク、またはアドレス範囲 )によって、NAT ルール・ベースに自動 

的に定義できます。 

ノードの Hide NAT は、NAT ルール・ベースに 1 つのルールを追加します。これは、内部ネットワークのノードから開 

始される接続に対してパケットの発信元アドレスを変換することを指定します( 発信元の Hide ルール)。 

ノードの Static NAT は、NAT ルール・ベースに 2 つのルールを追加します。発信元の Static ルールの他にもう一つ 

のルールが追加され、外部ネットワークから開始される接続に対してパケットの宛先アドレスを変換することを指定 

します( 宛先の Static ルール)。 

ネットワークまたはアドレス範囲に対して NAT(Hide または Static)を行うと、特別なルールが追加されます。追加さ 

れたルールは、ネットワークまたはアドレス範囲内の通信を変換しないことを指定します( 同じネットワーク内の 1 台 

のコンピュータから他のコンピュータへ送信されるパケットは変更されません)。 


自動生成ルールの例 (Hide NAT) 

この例は、アドレス範囲ノードの自動的に定義された Hide NAT のルールを表します。 




Range_Hide Range_Hide Any = Original = Original = Original 

Range_Hide Any Any Range_Hide 

(Hiding 

Addrerss) 


 

 

ルール 1 は、ファイアウォールの内側 ( 保護側 )のみで行われる接続では NAT を行わないことを指定します。 

ルール 2 は、ファイアウォールの内側 ( 保護側 )から開始された接続に対してパケットの発信元アドレスをパブ 

リック Hide NAT アドレスに変換することを指定します。 

自動 Hide NAT ルールでは、変換後のアドレスは「隠蔽アドレス」と呼ばれ、Security Gateway の保護されていない 

側で使用されます。実際のアドレスは、Security Gateway の保護されている側で使用されるプライベート・アドレス 

です。 

自動生成ルールの例 (Static NAT) 

この例は、ノードにアドレス範囲で自動的に生成された Static NAT ルールを表します。 




Range_static Range_static Any = Original = Original = Original 

Range_static Any Any Range_static 

( 有効なアドレ 

ス) 


Any 

Range_static 

( 有効なアドレス) 

Any = Original Range_static = Original 

この例は以下を表します。 

 

 

 

ルール 1 は、ファイアウォールの内側 ( 保護側 )のみで行われる接続では NAT を行わないことを指定します。同 

じネットワーク内の 1 台のコンピュータから異なるコンピュータへ送信されたパケットは変更されません。 

ルール 2 は、ファイアウォールの内側 ( 保護側 )から発信されたパケットに対して発信元アドレスを有効な(パブリ 

ック)Static NAT アドレスに変換することを指定します。 

ルール 3 は、ファイアウォールの外側 ( 非保護側 )から発信されたパケットに対して有効な(パブリック) 宛先アド 

レスを Static NAT アドレスに変換することを指定します。 

自動 Static NAT ルールでは、静的に変換されたパブリック・アドレスは「有効アドレス」と呼ばれ、Security Gateway 

の保護されていない側で使用されます。実際のアドレスは、Security Gateway の保護されている側で使用されるプ 

ライベート・アドレスです。 


自動ルールの順序 

自動ルールは以下の順序で NAT ルール・ベースに置かれます。 

1. Static NAT ルール。 

2. Hide NAT ルール。 

3. ノードの NAT。 

4. ネットワークまたはアドレス範囲の NAT。 

NAT の計画での考慮事項 

Hide 対 Static 

ポート番号を変更できないプロトコルでは、Hide NAT を使用できません。 

Hide NAT は、外部サーバが IP アドレスによってクライアントを識別する必要がある場合には使用できません。Hide 

NAT ではすべてのクライアントが同じ IP アドレスを共有するからです。 

外部ネットワークから内部ネットワークへの接続を許可するために使用できるのは Static NAT のみです。 

自動ルールと手動ルール 

設定が簡単な自動 NAT ルールは、設定エラーを起こす危険性を低減できます。自動 ARP 設定は自動ルールに対 

してのみ有効です。 

手動で定義する NAT ルールは複雑ですが、NAT を完全に制御することができます。以下の操作は、手動 NAT 

ルールでのみ実行できます。 

 

 

 

 

 

 

指定された宛先 IP アドレス、および指定された発信元 IP アドレスにルールを限定する。 

同じパケットの発信元 IP アドレスと宛先 IP アドレスの両方を変換します。 

一方向にのみ Static NAT を実行します。 

サービス( 宛先ポート)を変換します。 

指定されたサービス(ポート)にルールを限定します。 

動的オブジェクトに対して NAT を実行します。 

Hide NAT による隠匿アドレスの選択 

Hide Address( 隠蔽アドレス)は、その背後にネットワーク、アドレス範囲あるいはノードが隠れているアドレスです。 

これらは、Security Gateway のインタフェースまたは特定の IP アドレスの背後に隠蔽することもできます。 

固定のパブリック IP アドレスを選択すると、Security Gateway のアドレスを隠蔽することができます。ただし、ルーテ 

ィング可能なパブリック IP アドレスを余分に取得する必要があります。 

Security Gateway のアドレスの背後に隠蔽することは、管理上望ましいオプションです。たとえば、ファイアウォール 

の外部 IP アドレスが変更されても、NAT 設定を変更する必要がありません。 

特定の導入における検討事項 

このセクションは、特定のネットワーク導入で NAT を使用する際の検討事項について説明します。 

自動およびプロキシ ARP 

NAT を使用して内部ネットワークのコンピュータに外部 IP アドレスを与えると、そのコンピュータは、インターネットに 

とっては外部ネットワークまたはファイアウォールのインターネット側に存在するように見えます。NAT を自動的に設 


定すると、内部コンピュータのアドレスを要求するインターネット・ルータからの ARP リクエストに対して、Security 

Gateway は NAT 変換されたネットワーク・オブジェクトに代わって応答します。 

手動ルールを使用している場合は、変換された IP アドレスを、変換されたアドレスと同じネットワーク上にある 

Security Gateway インタフェースの MAC アドレスに関連付けるためにプロキシ ARP を設定する必要があります。 

A 

NAT とスプーフィング対策 

NAT はスプーフィング対策検査の後に実施され、スプーフィング対策検査はパケットの発信元 IP アドレスに対して 

のみ実施されます。つまり、スプーフィング対策保護は、NAT と同じようにゲートウェイのインタフェースに設定されま 

す。 

VPN トンネルでの NAT の無効化 

VPN 内で通信する場合、通常 NAT を行う必要はありません。VPN コミュニティ・オブジェクトでワン・クリックするだ 

けで、VPN トンネルで NAT を無効にすることができます。NAT ルールを定義して VPN トンネル内の NAT を無効に 

すると、VPN のパフォーマンスが低下します。 

NAT の設定 

NAT 設定の一般的な手順 

NAT を設定するには 

1. 変換に使用する IP アドレスを決定します。 

2. ネットワーク・オブジェクトを定義します。 

3. ルール・ベース内にアクセス・ルールを定義します。手動 NAT ルールを定義するときは、変換されたアドレスで 

ネットワーク・オブジェクトを定義する必要があります。自動 NAT ルールを使用するときは、実オブジェクトごとに 

1 つのネットワーク・オブジェクトを定義するだけで済みます。たとえば、Alaska_Web というオブジェクトに対して 


Static NAT を定義すると、ルール・ベースは Alaska_Web を参照するだけで済み、Alaska_Web( 有効アドレ 

ス)のルールを定義する必要はありません。 

4. NAT ルール( 自動または手動 )を定義します。 


基本設定 - Hide NAT を持つネットワーク・ノード 

たとえば、ネットワーク・ノードの Hide NAT の基本設定を行うと仮定します。目的は、Alaska_Web Web サーバ 

(10.1.1.10)の IP アドレスを、インターネット上で開始される接続から隠蔽することです。Alaska_GW には 3 つのイ 

ンタフェースがあり、1 つは Alaska_Web があるネットワークに面しています。 

Hide NAT を使用してネットワーク·ノードを設定するには 

1. Alaska_Web のノード・オブジェクトを編集し、[NAT]ページで[Add Automatic Address Translation Rules] 

チェックボックスをオンにします。 

2. [Translation Method Hide]と[Hide behind the interface of the Install on Gatewa]オプションを選択します。 

3. [Install on Gateway]を選択します。この例では NAT ゲートウェイは Alaska_GW なので、[Alaska_GW]また 

は[All]を選択します。 

Alaska_Web からインターネットに向けられたパケットは、発信元アドレスが 10.1.1.10 から 192.168.0.1 に変換 

されます。たとえば、Web サーバから発信されたパケットは、172.16.10.3 から 192.168.0.1 の送信元アドレス 

に変換されます。 


設定例 (Static NAT と Hide NAT) 

以下の例は、内部ネットワーク上の SMTP サーバと HTTP サーバを、パブリック・アドレスを使用してインターネットか 

ら使用できるようにし、内部ネットワーク上のすべてのユーザがインターネットにアクセスできるようにすることを目的 

としています。 

Web サーバとメール・サーバは、インターネットから着信接続が行われるので Static 変換が必要です。2 つの 

ルーティング可能なアドレスを使用できます。この例の場合、Alaska.Web HTTP サーバには 192.168.0.5 が使用さ 

れ、Alaska.Mail SMTP サーバには 192.168.0.6 が使用されます。 

内部クライアントは接続を開始するので Hide 変換が必要です。インターネットからこれらに着信接続はできません。 

これらは、Security Gateway の外部インタフェースの背後に隠蔽されます。 

Static NAT と Hide NAT の設定を実行するには 

1. Alaska.Web(10.1.1.5)、Alaska.Mail(10.1.1.6)、Alaska_LAN(10.1.1.0、ネット・マスク 255.255.255.0)、およ 

び Security Gateway(Alaska.GW)のネットワーク・オブジェクトを定義します。 

2. Alaska.Web オブジェクトを編集し、[NAT]ページで[Add Automatic Address Translation Rules]チェック・ 

ボックスをオンにします。 

3. [Translation Method]として[Static]を選択して、[Translate to IP Address]を 192.168.0.5 として定義しま 

す。 

4. Alaska.Mail に対して[Translation Method]として[Static]を選択し、[Translate to IP Address]を 

192.168.0.6 として定義します。 

5. [NAT]ページで Alaska_LAN オブジェクトを編集します。 

a) [Translation Method]として[Hide]を選択します。 

b) [Hide behind Gateway]を選択します。 

Alaska_LAN 上にある内部クライアントの有効な Hide アドレスは 192.168.0.1 です。以下のスクリーンショット 

は、結果の NAT ルール·ベースを表します。 




Alaska.Mail Any Any Alaska.Mail 

(Valid 

Addresses) 


Any 

Alaska.Mail(Vali 

dAddresses) 

Any = Original Alaska.Mail(Valid 

Addresses) 

= Original 


Alaska.Web Any Any Alaska.Web 

(Valid 

Addresses) 


Any 

Alaska.Web 

(ValidAddresse 

s) 

Any = Original =Alaska.Web 

(ValidAddresses) 

= Original 

Alaska_LAN Alaska_LAN Any = Original = Original = Original 

Alaska_LAN Any Any Alaska_LAN 

(Hiding 

Addresses) 


設定例 ( 手動ルールのポート変換 ) 

次の例は、DMZ ネットワーク内の Web サーバとメール・サーバの両方を、1 つの IP アドレスを使用してインターネッ 

トから使用できるようにすることを目的としています。Hide NAT は DMZ 内のすべてのアドレスに対して実行されま 

す。 

ポート変換に手動ルールを使用した設定例を実行するには 

1. ネットワーク Alaska.DMZ.LAN(172.16.0.0、ネット・マスク 255.255.0.0)、Web サーバ Alaska_DMZ_Web 

(172.16.1.7)、メール・サーバ Alaska_DMZ_Mail(172.16.1.5)、および Security Gateway(Alaska.GW)の 

ネットワーク・オブジェクトを定義します。 

2. Alaska.DMZ.LAN ネットワーク・オブジェクトの[NAT]タブで、[Add Automatic Address Translation Rules] 

チェックボックスをオンにします。 

3. [Translation Method]として[Hide]を選択し、[Hide behind Gateway]を選択します。この手順により NAT ルー 

ル・ベースに 2 つの自動ルールが追加されます(ルール 1 と 2)。 

4. NAT ルール・ベースで、Web サーバへの HTTP サービスのリクエストを変換する手動 NAT ルール(ルール 3) 

と SMTP サーバへの SMTP リクエストを変換する手動 NAT ルール(ルール 4)を定義します。 




Alaska.DMZ.LAN 

Alaska.DMZ.LA 

N 

Any = Original = Original = Original 


Alaska.DMZ.LAN Any Any Alaska.DMZ.LA 

N (Hiding 

Address) 


Any Alaska_GW http = Original Alaska_DMZ_We 

b 

Any Alaska_GW Smtp = Original Alaska_DMZ_Ma 

il 

= Original 

= Original 

高度な NAT 設定 

異なるインタフェース上の変換されたオブジェクト間の接続 

以下のセクションでは、異なる Security Gateway のインタフェース上の静的に変換されたオブジェクト(ノード、ネット 

ワーク、アドレス範囲 )の間で双方向通信を可能にする方法について説明します。 

NAT が手動 NAT ルールではなくネットワーク・オブジェクトを使用して定義されている場合は、双方向 NAT が有効 

になっていることを確認する必要があります。 

重複アドレスでの内部コミュニケーション 

2 つの内部ネットワークで重複する(または部分的に重複する)IP アドレスを使用する場合は、Security Gateway に 

よって以下のことが可能になります。 

重複する内部ネットワーク間の通信。 

重複する内部ネットワークと外部間の通信。 

重複する各内部ネットワークに対する異なるセキュリティ・ポリシーの適用。 


ネットワークの設定 

たとえば、ネットワーク A とネットワーク B の両方が同じアドレス空間 (192.168.1.0/24)を使用しているため、標準的 

な NAT を使用してネットワーク A とネットワーク B 間の通信を有効にすることはできません。代わりに、インタフェー 

スごとに重複 NAT を実行する必要があります。 

ネットワーク A 内のユーザがネットワーク B 内のユーザと通信したい場合は、宛先として 192.168.30.0/24 ネットワーク 

を使用する必要があります。ネットワーク B 内のユーザがネットワーク A 内のユーザと通信したい場合は、宛先とし 

て 192.168.20.0/24 ネットワークを使用する必要があります。 

Security Gateway は、各インタフェースに対して以下のように IP アドレスを変換します。 

インタフェース A 

 

 

着信の発信元 IP アドレスは仮想ネットワーク「192.168.20.0/24」に変換されます。 

発信の宛先 IP アドレスはネットワーク「192.168.1.0/24」に変換されます。 

インタフェース B 

 

 

着信の発信元 IP アドレスはネットワーク「192.168.30.0/24」に変換されます。 

発信の宛先 IP アドレスはネットワーク「192.168.1.0/24」に変換されます。 

インタフェース C 

重複 NAT はこのインタフェース用に設定されません。代わりに、NAT Hide をインタフェースごとではなく通常の方法 

で使用して、インタフェースの IP アドレス(192.168.4.1)の背後に発信元アドレスを隠します。 

通信例 

このセクションでは、内部ネットワーク間および内部ネットワークとインターネット間の通信を可能にする方法につい 

て説明します。 


内部ネットワーク間の通信 

ネットワーク A 内の IP アドレス「192.168.1.10」のユーザ A が、ネットワーク B 内の IP アドレス「192.168.1.10」( 同 

じ IP アドレス)のユーザ B と通信したい場合、ユーザ A は IP アドレス「192.168.30.10」への接続を開きます。 

内部ネットワーク間の通信 

手順発信元 IP アドレス宛先 IP アドレス 

インタフェース A - NAT の前 192.168.1.10 192.168.30.10 

インタフェース A - NAT の後 192.168.20.10 192.168.30.10 

Security Gateway が、ネットワーク「192.168.20.0/24」からネットワーク「192.168.30.0/24」へのパケットの 

セキュリティ・ポリシーを適用します。 

インタフェース B - NAT の前 192.168.20.10 192.168.30.10 

インタフェース B - NAT の後 192.168.20.10 192.168.1.10 

内部ネットワークとインターネット間の通信 

ネットワーク A 内の IP アドレス「192.168.1.10」のユーザ A が、インターネット上の IP アドレス「10.10.10.10」に接続 

すると想定します。 

内部ネットワークとインターネット間の通信 

手順発信元 IP アドレス宛先 IP アドレス 

インタフェース A - NAT の前 192.168.1.10 10.10.10.10 

インタフェース A - NAT の後 192.168.20.10 10.10.10.10 

Security Gateway が、ネットワーク「192.168.20.0/24」からインターネットへのパケットのセキュリティ・ポリ 

シーを適用します。 

インタフェース C - NAT の前 192.168.20.10 10.10.10.10 

インタフェース C - NAT Hide の後 192.168.4.1 10.10.10.10 

ルーティングに関する考慮事項 

ネットワーク A からネットワーク B へのルーティングを可能にするには、ファイアウォール・コンピュータ上でルーティ 

ングを設定する必要があります。 

以下に Windows および Linux のオペレーティング・システムのルーティング・コマンドの例を示します( 他のオペレー 

ティング・システムでも同様のコマンドを使用します)。 

Windows 上では以下のコマンドを実行します。 

route add 192.168.30.0 mask 255.255.255.0 192.168.3.2 

route add 192.168.20.0 mask 255.255.255.0 192.168.2.2 

Linux 上では以下のコマンドを実行します。 

route add -net 192.168.30.0/24 gw 192.168.3.2 

route add -net 192.168.20.0/24 gw 192.168.2.2 


オブジェクト·データベースの設定 

重複 NAT 機能を有効にするには、「dbedit」データベース・エディタ GUI(またはコマンドライン・ユーティリティ)を使 

用します。ネットワーク設定の例で、以下のようにインタフェース A とインタフェース B に対してインタフェースごとに値 

が設定されます。 

ネットワーク設定の例 : インタフェース設定 

パラメータ 

enable_overlapping_nat 

overlap_nat_dst_ipaddr 

overlap_nat_src_ipaddr 

overlap_nat_netmask 

値 

true 

重複 IP アドレス(NAT の前 )。ネットワーク設定例では、両方のイ 

ンタフェースで「192.168.1.0」になります。 

NAT 後の IP アドレス。ネットワーク設定例で、インタフェース A で 

は「192.168.20.0」、インタフェース B では「192.168.30.0」になり 

ます。 

重複する IP アドレスのネット・マスク。ネットワーク設定例では、 

「255.255.255.0」になります。 

NAT の背後にある Security Management 

Security Management Server は、パブリック IP アドレスの数が限られているため、プライベート IP アドレス(RFC 

1918 に記載 )または他のルーティング不能 IP アドレスを使用する場合があります。 

Security Management Server の IP アドレスの NAT(Static または Hide)は、管理されたゲートウェイとの接続性を 

保った状態で、ワン・クリックで設定できます。すべてのゲートウェイは Security Management Server から制御可能 

であり、Security Management Server にログを送信できます。NAT は Management High Availability サーバおよ 

びログ・サーバに対しても設定できます。 

注 - NAT の背後にあるセキュリティ管理は、Security Management Server がゲートウェイと 

しても機能する導入環境ではサポートされず、ネットワーク・アドレス変換されるドメインの外部 

から(たとえば SAM コマンドを受信する場合に)アドレス指定する必要があります。 

NAT の背後にある典型的なセキュリティ管理の一般的なシナリオでは、Security Management Server は、ネット 

ワーク・アドレス変換が実行されるネットワーク(アドレス変換されたネットワーク) 内にあります。Security 

Management Server は、アドレス変換されたネットワーク内、アドレス変換されたネットワークと外部との境界上、お 

よびアドレス変換されたネットワークの外部にある Security Gateway を制御できます。 

通常の Hide NAT の設定では、NAT Security Gateway の外側から接続を確立することはできません。ただし、 

Security Management Server に Hide NAT を使用する場合は、ゲートウェイは Security Management Server に 

ログを送信できます。 

NAT の背後にあるセキュリティ管理の機能を使用する場合は、リモート・ゲートウェイは、使用するセキュリティ管理 

アドレスを自動的に選択し、同時に NAT に関する考慮事項を適用します。 


Security Management Server で NAT を有効にするには 

 

Security Management Server オブジェクトの[NAT]ページから NAT を定義し、[Apply for A Security 

Gateway control connections]を選択します。 

対応していないゲートウェイ・アドレス 

ゲートウェイが、リモート・ゲートウェイの導入に対応していないアドレスを使用して Security Management Server 

に接続しようとする場合があります。以下に例を示します。 

 

ゲートウェイが自動選択したアドレスがゲートウェイの環境で正しくルーティングされていない場合。この場合に 

は、リモート・ゲートウェイが適切なアドレスを使用して Security Management Server に接続できるようにする 

ため、マスタとロガーを手動で定義します。管理されているゲートウェイからの着信接続が Security Gateway に 

到着すると、ポート変換が使用されて、隠蔽アドレスを Security Management Server の実際の IP アドレスに変 

換します。 

マスタとロガーを定義する場合は、[Use local definitions for Log Servers と Use local definitions for Masters]を 

選択し、ゲートウェイ上で正しい IP アドレスを指定します。 

この解決策は以下の個々のケースで使用できます。 

 

 

注 : 

 

 

実際の IP アドレスを指定する必要があるにも関わらず、リモート・ゲートウェイがネットワーク・アドレス変換され 

る IP アドレスを指定する場合。 

ネットワーク・アドレス変換される IP アドレスを指定する必要があるにも関わらず、リモート・ゲートウェイが実際 

の IP アドレスを指定する場合。この場合は、マスター・ファイル内で Security Management Server の SIC 名を 

指定します。 

これらの設定では 1 つのオブジェクトのみ定義できます。2 番目のオブジェクトを定義できるのは、セカンダリ 

Security Management Server またはログ・サーバのみです。 

すべてのゲートウェイ上でトポロジの設定を適切に定義する必要があります。以前のバージョンに必要なすべて 

の回避策は、そのまま有効です。 

Security Management Server オブジェクトの設定 

Security Management Server オブジェクトを設定するには、以下の手順に従います。 

1. Primary_Security_Management オブジェクトの[NAT]ページから[Static NAT]または[Hide NAT]を選択しま 

す。Hide NAT を使用する場合は、[Hide behind IP Address](たとえば「192.168.55.1」)を選択します。[Hide 

behind Gateway](アドレス 0.0.0.0)は選択しないでください。 

2. [Install on Gateway]を選択して、ネットワーク・アドレス変換されるオブジェクトまたはネットワークを保護します。 

[All]は選択しないでください。 

3. [Apply for Security Gateway control connections]を選択します。 

ゲートウェイ・オブジェクトの設定 

ゲートウェイ・オブジェクトを設定するには 

1. Security Gateway の[Topology]ページから、インタフェースを定義します。 

2. [Interface Properties]ウィンドウの[General]タブで、IP アドレスとネット・マスクを定義します。 

3. [Interface Properties]ウィンドウの[Topology]タブで[Network defined by the interface IP and Net Mask] 

を選択します。 

IP プール NAT 

IP プールは、ゲートウェイにルーティング可能な IP アドレスの範囲 (アドレス範囲、ネットワーク、またはこれらのどち 

らかのオブジェクトのグループ)です。IP プール NAT は、以下の 2 つの接続シナリオで、暗号化された接続に対して 

適切なルーティングを保証します。 


SecuRemote/SecureClient から MEP(Multiple Entry Point)ゲートウェイへの接続 

ゲートウェイから MEP ゲートウェイへの接続 

SecuRemote/SecureClient またはゲートウェイの背後にあるクライアントから MEP ゲートウェイの背後にあるサー 

バへの接続が開かれると、パケットはいずれかの MEP ゲートウェイを経由してルーティングされます。接続を維持 

するには、接続内の戻りのパケットが同じゲートウェイを経由してルーティングされる必要があります。このように動 

作するために、各 MEP ゲートウェイは、ゲートウェイにルーティング可能な IP アドレスのプールを保持しています。 

サーバへの接続が開かれると、ゲートウェイが発信元 IP アドレスを IP プールからの IP アドレスに置き換えます。 

サーバからの返信パケットがゲートウェイに返されます。ゲートウェイは、元の発信元 IP アドレスを保持し、パケット 

を発信元に転送します。 

IP アドレスのプールは、ゲートウェイ・オブジェクトの[IP Pool]ページで設定されます。MEP のシナリオでの IP プー 

ル NAT の使用方法については、「複数のエントリ・ポイント VPN」を参照してください。 

インタフェースごとの IP プール 

ゲートウェイに対して単一の IP のプールを定義する代わりに、1 つ以上のゲートウェイ・インタフェース上に個別の IP 

アドレス・プールを定義できます。 

インタフェースごとに IP プールを定義すると、ゲートウェイに複数のインタフェースがある場合に発生するルーティン 

グの問題を解決できます。同じゲートウェイ・インタフェースを介して応答パケットがゲートウェイに戻ることが必要な 

場合があります。次の図は、MEP ゲートウェイで使用時の SecuRemote/ SecureClient から MEP(Multiple Entry 

Point)ゲートウェイへの接続の様子を示しています。 

リモート・クライアントが内部ネットワークとの接続を開く場合は、内部ネットワーク内のホストからの戻りのパケットは、 

静的 IP プール NAT アドレスを使用して、正しいゲートウェイ・インタフェースにルーティングされます。 

リモート VPN クライアントの IP アドレスは、いずれかのゲートウェイ・インタフェース上の IP プール内のアドレスにネ 

ットワーク・アドレス変換されます。IP プール内のアドレスは、ゲートウェイ・インタフェースを介してのみルーティング 

可能なので、ターゲット・ホストからのすべての戻りのパケットは、他のインタフェースではなくそのインタフェースに戻 

ります。このため、インタフェースの IP NAT プールが重複していないことが重要です。 

ゲートウェイ・インタフェースにパケットが戻ると、ゲートウェイはリモート・ピアの発信元 IP アドレスを復元します。 

ゲートウェイの IP プールからのアドレスが正しいゲートウェイ・インタフェースに戻されるように、ゲートウェイの背後 

にあるルータ上のルーティング・テーブルを編集する必要があります。 


ゲートウェイごとの IP プール NAT とインタフェースごとの IP プール NAT を切り替えてからセキュリティ・ポリシーを 

インストールすると、すべての IP プールの割り当てとネットワーク・アドレス変換されたすべての接続が削除されま 

す。 

NAT の優先順位 

IP プール NAT は、暗号化された(VPN) 接続と、非暗号化 (ゲートウェイによって暗号解除された) 接続の両方で使 

用できます。 

注 - ゲートウェイ経由のクリアな接続の IP プール NAT を有効にするには、「user.def」ファイ 

ル内で INSPECT の変更を設定します。詳細については、チェック・ポイントのテクニカル・サ 

ポートに問い合わせてください。 

暗号化されていない接続の場合、IP プール NAT は Hide NAT に比べて次の利点があります。 

 

 

 

ネットワーク・アドレス変換されるホストへの新しいバック・コネクション(X11 など)を開くことができます。 

1 つの IP に 1 つの接続を許可するプロトコルを使用する場合に、ユーザと IP アドレスのマッピングは、1 つのみ 

のホストではなく複数のホストで使用できます。 

IPSec、GRE、および IGMP プロトコルは、IP プール NAT(および Static NAT)を使用してネットワーク・アドレス 

変換を行うことができます。Hide NAT は、TCP、UDP、および ICMP プロトコルのみで機能します。 

これらの利点があるため、IP プール NAT と Hide NAT の両方が同じ接続に一致する場合に、IP プール NAT を優 

先するように指定できます。Hide NAT は、IP プールがすべて使用された場合にのみ適用されます。 

NAT の優先順位は以下のとおりです。 

1. Static NAT 

2. IP プール NAT 

3. Hide NAT 

Static NAT は、IP プール NAT のすべての利点およびその他の利点を持っているので、他の NAT 方法よりも優先 

順位が高くなります。 

異なる宛先に対する IP プール・アドレスの再利用 

異なる宛先に対して IP プールのアドレスを再利用でき、プール内のアドレスをより効率的に使用できます。ルールに 

N 個のアドレスが含まれている場合は、サーバあたりのクライアント数が N を超えない限り、任意の数のクライアント 

にプールから IP アドレスを割り当てることができます。 

宛先ごとの IP プールの割り当てを使用すると、2 つの異なるクライアントが異なるサーバと通信している限り、2 つの 

クライアントがプールから同じ IP アドレスを受け取ることができます。IP アドレスを再利用する場合は、接続先のサ 

ーバからのバック・コネクションのみがサポートされます。つまり、クライアントに戻る接続は、接続が開かれた特定 

のサーバからのみ開くことができます。 


デフォルトの[Do not reuse IP Pool]の動作では、IP プール内の各 IP アドレスは 1 度だけ使用されます( 下の図の 

接続 1 と 2)。このモードでは、IP プールに 20 個のアドレスが含まれている場合、最大 20 の異なるクライアントの 

ネットワーク・アドレス変換を行い、任意の発信元からクライアントへのバック・コネクションを開くことができます。 

「再利用」モードと「非再利用」モードを切り替えてから、セキュリティ・ポリシーをインストールすると、すべての IP 

プールの割り当てとネットワーク・アドレス変換されたすべての接続が削除されます。 

IP プール NAT の設定 

IP プール NAT を設定するには 

1. [Global Properties]→[NAT]ページで、[Enable IP Pool NAT]を選択し、必要なトラッキング・オプションを選 

択します。 

2. ゲートウェイの[General Properties]ページで、ゲートウェイのバージョンが正しく指定されていることを確認しま 

す。 

3. 各ゲートウェイまたはゲートウェイ・インタフェースに対して、その IP プール NAT アドレスを表すネットワーク・オ 

ブジェクトを作成します。IP プールとして、ネットワーク、グループ、またはアドレス範囲を指定できます。たとえば 

アドレス範囲の場合は、以下の手順に従います。 

a) ネットワーク・オブジェクト・ツリーで、[Network Objects]ブランチを右クリックし、[New]→[Address 

Range]を選択して、[Address Range Properties]ウィンドウを開きます。 

b) [General]タブで、アドレス範囲の最初と最後の IP アドレスを入力します。 

c) [OK]をクリックします。新しいアドレス範囲がネットワーク・オブジェクト・ツリーの[Address Ranges]ブラン 

チに表示されます。 

4. ゲートウェイ・オブジェクトを選択し、[Gateway Properties]ウィンドウにアクセスして、[NAT]→[IP Pool NAT] 

を選択します。 

5. [IP Pool NAT]ページで以下のいずれかを選択します。 

a) [Allocate IP Addresses from]を選択し、ゲートウェイ全体の IP プール NAT を設定するために作成したア 

ドレス範囲を選択します。 

b) [Define IP Pool addresses on gateway interfaces]を選択し、IP プール NAT をインタフェースごとに設定 

します。 

6. 必要に応じて、以下のいずれかのオプションを 1 つ以上選択します。 

a) Use IP Pool NAT for VPN client connections 

b) Use IP Pool NAT for gateway to gateway connections 

c) Prefer IP Pool NAT over Hide NAT: IP プール NAT と Hide NAT が同じ接続に一致した場合に IP プー 

ル NAT を優先することを指定します。Hide NAT は、IP プールがすべて使用された場合にのみ適用されま 

す。 

7. [Advanced]をクリックします。 


a) Return unused addresses to IP Pool after: プール内のアドレスは、ユーザがログオフした場合でも 60 分 

間 (デフォルト)は予約されています。ユーザが ISP から切断し、再びダイヤルして再接続した場合は、IP 

プールから最初に取得したアドレスがタイムアウトになるまで、2 つのプール NAT アドレスがこのユーザに 

使用されます。ユーザが ISP との接続を頻繁に切断する場合は、このタイムアウト時間を短縮し、IP プール 

が枯渇しないようにすることができます。 

b) Reuse IP addresses from the pool for different destinations: クライアントが最初に接続を開いた特定 

のサーバからだけでなく、任意の発信元からクライアントへのバック・コネクションを開くことを許可する必要 

がない場合は、このオプションを選択することをお勧めします。 


9. 各内部ルータのルーティング・テーブルを編集して、NAT プールから割り当てられた IP アドレスを使用するパケット 

が適切なゲートウェイまたは適切なゲートウェイ・インタフェース(インタフェースごとの IP プールを使用する場 

合 )にルーティングされるようにします。 

クラスタ用の IP プール NAT 

ゲートウェイ・クラスタ用の IP プールは、SmartDashboard の以下の 2 つの場所で設定されます。 

 

 

ゲートウェイ·クラスタ·オブジェクトの[NAT]→[IP Pool NAT]ページで、接続シナリオを選択します。 

クラスタ・メンバ・オブジェクトの[IP Pool NAT]ページで、クラスタ・メンバに IP プールを定義します。各クラスタ・ 

メンバに個別の IP プールを設定する必要があります。各クラスタ・メンバ・インタフェースに個別の IP プールを定 

義することはできません。 


第 4 章 

IPv6 


Security Gateway での IPv6 の有効化 61 

Security Gateway での IPv6 の無効化 63 

SmartConsole で IPv6 を使用した作業 64 

高度な機能 68 

チェック·ポイントのアーキテクチャは、管理者に IPv6 への円滑で安全な移行パスを提供します。ほとんどのネットワ 

ークは IPv4 を使用しており、一部のアプリケーションだけを IPv6 にアップグレードすることはできません。このため、 

チェック·ポイントの IPv6 ソリューションは従来の IPv4 に完全に対応します。また、IPv6 の利用はオプションですが、 

IPv4 の利用を無効にすることはできません。 

チェック·ポイントの IPv6 ソリューションは、2 つの IP バージョンをサポートしているデュアル・スタック・モードを使用し 

ます。これは、異なる IPv4 と IPv6 のスタックを同時に利用することで実現します。デュアル・スタック・ソリューション 

はまた、2 つの異なるカーネル・ドライバを使用します。1 つは IPv4 トラフィック用で、もう 1 つは IPv6 トラフィック用で 

す。 

サポート機能 

サポートするチェック・ポイント機能 

• サポート・プラットフォーム: GAIA、SecurePlatform、IPSO 

• アクセス制御ルール: Pv6ホストとIPv6ネットワークをファイアウォール・ルールのルール・ベースで定義できま 

す。 

• ユーザ定義 ICMPv6サービス 

• スプーフィング対策 

• IPS 防御 : 

• ポート・スキャン 

• Aggressive Aging 

• 最大 Pingサイズ制限 

• Small PMTU 

• SecureXLによる高速化 (SecurePlatformとGAIAのみ) 

• ClusterXL High Availability(SecurePlatformとGAIAのみ) 

• CoreXL(SecurePlatformとGAIAのみ) 

• SmartView TrackerでのIPv6のフィルタリング 

IPv6 特定の機能 

• IPv6 拡張ヘッダの許可またはブロック 

• IPv6フラグメンテーション・ヘッダの完全な検査 

• 6in4トンネル通信の許可またはブロック 

• 6in4トンネルでのIPv6 通信の検査 (SecurePlatform and Gaia only) 


非サポート機能 

上記に記載されている全てのフィーチャと機能以外はサポートされていません。サポートされていない主な機能は下 

記です( 下記のみに限定されるわけではありません): 

• IPS( 上記サポート機能に含まれる防御を除く) 

• NAT 

• Application & URL Filtering 

• IPSec VPN(この機能は、以前のバージョンR70 IPv6Packにてサポートされていました) 

• Anti-Spam & Mail 

• Anti-Virus 

• DLP 

• QoS 

Security Gateway での IPv6 の有効化 

このセクションは、さまざまなプラットフォーム上で IPv6 を有効にする方法を表します。 

SecurePlatform 

SecurePlatform Security Gateway で IPv6 を有効にするには 

1. 「/etc/rc.d/rc3.d」に移動し、S11ipv6 ファイルを説明します 

2. 以下のコマンドを S11ipv6 ファイルに追加します。 

#!/bin/sh 

modprobe ipv6 

/sbin/ifconfig inet6 add / 

注 - /sbin/ifconfig inet6 add / 

は IPv6 アドレスが設定されている各インタフェースに必要です。 

3. 実行権限を S11ipv6 ファイルに設定します。 

4. S11ipv6 を実行します。 

5. $FWDIR/scripts/fwipv6_enableon を実行します。 

6. Security Gateway を再起動します。 

IPSO アプライアンス 

IPSO アプライアンスで IPv6 を有効にするには 

1. Voyager または CLI を使用して IPv6 トラフィック用のインタフェースを有効にし、設定します。 

2. Voyager または CLI を使用して IPv6 スタティック・ルートを設定します。 

3. $FWDIR/scripts/fwipv6_enable on を実行します。 


GAIA 

GAIA Security Gateway で IPv6 を有効にするには 

1. WebUI で、[System Management]→[System Configuration]ページの順に選択して移動します。 

2. [IPv6 Support]>[On]オプションの順に選択します。 


4. WebUI または CLI を使用して IPv6 に該当するインタフェースを有効にし、設定します。 

5. WebUI または CLI を使用して IPv6 スタティック・ルートを設定します。 


Security Gateway での IPv6 の無効化 

このセクションは、さまざまなプラットフォーム上で IPv6 を無効にする方法を説明します。 

SecurePlatform 

IPv6 が有効な Security Gateway で IPv6 を無効にするには 

1. [expert]モードで以下のコマンドを実行します。 

$FWDIR/scripts/fwipv6_enable off 

2. /etc/rc.d/rc3.d から S11ipv6 ファイルを削除します。 


IPv6 機能を無効にするには、全ての Security Gateway で IPv6 のサポートを無効にします。 

IPSO アプライアンス 

IPSO アプライアンスで IPv6 を無効にするには 

1. $FWDIR/scripts/fwdir6_enable off を実行します 

2. Voyager または CLI を使用して、該当する各インタフェースの IPv6 サポートを無効にします。 


GAIA 

GAIA セキュリティ・ゲートウェイで IPv6 を無効にするには 

1. WebUI で、[System Management]→[System Configuration]ページに順に選択して移動します。 

2. [IPv6 Support]→[Off]オプションを選択します。 



SmartConsole で IPv6 を使用した作業 

IPv6 ホストとネットワーク·オブジェクトは、SmartDashboard で作成され、送信元と宛先としてルール・ベースで使用 

できます。同じカラムで IPv4 と IPv6 オブジェクトを持つルールを作成できます。 

IPv6 オブジェクトの作成と管理は、IPv4 ネットワーク・オブジェクトの場合と同様に行われます。 

以下の 2 種類の IPv6 オブジェクトがサポートされています。 

 

 

ホスト 

ネットワーク 

IPv6 のオブジェクトの作成 

SmartDashboard で IPv6 のオブジェクトを作成するには 

1. メニュー・バーから、[Manage]→[Network Objects]の順に選択します。 

[Network Objects]ウィンドウが開きます。 

2. [Show]から[IPv6]を選択します。 

3. [New]→[IPv6]→[IPv6 Host]または[IPv6 Network]の順にクリックします。 

IPv6 オブジェクトの[General Properties]ウィンドウが開きます。 

4. ホスト・オブジェクトの場合は、オブジェクト名と IPv6 アドレスを入力します(たとえば、2001:db8::11)。 

ネットワーク・オブジェクトの場合は、オブジェクト名、ネットワーク IPv6 アドレス、プリフィックス長を入力します(たと 

えば、2001:db8::11 と 64)。 

5. [OK]をクリックして、[Close]をクリックします。 

ネットワーク・オブジェクト・ツリーに IPv6 オブジェクトが表示されます。 

IPv6 ルール 

IPv6 のルールを作成するには、IPv4 のオブジェクトと同じようにルールで IPv6 オブジェクト( 複数可 )を使用します。 

たとえば、ホスト alice_v6 からホスト bob_v6 への IPv6 での FTP 接続を許可してログに残すには、下記のルールを 

定義します。 

Source Destination VPN Service Action Track Install on 

alice_v6 bob_v6 Any Traffic FTP Accept log Policy 

Targets 

Source または Destination に Any を定義したルールは、IPv4 と IPv6 の両方のトラフィックに適用されます。同じカ 

ラムで IPv6 と IPv6 オブジェクトを持つルールを作成できます。 

たとえば、以下のルールはすべての IPv4 と IPv6 の telnet パケットを廃棄します。 

Source Destination VPN Service Action Track インストー 

ル先 

Any Any Any Traffic telnet Drop None Policy 

Targets 

IPv6 アドレスでのスプーフィング対策 

スプーフィング対策では IPv6 アドレスを完全にサポートしています。IPv6 のスプーフィング対策を設定するには 

1. Security Gateway オブジェクトをダブルクリックします。 

2. [Topology]を開きます。 

3. [Topology]ページで、インタフェースを選択し[Edit]をクリックします。 


[Interface Properties]ウィンドウが開きます。 

4. IPv6 アドレス情報を追加します。 


5. [Topology]タブを開きます。 

6. このインタフェースの IPv6 トポロジを設定します。 

 

 

 

[External]を選択する場合は、トポロジは内部インタフェースに指定されていないすべてのアドレスのトポロ 

ジを含めます。 

[Internal]→[Network defined by the Interface IP and Net Mask]を選択する場合は、トポロジは指定さ 

れた IPv6 アドレスと IPv4 アドレスを使用して計算されます。 

[Internal]→[Specific]を選択する場合は、インタフェースの背後にあるすべてのネットワーク・オブジェクト 

を含めるグループを選択します。 

7. [Anti-Spoofing]を有効にします。 


SmartView Tracker での IPv6 

IPv6 のログは SmartView Tracker に表示され、IPv6 で事前定義された選択も利用できます。IPv6 のログを表示す 

るには、クエリのプロパティで IPv6 送信元と IPv6 宛先アドレスを選択します。 

ICMPv6 の使用 

以下の ICMPv6 サービスは、デフォルトで ICMP Services で定義されています。 

 

 

 

ICMPv6 echo-request6 

ICMPv6 neighbor-advertisement 

ICMPv6 neighbor-solicitation 


ICMPv6 router- advertisement 

ICMPv6 router- solicitation 

ICMPv6 サービスの定義 

手動で ICMPv6 サービスを定義することができます。 

パケットを処理するときにエラーを報告し、また他のインターネット層の機能を実行するには、該当する ICMPv6 の 

サービスを定義する必要があります。 

ICMPv6 サービスを定義するには 

1. [Object List]→[Services]タブで[ICMP]を入力します。 

[Object List]ペインに、Services で、ICMP 用にフィルタされたアクションが表示されます。 

2. [Action]→[New]→[ICMPv6]を選択します。 

3. [ICMPv6 Service Property]ウィンドウで、名前と Type の値 (RFC792 に記載 )を入力します。 


ICMPv6 のサービス・タイプで ICMP サービスを許可またはブロックするファイアウォール・ルールを使用することが 

できます。このサービス・タイプで、タイプとコードの仕様に基づいて ICMPv6 サービスをフィルタできます。また、 

ルールで使用するためのカスタム( 未知の)ICMPv6 のサービスを定義することができます。 

未知の ICMPv6 コードの検査 

デフォルトでは、Security Gateway は既知の ICMPv6 サービスのみを検査します。未知の ICMPv6 コードの検査を 

有効にするには、Security Gateway のカーネル・パラメータ「fw_allow_unknown_icmpv6」を「1」に設定し、ルー 

ル・ベースにそれらを定義することで有効にすることができます。 

グローバル・カーネル・パラメータの変更については、「sk26202」 


IPv6 での ClusterXL 

R75.40 ClusterXL は IPv6 で HA クラスタをサポートします。すべての IPv6 ステータス情報が同期され、IPv6 のク 

ラスタリングのメカニズムがフェイル・オーバー時に有効になります。 

R75.40 ClusterXL(IPv4 の場合と同様に)を使用する時、ClusterXL は状態の同期とクラスタリングの両方を行いま 

す。SmartDashboard では、クラスタ設定されている各インタフェースの IPv6 クラスタ·アドレスを定義する必要があ 

ります。 

インタフェースで IPv6 機能を有効にするには、クラスタと各メンバの該当インタフェースに IPv6 アドレスを定義します。 

IPv6 アドレスが設定されたすべてのインタフェースで、対応する IPv4 アドレスを持つ必要があります。インタフェース 

が IPv6 を必要としない場合、IPv4 のアドレスのみ定義が必要です。 

注 - IPv4 アドレスでのみ同期インタフェースを設定する必要があります。これは、同期メカニ 

ズムが IPv4 のみを使用して動作するためです。すべての IPv6 情報および状態は、このイン 

タフェースを使用して同期されます。 

クラスタ・インタフェースおよびクラスタ・メンバの IPv6 アドレスを設定するには 

1. SmartDashboard から新規クラスタ・オブジェクトを作成するか、既存のクラスタ・オブジェクトをダブルクリックし 

ます。 

2. ナビゲーション・ツリーから[ClusterXL]を選択します。 

3. [High Availability]を選択します。 

4. [Topology]→[Edit]の順にクリックします。 


5. [Edit Topology]ウィンドウで、[Add Network]をクリックします。 

6. クラスタ・インタフェースと該当する項目にメンバ情報 (IPv4 アドレス、ネット・マスク、IPv6 アドレス、プリフィックス 

長 )を入力します。 

情報を入力するには、セルを選択して[Edit]をクリックします。 

注 - クラスタ・メンバは、クラスタ・インタフェースと同じ IPv6 アドレス・プレフィックスを持つ必 

要があります。異なるプリフィックスはサポートされません。 

7. [OK]をクリックして、変更を保存します。 

「cphaprob stat」または「cphaprob –a」は、ClusterXL のメカニズムが IPv4 に基づいているため、IPv4 アドレス情報 

のみを表します。「cphaprob stat」で IPv4 アドレスがアップしていてアクティブだと表す場合、これは IPv6 アドレスも 

アップし、アクティブであることを意味します。 

高度な機能 

IPv6 または IPv4 だけのルールの定義 

1 つの IP バージョンで特定の IP プロトコルのトラフィックを検査するルールを定義できます( 逆はできません)。たと 

えば、IPv6 用の IP プロトコル 42 を使用したトラフィックをブロックし、IPv4 ではブロックしないというルールの作成が 

可能です。 

「IPV4_MATCH」または「IPv6_MATCH」マクロを[Match]フィールドでのルール・パラメータとして使用できます。 

IPv6 または IPv4 だけのルールを作成するには 

1. ルールを定義、または未知のサービスを使用する既存のルールを選択します。 

2. [Service]カラムでプラス記号をクリックします。 

3. [New]をクリックして、[Other]を選択します。 


4. [Other Service Properties]ウィンドウで、[Advanced]をクリックします。 

5. [Advanced Other Services Properties]ウィンドウで、[Match]フィールドに適用可能なプロトコルに該当する 

マクロを入力します。 

 

 

IPv4 の場合は、IPv4_MATCH を使用します。 

IPv6 の場合は、IPv6_MATCH を使用します。 

たとえば、IPv6 だけの IP プロトコル「41」をブロックするには、[Match]フィールドに「IPv6_MATCH」を入力しま 

す。 

IPv6 での Traceroute 

traceroute サービスは、IPv6 トラフィック用に事前定義されていません。IPv6 ルール用の traceroute サービスを使 

用する必要がある場合は、ユーザ定義のサービスを作成する必要があります。 

traceroute サービスを作成するには 

1. SmartDashboard で、「Other」というタイプの新しいサービスを作成します。 

2. [Other Service Properties]ウィンドウから名前を入力します。 

3. IP プロトコルを「17」に設定します。 


4. [Advanced]をクリックします。 

5. [Advanced Other Service Properties]ウィンドウの[Match]フィールドに、以下のテキスト文字列を入力しま 

す。 

IPV6_MATCH, uh_dport > 33000, ip_ttl6 < 30 

6. 必要に応じて他のパラメータを定義します。 

IPv6 拡張ヘッダ 

デフォルトでは、フラグメント・ヘッダを含むパケットだけが許可されています。他のヘッダを含むパケットは検査され 

ずにブロックされます。 

また、以下の拡張ヘッダを許可するようにシステムを設定することができます。 

EXTHDR_ROUTING 432 

EXTHDR_HOPOPTS 0 

EXTHDR_DSTOPTS 60 

EXTHDR_AH 51 

EXTHDR_MOBILE 135 

これらのヘッダを許可している場合は、IPv6 パケットの内容を検査します。 

これらの拡張ヘッダーのいずれかを許可するには 

1. テキスト・エディタを使用して、「table.def」ファイルを開きます。 

Security Management Server では、このファイルは「$FWDIR/lib/table.def」に保存されています。 

2. 次の行から「/*」と「*/」文字を削除します。 

/* allowed_ipv6_extension_headers = { , , 

, , };*/ 

3. ファイルを保存して、ポリシーをインストールします。 

6in4 トンネルの使用 

ルールで 6in4 トンネル(SIT)の使用 

セキュリティ・ルールで 6in4 トンネル内のトラフィックを許可またはブロックすることができます。これを行うには、ルー 

ルに SIT サービス(IPv4 プロトコル 41)を使用します。 

重要 - SIT サービスを使用するルールは、IPv4 プロトコル 41 のみを検査します。カプセル化され 

た IPv6 コンテンツの検査はしません。 

IPv6 in IPv4 イントラ・トンネル・インスぺクション 

R75.40VS は「SIT_with_Intra_Tunnel_Inspection」サービスを使用して、カプセル化された IPv6 パケットのアクセ 

ス制御と IPS 検査をサポートします。ルールで「SIT_with_Intra_Tunnel_Inspection」サービスを使用する場合は、 

IPv6 パケットは、ルール・ベースのすべての適用可能なルールに対して抽出および照合されます。 

注 - 「SIT_with_Intra_Tunnel_Inspection」ルールを含めたルールの位置は重要ではありませ 

ん。抽出されたパケットは、ルール・ベース内のすべてのルールと照合されます。 

Source Destiation VPN Service Action TRACK 

Any Any Any 

Traffic 

Any Any Any 

Traffic 

SIT_with_Intra_Tunnel_Inspection accept log 

echo-request6 accept log 


Any Any Any 

Traffic 

Any drop None 

部分アドレス・ベース・フィルタリング 

部分アドレス・ベース・フィルタリングはアドレスの一部分によって IPv6 アドレスをフィルタリングします。つまり、IPv6 

アドレスが IPv6 アドレスで定義されたビットの範囲内のアドレスの値に応じてフィルタリングされます。 

部分アドレス・ベース・フィルタリングを使用するには、以下の「Other」タイプのサービスのいずれか、またはすべて 

が、セキュリティ・ポリシーのルールに適用される必要があります。 

 

 

Partial-Source-v6 

Partial-Destination-v6 

これらのサービスは、[advanced]→[match]で、部分アドレス、開始オフセット、マスクの長さを定義することで、発 

信元アドレスと宛先アドレスのフィルタを可能にします。 

IPv6 の部分宛先 

以下のインスペクト・マクロは、[advanced]→[match]を順に選択して実行します。 

PARTIAL_DST_ADDR_MATCH6(0x0,0x0,0x0,0x0,0,0) 

PARTIAL_DST_ADDR_MATCH6 マクロは、6 つの符号なし整数を受信ます。最初の 4 つはネットワーク・オーダー 

における IPv6 アドレス(16 進表記 )です。5 番目は、部分アドレス(0 から開始 )の第 1 ビットのオフセットで、6 番目 

の整数は部分アドレス(ビット単位 )の長さです。 

たとえば、2000:1:: / 64(ネットワーク・オーダーで)は以下のように書かれます。 

PARTIAL_DST_ADDR_MATCH6 (0x20000001, 0x0, 0x0, 0x0, 0, 64) 

IPv6 の部分発信元 

以下のインスペクト・マクロは、[advanced]→[match]の順に選択して実行します。 

PARTIAL_SRC_ADDR_MATCH6(0x0,0x0,0x0,0x0,0,0) 

たとえば、PARTIAL_SRC_ADDR_MATCH6(0x0,0x0,0x11aa22bb,0x0,64,32)に変更された場合は、サービスは 

ビット 65-96 の 0x11aa22bb の値で IP 送信元アドレスとの接続を一致させます 

IPv6 のカーネルへのアクセス 

すべての正規 FW コマンドは、IPv4 カーネルと通信します。IPv6 のカーネルにアクセスするには、「fw6」コマンドを 

使用します。このようなコマンドの例は「fw6 ver」と「fw6 tab」です。 

以下は IPv6 をサポートするコマンドの例です。 

fw6 ver 

説明 

構文 

このコマンドは、メジャー・バージョン番号とマイナー・バージョン番号だけでなく、ビルド番号を表し 

ます。 

fw6 ver [-k][-f ] 

fw6 tab 

説明 

このコマンドを使用すると、動的カーネル·テーブルの内容を参照し、それらを変更すること 

ができます。 


構文 fw6 tab [-t ] [-s] -c] [-f] [-o ] [-r] [-u | -m 

] [[-x | -a} -e entry] [-y] [hostname]* 


第 5 章 

ISP の冗長性 


ISP の冗長モード 73 

ISP 冗長性の設定 74 

ISP の冗長性により、インターネット接続の信頼性を高めます。これは冗長のインターネット・サービス・プロバイダ 

(ISP)のリンクを経由して、Security Gateway またはクラスタ·メンバをインターネットに接続します。 

ISP の冗長モード 

ISP の冗長性は、ISP リンクを監視し、現在最善とされているリンクを選択します。負荷共有またはプライマリ/バック 

アップとして、この項目を設定することができます。 

項目 

説明 

1 Security Gateway 

2 ISP へのリンク A 

3 ISP へのリンク B 

ISP の冗長性は、リンクを監視し、接続を振り分けます。負荷共有またはプライマリ/バックアップのために、この項目 

を設定することができます。74ページの「ISP 冗長性の設定」を参照してください。 

 

 

負荷共有 : 2 つのリンクを使用し、Security Gateway からの接続の負荷を分散します。外部から内部への通信 

は、交互にリンクを利用します。リンク(より多くの負荷を処理するための高速なリンク設定 )に相対的に最も多く 

の処理負荷を設定することも可能です。新しい接続は、ランダムにリンクに割り当てられます。あるリンクに障害 

が発生した場合、他のリンクがその負荷を負います。 

プライマリ/バックアップ: Security Gateway から発信及び受信する接続用の 1 つのリンクを使用します。プライ 

マリ・リンクがダウンした場合、バックアップに切り替わります。プライマリ・リンクが復元されると、新しい接続は、 

プライマリ・リンクに割り当てられます。バックアップ・リンクを使用している既存の接続は、その接続が完了する 

までは継続してバックアップ・リンクを使用します。 


ISP 冗長性の設定 

Security Gateway で VPN Link Selection を設定する場合は、ISP の冗長性の設定を上書きします。 

ISP の冗長性を有効にするには 

1. Security Gateway またはクラスタのネットワーク・オブジェクトのプロパティを開きます。 

2. [Topology]→[ISP Redundancy]をクリックします。 

3. [Support ISP Redundancy]を選択します。 

4. [Load Sharing]または[Primary/Backup]を選択します。 

5. リンクを設定します(74ページの「ISP リンクの設定」を参照 )。 

6. DNS サーバを Security Gateway で設定します(75ページ)。 

7. ISP 冗長性のポリシーを設定します(75ページの「ファイアウォールの設定」を参照してください)。 

ISP リンクの設定 

開始する前に、ISP のデータ - リンク・スピードとネクスト・ホップ IP アドレス確認してください。Security Gateway に 

1 つの外部インタフェースしかない場合は、このインタフェースに 2 つのサブネットを設定します。ルータやスイッチが 

必要です。 

Security Gateway はゲートウェイ・オブジェクトの[Topology]ページに 2 つの外部インタフェースを待つ場合、自動 

的にリンクを設定することができます。 

ゲートウェイが ClusterXL のクラスタ・メンバである場合は、2 つの ISP に 2 つのクラスタ・メンバを設定します。2 つ 

のインタフェースのある LAN を使用します。メンバ・インタフェースは、クラスタの外部インタフェースと同じサブネット 

上にあることを確認してください。 

自動的に ISP リンクを設定するには 

1. [ISP Redundancy]ページから[Set initial configuration]をクリックします。 

ISP リンクが自動的に追加されます。 

2. [Primary/Backup]の場合は、プライマリ・インタフェースがリストの最初にあることを確認してください。順序を変 

更するには、矢印を使用します。 

手動で ISP リンクを設定するには 

1. [ISP Redundancy]ページから[Add]をクリックします。 

2. [ISP Link]ウィンドウで、リンクに名前を付けます。 

ここで入力した名前は、ISP の冗長性スクリプトとコマンドに使用されます。 

3. この ISP リンクの Security Gateway のインタフェースを選択します。 

 

 

Security Gateway に 2 つの外部インタフェースがある場合は、別のインタフェースに各リンクを設定します。 

ISP リンクの 1 つがバックアップ ISP へのダイヤルアップ接続である場合は、ISP の冗長性スクリプトを設定 

します。詳細については、77ページの「ISP 冗長性スクリプトの編集」を参照してください。 

Security Gateway に 1 つの外部インタフェースしかない場合は、各 ISP リンクを設定してこのインタフェース 

に接続します。 

4. ネクスト・ホップを設定します。 

 

 

Security Gateway に 2 つの外部インタフェースがある場合は、このフィールドに入力せず[Get from 

routing table]をクリックします。ネクスト・ホップはデフォルトのゲートウェイです。 

Security Gateway に 1 つの外部インタフェースがある場合は、各 ISP リンクを異なるネクスト・ホップ・ルー 

タに設定します。 

5. 負荷共有のウェイトを入力してください。同じウェイトを配分する場合は「50」を入力します。1 つのリンクがより速 

い場合は、この値を大きくして他のリンクを小さくして、2 つの合計を 100 にします。 

6. リンクが動作していることを確認するには、監視するホストを定義します。[ISP Link]ウィンドウの[Advanced]タ 

ブを開き、追加するホストを選択します。 


Security Gateway の DNS への設定 

Security Gateway またその背後にある DNS サーバは、DNS クエリに応答する必要があります。それは DMZ(また 

は別の内部ネットワーク) 内のサーバの IP アドレスを解決します。 

各 ISP からルーティング可能な IP アドレスを取得します。ルーティング可能な IP アドレスが利用できない場合は、ド 

メインをインターネットから DNS サーバにアクセスできるように登録します。 

セキュリティ・ゲートウェイで DNS を有効にするには 

1. [Enable DNS Proxy]を選択します。 

ゲートウェイは、外部のホストから来るそのドメイン内の Web サーバに対するタイプ A DNS クエリを傍受します。 

Security Gateway が外部ホストを認識した場合は、以下のように応答します。 

 

 

負荷共有モードでは、Security Gateway は交互に 2 つのアドレスに応答します。 

プライマリ/バックアップ・·モードでは、Security Gateway はアクティブ・リンクのアドレスに応答します。 

Security Gateway がホストを認識しない場合は、元の宛先またはドメインの DNS サーバに DNS クエリを送り 

ます。 

2. [Configure]をクリックします。 

3. DMZ または Web サーバを追加します。それぞれの各 ISP 用に、2 つのルーティング可能な IP アドレスを提供 

します。 

4. [DNS TTL]に秒数を入力します。 

各 DNS 応答の存続時間 (Time To Live)を設定します。インターネット上の DNS サーバは、応答に DNS デー 

タをキャッシュできる時間は TTL より長くありません。 

5. 実サーバのアドレスにルーティング可能なアドレスを変換するスタティック NAT を設定します。外部クライアント 

は 2 つのアドレスのどちらかを使用します。 

注 - サーバが異なるサービス(たとえば、HTTP や FTP)を使用する場合は、2 つのルー 

ティング可能な IP アドレスだけ NAT を使用することができます。 

6. 「domain_udp」サービスを使用して Security Gateway を介して DNS トラフィックを許可するファイアウォール· 

ルールを定義します。 

ドメインを登録して IP アドレスを取得するには 

1. 2 つの ISP のドメイン名を登録します。 

2. ドメインに関する DNS クエリに応答する DNS サーバの 2 つのアドレスを、両方の ISP に通知します。 

3. DMZ 内のサーバごとに、2 つのルーティング可能な IP アドレスを、各 ISP から 1 つ取得します。 

4. SmartDashboard から、[Global Properties]→[NAT]を順に選択して開いて、[Manual NAT rules - 

Translate destination on client side]を選択します。 

ファイアウォールの設定 

ファイアウォールでは、ネットワーク・オブジェクトで自動 Hide NAT を設定し、ISP リンクを介して外部への接続を開 

始する通信を許可する必要があります。 

ISP の冗長性のためにファイアウォールを設定するには 

1. 内部ネットワーク用のオブジェクトのプロパティで、[NAT]→[Add Automatic Address Translation Rules]を選 


2. [Hide]と[Hide behind Gateway]を選択します。 


4. パブリックで到達可能なサーバ(Web サーバ、DNS サーバ、DMZ サーバ)のためのルールを定義します。 

Security Gateway 用に各 ISP から 1 つのルーティング可能な IP アドレスがある場合は、Static NAT を定義し 

ます。特定のサーバの特定のサービスを許可します。たとえば、2 つの ISP からの着信 HTTP 接続は Web サ 

ーバに到達し、ISP からの DNS トラフィックは DNS サーバに到達するというルールを作成します。 

例 : Web サーバおよび DNS サーバ用の手動での静的なルール 


Original Translated Comment 

Source Destination Service Source Destination Serv. 

Any 

IP of web 

server 

http = 10.0.0.2 

(Static) 

= IncomingWeb - ISP 

Any 

IP of DNS 

server 

http = 10.0.0.2 

(Static) 

= IncomingWeb - ISP B 

Any 

IP of DNS 

server 

domain_ 

udp 

= 10.0.0.3 

(Static) 

= IncomingDNS - ISP A 

Any 

IP of DNS 

server 

domain_ 

udp 

= 10.0.0.3 

(Static) 

= IncomingDNS - ISP B 

パブリックで到達可能なサーバ用に各 ISP からルーティング可能なアドレスを持っている場合 (Security 

Gateway に加え)、NAT ルールを定義します。 

a) 各サーバにルーティング不能なアドレスを与えます。 

b) [Original Destination]にルーティング可能なアドレスを使用します。 

c) [Translated Destination]にルーティング不能なアドレスを使用します。 

d) [Original Service]として「Any」を選択します。 

注 - 手動 NAT を使用する場合は、変換されたアドレスに対して自動 ARP は機能しません。 

Linux と SecurePlatform では「local.arp」を使用します。IPSO ではプロキシ ARP を設定します。 

完了したら、ポリシーをインストールします。 

VPN を使用した設定 

ISP の冗長性が有効になっている場合、VPN で暗号化された接続は、ISP リンクの障害を切り抜けます。[ISP 

Redundancy]ページの設定は、[Link Selection]ページの設定を上書きします。 

Security Gateway の VPN で ISP の冗長性を設定するには 

1. [Topology]→[ISP Redundancy]の順に選択し、[Apply settings to VPN traffic]を選択します。 

2. [IPSec VPN]→[Link Selection]の順に選択し、[Use ongoing probing]に ISP 冗長性のモード([Load 

Sharing]または[High Availability](プライマリ/バックアップ用 ))が表示されていることを確認します。 

[Link Selection]は今 ISP の冗長性で設定された ISP のみをプローブします。 

サード・パーティ製ピアの VPN を設定するには 

Security Gateway のピアがチェック・ポイントのコンピュータまたはアプライアンスでない場合は、VPN は失敗する 

か、サード・パーティ製のデバイスの障害が発生したリンクへのトラフィックを暗号化し続けることがあります。 

 

 

デバイスがゲートウェイからくる 2 次リンクからの暗号化されたトラフィックを認識していることを確認します。 

以下のチェック・ポイントの技術を使用しないように ISP の冗長性の設定を変更します。 

 

 

Use Probing - Link Selection が他のオプションを使用していることを確認します。 

Load Sharing, Service Based Link Selection, Route based probing - チェック・ポイントの Security 

Gateway でのみ動作します。使用する場合は、Security Gateway は 1 つのリンクを使用してサード・パーテ 

ィ製のピアに接続します。最高のプレフィックス長と最小メトリックのリンクが使用されます。 


ISP リンク・ステートの強制 

「fw isp_link」コマンドを使用して、[Up]または[Down]に ISP リンクの状態を強制します。インストールと導入のテス 

トをしたり、Security Gateway が正しいステートを認識できない場合に、これを使用して強制します(ISP リンクがダ 

ウンしているのにゲートウェイはアップしているように見える)。 

Security Gateway また Security Management Server で「fw isp_link [target-gw] link-name up|down」を実行しま 

す。 

「link_name」は ISP リンク・ウィンドウでの名前です。 

ISP 冗長性スクリプトの編集 

Security Gateway が起動する場合や、ISP リンクの状態が変わるたびに、「$FWDIR/bin/cpisp_update」スクリプト 

が実行されます。Security Gateway のデフォルト・ルートを変更します。たとえば、その ISP リンクの状態に合わせ 

てダイヤル・インタフェースの状態を変更するように Security Gateway を強制することができます。 

ISP リンクの 1 つでダイヤルアップ接続を有効にするには、このスクリプトを編集します。 

ダイヤルアップを設定するには 

1. Security Gateway 上のスクリプトでは、ダイヤルアップ・インタフェースの状態を変更するコマンドを入力します。 

 

 

リンクがダウンする場合 : fw isp_link link_name down 

リンクがアップする場合 : fw isp_link link_name up 

2. PPPoE または PPTP xDSL モデムを使用する場合は、SecurePlatform の PPPoE または PPTP 設定で、[Use 

Peer Gateway]オプションを選択しないでください。 


第 6 章 

アンチスパムとメール 


アンチスパムとメール・セキュリティについて 78 

メール・セキュリティの概要 79 

アンチスパムの設定 80 

メールのウイルス対策保護の設定 83 

免責の設定 85 

アンチスパムのログ記録と監視 86 

チェック・ポイントへの誤検出の報告 86 

アンチスパム追跡とレポート・オプション 86 

アンチスパムとメール・セキュリティについて 

かつてないほど継続して増加し続ける迷惑メールは現在、ネットワークへの予期できないセキュリティ脅威となって 

います。迷惑メールの処理にあてられるリソース(ディスク容量、ネットワーク帯域幅、CPU)の量は年々増加し、従 

業員は一般的にスパムと呼ばれる迷惑メールの仕分けにより多くの時間を無駄にしています。「アンチスパムとメー 

ル・セキュリティ機能」はネットワーク管理者に自社のネットワークに到達する迷惑メールを排除する、簡単な中央制 

御方法を提供します。 

アンチスパムとメール・セキュリティ機能 

機能 

コンテンツ・ベースのアンチスパム 

IP レピュテーション・アンチスパム 

ブロックリスト・アンチスパム 

メール・アンチ・ウイルス 

ゼロ・アワーのマルウェア対策 

IPS 

内容 

アンチスパム機能の中核は、コンテンツ・ベースの分類エンジンで 

す。 

IP レピュテーション・サービスを使用して、受信した迷惑メールのほ 

とんどは、接続時にブロックされます。 

IP アドレスまたは送信者のアドレスに基づいて、特定の送信者をブ 

ロックします。 

メールをスキャンしてマルウェアをフィルタします。 

迅速なレスポンス・シグネチャを使用してメールをフィルタします。 

メール保護用の侵入防止システム。 


メール・セキュリティの概要 

[Anti-Spam & Mail]タブでは、以下を行います。 

 

 

 

 

アンチウイルス・チェックを実施するゲートウェイの選択 

アンチスパム保護を実施するゲートウェイの選択 

自動更新の有効化 

設定とログの表示 

アンチスパム 

アンチスパム機能には、ユニークなライセンスされた技術を採用しています。キーワードでの検索や電子メール・メッ 

セージの内容解析に依存する多くのアンチスパム・アプリケーションと異なり、チェック・ポイントのアンチスパムは、 

既存と新たな分布パターンを分析し、スパムを識別します。正当な電子メールをスパムとして識別する可能性がある 

キーワードと語句の検索ではなくメッセージの特性などにフォーカスすることによって、このソリューションは高いスパ 

ム検出率と低い誤検知を実現します。 

個人のプライバシーやビジネスの機密性を保持するために、メッセージ・エンベロープ、ヘッダ、本体 ( 実際のコンテ 

ンツまたは添付ファイルへの参照が含まれていない) 特性からのみ抽出されます。これらのメッセージ特性のハッシ 

ュされた値は、パターン解析の検知センターに送信されます。検知センターは、任意の言語、メッセージ形式、また 

はエンコード・タイプで発生するスパムを識別します。応答は 300 ミリ秒以内にエンタープライズ・ゲートウェイに返さ 

れます。 

識別されたら、スパム生成コンピュータのネットワークがブラックリストに載ります。ネットワークでの挙動が変更した 

場合、ブラックリストから削除されます。 

アダプティブ連続ダウンロード 

遅延を避けるために、「アダプティブ連続ダウンロード」はアンチスパム・スキャンがまだ進行中に受信者への電子メ 

ールの配信を開始します。電子メールがスパムとして指定された場合、そのメールが完全に受信者に転送される前 


に、スパムのフラグが付けられます。SMTP と POP3 プロトコルは、電子メール全体のメッセージに対するアダプティ 

ブ連続ダウンロードをサポートしています。 

アンチスパムの設定 

コンテンツ・アンチスパム・ポリシーの設定 

コンテンツ・アンチスパム・ポリシーは、[SmartDashboard]→[Anti-Spam]→[Content based Anti-Spam]の順に 

選択し、[Anti-Spam & Mail]タブで設定します。 

1. アンチスパム・ポリシーの保護レベルを選択するには、スライダを使用します。 

2. フラグ・オプションを選択します。 

3. [Security Gateway Engine settings]セクションでは、スキャンする最大データ・サイズを設定します。 

4. [UTM-1 Edge Engine settings]セクションでは、スパムとスパムと疑わしいメールの信頼レベルを設定します。 

スパム信頼レベルは、特定の電子メール・メッセージがスパムとして処理されるべきであるかどうかを決定する 

ために使用する等級又はレーティング( 通常はゼロと百の間 )です。たとえば、信頼レベルを 70 に設定した場合、 

すべての電子メール・メッセージは 70 以上でスパムとして扱われます。 

UTM-1 Edge デバイスは、独自のアンチスパム・エンジンを持っています。[UTM-1 Edge Engine settings]セ 

クションで入力した値はチェック·ポイント・アンチスパム・エンジンのレーティングである SofaWare Anti-Spam エ 

ンジン・レーティングで相関させるために使用されます。たとえば、特定の電子メール・メッセージが SofaWare ア 

ンチスパム・エンジンによって 90 と評価され、そしてチェック·ポイントの評価に変換され換算されたこの値は、電 

子メールがスパムとして扱われるべきだということを意味しており、[Anti-Spam Policy]ページでスパムまたは 

スパムと疑わしいメール用に定義されたアクションが実行されます。 

5. [Spam]、[Suspected Spam]または[Non Spam]の追跡オプションを選択します。以下は追跡オプションで 

す。 

 

 

 

 

 

 

None(ログ記録なし) 

Log 

Popup Alert 

Mail Alert 

SNMP trap alert 

3 つのカスタム・ユーザ定義スクリプト 

IP レピュテーション・ポリシーの設定 

このウィンドウは、IP レピュテーション評価という、疑わしい IP アドレスの動的データベースに対して、メッセージ送信 

者の IP アドレス( 開いている SYN パケットに含まれている)をチェックするアンチスパム・メカニズムを有効にします。 

IP レピュテーション・サービスによって、発信元のネットワークが送信スパムと評価されている場合、スパム・メール・ 

セッションは接続時にブロックされます。このように、IP レピュテーション機能は、信頼できる電子メール・ソースのリ 

ストを作成します。 

1. スライダを使用して IP レピュテーション・ポリシーを選択します。 

IP レピュテーション・ポリシー 

ポリシー 

Off 

Monitor Only 

Medium Protection 

High Protection 

結果 

IP レピュテーション・サービスなし 

スパムとスパムと疑わしいメールの監視 

スパムの拒否と、スパムと疑わしいメールの監視 

スパムとスパムと疑わしいメールの拒否 


2. [Spam]、[Suspected Spam]または[Non spam]の追跡オプションを選択します。以下は追跡オプションで 

す。 

 

 

 

 

 

 


Log 

Popup Alert 

Mail Alert 



ブロック・リストの設定 

ブロックする電子メールの送信元リストは送信者名、ドメイン名、または IP アドレスで設定することができます。 

1. スライダを使用してブロック・ポリシーを選択します。 

ブロック・ポリシー 

ブロック・ポリシー 

Off 

Monitor only 

Block 

結果 

ブロックなし 

IP やメール・アドレスによる送信者の監視 

IP アドレスやメール・アドレスによる送信者のブロック 

2. [Blocked senders/domains]セクションでは、[Add]をクリックして、拒否する送信者やドメインの名前を入力し 

ます。 

3. [Blocked IPs]セクションでは、[Add]をクリックして、ブロックする IP アドレスを入力します。 

4. [Tracking]セクションでは、ドロップダウン・リストから、ブロックしたメールや非スパムの追跡オプションを選択し 

ます。 

アンチスパム SMTP の設定 

SMTP トラフィックの方向に従ってスキャンできます。 

1. 以下のスキャン方向を選択します。 

 

 

 

受信ファイル 

送信ファイル 

ゲートウェイを経由する内部ファイル 

2. サイズの大きいファイルをスキャンする場合は、[Activate Continuous download]を選択して、クライアントのタ 

イムアウトを回避します。 

詳細については、「アダプティブ連続ダウンロード」を参照してください。 

アンチスパム POP3 の設定 

POP3 トラフィックの方向に従ってスキャンすることができます。 

1. 以下のスキャン方向を選択します。 

 

 

 



内部ファイル 

2. サイズの大きいファイルをスキャンする場合は、[Activate Continuous download]を選択して、クライアントのタ 

イムアウトを回避します。 

詳細については、「アダプティブ連続ダウンロード」を参照してください。 


ネットワーク例外の設定 

アンチスパム・ポリシーは、全ての電子メール・トラフィック、もしくは意図的にポリシーから除外されていないすべて 

の電子メール・トラフィックに適用することができます。 

送信元と宛先を除外するには 

1. [Anti-Spam & Mail]タブから、[Anti-Spam]→[Advanced]→[Network Exceptions]の順にクリックします。 

2. [Enforce the Anti-Spam policy on all traffic except for traffic between the following sources and 

destinations]を選択します。 

3. [Add]をクリックします。[Network Exception]ウィンドウが開きます。 

4. [Source]と[Destination]に「Any」または「Specific」を選択し、各リストから 1 つのゲートウェイを選択します。 


許可リストの設定 

電子メールを許可する送信元リストは送信者名、ドメイン名、または IP アドレスで設定することができます。 

1. [Anti-Spam & Mail]タブで、[Anti-Spam]→[Advanced]→[Allow List]の順にクリックします。 

2. [Allowed Senders / Domains]セクションでは、[Add]をクリックして、許可する送信者またはドメインの名前を 

入力します。 

3. [Allowed IPs]セクションでは、[Add]をクリックして許可される IP アドレスを入力します。 

4. [Tracking]セクションでは、ドロップダウン・リストから、追跡オプションを選択します。 

カスタマイズ・サーバの選択 

アンチスパム解析のために別のデータ・センターを選択することができます。 

データ・センターを選択するには 

1. [Anti-Spam & Mail]タブから、[Anti-Spam]→[Advanced]→[Customized Server]の順にクリックします。 

2. [Use Customized Server]を選択します。 

3. ドロップダウン・リストから、サーバを選択します。 

UTM-1 Edge デバイスでのアンチスパム 

アンチスパム保護は UTM-1 Edge デバイスで利用できます。 

UTM-1 Edge デバイスでアンチスパムを設定するには 

1. UTM-1Edge ゲートウェイの[General Properties]ウィンドウを開きます。 


2. [Anti-Spam]オプションを選択します。 

ブリッジ・モードとアンチスパム 

UTM-1 アプライアンスはブリッジ・モードで実行するように設定されている場合は、以下の場合にアンチスパムが使 

用できます。 

 

 

ブリッジ・インタフェースに IP アドレスを設定している場合 

ブリッジ・インタフェースにデフォルト・ゲートウェイを設定している場合 

メールのウイルス対策保護の設定 

このセクションの手順で説明したオプションの詳細については、『R75.40VS Anti-Bot and Anti-Virus 管理ガイド』 


メールのウイルス対策の設定 

メールのウイルス対策ポリシーは、メールをウイルスの配信メカニズムとして使用されることから防ぎます。 

メール・ウイルス対策ポリシーを設定するには 

1. [Anti-Spam & Mail]タブから、[Traditional Anti-Virus]→[Security Gateway]→[Mail Protocols]→[Mail 

Anti-Virus]の順にクリックします。 

2. スライダを[Block]に設定します。 


3. すべての POP3 と SMTP メール、または単にブロック・メールにいずれかの追跡オプションを選択します。以下 

は追跡オプションです。 

 

 

 

 

 

 


Log 

Popup alert 

Mail alert 



ゼロ・アワー・マルウェア対策の設定 

積極的にインターネットをスキャンすることにより、データ・センターは大規模なウイルスが発生すると同時にそのこ 

とを識別します。このゼロ・アワー・ソリューションは、新しいウイルスの大規模感染を発見し、シグネチャを提供する 

までの間重要な保護を提供します。 

1. [Anti-Spam & Mail]タブから、[Traditional Anti-Virus]→[Security Gateway]→[Mail Protocols]→[Zero 

Hour Malware Protection]の順にクリックします。 

2. スライダを使用して、ゼロ・アワーのマルウェア対策レベルを選択します。 

 

 

 

Off 

Monitor only 

Block 

3. ブロックされる SMTP および POP3 メールの追跡オプションを選択します。以下は追跡オプションです。 

 

 

 

 

 


Log 

Popup alert 

Mail alert 


4. 3 つのカスタム・ユーザ定義スクリプト 

SMTP と POP3 の設定 

SMTP と POP3 トラフィックを方向に従って、または IP によってスキャンすることができます。 

1. [Anti-Spam & Mail]タブから、[Traditional Anti-Virus]→[Security Gateway]→[Mail Protocols]→[SMTP] 

または[POP3]の順にクリックします。 

2. スライダを使用して、保護レベルを選択します。 

 

 

 

Off 

Monitor Only - SMTP と HTTP でのみ、この保護レベルをサポートします 

Block 

3. ファイルの方向によってスキャンする場合は、以下の方向を選択します。 

 

 

 



ゲートウェイを経由する内部ファイル 

4. IP アドレスによるスキャンの場合は、ルール・ベースのルールを新規作成して、スキャンするデータの送信元と 

宛先を指定します。 

5. SMTP と HTTP の場合は、[Activate Proactive Detection (impacts performance)]チェックボックスを選択して、 

ファイル・ベースの Traditional Anti-Virus 検出を有効にします。ストリーム・モード検出を有効にするチェックボッ 

クスをオフにします。詳細については、「プロアクティブとストリームのモード検出について」を参照してください。 

FTP と POP3 は自動的にプロアクティブ検出モードに設定されます。 

6. プロアクティブ検出が設定されている場合は、大きなサイズのファイルがスキャンする場合に[Activate 

Continuous Download]チェックボックスをオンにすると、クライアントのタイムアウトを回避できます。 


詳細については、「連続ダウンロード」を参照してください。 

ファイル・タイプの設定 

特定のタイプのファイルがゲートウェイを通過した際に実行するアクションを設定することができます。特定の種類の 

ファイルをウイルス・スキャンせずにゲートウェイを通過させることができます。たとえば、画像ファイルとビデオ・ファ 

イルは通常、安全と判断されます。このほかに、改変が比較的難しいファイル形式は安全と判断できます。必要に 

応じてリストを更新します。 

 

[Anti-Spam & Mail]タブから、[TraditionalAnti-Virus]→[Security Gateway]→[File Types]ページの順にク 

リックしてアクションを設定します。 

値の設定 

スキャンするファイルとアーカイブの最大サイズを定義します。設定された限界値を超過する場合、またはスキャン 

が失敗する場合に設定したアクションが実行されます。 

 

[Anti-Spam & Mail]タブから、[Traditional Anti-Virus]→[Security Gateway]→[Settings]ページの順にクリ 

ックしてフィールドを設定します。 

免責条項の設定 

独自のカスタム免責の通知を作成することができます。 

1. [Anti-Spam & Mail]タブから、[Advanced]→[Disclaimer]の順にクリックします。 

2. [Add disclaimer to email scanned by Anti-Virus and Anti-Spam engines]を選択します。 

3. テキストボックスに、免責条項を入力します。 


アンチスパムのログ記録と監視 

アンチスパム・スキャンで生成されたログは Security Management Server に送信され、SmartView Tracker を使 

用して参照します。 

アンチスパム・ステータスは SmartView Monitor を使用して監視されます。アンチスパムのステータスは Firewall 

product の下に表示されます。ステータスには、アンチスパム・エンジンのバージョンなどの情報が含まれています。 

アンチスパム・ステータスにはスキャンされたファイルに関する統計情報も含まれます。「追跡とレポート」オプション 

(86ページ)も参照してください。 

チェック・ポイントへの誤検出の報告 

数は少ないですが、必然的に本物のメールもスパム・メールとして分類されることがあります。チェック・ポイントのア 

ンチスパム・サービスの改良を支援するために、チェック・ポイントのサポートにそれらを誤検知を報告してください。 

誤って迷惑メールとして分類されているメールの送信者は、電子メールが配信できなかったことを電子メールで通知 

を受け取ります。この電子メールには電子メール・セッション ID が含まれます。 

1. 送信者に電子メールのセッション ID を要求します。 

2. SmartView Tracker を開きます。 

3. [Log]タブの[Content-based Anti-Spam]セクションに電子メール ID があります。 

4. [Record Details]を開き、[Copy]をクリックします。 

5. [Check Point Support Center]からサービス・リクエストをオープンし、レコード詳細を貼り付けます。 

サービス・リクエストの作成と参照方法については、「sk31615」 

(http://supportcontent.checkpoint.com/solutions?id=sk31615)を参照して下さい。 

アンチスパム追跡とレポート・オプション 

アンチスパムの追跡とレポートのオプションは以下で利用できます。 

 

 

 

SmartView Tracker 

SmartView Monitor 

SmartReporter 

SmartView Tracker 

SmartView Tracker はアンチ・スパム・アクティビティをログに記録します。記録には、番号、日付、時刻、プロダクト、 

インタフェース、生成元、タイプ、アクション、サービス、送信元、送信元の国、宛先、送信者、元の送信者、受信者、 

元の受信者、スパム・カテゴリ、制御、情報が含まれています。 

行の上で右クリックして、新しい[Follow Email Session ID]オプションを表示します。そのセッションの詳細な情報を 

提供します。 

SmartView Monitor 

SmartView Monitor はアンチスパムとアンチウイルス・アクティビティに関してレポートします。 

SmartReporter 

以下のコンテンツ検査のための新しいエクスプレス・レポートが SmartReporter に追加されました。 


アンチウイルス 

アンチスパム 


第 7 章 

VoIP 

IPS は 80 以上の IPS 保護と VoIP 設定を追加し、悪意のある攻撃から保護します。 IPS は以下に基づいて保護し 

ます。 

 

 

 

 

攻撃シグネチャの識別 

プロトコル・アノマリ・パケットの識別 

RFC コンプライアンスの保証 

シグナリング・プロトコルの検査、ヘッダ·フォーマットおよびプロトコル・コール・フローの状態の検証 

IPS の一部として、 VoIP 保護は以下を行います。 

 

 

IPS のプロファイルを使用して異なるゲートウェイでの実施 

検知モードを使用して監視 

IPS で以下のこともできます。 

 

 

 

VoIP のセキュリティ・イベントのパケットのキャプチャと詳細なログ生成 

導入と実施に最大限の柔軟性を提供する詳細な VoIP セキュリティの設定 

指定された VoIP の保護に例外を追加 

たとえば、特定の VoIP サーバで RFC に準拠しない SIP トラフィックを許可する例外を追加した場合、セキュリ 

ティはその他のすべての VoIP トラフィックでは侵害されません。 

Security Gateway は多くの主要なベンダーからの VoIP デバイスと相互運用し、SIP、H.323、MGCP および SCCP 

(Skinny)プロトコルをサポートします。 

VoIP の詳細については、『R75.40VS VoIP 管理ガイド』 



第 8 章 

ConnectControl - サーバの負荷分散 


ConnectControl について 89 

負荷分散方式 89 

ConnectControl のパケットの流れ 90 

論理サーバのタイプ 90 

永続サーバ・モード 92 

サーバの可用性 93 

負荷の測定 93 

ConnectControl の設定 93 

ConnectControl について 

ConnectControl は、サーバの負荷分散のためのチェック・ポイント・ソリューションです。ConnectControl はネット 

ワーク・トラフィックを複数のサーバに分散することで、単一のコンピュータの負荷を軽減し、ネットワークの応答時間 

を短縮し、さらに可用性を高めることができます。パフォーマンス上の利点に加えて、複数のコンピュータに負荷を分 

散することでアプリケーションの冗長性が構築され、ダウンタイムのリスクを軽減できます。 

負荷が分散されるサーバは、1 つの仮想 IP アドレスによって表されるので、クライアントは複数のサーバがリクエス 

トを処理していることを認識しません。これは論理サーバを使用して実現されます。論理サーバは、物理サーバのグ 

ループを表すネットワーク・オブジェクトで、SmartDashboard で定義されます。論理サーバは、負荷分散アプリケー 

ションのサービス・リクエストを整理し、それらのリクエストを適切な物理サーバに送信します。 

ConnectControl はゲートウェイ上で実行され、追加メモリまたはプロセッサの要件はありません。ConnectControl 

は各サーバの可用性を確認し、サーバに障害が発生した場合またはサーバに到達できない場合は、サーバが使用 

可能になるまでそのサーバへの接続を停止します。 

負荷分散方式 

ConnectControl は、以下の事前に定義した分散方式に従って、ネットワーク・トラフィックを負荷分散対象のサーバ 

に分散します。 

 

Server Load: 各サーバの負荷を測定し、リクエストを処理するために利用できるリソースが最も多いサーバを 

特定します。グループ内の各サーバで負荷測定エージェントが実行され、このエージェントが、Security 

Gateway 上の ConnectControl に現在のシステムの負荷を報告します。[Server Load]は、サーバが、負荷分 

散アプリケーションのサポートに加えて、リソースを多く消費する他のアプリケーションを実行する場合に適した 

選択肢です。また「負荷測定」(93ページ)を参照してください。 

Round Trip: 着信したリクエストは、応答時間の最も短いサーバによって処理されます。ConnectControl は、 

ユーザが定義した間隔でグループ内のサーバの応答時間を確認します。この際、ゲートウェイが一連の ICMP 

エコー・リクエスト(Ping)を実行し、平均のラウンド・トリップ時間が最も短いサーバを報告します。次に、 

ConnectControl がサービス・リクエストをそのサーバに送信します。ラウンド・トリップ方式は、ネットワーク上の 

トラフィックの負荷が大きく変動する場合、または WAN 接続上で負荷分散を行う場合に効果的です。 


Round Robin: サービス・リクエストを順番に次のサーバに割り当てます。ラウンド・ロビン方式は、分散対象の 

すべてのサーバが同様の RAM と CPU を搭載し、同じセグメント上に配置されている場合に最適な負荷分散を 

実現します。 

Random: サービス・リクエストをランダムにサーバに割り当てます。ランダム方式は、分散対象のすべてのサ 

ーバが同様の RAM と CPU を搭載し、同じセグメント上に配置されている場合に最適な負荷分散を実現します。 

Domain: ドメイン名を基にしてサービス・リクエストを配信します。 

ConnectControl のパケットの流れ 

クライアントが、ConnectControl によって負荷分散されるアプリケーションへのアクセスを要求した場合は、パケット 

は以下のように流れます。 

1. クライアントがアプリケーション・サーバの論理 IP アドレスを使用して接続を開始します。このアドレスは実際に 

は論理サーバに割り当てられたアドレスです。 

2. サービス・リクエストがゲートウェイに到着し、ルール・ベース内の論理サーバ・ルール・ベースによって照合され 

ます。ファイアウォールがパケットを論理サーバに送信します。 

3. ConnectControl が、負荷分散方式を基にして、リクエストを最適に処理できるグループ内のサーバを決定しま 

す。 

論理サーバのタイプ 

論理サーバ・オブジェクトを作成するときは、サーバのタイプとして HTTP または Other を指定する必要があります。 

ConnectControl は各サーバ・タイプに応じてクライアントへの接続を異なる方法で処理するので、この区別は重要 

です。ネットワーク・トラフィックを送信する場合に、HTTP サーバ・タイプでは HTTP リダイレクトを使用し、Other サー 

バ・タイプではアドレス変換を使用します。 

HTTP 

HTTP 論理サーバ・タイプは HTTP サービスのみをサポートし、HTTP リダイレクトを使用してネットワーク・トラフィッ 

クを分散します。リダイレクト・メカニズムによって、HTTP 接続を構成するすべてのセッションは 1 台のサーバに送信 

されます。これは、HTTP ベースのフォームなど、すべてのユーザ・データを 1 台のサーバで処理する必要がある多 

くの Web アプリケーションにとって不可欠です。 


HTTP リダイレクト・メカニズムは、ConnectControl の負荷分散方式と連携して機能します。最初の HTTP 接続は、 

選択した負荷分散方式を基にして適切なサーバに送信されます。次に ConnectControl は、論理サーバの IP アドレ 

スではなく、選択された物理サーバの IP アドレスにその後の接続を送信する必要があることをクライアントに通知し 

ます。IP アドレスには、ファイアウォールの背後またはオフサイトにあるサーバの IP アドレスを使用できます。セッシ 

ョンの残りの処理は ConnectControl の介入なしで実行され、すべての操作はエンド・ユーザに対して透過的です。 

論理サーバは、ConnectControl による負荷分散の結果に応じて、クライアントをファイアウォールの背後にある 

HTTP サーバまたはオフサイトの HTTP サーバに接続します。 

クライアントとサーバ間のその後のすべての通信は、ConnectControl の介入なしで実行されます。 

Other 

「Other」タイプの論理サーバは、HTTP を含む、Security Gateway によってサポートされるすべてのサービスで使 

用できます。このタイプでは NAT を使用して、ネットワーク・トラフィックをグループ化されたサーバに送信します。 

ConnectControl は、クライアントがセッションを継続している場合でも各サービス・リクエストを仲介します。「Other」 

タイプの論理サーバを作成すると、ConnectControl によって自動的に Security Gateway のカーネル・テーブル内 

にエントリが格納され、接続が許可されます。ConnectControl はリクエストを受け取るサーバを決定し、NAT を使用 

して着信パケットの宛先 IP アドレスを変更します。リターン・コネクションが開かれた場合は、サーバとクライアントの 

間に自動的に接続が確立され、パケット内のサーバの発信元アドレスが論理サーバのアドレスに変換されます。次 

の図は、ファイアウォール 内のネットワーク・アドレス変換される FTP サーバへの接続を表します。 

パケットの返信では、ファイアウォールがパケットの元のアドレスを論理サーバのアドレスに変換します。 

Other タイプの論理サーバを使用して HTTP サービス・リクエストを処理することもできます。HTTP タイプとは異なり、 

クライアントとサーバの間の接続が確立されたあと、「Other」タイプの論理サーバでは接続は切断されません。 

ConnectControl はクライアントからの各 HTTP サービス・リクエストを処理し、1 つのクライアントからの複数のサー 

ビス・リクエストは異なる複数のサーバに送信されます。 

論理サーバのタイプの検討 

ご使用の環境に適切な実施を検討する場合、HTTP フォームの使用、サーバの場所、サーバに NAT を使用という 3 

つの判断基準があります。HTTP タイプは、オフサイトの HTTP サーバおよびフォーム・ベースのアプリケーションを 

サポートしますが、HTTP プロトコルでのみ機能します。Other タイプは、すべてのプロトコルをサポートし、最も効果 

的に負荷分散を実現しますが、ゲートウェイでサービスをネットワーク・アドレス変換する必要があります。 


永続サーバ・モード 

永続サーバ・モードは、最初に接続されたサーバへのクライアントの接続を維持する ConnectControl 機能です。こ 

の機能を使用する場合は、サーバごとの永続性またはサービスごとの永続性のいずれかを選択する必要がありま 

す。 

サーバごとの永続性 

サーバごとの永続性は、たとえば 3 台の Web サーバで負荷分散を行う環境において、フォームのサポートなど特定 

のタイプの HTTP アプリケーションで便利です。[Persistency by server]を有効にすると、ConnectControl が 

HTTP クライアントを特定のサーバに接続し、そのクライアントによる後続の各リクエストは同じサーバに送信されま 

す。このモードを使用すると、クライアントがフォームに入力するときに、個別のサービス・リクエストが異なるサーバ 

に配信される場合に発生する可能性があるデータ損失が起こりません。フォームをサポートする場合は、 

[Persistent server mode](デフォルトの設定 )と[Persistency by server]オプションを有効にします。 

サービスごとの永続性 

サービスごとの永続性機能は、たとえば、それぞれ HTTP と FTP を実行する 2 台のコンピュータから成る冗長環境 

において、サーバ・グループ内で複数のサービスを負荷分散する場合に便利です。 

サービスごとの永続性を使用すると、クライアントは HTTP サービスの場合はある 1 台のサーバに接続され、FTP 

サービスの場合は別のサーバに接続されます。これにより、サーバごとの永続性を選択した場合に、大きな負荷が 

かかったサーバがロック状態になるのを防ぐことができます。[Persistency by service]を利用すると、以前に負荷 

分散されたクライアントが別のサービスを要求した場合、再び負荷分散の処理を行い、適切なサーバに接続させる 

ことができます。 


永続サーバのタイムアウト 

[Persistent server timeout]は、特定のサーバに一度接続されたクライアントがそのサーバに継続的に接続される 

時間を設定します。サーバが使用不能になった場合は、永続サーバ・モードが有効になっている場合でも、新しい接 

続は使用可能なサーバに送信されます。サーバ間で最適な負荷分散を行うには、[Persistent server mode]を無 

効にして、負荷分散方式に従ってすべてのアプリケーションのトラフィックを分散します。[Persistent server 

timeout]は[Global Properties]ウィンドウの[ConnectControl]ページで設定します。 

サーバの可用性 

論理サーバ・グループ内のサーバの可用性を確認するために、ConnectControl のさまざまなプロパティを設定でき 

ます。サーバが継続的にアクティブであることを確認するためにゲートウィーで Ping を行う頻度と、応答しないサー 

バへの接続を試行する回数 (その回数に到達すると、ConnectControl はそのサーバへの接続を停止 )を定義でき 

ます。 

これらの設定は、[Global Properties]ウィンドウの[ConnectControl]ページにあります。[Server availability 

check interval]オプションは、サーバに対して Ping を実行する頻度を定義します。[Server check retries]オプショ 

ンは、応答しないサーバへの接続の試行回数を定義します。 

負荷の測定 

Server Load の負荷分散方式は、グループ内の各サーバで負荷測定エージェントを実行する必要があるという点で 

独特です。このエージェントは軽量であり、遅延やシステム・オーバヘッドがサーバで増加することはありません。こ 

のエージェントは、UDP プロトコルを使用して、負荷測定エージェントと ConnectControl の間で通信を行います。 

チェック・ポイントは、サーバにインストールするサンプルの負荷測定エージェント・アプリケーション、および独自の 

エージェントを作成する必要がある組織のための負荷測定アプリケーション・プログラミング・インタフェース(API)を 

提供しています。チェック・ポイントのサポート・サイト 

(http://supportcontent.checkpoint.com/solutions?id=47.0.1569467.2530820)にログインして、お使いの OS の 

ロード・エージェントのアプリケーションをダウンロードすることができます。 

[Global Properties]ウィンドウの[ConnectControl]ページで負荷測定エージェントのプロパティを設定できます。 

[Load agents port]プロパティで、負荷測定エージェントが Security Gateway と通信するために使用するポートを 

指定します。設定内のすべての負荷測定エージェントが同じポート番号を使用する必要があります。[Load 

measurement interval]プロパティは、エージェントがサーバの負荷に関する情報をファイアウォールに返す間隔を 

定義します(デフォルト値は 20 秒ごと)。 

Windows サーバの場合は、「load_agent_nt 」の構文を使用して負荷測定エージェ 

ントを設定して有効にします。 

ConnectControl によって使用されるデフォルトのポートは 18212 です。「load_value」の値は 0、 1、2 になります。 

 

 

 

「0」は 1 分間隔で負荷を測定します。 



ConnectControl の設定 

ConnectControl を設定するには 

1. SmartDashboard から、ネットワーク・オブジェクト・ツリーで[Network Objects]を右クリックし、[New]→ 

[Node]→[Host]の順に選択します。 

2. 負荷分散対象のサーバを表すサーバ・オブジェクトを定義します。 

3. グループ内に配置する各サーバについて手順 2 を繰り返します。 


4. セキュリティ管理で、[Network Object]を右クリックし、[New]→[Group]→[Simple Group]の順に選択しま 

す。 

5. グループに名前を付けます(たとえば HTTP_Server_Group)。 

6. サーバ・オブジェクトを[Group Properties]ボックスのグループに追加します。29 以上の論理サーバをグループ 

に追加しないことをお勧めします。 

7. SmartDashboard から、ネットワーク・オブジェクト・ツリーで[Network Object]を右クリックし、[New]→ 

[Logical Server]の順に選択します。割り当てる IP アドレスがルーティング可能な IP アドレスであることを確認 

します。負荷分散されるすべてのトラフィックがゲートウェイ経由で送信される必要があります。 

8. サーバのタイプを選択します。 

9. 手順 3 で作成したグループ・オブジェクトを[Servers Group]に追加します。 

10. 永続サーバ・モードを有効にするには、[Persistency by service]または[Persistency by server]を選択します 

(デフォルト・モードは[Persistency by service]です)。 

11. [Balance Method]として負荷分散方式を選択します。 

12. 以下のルールをルール・ベースに追加します。 

負荷分散ルール 

Source Destination Service Action 

Any Logical_Server [ 負荷分散するサービス] Accept 

または User Auth 

または Client Auth 

または Session Auth 

13. HTTP リダイレクトを使用するアプリケーション(HTTP タイプの論理サーバ)に対しては、セッションの開始後に 

物理サーバ・グループがクライアントと直接通信できるように 2 番目のルールを追加します。 

サーバ・グループ接続ルール 


Any HTTP_Server_Group http Accept 

14. [Policy]メニューから[Global Properties]→[ConnectControl]を選択します。デフォルトの設定を確認し、導入 

環境に応じて調整します。以下のオプションが使用できます。 

 

 

 

Servers Availability: ConnectControl が、負荷分散対象のサーバが実行されていてサービス・リクエスト 

に応答することを確認する頻度、およびトラフィックの送信を停止するまでに ConnectControl がサーバの接 

続を試行する回数を管理します。[Server availability check interval]オプションのデフォルト値は 20 秒で 

す。[Server check retries]オプションのデフォルト値は 3 回です。 

Servers Persistency: 特定のサーバに一度接続されたクライアントがそのサーバにトラフィックを送信する 

時間を定義します。[Persistent server timeout]オプションのデフォルト値は 1800 秒です。 

Servers Load Balancing: 負荷測定エージェント( 使用する場合 )が ConnectControl に負荷のステータス 

を報告する頻度、および ConnectControl との通信で使用するポートを管理します。[Load agents port]オ 

プションのデフォルト値は 18212 です。[Load measurement interval]のデフォルト値は 20 秒です。 


第 9 章 

CoreXL 管理 


サポートされるプラットフォームとサポートされない機能 95 

デフォルト設定 96 

IPv6 の CoreXL 96 

パフォーマンス・チューニング 96 

CoreXL の設定 100 

コマンドライン 100 

CoreXL は、マルチコア・プロセッシング・プラットフォームで Security Gateway のパフォーマンスを向上させる技術 

です。CoreXL は、プロセッシング・コアが同時に複数のタスクを実行することを可能にすることで、Security 

Gateway のパフォーマンスを向上させます。 

CoreXL は、単一コンピュータ上のプロセッシング・コアの数に応じて、性能においてほぼ直線的なスケーラビリティ 

を提供します。パフォーマンスの向上は管理やネットワーク・トポロジの変更を必要とすることなく実現されます。 

CoreXL は、ClusterXL 負荷共有や SecureXL など、チェック・ポイントのトラフィック・アクセラレーション技術ファミリ 

を補完する機能の 1 つとして、提供されます。 

CoreXL ゲートウェイでは、ファイアウォールのカーネルは複数回複製されます。ファイアウォール・カーネルの各複 

製コピー、またはインスタンスが、1 プロセッシング・コア上で実行されます。各インスタンスは完全かつ独立した検査 

カーネルで、それぞれのインスタンスで並行してトラフィックを処理します。 

CoreXL ゲートウェイは、通常の Security Gateway のように動作します。すべてのカーネル・インスタンスは、同 

じゲートウェイ・インタフェースを通過するトラフィックを処理し、同じゲートウェイ・·セキュリティ・ポリシーを適用しま 

す。 

サポートされるプラットフォームとサポートされない機能 

CoreXL は GAiA、SecurePlatform、IPSO、Crossbeam プラットフォームでサポートされています。 

サポートされない機能 : 

CoreXL は以下のチェック・ポイント・スイートの機能をサポートしていません。 

チェック・ポイント QoS(サービス品質 ) 

 

 

 

ルート-ベース VPN 

IPSO での IPv6 

重複 NAT 

チェック・ポイント・スイートでサポートされていない機能を有効にするには、「cpconfig」を使用して CoreXL を無効に 

して、ゲートウェイを再起動します(100ページの「CoreXL の設定」を参照 )。 


デフォルト設定 

CoreXL インストール後に、カーネル・インスタンスの数はシステム内のコアの総数から取得されます。 

コア数 

カーネル・インスタンス数 

1 1 

2 2 

4 3 

8 6 

12 10 

12 以上コア数マイナス 2 

PerformancePack がインストールされている場合、すべてのインタフェースのデフォルトのアフィニティ(Affinity) 設定 

は[ 自動 ]です。詳細は「プロセッシング・コアの割り当て」(96ページ)を参照してください。すべてのインタフェースか 

らのトラフィックはセキュア・ネットワーク・ディストリビュータ(SND)を実行してコアに向けられます。 

IPv6 での CoreXL 

R75.40VS は IPv6 トラフィックで複数のコアをサポートします。IPv4 トラフィックで動作するファイアウォールの各カー 

ネル・インスタンスには、IPv6 トラフィックでも動作するファイアウォールのカーネル・インスタンスがあります。両方の 

インスタンスは同じコアで実行されます。 

Security Gateway で CoreXL の状態を確認するには、 

「fw6 ctl multik stat」を実行します。 

「w6 ctl multik stat」(マルチカーネル統計 )コマンドは、各カーネル・インスタンスの IPv6 情報を表示します。各イン 

スタンスの状態とプロセッシング・コア数が以下と一緒に表示されます。 

現在実行されている接続の数。 

インスタンスが開始以来使用していた同時接続の最大数。 

パフォーマンス・チューニング 

以下のセクションは、GAiA と SecurePlatform のみに関連しています。 

プロセッシング・コアの割り当て 

CoreXL ソフトウェア・アーキテクチャには、Secure Network Distributor(SND)が含まれています。SND は以下を 

行います。 

 

ネットワーク・インタフェースからの着信トラフィックの処理 

許可されたパケットの安全な高速化 (PerformancePack が実行されている場合 ) 

 

カーネル・インスタンス間での高速化しないパケットの分配 

ネットワーク・インタフェース・カード(NIC)に入るトラフィックは、SND を実行しているプロセッシング・コアに向けられ 

ます。プロセッシング・コアと特定のインタフェースの関連付けは、そのコアのインタフェースの「アフィニティ 

(Affinity)」と呼ばれます。このアフィニティによって、インタフェースのトラフィックがそのコアに向けられ、SND がその 

コアで実行します。カーネル・インスタンスの設定や特定のコアで実行するためのプロセスは、そのコアのインタフェース 

またはプロセスの「アフィニティ」と呼ばれます。 


すべてのインタフェースのデフォルトのアフィニティ設定は[Automatic]です。自動アフィニティは、Performance 

Pack が実行されている場合、各インタフェースのアフィニティを 60 秒ごとに自動的にリセットし、利用可能なコア間 

のバランスをとります。Performance Pack が実行されていない場合、すべてのインタフェースのデフォルトのアフィ 

ニティは 1 つの利用可能なコアとなります。カーネル・インスタンスを実行している、または別のプロセスのアフィニ 

ティとして定義される任意のプロセッシング・コアはどちらの場合も利用できないとみなされ、インタフェースのアフィ 

ニティとして設定されません。 

次のセクションで説明する一部のケースで、プロセッシング・コア間でカーネル・インスタンス、SND、および他のプロ 

セスの配分を変更することが賢明であるかもしれません。これは、異なる NIC(インタフェース)および/またはプロセ 

スのアフィニティを変更することで行われます。しかし、CoreXL の効率性を確保するために、すべてのインタフェー 

スのトラフィックは、カーネルのインスタンスを実行していないコアに向けられなければなりません。インタフェースま 

たは他のプロセスのアフィニティを変更した場合、それに応じてカーネルのインスタンスの数を設定し、インスタンス 

が他のプロセッシング・コア上で動作することを確認する必要があります。 

通常の状況下で、SND とインスタンスでコアを共有する事はお勧めできません。しかし、2 つのコアのみを搭載した 

コンピュータを使用する場合は、SND とインスタンスでコアを共有する必要があります。 

プロセッシング・コアの割り当て 

ケースによっては、プロセッシング・コア間でカーネル・インスタンス、SND、および他のプロセスの配分を変更する 

望ましい場合もあります。このセクションでは、そのような例を説明します。 

コア割り当てを計画する前に、「プロセッシング・コアの割り当て」(96ページ)を必ずお読みください。 

ハードウェアへのプロセッシング・コアの追加 

ハードウェア・プラットフォーム上でプロセッシング・コアの数を増やしても、自動的にカーネル・インスタンスの数は増 

えません。カーネル・インスタンスの数が増加されていない場合、CoreXL は、いくつかのプロセッシング・コアを利用 

しません。ハードウェアをアップグレードした後は、「cpconfig」を使用して、カーネルのインスタンスの数を増やしま 

す。 

プロセッシング・コア数を増やしハードウェアをアップグレードした場合や、プロセッシング・コアの数は同じままだが、 

カーネル・インスタンスの数を手動でデフォルトから変更した場合、ゲートウェイを再設定してカーネルのインスタンス 

数を変更します。ハードウェアをアップグレードした後は、「cpconfig」を使用して、カーネル・インスタンスの数を設定 

します。 

クラスタ環境では、カーネルのインスタンス数 (たとえば、CoreXL 再インストール)の変更は、バージョン・アップグ 

レードとして扱われるべきです。『R75.40VS Installation and Upgrade Guide』 

(http://supportcontent.checkpoint.com/solutions?id=sk76540)での説明を参照して、「Upgrading ClusterXL 

Deployments」章の「Minimal Effort Upgrade」または「Zero Downtime Upgrade」のいずれかを実行して、バージョ 

ン・アップ用の手順でインスタンスの数を置き換えます。クラスタ環境でカーネル・インスタンスの数を変更する場合 

は、完全に接続を維持しながらアップグレードを実行することはできません。 

SND に追加コアの割り当て 

いくつかの例では、インスタンスと SND のデフォルト設定は最適化されません。SND がトラフィックを減速している場 

合、カーネル・インスタンスの数を減らすことができ、かつ十分なコアがご使用のプラットフォームに搭載されている 

場合は、SND に追加のコアを割り当てることができます。これは、トラフィックの多くが PerformancePack により高 

速化されいる場合や、ClusterXL 負荷共有での導入時、または IPS 機能が無効になっている場合に、発生する可能 

性が大きくなります。これらの場合のいずれにおいても、SND のタスク負荷がカーネル・インスタンスに対して不釣 

合である可能性があります。 

SND がトラフィックを減速しているかどうかを確認するには 

1. 「fw ctl affinity -l -r」を使用して、インタフェースがトラフィックを向けるプロセッシング・コアを特定します。 

2. トラフィックが多い状況で、CoreXL ゲートウェイで「top」コマンドを実行し、「idle」列で別のコアの値を確認しま 

す。 

次のすべての条件が満たされている場合のみ、SND に追加コアを割り当てることをお勧めします。 


お使いのプラットフォームには、少なくとも 8 つのプロセッシング・コアがある 

現在 SND を実行しているコアの「idle」値が 0%〜5%の範囲 

カーネル・インスタンスを実行するコアの「idle」の値の合計が 100%より大幅に高くなっている 

上記のいずれかの条件が満たされていない場合は、1 つのプロセッシング・コアを SND に割り当てるというデフォル 

ト設定で十分であり、それ以上の設定は必要ありません。 

SND に追加のプロセッシング・コアを割り当てるには表示される順に、以下の 2 つの段階を実行する必要がありま 

す。 

1. 「cpconfig」を使用して、カーネル・インスタンスの数を減らします。 

2. 以下のように、残りのコアへのインタフェース・アフィニティを設定します。 

3. 新しい設定を実装するために再起動します。 

インタフェース・アフィニティの設定 

どのコアがカーネル・インスタンスを実行しているかを確認してください。また「プロセッシング・コアの割り当て」(97 

ページ)を参照してください。コアへのインタフェースのアフィニティを設定することにより、SND に残りのコアを割り当 

てます。インタフェース・アフィニティを定義する正しい方法は、次のセクションで説明するように、PerformancePack 

が実行されているかどうかによって異なります。 

 

 

Performance Pack が実行されている場合 

Performance Pack が実行されている場合、インタフェース・アフィニティは Perforamnce Pack の「sim affinity」 

コマンドによって処理されます。 

デフォルトでは「sim affinity」設定は自動で行われます。Performance Pack の自動モードで、インタフェース・ア 

フィニティは、カーネルのインスタンスを実行していなく、また他のプロセス用のアフィニティとして設定されていな 

いコアに自動的に分散されます。 

ほとんどの場合に、「sim affinity」設定を変更する必要はありません。「sim affinity」設定の詳細については、 

『R75.40VS Performance Pack Administration Guide』 


Performance Pack が実行されていない場合の、インタフェースのアフィニティの設定 

Performance Pack が実行されていない場合、インタフェース・アフィニティは、「$FWDIR/conf」にある 

「fwaffinity.conf」と呼ばれる設定テキスト・ファイルからブート時に読み込まれます。テキスト・ファイル内で、文 

字「i」で始まる行は、インタフェース・アフィニティを定義します。 

Performance Pack が実行されている場合は、インタフェース・アフィニティは「sim affinity」設定によって定義さ 

れ、「i in fwaffinity.conf」で始まる行は無視されます。 

SND に 1 つのプロセッシング・コアのみを割り当てている場合は、インタフェース・アフィニティ設定をデフォルト 

の自動のままにし、そのコアを自動的に選択されるようにして下さい。インタフェースに対して明示的なコアのア 

フィニティを設定しないようにすることが最善です。これを実現するために、「fwaffinity.conf」に以下の行が含ま 

れていることを確認してください。 

i default auto 

また、「fwaffinity.conf」では、他には「i」で始まる行が含まれていないようにし、明示的なインタフェースのアフィ 

ニティが定義されていないことを確認して下さい。すべてのインタフェースのトラフィックは、残りのコアに送られ 

ます。 

SND に 2 つのプロセッシング・コアを割り当てる場合は、明示的に残りの 2 つのコアへインタフェースのアフィニ 

ティを設定する必要があります。複数のインタフェースがある場合は、2 つのコアごとに設定するインタフェース 

を決定する必要があります。コア間で予想されるトラフィックのバランスを成立させてるようにしてください(「top」 

コマンドを使用して、後でバランスをチェックすることができます)。 

Performance Pack が実行されていない時に、明示的にインタフェースのアフィニティを設定するには 

1. 「fwaffinity.conf」を編集し、各インタフェースのアフィニティを設定します。ファイルには、各インタフェース用に「i」 

で始まる行をが含まれます。これらの各行は、以下の構文に従う必要があります。 

i 

はインタフェースの名前、はそのインタフェースのアフィニティに設定されるプロセッシ 

ング・コアの番号です。 


たとえば、「eth0」と「eth1」からのトラフィックをコア「#0」で処理させたい場合、また「eth2」からのトラフィックはコ 

ア「#1」で処理させたい場合は、「fwaffinity.conf」で以下の行を作成します。 

i eth0 0 

i eth1 0 

i eth2 1 

また、に「default」を使用して、明示的に 1 つだけプロセッシング・コア用のインタフェース・ 

アフィニティを定義し、残りのインタフェースのデフォルトのアフィニティに他のコアを定義することができます。 

前の例の場合、「fwaffinity.conf」での行は下記のようになります。 

i eth2 1 

i default 0 

2. 「$FWDIR/scripts/fwaffinity_apply」を実行し、fwaffinity.conf」設定を有効にします。 

仮想インタフェースのアフィニティは、その物理インタフェース( 複数可 )を使用して設定できます。 

ヘビー・ロギングのコアの割り当て 

ゲートウェイが大量のログ処理を行なっている場合、ログ記録を実行する fwd デーモンにプロセッシング・コアを割り 

当てることが望ましい場合があります。SND のコアを追加するのと同様に、ツールを用いてカーネル・インスタンスで 

使用可能なコアの数を減らすことができます。 

fwd デーモンへプロセッシング・コアを割り当てるには、次の 2 つのことを行う必要があります。 

1. 「cpconfig」を使用して、カーネル・インスタンスの数を減らします。 

2. 以下のように、fwd デーモン・アフィニティを設定します。 

FWD デーモン・アフィニティの設定 

「fw ctl affinity -l -r」を使用して、どのプロセッシング・コアがカーネルのインスタンスを実行しているか、またどのコア 

がインタフェースのトラフィックを処理しているかを確認します。fwd デーモン・アフィニティをそのコアに設定して、残 

りのコアを fwd デーモンに割り当てます。 

注 - SND を実行しているプロセッシング・コア、またはコアを回避することは、これらのコアが 

明示的にインタフェースのアフィニティとして定義されている場合のみに重要です。インタ 

フェースのアフィニティが[ 自動 ]に設定されている場合、カーネルのインスタンスを実行してい 

ない任意のコアは FWD デーモンを使用することができ、インタフェースのトラフィックは自動的 

に他のコアに転送されます。 

チェック・ポイント・デーモン(たとえば、fwd デーモン)のアフィニティを設定している場合は、「$FWDIR/conf」にある 

「fwaffinity.conf」設定テキスト・ファイルからブート時に読み込まれます。以下の行を追加して、ファイルを編集しま 

す。 

n fwd 

は fwd デーモンのアフィニティとして設定するプロセッシング・コアの番号です。たとえば、コア「#2」を fwd デ 

ーモンのアフィニティとして設定するには、以下をファイルに追加します。 

n fwd 2 

fwaffinity.conf 設定を有効にするには、コンピュータを再起動します。 


CoreXL の設定 

CoreXL を有効 / 無効にするには 

1. 「cpconfig」コマンドを実行します。 

2. [Configure Check Point CoreXL]を選択します。 

3. CoreXL を有効または無効にするかを選択します。 

4. ゲートウェイを再起動します。 

インスタンスの数を設定するには 

1. 「cpconfig」コマンドを実行します。 

2. [Configure Check Point CoreXL]を選択します。 

3. CoreXL が有効になっている場合は、インスタンス化されたファイアウォールの数を変更します。 

CoreXL が無効になっている場合は、CoreXL を有効にしてから、ファイアウォール・インスタンスに必要な数を 

設定します。 

4. ゲートウェイを再起動します。 

注 - クラスタ環境では、カーネルのインスタンス数の変更はバージョン・アップとして扱われる 

べきです。 

コマンドライン 

アフィニティ設定 

アフィニティ設定は、起動時に自動的に実行する「affinity_apply」スクリプト・ファイルで制御されます。アフィニティ設 

定を変更した場合、設定を有効にするには再起動するか、手動で「fwaffinity_apply」スクリプトを実行する事が必要 

です。 

「fwaffinity_apply」は「fwaffinity.conf」テキスト・ファイル内で設定された情報にもとづきアフィニティ定義を実行しま 

す。アフィニティの設定を変更するには、テキスト・ファイルを編集します。 

注 - Performance Pack が実行されている場合、インタフェース・アフィニティは Performance 

Pack の「sim affinity」コマンドによってしか定義されていません。「fwaffinity.conf」インタフェー 

スのアフィニティの設定は無視されます。 

fwaffinity.conf 

「fwaffinity.conf」は「$FWDIR/conf 」ディレクトリにあります。 

構文 

テキスト・ファイルの各行は、同じ「」のフォーマットを使用します。 

データ値説明 

I インタフェース 

n 

k 

チェック・ポイント・デーモン 

カーネル・インスタンス 

インタフェース名 if = i 


データ値説明 

デーモン名 

インスタンス番号 

default 

if = n 

if = k 

別の行に指定されていないインタフェース 

< 番号 > アフィニティとして設定するプロセッシング・コアの番号 

all 

ignore 

auto 

インタフェースのトラフィック、デーモンまたはカーネル・インスタン 

スに適用可能な全てのプロセッシング・コア 

指定されたアフィニティなし(default 設定からインタフェースを除 

外する場合に便利 ) 

自動モードについては「プロセッシング・コア割り当て」(96ページ) 

も参照してください。 

注 - 1 つのインタフェースが「default」アフィニティ設定に含まれる場合でも、IRQ を共有する 

インタフェースは、アフィニティなどの異なるコアを持つことができません。両方のインタフェー 

スを同じアフィニティに設定し、またその中の 1 つに「ignore」を使用します。すべてのインタフ 

ェースの IRQ を表示するには、「fw ctl affinity -l -v -a」のコマンドを実行します。 

fwaffinty_apply 

「fwaffinity_apply」は「$FWDIR/scripts」ディレクトリにあります。コマンドを実行するには、以下の構文を使用します。 

$FWDIR/scripts/fwaffinity_apply 

は次のパラメータのいずれかになります。 


説明 

-q Quiet モード - エラー・メッセージのみ印刷。 

-t 指定されたタイプのみにアフィニティを適用します。 

-f 自動アフィニティがアクティブになっている場合でも、インタフェース・アフィニティを設 

定します。 

fw ctl affinity 

「fw ctl affinity」コマンドはアフィニティ設定を制御します。ただし、Security Gateway を再起動すると「fw ctl affinity」 

設定は保持されません。 

アフィニティを設定するには、「fw ctl affinity -s」を実行します。 

既存のアフィニティを一覧表示するには、「fw ctl affinity -l」を実行します。 

fw ctl affinity -s 

このコマンドを使用してアフィニティを設定します。 

Security Gateway を再起動すると、「fw ctl affinity -s」設定は保持されません。設定を永続に保存するために、 

「sim affinity」(PerformancePack コマンド( 詳細は、『R75.40VS Performance Pack Administration Guide』 


(http://supportcontent.checkpoint.com/solutions?id=sk76540)を参照 )を使用するか、「fwaffinity.conf」設定ファ 

イルを編集します。 

Performance Pack が動作していない場合のみ、「fw ctl affinity」を使用してインタフェース・アフィニティを設定しま 

す。Performance Pack が動作している場合は、Performance Pack の「sim affinity」コマンドを使用し、てインタ 

フェース・アフィニティを設定します。以下の設定は永続的に保存されます。Performance Pack の「sim affinity」を 

自動モード(Performance Pack がその後無効になった場合でも)に設定する場合は、「fw ctl affinity -s」を使用して 

インタフェース・アフィニティを設定できません。 

構文 

fw ctl affinity -s 

は以下のパラメータのいずれかになります。 


説明 

-p 特定のプロセスのアフィニティを設定します。はプロセス ID#で 

す。 

-n チェック·ポイント·デーモンのアフィニティを設定します。は 

チェック・ポイント・デーモン名です(たとえば fwd)。 

-k カーネル・インスタンスのアフィニティを設定します。はイン 

スタンスの番号です。 

-i インタフェースのアフィニティを設定します。はインタ 

フェース名です(たとえば eth0)。 

はプロセッシング・コアの番号またはプロセッシング・コアの番号のリストでなければなりません。任意の特 

定プロセッシング・コアへのアフィニティを持たないようにするには、を「all」にする必要があります。 

例 

注 - インタフェース・アフィニティを設定すると、同じプロセッシング・コアに同じ IRQ を共有し 

ているすべてのインタフェースのアフィニティを設定します。 

すべてのインタフェースの IRQ を表示するには「fw ctl affinity -l -v -a」のコマンドを実行します。 

カーネル・インスタンス「#3」を、プロセッシング・コア「#5」で実行するよう設定するには、以下を実行します。 

fw ctl affinity -s -k 3 5 

fw ctl affinity -l 

このコマンドを使用して既存のアフィニティを一覧表示します。カーネル、デーモンとインタフェース・アフィニティの説 

明については、「CoreXL の管理」(95ページ)を参照してください。 

構文 

fw ctl affinity -l [] [] 

が省略される場合は、「fw ctl affinity -l」はすべてのチェック·ポイントのデーモン、カーネル・イン 

スタンスおよびインタフェースのアフィニティを一覧表示します。それ以外の場合では、は以下の 

パラメータのいずれかになります。 


説明 

-p 特定のプロセスのアフィニティを表示します。はプロセス ID#です。 

-n チェック・ポイント·デーモンのアフィニティを表示します。は 

チェック・ポイント・デーモン名です(たとえば「fwd」)。 



説明 

-k カーネル・インスタンスのアフィニティを表示します。はインスタン 

スの番号です。 

-i インタフェースのアフィニティを表示します。はインタフェー 

ス名です(たとえば「eth0」)。 

が省略される場合、fw ctl affinity –l で特定のアフィニティとそれらのアフィニティを持つアイテムを一覧表 

示します。それ以外の場合は、は以下のパラメータのいずれかになります。 


説明 

-a すべて: 特定のアフィニティを除くアイテムを含めます。 

-r リバース: 各プロセッシング・コアと、アフィニティとして持っている項目を一 

覧表示します。 

-v 詳細 : 追加情報を含むリストです。 

例 

特定のアフィニティを除く全てのチェック・ポイント・デーモン、カーネル・インスタンスおよびインタフェースの完全なア 

フィニティ情報を付加的な情報とともに一覧表示するには、以下を実行します。 

fw ctl affinity -l -a -v 

fw ctl multik stat 

「fw ctl multik stat」と「fw6ctl multik stat」(マルチカーネル統計データ)コマンドは各カーネル・インスタンスの情報を 

表します。各インスタンスの状態とプロセッシング・コア番号が以下と一緒に表示されます。 

現在処理中の接続数。 

インスタンスが開始以来処理した同時接続の最大数。 


付録 A 

付録 

この付録の構成 

ファイアウォールを有効にする前のセキュリティ 104 

ブート・セキュリティ 104 

デフォルト・フィルタ 104 

初期ポリシー 106 

デフォルト·フィルタと初期ポリシーの管理 107 

ファイアウォールを有効にする前のセキュリティ 

ファイアウォールにセキュリティ・ポリシーがインストールされる前に、コンピュータが危険にさらされるケースがいくつ 

かあります。このようなケースでは、次の 2 つの機能によってセキュリティを確保できます。ブート・セキュリティは、起 

動時に安全な通信を確保します。初期ポリシーは、セキュリティ・ポリシーを初めてインストールする前にセキュリティ 

を提供します。したがって、コンピュータが無防備な状態である期間はありません。 

ブート・セキュリティ 

起動処理時には、コンピュータが通信可能となった( 攻撃される可能性がある) 時点から、セキュリティ・ポリシー 

がロードされて実施されるまでの間に、短い期間 ( 数秒間 )があります。この間、ファイアウォールのブート・セキュリ 

ティ機能は、Security Gateway の背後にある内部ネットワークとコンピュータ自体を保護します。ブート・セキュリティ 

は以下の 2 つの要素によって提供されます。 

 

 

起動時の IP 転送の制御 

デフォルト・フィルタ 

デフォルト・フィルタは、メンテナンスのためにファイアウォール・プロセスを停止する場合でも、コンピュータを保護し 

ます。 

起動時の IP 転送の制御 

Security Gateway で保護されているネットワークでは、OS カーネルで IP 転送を無効にすることによって起動時の 

保護を実現できます。これにより、IP 転送が有効なときには常にセキュリティ・ポリシーが実施されます。したがって、 

ゲートウェイの背後にあるネットワークの安全が確保されます。 

IP 転送を無効にすることによって、Security Gateway コンピュータの背後にあるネットワークを保護していますが、 

Security Gateway コンピュータ自体を保護しているわけではありません。このため、Security Gateway は脆弱期間 

にはデフォルト・フィルタを実施します。 

デフォルト・フィルタ 

デフォルト・フィルタで起動する際の Security Gateway の一連の動作を下記に示します。 


1. コンピュータが起動します。 

2. ブート・セキュリティが有効になります(デフォルト・フィルタがロードされ、IP 転送が無効になる)。 

3. インタフェースを設定します。 

4. Security Gateway サービスを開始します。 

コンピュータは、デフォルト・フィルタが読み込まれた直後から保護されます。 

以下のいくつかのデフォルト・フィルタがあります。 

 

一般フィルタは着信通信を受け付けません(デフォルトのオプション)。 

ドロップ・フィルタは着信および発信通信を受け付けません。このフィルタは、脆弱期間にゲートウェイでの発信 / 

着信通信を破棄します。ただし、起動時にゲートウェイが他のホストと通信する必要がある場合には、ドロップ・ 

フィルタを使用しないでください。 

 

 

 

リモート管理をサポートするための SSH 着信通信を許可する IPSO 用デフォルト・フィルタ。 

リモート管理をサポートするための HTTPS 着信通信を許可する IPSO 用デフォルト・フィルタ。 

リモート管理をサポートするための SSH および HTTPS 着信通信を許可する IPSO 用デフォルト・フィルタ。 

プラットフォームと通信の要件に合わせて、適切なデフォルト・フィルタを選択します。デフォルトでは一般フィルタが 

選択されます。 

デフォルト・フィルタには、Security Gateway 用のスプーフィング対策保護も用意されています。これは、発信元が 

Security Gateway コンピュータ自身であるパケットが、そのいずれのインタフェースからも着信していないということ 


デフォルト・フィルタのドロップ・フィルタへの変更 

典型的なセットアップには、「defaultfilter.boot」と「defaultfilter.drop」の 2 つのデフォルトのフィルタがあります。これ 

らの設定は「$FWDIR/lib」にあります。 

デフォルト・フィルタを変更するには 

1. 関連する必要なデフォルト・フィルタ検査ファイル(「defaultfilter.boot」または「defaultfilter.drop」)を 

$FWDIR/conf/defaultfilter.pf にコピーして名前を変更します。 

2. 以下のコマンドを実行してデフォルト・フィルタをコンパイルします。 

fw defaultgen 

「$FWDIR/state/default.bin」に出力されます。 

3. 「fwboot bootconf get_def」を実行し、デフォルト・フィルタ・ファイルへのパスを表示します。 

4. 「default.bin」をデフォルト・フィルタ・ファイルへのパスにコピーします。 


5. セキュリティ・ポリシーをまだインストールしていない場合は、「cpconfig」を実行して初期ポリシーを再生成しま 

す。 

カスタムデフォルト·フィルタの定義 

管理者が INSPECT を熟知している場合は、独自のデフォルト・フィルタを定義できます。 

デフォルト・フィルタを定義するには 

1. 「defaultfilter.pf」という名前の INSPECT スクリプトを$FWDIR/conf に作成します。 

重要 - このスクリプトは以下のいずれの機能も実行しないことを確認します。 

ログ 

認証 

暗号化 

コンテンツ・セキュリティ 

1. デフォルト·フィルタを、ドロップ・フィルタへ変更する場合の手順 2 から処理を続行します。 

セキュリティ・ポリシーが起動プロセスを妨害しないことを確認してください。 

メンテナンス時のデフォルト・フィルタの使用 

メンテナンスのためにファイアウォール・プロセスを停止する必要がある場合があります。しかし、たとえばコンピュー 

タがリモートの場所にある場合など、Security Gateway コンピュータをネットワークから切断できません。 

「cpstop -fwflag -default」コマンドと「cpstop -fwflag -proc」コマンドを使用すると、コンピュータを攻撃の危険にさら 

すことなく、リモート・メンテナンスのために Security Gateway プロセスを一時的に停止できます。 

デフォルト・フィルタではメンテナンス時に、ゲートウェイで開いている接続を破棄せずに開いたままにしておくことが 

できます。 

初期ポリシー 

Security Gateway 管理者がゲートウェイにセキュリティ・ポリシーを初めてインストールするまでは、セキュリティは 

初期ポリシーによって実施されます。初期ポリシーは、デフォルト・フィルタに「暗黙ルール」を追加します。これらの 

ルールはほとんどの通信を禁止しますが、セキュリティ・ポリシーのインストールに必要な通信は許可します。初期 

ポリシーは、チェック・ポイント製品をアップグレードするとき、ゲートウェイで SIC 証明書をリセットするとき、または 

チェック・ポイント製品のライセンスが失効したときにもゲートウェイを保護します。 

注 - 初期ポリシーは、アップグレード時、SIC 証明書のリセット時、またはライセンスの失効時 

にユーザ定義ポリシーを上書きします。 

以下は、セキュリティ・ポリシーが初めてロードされるまでの Security Gateway コンピュータの起動時の一連のアク 

ションです。 

1. コンピュータが起動します。 

2. デフォルト・フィルタのロードと IP 転送を無効にします。 

3. インタフェースを設定します。 

4. Security Gateway サービスが開始します。 

5. ローカル・ゲートウェイから初期ポリシーを取得します。 


6. SmartConsole クライアントの接続または信頼関係を確立し、セキュリティ・ポリシーをインストールします。 

初期ポリシーは、ユーザを定義したポリシーがインストールされるまで実施され、その後は再びロードされることはあ 

りません。これ以降の起動では、デフォルト・フィルタの直後に通常のポリシーが読み込まれます。 

スタンドアロン構成と分散構成にはそれぞれ異なる初期ポリシーがあります。Security Management Server と 

Security Gateway が同一のコンピュータに導入されているスタンドアロン構成では、初期ポリシーは CPMI 通信の 

み許可します。これは、SmartConsole クライアントが Security Management Server に接続することを許可します。 

プライマリ Security Management Server が 1 台のコンピュータに導入され、Security Gateway が別のコンピュータ 

に導入されている分散構成では、初期ポリシーは以下の通信を許可します。 

 

 

プライマリ Security Management Server ― SmartConsole クライアントに CPMI 通信を許可します。 

Security Gateway — SIC 通信 ( 信頼関係を確立するため)とポリシーのインストールに「cpd」と「fwd」通信を 

許可します。 

分散構成では、Security Gateway の初期ポリシーは CPMI 接続を許可しません。SmartConsole が、初期ポリシー 

を実行しているゲートウェイを介して Security Management Server にアクセスする必要がある場合は、 

SmartConsole は Security Management Server に接続できません。 

セカンダリ Security Management Server(Managed HA) 用の初期ポリシーもあります。この初期ポリシーは、 

SmartConsole クライアントに CPMI 通信を許可し、SIC 通信 ( 信頼関係を確立するため)とポリシーのインストール 

に cpd と fwd 通信を許可します。 

デフォルト·フィルタと初期ポリシーの管理 

デフォルト・フィルタまたは初期ポリシーが読み込まれていることを確認 

デフォルト・フィルタと初期ポリシーの両方またはそのいずれかが読み込まれていることを確認できます。 


デフォルト・フィルタまたは初期ポリシーがロードされていることを確認するには 

1. システムを起動します。 

2. 他のセキュリティ・ポリシーをインストールする前に、以下のコマンドを入力します。 

$FWDIR/bin/fw stat 

コマンドの出力は、デフォルト・フィルタ・ステータスに「defaultfilter」がインストールされているとを示します。初期 

ポリシーが使用されている場合は、ステータスに「InitialPolicy」が表示されます。 

デフォルト·フィルタまたは初期ポリシーのアンロード 

デフォルト・フィルタまたは初期ポリシーをカーネルからアンロードするには、通常のポリシーのアンロードと同じコマ 

ンドを使用します。アンロードは、デフォルト・フィルタまたは初期ポリシーによるセキュリティが不要であることが確実 

な場合にのみ行ってください。 

ローカルでデフォルト·フィルタをアンロードするには 

 

「fw unloadlocal」コマンドを実行します。 

リモート・セキュリティ管理コンピュータから初期ポリシーをアンロードするには 

 

Security Management サーバで次のコマンドを実行します。 

fwm unload 

「hostname」はゲートウェイの SIC_name です。 

トラブルシューティング: 再起動を完了できない 

構成によって、デフォルト・フィルタのために Security Gateway コンピュータがインストールしたあとで再起動できな 

いことがあります。 

まず、デフォルト・フィルタを調べ、デフォルト・フィルタがコンピュータの再起動に必要なトラフィックを許可しているか 

確認します。 

起動処理を終了できない場合は、以下の手順に従ってデフォルト・フィルタを削除します。 

1. 「single user」モード(UNIX)または「Safe Mode With No Networking(Windows 2000)」で再起動します。 

2. 以降の起動時にデフォルト・フィルタが読み込まれないようにします。コマンド「fwbootconf bootconf Set_def」を 

使用します。 

3. 再起動します。 

コマンドライン 

control_bootsec 

ブート・セキュリティを有効または無効にします。このコマンドは、デフォルト・フィルタと初期ポリシーの両方に影響し 

ます。 

使用方法 

$FWDIR/bin/control_bootsec [-r] [-g] 

control_bootsec のオプション 

オプション 

内容 

-r ブート・セキュリティを無効にします。 

-g ブート・セキュリティを有効にします。 


fwboot bootconf 

「fwboot bootconf」コマンドを使用してセキュリティ・オプションの起動を設定します。このコマンドは$FWDIR/boot に 

あります。 

使用方法 

$FWDIR/bin/fwboot bootconf [value] 

fwboot bootconf のオプション 


Get_ipf 

Set_ipf 0/1 

Get_def 

Set_def 

内容 

ファイアウォールが IP 転送を制御するかどうかを通知します。 

 

 

起動時に IP 転送を制御する場合は「1」を返します。 

起動時に IP 転送を制御しない場合は「0」を返します。 

次回の起動時に IP 転送の制御を無効 / 有効にします。 

0 - 無効にします。 

1 - 有効にします。 

起動時に使用するデフォルト・フィルタの完全なパスを返します。 

次回の起動時に、デフォルト・フィルタとしてをロードします。 

default.bin ファイルを安全に格納できる唯一の場所として、$FWDIR¥boot 

をお勧めします。(default.bin ファイル名がデフォルトの名前です)。 

注 - これらのファイルを移動しないでください。 

comp_init_policy 

「comp_init_policy」コマンドを使用して、初期ポリシーの生成と読み込み、または削除を行います。 

このコマンドは初期ポリシーを生成します。コンピュータの次回起動時、または次にポリシーを取得した際 (「cpstart」 

の実行時または「fw fetch localhost」コマンドによる取得時 )に、初期ポリシーがロードされるようにします。このコマ 

ンドを実行したあとは、それまでポリシーがインストールされていなかった場合は、「cpconfig」によって初期ポリシー 

が追加されます。 

使用方法 

$FWDIR/bin/comp_init_policy [-u | -g] 

comp_init_policy のオプション 


内容 

-u 現在の初期ポリシーを削除し、以後の「cpconfig」の実行時に再生成されないようにします。 

-g 初期ポリシーを生成し、次にポリシーを取得した際 (「cpstart」実行時、次回起動時、または 

「fw fetchlocalhost」コマンドによる取得時 )に、初期ポリシーがロードされるようにします。こ 

のコマンドを実行したあとは、必要に応じて「cpconfig」によって初期ポリシーを追加します。 

「comp_init_policy -g」コマンドは、それまでポリシーがない場合にのみ使用できます。ポリシーがある場合には、ポ 

リシーを削除したあとで「$FWDIR¥state¥local¥FW1¥」フォルダを削除してください。「$FWDIR/state/local/FW1」 

フォルダには、「fw fetch localhost」を実行して取得されるポリシーが格納されています。 

「fw fetch localhost」コマンドはローカル・ポリシーをインストールするコマンドです。「cpstart. comp_init_policy」は 

初期ポリシーを作成しますが、安全対策として初期ポリシーは通常のユーザ・ポリシーを上書きしないようになって 

います( 初期ポリシーは新規インストールまたはアップグレードのみに使用されるため)。このため、前のポリシーが 


ある場合は「$FWDIR¥state¥local¥FW1¥」ディレクトリを削除する必要があります。削除しない場合は、 

「comp_init_policy」はその既存のユーザ・ポリシーを検出しますが、それを上書きしません。 

以前のポリシーを削除しない場合に、以下のコマンドを実行します … 

… 元のポリシーが読み込まれます。 

comp_init_policy -g + fw fetch localhost 

comp_init_policy -g + cpstart 

comp_init_policy -g + reboot 

cpstop -fwflag default と cpstop -fwflag proc 

すべてのファイアウォール・プロセスを停止し、デフォルト・フィルタを実行したままにするには、「cpstop -fwflag 

-default」を使用します。すべての Security Gateway プロセスを停止し、セキュリティ・ポリシーを実行したままにする 

には、「cpstop -fwflag -proc」を使用します。 

すべてのチェック・ポイント・プロセスを開始または停止させるには、「cpstop」と「cpstart」を使用します。これらのコ 

マンドは注意して使用する必要があります。 

Win32 プラットフォームでは、チェック・ポイント・サービスの停止と開始には[コントロール・パネル]の[サービス]を 

使用してください。 

使用方法 

cpstop -fwflag [-default | -proc] 

fwflag のオプション 


-default 

-proc 

内容 

ファイアウォールのプロセス(fwd、fwm、vpnd、snmpd など)を停止します。ログ、カーネル・トラッ 

プ、リソース、およびセキュリティ・サーバのすべての接続が停止します。 

カーネルのセキュリティ・ポリシーは、デフォルト・フィルタに置き換えられます。 

ファイアウォールのプロセス (fwd、fwm、vpnd など)を停止します。ログ、カーネル・トラップ、 

リソース、およびセキュリティ・サーバのすべての接続が停止します。 

セキュリティ・ポリシーは、カーネルにロードされたまま維持されます。したがって、リソースを使用 

せずにサービスのみを使用する許可 / 拒否 / 破棄ルールは維持されます。 


付録 B 

付録 

このセクションはレガシー認証方法の使い方を述べます。 


認証の設定 111 

認証スキーム 112 

認証方式 116 

ユーザとグループの作成 125 

認証トラッキングの設定 126 

Windows ユーザ・グループ用のポリシーの設定 126 

認証の設定 

Security Gateway では、以下の 2 つの場所のいずれかで認証を設定できます。 

 

 

ゲートウェイの[Gateway Properties]ウィンドウの[Authentication]ページで、チェック・ポイント・パスワード、 

SecurID、OS Password で認証するユーザ、 RADIUS サーバまたは TACACS サーバへのアクセスを許可す 

ることができます。選択した方法の他に、内部認証局からのクライアント証明書を使用した認証がデフォルトで 

有効になっています。 

一部のブレードには、独自の認証設定があります。[]→[Authentication] 下で、ゲートウェイの 

[Gateway Properties]ウィンドウでこれを設定します。たとえば、[Gateway Properties]→[IPSec VPN]→ 

[Authentication]の順に選択して IPSec VPN クライアントの認証方法を設定するとします。ブレードの認証方式 

を選択した場合は、そのブレードを認証するのにすべてのユーザが使用しなければならない方法です。別の 

ページでの別のブレードに使用しなければならない他の認証方法を設定することができます。 

特定のブレード用に[Authentication]ページで選択しない場合は、Security Gateway はゲートウェイの認証 

ページからブレードの認証設定を行います。 

注 - 以前のリリースで、特定のブレードの認証設定オプションはありませんでした。R75 または 

それ以上のバージョンから、特定のブレードの認証方式を設定する場合は、このページの設定は 

そのブレードに全く適用されません。 

ゲートウェイのユーザ検索 

Security Gateway の[Legacy Authentication]ページから、ブレードの認証を設定する場合は、Security Gateway 

は標準的な方法で認証しようとするユーザを検索します。ゲートウェイは以下を検索します。 

1. 内部ユーザ·データベース。 

2. 指定したユーザがこのデータベースで定義されていない場合は、ゲートウェイは、アカウント・ユニットで定義さ 

れている User Directory(LDAP)サーバを優先順位に従って 1 つずつ検索します。 

3. それでも情報が見つからない場合は、ゲートウェイは外部ユーザ・テンプレートを使用して、汎用プロファイルに 

一致するものがないかどうかを確認します。汎用プロファイルには、指定したユーザに適用されるデフォルトの 

属性が含まれています。 


特定のブレードの認証方式を設定する場合は、ゲートウェイはそのブレードでの認証に使用されるユーザ・グループ 

に応じてユーザを検索します。 

たとえば、Mobile Access でゲートウェイがどのユーザ・グループが含まれているかを確認するために Mobile 

Access ポリシーを参照します。ゲートウェイがユーザを認証しようとする場合は、ユーザ·グループに関連するデー 

タベース内のユーザを検索します。 

IPSec VPN で、ゲートウェイは、ユーザ・グループが含まれているかを確認するためにリモート・アクセス VPN コミュ 

ニティを参照します。それらのユーザ·グループに関連するデータベース内のユーザを検索します。 

認証方式に基づいた検索は高速で、良い結果を得ることができます。関連しないグループでは同じユーザ名のユー 

ザを設定することができます。ゲートウェイは、ユーザ・グループに基づいてブレードに関連しているユーザを認識し 

ます。 

認証スキーム 

Security Gateway は認証情報を使用して個々のユーザを認証します。認証情報はいくつかの認証スキームで管理 

されます。すべての認証スキームではユーザ名とパスワードを設定している必要があります。パスワードをゲート 

ウェイに保存するスキームでも、外部サーバに保存するスキームでも同様です。 

以下のセクションでは、チェック・ポイントでサポートされている様々な認証方式を説明します。 

チェック・ポイント・パスワード 

Security Gateway は、セキュリティ管理サーバで設定された各ユーザの固定パスワードをローカルのユーザ・デー 

タベースに保存できます。追加のソフトウェアは必要ありません。 

オペレーティング・システム・パスワード 

Security Gateway は、Security Gateway がインストールされているコンピュータのオペレーティング・システムに保 

存されているユーザ情報とパスワードを使用して認証できます。Windows ドメインに保存されているパスワードを使 

用することもできます。追加のソフトウェアは必要ありません。 

RADIUS 

RADIUS(Remote Authentication Dial-In User Service)は、認証機能をアクセス・サーバから切り離すことで、セ 

キュリティとスケーラビリティを提供する外部認証スキームです。 

RADIUS を使用すると、Security Gateway はリモート・ユーザの認証要求を RADIUS サーバに転送します。ユーザ 

は、ユーザ・アカウント情報を保存している RADIUS サーバによって認証されます。 

RADIUS プロトコルでは、UDP を使用してゲートウェイと通信します。RADIUS サーバと RADIUS サーバ・グルー 

プ・オブジェクトは、SmartDashboard で定義します。 

RADIUS 認証を使用するための Security Gateway 設定 

RADIUS 認証を使用するために Security Gateway を設定するには 

1. SmartDashboard から、[Manage]→[Network Objects]→[New]→[Node]→[Host]の順に選択して、 

RADIUS ホスト・オブジェクトを新規作成します。 

2. ホスト・オブジェクトに名前を付けて、IP アドレスを割り当てます。 

3. [Manage]→[Server and OPSEC Applications]→[New]→[RADIUS]を選択し、RADIUS サーバ・オブジェ 

クトを新規作成し、以下のように設定します。 

a) RADIUS サーバ・オブジェクトに名前を付けます。 

b) RADIUS サーバ・オブジェクトを、手順 1 で作成した RADIUS ホスト・オブジェクトに関連付けます。 


c) ポート 1645 サービス上の[RADIUS]またはポート 1812 上の[NEW-RADIUS]を選択してサービスを割り 

当てます(デフォルトの設定は[RADIUS]ですが、1645 は同じポート上で実行される「datametrics」サービ 

スと競合する可能性があるため、RADIUS 標準グループでは[NEW-RADIUS]の使用を推奨しています)。 

d) 実際の RADIUS サーバ上で設定したのと同じ共有の秘密鍵を割り当てます。 

e) RFC 2138 準拠の RADIUS バージョン 1.0 または RFC2865 準拠の RADIUS バージョン 2 のいずれかを 

選択します。 

f) 複数の RADIUS 認証サーバを使用する場合は、RADIUS サーバの優先順位を割り当てます。 

g) [OK]をクリックします。 

4. ゲートウェイ・オブジェクトを右クリックして、[Edit]→[Authentication]の順に選択します。 

5. RADIUS 認証を有効にします。 

6. [Manage]→[Users & Administrators]→[New]→[User Group]の順に選択して、ユーザ・グループ(たとえ 

ば RADIUS_Users)を定義します。 

7. [Manage]→[Users and Administrators]→[New]→[User by Template]→[Default]の順に選択して、 

Security Gateway の RADIUS 認証を有効にします。 

8. 外部ユーザ・プロファイルを作成することによって、Security Gateway ユーザ・アカウントを使用しないユーザへ 

の RADIUS 認証を有効にすることができます。[Manage]→[Users and Administrators]→[New]→ 

[External User Profile]→[Match all users]または[Match by domain]の順に選択します。複数の外部認証 

スキームをサポートするには、[Match By Domain] 設定を使用して外部ユーザ・プロファイルを定義します。 

9. すべてのユーザ・プロファイルとテンプレートについて以下の手順を実行します。 

a) [General]タブで、RADIUS サーバのデフォルトのログイン名を入力します([Match all users]を外部ユー 

ザ・プロファイルとして設定する場合は、「generic*」という名前が自動的に割り当てられます。) 

b) [Personal]タブで、[Expiration Date]を調整します。 

c) [Authentication]タブで、ドロップダウン・リストから[RADIUS]を選択します。 

d) [Groups]タブで、RADIUS グループにユーザを追加します。 

10. アドレス変換ルール・ベースでファイアウォールと RADIUS サーバの間の通信が定義されないことを確認しま 

す。 

11. ポリシーを確認および保存し、インストールします。 

RADIUS サーバ・グループを使用したユーザ・アクセス権の付与 

Security Gateway を使用すると、管理者がユーザに割り当てた RADIUS グループにより、認証された RADIUS 

ユーザのアクセス権を制御できます。これらのグループは、特定のリソースへのアクセスをユーザに制限または許 

可するためにセキュリティ・ルール・ベースで使用されます。ユーザは自分が所属しているグループを認識しません。 

RADIUS グループを使用するには、RADIUS サーバ上の RADIUS ユーザ・プロファイルで戻り属性を定義する必要 

があります。この属性は Security Gateway に返され、ユーザが属するグループ名 (たとえば、RAD_)を含んでいます。他の RADIUS 属性も使用できますが、デフォルトでは Class 

属性が使用されます(IETF RADIUS 属性番号 25)。 

RADIUS サーバ・グループを使用してアクセス権を付与するには 

1. Security Gateway で、RADIUS を使用するには、「Security Gateway の設定」の手順 1~4 に従います(112 

ページを参照 )。 

2. [Manage]→[Users and Administrators]→[New]→[External User Profile]→[Match all users]の順に選 

択して外部ユーザ・プロファイルを作成します。これは generic*ユーザです。 

3. [Authentication]タブで、認証スキームとして[RADIUS]を選択して、ドロップダウン・リストから、作成した 

RADIUS サーバ(ノードではない)を選択します。 

4. [Manage]→[Users & Administrators]→[New]→[User Group]を選択して、必要な RADIUS ユーザ・グル 

ープを定義します。グループの名前は「RAD_」の書式にする必 

要があります。グループが空であることを確認します。 

5. RADIUS ユーザのアクセスを許可するために必要なルールを作成します。 


6. 変更を保存し、SmartDashboard を終了します。 

7. Security Management Server で「cpstop」を実行します。 

8. Security Management Server で、グラフィカル・データベース・ツール(GUIdbEdit)を使用し、 

「add_radius_groups」属性の値を「false」から「true」に変更します。 

9. Security Management Server で「cpstart」を実行します。 


11. RADIUS サーバで RADIUS ユーザを変更して、ユーザがアクセスするユーザ・グループに対応する戻り属性の 

リストに class RADIUS 属性が含まれるようにします。 

「class」属性の代わりに別の属性を使用するには 

1. Security Gateway で、GUIdbEdit を使用して、「firewall_properties」属性の値「radius_groups_attr」を新しい 

RADIUS 属性に変更します。 

2. RADIUS サーバ上で、ユーザがアクセスするファイアウォール・ユーザ・グループに対応する戻り属性のリストで、 

同じ RADIUS 属性を使用していることを確認します。 

Security Gateway を使用した RADIUS サーバとの関連付け 

ユーザ・プロパティ認証タブでユーザを Radius 認証サーバに関連付けることができます。また、ゲートウェイを 

RADIUS サーバと関連付けることもできます。これにより、ユーザと RADIUS サーバの関連付けは無効になります。 

このためには、dbedit コマンドを使用してデータベースを編集します。 

1 つ以上の RADIUS サーバをゲートウェイに関連付けるには 

1. 以下の「dbedit」コマンドを実行します。 

modify network_objects radius_server servers: 

2. RADIUS サーバと Security Gateway の関連付けをなくし、ユーザが常に[ユーザ・プロパティ認証 ]タブで指定 

された RADIUS サーバに対して認証されるようにするには、以下の「dbedit」コマンドを実行して、データベース 

の別の属性をオフに設定します 

modify users use_fw_radius_if_exist false 

SecurID 

SecurID では、ユーザがトークン認証コードを所有し、PIN またはパスワードを入力する必要があります。トークン認 

証コードは RSA ACE/Server に同期されるワン・タイム・パスワードを生成します。トークンはハードウェアまたはソフ 

トウェアの形式で提供されます。ハードウェア・トークンはキーホルダー型またはクレジット・カード型のデバイスで、 

ソフトウェア・トークンは PC またはユーザが認証したいデバイスに保存されます。すべてのトークンは、約 1 分ごとに 

変更される、ランダムで一度だけ使用されるアクセス・コードを生成します。ユーザが、保護されたリソースに対して 

認証しようとする場合は、一度だけ使用されるコードが ACE/Server によって検証される必要があります。 

SecurID を使用すると、Security Gateway はリモート・ユーザの認証要求を ACE/Server に転送します。ACE は、 

RSA ユーザ、およびそのユーザに割り当てられたハードウェア・トークンまたはソフトウェア・トークンのデータベース 

を管理します。ゲートウェイは ACE/Agent 5.0 として動作し、すべてのアクセス要求を認証のために RSA 

ACE/Server に転送します。エージェント設定の詳細については、ACE/Server のマニュアルを参照してください。 

SecurID 認証スキームに必要な固有のパラメータはありません。 

SecurID 認証を使用するための Security Gateway 設定 

SecurID を使用するために Security Gateway を設定するには 

1. 「sdconf.rec」ファイルを生成し、「ACE/Server」から次の場所にコピーします。 

「/var/ace/sdconf.rec」(UNIX、Linux、IPSO の場合 ) 

「%SystemRoot%\System32\sdconf.rec」(Windows の場合 ) 


2. SmartDashboard でゲートウェイ・オブジェクトを右クリックして、[Edit]>[Authentication]ページの順に選択し 

ます。 

3. SecurID 認証を有効にします。 


ば、SecurID_Users)を定義します。 

5. [Manage]→[Users and Administrators]→[New]→[User by Template]→[Default]の順に選択して、セキュリ 

ティ・ゲートウェイ・ユーザの SecurID 認証を有効にします。 

6. 外部ユーザ・プロファイルを作成することによって、Security Gateway ユーザ・アカウントを使用しないユーザに 

対して SecurID 認証を有効にすることができます。[Manage]→[Users and Administrators]→[New]→ 

[External User Profile]→[Match all users]または[Match by domain]の順に選択します。複数の外部認証 

スキームをサポートするには、[Match By Domain] 設定を使用して外部ユーザ・プロファイルを設定します。 


a) [General]タブで、「ACE/Server」のデフォルトのログイン名を入力します([Match all users]を外部ユー 

ザ・プロファイルとして設定する場合は、「generic*」という名前が自動的に割り当てられます)。 

b) [Personal]タブで、[Expiration Date]を設定します。 

c) [Authentication]タブで、ドロップダウン・リストから[SecurID]を選択します。 

d) [Groups]タブで、SecurID グループにユーザ・プロファイルを追加します。 

8. アドレス変換ルール・ベースでファイアウォールと ACE/Server の間の通信が変換されないことを確認します。 


注 - Security Gateway に複数のインタフェースがある場合、状況によって、Security 

Gateway の SecurID エージェントが誤ったインタフェース IP を使用して ACE/Server からの 

返信を復号し、認証が失敗することがあります。 

この問題を解決するには、「sdopts.rec」という新しいテキスト・ファイルを「sdconf.rec」と同じ 

ディレクトリに置きます。このファイルには、CLIENT_IP= 行を含める必要があります。 

「」は Security Gateway のプライマリ IP で、ACE/Server で定義されます。これはサーバ 

にルーティングされるインタフェースの IP です。 

TACACS 

TACACS(Terminal Access Controller Access Control System)は、1 つまたは複数の中央サーバにより、ルータ、 

ネットワーク・アクセス・サーバ、および他のネットワーク・デバイスのアクセス管理を行います。 

TACACS は検証サービスを提供する外部認証スキームです。TACACS を使用すると、Security Gateway はリモー 

ト・ユーザの認証要求を TACACS サーバに転送します。ユーザ・アカウント情報を保存する TACACS サーバがユー 

ザを認証します。このシステムは物理的なカード鍵デバイスまたはトークン・カード、および Kerberos 秘密鍵認証を 

サポートします。TACACS は、通信の安全性を確保するために、すべての認証要求のユーザ名、パスワード、認証 

サービス、およびアカウント情報を暗号化します。 

TACACS+ 認証を使用する Security Gateway の設定 

TACACS+を使用するために Security Gateway を設定するには 

1. SmartDashboard から、[Manage]→[Network Objects]→[New]→[Node]→[Host]の順に選択して、 

TACACS ホスト・オブジェクトを新規作成します。 

2. ホスト・オブジェクトに名前を付けて、IP アドレスを割り当てます。 

3. [Manage]→[Server and OPSEC Applications]→[New…]→[TACACS…]の順に選択して TACACS サー 

バを作成し、以下の項目を設定します。 

a) TACACS サーバ・オブジェクトに名前を付けます。 

b) TACACS サーバ・オブジェクトを手順 1 で作成した TACACS ホスト・オブジェクトに関連付けます。 


c) 実行する TACACS の Type を選択します(デフォルトは TACACS ですが、TACACS+をお勧めします)。 

d) サービスを割り当てます。TACACS サービス(UDP または TCP)をステップ C で選択した Type に一致させ 

ます。 

4. ゲートウェイ・オブジェクトを右クリックして、[Edit]→[Authentication]の順に選択します。 

5. TACACS 認証を有効にします。 


ば TACACS_Users)を定義します。 

7. [Manage]→[Users and Administrators]→[New]→[User by Template]→[Default]の順に選択して、 

Security Gateway の TACACS 認証を有効にします。 

8. 外部ユーザ・プロファイルを作成することによって、セキュリティ・ゲートウェイ・ユーザ・アカウントを使用しない 

ユーザに対して TACACS 認証を有効にすることができます。[Manage]→[Users and Administrators]→ 

[New]→[External User Profile]→[Match all users]または[Match by domain]の順に選択します。複数の 

外部認証スキームがサポートされている場合は、[Match By Domain] 設定を使用して外部ユーザ・プロファイ 

ルを設定します。 


a) [General]タブで、TACACS サーバのデフォルトのログイン名を入力します([Match all users]を外部ユー 

ザ・プロファイルとして設定する場合は、「generic*」という名前が自動的に割り当てられます)。 

b) [Personal]タブで、[Expiration Date]を設定します。 

c) [Authentication]タブで、ドロップダウン・リストから[TACACS]を選択します。 

d) [Groups]タブで、TACACS グループにユーザ・プロファイルを追加します。 

10. アドレス変換ルール・ベースでファイアウォールと TACACS サーバの間の通信が変換されないことを確認しま 

す。 


Undefined 

ユーザの認証スキームを undefined( 未定義 )と定義できます。未定義認証スキームを持つユーザが何らかの形式 

の認証を使用するセキュリティ・ルールに一致した場合は、アクセスは常に拒否されます。 

認証方式 

ファイアウォール 管理者は、接続を単純に許可または拒否するセキュリティ・ルールを作成する代わりに、クライアン 

トが特定のネットワーク・リソースにアクセスしようとしたときに認証するように要求できます。 

ユーザ認証、クライアント認証、セッション認証の 3 つの認証方式を利用できます。これらの認証方式では、提供さ 

れたサービス、ログオン・メカニズム、および全体的なユーザ・エクスペリエンスが異なります。各認証方式は、ゲート 

ウェイにクライアントを接続して認証した後で、目的のリソースに接続を渡すように設定できます(このプロセスは非ト 

ランスペアレント認証と呼ばれます)。または、クライアントを対象サーバに直接接続するように設定できます(このプ 

ロセスはトランスペアレント認証と呼ばれます)。 

ユーザ認証 

ユーザ認証は、Telnet、FTP、HTTP、および RLOGIN サービスの認証機能を提供します。ユーザ認証はデフォルト 

でトランスペアレント認証です。ユーザは直接ゲートウェイに接続せず、対象となるサーバに接続します。 

一般的なユーザ認証方式のワークフローを以下に示します。 

1. Security Gateway は、クライアントとサーバ間の通信を傍受します。 

2. Security Gateway ユーザのユーザ名とパスワードを求めるプロンプトが表示されます。 


3. ユーザが正常に認証された場合、ゲートウェイは接続をリモート・ホストに渡します。不正な認証情報が入力さ 

れた場合、ユーザはデータを再入力するように要求されます。事前定義された接続試行回数以上、不正な認証 

情報が提供された場合は、接続が破棄されます。 

4. リモート・ホストは、ユーザ名とパスワードをユーザに要求します。 

注 - ユーザ・オブジェクトを設定するときに、ユーザがアクセスを許可される場所を設定でき 

ます。しかし、何らかの形式の認証を必要とするセキュリティ・ルールと競合する可能性があり 

ます。詳細については「アクセスの競合の解決」(123ページ)を参照してください。 

ユーザ認証の設定 

ユーザ認証を設定するには 

1. 認証に必要なユーザとグループを設定し、ユーザ・データベースをインストールします。詳細については、「ユー 

ザとグループの作成」(125ページ)を参照してください。 

2. 以下の手順に従って、ユーザ認証アクセス・ルールを定義します。 

a) [Source]カラムを右クリックして、[Add object]→[Add legacy user access]の順に選択し、グループを選 


b) 認証ユーザの場所を限定するには、同じウィンドウの[Location]セクションで[Restrict To]を選択し、ユー 

ザがアクセスできるホスト、ホストのグループ、ネットワーク、またはネットワーク・グループを選択します。 

c) [Service]フィールドで、認証するサービスを選択します。 

d) [Action]カラムで、[Legacy]→[User Auth]の順に選択します。 

3. [Action]カラムをダブルクリックして[Session Authentication Action Properties]を編集します。 

4. 必要に応じて、Security Gatewayオブジェクトの[Authentication]ページで、ユーザ認証セッションのタイムアウ 

トを調整します。 

5. [Policy]→[Install]の順に選択して、セキュリティ・ポリシーをインストールします。 

ユーザ認証ルールの順序の重要性 

Telnet、FTP、HTTP、および RLOGIN サービスに対するユーザ認証ルールを定義するときに、これらのサービスを 

使用する他の非認証ルールが存在する場合は、ユーザ認証ルールは必ずそれらのルールの最後に設定してくださ 

い。 

セッション認証 

セッション認証は任意のサービスに使用できますが、ユーザの身元を確認するためにセッション認証エージェントが 

必要です。セッション認証エージェントは通常、認証を行うクライアントにインストールされます。この場合、対象ホス 

トへの接続を開始するユーザが認証情報を提供します。セッション認証では接続ごとに認証手順が必要です。ただ 

し、セッション認証エージェントは、対象のコンピュータまたはネットワーク内の他のコンピュータにインストールして、 

そのコンピュータのユーザがユーザ名とパスワードを入力できるようにすることもできます。 

一般的なセッション認証のワークフローを以下に示します。 

1. ユーザがサーバに直接、接続を開始します。 

2. Security Gateway は接続を代行受信します。 

3. セッション認証エージェントはユーザに認証データを要求し、ゲートウェイにこの情報を返します。 

4. 認証に成功すると、Security Gateway はこの接続がゲートウェイを通過して目的のサーバに接続することを許 

可します。 

注 - ユーザ・オブジェクトを設定するときに、ユーザがアクセスを許可される場所を設定でき 

ます。これは、何らかの形式の認証を必要とするセキュリティ・ルールと競合する可能性があ 

ります。「アクセス競合の解決」(123ページ)も参照してください 


セッション認証の設定 

セッション認証を設定するには、以下の手順に従います。 

1. セッション認証エージェントを使用する場合、セッション認証を利用するすべてのコンピュータのデスクトップに 

エージェントをインストールして設定します。 



3. ゲートウェイを表すチェック・ポイント・ゲートウェイ・オブジェクトを編集し、[Authentication]ページで必要な認証 

スキームを有効にします。ゲートウェイはユーザに定義されたすべての認証スキームをサポートする必要があり 

ます。たとえば、一部のユーザがチェック・ポイント・パスワードを使用し、他のユーザが RADIUS 認証を使用す 

る場合は、両方のスキームを選択します。 

4. 以下の手順に従って、セッション認証アクセス・ルールを定義します。 

a) [Source]カラムを右クリックして、[Add object]>[Add legacy user access]の順に選択し、グループを選 

択します。ウィンドウを閉じないでください。 




d) [Action]カラムで、[Legacy]→[Session Auth]の順に選択します。 

5. [Action]カラムをダブルクリックしてセッション認証アクション・プロパティを編集します。 

6. 必要に応じて、[Global Properties]の[Authentication]ページでセッション認証の[Failed Authentication 

Attempts] 設定を調整します。 

7. セキュリティ・ポリシーをインストールします。 

セッション認証エージェントのインストールと設定 

セッション認証エージェントをインストールして設定するには 

1. DVD からセッション認証エージェントをインストールします。 

 

 

セッション認証エージェントは認証を行うクライアントにインストールされる場合、対象ホストに接続する必要 

があるユーザが認証情報を提供します。 

セッション認証エージェントは、対象のコンピュータ上、またはネットワーク内の他のコンピュータにインストー 

ルすることもできます。その場合、エージェントがインストールされているコンピュータのユーザが、認証の資 

格情報を入力するよう求められます。 

2. Windows コンピュータでは、システム・トレイのセッション認証エージェント・アイコンをダブルクリックします。 

[Session Authentication]ウィンドウが開きます。 

3. [Configure]をクリックします。[Configuration]ウィンドウが開き、[Passwords]タブが表示されます。ユーザが 

自分のパスワードを入力するように促される頻度を指定します。ワン・タイム・パスワード(SecurID など)は 

キャッシュできません。 


4. 以下のいずれかのオプション 1 つを選択します。 

 

 

 

Every request: Security Gateway が認証を要求するたびに、ユーザにパスワードを要求します。セッション 

認証ルールが適用されるセッションをユーザが開始するたびに、ユーザにパスワードを要求します。パスワード 

のキャッシュは行われません。 

Once per session: セッション認証エージェントのセッションのたびに、ユーザにパスワードを要求します。 

ユーザがパスワードを入力すると、セッション認証エージェントはこのパスワードを無期限にキャッシュします。 

ワン・タイム・パスワードに対しては、このオプションを使用できません。セッション認証エージェントのセッション 

を閉じてから再開する場合、ユーザは再びパスワードを入力する必要があります。 

After minutes of inactivity: [Once per session]オプションと似ていますが、指定された時間内に認証要 

求が行われないと、ユーザは再びパスワードを要求されます。 

5. [Configuration]ウィンドウで、[Allowed FireWall-1]タブを選択して、セッション認証エージェントが認証サービス 

を提供できるために Security Gateway を指定します。 

6. 以下のいずれかのオプションを選択します。 

 

 

Any IP Address: セッション認証エージェントは、すべての Security Gateway に対して認証サービスを提 

供します。 

IP Address: セッション認証エージェントは、ユーザが指定した IP アドレス上で動作している Security 

Gateway に対してのみ認証サービスを提供します(IP アドレスは 3 つまで指定できます)。 

7. [Configuration]ウィンドウから、[Options]タブを選択し、クリア・パスワードとアドレスの解決を許可するかどう 

かを指定します。 

8. 適切なオプションを選択して、[OK]ボタンをクリックします。 

セッション認証エージェントの起動 

セッション認証エージェントを起動するには 

1. Windows のシステム・トレイから、最小化されたセッション認証エージェント・アイコンをクリックします。 

2. セッション認証エージェントを構成するか、Security Gateway からの認証要求を受け取ります。 

クライアント認証 

クライアント認証は任意のサービスを認証することができます。これは、特定の IP アドレスからのアクセスを無制限 

の数の接続に対して許可することができます。クライアント・ユーザが認証プロセスを実行しますが、アクセスを許可 

されるのはクライアント・コンピュータです。クライアント認証は、許可された IP アドレスまたはホストからの複数の 

ユーザによる接続のアクセスが許可されるため、ユーザ認証よりも安全性が低くなります。認証はコンピュータごと 

に、初期ログイン手順のないサービスに対して行われます。クライアント認証の利点は、認証が無限の数の接続お 

よびすべてのサービスにおいて使用可能であり、認証を任意の時間だけ有効にできることです。 

注 - ユーザ・オブジェクトを設定するときに、ユーザがアクセスできる場所を設定できます。し 

かし、これを使用すると、何らかの形式の認証を必要とするセキュリティ・ルールとの間で問題 

が発生する可能性があります。詳細については、「アクセス競合の解決」(123ページ)を参照 

してください。 

クライアント認証はすべてのサインオン方法で使用できます。次の表は、異なるサインオン方法で、認証されたサー 

ビスおよびその他のサービスに対して選択できる認証方式を表します。手動クライアント認証以外のサインオン方法 

では、ゲートウェイはユーザから透過的で、ユーザは直接、宛先ホストに対して認証を行います。 

クライアント認証サインオン方法 

クライアント認証サインオン 

方法 

手動 

認証されたサービスの認証方法 : 

Telnet、FTP、HTTP、RLOGIN 

ゲートウェイでポート 259 への Telnet 

ゲートウェイでポート 900 への HTTP 

その他のサービスの認証方法 : 

ゲートウェイでポート 259 への 

Telnet 

ゲートウェイでポート 900 への 

HTTP 


クライアント認証サインオン 

方法 

認証されたサービスの認証方法 : 

Telnet、FTP、HTTP、RLOGIN 

その他のサービスの認証方法 : 

半自動ユーザ認証使用不可 

全自動ユーザ認証セッション認証 

エージェント自動セッション認証セッション認証 

Single Sign On 

(シングル・サインオン) 

UserAuthority 

UserAuthority 

クライアント認証には以下の 2 つのサインオン・オプションがあります。 

 

 

Standard Sign On: ユーザはルールで許可されたすべてのサービスを利用できます。サービスごとに認証を 

行う必要はありません。 

Specific Sign On: ルールが複数のサービスを許可していても、ユーザは認証するときに指定したサービスに 

のみアクセスできます。ユーザが別のサービスを利用したい場合、その特定のサービスに対して再認証する必 

要があります。 

認証セッション終了時に、ユーザはサインオフできます。サインオフすると、ユーザはすべてのサービスでリモート・ 

ホストから切断されます。 

Manual Sign On( 手動サインオン) 

手動サインオンは、クライアント認証ルールに指定された任意のサービスに対して使用できます。ユーザはまず 

ゲートウェイに接続して、以下の 2 つの方法のいずれかで認証を行う必要があります。 

1. ゲートウェイのポート 259 へ Telnet で接続します。 

2. Web ブラウザを利用してゲートウェイのポート 900 へ HTTP で接続します。要求する URL には、 

「http://Gateway:900」などゲートウェイ名とポート番号を指定する必要があります。 

a) 以下の例は、Standard Sign On 方法を使用したクライアント認証を示しています。この例では、宛先ホスト 

との接続を確立する前に、ユーザ「fbloggs」はまず「london」の Security Gateway に対して認証を行いま 

す。 

tower 1% telnet london 259 

Trying 191.23.45.67 ... 

Connected to london. 

Escape character is '^]'. 

CheckPoint FireWall-1 Client Authentication Server running on london 

Login:fbloggs 

FireWall-1 Password:******** 

User authenticated by FireWall-1 auth. 

Choose: 

(1) Standard Sign On 

(2) Sign Off 

(3) Specific Sign On 

Enter your choice: 1 

User authorized for standard services (1 rules) 

Connection closed by foreign host. 

b) 以下の例は、Specific Sign On 方法を使用したクライアント認証を示しています。この例では、2 つのサービ 

ス「rstat」と「finger」が指定されています( 各ホストに 1 つを指定 )。 


tower 3% telnet london 259 

Trying 191.23.45.67 ... 

Connected to london. 

Escape character is '^]'. 

CheckPoint FireWall-1 Client Authentication Server running on london 

Login: jim 

FireWall-1 Password: ******** 

User authenticated by Internal auth. 

Choose: 

(1) Standard Sign On 

(2) Sign Off 

(3) Specific Sign On 

Enter your choice: 3 

Service: rstat 

Host: palace 

Client Authorized for service 

Another one (Y/N): Y 

Service: finger 

Host: thames 

Client Authorized for service 

Another one (Y/N): n 

Connection closed by foreign host. 

Wait モード 

Wait モードは、ユーザがゲートウェイのポート「259」との Telnet セッションによるクライアント認証接続を開始すると 

きに利用可能な、手動サインオンのクライアント認証機能です。 

Wait モードは、サインオフしてクライアント認証特権を取り消すために、新しい Telnet セッションを開く必要がないよ 

うにします。Wait モードでは、クライアント認証により得られた特権が有効になっているかぎり、最初の Telnet 

セッションが開いたままになります。クライアント認証特権は、Telnet セッションを閉じると取り消されます。 

Security Gateway は、認証クライアントへ Ping を出すことによって Telnet セッションを開いたままにします。何らか 

の原因でクライアント・コンピュータが動作を停止すると、ゲートウェイは Telnet セッションを閉じ、接続した IP アドレ 

スのクライアント認証特権が取り消されます。 

Wait モードを利用できるのは、Standard Sign On が指定されたクライアント認証ルールのみです。Wait モードでは、 

Specific Sign On が指定されたクライアント認証ルールは適用されません。 

Partially Automatic Sign On( 半自動サインオン) 

半自動サインオンは、Telnet、FTP、HTTP、および RLOGIN の各認証サービスがクライアント認証ルールに指定さ 

れている場合に限り、それらの認証サービスに対して使用できます。ユーザがいずれかの認証サービスを使用して 

リモート・ホストへの接続を試みる場合は、ユーザ認証を使用して認証を行う必要があります。半自動クライアント認 

証を使用する場合は、ゲートウェイ・コンピュータ上でポート 80 がアクセス可能なことを確認してください。 

Fully Automatic Sign On( 全自動サインオン) 

全自動サインオンは、必要なサービスがクライアント認証ルールで指定されている場合のみ、任意のサービスに対 

して使用できます。ユーザが認証サービス(Telnet、FTP、HTTP、および RLOGIN)を使用してリモート・ホストへの 

接続を試みる場合には、ユーザ認証を使用して認証を行う必要があります。ユーザがその他のサービスを使用して 

リモート・ホストへの接続を試みる場合には、正しくインストールされたセッション認証エージェントを使用して認証を 

行う必要があります。全自動クライアント認証を使用する場合は、ゲートウェイ・コンピュータ上でポート 80 がアクセ 

ス可能なことを確認してください。 


Agent Automatic Sign On(エージェント自動サインオン) 

Agent Automatic Sign On は、必要なサービスはクライアント認証ルールに指定されていて、セッション認証エー 

ジェントが正しくインストールされている場合のみ使用できます。 

ユーザが任意のサービスを使用してリモート・ホストへの接続を試みる場合には、セッション認証エージェントを使用 

して認証を行う必要があります。 

Single Sign On(シングル・サインオン) 

シングル・サインオンは、必要なサービスがクライアント認証ルールで指定され、UserAuthority がインストールされ 

ている場合のみ、任意のサービスに対して使用できます。 

シングル・サインオンは、ネットワークへの透過的なアクセスを可能にするチェック・ポイントのアドレス管理機能です。 

Security Gateway はユーザの IP アドレスの記録を参照し、指定された IP アドレスにログインしているユーザを確認 

します。シングル・サインオンが有効になっているルールに接続が適合した場合、ゲートウェイは UserAuthorityにパ 

ケットの発信元 IP アドレスとともにクエリを送信します。UserAuthority は、IP アドレスに登録されているユーザの名 

前を返します。パケットは、ユーザ名が認証されていれば許可され、そうでなければ破棄されます。 

クライアント認証の設定 

基本的なクライアント認証を設定するには 



2. [Authentication]ページで、Security Gateway が表示されるチェック・ポイント・ゲートウェイ・オブジェクトを編集 

し、必要な認証スキームを有効にします。ゲートウェイはユーザに定義されたすべての認証スキームをサポート 

する必要があります。たとえば、一部のユーザがチェック・ポイント・パスワードを使用し、他のユーザが 

RADIUS 認証を使用する場合は、両方のスキームを選択します。 

3. 以下の手順に従って、クライアント認証アクセス・ルールを定義します。 

a) [Source]カラムを右クリックして、[Add object]→[Add legacy user access]の順に選択し、グループを選 

択します。ウィンドウを閉じないでください。 




d) [Action]カラムで、[Legacy]→[Client Auth]の順に選択します。 

4. 半自動または全自動クライアント認証の場合は、ゲートウェイ・コンピュータ上でポート 80 がアクセス可能なこと 

を確認してください。 

5. [Action]カラムをダブルクリックして[Client Authentication Action Properties]を編集します。Requires Sign 

On と Sign On Method の設定については、「クライアントの認証」(119ページ)で説明します。 

6. すべてのクライアント認証ルールは、ユーザがセキュリティ・ゲートウェイにアクセスできるように、Security 

Gateway(ステルス・ルール)への直接接続を防止するルールよりも上に置きます。 

7. 必要に応じて、[Global Properties]ウィンドウの[Authentication]ページでクライアント認証の[Failed 

Authentication Attempts] 設定を調整します。 

8. セキュリティ・ポリシーをインストールします。 

クライアント認証の Wait モードの有効化 

手動サインオンを使用し、ユーザがゲートウェイのポート 259 への Telnet セッションで認証を行う場合は、Wait モー 

ドを利用すると、サインオフしてクライアント認証特権を取り消すために新しい Telnet セッションを開く必要がありま 

せん。 

Wait モードを有効にするには 


1. [Authentication]ページで、Security Gateway を表すチェック・ポイント・ゲートウェイ・オブジェクトを編集し、 

[Enable Wait Mode for Client Authentication]を選択します。クライアント認証の Wait モードでは、Security 

Gateway がユーザのホストに対して Ping を行って、ゲートウェイのポート 259 への Telnet 接続を監視します。 

2. 以下のようにして、Ping を有効にするルールを定義します。 

 

 

Security Gateway からユーザのホストへの「echo-request」サービスを有効にします。 

ユーザのホストから、Security Gateway への「echo-reply」サービスを有効にします。 

アクセスの競合の解決 

ユーザを設定する場合、ユーザがアクセスできる場所を定義できます。ただし、これを行うと、指定していない場所 

へのアクセスはすべて禁止されるため、認証を必要とするセキュリティ・ルールと競合する可能性があります。 

たとえば、ルールでは Marketing_net から Finance_net へのユーザの認証されたアクセスが許可され、ユーザの 

[Location]タブで Marketing_net 内の接続のみが許可されている場合は、ファイアウォールは、ユーザが 

Finance_net に接続しようとしたときに認証要求を許可してよいかどうかがわかりません。 

ルールの[Authentication Action Property]を編集することによって、このような競合を解決する方法を指定できま 

す。このプロパティは、ルールの[Source]と[Destination]の両方に対して定義できます。 

アクセスの競合を解決するには 

1. 何らかの形式の認証を使用しているルールの[Action]フィールドを右クリックし、[Edit Properties]を選択しま 

す。 

2. 以下のいずれかを実行します。 

 

 

ルールおよび各ユーザの[User Properties]ウィンドウの[Location]タブで指定したより厳しいアクセス権を 

適用するには、[Intersect with User Database]を選択します。 

ルールで指定した場所に従ってアクセスを許可するには、[Ignore User Database]を選択します。 

すべての Standard Sign On ルールの認証 

デフォルトでは、半自動または全自動サインオン方法は、正常に認証されたあとで 1 つのルール(サインオンを開始 

したルール)に対応する接続を許可します。たとえば、ある自動サインオン・ルールに従ってユーザが正常に認証さ 

れた場合、そのユーザは、そのルールによって許可されたサービスおよび接続先のみアクセスが許可されます。 

半自動または全自動サインオンを使用して正常に認証されたあとですべての Standard Sign On が指定されたルー 

ルに対応する接続を自動的に許可するように]を設定できます。ユーザが自動サインオン・ルールに従って正常に 

認証された場合は、そのユーザと発信元を定義するすべての Standard Sign On が指定されたルールに従って接 

続が許可されます。ユーザは、関連するルールによって許可されたすべてのサービスと接続先を使用できます。 

Security Gateway は、クライアントを使用しているユーザを認識し、追加の認証が不要なことを認識します。 

半自動認証または全自動認証が成功したあとですべての関連する Standard Sign On ルールを許可するには、 

GUIdbedit データベース・ツールを使用して、データベースの設定を変更します。 

すべての Standard Sign On ルールを許可するには 

1. ローカル・ドライブのインストールされた SmartConsole と同じディレクトリから、GUIdbedit データベース・ツール 

にアクセスします。 

2. GUIdbedit を起動します。 

3. [automatically_open_ca_rules]フィールドを探します。 

4. 値を「true」に設定します。新しい値は、セキュリティ・ポリシーをインストールしたあとで有効になります。 

クライアント認証用ポート番号の変更 

クライアント認証用ポート番号を変更するには 

1. 「cpstop」コマンドを実行して、チェック・ポイント・サービスを停止します。 

2. [Manage]→[Service]→[Show]→[TCP Services]ウィンドウの順に選択して以下のサービスのポート番号 

を変更します。 

 

Telnet サインオンのポート番号を変更する場合は、「FW1_clntauth_telnet」サービスのポート番号を変更し 

ます。 


HTTP サインオンのポート番号を変更する場合は、「FW1_clntauth_http」サービスのポート番号を変更しま 

す。 

これらは、クライアント認証機能の一部として提供される特別なチェック・ポイント・サービスです。 

3. テキスト・エディタを使用して「$FWDIR/conf/fwauthd.conf」ファイルを編集します。クライアント認証アプリケー 

ションのポート番号を手順 2 で定義したのと同じポート番号に変更します。 

4. 以下のいずれかを実行します。 

 

 

Telnet サインオンの場合は、「in.aclientd」行の最初のカラムを変更します。 

HTTP サインオンの場合は、「in.ahclientd」行の最初のカラムを変更します。 

21 fwssd in.aftpd wait 0 

80 fwssd in.ahttpd wait 0 

513 fwssd in.arlogindwait 0 

25 fwssd in.asmtpd wait 0 

23 fwssd in.atelnetd wait 0 

259 fwssd in.aclientd wait 259 

10081 fwssd in.lhttpd wait 0 

900 fwssd in.ahclientdwait 900 

0 fwssd in.pingd respawn 0 

0 fwssd in.asessiond respawn 0 

0 fwssd in.aufpd respawn 0 

0 vpn vpnd respawn 0 

0 fwssd mdq respawn 0 

0 xrm xrmdrespawn0-pr 

重要 - 他の項目は変更しないでください。 

5. 新しいポートへの接続を遮断するルールがないことを確認します。 

6. 「cpstart」コマンドを実行して、チェック・ポイント・サービスを再起動します。 

暗号化されたクライアント認証の許可 

HTTPS 接続の暗号化されたクライアント認証を設定するには 

1. Security Gateway の場合は、Security Gateway で「cpstop」を実行します。 

2. 「fwauthd.conf」を編集し、「$FWDIR/conf」ディレクトリに配置します。「defaultCert」を以下のラインに追加しま 

す。 

900 fwssd in.ahclientd wait 900 ssl:defaultCert 

注 - 「defaultCert」は Security Gateway にある証明書の一覧に含まれているニックネームで 

す。使用中のゲートウェイのニックネームを確認するには、ゲートウェイ・プロパティ・ウィンドウの 

VPN ページを開き、証明書リストを参照します。 

3. ファイルを保存して閉じます。 

4. 「cpstart」を実行します。 

5. SmartDashboard を開きます。 

6. このルール(クライアントと Web サーバの間の HTTPS トラフィックも許可される)を新規作成します。 


Any user group Internal Web server https Client Auth 

( 一部自動または手動モード) 


クライアント·ブラウザを使用して次の手順を続行します。 

1. クライアント・ブラウザを使用して、「https:// :900」と入力します。 

2. [Yes]をクリックして Security Gateway の証明書を信頼します。 

3. Security Gateway のユーザ名を入力します。 



5. [Yes]をクリックします。 

6. ゲートウェイ・パスワードを入力します。 

7. [Submit]をクリックします。 

8. URL アドレス「https://」を入力します。 

9. [Yes]をクリックします。 

Security Gateway と内部 Web サーバ上で認証されます。 

ユーザとグループの作成 

認証ルールは、個々のユーザではなくユーザのグループごとに定義します。したがって、認証ルールを定義するに 

は、まずユーザを定義してグループに追加する必要があります。Security Gateway 独自のユーザ・データベース、 

または LDAP サーバを使用してユーザを定義することができます。 

ユーザ・グループの作成 

ユーザ・グループを作成するには 

1. SmartDashboard から、オブジェクト・ツリーの[Users and Administrators]タブから[User Groups]を選択します。 

2. 右クリックし、新しいグループを選択します。[Group Properties]ウィンドウが開きます。 

3. グループに名前を付けます。 

ユーザ・テンプレートの作成 

テンプレートを使用して、ユーザはグループのメンバシップを含むテンプレートのプロパティを継承します。テンプレートのプロパティ 

を変更すると、その変更は以降そのテンプレートを使用して作成するユーザに対してのみ影響します。そのテンプレートを使用し 

て以前に作成されたユーザは影響を受けません。 

ユーザ・テンプレートを作成するには 

1. SmartDashboard のオブジェクト・ツリーから、[Users and Administrators]タブを開きます。 

2. テンプレートを右クリックして、新しいテンプレートを選択します。 

[User Template Properties]ウィンドウが開きます。 

3. テンプレートに名前を付けます。 

4. [Groups]タブから、ユーザ・グループを追加します。 

グループのすべてのユーザは、このテンプレートのプロパティを取得します。 

5. [Authentication]タブで、認証スキームを選択します。 

6. 残りのタブでは、ユーザ・テンプレートのプロパティを入力します。 

ユーザの作成 

ユーザを作成するには 

1. オブジェクト・ツリーの[Users]ブランチで、右クリックして[Edit]を選択します。[User Properties]ウィンドウが開 

きます。 

2. ユーザ・データを入力します。テンプレートからユーザが継承したプロパティは、テンプレートを変更せずに変更 

できます。 

データベース内のユーザ情報のインストール 

ユーザとグループはルール・ベースとは別にインストールできます。つまり、ルール・ベースを再インストールせずに 

ユーザとグループを更新できます。 

ユーザ・データベースをインストールするには、SmartDashboard メニューから[Policy]→[Install Database]の順 

に選択します。 


認証トラッキングの設定 

SmartView Tracker または電子メールや警告などの他のトラッキング・オプションを使用して、成功および失敗した 

認証試行を監視できます。以下の種類の認証試行に対して認証トラッキングを設定できます。 

 

 

 

失敗した認証試行 :あらゆる形式の認証についてトラッキングできます。 

失敗した認証試行をトラッキングするには、以下の手順に従います。 

ゲートウェイ・オブジェクトの[Authentication]ページで、[Authentication Failure Track]プロパティを設定して、 

認証で失敗が発生した場合のトラッキング・オプションを定義します。 

成功した認証試行 : クライアント認証についてトラッキングできます。 

成功した認証試行をトラッキングするには 

1. [Client Authentication Action Properties]ウィンドウで、[Successful Authentication Tracking ]プロパティを 

設定して、すべての成功したクライアント認証試行のトラッキング・オプションを定義します。 

2. このオプションを設定するには、クライアント認証ルールの[Action]カラム内をダブルクリックします。デフォルト 

設定は[Log]です。 

すべての認証試行をトラッキングするには 

1. 何らかの形式の認証を使用するルールの[Track]カラムで追跡オプションを選択します。[Set by 

RuleTracking]オプションは、ゲートウェイ・オブジェクト内のトラッキング・ポリシー・セットに追加されます。 

たとえば、ゲートウェイ・オブジェクトが、すべての失敗した認証試行をログに記録するように設定されている場 

合は、ルールを[None]にしても効果がありません。失敗した認証試行は、SmartView Tracker でログに記録さ 

れます。ただし、ルールを[Alert]に設定すると、認証試行が失敗するたびに警告が送信されます。 

Windows ユーザ・グループ用のポリシーの設定 

Security Management Server で定義されておらず、ゲートウェイのホスト(Windows コンピュータ)または信頼され 

たドメインの Windows コンピュータで定義されているユーザ・グループを使用するようにポリシー・ルールを作成でき 

ます。 

Windows ユーザ・グループを使用するポリシーを設定するには 

1. グラフィカル・データベース・ツール(GUIdbEdit)を使用して、この機能を有効にします。 

2. 「add_nt_groups」属性の値を「true」に変更します(この属性は、プロパティ表の「firewall_properties」オブジェ 

クトの下にあります)。 

3. ユーザが Windows ユーザ・グループに属していることを確認します。 

4. SmartDashboard から、ユーザ・グループを新規作成し、Windows_の書式で名前を 

付けます。このグループは空の場合があります。 

5. 認証スキームとしてオペレーティング・システム・パスワードを使用する一般的なユーザ・プロファイルを各ユー 

ザに対して定義します。 


付録 C 

付録 


実施モード 128 

NAT 環境 128 

Monitor Only 導入モード 128 

協調施行の設定 128 

協調施行はチェック・ポイントの Endpoint Security サーバと連携して動作します。この機能は Endpoint Security サ 

ーバのコンプライアンス対応力を活用して、内部ネットワーク全体のさまざまなホストからの接続を検証します。 

Endpoint Security サーバは中央管理型の多層構造 Endpoint Security ソリューションで、ポリシー・ベースのセキュ 

リティ施行を施行して内部およびリモートの PC を保護します。導入と管理が簡単で、Endpoint Security サーバはハ 

ッカー、ワーム、スパイウェア、その他の脅威によって発生するリスクを軽減できます。 

管理者は、定義済みのポリシー・テンプレート、使いやすい Web ベースの管理インタフェース、PC ファイアウォール 

とアプリケーションの権限コントロールなどの機能を使用して、協調施行の開発、管理、および施行を迅速かつ簡単 

に実行できます。 

協調施行を使用することで、ゲートウェイ経由で接続を開始するホストに対しては必ずコンプライアンスのテストが実 

行されます。これにより、悪質なソフトウェア・コンポーネントを使用するホストによるネットワーク・アクセスを防ぐこと 

ができるため、より高いネットワークの完全性を実現します。 

この機能は Endpoint Security サーバが管理するホストと Endpoint Security サーバ本体の仲介役の役割を果たし 

ます。協調施行は、ホストが安全かどうかを定義し、ソフトウェア・コンポーネントの定義済み必要条件を満たさない 

接続をブロックできる Endpoint Security サーバのコンプライアンス機能に依存します。 

一般的な協調施行ワークフローを以下に表します。 

1. ホストがファイアウォール・ゲートウェイを経由して、ネットワークへの接続を開始します。クライアントからサーバ 

への最初のパケットが許可されます。協調施行機能は、クライアントに対するサーバの最初の応答時にのみ動 

作を開始します。 

2. ファイアウォールはホストのコンプライアンスを確認します。必要に応じて Endpoint Security サーバにクエリを 

送ります。 

3. 応答を受信すると、コンプライアンスに準拠するホストからの接続は許可され、準拠しないホストからの接続は 

遮断されます。 

ゲートウェイで協調施行機能を有効にすると、以下の暗黙ルールが自動的に有効になります。 

1. すべてのファイアウォール GUI クライアントは、HTTP または HTTPS(ポート 80 または 443) 経由で Endpoint 

Security サーバへの接続が許可されます。 

2. すべての内部クライアントは、ファイアウォール 経由で Endpoint Security サーバへのハートビート用のアクセス 

が許可されます。 

3. ファイアウォールは、ポート 5054 で Endpoint Security サーバとの通信が許可されます。 

追加のアクセス許可 ( 外部クライアントによる Endpoint Security サーバへの接続許可や、他のコンピュータによる 

Endpoint Security サーバの管理機能へのアクセス許可など)が必要な場合は、明示的なルールを定義する必要が 

あります。 


実施モード 

実施モードの場合、準拠しないホスト接続はファイアウォール・エンドポイント・セキュリティ機能によって遮断されま 

す。HTTP 接続の場合、準拠していないことがホストに通知されます。その場合、ユーザは適切な処理を実行して、 

準拠するように設定を変更します。たとえば、Endpoint Security クライアントのバージョンをアップグレードします。 

NAT 環境 

協調施行機能は一部の NAT 設定ではサポートされていません。 

協調施行が NAT 環境で動作するには、ゲートウェイと Endpoint Security サーバの間で特定のクライアントが同一 

の IP アドレスに紐づいている必要があります。したがって、NAT を使用しているために、ゲートウェイが認識するクラ 

イアント IP と Endpoint Security サーバが認識するクライアント IP が異なる場合、協調施行は正常に機能しません。 

Monitor Only 導入モード 

「Monitor Only」導入モードでは、ファイアウォールは Endpoint Security サーバからの認証ステータスを要求します 

が、受信したステータスに関係なく、接続は破棄されません。さらに、( 管理者によって設定されている場合 ) 協調施 

行機能は導入モードに関係なくログを生成します。 

協調施行の設定 

協調施行を設定するには、以下の手順に従います。 

ゲートウェイの[Cooperative Enforcement]ページで、[Authorize clients using Endpoint Security Server]を選 

択して協調施行を有効にします。 

1. [Monitor Only]を選択すると、トラフィックは破棄せず、トラフィックのトラッキングのみ行い、トラフィックはそのま 

ま通過させます。 

2. [Track unauthorized client status]によって、適切なトラッキングまたは警告のオプションを設定できます。 

デフォルト設定は[Log]です。 

3. [Endpoint Security Server Selection]セクションでは、使用する Endpoint Security サーバを選択します。 

 

 

このコンピュータを使用するには、[Use Endpoint Security Server installed on this machine]を選択しま 

す。 

別のコンピュータを選択するには、[Select Endpoint Security Server]ドロップダウン・メニューからサーバ 

を選択します。[New]をクリックすると新しいサーバを作成できます。 

4. [Client Authorization]セクションで以下を選択します。 

 

 

 

Check authorization of all clients: すべてのクライアントを検査します。 

Bypass authorization of the following clients: ドロップダウン・リストで選択したグループ内のすべてのク 

ライアントは検査されません。 

Check authorization only of the following clients: ドロップダウン・リストで選択したグループ内のクライア 

ントを検査します。

ファイアウォール 管理ガイド R75.40VS - Check Point

Create successful ePaper yourself

Delete template?

Save as template?

ファイアウォール管理ガイド R75.40VS - Check Point