ファイアウォール 管理ガイド R75.40VS - Check Point
ファイアウォール 管理ガイド R75.40VS - Check Point
ファイアウォール 管理ガイド R75.40VS - Check Point
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>ファイアウォール</strong><br />
<strong>R75.40VS</strong><br />
管 理 ガイド
© 2013 <strong>Check</strong> <strong>Point</strong> Software Technologies Ltd.<br />
All rights reserved. 本 製 品 および 関 連 ドキュメントは 著 作 権 法 によって 保 護 されており、その 使 用 、 複 写 、 逆 コン<br />
パイルを 制 限 するライセンス 契 約 に 基 づいて 配 布 されています。 本 製 品 または 関 連 ドキュメントのいかなる 部 分 も、<br />
チェック・ポイントの 書 面 による 事 前 承 諾 を 得 ない 限 り、いかなる 形 態 や 方 法 によっても 複 製 することはできません。<br />
本 マニュアルを 製 作 するにあたっては 細 心 の 注 意 が 払 われていますが、チェック・ポイントはいかなる 誤 りまたは<br />
欠 落 に 対 しても 一 切 責 任 を 負 いません。 本 マニュアルおよびその 記 述 内 容 は、 予 告 なく 変 更 される 場 合 があり<br />
ます。<br />
権 利 の 制 限<br />
米 国 政 府 による 本 製 品 の 使 用 、 複 写 、または 開 示 は、DFARS( 連 邦 国 防 調 達 規 定 )252.227-7013 および FAR<br />
( 連 邦 調 達 規 定 )52.227-19 の 技 術 データおよびコンピュータ・ソフトウェアに 関 する 権 利 条 項 (c)(1)(ii)により 制 限<br />
されます。<br />
商 標<br />
チェック・ポイントの 商 標 の 一 覧 は、こちら<br />
サード・パーティの 商 標 および 著 作 権 については、こちら<br />
を 参 照 してください。
ドキュメントに 関 する 情 報<br />
最 新 版 ソフトウェア<br />
最 新 版 ソフトウェアには、 機 能 や 安 定 性 の 向 上 、セキュリティの 拡 張 、 新 たな 脅 威 や 進 化 する 攻 撃 に 対 処 する 最 新<br />
の 保 護 機 能 が 備 えられているため、 最 新 版 をインストールすることをお 勧 めします。<br />
関 連 情 報<br />
このドキュメントの 最 新 バージョンについては、 次 を 参 照 してください。<br />
http://supportcontent.checkpoint.com/documentation_download?ID=22303<br />
チェック・ポイント 製 品 の 詳 細 な 技 術 情 報 については、チェック・ポイントのサポート・センター<br />
(http://supportcenter.checkpoint.com)を 参 照 してください。<br />
改 訂 履 歴<br />
日 付<br />
説 明<br />
2013 年 04 月 12 日 初 版<br />
ドキュメントに 関 するご 意 見<br />
チェック・ポイントは、わかりやすいマニュアルの 作 成 に 日 々 取 り 組 んでいます。ご 意 見 やご 要 望 がありましたら、<br />
ぜひ 以 下 の 宛 先 までお 送 りください。<br />
cp_techpub_feedback@checkpoint.com
目 次<br />
ドキュメントに 関 する 情 報 3<br />
アクセス 制 御 ................................................................................................................................... 8<br />
アクセス 制 御 の 概 要 ................................................................................................................... 8<br />
Application Control と Identity Awareness ........................................................................... 9<br />
ルールおよびルール・ベース .................................................................................................... 10<br />
ルール・ベース 要 素 ............................................................................................................. 10<br />
暗 黙 ルール ......................................................................................................................... 11<br />
ルール 施 行 の 順 序 .............................................................................................................. 11<br />
アクセス 制 御 ルールの 例 ..................................................................................................... 12<br />
アクセス 制 御 に 関 する 特 別 な 考 慮 事 項 ................................................................................ 12<br />
SmartDashboard ツール・バー ........................................................................................... 13<br />
アクセス 制 御 ルールの 定 義 ................................................................................................. 14<br />
アクセス 制 御 ポリシーの 定 義 ............................................................................................... 14<br />
Hit Count ............................................................................................................................ 15<br />
IP スプーフィングの 防 止 ........................................................................................................... 17<br />
スプーフィング 対 策 の 設 定 ................................................................................................... 18<br />
特 定 内 部 アドレスの 除 外 ..................................................................................................... 19<br />
適 正 なアドレス .................................................................................................................... 20<br />
マルチキャスト・アクセス 制 御 .................................................................................................... 20<br />
マルチキャスト・ルーティング・プロトコル .............................................................................. 20<br />
IGMP を 使 用 した 動 的 登 録 .................................................................................................. 20<br />
IP マルチキャスト・グループのアドレス 指 定 .......................................................................... 20<br />
インタフェースごとのマルチキャストの 制 限 ........................................................................... 21<br />
マルチキャスト·アクセス 制 御 の 設 定 .................................................................................... 22<br />
Microsoft Networking Services のセキュリティ ........................................................................ 23<br />
Microsoft Networking Services(CIFS)の 保 護 ................................................................... 23<br />
サーバと 共 有 へのアクセス 制 限 (CIFS リソース) ................................................................. 23<br />
認 証 .............................................................................................................................................. 24<br />
Identity Awareness ................................................................................................................. 24<br />
AD Query ........................................................................................................................... 27<br />
Browser-Based Authentication .......................................................................................... 28<br />
Identity Agent .................................................................................................................... 29<br />
導 入 ........................................................................................................................................ 31<br />
Identity Awareness のシナリオ ................................................................................................ 32<br />
Active Directory ユーザのアイデンティティ 取 得 ................................................................... 32<br />
Identity Awareness の 設 定 ..................................................................................................... 40<br />
ネットワーク・アドレス 変 換 (NAT) .................................................................................................... 41<br />
NAT モード .............................................................................................................................. 41<br />
Static NAT ......................................................................................................................... 42<br />
Hide NAT ........................................................................................................................... 42<br />
NAT ルール・ベース ................................................................................................................. 44<br />
ルール 照 合 順 序 ................................................................................................................. 44<br />
自 動 および 手 動 の NAT ルール ........................................................................................... 45<br />
双 方 向 NAT ........................................................................................................................ 45<br />
自 動 生 成 ルールについて .................................................................................................... 45<br />
NAT の 計 画 での 考 慮 事 項 ....................................................................................................... 47<br />
Hide 対 Static ..................................................................................................................... 47
自 動 ルールと 手 動 ルール .................................................................................................... 47<br />
Hide NAT による 隠 匿 アドレスの 選 択 .................................................................................. 47<br />
特 定 の 導 入 における 検 討 事 項 ............................................................................................. 47<br />
NAT の 設 定 ............................................................................................................................. 48<br />
NAT 設 定 の 一 般 的 な 手 順 .................................................................................................. 48<br />
基 本 設 定 - Hide NAT を 持 つネットワーク・ノード ................................................................. 49<br />
設 定 例 (Static NAT と Hide NAT) ....................................................................................... 50<br />
設 定 例 ( 手 動 ルールのポート 変 換 ) ...................................................................................... 51<br />
高 度 な NAT 設 定 ..................................................................................................................... 52<br />
異 なるインタフェース 上 の 変 換 されたオブジェクト 間 の 接 続 ................................................... 52<br />
重 複 アドレスでの 内 部 コミュニケーション .............................................................................. 52<br />
NAT の 背 後 にある Security Management .......................................................................... 55<br />
IP プール NAT .................................................................................................................... 56<br />
IPv6 .............................................................................................................................................. 61<br />
サポート 機 能 ........................................................................................................................... 61<br />
サポートするチェック・ポイント 機 能 ....................................................................................... 61<br />
Security Gateway での IPv6 の 有 効 化 .................................................................................... 62<br />
SecurePlatform .................................................................................................................. 62<br />
IPSO アプライアンス ........................................................................................................... 62<br />
GAIA .................................................................................................................................. 62<br />
Security Gateway での IPv6 の 無 効 化 .................................................................................... 63<br />
SecurePlatform .................................................................................................................. 63<br />
IPSO アプライアンス ........................................................................................................... 63<br />
GAIA .................................................................................................................................. 63<br />
SmartConsole で IPv6 を 使 用 した 作 業 .................................................................................... 64<br />
IPv6 のオブジェクトの 作 成 .................................................................................................. 64<br />
IPv6 ルール ........................................................................................................................ 64<br />
IPv6 アドレスでのスプーフィング 対 策 .................................................................................. 64<br />
SmartView Tracker での IPv6 ............................................................................................ 66<br />
ICMPv6 の 使 用 .................................................................................................................. 66<br />
IPv6 での ClusterXL ........................................................................................................... 67<br />
高 度 な 機 能 .............................................................................................................................. 68<br />
IPv6 または IPv4 だけのルールの 定 義 ............................................................................... 68<br />
IPv6 での Traceroute ......................................................................................................... 69<br />
IPv6 拡 張 ヘッダ .................................................................................................................. 70<br />
6in4 トンネルの 使 用 ............................................................................................................ 70<br />
部 分 アドレス・ベース・フィルタリング..................................................................................... 71<br />
IPv6 のカーネルへのアクセス ............................................................................................. 71<br />
ISP の 冗 長 性 ................................................................................................................................ 73<br />
ISP の 冗 長 モード ..................................................................................................................... 73<br />
ISP 冗 長 性 の 設 定 ................................................................................................................... 74<br />
ISP リンクの 設 定 ................................................................................................................ 74<br />
Security Gateway の DNS への 設 定 .................................................................................. 75<br />
<strong>ファイアウォール</strong>の 設 定 ...................................................................................................... 75<br />
VPN を 使 用 した 設 定 ........................................................................................................... 76<br />
ISP リンク・ステートの 強 制 .................................................................................................. 77<br />
ISP 冗 長 性 スクリプトの 編 集 ................................................................................................ 77<br />
アンチスパムとメール .................................................................................................................... 78<br />
アンチスパムとメール・セキュリティについて .............................................................................. 78<br />
メール・セキュリティの 概 要 ....................................................................................................... 79<br />
アンチスパム....................................................................................................................... 79<br />
アダプティブ 連 続 ダウンロード .............................................................................................. 79<br />
アンチスパムの 設 定 ................................................................................................................. 80<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | v
コンテンツ・アンチスパム・ポリシーの 設 定 ............................................................................ 80<br />
IP レピュテーション・ポリシーの 設 定 .................................................................................... 80<br />
ブロック・リストの 設 定 .......................................................................................................... 81<br />
アンチスパム SMTP の 設 定 ................................................................................................ 81<br />
アンチスパム POP3 の 設 定 ................................................................................................ 81<br />
ネットワーク 例 外 の 設 定 ...................................................................................................... 82<br />
許 可 リストの 設 定 ................................................................................................................ 82<br />
カスタマイズ・サーバの 選 択 ................................................................................................ 82<br />
UTM-1 Edge デバイスでのアンチスパム ............................................................................. 82<br />
ブリッジ・モードとアンチスパム ............................................................................................. 83<br />
メールのウイルス 対 策 保 護 の 設 定 ............................................................................................ 83<br />
メールのウイルス 対 策 の 設 定 .............................................................................................. 83<br />
ゼロ・アワー・マルウェア 対 策 の 設 定 .................................................................................... 84<br />
SMTP と POP3 の 設 定 ....................................................................................................... 84<br />
ファイル・タイプの 設 定 ......................................................................................................... 85<br />
値 の 設 定 ............................................................................................................................ 85<br />
免 責 条 項 の 設 定 ...................................................................................................................... 85<br />
アンチスパムのログ 記 録 と 監 視 ................................................................................................ 86<br />
チェック・ポイントへの 誤 検 出 の 報 告 ......................................................................................... 86<br />
アンチスパム 追 跡 とレポート・オプション .................................................................................... 86<br />
SmartView Tracker ............................................................................................................ 86<br />
SmartView Monitor ............................................................................................................ 86<br />
SmartReporter ................................................................................................................... 86<br />
VoIP ............................................................................................................................................. 88<br />
ConnectControl - サーバの 負 荷 分 散 ........................................................................................... 89<br />
ConnectControl について ........................................................................................................ 89<br />
負 荷 分 散 方 式 .......................................................................................................................... 89<br />
ConnectControl のパケットの 流 れ ........................................................................................... 90<br />
論 理 サーバのタイプ ................................................................................................................. 90<br />
HTTP ................................................................................................................................. 90<br />
Other .................................................................................................................................. 91<br />
論 理 サーバのタイプの 検 討 ................................................................................................. 91<br />
永 続 サーバ・モード................................................................................................................... 92<br />
サーバごとの 永 続 性 ........................................................................................................... 92<br />
サービスごとの 永 続 性 ......................................................................................................... 92<br />
永 続 サーバのタイムアウト ................................................................................................... 93<br />
サーバの 可 用 性 ...................................................................................................................... 93<br />
負 荷 の 測 定 ............................................................................................................................. 93<br />
ConnectControl の 設 定 ........................................................................................................... 93<br />
CoreXL 管 理 ................................................................................................................................ 95<br />
サポートされるプラットフォームとサポートされない 機 能 ............................................................. 95<br />
デフォルト 設 定 ......................................................................................................................... 96<br />
IPv6 での CoreXL ................................................................................................................... 96<br />
パフォーマンス・チューニング .................................................................................................... 96<br />
プロセッシング・コアの 割 り 当 て ............................................................................................ 96<br />
プロセッシング・コアの 割 り 当 て ............................................................................................ 97<br />
CoreXL の 設 定 ...................................................................................................................... 100<br />
コマンドライン ......................................................................................................................... 100<br />
アフィニティ 設 定 ................................................................................................................ 100<br />
fwaffinity.conf ................................................................................................................... 100<br />
fwaffinty_apply ................................................................................................................. 101<br />
fw ctl affinity ..................................................................................................................... 101<br />
fw ctl multik stat ............................................................................................................... 103<br />
vi | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
付 録 ............................................................................................................................................ 104<br />
<strong>ファイアウォール</strong>を 有 効 にする 前 のセキュリティ ....................................................................... 104<br />
ブート・セキュリティ ................................................................................................................. 104<br />
起 動 時 の IP 転 送 の 制 御 ................................................................................................... 104<br />
デフォルト・フィルタ ................................................................................................................. 104<br />
デフォルト・フィルタのドロップ・フィルタへの 変 更 ................................................................. 105<br />
カスタムデフォルト·フィルタの 定 義 ..................................................................................... 106<br />
メンテナンス 時 のデフォルト・フィルタの 使 用 ....................................................................... 106<br />
初 期 ポリシー ......................................................................................................................... 106<br />
デフォルト·フィルタと 初 期 ポリシーの 管 理 ................................................................................ 107<br />
デフォルト・フィルタまたは 初 期 ポリシーが 読 み 込 まれていることを 確 認 .............................. 107<br />
デフォルト·フィルタまたは 初 期 ポリシーのアンロード ........................................................... 108<br />
トラブルシューティング: 再 起 動 を 完 了 できない ................................................................. 108<br />
コマンドライン .................................................................................................................... 108<br />
付 録 ............................................................................................................................................ 111<br />
認 証 の 設 定 ........................................................................................................................... 111<br />
ゲートウェイのユーザ 検 索 ................................................................................................. 111<br />
認 証 スキーム ......................................................................................................................... 112<br />
チェック・ポイント・パスワード ............................................................................................. 112<br />
オペレーティング・システム・パスワード .............................................................................. 112<br />
RADIUS ........................................................................................................................... 112<br />
SecurID ............................................................................................................................ 114<br />
TACACS .......................................................................................................................... 115<br />
Undefined ........................................................................................................................ 116<br />
認 証 方 式 ............................................................................................................................... 116<br />
ユーザ 認 証 ....................................................................................................................... 116<br />
セッション 認 証 ................................................................................................................... 117<br />
クライアント 認 証 ................................................................................................................ 119<br />
ユーザとグループの 作 成 ........................................................................................................ 125<br />
ユーザ・グループの 作 成 .................................................................................................... 125<br />
ユーザ・テンプレートの 作 成 ............................................................................................... 125<br />
ユーザの 作 成 ................................................................................................................... 125<br />
データベース 内 のユーザ 情 報 のインストール ..................................................................... 125<br />
認 証 トラッキングの 設 定 .......................................................................................................... 126<br />
Windows ユーザ・グループ 用 のポリシーの 設 定 ..................................................................... 126<br />
付 録 ............................................................................................................................................ 127<br />
実 施 モード ............................................................................................................................. 128<br />
NAT 環 境 .............................................................................................................................. 128<br />
Monitor Only 導 入 モード ........................................................................................................ 128<br />
協 調 施 行 の 設 定 .................................................................................................................... 128<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | vii
第 1 章<br />
アクセス 制 御<br />
この 章 の 構 成<br />
アクセス 制 御 の 概 要 8<br />
ルールおよびルール・ベース 10<br />
IP スプーフィングの 防 止 17<br />
マルチキャスト・アクセス 制 御 20<br />
Microsoft Networking Services のセキュリティ 23<br />
アクセス 制 御 の 概 要<br />
ネットワーク 境 界 の Security Gateway はすべてのトラフィックの 検 査 とアクセス 制 御 を 提 供 します。ゲートウェイを 通<br />
過 しないトラフィックは 制 御 されません。<br />
セキュリティ 管 理 者 は、 企 業 のセキュリティ・ポリシーを 実 施 する 責 任 があります。Security Management Server を<br />
使 用 することで、 管 理 者 は 複 数 のゲートウェイ 全 体 のセキュリティ・ポリシーを 一 貫 して 実 施 できます。これを 施 行 す<br />
るには、 管 理 者 は SmartDashboard を 使 用 して 会 社 全 体 のセキュリティ・ポリシー・ルール・ベースを 定 義 し、<br />
Security Management Server にインストールします。SmartDashboard は、 管 理 者 がセキュリティ・ポリシーをゲー<br />
トウェイに 適 用 する SmartConsole クライアント・アプリケーションです。 特 定 のルールを 特 定 のゲートウェイに 適 用<br />
することで、 詳 細 なセキュリティ・ポリシー 制 御 が 可 能 になります。<br />
Security Gateway は、ネットワークを 通 過 するすべてのサービスとアプリケーションをきめ 細 かく 解 析 することにより、<br />
安 全 なアクセス 制 御 を 可 能 にします。ステートフル・インスペクション 技 術 はアプリケーション 層 での 完 全 な 認 識 と 事<br />
前 定 義 済 みアプリケーション、サービス、プロトコルに 対 する 包 括 的 なアクセス 制 御 を 提 供 するとともに、カスタム・<br />
サービスを 指 定 および 定 義 する 機 能 も 提 供 します。<br />
8 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
Application Control と Identity Awareness<br />
効 果 的 なアクセス 制 御 を 行 うには、 管 理 者 は 以 下 を 行 う 必 要 があります。<br />
<br />
<br />
アプリケーションのアクセスとネットワーク・リソースの 使 用 方 法 の 制 御<br />
IP アドレスの 背 後 にいるユーザとコンピュータを 識 別 し 把 握<br />
Application Control の 必 要 性<br />
ソーシャル・メディアと Web 2.0 アプリケーションの 広 範 囲 にわたる 普 及 で、インターネットの 使 い 方 は 大 きく 変 わって<br />
きています。さまざまな 企 業 にとって、 日 々 進 化 するセキュリティ 脅 威 に 対 処 することが、 困 難 な 課 題 となっていま<br />
す。<br />
多 様 なインターネット・アプリケーションの 使 用 に 伴 い、 管 理 者 は 新 たな 課 題 に 直 面 しています。たとえば、 以 下 のよ<br />
うな 課 題 があげられます。<br />
<br />
<br />
<br />
マルウェアの 脅 威 - アプリケーションを 使 用 することで、ネットワークがマルウェアの 脅 威 にさらされる 危 険 性 が<br />
あります。Twitter、Facebook、YouTube のような 一 般 的 なアプリケーションは、ユーザが 無 意 識 にウイルスを<br />
ダウンロードする 原 因 になります。また、ファイル 共 有 アプリケーションを 使 用 すると、ネットワークに 簡 単 にマル<br />
ウェアがダウンロードされてしまう 危 険 性 もあります。<br />
帯 域 幅 の 浪 費 - 帯 域 幅 を 浪 費 するアプリケーション(メディア・ストリーミングなど)により、 業 務 にとって 重 要 な<br />
アプリケーションを 利 用 するための 帯 域 幅 が 制 限 されてしまう 可 能 性 があります。<br />
生 産 性 の 低 下 - 従 業 員 がソーシャル・ネットワークやその 他 のアプリケーションに 時 間 を 費 やし、 企 業 の 生 産<br />
性 を 著 しく 低 下 させる 可 能 性 があります。<br />
従 業 員 がインターネット 上 で 何 をしているか、またどのような 影 響 を 及 ぼしているのか、 企 業 が 把 握 することは 困 難<br />
です。<br />
Application Control の 詳 細 については、『<strong>R75.40VS</strong> Application and URL Filtering 管 理 ガイド』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
Identity Awareness の 必 要 性<br />
従 来 の<strong>ファイアウォール</strong>は IP アドレスを 利 用 してトラフィックを 監 視 し、それら IP アドレスの 背 後 にあるユーザとコン<br />
ピュータの ID を 認 識 しません。Identity Awareness はユーザとマシンの ID をマッピングするので、 匿 名 の 概 念 がな<br />
くなります。これを 使 用 すると、ID に 基 づいてデータのアクセスおよび 監 査 を 行 うことが 可 能 になります。<br />
Identity Awareness は 導 入 や 拡 張 が 簡 単 に 行 えるソリューションです。これは、Active Directory および 非 Active<br />
Directory ベース 両 方 のネットワークや、 従 業 員 、ゲスト・ユーザにも 適 用 できます。 現 在 は Firewall Blade と<br />
Application Control Blade で 利 用 可 能 で、 将 来 的 には 他 の Blade でも 使 用 できる 予 定 です。<br />
Identity Awareness を 使 用 することで、ネットワークの 場 所 と 以 下 に 基 づいてネットワークのアクセスと 監 査 を 簡 単<br />
に 設 定 することができます。<br />
<br />
<br />
ユーザ ID<br />
コンピュータ ID<br />
Identity Awareness が 送 信 元 または 宛 先 を 識 別 する 場 合 は、ユーザまたはコンピュータの IP アドレスを 名 前 で 表 し<br />
ます。たとえば、これらいずれかのプロパティで<strong>ファイアウォール</strong>・ルールを 作 成 することができます。 特 定 のユー<br />
ザが 特 定 のコンピュータからトラフィックを 送 信 する 場 合 の<strong>ファイアウォール</strong>・ルールを 定 義 することができます。また<br />
トラフィックを 送 信 するコンピュータに 関 係 なく 特 定 のユーザ 用 の<strong>ファイアウォール</strong>・ルールを 定 義 することもできま<br />
す。<br />
SmartDashboard の 場 合 は、アクセス・ロール・オブジェクトを 使 用 して 1 つのオブジェクトとしてユーザ、コンピュータ<br />
やネットワークの 場 所 を 定 義 します。<br />
Identity Awareness の 詳 細 については、『<strong>R75.40VS</strong> Identity Awareness 管 理 ガイド』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 9
ルールおよびルール・ベース<br />
セキュリティ・ポリシーは 順 序 付 けされたルールの 集 合 で 構 成 され、ルール・ベースと 呼 ばれます。 明 確 に 定 義 され<br />
たセキュリティ・ポリシーは、 効 果 的 なセキュリティ・ソリューションに 不 可 欠 です。ルール・ベースの 基 本 原 則 は、「 明<br />
示 的 に 許 可 されていないすべてのアクションは 禁 止 する」です。<br />
ルール·ベース 内 の 各 規 則 では、 送 信 元 、 宛 先 、サービス、およびセッションごとに 行 われるアクションを 指 定 します。<br />
ルールでは、イベントを 追 跡 する 方 法 も 指 定 します。イベントをログに 残 し、そして 警 告 メッセージをトリガすることが<br />
できます。トラフィック・ログと 警 告 を 確 認 することは、セキュリティ 管 理 の 重 要 な 事 項 です。<br />
ルール・ベース 要 素<br />
ルールは、 以 下 のルール・ベース 要 素 で 構 成 されています(すべてのフィールドが 特 定 のルールに 定 義 されるわけ<br />
ではありません)。<br />
ルール・ベース 要 素<br />
項 目<br />
Hits<br />
説 明<br />
Hit Count は 各 ルールに 一 致 する 接 続 数 を 追 跡 します。ルール・ベースでの 各<br />
ルールのため、ヒット 数 のカラムは、デフォルトでは、K(1000)、M(100 万 )、G(10<br />
億 )、または T(1 兆 )のヒット 数 と 一 緒 に 接 続 マッチングの 視 覚 的 な 指 標 を 表 しま<br />
す。 総 ヒット 数 から 見 たヒット 数 の 割 合 や、 指 標 レベル( 非 常 に 高 、 高 、 中 、 低 、また<br />
はゼロ)の 表 示 、 表 示 されるデータの 時 間 枠 などを 設 定 できます。これらのオプショ<br />
ンは、ヒット 数 のカラム・ヘッダまたはルール 番 号 を 右 クリックして、ファイアウォー<br />
ルのルール・ベースより 設 定 できます。 詳 細 については、「Hit Count」を 参 照 してく<br />
ださい。<br />
Source と Destination 接 続 の 発 信 元 と 宛 先 を 指 します。クライアント・サーバ・モデルで 動 作 するアプリ<br />
ケーションでは、Source はクライアント、Destination はサーバです。 接 続 が 許 可 さ<br />
れると、 接 続 を 介 して 転 送 されるパケットは 双 方 向 に 自 由 に 通 過 します。<br />
Source と Destination のパラメータの 否 定 をとることができます。つまり、 特 定 の<br />
ルールは、 指 定 した 場 所 を 除 くすべての 接 続 の Source/Destination に 適 用 されま<br />
す。たとえば、Source が 特 定 のネットワークに 含 まれないと 指 定 する 方 が 便 利 な<br />
場 合 があります。 接 続 の Source または Destination の 否 定 をとるには、 該 当 する<br />
ルールのセルを 右 クリックして、オプション・メニューから[Negate Cell]を 選 択 しま<br />
す。<br />
VPN<br />
Service<br />
Action<br />
TRACK<br />
暗 号 化 の 有 無 に 関 わらずルールをすべての 接 続 に 適 用 するか、VPN 接 続 にのみ<br />
適 用 するかを 設 定 できます。ルールを VPN 接 続 に 限 定 するには、 該 当 するルー<br />
ルをダブルクリックして、2 つの VPN オプションのいずれかを 選 択 します。<br />
ルールを 特 定 の 事 前 定 義 済 みプロトコル、サービス、またはアプリケーションに 適<br />
用 できます。 新 しいカスタム・サービスを 定 義 できます。<br />
パケットを 許 可 (Accept)、 拒 否 (Reject)、または 破 棄 (Drop)するかどうかを 決 定 し<br />
ます。 接 続 が 拒 否 されると、<strong>ファイアウォール</strong>は 接 続 の 発 信 元 に RST パケットを 送<br />
り 接 続 を 閉 じます。パケットが 破 棄 されると 応 答 は 送 信 されず、 接 続 は 最 後 に 時 間<br />
切 れになります。 認 証 に 関 するアクションの 詳 細 については、 認 証 (111ページ)を<br />
参 照 してください。<br />
さまざまなロギング・オプションを 提 供 します(『<strong>R75.40VS</strong> Security Management<br />
管 理 ガイド』(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参<br />
照 )。<br />
10 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
項 目<br />
Install-On<br />
Time<br />
説 明<br />
ルールをインストールする Security Gateway を 指 定 します。 特 定 のルールをすべ<br />
ての Security Gateway で 実 施 する 必 要 はありません。たとえば、 特 定 のネットワ<br />
ーク・サービスは 特 定 のゲートウェイのみを 通 過 させるルールを 作 成 できます。こ<br />
の 場 合 、 特 定 のルールを 他 のゲートウェイにインストールする 必 要 はありません<br />
(『<strong>R75.40VS</strong> Security Management 管 理 ガイド』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 )。<br />
ルールを 実 施 する 時 間 ( 有 効 と 失 効 )、 時 間 帯 、 日 付 を( 毎 日 、 曜 日 、 毎 月 )を 指 定<br />
します。<br />
暗 黙 ルール<br />
Security Gateway は、 管 理 者 が 定 義 するルール 以 外 に[Global Properties]で 定 義 される 暗 黙 のルールも 作 成 し<br />
ます。 暗 黙 のルールにより、 各 種 機 能 を 使 用 するために 必 要 なゲートウェイを 発 着 信 する 通 信 が 許 可 されます。ファ<br />
イアウォールは 暗 黙 のルールを 最 初 、 最 後 、またはルール・ベースの 最 後 のルールの 直 前 に 配 置 します。<br />
暗 黙 のルールの 例 としては、Security Gateway 制 御 接 続 と Security Gateway から 発 信 するパケットを 許 可 する<br />
ルールが 含 まれます。<br />
暗 黙 のルールを 表 示 するには<br />
1. ルール・ベースに 1 つ 以 上 のルールを 追 加 します。<br />
2. [View]→[Implied Rules]の 順 にクリックします。<br />
[Firewall]タブに、ユーザ 定 義 のルールに 加 えて、 暗 黙 ルールが 表 示 されます。<br />
ルール 施 行 の 順 序<br />
Security Gateway はパケットを 検 査 し、 順 番 にルールを 適 用 します。Security Gateway は 接 続 からのパケット 受 信<br />
時 、そのパケットを 検 査 し、それをルール・ベースの 1 番 目 のルール、2 番 目 のルールのように 順 番 に 適 用 します。<br />
与 えられたルールのすべての 要 素 がパケット(Source、Destination、Service など)に 含 まれる 情 報 に 一 致 したら、<br />
Security Gateway は 検 査 を 中 止 し、すぐにそのルールを 適 用 します。ルール・ベースで 適 用 可 能 なルールが 見 つ<br />
からない 場 合 は、トラフィックはブロックされます。<br />
ルール 処 理 の 概 念 を 理 解 する 必 要 があります。<strong>ファイアウォール</strong>は 常 に 与 えられたパケットに 最 初 に 一 致 したルー<br />
ルを 適 用 します。これはトラフィックに 最 適 なルールでなくてもかまいません。<br />
ルール・ベースは 慎 重 に 計 画 し、 適 切 な 順 序 でルールを 設 定 することが 重 要 です。 最 も 良 いのは、ルール・ベースの<br />
冒 頭 で 非 常 に 具 体 的 な 条 件 に 適 用 するルールを 置 くことです。 一 般 的 なルールは、ルール・ベースの 最 後 の 方 に 配<br />
置 する 必 要 があります。<br />
ルールは 以 下 の 順 序 で 処 理 されます。<br />
1. First( 最 初 )と 設 定 されているの 暗 黙 ルール: このルールは、ルール・ベースで 変 更 または 上 書 きすることはで<br />
きません。このルールの 前 に、 他 のルールを 配 置 することはできません。<br />
2. 明 示 的 ルール: これらは、First( 最 初 )と Before Last( 最 後 から 2 番 目 )の 暗 黙 のルールの 間 の 任 意 の 場 所 に<br />
配 置 することができる 管 理 者 が 定 義 したルールです。<br />
3. Before Last( 最 後 から 2 番 目 )の 暗 黙 ルール: 最 後 のルールが 適 用 される 前 に 実 施 する、より 具 体 的 なルール<br />
です。<br />
4. Last( 最 後 )の 暗 黙 ルール: これはデフォルトのルールで、ログを 取 らずにすべてのパケットを 拒 否 するルール<br />
です。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 11
アクセス 制 御 ルールの 例<br />
このテーブルでは、SmartDashboard の[Firewall]タブで 表 示 される、 典 型 的 なアクセス 制 御 ルールを 表 します。こ<br />
のルールでは、 支 社 から 任 意 の 宛 先 への HTTP 接 続 を 許 可 しログを 取 得 します。<br />
Source Destination VPN Service Action TRACK<br />
Branch-Office-gw Any Any Traffic http accept log<br />
アクセス 制 御 に 関 する 特 別 な 考 慮 事 項<br />
このセクションでは、アクセス 制 御 のシナリオについて 説 明 します。<br />
簡 潔 性<br />
効 果 的 な<strong>ファイアウォール</strong> 保 護 を 実 現 するための 鍵 は 簡 潔 なルール・ベースです。 組 織 のセキュリティにとって 最 も<br />
危 険 なことの 1 つは、 設 定 ミスです。たとえば、 誤 って 無 制 限 にメッセージング・プロトコルを 許 可 していれば、ユーザ<br />
は 偽 の 断 片 化 されたパケットを 使 用 して<strong>ファイアウォール</strong>をすり 抜 けようとするかもしれません。ルール・ベースを 簡<br />
潔 にすることにより、ルールの 管 理 と 維 持 を 簡 単 に 行 うことができます。ルールが 増 えれば 増 えるほど 間 違 いを 起 こ<br />
す 可 能 性 が 高 まります。<br />
基 本 ルール<br />
ルールを 作 成 する 場 合 は、 必 要 なトラフィックのみを 許 可 するようにしてください。<strong>ファイアウォール</strong>で 保 護 されている<br />
側 と 保 護 されていない 側 の 両 方 から 発 信 されて<strong>ファイアウォール</strong>を 通 過 するトラフィックを 考 慮 する 必 要 があります。<br />
すべてのルール・ベースに 次 の 基 本 アクセス 制 御 ルールを 含 めることをお 勧 めします。<br />
<br />
<br />
Security Gateway への 直 接 アクセスを 防 止 するためのステルス・ルール。<br />
前 のルールで 許 可 されていないトラフィックをすべて 破 棄 するクリーンアップ・ルール。これを 行 う 暗 黙 ルールが<br />
ありますが、クリーンアップ・ルールによりそのようなアクセスの 試 みをログに 記 録 できます。<br />
ルール・ベースの 基 本 原 則 は、「 明 示 的 に 許 可 されないすべてのアクションは 禁 止 する」であることをあらためて 認<br />
識 する 必 要 があります。<br />
ルールの 順 序<br />
ルールの 順 序 は、 効 果 的 なルール・ベースの 重 要 な 要 素 です。 同 じルールでも、 順 序 を 変 更 すると<strong>ファイアウォール</strong><br />
の 効 果 が 大 幅 に 変 わります。 最 も 具 体 的 なルールを 最 初 に 置 き、より 一 般 的 なルールを 最 後 に 置 くことが 適 切 です。<br />
この 順 序 により、 具 体 的 なルールの 前 に 一 般 的 なルールが 適 用 されるのを 防 ぎ、<strong>ファイアウォール</strong>を 設 定 ミスから<br />
保 護 できます。<br />
トポロジに 関 する 考 慮 事 項 : DMZ<br />
インターネットを 使 用 して 外 部 からアクセスできるサーバがある 場 合 は、 非 武 装 地 帯 (DMZ)を 作 成 する 必 要 があり<br />
ます。DMZ は、インターネットなどの 信 頼 されていない 発 信 元 からアクセス 可 能 なすべてのサーバを 隔 離 することに<br />
よって、 仮 にこれらのサーバに 侵 入 されたとしても、 侵 入 者 によるアクセスを 外 部 からアクセス 可 能 なサーバのみに<br />
制 限 します。DMZ 内 のサーバは 任 意 のネットワークからアクセスできるため、 外 部 からアクセス 可 能 なサーバはす<br />
べて DMZ に 設 置 する 必 要 があります。DMZ ゾーン 内 のサーバは、できる 限 り 安 全 に 保 護 する 必 要 があります。<br />
UserAuthority などの 特 定 のアプリケーションを 除 き、DMZ から 内 部 ネットワークへのアクセスを 許 可 しないでくださ<br />
い。<br />
X11 サービス<br />
X11(X ウィンドウ・システム・バージョン 11)グラフィックス 表 示 システムは、UNIX 環 境 におけるグラフィックス・シス<br />
テムの 標 準 です。X11 を 有 効 にするには、X11 サービスを 許 可 するルールを 作 成 する 必 要 があります。[Source]ま<br />
12 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
たは[Destination]を「Any」とした 場 合 、X11 サービスは 含 まれません。X11 サービスを 使 用 する 場 合 は、GUI アプ<br />
リケーションがクライアントではなくサーバとして 機 能 するためです。<br />
暗 黙 ルールの 編 集<br />
暗 黙 ルールは、[Global Properties]ウィンドウから[Firewall Implied Rules]ページを 選 択 して 定 義 します。 一 般 に<br />
定 義 済 みの 暗 黙 ルールは 変 更 する 必 要 がありません。プロパティをルール・ベースから 詳 細 に 管 理 できるよう、 一<br />
部 の 暗 黙 ルールを 選 択 しないことをお 勧 めします。たとえば、 特 定 のゲートウェイでのみ ICMP Ping を 許 可 したい 場<br />
合 があります。<br />
<strong>ファイアウォール</strong>の 暗 黙 ルールの 推 奨 設 定<br />
暗 黙 ルール<br />
推 奨 設 定<br />
Accept control connections( 制 御 接 続 の 受 け 入 れ)<br />
Accept Remote Access control connections<br />
(リモート・アクセス 制 御 接 続 の 受 け 入 れ)<br />
Accept SmartUpdate connections<br />
(SmartUpdate 接 続 の 受 け 入 れ)<br />
Accept outbound packets originating from the gateway<br />
(ゲートウェイから 発 信 されたアウトバウンド・パケットの 受 け 入 れ)<br />
Accept RIP(RIP の 受 け 入 れ)<br />
Accept Domain Name Over UDP (Queries)<br />
(UDP でのドメイン 名 の 受 け 入 れ(クエリ))<br />
Accept Domain Name over TCP (Zone transfer)<br />
(TCP でのドメイン 名 の 受 け 入 れ(ゾーン 転 送 ))<br />
Accept ICMP requests(ICMP 要 求 の 受 け 入 れ)<br />
Accept dynamic address DHCP traffic<br />
(ダイナミック・アドレス DHCP トラフィックの 受 け 入 れ)<br />
Accept VRRP packets originating from cluster members (VSX IPSO<br />
VRRP)<br />
(クラスタ·メンバから 発 信 される VRRP パケットの 受 け 入 れ(VSX Nokia<br />
VRRP))<br />
最 初<br />
最 初<br />
最 初<br />
オフ<br />
オフ<br />
オフ<br />
オフ<br />
オフ<br />
最 初<br />
最 初<br />
SmartDashboard ツール・バー<br />
SmartDashboard ツール・バーを 使 用 して 以 下 のアクションを 行 います。<br />
アイコン<br />
説 明<br />
SmartDashboard メニューを 開 きます。<br />
メニュー・オプションを 選 択 するよう 指 示 された 場 合 は、 最 初 にこのボタンをクリック<br />
します。<br />
たとえば、[Manage]→[Users and Administrators]の 順 に 選 択 するよう 指 示 され<br />
た 場 合 は、このボタンをクリックして 管 理 メニューを 開 き、[Users and<br />
Administrators]オプションを 選 択 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 13
アイコン<br />
説 明<br />
現 在 のポリシーとすべてのシステム・オブジェクトを 保 存 します。<br />
Security Management Server からポリシーを 更 新 します。<br />
グローバル・プロパティを 変 更 します。<br />
ルール・ベースの 一 貫 性 を 検 証 します。<br />
Security Gateway または VSX ゲートウェイにポリシーをインストールします。<br />
SmartConsole を 開 きます。<br />
アクセス 制 御 ルールの 定 義<br />
アクセス 制 御 ルールを 定 義 するには、SmartDashboard を 使 用 して 以 下 の 手 順 に 従 います。<br />
1. SmartDashboard を 使 用 して、 各 ネットワークおよびホストのネットワーク・オブジェクトを 定 義 します。<br />
2. SmartDashboard から[Firewall]タブをクリックします。<br />
3. SmartDashboard メニューから[Rules]→[Add Rule]の 順 に 選 択 し、[Bottom]、[Top]、[Below]または<br />
[Above]のいずれかを 選 択 します。<br />
4. ルールで 以 下 の 項 目 を 定 義 します。<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Name<br />
Source<br />
Destination<br />
VPN<br />
Service<br />
Action (Accept、Drop、Reject)<br />
TRACK<br />
Install on<br />
Time<br />
アクセス 制 御 ポリシーの 定 義<br />
アクセス 制 御 ポリシーは 以 下 の 目 的 で 必 要 です。<br />
<br />
<br />
<br />
内 部 ユーザにインターネットへのアクセスを 許 可 する。<br />
すべてのユーザに DMZ ネットワークのサーバへのアクセスを 許 可 する。<br />
ネットワークを 外 部 の 者 から 保 護 する。<br />
14 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
ポリシーはまた 2 つの 基 本 的 なルール、ステルス・ルールとクリーンアップ・ルールが 必 要 です。<br />
Hit Count<br />
Hit Count は 各 ルールに 一 致 する 接 続 数 を 追 跡 します。ルール・ベースでの 各 ルールのデフォルトでは、[Hits]カラ<br />
ムは、デフォルトでヒット 数 と 一 緒 に 一 致 する 接 続 の 視 覚 的 指 標 を 表 します。<br />
総 ヒット 数 から 見 たルールのヒット 数 の 割 合 、 指 標 レベル( 非 常 に 高 、 高 、 中 、 低 、またはゼロ)、 表 示 するデータの 時<br />
間 枠 を 設 定 できます。これらのオプションは<strong>ファイアウォール</strong>・ルール・ベースで 設 定 され、 他 のサポートされる<br />
Software Blade の 表 示 に 影 響 を 与 えます。<br />
Hit Count を 有 効 にする 場 合 は、Security Management Server はサポートされているゲートウェイからデータを 収<br />
集 します(R75.40 以 降 のバージョンより 対 応 )。Hit Count は、ログとは 独 立 して 動 作 します。 各 ルールの[Track]オ<br />
プションを[Log]に 設 定 する 必 要 はありません。[Track]オプションが[None]である 場 合 でも、Hit Count は 動 作 しま<br />
す。<br />
ルール・ベースの[Hits]カラムで 表 示 されたデータにより、 以 下 が 可 能 です。<br />
<br />
<br />
<br />
より 効 果 的 なルール・ベースに 変 更 - 一 致 する 接 続 がないルールを 削 除 できます。Hit Count がゼロのルール<br />
が 表 示 される 場 合 は、Hit Count が 有 効 なっている Security Gateway で 一 致 する 接 続 がないことを 意 味 します。<br />
他 のゲートウェイは 一 致 する 接 続 がある 可 能 性 があります。<br />
ルール・ベースの 性 能 向 上 - <strong>ファイアウォール</strong>のルール・ベースで、 高 いヒット 数 を 持 つルールをルール・ベー<br />
スの 高 位 置 に 移 動 することができます( 最 初 のルールの 1 つ)。<br />
ポリシーの 動 作 をよく 理 解 できます。<br />
Hit Count の 有 効 化 または 無 効 化<br />
デフォルトでは、Hit Count はすべてのサポートされる Security Gateway(R75.40 以 降 )で 有 効 です。データ 収 集 の<br />
時 間 範 囲 を 定 義 する 時 間 枠 は、 全 体 に 設 定 されます。 必 要 に 応 じて、 特 定 の Security Gateway の Hit Count 機 能<br />
を 無 効 にすることも 可 能 です。<br />
Hit Count を 有 効 または 無 効 にした 後 、データの 収 集 を 開 始 または 終 了 するためには、Security Gateway のポリシ<br />
ーをインストールする 必 要 があります。<br />
Hit Count を 全 体 的 に 有 効 または 無 効 にするには<br />
1. [Policy]メニューから、[Global Properties]を 選 択 します。<br />
2. ツリーから[Hit Count]を 選 択 します。<br />
3. 以 下 のオプションを 選 択 します。<br />
<br />
Enable Hit Count - 選 択 して、すべての Security Gateway を 有 効 にし、 各 ルールが 一 致 する 接 続 数 を 追<br />
跡 します。また 選 択 を 外 して、 無 効 にします。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 15
Keep Hit Count data up to - 時 間 範 囲 のいずれかのオプションを 選 択 します。デフォルトは 6 ヶ 月 間 です。<br />
この 期 間 にデータは Security Management Server データベースに 保 存 され、[Hits]カラムで 表 示 されま<br />
す。<br />
4. [OK]をクリックします。<br />
5. ポリシーをインストールします。<br />
各 セキュリティ・ゲートウェイの Hit Count を 有 効 または 無 効 にするには<br />
1. Security Gateway の[Gateway Properties]のツリーから[Hit Count]を 選 択 します。<br />
2. [Enable Hit Count]チェックボックスをオンにして 機 能 を 有 効 するか、オフにして 無 効 にします。<br />
3. [OK]をクリックします。<br />
4. ポリシーをインストールします。<br />
Hit Count 表 示 の 設 定<br />
これらのオプションで、[Hits]カラムにマッチした 接 続 データを 表 示 する 方 法 を 設 定 できます。<br />
<br />
<br />
<br />
Value - サポートされているゲートウェイでのルールのヒット 数 を 表 します。 下 記 の 接 続 ヒット 数 は 合 計 ヒット 数 に<br />
含 まれません<br />
<br />
<br />
サポートされていないゲートウェイ(R75.40 以 前 のバージョン)<br />
Hit Count 機 能 が 無 効 なゲートウェイ<br />
値 は 以 下 の 文 字 略 語 で 表 示 されます。<br />
K = 1,000<br />
M = 1,000,000<br />
G = 1,000,000,000<br />
T = 1,000,000,000,000<br />
たとえば、259K は 259,000 の 接 続 を 表 し、2M は 200 万 の 接 続 を 表 します。<br />
Percentage – 一 致 した 接 続 の 合 計 数 で、ルールが 一 致 したヒット 数 の 割 合 を 表 します。 割 合 (パーセント)は 百<br />
分 率 によって 四 捨 五 入 され、パーセントの 10 の 位 で 切 り 捨 てられます。<br />
Level – Hit Count のレベルは、 下 記 の 表 にあるようにヒットの 範 囲 を 表 示 するラベルです。<br />
Hit Count の 範 囲 = 最 大 ヒット 値 - 最 小 ヒット 値 (ヒット 数 ゼロは 含 まれない)<br />
Hit Count ラベル アイコン 範 囲<br />
Zero(ゼロ)<br />
0 ヒット<br />
Low( 低 )<br />
Medium( 中 )<br />
High( 高 )<br />
Hit Count 範 囲 の 10% 未 満<br />
Hit Count 範 囲 の 70% - 10 の 間<br />
Hit Count 範 囲 の 70% - 90%の 間<br />
Very High( 非 常 に 高 い)<br />
Hit Count 範 囲 の 90% 以 上<br />
[Hits]カラムですべてを 表 示 するオプション<br />
16 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
Hit Count 表 示 を 設 定 するには<br />
1. [Hits]カラム・ヘッダまたは 行 のルール 番 号 を 右 クリックします。<br />
2. メニューから[Display]を 選 択 します。<br />
3. 以 下 のいずれかのオプションを 選 択 します。<br />
<br />
<br />
<br />
Percentage<br />
Value<br />
Level<br />
Hit Count 時 間 枠 の 設 定<br />
[Hits]カラムに 示 されている 値 は、 時 間 枠 の 設 定 に 基 づいています。デフォルトでは、 時 間 枠 は[Global<br />
Properties] 設 定 の[Keep Hit Count data up to]パラメータに 応 じて 累 積 されます。パラメータが 6 ヶ 月 に 設 定 され<br />
ている 場 合 は、 利 用 可 能 な 時 間 枠 は、1 ヶ 月 、3 ヶ 月 、6 ヶ 月 です。<br />
[Global Properties] 設 定 のパラメータに 基 づいた 間 隔 に 従 って 期 間 を 変 更 することができます。<br />
Hit Count 時 間 枠 を 設 定 するには<br />
1. [Hits]カラム・ヘッダまたは 行 のルール 番 号 を 右 クリックします。<br />
2. メニューから[Timeframe]を 選 択 します。<br />
3. 時 間 枠 を 選 択 します。<br />
Hit Count データの 更 新<br />
各 ルールの Hit Count データは、3 時 間 ごとに 1 回 、Security Gateway から Security Management Server に 転 送<br />
されます。Hit Count データを 更 新 する 場 合 は、 直 接 Security Gateway からではなく、Security Management<br />
Server のデータベースのデータから 最 新 データを 取 得 します。<br />
ポリシーのインストール 後 、Hit Count はポリシーにある 各 Security Gateway から Security Management Server<br />
のデータベースに 更 新 されます。ポリシーがインストールされた 後 の 最 初 の 3 分 間 以 内 にに 行 われます。<br />
<strong>ファイアウォール</strong>・ルール・ベースの Hit Count データを 更 新 するには<br />
1. [Hits]カラム・ヘッダまたは 行 のルール 番 号 を 右 クリックします。<br />
2. メニューから、[Hit Count]→[Refresh]の 順 に 選 択 します。<br />
Application and URL Filtering のルール・ベースの Hit Count データを 更 新 するには<br />
<br />
ポリシー・ツールバーで[Hit Count]をクリックします。<br />
IP スプーフィングの 防 止<br />
ネットワークが IP アドレス・スプーフィングから 保 護 されていない 場 合 、アクセス 制 御 ルールは 無 効 になり、 攻 撃 者 に<br />
パケットの 発 信 元 アドレスを 変 更 され 簡 単 にアクセスされてしまいます。このため、 内 部 インタフェースを 含 む<br />
Security Gateway のすべてのインタフェースに、 必 ずスプーフィング 対 策 保 護 を 設 定 してください。<br />
IP スプーフィングは、 高 いアクセス 権 を 持 つネットワーク・ノードからパケットが 発 生 したかのように 見 せるため、パ<br />
ケットの IP アドレスを 変 更 し、 許 可 されていないアクセス 権 を 侵 入 者 が 取 得 しようとする 手 法 です。<br />
注 -すべての 通 信 が 明 確 な 発 信 元 から 発 生 しているかどうかを 確 認 することが 重 要 です。<br />
スプーフィング 対 策 保 護 は、パケットがゲートウェイの 正 しいインタフェースに 発 着 信 することを 検 証 します。この 機 能<br />
では、パケットが 特 定 の 内 部 ネットワークのインタフェースから 送 信 されているかを 確 認 します。また、パケットが<br />
ルーティングされた 後 、それが 適 切 なインタフェースを 通 過 することを 検 証 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 17
外 部 インタフェースから 来 たパケットが 偽 の 内 部 IP アドレスを 持 っていても、ファイルウォールのスプーフィング 対 策<br />
機 能 が 不 正 なインタフェースから 来 たことを 検 知 するのでブロックされます。<br />
Alaska_GW では、ファイルウォールは 以 下 のことを 保 証 します。<br />
<br />
<br />
インタフェース IF1 へのすべての 着 信 パケットはインターネットから 送 信 されている。<br />
インタフェース IF2 へのすべての 着 信 パケットは Alaska_LAN、Alaska_RND_LAN、または Florida_LAN から<br />
送 信 されている。<br />
Alaska_RND_GW では、ファイルウォールは 以 下 のことを 保 証 します。<br />
<br />
<br />
インタフェース IF3 へのすべての 着 信 パケットは Alaska_LAN、Florida_LAN、またはインターネットから 送 信 さ<br />
れている。<br />
インタフェース IF4 へのすべての 着 信 パケットは Alaska_RND_LAN から 送 信 されている。<br />
スプーフィング 対 策 を 設 定 する 場 合 は、インタフェース・トポロジの 定 義 でインタフェースがインターネットに 接 続 して<br />
いる(「External」として 定 義 する)か、 内 部 ネットワークに 接 続 している(「Internal」として 定 義 する)かを 指 定 する 必<br />
要 があります。<br />
スプーフィング 対 策 の 設 定<br />
内 部 インタフェースを 含 む Security Gateway のすべてのインタフェースで、スプーフィング 対 策 を 設 定 することが 重<br />
要 です。<br />
設 定<br />
外 部 インタフェースで 有 効 なアドレスを 定 義 するには<br />
1. SmartDashboard から、[Manage]→[Network Objects]を 選 択 します。<br />
2. ゲートウェイを 選 択 して、[Edit]をクリックします。<br />
3. ページのリストから[Topology]を 選 択 してクリックします。<br />
4. [Get]→[Interfaces]の 順 にクリックして、ゲートウェイ・コンピュータのインタフェース 情 報 を 取 得 します。<br />
5. [Accept]をクリックします。<br />
SmartDashboard がトポロジ 情 報 を 取 得 できない 場 合 は、ゲートウェイの[General Properties]が 正 しく 一 覧 表<br />
示 され、ゲートウェイ、Security Management Server と SmartDashboard のすべてが 機 能 し 通 信 していること<br />
を 確 認 します。<br />
6. [Topology]ページで、インターネットへのインタフェースを 選 択 して[Edit]をクリックします。<br />
18 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
7. [Interface Properties]ウィンドウで[Topology]タブを 開 きます。<br />
8. [External (leads out to the Internet)]を 選 択 します。<br />
9. [Perform Anti-Spoofing based on interface topology]を 選 択 します。<br />
10. [Anti-Spoofing action is set to]から、 以 下 のいずれか 1 つのオプションを 選 択 します。<br />
<br />
<br />
Prevent - スプーフィングされたパケットをブロックします。<br />
Detect - スプーフィングされた 可 能 性 のあるパケットを 許 可 します。このオプションは 監 視 目 的 に 使 用 され、<br />
いずれか 1 つのトラッキング・オプションと 組 み 合 わせて 使 用 する 必 要 があります。これは、 実 際 にパケット<br />
を 拒 否 することなくネットワークのトポロジを 学 習 するためのツールとして 機 能 します。<br />
11. [Don't check packets from]は 外 部 インタフェースに 着 信 する 特 定 の 内 部 ネットワークからのアドレスに 対 して<br />
アンチ・スプーフィング・チェックを 動 作 させないようにするのに 使 用 します。<br />
このオプションを 使 用 するには、チェックボックスを 選 択 し、ドロップダウン・リストから 有 効 なアドレスを 持 つ 内 部<br />
ネットワークを 表 すネットワーク・オブジェクトを 選 択 します。 必 要 なネットワーク・オブジェクトがリストにない 場 合<br />
は、[New]をクリックして 必 要 な 内 部 ネットワーク・オブジェクトを 定 義 します。<br />
ドロップダウン・リストで 選 択 したオブジェクトは、スプーフィング 対 策 の 実 施 メカニズムによって 無 視 されます。<br />
12. [Spoof Tracking]オプションから[Log]を 選 択 し、[OK]をクリックします。<br />
内 部 インタフェースのスプーフィング 対 策 設 定<br />
内 部 インタフェースの 有 効 アドレスを 定 義 するには<br />
1. SmartDashboard から、[Manage]→[Network Objects]を 選 択 します。<br />
2. チェック・ポイントのゲートウェイを 選 択 し、[Edit]をクリックします。<br />
3. ゲートウェイ・ウィンドウから、[Topology]を 選 択 します。<br />
4. [Topology]ウィンドウから、[Get]→[Interfaces]の 順 にクリックして、ゲートウェイ・コンピュータのインタフェース<br />
情 報 を 取 得 します。<br />
5. [Name]カラムから 内 部 インタフェースを 選 択 して[Edit]ボタンをクリックします。<br />
6. [Interface Properties]ウィンドウから[Topology]をクリックし、[Internal (leads to the local network)]を 選 択<br />
します。<br />
7. [IP Addresses behind this interface]から、 以 下 のいずれか 1 つを 実 行 します。<br />
<br />
<br />
インタフェースの 背 後 に 1 つのネットワークしかない 場 合 は、[Network defined by the interface IP and<br />
Net Mask]を 選 択 します。<br />
インタフェースの 背 後 に 複 数 のネットワークがある 場 合 は、インタフェースの 背 後 のすべてのネットワークを<br />
構 成 するネットワーク・グループ・オブジェクトを 定 義 し、[Specific]を 選 択 し、 作 成 したグループを 選 択 しま<br />
す。<br />
8. [Perform Anti-Spoofing based on interface topology]を 選 択 します。<br />
9. [Anti-Spoofing action is set to]から、 以 下 のいずれかのオプション 1 つを 選 択 します。<br />
<br />
<br />
Prevent - スプーフィングされたパケットをブロックします。<br />
Detect - スプーフィングされたパケットを 許 可 します。このオプションは 監 視 目 的 に 使 用 され、いずれか 1 つ<br />
のトラッキング・オプションと 組 み 合 わせて 使 用 する 必 要 があります。これは、 実 際 にパケットを 拒 否 すること<br />
なく、ネットワークのトポロジを 学 習 するためのツールとして 機 能 します。<br />
10. [Spoof Tracking]から[Log]を 選 択 し、[OK]をクリックしてください。<br />
11. すべての 内 部 インタフェースに 対 して、 手 順 1 から 8 まで 繰 り 返 します。<br />
12. [Policy]→[Install]の 順 に 選 択 してセキュリティ・ポリシーをインストールします。<br />
特 定 内 部 アドレスの 除 外<br />
状 況 によっては、 内 部 ネットワークに 属 する 送 信 元 アドレスを 持 つパケットを、 外 部 インタフェース 経 由 でゲートウェイ<br />
に 送 信 できるようにする 必 要 があります。これは、 外 部 アプリケーションが 内 部 IP アドレスを 外 部 クライアントに 割 り<br />
当 てる 場 合 に 役 立 つことがあります。この 場 合 、 指 定 した 内 部 ネットワークからのパケットに 対 してスプーフィング 対<br />
策 ・チェックを 行 わないように 指 定 できます。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 19
適 正 なアドレス<br />
適 正 なアドレスとは、Security Gateway インタフェースへの 入 力 を 許 可 されるアドレスです。 適 正 なアドレスはネット<br />
ワーク・トポロジによって 決 定 します。<strong>ファイアウォール</strong>でスプーフィング 対 策 保 護 を 設 定 する 場 合 は、 管 理 者 はイン<br />
タフェースの 背 後 にある 適 正 な IP アドレスを 指 定 します。[Get Interfaces with Topology]オプションは 自 動 的 にイ<br />
ンタフェースとそのトポロジを 定 義 し、ネットワーク・オブジェクトを 作 成 します。<strong>ファイアウォール</strong>はルーティング・テー<br />
ブルのエントリを 読 み 取 ってこの 情 報 を 取 得 します。<br />
マルチキャスト・アクセス 制 御<br />
マルチキャスト IP は、 事 前 定 義 されたグループの 受 信 者 に 単 一 のメッセージを 送 信 します。この 例 としては、 分 散 型<br />
の 会 議 に 参 加 している 一 連 のホストへリアルタイムのオーディオやビデオの 配 信 があります。<br />
マルチキャストは、 選 択 した 周 波 数 にチューナを 合 わせて 情 報 を 受 信 するラジオやテレビに 似 ています。マルチキャ<br />
ストでは 興 味 のあるチャンネルだけを 聞 き、 他 のチャンネルは 聞 きません。<br />
IP マルチキャスト・アプリケーションは、 各 データグラムの 1 つのコピー(IP パケット)を 受 信 したいコンピュータのグルー<br />
プ 宛 に 送 信 します。この 方 法 では、データグラムを 1 人 の 受 信 者 (ユニキャスト・アドレス)ではなく、 受 信 者 のグルー<br />
プ(マルチキャスト・アドレス)に 送 信 します。ネットワーク 内 のルータは、データグラムを 必 要 としているルータとホス<br />
トにのみ 転 送 します。<br />
IETF(Internet Engineering Task Force)は、 以 下 を 定 義 するマルチキャスト 通 信 標 準 を 開 発 しました。<br />
<br />
<br />
<br />
マルチキャスト・ルーティング・プロトコル<br />
動 的 な 登 録<br />
IP マルチキャスト・グループのアドレス 指 定<br />
マルチキャスト・ルーティング・プロトコル<br />
マルチキャスト・ルーティング・プロトコルは、マルチキャスト・グループ 間 で 情 報 を 伝 達 します。マルチキャスト・ルー<br />
ティング・プロトコルの 例 として、Protocol-Independent Multicast(PIM)、Distance Vector Multicast Routing<br />
Protocol(DVMRP)、Multicast Extensions to OSPF(MOSPF)などがあります。<br />
IGMP を 使 用 した 動 的 登 録<br />
ホストは IGMP(Internet Group Management Protocol)を 使 用 して、ホストが 特 定 のマルチキャスト・グループに 所<br />
属 する 必 要 があるかどうかを、 最 も 近 いマルチキャスト・ルータに 通 知 します。ホストは、いつでもグループから 抜 け<br />
たりグループに 参 加 したりできます。IGMP は RFC 1112 で 定 義 されています。<br />
IP マルチキャスト・グループのアドレス 指 定<br />
IP アドレスの 領 域 には、クラス A、クラス B、クラス C、クラス D の 4 つのセクションがあります。クラス A、B、C のア<br />
ドレスはユニキャスト・トラフィックのために 使 用 されます。クラス D のアドレスは、マルチキャスト・トラフィック 用 に 予<br />
約 され、 動 的 に 割 り 当 てられます。<br />
マルチキャスト・アドレスの 範 囲 「224.0.0.0~239.255.255.255」は、IP マルチキャスト・トラフィックのグループ・アド<br />
レスまたは 送 信 先 アドレス 専 用 です。 宛 先 アドレスが「1110」で 始 まるすべての IP データグラムは IP マルチキャス<br />
ト・データグラムです。<br />
20 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
ラジオを 特 定 の 周 波 数 にチューニングして、 放 送 されている 番 組 を 受 信 するのと 同 じように、ホスト・インタフェースを<br />
「 調 整 」して、 特 定 のマルチキャスト・グループに 送 信 されたデータグラムを 受 信 できます。このプロセスはマルチキャ<br />
スト・グループへの 参 加 と 呼 ばれます。<br />
マルチキャスト・アドレス 範 囲 の 残 りの 28 ビットは、データグラムの 送 信 先 のマルチキャスト・グループを 識 別 します。<br />
マルチキャスト・グループのメンバシップは 動 的 です(ホストはいつでもグループに 参 加 したり、グループから 抜 けた<br />
りできます)。マルチキャスト・データグラムの 発 信 元 アドレスは、 常 にユニキャスト 発 信 元 アドレスです。<br />
予 約 済 みローカル・アドレス<br />
Internet Assigned Numbers Authority(IANA)は、「224.0.0.0~224.0.0.255」の 範 囲 のマルチキャスト・グループ・<br />
アドレスを、ルータによって 転 送 されずに 特 定 の LAN セグメント 内 のローカルで 使 用 されるアプリケーション 用 に 割 り<br />
当 てています。<br />
これらのアドレスはパーマネント・ホスト・グループと 呼 ばれます。 以 下 の 表 は、 予 約 済 みのローカル·ネットワーク·マ<br />
ルチキャスト·グループの 例 です。<br />
ローカル・ネットワーク・マルチキャスト・グループの 例<br />
マルチキャスト・アドレス<br />
目 的<br />
224.0.0.1 すべてのホスト。このグループに 送 信 される ICMP リクエスト(Ping)は、ネット<br />
ワーク 上 のすべてのマルチキャスト 対 応 のホストによって 応 答 される 必 要 があ<br />
ります。すべてのマルチキャスト 対 応 ホストは、すべてのマルチキャスト 対 応 イ<br />
ンタフェースで 起 動 時 にこのグループに 参 加 する 必 要 があります。<br />
224.0.0.2 すべてのルータ。すべてのマルチキャスト・ルータは、すべてのマルチキャスト<br />
対 応 インタフェースでこのグループに 参 加 する 必 要 があります。<br />
224.0.0.4 すべての DVMRP ルータ。<br />
224.0.0.5 すべての OSPF ルータ。<br />
224.0.0.13 すべての PIM ルータ。<br />
予 約 されたマルチキャスト・アドレスの 詳 細 については、IANA Web サイト<br />
(http://www.iana.org/assignments/multicast-addresses)を 参 照 してください。<br />
インタフェースごとのマルチキャストの 制 限<br />
マルチキャスト 対 応 のルータは、1 つのインタフェースから 別 のインタフェースにマルチキャスト・データグラムを 転 送<br />
します。SecurePlatform で 実 行 される Security Gateway でマルチキャストを 有 効 にすると、インタフェースごとにマ<br />
ルチキャスト・アクセスを 制 限 することができます。これらの 制 限 では、 許 可 またはブロックするマルチキャスト・グ<br />
ループ(アドレスまたはアドレス 範 囲 )を 指 定 します。 制 限 は 発 信 マルチキャスト・データグラムに 対 して 適 用 されま<br />
す。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 21
発 信 IGMP マルチキャスト・パケットのマルチキャスト・グループへのアクセスがインタフェースで 拒 否 される 場 合 は、<br />
着 信 パケットも 拒 否 されます。<br />
マルチキャスト・データグラムのアクセス 制 限 が 定 義 されていない 場 合 、1 つのインタフェースからゲートウェイに 入 っ<br />
た 着 信 マルチキャスト・データグラムは、 他 のすべてのインタフェースから 出 ることが 許 可 されます。<br />
インタフェースごとのアクセス 制 限 を 定 義 する 以 外 に、マルチキャスト・トラフィックとサービスを 許 可 するルールを<br />
ルール・ベースで 定 義 し、ルールの 宛 先 には 必 要 なマルチキャスト・グループを 指 定 する 必 要 があります。<br />
VPN 接 続<br />
マルチキャスト・トラフィックは 暗 号 化 して、 複 数 の VPN トンネル・インタフェース( 同 じ 物 理 インタフェースに 関 連 付 け<br />
られた 仮 想 インタフェース)を 使 用 して 定 義 された VPN リンク 経 由 で 送 信 できます。<br />
マルチキャスト·アクセス 制 御 の 設 定<br />
マルチキャスト・アクセス 制 御 を 設 定 するには<br />
1. SmartDashboard からゲートウェイ·オブジェクトを 選 択 します。<br />
2. [General Properties]ページから、ゲートウェイのバージョンが 正 しく 指 定 されていることを 確 認 します。<br />
3. [Topology]ページからインタフェースを 選 択 して[Edit]をクリックしてください。<br />
4. [Interface Properties]ページの[Multicast Restrictions]タブから、[Drop Multicast packets by the following<br />
conditions]を 選 択 します。<br />
5. 以 下 のいずれかのインタフェースのマルチキャスト・ポリシーを 選 択 します。<br />
<br />
<br />
Drop multicast packets whose destination is in the list<br />
Drop all multicast packets except those whose destination is in the list<br />
6. [Add]をクリックしてマルチキャスト・アドレスの 範 囲 を 追 加 します。リストから 選 択 したマルチキャスト・アドレス<br />
範 囲 のオブジェクトが[Add Object]ウィンドウに 表 示 されます。<br />
7. [New]→[Multicast Address Range]をクリックします。[Multicast Address Range Properties]ウィンドウが<br />
表 示 されます。<br />
8. この 範 囲 の 名 前 を 入 力 します。<br />
9. 「224.0.0.0~239.255.255.255」の 範 囲 内 で IP Address Range か Single IP Address を 選 択 して IP アドレス<br />
範 囲 や 単 一 IP アドレスを 定 義 します。<br />
10. [OK]をクリックします。 名 前 付 けられたマルチキャスト 範 囲 は、[Add Object]ウィンドウで 表 示 されます。<br />
11. [OK]をクリックします。 名 前 付 けられたマルチキャスト 範 囲 は、[Interface Properties]→[Multicast<br />
Restrictions]ウィンドウの 順 に 選 択 して 表 示 します。<br />
12. [OK]をクリックし、[Interface Properties]ウィンドウを 選 択 し、 再 度 ゲートウェイ・ウィンドウを 閉 じます。<br />
22 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
13. ルール・ベースにマルチキャスト・アドレスの 範 囲 を 許 可 するルールを 追 加 します。ルールの 宛 先 として、 手 順 5<br />
で 定 義 した 範 囲 を 指 定 します。<br />
14. セキュリティ・ポリシーを 保 存 して、[Policy]→[Install]の 順 に 選 択 してインストールします。<br />
Microsoft Networking Services のセキュリティ<br />
Microsoft Networking Services(CIFS)の 保 護<br />
CIFS(Common Internet File System)は、ネットワーク 上 のサーバ・システムにファイル 共 有 と 印 刷 サービスを 要<br />
求 するのに 使 用 するプロトコルです。CIFS は SMB(Server Message Block)プロトコルの 拡 張 です。CIFS は、TCP<br />
ポート「139」を 使 用 する NETBIOS セッション(nbsession)サービスの 基 本 となるトランスポート 層 として 使 用 されま<br />
す。Windows ネットワーキングでは、CIFS は Microsoft-DS プロトコル(ポート「445」)でネットワーキングおよびファ<br />
イル 共 有 に 使 用 されます。CIFS の 詳 細 については、http://samba.org/cifs/を 参 照 してください。<br />
Windows サーバは、 管 理 上 の 理 由 からデフォルトの 共 有 (C$, ADMIN$, PRINT$)がオープンになっているので、<br />
ファイル・サーバに 対 するパスワード 攻 撃 などの 内 部 攻 撃 の 格 好 の 標 的 になります。<br />
Security Gateway は、セキュリティ・サーバを 使 用 せずに 検 査 モジュールで Microsoft Networking Services のセキ<br />
ュリティを 確 保 します。これにより、LAN セキュリティ(Fast Ethernet と Gigabit Ethernet)に 必 要 な 高 性 能 要 件 を 満<br />
たすことが 可 能 になります。<br />
CIFS リソースを 使 用 して、CIFS 接 続 に 対 して 以 下 のセキュリティ・チェックを 実 行 できます。<br />
<br />
<br />
<br />
<br />
プロトコルの 正 確 性 を 確 認 する<br />
クライアントが 発 行 した CIFS メッセージと NETBIOS メッセージが 境 界 を 越 えた 場 所 を 示 すのを 防 止 する<br />
CIFS サーバとディスク 共 有 のリストへのアクセスを 制 限 する<br />
ディスク 共 有 へのアクセスをログに 記 録 する<br />
サーバと 共 有 へのアクセス 制 限 (CIFS リソース)<br />
サーバと 共 有 へのアクセスを 制 限 するには<br />
1. 新 しい CIFS リソースを 定 義 します。<br />
2. CIFS リソースを 設 定 します。[Allowed Disk¥Print Shares]は、 許 可 された CIFS サーバとディスク 共 有 のリスト<br />
です。ワイルドカードを 使 用 できます。[Add]、[Edit]、または[Delete]を 選 択 してリストを 変 更 します。<br />
たとえば、CIFS サーバ BEATLES 上 のディスク 共 有 PAUL へのアクセスを 許 可 するには、 以 下 の 手 順 に 従 い<br />
ます。<br />
a) [Add]ボタンをクリックして[Server Name]フィールドに「BEATLES」、[Share Name]フィールドに「IPC$」<br />
と 入 力 します。[OK]をクリックします。<br />
b) 再 度 [Add]ボタンをクリックして[Server Name]フィールドに「BEATLES」、[Share Name]フィールドに<br />
「PAUL」と 入 力 します。[OK]をクリックします。<br />
3. 新 しいルールを 追 加 します。[Service]の 下 に、 設 定 したリソースと 共 に「nbsession」または「Microsoft-DS」を<br />
追 加 します。<br />
重 要 - コンテンツ 検 査 を 行 うサービス・オブジェクトのプロトコルは、 削 除 または 変 更 しないで<br />
ください。サービスを 変 更 すると 保 護 機 能 が 機 能 しなくなります。<br />
4. [Policy]→[Install]の 順 に 選 択 してセキュリティ・ポリシーをインストールします。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 23
第 2 章<br />
認 証<br />
この 章 の 構 成<br />
Identity Awareness 24<br />
導 入 31<br />
Identity Awareness のシナリオ 32<br />
Identity Awareness の 設 定 40<br />
Identity Awareness<br />
Identity Awareness は、 簡 単 に 導 入 し 拡 張 できる 高 性 能 な 認 証 ソリューションです。Active Directory と 非 Active<br />
Directory の 両 方 のネットワーク、そして 従 業 員 やゲスト・ユーザにも 適 用 できます。Identity Awareness を 使 用 する<br />
ことで、ID に 基 づいて 社 員 とゲスト・ユーザのネットワーク・アクセスの 制 御 と 監 査 が 可 能 です<br />
現 時 点 では Firewall Software Blade と Application Control Software Blade で 利 用 可 能 で、 将 来 的 に 他 のブレー<br />
ドでもサポートされる 予 定 です。<br />
Identity Awareness のネットワーク・アクセスと 監 査 の 設 定 は 簡 単 です。この 設 定 は、ネットワークの 場 所 だけでなく、<br />
次 の 条 件 に 基 づきます。<br />
<br />
<br />
ユーザ ID<br />
コンピュータ ID<br />
Identity Awareness で 送 信 元 や 送 信 先 を 識 別 すると、ユーザやマシンの IP アドレスが 名 前 で 表 示 されます。たとえ<br />
ば、このプロパティに 基 づく<strong>ファイアウォール</strong>・ルールを 作 成 するといったこともできるようになります。 特 定 のユーザ<br />
が 特 定 のマシンからトラフィックを 送 信 する 場 合 にこのユーザに<strong>ファイアウォール</strong>を 定 義 したり、トラフィックを 送 信 す<br />
るマシンに 関 係 なく 特 定 ユーザに<strong>ファイアウォール</strong>を 定 義 することが 可 能 です。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 24
SmartDashboard からアクセス・ロール・オブジェクトを 使 用 して、1 つのオブジェクトとしてユーザ、マシン、ネット<br />
ワークの 場 所 を 定 義 します。<br />
Identity Awareness を 使 用 することで、IP アドレスだけでなくユーザおよびマシン 名 に 基 づいたユーザのアクティビ<br />
ティを SmartView Tracker と SmartEvent で 確 認 できます。<br />
Identity Awareness は 以 下 の 情 報 から ID を 取 得 します。<br />
<br />
<br />
<br />
<br />
<br />
AD Query<br />
Browser-Based Authentication<br />
Endpoint Identity Agent<br />
Terminal Servers Identity Agent<br />
Remote Access<br />
以 下 の 表 では、 用 途 や 導 入 の 検 討 事 項 によって、アイデンティティ・ソースが 異 なることを 表 わしています。 検 討 事 項<br />
に 応 じて、 単 一 のアイデンティティ・ソースを 使 用 するか、 複 数 のアイデンティティ・ソースを 併 せて 使 用 するかを<br />
Identity Awareness で 設 定 できます。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 25
ソース 説 明 推 奨 用 途 導 入 の 検 討 事 項<br />
AD Query<br />
Browser-Based<br />
Authentication<br />
Microsoft Active<br />
Directory(AD)から<br />
シームレスにアイデン<br />
ティティ・データを 取 得<br />
Captive Portal から<br />
未 認 識 ユーザを 認 証<br />
するために Web ポー<br />
タルへ 送 信<br />
Transparent<br />
Kerberos<br />
Authentication を 設<br />
定 している 場 合 、ユー<br />
ザに Captive Portal<br />
のユーザ 名 /パスワー<br />
ド 入 力 ページが 表 示<br />
される 前 に、ブラウザ<br />
でアイデンティティ 情<br />
報 を 取 得 してユーザ<br />
に 透 過 的 な 認 証 が 試<br />
行 されます。<br />
<br />
<br />
<br />
アイデンティティ・ベース<br />
の 監 査 とログ 記 録<br />
アイデンティティ 情 報 を<br />
インターネット・アプリ<br />
ケーション・コントロール<br />
に 利 用<br />
内 部 ネットワーク<br />
での 基 本 的 アイ<br />
デンティティの 実<br />
施<br />
Captive Portal<br />
<br />
<br />
AD ユーザ 以 外 に 対 しア<br />
イデンティティ・ベースの<br />
実 施 (Windows 以 外 の<br />
ユーザとゲスト・ユーザ)<br />
Endpoint Identity<br />
Agents の 導 入<br />
Transparent Kerberos<br />
Authentication<br />
AD 環 境 では、ユーザがす<br />
でにログインしている 場 合<br />
は 最 初 のログイン(SSO)<br />
に 使 われた 認 証 情 報 から<br />
アイデンティティ 情 報 をブラ<br />
ウザで 取 得<br />
<br />
<br />
<br />
簡 単 な 設 定 (AD 管 理 者 認 証<br />
情 報 は 必 要 ) 管 理 者 ユーザを<br />
サード・パーティ 製 デバイス<br />
のサービス・アカウントとして<br />
使 用 させたくない 場 合 、AD<br />
Query を AD 管 理 者 権 限 なし<br />
で 設 定 可 能 。sk43874<br />
(http://supportcontent.che<br />
ckpoint.com/solutions?id=s<br />
k43874)を 参 照 。<br />
デスクトップ・ユーザ 向 け<br />
AD ユーザとマシンの<br />
みを 検 出<br />
アイデンティティの 実 施 目 的 (ロ<br />
グ 記 録 目 的 ではない)<br />
Identity Agent<br />
SSO で 安 全 に 認 証 を<br />
行 うライト 版 エンドポ<br />
イント・エージェント<br />
<br />
<br />
<br />
アイデンティティをデー<br />
タ・センター 保 護 に 利 用<br />
非 常 に 重 要 なサーバ<br />
の 保 護 向 け<br />
アイデンティティ<br />
検 知 の 正 確 性 が<br />
重 要 な 環 境<br />
『<strong>R75.40VS</strong> Identity<br />
Awareness 管 理 ガイド<br />
(http://supportcontent.checkpo<br />
int.com/solutions?id=sk76540<br />
)の「アイデンティティ・ソースの<br />
選 択 」の 章 を 参 照 してください。<br />
Terminal Servers<br />
Identity Agent<br />
同 じ IP アドレスから 接<br />
続 する 複 数 ユーザを<br />
認 識 するため、<br />
Terminal/Citrix サー<br />
ビスをホスティングす<br />
るアプリケーション・サ<br />
ーバに Terminal<br />
Server Identity<br />
Agent がインストール<br />
されます。<br />
<br />
Terminal<br />
Server/Citrix 環<br />
境 を 使 うユーザ<br />
の 認 識<br />
Remote Access<br />
IPSec VPN オフィス・<br />
モードでアクセスする<br />
ユーザをシームレス<br />
に 認 証<br />
<br />
VPN で 組 織 にア<br />
クセスするユー<br />
ザにアイデンティ<br />
ティ・ベースで 認<br />
識 してセキュリテ<br />
ィ・ポリシーを 適<br />
用<br />
26 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
アイデンティティを 識 別 するゲートウェイは、 取 得 するアイデンティティ 情 報 をほかのアイデンティティ 識 別 を 行 うゲー<br />
トウェイと 共 有 することができます。 共 有 することで、 何 度 もアイデンティティ 認 証 が 必 要 なユーザが 実 際 に 認 証 を 行<br />
うのは 最 初 の 一 度 で 済 みます。 詳 細 については、「 高 度 な 導 入 」を 参 照 してください。<br />
AD Query<br />
AD Query 簡 単 に 導 入 できるクライアントレスのアイデンティティ 取 得 メソッドです。これは Active Directory 統 合 に 基<br />
づいていて、ユーザに 完 全 に 透 過 的 な 方 法 です。<br />
AD Query のオプションは、 以 下 の 状 況 において 操 作 します。<br />
<br />
<br />
識 別 されたアセット(ユーザ/マシン)が、 認 証 を 必 要 とする 内 部 リソースにアクセスしようとしたとき。たとえば、ユ<br />
ーザがログインする、 画 面 のロック 解 除 を 行 う、ネットワーク・ドライブを 共 有 する、Exchange でメールを 確 認 す<br />
る、 内 部 ポータルにアクセスするといった 場 合 です。<br />
AD Query がアイデンティティ 取 得 の 方 法 として 選 択 されているとき。<br />
この 技 術 は、Active Directory Security Event ログにクエリを 行 い、そこからネットワーク・アドレスにマッピングを 行<br />
うユーザおよびマシンを 抽 出 する 仕 組 みです。Microsoft プロトコルである WMI(Windows Management<br />
Instrumentation)に 基 づいています。Security GatewayはActive Directoryドメイン・コントローラと 直 接 通 信 を 行 い、<br />
個 別 のサーバは 必 要 ありません。<br />
<br />
<br />
クライアントまたは Active Directory サーバ 上 にインストールする 必 要 はありません。<br />
Identity Awareness では、Windows Server 2003 および 2008 の Microsoft Active Directory への 接 続 がサポ<br />
ートされています。<br />
AD Query の 仕 組 み - <strong>ファイアウォール</strong>・ルール・ベースの 例<br />
1. セキュリティ・イベント・ログを 受 け 取 れるように Security Gateway を Active Directory ドメイン・コントローラに 登<br />
録 します。<br />
2. ユーザが、Active Directory 認 証 情 報 を 使 ってデスクトップ・コンピュータにログインします。<br />
3. Active Directory ドメイン・コントローラから、セキュリティ・イベント・ログが Security Gateway に 送 信 されます。<br />
Security Gateway で、ユーザおよび IP 情 報 を 取 り 出 します(ユーザ 名 @ドメイン 名 、マシン 名 、 発 信 元 IP アドレ<br />
ス)。<br />
4. ユーザがインターネット 接 続 を 実 行 します。<br />
5. Security Gateway でユーザが 認 識 されていることを 確 認 し、ポリシーに 基 づいてインターネットへのアクセスを<br />
許 可 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 27
Browser-Based Authentication<br />
Browser-Based Authentication は、 認 識 していないユーザからのアイデンティティを 取 得 します。 以 下 の 取 得 方 法<br />
を 設 定 できます。<br />
<br />
<br />
Captive Portal<br />
Transparent Kerberos Authentication<br />
Captive Portal はイントラネット・リソースへのアクセスを 許 可 する 前 に、Web インタフェースからユーザを 認 証 する<br />
シンプルな 方 法 です。ユーザが 保 護 されているリソースにアクセスしようとすると Web ページが 表 示 され、 続 行 する<br />
ためにはユーザが 必 要 な 情 報 を 入 力 する 必 要 があります。<br />
Transparent Kerberos Authentication を 使 用 すると、Captive Portal のユーザ 名 とパスワードを 入 力 するページが<br />
開 く 前 に、ブラウザで ID 情 報 を 取 得 して 透 過 的 なユーザ 認 証 の 試 みが 行 われます。このオプションを 設 定 すると、<br />
Captive Portal でブラウザからの 認 証 データを 要 求 します。 認 証 に 成 功 すると、ユーザは 元 のアクセス 先 にリダイレ<br />
クトされます。 認 証 が 失 敗 した 場 合 、ユーザは Captive Portal で 認 証 情 報 を 入 力 する 必 要 があります。<br />
Captive Portal で 上 記 のオプションが 実 行 されるのは、ユーザが Web にアクセスしようとする 際 に 以 下 の 条 件 がす<br />
べて 当 てはまる 場 合 です。<br />
<br />
<br />
アイデンティティ 取 得 の 方 法 として Captive Portal を 選 択 していて、ルールにリダイレクトのオプションが 設 定 さ<br />
れている 場 合 。<br />
<strong>ファイアウォール</strong>/アプリケーション・ルール・ベースのアクセス・ロールのルールに 基 づき、 識 別 されないユーザ<br />
がリソースにアクセスできない 状 態 の 場 合 。また、ユーザが 識 別 された 後 はリソースにアクセスできるようにな<br />
る 場 合 。<br />
Transparent Kerberos Authentication が 設 定 されていて、 認 証 が 失 敗 した 場 合 。 条 件 がすべて 当 てはまる 場 合 、<br />
Captive Portal でユーザのアイデンティティが 取 得 されます。<br />
ユーザは Captive Portal から 以 下 を 実 行 できます。<br />
<br />
<br />
<br />
既 存 のユーザ 名 とパスワードがある 場 合 は 入 力 する。<br />
ゲスト・ユーザの 場 合 、 必 要 な 認 証 情 報 を 入 力 する。 必 要 な 入 力 情 報 の 設 定 は[Portal Settings]で 行 います。<br />
Identity Awareness エージェントをダウンロードするリンクをクリックする。この 設 定 は[Portal Settings]で 行 い<br />
ます。<br />
Captive Portal の 仕 組 み - <strong>ファイアウォール</strong>・ルール・ベース<br />
次 の 例 は、 下 の 図 にある 各 番 号 に 該 当 する 説 明 です。<br />
1. ユーザが 内 部 データ・センターへアクセスしたいと 考 えます。<br />
28 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
2. Identity Awareness でユーザが 認 識 されず、ブラウザで Captive Portal にリダイレクトされます。<br />
3. ユーザが 通 常 のオフィスで 使 用 する 認 証 情 報 を 入 力 します。 認 証 情 報 は、AD またはチェック・ポイントでサポー<br />
トされている 認 証 メソッドを 使 用 できます(LDAP、チェック・ポイント 内 部 認 証 情 報 、RADIUS など)。<br />
4. 認 証 情 報 が Security Gateway に 送 られます。この 例 では AD サーバに 対 して 確 認 が 行 われます。<br />
5. ユーザが 当 初 アクセスしようとした URL にアクセスします。<br />
Transparent Kerberos Authentication の 仕 組 み<br />
1. ユーザが 内 部 データ・センターへアクセスしたいと 考 えます。<br />
2. Identity Awareness でユーザが 認 識 されず、ブラウザで[Transparent Authentication]ページにリダイレクトさ<br />
れます。<br />
3. [Transparent Authentication]ページで、ブラウザでの 認 証 実 行 を 要 求 します。<br />
4. Active Directory から Kerberos チケットを 取 得 し、ブラウザから[Transparent Authentication]ページに 渡 され<br />
ます。<br />
5. [Transparent Authentication]ページからチケットが Security Gateway に 送 信 され、ユーザ 認 証 が 行 われます。<br />
その 後 、ユーザがアクセスしたい URL にリダイレクトされます。<br />
6. Kerberos 認 証 が 失 敗 した 場 合 は、Identity Awareness によってブラウザから Captive Portal にリダイレクトされ<br />
ます。<br />
Identity Agent<br />
Identity Agent には 以 下 の 2 種 類 があります。<br />
<br />
<br />
Identity Agent – ユーザのコンピュータにインストールする 専 用 クライアント・エージェントで、アイデンティティを<br />
取 得 して Security Gateway にレポートする 働 きをします。<br />
Terminal Servers Identity Agent - Citrix/Terminal サービスをホスティングするアプリケーション・サーバにイン<br />
ストールするエージェント。ソースが 同 じ IP アドレスのユーザを 個 々に 識 別 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 29
<strong>Check</strong> <strong>Point</strong> Endpoint Identity Agent<br />
Identity Agent の 使 用 には、 以 下 のような 利 点 があります。<br />
<br />
<br />
<br />
<br />
<br />
ユーザとマシンのアイデンティティ<br />
最 小 限 のユーザ 操 作 - 必 要 な 設 定 はすべて 管 理 者 が 行 い、ユーザの 入 力 は 必 要 ありません。<br />
シームレスな 接 続 – ドメインにユーザがログインすると、Kerberos SSO を 使 用 した 透 過 的 な 認 証 が 行 われま<br />
す。SSO を 使 用 したくない 場 合 は、ユーザが 手 動 で 認 証 情 報 を 入 力 します。 入 力 した 情 報 は 保 存 することが 可<br />
能 です。<br />
ローミング 時 の 接 続 性 - クライアント 上 エージェントの 移 動 検 知 、 自 動 再 接 続 機 能 により、シームレスにネット<br />
ワーク 間 を 移 動 できます。<br />
セキュリティの 向 上 - 特 許 を 取 得 したパケットのタグ 付 け 技 術 を 利 用 して、IP スプーフィングを 防 御 できます。<br />
また、Endpoint Identity Agent では 高 度 な(Kerberos ベースの)ユーザおよびマシン 認 証 を 実 現 します。<br />
以 下 の 種 類 の Identity Agent をインストールできます。<br />
<br />
<br />
<br />
Full - インストールには 管 理 者 権 限 が 必 要 です。 管 理 者 権 限 を 持 たないユーザがインストールすると、 自 動 的<br />
に Light 版 のインストールに 変 わります。Full バージョンでは、パケットのタグ 付 けとマシン 認 証 が 利 用 できま<br />
す。<br />
Light - インストールに 管 理 者 権 限 は 必 要 ありません。パケットのタグ 付 けとマシン 認 証 は 設 定 できません。こ<br />
のバージョンでは Microsoft Windows と Mac OS X がサポートされています。サポートされているバージョンの<br />
情 報 については、『<strong>R75.40VS</strong> Release Notes』を 参 照 してください .<br />
Custom - カスタマイズ 版 インストール・パッケージ。<br />
詳 細 については、「Identity Agent の 事 前 パッケージ 化 」を 参 照 してください。<br />
Endpoint Identity Agent のインストールは、ユーザが Captive Portal からダウンロードすることも、 管 理 者 が 配 布 ソ<br />
フトウェアや 別 のメソッド(クライアントをダウンロードする 場 所 を 伝 えるなど)を 使 って MIS/DMG ファイルをコンピュー<br />
タに 配 布 することもできます。<br />
Identity Agent のダウンロード 方 法 - 例<br />
Captive Portal から Identity Agent をダウンロードするには、 以 下 の 手 順 に 従 います。<br />
1. ユーザが 認 証 情 報 を 使 って PC にログインし、 内 部 データ・センターにアクセスしたいと 考 えます。<br />
2. Identity Awareness が 有 効 な Security Gateway でユーザを 認 識 していないため、ユーザは Captive Portal に<br />
リダイレクトされます。<br />
30 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
3. Security Gateway からユーザに Captive Portal のページを 表 示 します。このページには Endpoint Identity<br />
Agent をダウンロードするリンクが 表 示 されます。<br />
4. ユーザは Captive Portal から Endpoint Identity Agent をダウンロードして、PC にインストールします。<br />
5. Endpoint Identity Agent クライアントが Security Gateway に 接 続 します。<br />
Kerberos の SSO が 設 定 されている 場 合 、ユーザは 自 動 的 に 接 続 します。<br />
6. ユーザが 認 証 され、<strong>ファイアウォール</strong>・ルール・ベースに 基 づき Security Gateway からユーザがアクセスしたい<br />
宛 先 につながります。<br />
導 入<br />
Identity Awareness は 通 常 、 組 織 の 境 界 ゲートウェイで 有 効 に 設 定 します。また、 多 くの 場 合 Application Control<br />
と 併 用 します。<br />
内 部 データ・センターを 保 護 するために、データ・センターのような 内 部 サーバの 前 にある 内 部 ゲートウェイ 上 で<br />
Identity Awareness を 有 効 にできます。この 場 合 、 境 界 ゲートウェイでの 設 定 に 追 加 するかたちでも、 境 界 ゲートウ<br />
ェイがなくても 可 能 です。<br />
Identity Awareness は、ブリッジ・モードでもルーティング・モードでも 導 入 できます。<br />
<br />
<br />
ブリッジ・モードでは、 既 存 のサブネットを 使 用 でき、ホストの IP アドレスを 変 更 する 必 要 はありません。<br />
ルーティング・モードでは、ゲートウェイはネットワーク・インタフェースに 接 続 した 異 なるサブネットを 持 つルータ<br />
として 動 作 します。<br />
冗 長 性 を 持 たせるために、ゲートウェイ・クラスタを「Active-Standby(HA)」モードまたは「Active-Active(LS)」モー<br />
ドで 導 入 することができます。Identity awareness では ClusterXL の HA モードおよび LS モードがサポートされてい<br />
ます。<br />
複 数 のゲートウェイに Identity Awareness を 導 入 する 場 合 は、アイデンティティ 情 報 をゲートウェイ 間 で 共 有 するよう<br />
に 設 定 できます。 複 数 導 入 するケースには、 以 下 のような 状 況 が 考 えられます。<br />
<br />
<br />
<br />
境 界 ゲートウェイとデータ・センター・ゲートウェイに 導 入 する。<br />
複 数 のデータ・センター・ゲートウェイに 導 入 する。<br />
ブランチ・オフィスのゲートウェイと 中 央 ゲートウェイに 導 入 する。<br />
ほかのゲートウェイと 共 有 するアイデンティティ 情 報 を 取 得 するゲートウェイは、1 つまたは 複 数 設 定 できます。<br />
さらに、 異 なるマルチ・ドメイン・サーバで 管 理 されたゲートウェイ 間 でのアイデンティティ 情 報 の 共 有 も 可 能 です。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 31
Identity Awareness のシナリオ<br />
このセクションでは、Identity Awareness を 使 ってユーザがネットワーク 内 のリソースを 利 用 できるようにするシナリ<br />
オを 考 えます。<br />
最 初 の 3 つのシナリオは、<strong>ファイアウォール</strong>・ルール・ベース 環 境 でアイデンティティを 取 得 する 場 合 の 異 なる 状 況 に<br />
ついて 説 明 します。 最 後 のシナリオは、Application Control 環 境 で Identity Awareness を 使 用 する 場 合 について 説<br />
明 します。<br />
Active Directory ユーザのアイデンティティ 取 得<br />
組 織 で Microsoft Active Directory を 従 業 員 データの 主 要 ユーザ・リポジトリとして 使 用 する 場 合 、AD Query でアイ<br />
デンティティを 取 得 することができます。<br />
AD Query オプションを 設 定 してアイデンティティ 取 得 するということは、すべての Active Directory ユーザに 対 してク<br />
ライアントレスな 従 業 員 のアクセスを 設 定 することになります。アクセス・オプションを 実 施 するには、アクセス・ロー<br />
ル・オブジェクトを 含 む<strong>ファイアウォール</strong>・ルール・ベースでルールを 作 成 します。アクセス・ロール・オブジェクトでは、<br />
ユーザ、マシン、ネットワークの 場 所 が 1 つのオブジェクトとして 定 義 されます。<br />
ログインおよび 認 証 を 行 った Active Directory ユーザは、<strong>ファイアウォール</strong>・ルール・ベースのルールに 基 づいて、リ<br />
ソースへのシームレスなアクセスが 可 能 になります。<br />
AD Query がどのように 機 能 するか、シナリオで 考 えてみましょう。<br />
シナリオ: ノート PC のアクセス<br />
John Adams は、ACME 社 の 人 事 関 連 パートナです。ACME 社 の IT 担 当 者 は、HR サーバへのアクセスを 特 定 の<br />
IP アドレスだけに 制 限 して、マルウェア 感 染 や 不 正 アクセスなどのリスクを 最 小 限 に 抑 えたいと 思 っています。その<br />
ためゲートウェイ・ポリシーでは、 静 的 IP アドレス「10.0.0.19」に 割 り 当 てられている John のデスクトップ・マシンから<br />
のアクセスだけが 許 可 されます。<br />
John は 新 しくノート PC を 持 つことになり、 社 内 のどこからでも HR Web サーバにアクセスできるようにしたいと 希 望<br />
しています。IT 担 当 者 はノート PC に 静 的 IP アドレスを 割 り 当 てましたが、このために John は 自 分 のデスクからし<br />
かアクセスできません。 現 在 のルール・ベースには、John Adams が 静 的 IP アドレス「10.0.0.19」のノート PC を 使 っ<br />
て HR Web サーバにアクセスすることを 許 可 するルールが 設 定 されています。<br />
Name Source Destination VPN Service Action TRACK<br />
Jadams to<br />
HR Server<br />
Jadams_PC HR_Web_Server Any Traffic Any Accept log<br />
John は、オフィス 内 のどこに 移 動 しても HR Web サーバにアクセスできるようにしたいと 希 望 しています。<br />
これを 実 現 させるためには、IT 担 当 者 は 次 の 手 順 を 実 行 します。<br />
1. ゲートウェイで Identity Awareness を 有 効 にして、AD Query をアイデンティティ・ソースの 1 つとして 選 択 し、ポ<br />
リシーをインストールします。<br />
2. SmartView Tracker のログをチェックして、システムで John Adams を 識 別 していることを 確 認 します。<br />
[Welcome to the network]ウィンドウが 開 きます。<br />
3. アクセス・ロール・オブジェクトを<strong>ファイアウォール</strong>・ルール・ベースに 追 加 し、どの 場 所 /マシンからでも John<br />
Adams が HR Web サーバにアクセスできるようにします。<br />
4. システムでアクセス・ロールのアクションを 追 跡 している 様 子 を SmartView Tracker で 確 認 します。<br />
32 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
ログでのユーザ 識 別<br />
SmartView Tracker ログには、システムで John Adams が IP 10.0.0.19 のユーザだと 認 識 されていることが 示 され<br />
ます。<br />
このログ・エントリでは、システムでソース IP を CORP.ACME.COM からのユーザ John Adams にマッピングしてい<br />
ることがわかります。これは、AD Query から 取 得 するアイデンティティを 使 用 しています。<br />
注 - AD Query は、AD アクティビティに 基 づいてユーザのマッピングを 行 います。ユーザのア<br />
クティビティによって、これには 時 間 がかかる 場 合 があります。John Adams が 認 識 されない<br />
場 合 (IT 管 理 者 がログを 確 認 しない 場 合 )、コンピュータをロック/ロック 解 除 してみる 必 要 があ<br />
ります。<br />
アクセス・ロールの 使 用<br />
John Adams が、どのマシンからでも HR Web サーバにアクセスできるようになるためには、 管 理 者 がルール・ベー<br />
スの 現 在 のルールを 変 更 する 必 要 があります。これを 行 うには、 任 意 のネットワーク/マシンからの 特 定 ユーザとして<br />
「John Adams」を 指 定 したアクセス・ロール(エラー! ブックマークが 定 義 されていません。ページの「アクセス・ロー<br />
ルの 作 成 」を 参 照 )を John Adams に 対 して 作 成 する 必 要 があります。<br />
その 後 、IT 管 理 者 が 現 在 のルールのソース・オブジェクトを HR_Partner アクセス・ロール・オブジェクトに 置 き 換 え、<br />
ポリシーをインストールして 変 更 を 反 映 させます。<br />
Name Source Destination VPN Service Action TRACK<br />
HR Partner<br />
Access<br />
HR_Partner HR_Web_Server Any Traffic Any accept None<br />
IT 管 理 者 は、その 後 静 的 IP を John Adams のノート PC から 削 除 し、 動 的 IP を 設 定 します。HR_Partner アクセス・<br />
ロールで、 任 意 のマシン/ネットワークからのユーザ「John Adams」が HR Web サーバにアクセスできる 設 定 になっ<br />
ているため、Security Gateway により、 動 的 IP のノート PC を 使 用 して John Adams が HR Web サーバにアクセ<br />
スできるようになります。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 33
Browser-Based Authentication でのアイデンティティ 取 得<br />
Browser-Based Authentication では、 以 下 のような 認 識 していないユーザからアイデンティティを 取 得 することがで<br />
きます。<br />
<br />
<br />
Linux コンピュータや iPhone といった 不 明 デバイスからネットワークに 接 続 する 管 理 ユーザ<br />
パートナや 契 約 社 員 といった 管 理 されていないゲスト・ユーザ<br />
認 識 していないユーザが、 認 証 されたユーザだけがアクセスできるネットワークのリソースにアクセスを 試 みると、 情<br />
報 が 自 動 的 に Captive Portal へ 送 られます。Transparent Kerberos Authentication が 設 定 されている 場 合 、<br />
Captive Portal が 表 示 される 前 に、SSO を 利 用 してドメインにログインしたユーザの 識 別 がブラウザで 行 われます。<br />
Browser-Based Authentication がどのように 機 能 するか、またそれぞれの 状 況 で 必 要 な 設 定 をシナリオごとに 考<br />
えてみましょう。<br />
シナリオ: 管 理 対 象 外 デバイスからの 認 識 済 みユーザ<br />
ACME の CEO は、 最 近 個 人 用 に iPad を 購 入 しました。この 購 入 した iPad から、 内 部 の Finance Web サーバにア<br />
クセスしたいと 考 えています。iPad は Active Directory ドメインのメンバではないので、AD Query でシームレスに 認<br />
識 できません。オフィスのコンピュータでは、Captive Portal で AD 認 証 情 報 を 入 力 し、 問 題 なくアクセスすることがで<br />
きます。リソースへのアクセスは、<strong>ファイアウォール</strong>・ルール・ベースのルールに 基 づいています。<br />
必 要 な SmartDashboard の 設 定<br />
これを 実 現 させるためには、IT 担 当 者 は 次 の 手 順 を 実 行 します。<br />
1. ゲートウェイで Identity Awareness を 有 効 にして、アイデンティティ・ソースの 1 つに[Browser-Based<br />
Authentication]を 選 択 します。<br />
2. [User Access]セクションの[Portal Settings]ウィンドウで、[Name and password login]が 選 択 されているこ<br />
とを 確 認 します。<br />
3. <strong>ファイアウォール</strong>・ルール・ベースに 新 しいルールを 作 成 して、Jennifer McHanry がネットワークの 宛 先 にアクセ<br />
スできるように 設 定 します。[Action]には[access]を 指 定 します。<br />
4. [Action]カラムを 右 クリックし、[Edit Properties]を 選 択 します。<br />
[Action Properties]ウィンドウが 開 きます。<br />
5. [Redirect http connections to an authentication (captive) portal. Note: redirection will not occur if the<br />
source IP is already mapped to a user]チェックボックスを 選 択 します。<br />
6. [OK]をクリックします。<br />
7. ルールの[Source]で、 右 クリックして 新 しいアクセス・ロールを 作 成 します。<br />
A) アクセス・ロールの[Name]を 入 力 します。<br />
B) [Users]タブで[Specific users]を 選 択 して「Jennifer McHanry」を 指 定 します。<br />
C) [Machines]タブで、[Any machine]が 選 択 されていることを 確 認 します。<br />
D) [OK]をクリックします。<br />
アクセス・ロールがルールに 追 加 されます。<br />
Name Source Destination VPN Service Action TRACK<br />
CEO<br />
Access<br />
Jennifer_McHanry Finance_Server Any<br />
Traffic<br />
http<br />
accept(display<br />
captive portal)<br />
Log<br />
ユーザの 操 作<br />
Jennifer McHanry は 次 の 手 順 を 実 行 します。<br />
1. iPad から Finance サーバにアクセスします。<br />
このユーザは 識 別 されていないためサーバにアクセスできません。そのため Captive Portal が 開 きます。<br />
34 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
2. Captive Portal で、 通 常 のシステム 認 証 情 報 を 入 力 します。<br />
[Welcome to the network]ウィンドウが 開 きます。<br />
3. Finance サーバにアクセスできるようになります。<br />
ログのユーザ 認 識<br />
SmartView Tracker ログには、システムで iPad からの Jennifer McHanry が 認 識 されていることが 示 されます。<br />
このログ・エントリでは、システムでソース "Jennifer McHanry" をユーザ 名 にマッピングしていることがわかります。<br />
これは、AD Query から 取 得 するアイデンティティを 使 用 しています。<br />
シナリオ: 管 理 対 象 外 デバイスからのゲスト・ユーザ<br />
ACME 社 にはゲストが 頻 繁 に 訪 れます。 訪 問 者 には、 持 参 したノート PC からインターネットにアクセスできるよう 許<br />
可 したいと CEO は 考 えています。<br />
IT 管 理 者 である Amy は、 未 登 録 ゲストがポータルにログインしてネットワークにアクセスできるよう、Captive Portal<br />
を 設 定 します。<strong>ファイアウォール</strong>・ルール・ベースでルールを 作 成 し、 認 証 されていないゲストにはインターネット・アク<br />
セスのみ 許 可 します。<br />
ゲストがインターネットにアクセスしようとすると、まず Captive Portal が 開 きます。ゲストは 名 前 、 企 業 名 、メール・ア<br />
ドレス、 電 話 番 号 をポータルに 入 力 します。その 後 、ネットワーク・アクセスについての 使 用 許 諾 条 件 に 同 意 します。<br />
同 意 すると、 特 定 の 時 間 だけインターネットにアクセスできるようになります。<br />
必 要 な SmartDashboard 設 定<br />
必 要 な SmartDashboard の 設 定<br />
これを 実 現 させるためには、IT 担 当 者 は 次 の 手 順 を 実 行 します。<br />
1. ゲートウェイで Identity Awareness を 有 効 にして、アイデンティティ・ソースの 1 つに[Browser-Based<br />
Authentication]を 選 択 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 35
2. [User Access]セクションの[Portal Settings]ウィンドウで、[Unregistered guest login]が 選 択 されていること<br />
を 確 認 します。<br />
3. [Unregistered guest login - Settings]をクリックします。<br />
4. [Unregistered guest login - Settings]ウィンドウで、 以 下 を 設 定 します。<br />
• ゲストの 入 力 必 須 データ。<br />
• ゲストがネットワーク・リソースにアクセスできる 期 間 。<br />
• ユーザの 使 用 許 諾 の 同 意 が 必 要 かどうか、またそのテキスト 内 容<br />
5. <strong>ファイアウォール</strong>・ルール・ベースに 新 しいルールを 2 つ 作 成 します。<br />
A) 認 識 されるユーザは 組 織 からインターネットにアクセスできるようにルールを 作 成 します(ない 場 合 )。<br />
i. ルールの[Source]で、 右 クリックして 新 しいアクセス・ロールを 作 成 します。<br />
ii.<br />
iii.<br />
iv.<br />
アクセス・ロールの[Name]を 入 力 します。<br />
[Users]タブで[All identified users]を 選 択 します。<br />
[OK]をクリックします。<br />
アクセス・ロールがルールに 追 加 されます。<br />
Name Source Destination VPN Service Action<br />
Internet Identified_users ExternalZone Any<br />
Traffic<br />
http<br />
accept<br />
B) 認 識 されないユーザはインターネットだけにアクセスできるようにルールを 作 成 します。<br />
v. ルールの[Source]で、 右 クリックして 新 しいアクセス・ロールを 作 成 します。<br />
vi.<br />
vii.<br />
viii.<br />
ix.<br />
アクセス・ロールの[Name]を 入 力 します。<br />
[Users]タブで[Specific users]を 選 択 し、[Unauthenticated Guests]を 指 定 します。<br />
[OK]をクリックします。アクセス・ロールがルールに 追 加 されます。<br />
[Action]には[access]を 指 定 します<br />
x. [Action]カラムを 右 クリックして、[Edit Properties]を 選 択 します。[Action Properties]ウィンドウが<br />
開 きます。<br />
xi.<br />
xii.<br />
[Redirect http connections to an authentication (captive) portal. Note: redirection will not<br />
occur if the source IP is already mapped to a user]を 選 択 します。<br />
[OK]をクリックします。<br />
Name Source Destination VPN Service Action<br />
Guests Guests ExternalZone Any<br />
Traffic<br />
http<br />
accept(display captive<br />
portal)<br />
ユーザの 操 作<br />
ACME のゲスト・ユーザとして、 次 の 手 順 を 実 行 します。<br />
1. ノート PC からインターネット・サイトへアクセスします。<br />
このユーザは 識 別 されていないためインターネットにアクセスできません。そのため Captive Portal が 開 きま<br />
す。<br />
2. ID 情 報 をを Captive Portal に 入 力 し、ネットワーク・アクセスの 使 用 許 諾 条 件 を 読 んで 同 意 します。<br />
[Welcome to the network]ウィンドウが 開 きます。<br />
3. ユーザは、 特 定 の 時 間 だけインターネットのブラウジングができるようになります。<br />
ログのユーザ 認 識<br />
以 下 の SmartView Tracker ログは、システムがどのようにゲストを 識 別 するかを 表 しています。<br />
36 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
このログ・エントリは、システムがユーザ ID で 送 信 元 IP アドレスをマップすることを 表 します。ユーザが Captive<br />
Portal で「ゲスト」として 識 別 されたので、この 場 合 に ID は「ゲスト」です。<br />
Identity Agent でのアイデンティティ 取 得<br />
シナリオ: Endpoint Identity Agent の 導 入 とユーザ・グループ・アクセス<br />
ACME 社 では、Finance チームだけが Finance Web サーバにアクセスできるよう 徹 底 したいと 考 えています。 従 来<br />
のルール・ベースでは、 静 的 IP アドレスを 使 って Finance チームのアクセスを 定 義 していました。<br />
IT 管 理 者 の Amy は、Endpoint Identity Agent を 活 用 して 以 下 のようにしたいと 考 えています。<br />
<br />
<br />
<br />
Finance のユーザは、SSO でログインするとそれ 以 降 自 動 的 に 認 証 されるようにする(Microsoft Active<br />
Directory にビルトインされている Kerberos を 使 用 )。<br />
組 織 の 広 範 囲 にアクセスするユーザは Finance Web サーバに 継 続 的 にアクセスできるようにする。<br />
Finance Web サーバへのアクセスは、IP スプーフィング 攻 撃 を 防 御 してより 安 全 に 設 定 する。<br />
Amy は、Finance チームのユーザには Captive Portal から Endpoint Identity Agent をダウンロードしてもらいたい<br />
と 考 えます。この 場 合 、 以 下 の 設 定 が 必 要 です。<br />
<br />
<br />
<br />
Identity Agent を Identity Awareness のアイデンティティ・ソースにします。<br />
Financeグループへのエージェント 導 入 を Captive Portal から 行 います。IPスプーフィング 攻 撃 を 阻 止 するため<br />
に Full Identity Agent を 導 入 する 必 要 があります。IP スプーフィング 攻 撃 の 保 護 は、クライアント 側 での 設 定 は<br />
不 要 です。<br />
すべての 管 理 対 象 マシンとすべての 場 所 に 対 して、Finance ユーザのアクセス・ロールを 持 つルール・ベース<br />
のルールを、IP スプーフィング 保 護 を 有 効 にして 設 定 します。<br />
設 定 を 完 了 してポリシーをインストールすると、Finance Web サーバにアクセスするユーザは Captive Portal が 表<br />
示 されて Endpoint Identity Agent をダウンロードできます。<br />
必 要 な SmartDashboard の 設 定<br />
これを 実 現 させるためには、IT 担 当 者 は 次 の 手 順 を 実 行 します。<br />
1. ゲートウェイで Identity Awareness を 有 効 にして、アイデンティティ・ソースに[Identity Agents]と<br />
[Browser-Based Authentication]を 選 択 します。<br />
2. Browser-Based Authenticationの[Settings]ボタンをクリックします。<br />
3. [User Access]セクションの[Portal Settings]ウィンドウで、[Name and password login]を 選 択 します。<br />
4. ポータルの[Identity Agent Deployment]で、[Require users to download]を 選 択 し、[Identity Agent - Full]<br />
オプションをクリックします。<br />
注 – これで、すべてのユーザに Endpoint Identity Agent が 設 定 されます。Identity Agent<br />
のダウンロードは、 特 定 のグループに 設 定 することもできます。<br />
5. Kerberos SSO を 設 定 します。<br />
6. <strong>ファイアウォール</strong>・ルール・ベースに、Finance チームのユーザだけが Finance Web サーバにアクセスできるよ<br />
うにルールを 作 成 し、ポリシーをインストールします。<br />
A) ルールの[Source]で、 右 クリックして 新 しいアクセス・ロールを 作 成 します。<br />
B) アクセス・ロールの[Name]を 入 力 します。<br />
C) [Networks]タブで[Specific users]を 選 択 して「Active Directory Finance」ユーザ・グループを 追 加 します。<br />
D) [Users]タブで[All identified users]を 選 択 します。<br />
E) [Machines]タブで、[All identified machines]を 選 択 し、[Enforce IP spoofing protection (requires Full<br />
Identity Agent)]を 選 択 します。<br />
F) [OK]をクリックします。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 37
アクセス・ロールがルールに 追 加 されます。<br />
Name Source Destination VPN Service Action<br />
Finance<br />
Web<br />
Finance_dept Finance_web_server Any<br />
Traffic<br />
http<br />
https<br />
accept<br />
Server<br />
7. ポリシーをインストールします。<br />
ユーザの 操 作<br />
Finance チームのユーザは 次 の 手 順 を 実 行 します。<br />
1. Finance Web サーバにアクセスします。<br />
ユーザは 識 別 されていないためサーバにアクセスできません。そのため Captive Portal が 開 きます。Endpoint<br />
Identity Agent をダウンロードするリンクが 表 示 されます。<br />
2. ユーザはリンクをクリックして Identity Agent をダウンロードします。<br />
ユーザは 自 動 的 にゲートウェイに 接 続 されます。ウィンドウが 開 き、サーバを 信 頼 するようユーザに 要 求 します。<br />
注 - ユーザは、ファイル 名 ベースのサーバ 検 出 オプションを 使 用 した Identity Awareness<br />
機 能 を 持 つ Security Gateway に 接 続 します。このため、トラスト・ウィンドウが 開 きます。ユ<br />
ーザのトラスト 確 認 を 必 要 としないサーバ 検 出 メソッドについての 詳 細 は、エラー! ブック<br />
マークが 定 義 されていません。ページの「サーバの 検 出 とトラスト」を 参 照 してください。<br />
3. [OK]をクリックします。ユーザは 自 動 的 に Finance Web サーバに 接 続 されます。<br />
ユーザは、 特 定 の 時 間 だけインターネットの 閲 覧 ができるようになります。<br />
38 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
次 のステップ<br />
Identity Agent に 設 定 できるその 他 のオプションは 以 下 のとおりです。<br />
<br />
Identity Agent が、Identity Awareness を 備 えた Security Gateway にどのように 接 続 し、 信 頼 するかを<br />
決 定 するメソッド。 詳 細 については、「サーバの 検 出 とトラスト」を 参 照 してください。このシナリオでは、フ<br />
ァイル 名 のサーバ 検 出 メソッドが 使 われています。<br />
マシンの 識 別 を 活 用 するアクセス・ロール(「アクセス・ロールの 作 成 」を 参 照 )。<br />
ユーザがクライアント 設 定 にアクセスできないようにするエンド・ユーザ・インタフェース 保 護 。<br />
<br />
クライアント・インストールをユーザが 一 定 期 間 延 ばせるオプション、さらにユーザに 条 件 同 意 を 求 めるオ<br />
プション。「ユーザ・アクセス」を 参 照 してください。<br />
端 末 サーバ 環 境 でのアイデンティティ 取 得<br />
シナリオ: Terminal Server 経 由 でインターネットにアクセスするユーザの 識 別<br />
ACME 社 では、ユーザが Terminal Server 経 由 でのみインターネットにアクセスするよう、 新 しくポリシーを 定 義 しま<br />
した。ACME 社 では、Sales チームだけが Facebook にアクセスできるよう 徹 底 したいと 考 えています。 従 来 のルー<br />
ル・ベースでは、 静 的 IP アドレスを 使 って Facebook のアクセスを 定 義 していましたが、 今 後 はすべての 接 続 が<br />
Terminal Server の IP アドレス 経 由 になります。<br />
IT 管 理 者 の Amy は、Terminal Server のソリューションを 活 用 して 以 下 のようにしたいと 考 えています。<br />
<br />
<br />
<br />
Sales ユーザが Terminal Server にログインすると、Identity Awareness で 自 動 的 に 認 証 される。<br />
インターネットへの 接 続 をすべて 認 識 およびログ 記 録 する。<br />
Facebook へのアクセスを Sales チームのユーザのみに 制 限 する。<br />
Terminal Server ソリューションを 有 効 にするには、 以 下 を 実 行 する 必 要 があります。<br />
<br />
<br />
<br />
<br />
Terminal Server/Citrix Identity Agent を Identity Awareness のアイデンティティ・ソースにします。<br />
Terminal Server Identity Agent を 各 Terminal Server にインストールします。<br />
Terminal Server Identity Agent と Identity Server 間 の 共 有 秘 密 鍵 を 設 定 します。<br />
設 定 を 完 了 してポリシーをインストールすると、Terminal Server にログインしてインターネットにアクセスするす<br />
べてのユーザが 識 別 され、Sales チームのユーザのみが Facebook にアクセスできるようになります。<br />
Application Control と URL Filtering でのアイデンティティ 取 得<br />
Identity Awareness と Application and URL Filtering を 併 用 して、チェック・ポイント・ゲートウェイでのユーザ 認 識 、<br />
マシン 認 識 、アプリケーション 認 識 を 設 定 できます。これらの 機 能 は、 以 下 のプロセスで 連 動 します。<br />
<br />
<br />
<br />
ルールのソースとして、Application and URL Filtering ルールの Identity Awareness アクセス・ロールを 使 用<br />
します。<br />
アプリケーションにアクセスしようとするユーザのアイデンティティを 取 得 するには、すべてのタイプのアイデン<br />
ティティ・ソースを 使 用 できます。<br />
SmartView Tracker ログと SmartEvent イベントで、 各 アプリケーションにアクセスするユーザと IP アドレスを<br />
確 認 できます。<br />
シナリオ: Application Control ログのユーザの 識 別<br />
ACME 社 では、Identity Awareness を 使 ってアウトバウンドのアプリケーション・トラフィックをモニタリングし、 従 業 員<br />
のアクティビティを 監 視 したいと 考 えています。これを 行 うには、まず IT 管 理 者 が Application Control と Identity<br />
Awareness を 有 効 に 設 定 する 必 要 があります。その 後 、SmartView Tracker と SmartEvent のログで、トラフィック<br />
のアイデンティティ 情 報 が 表 示 されるようになります。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 39
次 に、IT チームでルールを 追 加 し、Application Control ポリシーで 特 定 のアプリケーションをブロックする、または 別<br />
の 方 法 で 追 跡 し、さらに 効 果 的 な 設 定 を 行 います。『<strong>R75.40VS</strong> Application Control and URL Filtering<br />
Administration Guide』を 参 照 してください。<br />
必 要 な SmartDashboard の 設 定<br />
これを 実 現 させるためには、IT 担 当 者 は 次 の 手 順 を 実 行 します。<br />
4. ゲートウェイで Application Control Software Blade を 有 効 にします。<br />
Application Control ルール・ベースにデフォルトのルールが 追 加 され、 既 知 のアプリケーションからのトラフィッ<br />
クを 許 可 し、さらに 追 跡 として「Log」が 設 定 されます。<br />
Source Destination Application/Sites Action Track<br />
Any Internet Any Recognized Allow Log<br />
5. ゲートウェイで Identity Awareness を 有 効 にし、アイデンティティ・ソースの 1 つとして[AD Query]を 選 択 しま<br />
す。<br />
6. ポリシーをインストールします。<br />
ログでのユーザ 識 別<br />
<br />
<br />
<br />
SmartView Tracker および SmartEvent のアプリケーション・トラフィックに 関 連 するログには、 認 識 されたユー<br />
ザのデータが 表 示 されます。<br />
SmartView Tracker ログ・エントリでは、システムでソース IP アドレスとユーザのアイデンティティをマッピングし<br />
ていることがわかります。また、Application Control のデータも 確 認 できます。<br />
SmartEvent Intro ログ・エントリでは、Identity Awareness によるユーザとマシンのアイデンティティと 共 に<br />
Application Control のイベントの 詳 細 がわかります。<br />
Identity Awareness の 設 定<br />
Identity Awareness を 設 定 するには、『<strong>R75.40VS</strong> Identity Awareness 管 理 ガイド』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
40 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
第 3 章<br />
ネットワーク・アドレス 変 換 (NAT)<br />
この 章 の 構 成<br />
NAT モード 41<br />
NAT ルール・ベース 44<br />
NAT の 計 画 での 考 慮 事 項 47<br />
NAT の 設 定 48<br />
NAT の 詳 細 設 定 52<br />
ネットワーク・アドレス 変 換 (NAT)は、IP アドレスを 異 なる IP アドレスに 置 き 換 えます。NAT はパケット 内 の 発 信 元 IP<br />
と 宛 先 IP の 両 方 のアドレスを 変 更 することができます。つまり、<strong>ファイアウォール</strong>の 内 側 ( 保 護 )から 外 側 ( 非 保 護 )へ<br />
送 信 されるパケットは、 宛 先 側 から 見 ると 別 のアドレスから 送 信 されたように 見 え、<strong>ファイアウォール</strong>の 外 側 から 内 側<br />
へ 送 信 されたパケットは 正 しいアドレスに 到 達 します。<br />
NAT は、 全 てのチェック・ポイントのネットワーク・オブジェクト、ノード、ネットワーク、アドレス 範 囲 、およびダイナミッ<br />
ク・オブジェクトと 動 作 します。 自 動 的 に NAT ルール·ベースにルールが 追 加 されるネットワーク・オブジェクトの 設 定<br />
によって、 自 動 的 に NAT を 定 義 することができます。また、NAT ルール・ベースにルールを 手 動 で 定 義 することもで<br />
きます。<br />
NAT ルールを 手 動 で 作 成 する 場 合 は 柔 軟 性 が 増 します。たとえば、IP アドレスを 変 換 するのに 加 え、サービスまた<br />
は 宛 先 ポート 番 号 を 変 換 できます。ポート 番 号 変 換 は、 特 定 のポート 番 号 が 異 なるポート 番 号 に 変 換 される Static<br />
NAT の 一 種 です。<br />
NAT モード<br />
Security Gateway では 以 下 の 2 つのタイプの NAT をサポートします。<br />
<br />
<br />
Static NAT: 各 プライベート・アドレスを、 対 応 するパブリック・アドレスに 変 換 します。 接 続 は、Security<br />
Gateway の 両 側 から 発 信 できるので、 内 部 サーバは 外 部 ソースからアクセスできます。<br />
Hide NAT: 指 定 されたすべての 内 部 アドレスを 単 一 のパブリック IP アドレスにマップし 外 部 ソースから 内 部 の<br />
IP 構 造 を 隠 します。 接 続 は、Security Gateway の 内 部 、 保 護 された 側 から 発 信 することができます。 内 部 リソー<br />
スには、 外 部 ソースからはアクセスできません。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 41
Static NAT<br />
以 下 の 例 は、 一 般 的 な Static NAT の 配 置 を 表 します。ノードの Static NAT は、プライベート・アドレスをユニークな<br />
パブリック・アドレスに 変 換 します。ネットワークまたはアドレス 範 囲 での Static NAT は、ネットワーク 内 の 各 IP アドレ<br />
スまたは 範 囲 を、 定 義 済 みの 静 的 IP アドレスから 始 まる 対 応 するパブリック IP アドレスに 変 換 します。<br />
Hide NAT<br />
Hide NAT モードでは、 全 てのパケットの 発 信 元 ポート 番 号 が 変 更 されます。 戻 りのパケットが<strong>ファイアウォール</strong>に 到<br />
達 すると、Security Gateway はポート 番 号 を 使 用 して、どの 内 部 コンピュータへパケットが 送 信 されているかを 判 定<br />
します。ポート 番 号 は、2 つの 番 号 プールから 動 的 に 割 り 当 てられます。2 つの 番 号 プールは、600~1023 と 10,000~<br />
60,000 です。<br />
ポート 番 号 は 通 常 、2 番 目 のプールから 割 り 当 てられます。 最 初 のプールは 3 つだけのサービス、rlogin( 宛 先 ポート<br />
512)、rshell( 宛 先 ポート 513)、および rexec( 宛 先 ポート 514)に 使 用 されます。これらのサービスのいずれかを 使<br />
用 した 接 続 で、オリジナルの 発 信 元 ポートが 1024 よりも 小 さい 場 合 は、ポート 番 号 は 1 番 目 のプールから 割 り 当 て<br />
られます。この 動 作 は 設 定 可 能 です。<br />
Security Gateway は 割 り 当 てられたポート 番 号 を 記 憶 しているので、 戻 りのパケットに 元 のポート 番 号 が 正 しく 復 元<br />
され、 使 用 中 のポート 番 号 が 再 び 新 しい 接 続 に 割 り 当 てられることはありません。<br />
Hide NAT はサーバあたり 最 大 5 万 接 続 をサポートします。つまり Hide NAT の 容 量 は、Hide NAT された 内 部 クラ<br />
イアントからの 保 護 されていない 側 の 1 台 のサーバに 向 けられた 接 続 が 同 時 に 50,000 を 超 えて 発 生 した 時 にのみ<br />
限 界 に 達 します。ただし、これはめったに 起 こりません。<br />
NAT ゲートウェイを 利 用 すると、イントラネット 内 のプライベート・アドレスを 割 り 当 てられた 複 数 のコンピュータで、1<br />
つのパブリック・アドレスを 共 有 できます。アクセスされたインターネット 上 のサーバは、インターネットとイントラネット<br />
の 区 別 はできず、 複 数 のコンピュータからの 接 続 は 単 一 のコンピュータからの 接 続 として 処 理 されます。<br />
Hide NAT は、 内 部 ネットワークから 開 始 される 接 続 のみを 許 可 します。これにより、 内 部 ホストはイントラネットの 内<br />
側 と 外 側 の 両 方 への 接 続 を 開 始 できますが、ネットワークの 外 側 のホストは 内 部 ホストへの 接 続 を 開 始 できませ<br />
ん。<br />
Hide Address( 隠 蔽 アドレス)は、その 背 後 に 内 部 ネットワーク、アドレス 範 囲 あるいはノードが 隠 れているアドレス<br />
です。 内 部 アドレスを 隠 蔽 するには 以 下 のいずれかの 方 法 があります。<br />
<br />
<br />
ルーティング 可 能 で、どの 実 コンピュータにも 属 さないパブリック IP アドレスである 仮 想 IP アドレスの 背 後 に 隠 蔽<br />
します。<br />
パケットがルーティングされるインタフェースを 通 して、Security Gateway の IP アドレスの 背 後 に 隠 蔽 します。<br />
42 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
たとえば、10.1.1.2 から 10.1.1.10 までのアドレスは、 外 部 インタフェースのアドレス 192.168.0.1 の 背 後 に 隠 蔽 す<br />
ると 仮 定 します。10.1.1.3 からの 接 続 は、 送 信 元 と 宛 先 の 元 々のパケットと 応 答 パケットが 変 換 されます。<br />
ポート 変 換<br />
ポート 変 換 は、 要 求 されたサービス(または 宛 先 ポート)に 基 づき、1 つの IP アドレスを 使 用 して、 隠 蔽 されたネット<br />
ワーク 上 の 複 数 のアプリケーション・サーバにアクセスできるようにします。これにより、 不 足 しているパブリック IP ア<br />
ドレスを 節 約 します。 典 型 的 な 導 入 例 では、1 つの IP パブリック・アドレスを 使 用 して FTP サーバ(ポート 21 からアク<br />
セス 可 能 )、SMTP サーバ(ポート 25)、および HTTP サーバ(ポート 80)にアクセスできます。<br />
ポート 変 換 を 使 用 するには、 手 動 NAT ルールを 作 成 する 必 要 があります。<br />
内 部 ネットワーク 用 の 自 動 Hide NAT<br />
Hide NAT を 使 用 すると、 認 識 されていないサブネットも 含 んだ 多 くのサブネットを 持 つ、 大 きくて 複 雑 な 内 部 ネッ<br />
トワークでインターネット・アクセスを 行 うことができます。<br />
通 常 の Hide NAT では、 変 換 する 必 要 があるすべての 内 部 ネットワーク・アドレスを 指 定 する 必 要 があります。しか<br />
し、 実 用 的 でない 場 合 もあります。<br />
このような 場 合 は、すべての 内 部 ネットワークに 対 して 自 動 Hide NAT を 指 定 できます。つまり、ゲートウェイの 外 部<br />
インタフェース 宛 てに 内 部 インタフェースから 発 信 されるすべての 接 続 (ゲートウェイ・オブジェクトの[Topology]ペー<br />
ジで 定 義 されます)が、ゲートウェイのインタフェース・アドレスに 変 換 されます。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 43
たとえば、 内 部 ネットワーク 内 のクライアントがインターネット 上 のサーバへの 接 続 を 開 始 すると 仮 定 します。 内 部 ク<br />
ライアントの 発 信 元 アドレスは、 接 続 が 発 生 したインタフェースに 応 じて 外 部 インタフェースのアドレス 192.168.0.1 ま<br />
たは 172.16.1.1 に 変 換 されます。<br />
注 - 通 常 の NAT ルールは、 内 部 ネットワーク 用 NAT ルールよりも 優 先 されます。 接 続 が 両<br />
方 の NAT ルールのタイプと 一 致 する 場 合 、 接 続 には 通 常 の NAT ルールが 適 用 されます。<br />
アクセス・ルールもルール・ベース 内 で 定 義 する 必 要 があります。<br />
詳 細 については、 内 部 ネットワーク 用 の 自 動 Hide NAT の 設 定 も 参 照 してください。<br />
NAT ルール・ベース<br />
各 ルールは、 接 続 の 最 初 のパケットをどのように 扱 うかを 指 定 します。 応 答 パケットは、 送 信 パケットと 反 対 方 向 に<br />
送 信 されますが、 同 一 のルールと 照 合 されます。<br />
NAT ルール・ベースは 以 下 の 2 つのセクションに 分 かれています。<br />
<br />
<br />
Original Packet: ルールが 適 用 されるときの 条 件 を 指 定 します。<br />
Translated Packet: ルールが 適 用 されたときのアクションを 指 定 します。<br />
NAT ルール・ベース・エディタ 内 のそれぞれのセクションは、[Source]、[Destination]、および[Service]に 分 かれ<br />
ています。 以 下 のアクションが 実 行 されます。<br />
<br />
<br />
<br />
[Original Packet]の 下 の[Source]を[Translated Packet]の[Source]に 変 換 する。<br />
[Original Packet]の 下 の[Destination]を[Translated Packet]の[Destination]に 変 換 する。<br />
[Original Packet]の 下 の[Service]を[Translated Packet]の[Service]に 変 換 する。<br />
Original Packet<br />
Translated Packet<br />
Source Destination Service Source Destination Service<br />
Alaska_Web Any Any Alaska_Web<br />
(Hidden<br />
Address)<br />
= Original = Original<br />
ルール 照 合 順 序<br />
NAT ルール・ベースのルール 照 合 は、セキュリティのルール・ベースと 同 じ 方 式 で 行 われます。<strong>ファイアウォール</strong>は<br />
接 続 に 属 するパケットを 受 け 取 ると、まずそれをルール・ベースの 最 初 のルールと 比 較 し、 次 に 2 番 目 のルール、3<br />
番 目 のルールと 順 次 比 較 します。ルールに 一 致 するパケットが 見 つかると、 検 査 を 停 止 してそのルールを 適 用 しま<br />
す。<br />
44 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
この 原 則 の 例 外 は、2 つの 自 動 ルールが 接 続 に 一 致 する 場 合 です。その 場 合 は、 双 方 向 NAT が 適 用 されます。<br />
自 動 および 手 動 の NAT ルール<br />
NAT は、ネットワーク・オブジェクト(ノード、ネットワーク、またはアドレス 範 囲 )によって 自 動 的 に 定 義 できます。この<br />
ようにして NAT を 定 義 すると、ルールは 自 動 的 に NAT ルール・ベースに 追 加 されます。<br />
NAT ルール・ベースの NAT ルールを 追 加 または 編 集 して、NAT ルールを 手 動 で 定 義 できます。<strong>ファイアウォール</strong>は<br />
手 動 NAT ルールを 検 証 し、 設 定 プロセスの 間 違 いを 防 止 できるように 支 援 します。 手 動 で NAT ルールを 作 成 すると<br />
NAT の 機 能 を 最 大 限 に 活 用 できます。 元 のパケットおよび 変 換 されたパケットの 両 方 に 対 して 発 信 元 、 宛 先 、およ<br />
びサービスを 個 別 に 指 定 できます。<br />
手 動 NAT ルールを 作 成 する 場 合 は、 元 のオブジェクトの 他 に、 変 換 されたネットワーク・オブジェクトを 定 義 する 必 要<br />
があります。<br />
双 方 向 NAT<br />
双 方 向 NAT は NAT ルール・ベース 内 の 自 動 NAT ルールに 適 用 され、2 つの 自 動 NAT ルールが 接 続 に 一 致 でき<br />
るようにします。 双 方 向 NAT を 使 用 しない 場 合 は、1 つの 自 動 NAT ルールのみが 接 続 に 一 致 します。<br />
ネットワーク・オブジェクトに 対 して NAT が 定 義 されているときは、 必 要 な 変 換 を 行 う 自 動 NAT ルールが 生 成 されま<br />
す。 自 動 NAT ルールが 定 義 された 2 つのネットワーク・オブジェクトがあり、 一 方 が 接 続 の 発 信 元 で、もう 一 方 が 宛<br />
先 の 場 合 には、 双 方 向 NAT を 使 用 すると 自 動 NAT ルールが 両 方 とも 適 用 され、 両 方 のオブジェクトが 変 換 されま<br />
す。<br />
以 下 は、 双 方 向 NAT の 背 後 にあるロジックです。<br />
<br />
<br />
接 続 が 最 初 に 手 動 NAT ルールに 一 致 した 場 合 は、NAT ルール・ベースはそれ 以 上 検 査 されません。<br />
接 続 が 最 初 に 自 動 NAT ルールに 一 致 した 場 合 は、 残 りの NAT ルール・ベースのルールが 一 度 に1つずつ 調 べ<br />
られ、 別 の 自 動 NAT ルールが 接 続 に 一 致 するかどうかがチェックされます。 別 の NAT ルールが 接 続 に 一 致 し<br />
た 場 合 は、 両 方 のルールが 一 致 したと 見 なされ、それ 以 上 検 査 されません。<br />
双 方 向 NAT の 動 作 は、SmartView Tracker の[NAT Rule Number]および[NAT Additional Rule Number]フィー<br />
ルドを 使 用 してトラッキングできます。[NAT Additional Rule Number]は、 双 方 向 NAT の 2 番 目 のオブジェクトに 対<br />
して 実 行 される 自 動 変 換 に 一 致 するルールです。<br />
自 動 生 成 ルールについて<br />
NAT は、ネットワーク・オブジェクト(ノード、ネットワーク、またはアドレス 範 囲 )によって、NAT ルール・ベースに 自 動<br />
的 に 定 義 できます。<br />
ノードの Hide NAT は、NAT ルール・ベースに 1 つのルールを 追 加 します。これは、 内 部 ネットワークのノードから 開<br />
始 される 接 続 に 対 してパケットの 発 信 元 アドレスを 変 換 することを 指 定 します( 発 信 元 の Hide ルール)。<br />
ノードの Static NAT は、NAT ルール・ベースに 2 つのルールを 追 加 します。 発 信 元 の Static ルールの 他 にもう 一 つ<br />
のルールが 追 加 され、 外 部 ネットワークから 開 始 される 接 続 に 対 してパケットの 宛 先 アドレスを 変 換 することを 指 定<br />
します( 宛 先 の Static ルール)。<br />
ネットワークまたはアドレス 範 囲 に 対 して NAT(Hide または Static)を 行 うと、 特 別 なルールが 追 加 されます。 追 加 さ<br />
れたルールは、ネットワークまたはアドレス 範 囲 内 の 通 信 を 変 換 しないことを 指 定 します( 同 じネットワーク 内 の 1 台<br />
のコンピュータから 他 のコンピュータへ 送 信 されるパケットは 変 更 されません)。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 45
自 動 生 成 ルールの 例 (Hide NAT)<br />
この 例 は、アドレス 範 囲 ノードの 自 動 的 に 定 義 された Hide NAT のルールを 表 します。<br />
Original Packet<br />
Translated Packet<br />
Source Destination Service Source Destination Service<br />
Range_Hide Range_Hide Any = Original = Original = Original<br />
Range_Hide Any Any Range_Hide<br />
(Hiding<br />
Addrerss)<br />
= Original = Original<br />
<br />
<br />
ルール 1 は、<strong>ファイアウォール</strong>の 内 側 ( 保 護 側 )のみで 行 われる 接 続 では NAT を 行 わないことを 指 定 します。<br />
ルール 2 は、<strong>ファイアウォール</strong>の 内 側 ( 保 護 側 )から 開 始 された 接 続 に 対 してパケットの 発 信 元 アドレスをパブ<br />
リック Hide NAT アドレスに 変 換 することを 指 定 します。<br />
自 動 Hide NAT ルールでは、 変 換 後 のアドレスは「 隠 蔽 アドレス」と 呼 ばれ、Security Gateway の 保 護 されていない<br />
側 で 使 用 されます。 実 際 のアドレスは、Security Gateway の 保 護 されている 側 で 使 用 されるプライベート・アドレス<br />
です。<br />
自 動 生 成 ルールの 例 (Static NAT)<br />
この 例 は、ノードにアドレス 範 囲 で 自 動 的 に 生 成 された Static NAT ルールを 表 します。<br />
Original Packet<br />
Translated Packet<br />
Source Destination Service Source Destination Service<br />
Range_static Range_static Any = Original = Original = Original<br />
Range_static Any Any Range_static<br />
( 有 効 なアドレ<br />
ス)<br />
= Original = Original<br />
Any<br />
Range_static<br />
( 有 効 なアドレス)<br />
Any = Original Range_static = Original<br />
この 例 は 以 下 を 表 します。<br />
<br />
<br />
<br />
ルール 1 は、<strong>ファイアウォール</strong>の 内 側 ( 保 護 側 )のみで 行 われる 接 続 では NAT を 行 わないことを 指 定 します。 同<br />
じネットワーク 内 の 1 台 のコンピュータから 異 なるコンピュータへ 送 信 されたパケットは 変 更 されません。<br />
ルール 2 は、<strong>ファイアウォール</strong>の 内 側 ( 保 護 側 )から 発 信 されたパケットに 対 して 発 信 元 アドレスを 有 効 な(パブリ<br />
ック)Static NAT アドレスに 変 換 することを 指 定 します。<br />
ルール 3 は、<strong>ファイアウォール</strong>の 外 側 ( 非 保 護 側 )から 発 信 されたパケットに 対 して 有 効 な(パブリック) 宛 先 アド<br />
レスを Static NAT アドレスに 変 換 することを 指 定 します。<br />
自 動 Static NAT ルールでは、 静 的 に 変 換 されたパブリック・アドレスは「 有 効 アドレス」と 呼 ばれ、Security Gateway<br />
の 保 護 されていない 側 で 使 用 されます。 実 際 のアドレスは、Security Gateway の 保 護 されている 側 で 使 用 されるプ<br />
ライベート・アドレスです。<br />
46 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
自 動 ルールの 順 序<br />
自 動 ルールは 以 下 の 順 序 で NAT ルール・ベースに 置 かれます。<br />
1. Static NAT ルール。<br />
2. Hide NAT ルール。<br />
3. ノードの NAT。<br />
4. ネットワークまたはアドレス 範 囲 の NAT。<br />
NAT の 計 画 での 考 慮 事 項<br />
Hide 対 Static<br />
ポート 番 号 を 変 更 できないプロトコルでは、Hide NAT を 使 用 できません。<br />
Hide NAT は、 外 部 サーバが IP アドレスによってクライアントを 識 別 する 必 要 がある 場 合 には 使 用 できません。Hide<br />
NAT ではすべてのクライアントが 同 じ IP アドレスを 共 有 するからです。<br />
外 部 ネットワークから 内 部 ネットワークへの 接 続 を 許 可 するために 使 用 できるのは Static NAT のみです。<br />
自 動 ルールと 手 動 ルール<br />
設 定 が 簡 単 な 自 動 NAT ルールは、 設 定 エラーを 起 こす 危 険 性 を 低 減 できます。 自 動 ARP 設 定 は 自 動 ルールに 対<br />
してのみ 有 効 です。<br />
手 動 で 定 義 する NAT ルールは 複 雑 ですが、NAT を 完 全 に 制 御 することができます。 以 下 の 操 作 は、 手 動 NAT<br />
ルールでのみ 実 行 できます。<br />
<br />
<br />
<br />
<br />
<br />
<br />
指 定 された 宛 先 IP アドレス、および 指 定 された 発 信 元 IP アドレスにルールを 限 定 する。<br />
同 じパケットの 発 信 元 IP アドレスと 宛 先 IP アドレスの 両 方 を 変 換 します。<br />
一 方 向 にのみ Static NAT を 実 行 します。<br />
サービス( 宛 先 ポート)を 変 換 します。<br />
指 定 されたサービス(ポート)にルールを 限 定 します。<br />
動 的 オブジェクトに 対 して NAT を 実 行 します。<br />
Hide NAT による 隠 匿 アドレスの 選 択<br />
Hide Address( 隠 蔽 アドレス)は、その 背 後 にネットワーク、アドレス 範 囲 あるいはノードが 隠 れているアドレスです。<br />
これらは、Security Gateway のインタフェースまたは 特 定 の IP アドレスの 背 後 に 隠 蔽 することもできます。<br />
固 定 のパブリック IP アドレスを 選 択 すると、Security Gateway のアドレスを 隠 蔽 することができます。ただし、ルーテ<br />
ィング 可 能 なパブリック IP アドレスを 余 分 に 取 得 する 必 要 があります。<br />
Security Gateway のアドレスの 背 後 に 隠 蔽 することは、 管 理 上 望 ましいオプションです。たとえば、<strong>ファイアウォール</strong><br />
の 外 部 IP アドレスが 変 更 されても、NAT 設 定 を 変 更 する 必 要 がありません。<br />
特 定 の 導 入 における 検 討 事 項<br />
このセクションは、 特 定 のネットワーク 導 入 で NAT を 使 用 する 際 の 検 討 事 項 について 説 明 します。<br />
自 動 およびプロキシ ARP<br />
NAT を 使 用 して 内 部 ネットワークのコンピュータに 外 部 IP アドレスを 与 えると、そのコンピュータは、インターネットに<br />
とっては 外 部 ネットワークまたは<strong>ファイアウォール</strong>のインターネット 側 に 存 在 するように 見 えます。NAT を 自 動 的 に 設<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 47
定 すると、 内 部 コンピュータのアドレスを 要 求 するインターネット・ルータからの ARP リクエストに 対 して、Security<br />
Gateway は NAT 変 換 されたネットワーク・オブジェクトに 代 わって 応 答 します。<br />
手 動 ルールを 使 用 している 場 合 は、 変 換 された IP アドレスを、 変 換 されたアドレスと 同 じネットワーク 上 にある<br />
Security Gateway インタフェースの MAC アドレスに 関 連 付 けるためにプロキシ ARP を 設 定 する 必 要 があります。<br />
A<br />
NAT とスプーフィング 対 策<br />
NAT はスプーフィング 対 策 検 査 の 後 に 実 施 され、スプーフィング 対 策 検 査 はパケットの 発 信 元 IP アドレスに 対 して<br />
のみ 実 施 されます。つまり、スプーフィング 対 策 保 護 は、NAT と 同 じようにゲートウェイのインタフェースに 設 定 されま<br />
す。<br />
VPN トンネルでの NAT の 無 効 化<br />
VPN 内 で 通 信 する 場 合 、 通 常 NAT を 行 う 必 要 はありません。VPN コミュニティ・オブジェクトでワン・クリックするだ<br />
けで、VPN トンネルで NAT を 無 効 にすることができます。NAT ルールを 定 義 して VPN トンネル 内 の NAT を 無 効 に<br />
すると、VPN のパフォーマンスが 低 下 します。<br />
NAT の 設 定<br />
NAT 設 定 の 一 般 的 な 手 順<br />
NAT を 設 定 するには<br />
1. 変 換 に 使 用 する IP アドレスを 決 定 します。<br />
2. ネットワーク・オブジェクトを 定 義 します。<br />
3. ルール・ベース 内 にアクセス・ルールを 定 義 します。 手 動 NAT ルールを 定 義 するときは、 変 換 されたアドレスで<br />
ネットワーク・オブジェクトを 定 義 する 必 要 があります。 自 動 NAT ルールを 使 用 するときは、 実 オブジェクトごとに<br />
1 つのネットワーク・オブジェクトを 定 義 するだけで 済 みます。たとえば、Alaska_Web というオブジェクトに 対 して<br />
48 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
Static NAT を 定 義 すると、ルール・ベースは Alaska_Web を 参 照 するだけで 済 み、Alaska_Web( 有 効 アドレ<br />
ス)のルールを 定 義 する 必 要 はありません。<br />
4. NAT ルール( 自 動 または 手 動 )を 定 義 します。<br />
5. [Policy]→[Install]の 順 に 選 択 してセキュリティ・ポリシーをインストールします。<br />
基 本 設 定 - Hide NAT を 持 つネットワーク・ノード<br />
たとえば、ネットワーク・ノードの Hide NAT の 基 本 設 定 を 行 うと 仮 定 します。 目 的 は、Alaska_Web Web サーバ<br />
(10.1.1.10)の IP アドレスを、インターネット 上 で 開 始 される 接 続 から 隠 蔽 することです。Alaska_GW には 3 つのイ<br />
ンタフェースがあり、1 つは Alaska_Web があるネットワークに 面 しています。<br />
Hide NAT を 使 用 してネットワーク·ノードを 設 定 するには<br />
1. Alaska_Web のノード・オブジェクトを 編 集 し、[NAT]ページで[Add Automatic Address Translation Rules]<br />
チェックボックスをオンにします。<br />
2. [Translation Method Hide]と[Hide behind the interface of the Install on Gatewa]オプションを 選 択 します。<br />
3. [Install on Gateway]を 選 択 します。この 例 では NAT ゲートウェイは Alaska_GW なので、[Alaska_GW]また<br />
は[All]を 選 択 します。<br />
Alaska_Web からインターネットに 向 けられたパケットは、 発 信 元 アドレスが 10.1.1.10 から 192.168.0.1 に 変 換<br />
されます。たとえば、Web サーバから 発 信 されたパケットは、172.16.10.3 から 192.168.0.1 の 送 信 元 アドレス<br />
に 変 換 されます。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 49
設 定 例 (Static NAT と Hide NAT)<br />
以 下 の 例 は、 内 部 ネットワーク 上 の SMTP サーバと HTTP サーバを、パブリック・アドレスを 使 用 してインターネットか<br />
ら 使 用 できるようにし、 内 部 ネットワーク 上 のすべてのユーザがインターネットにアクセスできるようにすることを 目 的<br />
としています。<br />
Web サーバとメール・サーバは、インターネットから 着 信 接 続 が 行 われるので Static 変 換 が 必 要 です。2 つの<br />
ルーティング 可 能 なアドレスを 使 用 できます。この 例 の 場 合 、Alaska.Web HTTP サーバには 192.168.0.5 が 使 用 さ<br />
れ、Alaska.Mail SMTP サーバには 192.168.0.6 が 使 用 されます。<br />
内 部 クライアントは 接 続 を 開 始 するので Hide 変 換 が 必 要 です。インターネットからこれらに 着 信 接 続 はできません。<br />
これらは、Security Gateway の 外 部 インタフェースの 背 後 に 隠 蔽 されます。<br />
Static NAT と Hide NAT の 設 定 を 実 行 するには<br />
1. Alaska.Web(10.1.1.5)、Alaska.Mail(10.1.1.6)、Alaska_LAN(10.1.1.0、ネット・マスク 255.255.255.0)、およ<br />
び Security Gateway(Alaska.GW)のネットワーク・オブジェクトを 定 義 します。<br />
2. Alaska.Web オブジェクトを 編 集 し、[NAT]ページで[Add Automatic Address Translation Rules]チェック・<br />
ボックスをオンにします。<br />
3. [Translation Method]として[Static]を 選 択 して、[Translate to IP Address]を 192.168.0.5 として 定 義 しま<br />
す。<br />
4. Alaska.Mail に 対 して[Translation Method]として[Static]を 選 択 し、[Translate to IP Address]を<br />
192.168.0.6 として 定 義 します。<br />
5. [NAT]ページで Alaska_LAN オブジェクトを 編 集 します。<br />
a) [Translation Method]として[Hide]を 選 択 します。<br />
b) [Hide behind Gateway]を 選 択 します。<br />
Alaska_LAN 上 にある 内 部 クライアントの 有 効 な Hide アドレスは 192.168.0.1 です。 以 下 のスクリーンショット<br />
は、 結 果 の NAT ルール·ベースを 表 します。<br />
Original Packet<br />
Translated Packet<br />
Source Destination Service Source Destination Service<br />
Alaska.Mail Any Any Alaska.Mail<br />
(Valid<br />
Addresses)<br />
= Original = Original<br />
Any<br />
Alaska.Mail(Vali<br />
dAddresses)<br />
Any = Original Alaska.Mail(Valid<br />
Addresses)<br />
= Original<br />
50 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
Alaska.Web Any Any Alaska.Web<br />
(Valid<br />
Addresses)<br />
= Original = Original<br />
Any<br />
Alaska.Web<br />
(ValidAddresse<br />
s)<br />
Any = Original =Alaska.Web<br />
(ValidAddresses)<br />
= Original<br />
Alaska_LAN Alaska_LAN Any = Original = Original = Original<br />
Alaska_LAN Any Any Alaska_LAN<br />
(Hiding<br />
Addresses)<br />
= Original = Original<br />
設 定 例 ( 手 動 ルールのポート 変 換 )<br />
次 の 例 は、DMZ ネットワーク 内 の Web サーバとメール・サーバの 両 方 を、1 つの IP アドレスを 使 用 してインターネッ<br />
トから 使 用 できるようにすることを 目 的 としています。Hide NAT は DMZ 内 のすべてのアドレスに 対 して 実 行 されま<br />
す。<br />
ポート 変 換 に 手 動 ルールを 使 用 した 設 定 例 を 実 行 するには<br />
1. ネットワーク Alaska.DMZ.LAN(172.16.0.0、ネット・マスク 255.255.0.0)、Web サーバ Alaska_DMZ_Web<br />
(172.16.1.7)、メール・サーバ Alaska_DMZ_Mail(172.16.1.5)、および Security Gateway(Alaska.GW)の<br />
ネットワーク・オブジェクトを 定 義 します。<br />
2. Alaska.DMZ.LAN ネットワーク・オブジェクトの[NAT]タブで、[Add Automatic Address Translation Rules]<br />
チェックボックスをオンにします。<br />
3. [Translation Method]として[Hide]を 選 択 し、[Hide behind Gateway]を 選 択 します。この 手 順 により NAT ルー<br />
ル・ベースに 2 つの 自 動 ルールが 追 加 されます(ルール 1 と 2)。<br />
4. NAT ルール・ベースで、Web サーバへの HTTP サービスのリクエストを 変 換 する 手 動 NAT ルール(ルール 3)<br />
と SMTP サーバへの SMTP リクエストを 変 換 する 手 動 NAT ルール(ルール 4)を 定 義 します。<br />
Original Packet<br />
Translated Packet<br />
Source Destination Service Source Destination Service<br />
Alaska.DMZ.LAN<br />
Alaska.DMZ.LA<br />
N<br />
Any = Original = Original = Original<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 51
Alaska.DMZ.LAN Any Any Alaska.DMZ.LA<br />
N (Hiding<br />
Address)<br />
= Original = Original<br />
Any Alaska_GW http = Original Alaska_DMZ_We<br />
b<br />
Any Alaska_GW Smtp = Original Alaska_DMZ_Ma<br />
il<br />
= Original<br />
= Original<br />
高 度 な NAT 設 定<br />
異 なるインタフェース 上 の 変 換 されたオブジェクト 間 の 接 続<br />
以 下 のセクションでは、 異 なる Security Gateway のインタフェース 上 の 静 的 に 変 換 されたオブジェクト(ノード、ネット<br />
ワーク、アドレス 範 囲 )の 間 で 双 方 向 通 信 を 可 能 にする 方 法 について 説 明 します。<br />
NAT が 手 動 NAT ルールではなくネットワーク・オブジェクトを 使 用 して 定 義 されている 場 合 は、 双 方 向 NAT が 有 効<br />
になっていることを 確 認 する 必 要 があります。<br />
重 複 アドレスでの 内 部 コミュニケーション<br />
2 つの 内 部 ネットワークで 重 複 する(または 部 分 的 に 重 複 する)IP アドレスを 使 用 する 場 合 は、Security Gateway に<br />
よって 以 下 のことが 可 能 になります。<br />
重 複 する 内 部 ネットワーク 間 の 通 信 。<br />
重 複 する 内 部 ネットワークと 外 部 間 の 通 信 。<br />
重 複 する 各 内 部 ネットワークに 対 する 異 なるセキュリティ・ポリシーの 適 用 。<br />
52 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
ネットワークの 設 定<br />
たとえば、ネットワーク A とネットワーク B の 両 方 が 同 じアドレス 空 間 (192.168.1.0/24)を 使 用 しているため、 標 準 的<br />
な NAT を 使 用 してネットワーク A とネットワーク B 間 の 通 信 を 有 効 にすることはできません。 代 わりに、インタフェー<br />
スごとに 重 複 NAT を 実 行 する 必 要 があります。<br />
ネットワーク A 内 のユーザがネットワーク B 内 のユーザと 通 信 したい 場 合 は、 宛 先 として 192.168.30.0/24 ネットワーク<br />
を 使 用 する 必 要 があります。ネットワーク B 内 のユーザがネットワーク A 内 のユーザと 通 信 したい 場 合 は、 宛 先 とし<br />
て 192.168.20.0/24 ネットワークを 使 用 する 必 要 があります。<br />
Security Gateway は、 各 インタフェースに 対 して 以 下 のように IP アドレスを 変 換 します。<br />
インタフェース A<br />
<br />
<br />
着 信 の 発 信 元 IP アドレスは 仮 想 ネットワーク「192.168.20.0/24」に 変 換 されます。<br />
発 信 の 宛 先 IP アドレスはネットワーク「192.168.1.0/24」に 変 換 されます。<br />
インタフェース B<br />
<br />
<br />
着 信 の 発 信 元 IP アドレスはネットワーク「192.168.30.0/24」に 変 換 されます。<br />
発 信 の 宛 先 IP アドレスはネットワーク「192.168.1.0/24」に 変 換 されます。<br />
インタフェース C<br />
重 複 NAT はこのインタフェース 用 に 設 定 されません。 代 わりに、NAT Hide をインタフェースごとではなく 通 常 の 方 法<br />
で 使 用 して、インタフェースの IP アドレス(192.168.4.1)の 背 後 に 発 信 元 アドレスを 隠 します。<br />
通 信 例<br />
このセクションでは、 内 部 ネットワーク 間 および 内 部 ネットワークとインターネット 間 の 通 信 を 可 能 にする 方 法 につい<br />
て 説 明 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 53
内 部 ネットワーク 間 の 通 信<br />
ネットワーク A 内 の IP アドレス「192.168.1.10」のユーザ A が、ネットワーク B 内 の IP アドレス「192.168.1.10」( 同<br />
じ IP アドレス)のユーザ B と 通 信 したい 場 合 、ユーザ A は IP アドレス「192.168.30.10」への 接 続 を 開 きます。<br />
内 部 ネットワーク 間 の 通 信<br />
手 順 発 信 元 IP アドレス 宛 先 IP アドレス<br />
インタフェース A - NAT の 前 192.168.1.10 192.168.30.10<br />
インタフェース A - NAT の 後 192.168.20.10 192.168.30.10<br />
Security Gateway が、ネットワーク「192.168.20.0/24」からネットワーク「192.168.30.0/24」へのパケットの<br />
セキュリティ・ポリシーを 適 用 します。<br />
インタフェース B - NAT の 前 192.168.20.10 192.168.30.10<br />
インタフェース B - NAT の 後 192.168.20.10 192.168.1.10<br />
内 部 ネットワークとインターネット 間 の 通 信<br />
ネットワーク A 内 の IP アドレス「192.168.1.10」のユーザ A が、インターネット 上 の IP アドレス「10.10.10.10」に 接 続<br />
すると 想 定 します。<br />
内 部 ネットワークとインターネット 間 の 通 信<br />
手 順 発 信 元 IP アドレス 宛 先 IP アドレス<br />
インタフェース A - NAT の 前 192.168.1.10 10.10.10.10<br />
インタフェース A - NAT の 後 192.168.20.10 10.10.10.10<br />
Security Gateway が、ネットワーク「192.168.20.0/24」からインターネットへのパケットのセキュリティ・ポリ<br />
シーを 適 用 します。<br />
インタフェース C - NAT の 前 192.168.20.10 10.10.10.10<br />
インタフェース C - NAT Hide の 後 192.168.4.1 10.10.10.10<br />
ルーティングに 関 する 考 慮 事 項<br />
ネットワーク A からネットワーク B へのルーティングを 可 能 にするには、<strong>ファイアウォール</strong>・コンピュータ 上 でルーティ<br />
ングを 設 定 する 必 要 があります。<br />
以 下 に Windows および Linux のオペレーティング・システムのルーティング・コマンドの 例 を 示 します( 他 のオペレー<br />
ティング・システムでも 同 様 のコマンドを 使 用 します)。<br />
Windows 上 では 以 下 のコマンドを 実 行 します。<br />
route add 192.168.30.0 mask 255.255.255.0 192.168.3.2<br />
route add 192.168.20.0 mask 255.255.255.0 192.168.2.2<br />
Linux 上 では 以 下 のコマンドを 実 行 します。<br />
route add -net 192.168.30.0/24 gw 192.168.3.2<br />
route add -net 192.168.20.0/24 gw 192.168.2.2<br />
54 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
オブジェクト·データベースの 設 定<br />
重 複 NAT 機 能 を 有 効 にするには、「dbedit」データベース・エディタ GUI(またはコマンドライン・ユーティリティ)を 使<br />
用 します。ネットワーク 設 定 の 例 で、 以 下 のようにインタフェース A とインタフェース B に 対 してインタフェースごとに 値<br />
が 設 定 されます。<br />
ネットワーク 設 定 の 例 : インタフェース 設 定<br />
パラメータ<br />
enable_overlapping_nat<br />
overlap_nat_dst_ipaddr<br />
overlap_nat_src_ipaddr<br />
overlap_nat_netmask<br />
値<br />
true<br />
重 複 IP アドレス(NAT の 前 )。ネットワーク 設 定 例 では、 両 方 のイ<br />
ンタフェースで「192.168.1.0」になります。<br />
NAT 後 の IP アドレス。ネットワーク 設 定 例 で、インタフェース A で<br />
は「192.168.20.0」、インタフェース B では「192.168.30.0」になり<br />
ます。<br />
重 複 する IP アドレスのネット・マスク。ネットワーク 設 定 例 では、<br />
「255.255.255.0」になります。<br />
NAT の 背 後 にある Security Management<br />
Security Management Server は、パブリック IP アドレスの 数 が 限 られているため、プライベート IP アドレス(RFC<br />
1918 に 記 載 )または 他 のルーティング 不 能 IP アドレスを 使 用 する 場 合 があります。<br />
Security Management Server の IP アドレスの NAT(Static または Hide)は、 管 理 されたゲートウェイとの 接 続 性 を<br />
保 った 状 態 で、ワン・クリックで 設 定 できます。すべてのゲートウェイは Security Management Server から 制 御 可 能<br />
であり、Security Management Server にログを 送 信 できます。NAT は Management High Availability サーバおよ<br />
びログ・サーバに 対 しても 設 定 できます。<br />
注 - NAT の 背 後 にあるセキュリティ 管 理 は、Security Management Server がゲートウェイと<br />
しても 機 能 する 導 入 環 境 ではサポートされず、ネットワーク・アドレス 変 換 されるドメインの 外 部<br />
から(たとえば SAM コマンドを 受 信 する 場 合 に)アドレス 指 定 する 必 要 があります。<br />
NAT の 背 後 にある 典 型 的 なセキュリティ 管 理 の 一 般 的 なシナリオでは、Security Management Server は、ネット<br />
ワーク・アドレス 変 換 が 実 行 されるネットワーク(アドレス 変 換 されたネットワーク) 内 にあります。Security<br />
Management Server は、アドレス 変 換 されたネットワーク 内 、アドレス 変 換 されたネットワークと 外 部 との 境 界 上 、お<br />
よびアドレス 変 換 されたネットワークの 外 部 にある Security Gateway を 制 御 できます。<br />
通 常 の Hide NAT の 設 定 では、NAT Security Gateway の 外 側 から 接 続 を 確 立 することはできません。ただし、<br />
Security Management Server に Hide NAT を 使 用 する 場 合 は、ゲートウェイは Security Management Server に<br />
ログを 送 信 できます。<br />
NAT の 背 後 にあるセキュリティ 管 理 の 機 能 を 使 用 する 場 合 は、リモート・ゲートウェイは、 使 用 するセキュリティ 管 理<br />
アドレスを 自 動 的 に 選 択 し、 同 時 に NAT に 関 する 考 慮 事 項 を 適 用 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 55
Security Management Server で NAT を 有 効 にするには<br />
<br />
Security Management Server オブジェクトの[NAT]ページから NAT を 定 義 し、[Apply for A Security<br />
Gateway control connections]を 選 択 します。<br />
対 応 していないゲートウェイ・アドレス<br />
ゲートウェイが、リモート・ゲートウェイの 導 入 に 対 応 していないアドレスを 使 用 して Security Management Server<br />
に 接 続 しようとする 場 合 があります。 以 下 に 例 を 示 します。<br />
<br />
ゲートウェイが 自 動 選 択 したアドレスがゲートウェイの 環 境 で 正 しくルーティングされていない 場 合 。この 場 合 に<br />
は、リモート・ゲートウェイが 適 切 なアドレスを 使 用 して Security Management Server に 接 続 できるようにする<br />
ため、マスタとロガーを 手 動 で 定 義 します。 管 理 されているゲートウェイからの 着 信 接 続 が Security Gateway に<br />
到 着 すると、ポート 変 換 が 使 用 されて、 隠 蔽 アドレスを Security Management Server の 実 際 の IP アドレスに 変<br />
換 します。<br />
マスタとロガーを 定 義 する 場 合 は、[Use local definitions for Log Servers と Use local definitions for Masters]を<br />
選 択 し、ゲートウェイ 上 で 正 しい IP アドレスを 指 定 します。<br />
この 解 決 策 は 以 下 の 個 々のケースで 使 用 できます。<br />
<br />
<br />
注 :<br />
<br />
<br />
実 際 の IP アドレスを 指 定 する 必 要 があるにも 関 わらず、リモート・ゲートウェイがネットワーク・アドレス 変 換 され<br />
る IP アドレスを 指 定 する 場 合 。<br />
ネットワーク・アドレス 変 換 される IP アドレスを 指 定 する 必 要 があるにも 関 わらず、リモート・ゲートウェイが 実 際<br />
の IP アドレスを 指 定 する 場 合 。この 場 合 は、マスター・ファイル 内 で Security Management Server の SIC 名 を<br />
指 定 します。<br />
これらの 設 定 では 1 つのオブジェクトのみ 定 義 できます。2 番 目 のオブジェクトを 定 義 できるのは、セカンダリ<br />
Security Management Server またはログ・サーバのみです。<br />
すべてのゲートウェイ 上 でトポロジの 設 定 を 適 切 に 定 義 する 必 要 があります。 以 前 のバージョンに 必 要 なすべて<br />
の 回 避 策 は、そのまま 有 効 です。<br />
Security Management Server オブジェクトの 設 定<br />
Security Management Server オブジェクトを 設 定 するには、 以 下 の 手 順 に 従 います。<br />
1. Primary_Security_Management オブジェクトの[NAT]ページから[Static NAT]または[Hide NAT]を 選 択 しま<br />
す。Hide NAT を 使 用 する 場 合 は、[Hide behind IP Address](たとえば「192.168.55.1」)を 選 択 します。[Hide<br />
behind Gateway](アドレス 0.0.0.0)は 選 択 しないでください。<br />
2. [Install on Gateway]を 選 択 して、ネットワーク・アドレス 変 換 されるオブジェクトまたはネットワークを 保 護 します。<br />
[All]は 選 択 しないでください。<br />
3. [Apply for Security Gateway control connections]を 選 択 します。<br />
ゲートウェイ・オブジェクトの 設 定<br />
ゲートウェイ・オブジェクトを 設 定 するには<br />
1. Security Gateway の[Topology]ページから、インタフェースを 定 義 します。<br />
2. [Interface Properties]ウィンドウの[General]タブで、IP アドレスとネット・マスクを 定 義 します。<br />
3. [Interface Properties]ウィンドウの[Topology]タブで[Network defined by the interface IP and Net Mask]<br />
を 選 択 します。<br />
IP プール NAT<br />
IP プールは、ゲートウェイにルーティング 可 能 な IP アドレスの 範 囲 (アドレス 範 囲 、ネットワーク、またはこれらのどち<br />
らかのオブジェクトのグループ)です。IP プール NAT は、 以 下 の 2 つの 接 続 シナリオで、 暗 号 化 された 接 続 に 対 して<br />
適 切 なルーティングを 保 証 します。<br />
56 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
SecuRemote/SecureClient から MEP(Multiple Entry <strong>Point</strong>)ゲートウェイへの 接 続<br />
ゲートウェイから MEP ゲートウェイへの 接 続<br />
SecuRemote/SecureClient またはゲートウェイの 背 後 にあるクライアントから MEP ゲートウェイの 背 後 にあるサー<br />
バへの 接 続 が 開 かれると、パケットはいずれかの MEP ゲートウェイを 経 由 してルーティングされます。 接 続 を 維 持<br />
するには、 接 続 内 の 戻 りのパケットが 同 じゲートウェイを 経 由 してルーティングされる 必 要 があります。このように 動<br />
作 するために、 各 MEP ゲートウェイは、ゲートウェイにルーティング 可 能 な IP アドレスのプールを 保 持 しています。<br />
サーバへの 接 続 が 開 かれると、ゲートウェイが 発 信 元 IP アドレスを IP プールからの IP アドレスに 置 き 換 えます。<br />
サーバからの 返 信 パケットがゲートウェイに 返 されます。ゲートウェイは、 元 の 発 信 元 IP アドレスを 保 持 し、パケット<br />
を 発 信 元 に 転 送 します。<br />
IP アドレスのプールは、ゲートウェイ・オブジェクトの[IP Pool]ページで 設 定 されます。MEP のシナリオでの IP プー<br />
ル NAT の 使 用 方 法 については、「 複 数 のエントリ・ポイント VPN」を 参 照 してください。<br />
インタフェースごとの IP プール<br />
ゲートウェイに 対 して 単 一 の IP のプールを 定 義 する 代 わりに、1 つ 以 上 のゲートウェイ・インタフェース 上 に 個 別 の IP<br />
アドレス・プールを 定 義 できます。<br />
インタフェースごとに IP プールを 定 義 すると、ゲートウェイに 複 数 のインタフェースがある 場 合 に 発 生 するルーティン<br />
グの 問 題 を 解 決 できます。 同 じゲートウェイ・インタフェースを 介 して 応 答 パケットがゲートウェイに 戻 ることが 必 要 な<br />
場 合 があります。 次 の 図 は、MEP ゲートウェイで 使 用 時 の SecuRemote/ SecureClient から MEP(Multiple Entry<br />
<strong>Point</strong>)ゲートウェイへの 接 続 の 様 子 を 示 しています。<br />
リモート・クライアントが 内 部 ネットワークとの 接 続 を 開 く 場 合 は、 内 部 ネットワーク 内 のホストからの 戻 りのパケットは、<br />
静 的 IP プール NAT アドレスを 使 用 して、 正 しいゲートウェイ・インタフェースにルーティングされます。<br />
リモート VPN クライアントの IP アドレスは、いずれかのゲートウェイ・インタフェース 上 の IP プール 内 のアドレスにネ<br />
ットワーク・アドレス 変 換 されます。IP プール 内 のアドレスは、ゲートウェイ・インタフェースを 介 してのみルーティング<br />
可 能 なので、ターゲット・ホストからのすべての 戻 りのパケットは、 他 のインタフェースではなくそのインタフェースに 戻<br />
ります。このため、インタフェースの IP NAT プールが 重 複 していないことが 重 要 です。<br />
ゲートウェイ・インタフェースにパケットが 戻 ると、ゲートウェイはリモート・ピアの 発 信 元 IP アドレスを 復 元 します。<br />
ゲートウェイの IP プールからのアドレスが 正 しいゲートウェイ・インタフェースに 戻 されるように、ゲートウェイの 背 後<br />
にあるルータ 上 のルーティング・テーブルを 編 集 する 必 要 があります。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 57
ゲートウェイごとの IP プール NAT とインタフェースごとの IP プール NAT を 切 り 替 えてからセキュリティ・ポリシーを<br />
インストールすると、すべての IP プールの 割 り 当 てとネットワーク・アドレス 変 換 されたすべての 接 続 が 削 除 されま<br />
す。<br />
NAT の 優 先 順 位<br />
IP プール NAT は、 暗 号 化 された(VPN) 接 続 と、 非 暗 号 化 (ゲートウェイによって 暗 号 解 除 された) 接 続 の 両 方 で 使<br />
用 できます。<br />
注 - ゲートウェイ 経 由 のクリアな 接 続 の IP プール NAT を 有 効 にするには、「user.def」ファイ<br />
ル 内 で INSPECT の 変 更 を 設 定 します。 詳 細 については、チェック・ポイントのテクニカル・サ<br />
ポートに 問 い 合 わせてください。<br />
暗 号 化 されていない 接 続 の 場 合 、IP プール NAT は Hide NAT に 比 べて 次 の 利 点 があります。<br />
<br />
<br />
<br />
ネットワーク・アドレス 変 換 されるホストへの 新 しいバック・コネクション(X11 など)を 開 くことができます。<br />
1 つの IP に 1 つの 接 続 を 許 可 するプロトコルを 使 用 する 場 合 に、ユーザと IP アドレスのマッピングは、1 つのみ<br />
のホストではなく 複 数 のホストで 使 用 できます。<br />
IPSec、GRE、および IGMP プロトコルは、IP プール NAT(および Static NAT)を 使 用 してネットワーク・アドレス<br />
変 換 を 行 うことができます。Hide NAT は、TCP、UDP、および ICMP プロトコルのみで 機 能 します。<br />
これらの 利 点 があるため、IP プール NAT と Hide NAT の 両 方 が 同 じ 接 続 に 一 致 する 場 合 に、IP プール NAT を 優<br />
先 するように 指 定 できます。Hide NAT は、IP プールがすべて 使 用 された 場 合 にのみ 適 用 されます。<br />
NAT の 優 先 順 位 は 以 下 のとおりです。<br />
1. Static NAT<br />
2. IP プール NAT<br />
3. Hide NAT<br />
Static NAT は、IP プール NAT のすべての 利 点 およびその 他 の 利 点 を 持 っているので、 他 の NAT 方 法 よりも 優 先<br />
順 位 が 高 くなります。<br />
異 なる 宛 先 に 対 する IP プール・アドレスの 再 利 用<br />
異 なる 宛 先 に 対 して IP プールのアドレスを 再 利 用 でき、プール 内 のアドレスをより 効 率 的 に 使 用 できます。ルールに<br />
N 個 のアドレスが 含 まれている 場 合 は、サーバあたりのクライアント 数 が N を 超 えない 限 り、 任 意 の 数 のクライアント<br />
にプールから IP アドレスを 割 り 当 てることができます。<br />
宛 先 ごとの IP プールの 割 り 当 てを 使 用 すると、2 つの 異 なるクライアントが 異 なるサーバと 通 信 している 限 り、2 つの<br />
クライアントがプールから 同 じ IP アドレスを 受 け 取 ることができます。IP アドレスを 再 利 用 する 場 合 は、 接 続 先 のサ<br />
ーバからのバック・コネクションのみがサポートされます。つまり、クライアントに 戻 る 接 続 は、 接 続 が 開 かれた 特 定<br />
のサーバからのみ 開 くことができます。<br />
58 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
デフォルトの[Do not reuse IP Pool]の 動 作 では、IP プール 内 の 各 IP アドレスは 1 度 だけ 使 用 されます( 下 の 図 の<br />
接 続 1 と 2)。このモードでは、IP プールに 20 個 のアドレスが 含 まれている 場 合 、 最 大 20 の 異 なるクライアントの<br />
ネットワーク・アドレス 変 換 を 行 い、 任 意 の 発 信 元 からクライアントへのバック・コネクションを 開 くことができます。<br />
「 再 利 用 」モードと「 非 再 利 用 」モードを 切 り 替 えてから、セキュリティ・ポリシーをインストールすると、すべての IP<br />
プールの 割 り 当 てとネットワーク・アドレス 変 換 されたすべての 接 続 が 削 除 されます。<br />
IP プール NAT の 設 定<br />
IP プール NAT を 設 定 するには<br />
1. [Global Properties]→[NAT]ページで、[Enable IP Pool NAT]を 選 択 し、 必 要 なトラッキング・オプションを 選<br />
択 します。<br />
2. ゲートウェイの[General Properties]ページで、ゲートウェイのバージョンが 正 しく 指 定 されていることを 確 認 しま<br />
す。<br />
3. 各 ゲートウェイまたはゲートウェイ・インタフェースに 対 して、その IP プール NAT アドレスを 表 すネットワーク・オ<br />
ブジェクトを 作 成 します。IP プールとして、ネットワーク、グループ、またはアドレス 範 囲 を 指 定 できます。たとえば<br />
アドレス 範 囲 の 場 合 は、 以 下 の 手 順 に 従 います。<br />
a) ネットワーク・オブジェクト・ツリーで、[Network Objects]ブランチを 右 クリックし、[New]→[Address<br />
Range]を 選 択 して、[Address Range Properties]ウィンドウを 開 きます。<br />
b) [General]タブで、アドレス 範 囲 の 最 初 と 最 後 の IP アドレスを 入 力 します。<br />
c) [OK]をクリックします。 新 しいアドレス 範 囲 がネットワーク・オブジェクト・ツリーの[Address Ranges]ブラン<br />
チに 表 示 されます。<br />
4. ゲートウェイ・オブジェクトを 選 択 し、[Gateway Properties]ウィンドウにアクセスして、[NAT]→[IP Pool NAT]<br />
を 選 択 します。<br />
5. [IP Pool NAT]ページで 以 下 のいずれかを 選 択 します。<br />
a) [Allocate IP Addresses from]を 選 択 し、ゲートウェイ 全 体 の IP プール NAT を 設 定 するために 作 成 したア<br />
ドレス 範 囲 を 選 択 します。<br />
b) [Define IP Pool addresses on gateway interfaces]を 選 択 し、IP プール NAT をインタフェースごとに 設 定<br />
します。<br />
6. 必 要 に 応 じて、 以 下 のいずれかのオプションを 1 つ 以 上 選 択 します。<br />
a) Use IP Pool NAT for VPN client connections<br />
b) Use IP Pool NAT for gateway to gateway connections<br />
c) Prefer IP Pool NAT over Hide NAT: IP プール NAT と Hide NAT が 同 じ 接 続 に 一 致 した 場 合 に IP プー<br />
ル NAT を 優 先 することを 指 定 します。Hide NAT は、IP プールがすべて 使 用 された 場 合 にのみ 適 用 されま<br />
す。<br />
7. [Advanced]をクリックします。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 59
a) Return unused addresses to IP Pool after: プール 内 のアドレスは、ユーザがログオフした 場 合 でも 60 分<br />
間 (デフォルト)は 予 約 されています。ユーザが ISP から 切 断 し、 再 びダイヤルして 再 接 続 した 場 合 は、IP<br />
プールから 最 初 に 取 得 したアドレスがタイムアウトになるまで、2 つのプール NAT アドレスがこのユーザに<br />
使 用 されます。ユーザが ISP との 接 続 を 頻 繁 に 切 断 する 場 合 は、このタイムアウト 時 間 を 短 縮 し、IP プール<br />
が 枯 渇 しないようにすることができます。<br />
b) Reuse IP addresses from the pool for different destinations: クライアントが 最 初 に 接 続 を 開 いた 特 定<br />
のサーバからだけでなく、 任 意 の 発 信 元 からクライアントへのバック・コネクションを 開 くことを 許 可 する 必 要<br />
がない 場 合 は、このオプションを 選 択 することをお 勧 めします。<br />
8. [OK]をクリックします。<br />
9. 各 内 部 ルータのルーティング・テーブルを 編 集 して、NAT プールから 割 り 当 てられた IP アドレスを 使 用 するパケット<br />
が 適 切 なゲートウェイまたは 適 切 なゲートウェイ・インタフェース(インタフェースごとの IP プールを 使 用 する 場<br />
合 )にルーティングされるようにします。<br />
クラスタ 用 の IP プール NAT<br />
ゲートウェイ・クラスタ 用 の IP プールは、SmartDashboard の 以 下 の 2 つの 場 所 で 設 定 されます。<br />
<br />
<br />
ゲートウェイ·クラスタ·オブジェクトの[NAT]→[IP Pool NAT]ページで、 接 続 シナリオを 選 択 します。<br />
クラスタ・メンバ・オブジェクトの[IP Pool NAT]ページで、クラスタ・メンバに IP プールを 定 義 します。 各 クラスタ・<br />
メンバに 個 別 の IP プールを 設 定 する 必 要 があります。 各 クラスタ・メンバ・インタフェースに 個 別 の IP プールを 定<br />
義 することはできません。<br />
60 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
第 4 章<br />
IPv6<br />
この 章 の 構 成<br />
Security Gateway での IPv6 の 有 効 化 61<br />
Security Gateway での IPv6 の 無 効 化 63<br />
SmartConsole で IPv6 を 使 用 した 作 業 64<br />
高 度 な 機 能 68<br />
チェック·ポイントのアーキテクチャは、 管 理 者 に IPv6 への 円 滑 で 安 全 な 移 行 パスを 提 供 します。ほとんどのネットワ<br />
ークは IPv4 を 使 用 しており、 一 部 のアプリケーションだけを IPv6 にアップグレードすることはできません。このため、<br />
チェック·ポイントの IPv6 ソリューションは 従 来 の IPv4 に 完 全 に 対 応 します。また、IPv6 の 利 用 はオプションですが、<br />
IPv4 の 利 用 を 無 効 にすることはできません。<br />
チェック·ポイントの IPv6 ソリューションは、2 つの IP バージョンをサポートしているデュアル・スタック・モードを 使 用 し<br />
ます。これは、 異 なる IPv4 と IPv6 のスタックを 同 時 に 利 用 することで 実 現 します。デュアル・スタック・ソリューション<br />
はまた、2 つの 異 なるカーネル・ドライバを 使 用 します。1 つは IPv4 トラフィック 用 で、もう 1 つは IPv6 トラフィック 用 で<br />
す。<br />
サポート 機 能<br />
サポートするチェック・ポイント 機 能<br />
• サポート・プラットフォーム: GAIA、SecurePlatform、IPSO<br />
• アクセス 制 御 ルール: Pv6ホストとIPv6ネットワークを<strong>ファイアウォール</strong>・ルールのルール・ベースで 定 義 できま<br />
す。<br />
• ユーザ 定 義 ICMPv6サービス<br />
• スプーフィング 対 策<br />
• IPS 防 御 :<br />
• ポート・スキャン<br />
• Aggressive Aging<br />
• 最 大 Pingサイズ 制 限<br />
• Small PMTU<br />
• SecureXLによる 高 速 化 (SecurePlatformとGAIAのみ)<br />
• ClusterXL High Availability(SecurePlatformとGAIAのみ)<br />
• CoreXL(SecurePlatformとGAIAのみ)<br />
• SmartView TrackerでのIPv6のフィルタリング<br />
IPv6 特 定 の 機 能<br />
• IPv6 拡 張 ヘッダの 許 可 またはブロック<br />
• IPv6フラグメンテーション・ヘッダの 完 全 な 検 査<br />
• 6in4トンネル 通 信 の 許 可 またはブロック<br />
• 6in4トンネルでのIPv6 通 信 の 検 査 (SecurePlatform and Gaia only)<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 61
非 サポート 機 能<br />
上 記 に 記 載 されている 全 てのフィーチャと 機 能 以 外 はサポートされていません。サポートされていない 主 な 機 能 は 下<br />
記 です( 下 記 のみに 限 定 されるわけではありません):<br />
• IPS( 上 記 サポート 機 能 に 含 まれる 防 御 を 除 く)<br />
• NAT<br />
• Application & URL Filtering<br />
• IPSec VPN(この 機 能 は、 以 前 のバージョンR70 IPv6Packにてサポートされていました)<br />
• Anti-Spam & Mail<br />
• Anti-Virus<br />
• DLP<br />
• QoS<br />
Security Gateway での IPv6 の 有 効 化<br />
このセクションは、さまざまなプラットフォーム 上 で IPv6 を 有 効 にする 方 法 を 表 します。<br />
SecurePlatform<br />
SecurePlatform Security Gateway で IPv6 を 有 効 にするには<br />
1. 「/etc/rc.d/rc3.d」に 移 動 し、S11ipv6 ファイルを 説 明 します<br />
2. 以 下 のコマンドを S11ipv6 ファイルに 追 加 します。<br />
#!/bin/sh<br />
modprobe ipv6<br />
/sbin/ifconfig inet6 add /<br />
注 - /sbin/ifconfig inet6 add /<br />
は IPv6 アドレスが 設 定 されている 各 インタフェースに 必 要 です。<br />
3. 実 行 権 限 を S11ipv6 ファイルに 設 定 します。<br />
4. S11ipv6 を 実 行 します。<br />
5. $FWDIR/scripts/fwipv6_enableon を 実 行 します。<br />
6. Security Gateway を 再 起 動 します。<br />
IPSO アプライアンス<br />
IPSO アプライアンスで IPv6 を 有 効 にするには<br />
1. Voyager または CLI を 使 用 して IPv6 トラフィック 用 のインタフェースを 有 効 にし、 設 定 します。<br />
2. Voyager または CLI を 使 用 して IPv6 スタティック・ルートを 設 定 します。<br />
3. $FWDIR/scripts/fwipv6_enable on を 実 行 します。<br />
4. Security Gateway を 再 起 動 します。<br />
GAIA<br />
GAIA Security Gateway で IPv6 を 有 効 にするには<br />
1. WebUI で、[System Management]→[System Configuration]ページの 順 に 選 択 して 移 動 します。<br />
2. [IPv6 Support]>[On]オプションの 順 に 選 択 します。<br />
3. Security Gateway を 再 起 動 します。<br />
4. WebUI または CLI を 使 用 して IPv6 に 該 当 するインタフェースを 有 効 にし、 設 定 します。<br />
5. WebUI または CLI を 使 用 して IPv6 スタティック・ルートを 設 定 します。<br />
62 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
Security Gateway での IPv6 の 無 効 化<br />
このセクションは、さまざまなプラットフォーム 上 で IPv6 を 無 効 にする 方 法 を 説 明 します。<br />
SecurePlatform<br />
IPv6 が 有 効 な Security Gateway で IPv6 を 無 効 にするには<br />
1. [expert]モードで 以 下 のコマンドを 実 行 します。<br />
$FWDIR/scripts/fwipv6_enable off<br />
2. /etc/rc.d/rc3.d から S11ipv6 ファイルを 削 除 します。<br />
3. Security Gateway を 再 起 動 します。<br />
IPv6 機 能 を 無 効 にするには、 全 ての Security Gateway で IPv6 のサポートを 無 効 にします。<br />
IPSO アプライアンス<br />
IPSO アプライアンスで IPv6 を 無 効 にするには<br />
1. $FWDIR/scripts/fwdir6_enable off を 実 行 します<br />
2. Voyager または CLI を 使 用 して、 該 当 する 各 インタフェースの IPv6 サポートを 無 効 にします。<br />
3. Security Gateway を 再 起 動 します。<br />
GAIA<br />
GAIA セキュリティ・ゲートウェイで IPv6 を 無 効 にするには<br />
1. WebUI で、[System Management]→[System Configuration]ページに 順 に 選 択 して 移 動 します。<br />
2. [IPv6 Support]→[Off]オプションを 選 択 します。<br />
3. Security Gateway を 再 起 動 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 63
SmartConsole で IPv6 を 使 用 した 作 業<br />
IPv6 ホストとネットワーク·オブジェクトは、SmartDashboard で 作 成 され、 送 信 元 と 宛 先 としてルール・ベースで 使 用<br />
できます。 同 じカラムで IPv4 と IPv6 オブジェクトを 持 つルールを 作 成 できます。<br />
IPv6 オブジェクトの 作 成 と 管 理 は、IPv4 ネットワーク・オブジェクトの 場 合 と 同 様 に 行 われます。<br />
以 下 の 2 種 類 の IPv6 オブジェクトがサポートされています。<br />
<br />
<br />
ホスト<br />
ネットワーク<br />
IPv6 のオブジェクトの 作 成<br />
SmartDashboard で IPv6 のオブジェクトを 作 成 するには<br />
1. メニュー・バーから、[Manage]→[Network Objects]の 順 に 選 択 します。<br />
[Network Objects]ウィンドウが 開 きます。<br />
2. [Show]から[IPv6]を 選 択 します。<br />
3. [New]→[IPv6]→[IPv6 Host]または[IPv6 Network]の 順 にクリックします。<br />
IPv6 オブジェクトの[General Properties]ウィンドウが 開 きます。<br />
4. ホスト・オブジェクトの 場 合 は、オブジェクト 名 と IPv6 アドレスを 入 力 します(たとえば、2001:db8::11)。<br />
ネットワーク・オブジェクトの 場 合 は、オブジェクト 名 、ネットワーク IPv6 アドレス、プリフィックス 長 を 入 力 します(たと<br />
えば、2001:db8::11 と 64)。<br />
5. [OK]をクリックして、[Close]をクリックします。<br />
ネットワーク・オブジェクト・ツリーに IPv6 オブジェクトが 表 示 されます。<br />
IPv6 ルール<br />
IPv6 のルールを 作 成 するには、IPv4 のオブジェクトと 同 じようにルールで IPv6 オブジェクト( 複 数 可 )を 使 用 します。<br />
たとえば、ホスト alice_v6 からホスト bob_v6 への IPv6 での FTP 接 続 を 許 可 してログに 残 すには、 下 記 のルールを<br />
定 義 します。<br />
Source Destination VPN Service Action Track Install on<br />
alice_v6 bob_v6 Any Traffic FTP Accept log Policy<br />
Targets<br />
Source または Destination に Any を 定 義 したルールは、IPv4 と IPv6 の 両 方 のトラフィックに 適 用 されます。 同 じカ<br />
ラムで IPv6 と IPv6 オブジェクトを 持 つルールを 作 成 できます。<br />
たとえば、 以 下 のルールはすべての IPv4 と IPv6 の telnet パケットを 廃 棄 します。<br />
Source Destination VPN Service Action Track インストー<br />
ル 先<br />
Any Any Any Traffic telnet Drop None Policy<br />
Targets<br />
IPv6 アドレスでのスプーフィング 対 策<br />
スプーフィング 対 策 では IPv6 アドレスを 完 全 にサポートしています。IPv6 のスプーフィング 対 策 を 設 定 するには<br />
1. Security Gateway オブジェクトをダブルクリックします。<br />
2. [Topology]を 開 きます。<br />
3. [Topology]ページで、インタフェースを 選 択 し[Edit]をクリックします。<br />
64 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
[Interface Properties]ウィンドウが 開 きます。<br />
4. IPv6 アドレス 情 報 を 追 加 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 65
5. [Topology]タブを 開 きます。<br />
6. このインタフェースの IPv6 トポロジを 設 定 します。<br />
<br />
<br />
<br />
[External]を 選 択 する 場 合 は、トポロジは 内 部 インタフェースに 指 定 されていないすべてのアドレスのトポロ<br />
ジを 含 めます。<br />
[Internal]→[Network defined by the Interface IP and Net Mask]を 選 択 する 場 合 は、トポロジは 指 定 さ<br />
れた IPv6 アドレスと IPv4 アドレスを 使 用 して 計 算 されます。<br />
[Internal]→[Specific]を 選 択 する 場 合 は、インタフェースの 背 後 にあるすべてのネットワーク・オブジェクト<br />
を 含 めるグループを 選 択 します。<br />
7. [Anti-Spoofing]を 有 効 にします。<br />
8. [OK]をクリックします。<br />
SmartView Tracker での IPv6<br />
IPv6 のログは SmartView Tracker に 表 示 され、IPv6 で 事 前 定 義 された 選 択 も 利 用 できます。IPv6 のログを 表 示 す<br />
るには、クエリのプロパティで IPv6 送 信 元 と IPv6 宛 先 アドレスを 選 択 します。<br />
ICMPv6 の 使 用<br />
以 下 の ICMPv6 サービスは、デフォルトで ICMP Services で 定 義 されています。<br />
<br />
<br />
<br />
ICMPv6 echo-request6<br />
ICMPv6 neighbor-advertisement<br />
ICMPv6 neighbor-solicitation<br />
66 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
ICMPv6 router- advertisement<br />
ICMPv6 router- solicitation<br />
ICMPv6 サービスの 定 義<br />
手 動 で ICMPv6 サービスを 定 義 することができます。<br />
パケットを 処 理 するときにエラーを 報 告 し、また 他 のインターネット 層 の 機 能 を 実 行 するには、 該 当 する ICMPv6 の<br />
サービスを 定 義 する 必 要 があります。<br />
ICMPv6 サービスを 定 義 するには<br />
1. [Object List]→[Services]タブで[ICMP]を 入 力 します。<br />
[Object List]ペインに、Services で、ICMP 用 にフィルタされたアクションが 表 示 されます。<br />
2. [Action]→[New]→[ICMPv6]を 選 択 します。<br />
3. [ICMPv6 Service Property]ウィンドウで、 名 前 と Type の 値 (RFC792 に 記 載 )を 入 力 します。<br />
4. [OK]をクリックします。<br />
ICMPv6 のサービス・タイプで ICMP サービスを 許 可 またはブロックする<strong>ファイアウォール</strong>・ルールを 使 用 することが<br />
できます。このサービス・タイプで、タイプとコードの 仕 様 に 基 づいて ICMPv6 サービスをフィルタできます。また、<br />
ルールで 使 用 するためのカスタム( 未 知 の)ICMPv6 のサービスを 定 義 することができます。<br />
未 知 の ICMPv6 コードの 検 査<br />
デフォルトでは、Security Gateway は 既 知 の ICMPv6 サービスのみを 検 査 します。 未 知 の ICMPv6 コードの 検 査 を<br />
有 効 にするには、Security Gateway のカーネル・パラメータ「fw_allow_unknown_icmpv6」を「1」に 設 定 し、ルー<br />
ル・ベースにそれらを 定 義 することで 有 効 にすることができます。<br />
グローバル・カーネル・パラメータの 変 更 については、「sk26202」<br />
(http://supportcontent.checkpoint.com/solutions?id=sk26202)を 参 照 してください。<br />
IPv6 での ClusterXL<br />
R75.40 ClusterXL は IPv6 で HA クラスタをサポートします。すべての IPv6 ステータス 情 報 が 同 期 され、IPv6 のク<br />
ラスタリングのメカニズムがフェイル・オーバー 時 に 有 効 になります。<br />
R75.40 ClusterXL(IPv4 の 場 合 と 同 様 に)を 使 用 する 時 、ClusterXL は 状 態 の 同 期 とクラスタリングの 両 方 を 行 いま<br />
す。SmartDashboard では、クラスタ 設 定 されている 各 インタフェースの IPv6 クラスタ·アドレスを 定 義 する 必 要 があ<br />
ります。<br />
インタフェースで IPv6 機 能 を 有 効 にするには、クラスタと 各 メンバの 該 当 インタフェースに IPv6 アドレスを 定 義 します。<br />
IPv6 アドレスが 設 定 されたすべてのインタフェースで、 対 応 する IPv4 アドレスを 持 つ 必 要 があります。インタフェース<br />
が IPv6 を 必 要 としない 場 合 、IPv4 のアドレスのみ 定 義 が 必 要 です。<br />
注 - IPv4 アドレスでのみ 同 期 インタフェースを 設 定 する 必 要 があります。これは、 同 期 メカニ<br />
ズムが IPv4 のみを 使 用 して 動 作 するためです。すべての IPv6 情 報 および 状 態 は、このイン<br />
タフェースを 使 用 して 同 期 されます。<br />
クラスタ・インタフェースおよびクラスタ・メンバの IPv6 アドレスを 設 定 するには<br />
1. SmartDashboard から 新 規 クラスタ・オブジェクトを 作 成 するか、 既 存 のクラスタ・オブジェクトをダブルクリックし<br />
ます。<br />
2. ナビゲーション・ツリーから[ClusterXL]を 選 択 します。<br />
3. [High Availability]を 選 択 します。<br />
4. [Topology]→[Edit]の 順 にクリックします。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 67
5. [Edit Topology]ウィンドウで、[Add Network]をクリックします。<br />
6. クラスタ・インタフェースと 該 当 する 項 目 にメンバ 情 報 (IPv4 アドレス、ネット・マスク、IPv6 アドレス、プリフィックス<br />
長 )を 入 力 します。<br />
情 報 を 入 力 するには、セルを 選 択 して[Edit]をクリックします。<br />
注 - クラスタ・メンバは、クラスタ・インタフェースと 同 じ IPv6 アドレス・プレフィックスを 持 つ 必<br />
要 があります。 異 なるプリフィックスはサポートされません。<br />
7. [OK]をクリックして、 変 更 を 保 存 します。<br />
「cphaprob stat」または「cphaprob –a」は、ClusterXL のメカニズムが IPv4 に 基 づいているため、IPv4 アドレス 情 報<br />
のみを 表 します。「cphaprob stat」で IPv4 アドレスがアップしていてアクティブだと 表 す 場 合 、これは IPv6 アドレスも<br />
アップし、アクティブであることを 意 味 します。<br />
高 度 な 機 能<br />
IPv6 または IPv4 だけのルールの 定 義<br />
1 つの IP バージョンで 特 定 の IP プロトコルのトラフィックを 検 査 するルールを 定 義 できます( 逆 はできません)。たと<br />
えば、IPv6 用 の IP プロトコル 42 を 使 用 したトラフィックをブロックし、IPv4 ではブロックしないというルールの 作 成 が<br />
可 能 です。<br />
「IPV4_MATCH」または「IPv6_MATCH」マクロを[Match]フィールドでのルール・パラメータとして 使 用 できます。<br />
IPv6 または IPv4 だけのルールを 作 成 するには<br />
1. ルールを 定 義 、または 未 知 のサービスを 使 用 する 既 存 のルールを 選 択 します。<br />
2. [Service]カラムでプラス 記 号 をクリックします。<br />
3. [New]をクリックして、[Other]を 選 択 します。<br />
68 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
4. [Other Service Properties]ウィンドウで、[Advanced]をクリックします。<br />
5. [Advanced Other Services Properties]ウィンドウで、[Match]フィールドに 適 用 可 能 なプロトコルに 該 当 する<br />
マクロを 入 力 します。<br />
<br />
<br />
IPv4 の 場 合 は、IPv4_MATCH を 使 用 します。<br />
IPv6 の 場 合 は、IPv6_MATCH を 使 用 します。<br />
たとえば、IPv6 だけの IP プロトコル「41」をブロックするには、[Match]フィールドに「IPv6_MATCH」を 入 力 しま<br />
す。<br />
IPv6 での Traceroute<br />
traceroute サービスは、IPv6 トラフィック 用 に 事 前 定 義 されていません。IPv6 ルール 用 の traceroute サービスを 使<br />
用 する 必 要 がある 場 合 は、ユーザ 定 義 のサービスを 作 成 する 必 要 があります。<br />
traceroute サービスを 作 成 するには<br />
1. SmartDashboard で、「Other」というタイプの 新 しいサービスを 作 成 します。<br />
2. [Other Service Properties]ウィンドウから 名 前 を 入 力 します。<br />
3. IP プロトコルを「17」に 設 定 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 69
4. [Advanced]をクリックします。<br />
5. [Advanced Other Service Properties]ウィンドウの[Match]フィールドに、 以 下 のテキスト 文 字 列 を 入 力 しま<br />
す。<br />
IPV6_MATCH, uh_dport > 33000, ip_ttl6 < 30<br />
6. 必 要 に 応 じて 他 のパラメータを 定 義 します。<br />
IPv6 拡 張 ヘッダ<br />
デフォルトでは、フラグメント・ヘッダを 含 むパケットだけが 許 可 されています。 他 のヘッダを 含 むパケットは 検 査 され<br />
ずにブロックされます。<br />
また、 以 下 の 拡 張 ヘッダを 許 可 するようにシステムを 設 定 することができます。<br />
EXTHDR_ROUTING 432<br />
EXTHDR_HOPOPTS 0<br />
EXTHDR_DSTOPTS 60<br />
EXTHDR_AH 51<br />
EXTHDR_MOBILE 135<br />
これらのヘッダを 許 可 している 場 合 は、IPv6 パケットの 内 容 を 検 査 します。<br />
これらの 拡 張 ヘッダーのいずれかを 許 可 するには<br />
1. テキスト・エディタを 使 用 して、「table.def」ファイルを 開 きます。<br />
Security Management Server では、このファイルは「$FWDIR/lib/table.def」に 保 存 されています。<br />
2. 次 の 行 から「/*」と「*/」 文 字 を 削 除 します。<br />
/* allowed_ipv6_extension_headers = { , ,<br />
, , };*/<br />
3. ファイルを 保 存 して、ポリシーをインストールします。<br />
6in4 トンネルの 使 用<br />
ルールで 6in4 トンネル(SIT)の 使 用<br />
セキュリティ・ルールで 6in4 トンネル 内 のトラフィックを 許 可 またはブロックすることができます。これを 行 うには、ルー<br />
ルに SIT サービス(IPv4 プロトコル 41)を 使 用 します。<br />
重 要 - SIT サービスを 使 用 するルールは、IPv4 プロトコル 41 のみを 検 査 します。カプセル 化 され<br />
た IPv6 コンテンツの 検 査 はしません。<br />
IPv6 in IPv4 イントラ・トンネル・インスぺクション<br />
<strong>R75.40VS</strong> は「SIT_with_Intra_Tunnel_Inspection」サービスを 使 用 して、カプセル 化 された IPv6 パケットのアクセ<br />
ス 制 御 と IPS 検 査 をサポートします。ルールで「SIT_with_Intra_Tunnel_Inspection」サービスを 使 用 する 場 合 は、<br />
IPv6 パケットは、ルール・ベースのすべての 適 用 可 能 なルールに 対 して 抽 出 および 照 合 されます。<br />
注 - 「SIT_with_Intra_Tunnel_Inspection」ルールを 含 めたルールの 位 置 は 重 要 ではありませ<br />
ん。 抽 出 されたパケットは、ルール・ベース 内 のすべてのルールと 照 合 されます。<br />
Source Destiation VPN Service Action TRACK<br />
Any Any Any<br />
Traffic<br />
Any Any Any<br />
Traffic<br />
SIT_with_Intra_Tunnel_Inspection accept log<br />
echo-request6 accept log<br />
70 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
Any Any Any<br />
Traffic<br />
Any drop None<br />
部 分 アドレス・ベース・フィルタリング<br />
部 分 アドレス・ベース・フィルタリングはアドレスの 一 部 分 によって IPv6 アドレスをフィルタリングします。つまり、IPv6<br />
アドレスが IPv6 アドレスで 定 義 されたビットの 範 囲 内 のアドレスの 値 に 応 じてフィルタリングされます。<br />
部 分 アドレス・ベース・フィルタリングを 使 用 するには、 以 下 の「Other」タイプのサービスのいずれか、またはすべて<br />
が、セキュリティ・ポリシーのルールに 適 用 される 必 要 があります。<br />
<br />
<br />
Partial-Source-v6<br />
Partial-Destination-v6<br />
これらのサービスは、[advanced]→[match]で、 部 分 アドレス、 開 始 オフセット、マスクの 長 さを 定 義 することで、 発<br />
信 元 アドレスと 宛 先 アドレスのフィルタを 可 能 にします。<br />
IPv6 の 部 分 宛 先<br />
以 下 のインスペクト・マクロは、[advanced]→[match]を 順 に 選 択 して 実 行 します。<br />
PARTIAL_DST_ADDR_MATCH6(0x0,0x0,0x0,0x0,0,0)<br />
PARTIAL_DST_ADDR_MATCH6 マクロは、6 つの 符 号 なし 整 数 を 受 信 ます。 最 初 の 4 つはネットワーク・オーダー<br />
における IPv6 アドレス(16 進 表 記 )です。5 番 目 は、 部 分 アドレス(0 から 開 始 )の 第 1 ビットのオフセットで、6 番 目<br />
の 整 数 は 部 分 アドレス(ビット 単 位 )の 長 さです。<br />
たとえば、2000:1:: / 64(ネットワーク・オーダーで)は 以 下 のように 書 かれます。<br />
PARTIAL_DST_ADDR_MATCH6 (0x20000001, 0x0, 0x0, 0x0, 0, 64)<br />
IPv6 の 部 分 発 信 元<br />
以 下 のインスペクト・マクロは、[advanced]→[match]の 順 に 選 択 して 実 行 します。<br />
PARTIAL_SRC_ADDR_MATCH6(0x0,0x0,0x0,0x0,0,0)<br />
たとえば、PARTIAL_SRC_ADDR_MATCH6(0x0,0x0,0x11aa22bb,0x0,64,32)に 変 更 された 場 合 は、サービスは<br />
ビット 65-96 の 0x11aa22bb の 値 で IP 送 信 元 アドレスとの 接 続 を 一 致 させます<br />
IPv6 のカーネルへのアクセス<br />
すべての 正 規 FW コマンドは、IPv4 カーネルと 通 信 します。IPv6 のカーネルにアクセスするには、「fw6」コマンドを<br />
使 用 します。このようなコマンドの 例 は「fw6 ver」と「fw6 tab」です。<br />
以 下 は IPv6 をサポートするコマンドの 例 です。<br />
fw6 ver<br />
説 明<br />
構 文<br />
このコマンドは、メジャー・バージョン 番 号 とマイナー・バージョン 番 号 だけでなく、ビルド 番 号 を 表 し<br />
ます。<br />
fw6 ver [-k][-f ]<br />
fw6 tab<br />
説 明<br />
このコマンドを 使 用 すると、 動 的 カーネル·テーブルの 内 容 を 参 照 し、それらを 変 更 すること<br />
ができます。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 71
構 文 fw6 tab [-t ] [-s] -c] [-f] [-o ] [-r] [-u | -m<br />
] [[-x | -a} -e entry] [-y] [hostname]*<br />
72 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
第 5 章<br />
ISP の 冗 長 性<br />
この 章 の 構 成<br />
ISP の 冗 長 モード 73<br />
ISP 冗 長 性 の 設 定 74<br />
ISP の 冗 長 性 により、インターネット 接 続 の 信 頼 性 を 高 めます。これは 冗 長 のインターネット・サービス・プロバイダ<br />
(ISP)のリンクを 経 由 して、Security Gateway またはクラスタ·メンバをインターネットに 接 続 します。<br />
ISP の 冗 長 モード<br />
ISP の 冗 長 性 は、ISP リンクを 監 視 し、 現 在 最 善 とされているリンクを 選 択 します。 負 荷 共 有 またはプライマリ/バック<br />
アップとして、この 項 目 を 設 定 することができます。<br />
項 目<br />
説 明<br />
1 Security Gateway<br />
2 ISP へのリンク A<br />
3 ISP へのリンク B<br />
ISP の 冗 長 性 は、リンクを 監 視 し、 接 続 を 振 り 分 けます。 負 荷 共 有 またはプライマリ/バックアップのために、この 項 目<br />
を 設 定 することができます。74ページの「ISP 冗 長 性 の 設 定 」を 参 照 してください。<br />
<br />
<br />
負 荷 共 有 : 2 つのリンクを 使 用 し、Security Gateway からの 接 続 の 負 荷 を 分 散 します。 外 部 から 内 部 への 通 信<br />
は、 交 互 にリンクを 利 用 します。リンク(より 多 くの 負 荷 を 処 理 するための 高 速 なリンク 設 定 )に 相 対 的 に 最 も 多 く<br />
の 処 理 負 荷 を 設 定 することも 可 能 です。 新 しい 接 続 は、ランダムにリンクに 割 り 当 てられます。あるリンクに 障 害<br />
が 発 生 した 場 合 、 他 のリンクがその 負 荷 を 負 います。<br />
プライマリ/バックアップ: Security Gateway から 発 信 及 び 受 信 する 接 続 用 の 1 つのリンクを 使 用 します。プライ<br />
マリ・リンクがダウンした 場 合 、バックアップに 切 り 替 わります。プライマリ・リンクが 復 元 されると、 新 しい 接 続 は、<br />
プライマリ・リンクに 割 り 当 てられます。バックアップ・リンクを 使 用 している 既 存 の 接 続 は、その 接 続 が 完 了 する<br />
までは 継 続 してバックアップ・リンクを 使 用 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 73
ISP 冗 長 性 の 設 定<br />
Security Gateway で VPN Link Selection を 設 定 する 場 合 は、ISP の 冗 長 性 の 設 定 を 上 書 きします。<br />
ISP の 冗 長 性 を 有 効 にするには<br />
1. Security Gateway またはクラスタのネットワーク・オブジェクトのプロパティを 開 きます。<br />
2. [Topology]→[ISP Redundancy]をクリックします。<br />
3. [Support ISP Redundancy]を 選 択 します。<br />
4. [Load Sharing]または[Primary/Backup]を 選 択 します。<br />
5. リンクを 設 定 します(74ページの「ISP リンクの 設 定 」を 参 照 )。<br />
6. DNS サーバを Security Gateway で 設 定 します(75ページ)。<br />
7. ISP 冗 長 性 のポリシーを 設 定 します(75ページの「<strong>ファイアウォール</strong>の 設 定 」を 参 照 してください)。<br />
ISP リンクの 設 定<br />
開 始 する 前 に、ISP のデータ - リンク・スピードとネクスト・ホップ IP アドレス 確 認 してください。Security Gateway に<br />
1 つの 外 部 インタフェースしかない 場 合 は、このインタフェースに 2 つのサブネットを 設 定 します。ルータやスイッチが<br />
必 要 です。<br />
Security Gateway はゲートウェイ・オブジェクトの[Topology]ページに 2 つの 外 部 インタフェースを 待 つ 場 合 、 自 動<br />
的 にリンクを 設 定 することができます。<br />
ゲートウェイが ClusterXL のクラスタ・メンバである 場 合 は、2 つの ISP に 2 つのクラスタ・メンバを 設 定 します。2 つ<br />
のインタフェースのある LAN を 使 用 します。メンバ・インタフェースは、クラスタの 外 部 インタフェースと 同 じサブネット<br />
上 にあることを 確 認 してください。<br />
自 動 的 に ISP リンクを 設 定 するには<br />
1. [ISP Redundancy]ページから[Set initial configuration]をクリックします。<br />
ISP リンクが 自 動 的 に 追 加 されます。<br />
2. [Primary/Backup]の 場 合 は、プライマリ・インタフェースがリストの 最 初 にあることを 確 認 してください。 順 序 を 変<br />
更 するには、 矢 印 を 使 用 します。<br />
手 動 で ISP リンクを 設 定 するには<br />
1. [ISP Redundancy]ページから[Add]をクリックします。<br />
2. [ISP Link]ウィンドウで、リンクに 名 前 を 付 けます。<br />
ここで 入 力 した 名 前 は、ISP の 冗 長 性 スクリプトとコマンドに 使 用 されます。<br />
3. この ISP リンクの Security Gateway のインタフェースを 選 択 します。<br />
<br />
<br />
Security Gateway に 2 つの 外 部 インタフェースがある 場 合 は、 別 のインタフェースに 各 リンクを 設 定 します。<br />
ISP リンクの 1 つがバックアップ ISP へのダイヤルアップ 接 続 である 場 合 は、ISP の 冗 長 性 スクリプトを 設 定<br />
します。 詳 細 については、77ページの「ISP 冗 長 性 スクリプトの 編 集 」を 参 照 してください。<br />
Security Gateway に 1 つの 外 部 インタフェースしかない 場 合 は、 各 ISP リンクを 設 定 してこのインタフェース<br />
に 接 続 します。<br />
4. ネクスト・ホップを 設 定 します。<br />
<br />
<br />
Security Gateway に 2 つの 外 部 インタフェースがある 場 合 は、このフィールドに 入 力 せず[Get from<br />
routing table]をクリックします。ネクスト・ホップはデフォルトのゲートウェイです。<br />
Security Gateway に 1 つの 外 部 インタフェースがある 場 合 は、 各 ISP リンクを 異 なるネクスト・ホップ・ルー<br />
タに 設 定 します。<br />
5. 負 荷 共 有 のウェイトを 入 力 してください。 同 じウェイトを 配 分 する 場 合 は「50」を 入 力 します。1 つのリンクがより 速<br />
い 場 合 は、この 値 を 大 きくして 他 のリンクを 小 さくして、2 つの 合 計 を 100 にします。<br />
6. リンクが 動 作 していることを 確 認 するには、 監 視 するホストを 定 義 します。[ISP Link]ウィンドウの[Advanced]タ<br />
ブを 開 き、 追 加 するホストを 選 択 します。<br />
74 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
Security Gateway の DNS への 設 定<br />
Security Gateway またその 背 後 にある DNS サーバは、DNS クエリに 応 答 する 必 要 があります。それは DMZ(また<br />
は 別 の 内 部 ネットワーク) 内 のサーバの IP アドレスを 解 決 します。<br />
各 ISP からルーティング 可 能 な IP アドレスを 取 得 します。ルーティング 可 能 な IP アドレスが 利 用 できない 場 合 は、ド<br />
メインをインターネットから DNS サーバにアクセスできるように 登 録 します。<br />
セキュリティ・ゲートウェイで DNS を 有 効 にするには<br />
1. [Enable DNS Proxy]を 選 択 します。<br />
ゲートウェイは、 外 部 のホストから 来 るそのドメイン 内 の Web サーバに 対 するタイプ A DNS クエリを 傍 受 します。<br />
Security Gateway が 外 部 ホストを 認 識 した 場 合 は、 以 下 のように 応 答 します。<br />
<br />
<br />
負 荷 共 有 モードでは、Security Gateway は 交 互 に 2 つのアドレスに 応 答 します。<br />
プライマリ/バックアップ・·モードでは、Security Gateway はアクティブ・リンクのアドレスに 応 答 します。<br />
Security Gateway がホストを 認 識 しない 場 合 は、 元 の 宛 先 またはドメインの DNS サーバに DNS クエリを 送 り<br />
ます。<br />
2. [Configure]をクリックします。<br />
3. DMZ または Web サーバを 追 加 します。それぞれの 各 ISP 用 に、2 つのルーティング 可 能 な IP アドレスを 提 供<br />
します。<br />
4. [DNS TTL]に 秒 数 を 入 力 します。<br />
各 DNS 応 答 の 存 続 時 間 (Time To Live)を 設 定 します。インターネット 上 の DNS サーバは、 応 答 に DNS デー<br />
タをキャッシュできる 時 間 は TTL より 長 くありません。<br />
5. 実 サーバのアドレスにルーティング 可 能 なアドレスを 変 換 するスタティック NAT を 設 定 します。 外 部 クライアント<br />
は 2 つのアドレスのどちらかを 使 用 します。<br />
注 - サーバが 異 なるサービス(たとえば、HTTP や FTP)を 使 用 する 場 合 は、2 つのルー<br />
ティング 可 能 な IP アドレスだけ NAT を 使 用 することができます。<br />
6. 「domain_udp」サービスを 使 用 して Security Gateway を 介 して DNS トラフィックを 許 可 する<strong>ファイアウォール</strong>·<br />
ルールを 定 義 します。<br />
ドメインを 登 録 して IP アドレスを 取 得 するには<br />
1. 2 つの ISP のドメイン 名 を 登 録 します。<br />
2. ドメインに 関 する DNS クエリに 応 答 する DNS サーバの 2 つのアドレスを、 両 方 の ISP に 通 知 します。<br />
3. DMZ 内 のサーバごとに、2 つのルーティング 可 能 な IP アドレスを、 各 ISP から 1 つ 取 得 します。<br />
4. SmartDashboard から、[Global Properties]→[NAT]を 順 に 選 択 して 開 いて、[Manual NAT rules -<br />
Translate destination on client side]を 選 択 します。<br />
<strong>ファイアウォール</strong>の 設 定<br />
<strong>ファイアウォール</strong>では、ネットワーク・オブジェクトで 自 動 Hide NAT を 設 定 し、ISP リンクを 介 して 外 部 への 接 続 を 開<br />
始 する 通 信 を 許 可 する 必 要 があります。<br />
ISP の 冗 長 性 のために<strong>ファイアウォール</strong>を 設 定 するには<br />
1. 内 部 ネットワーク 用 のオブジェクトのプロパティで、[NAT]→[Add Automatic Address Translation Rules]を 選<br />
択 します。<br />
2. [Hide]と[Hide behind Gateway]を 選 択 します。<br />
3. [OK]をクリックします。<br />
4. パブリックで 到 達 可 能 なサーバ(Web サーバ、DNS サーバ、DMZ サーバ)のためのルールを 定 義 します。<br />
Security Gateway 用 に 各 ISP から 1 つのルーティング 可 能 な IP アドレスがある 場 合 は、Static NAT を 定 義 し<br />
ます。 特 定 のサーバの 特 定 のサービスを 許 可 します。たとえば、2 つの ISP からの 着 信 HTTP 接 続 は Web サ<br />
ーバに 到 達 し、ISP からの DNS トラフィックは DNS サーバに 到 達 するというルールを 作 成 します。<br />
例 : Web サーバおよび DNS サーバ 用 の 手 動 での 静 的 なルール<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 75
Original Translated Comment<br />
Source Destination Service Source Destination Serv.<br />
Any<br />
IP of web<br />
server<br />
http = 10.0.0.2<br />
(Static)<br />
= IncomingWeb - ISP<br />
Any<br />
IP of DNS<br />
server<br />
http = 10.0.0.2<br />
(Static)<br />
= IncomingWeb - ISP B<br />
Any<br />
IP of DNS<br />
server<br />
domain_<br />
udp<br />
= 10.0.0.3<br />
(Static)<br />
= IncomingDNS - ISP A<br />
Any<br />
IP of DNS<br />
server<br />
domain_<br />
udp<br />
= 10.0.0.3<br />
(Static)<br />
= IncomingDNS - ISP B<br />
パブリックで 到 達 可 能 なサーバ 用 に 各 ISP からルーティング 可 能 なアドレスを 持 っている 場 合 (Security<br />
Gateway に 加 え)、NAT ルールを 定 義 します。<br />
a) 各 サーバにルーティング 不 能 なアドレスを 与 えます。<br />
b) [Original Destination]にルーティング 可 能 なアドレスを 使 用 します。<br />
c) [Translated Destination]にルーティング 不 能 なアドレスを 使 用 します。<br />
d) [Original Service]として「Any」を 選 択 します。<br />
注 - 手 動 NAT を 使 用 する 場 合 は、 変 換 されたアドレスに 対 して 自 動 ARP は 機 能 しません。<br />
Linux と SecurePlatform では「local.arp」を 使 用 します。IPSO ではプロキシ ARP を 設 定 します。<br />
完 了 したら、ポリシーをインストールします。<br />
VPN を 使 用 した 設 定<br />
ISP の 冗 長 性 が 有 効 になっている 場 合 、VPN で 暗 号 化 された 接 続 は、ISP リンクの 障 害 を 切 り 抜 けます。[ISP<br />
Redundancy]ページの 設 定 は、[Link Selection]ページの 設 定 を 上 書 きします。<br />
Security Gateway の VPN で ISP の 冗 長 性 を 設 定 するには<br />
1. [Topology]→[ISP Redundancy]の 順 に 選 択 し、[Apply settings to VPN traffic]を 選 択 します。<br />
2. [IPSec VPN]→[Link Selection]の 順 に 選 択 し、[Use ongoing probing]に ISP 冗 長 性 のモード([Load<br />
Sharing]または[High Availability](プライマリ/バックアップ 用 ))が 表 示 されていることを 確 認 します。<br />
[Link Selection]は 今 ISP の 冗 長 性 で 設 定 された ISP のみをプローブします。<br />
サード・パーティ 製 ピアの VPN を 設 定 するには<br />
Security Gateway のピアがチェック・ポイントのコンピュータまたはアプライアンスでない 場 合 は、VPN は 失 敗 する<br />
か、サード・パーティ 製 のデバイスの 障 害 が 発 生 したリンクへのトラフィックを 暗 号 化 し 続 けることがあります。<br />
<br />
<br />
デバイスがゲートウェイからくる 2 次 リンクからの 暗 号 化 されたトラフィックを 認 識 していることを 確 認 します。<br />
以 下 のチェック・ポイントの 技 術 を 使 用 しないように ISP の 冗 長 性 の 設 定 を 変 更 します。<br />
<br />
<br />
Use Probing - Link Selection が 他 のオプションを 使 用 していることを 確 認 します。<br />
Load Sharing, Service Based Link Selection, Route based probing - チェック・ポイントの Security<br />
Gateway でのみ 動 作 します。 使 用 する 場 合 は、Security Gateway は 1 つのリンクを 使 用 してサード・パーテ<br />
ィ 製 のピアに 接 続 します。 最 高 のプレフィックス 長 と 最 小 メトリックのリンクが 使 用 されます。<br />
76 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
ISP リンク・ステートの 強 制<br />
「fw isp_link」コマンドを 使 用 して、[Up]または[Down]に ISP リンクの 状 態 を 強 制 します。インストールと 導 入 のテス<br />
トをしたり、Security Gateway が 正 しいステートを 認 識 できない 場 合 に、これを 使 用 して 強 制 します(ISP リンクがダ<br />
ウンしているのにゲートウェイはアップしているように 見 える)。<br />
Security Gateway また Security Management Server で「fw isp_link [target-gw] link-name up|down」を 実 行 しま<br />
す。<br />
「link_name」は ISP リンク・ウィンドウでの 名 前 です。<br />
ISP 冗 長 性 スクリプトの 編 集<br />
Security Gateway が 起 動 する 場 合 や、ISP リンクの 状 態 が 変 わるたびに、「$FWDIR/bin/cpisp_update」スクリプト<br />
が 実 行 されます。Security Gateway のデフォルト・ルートを 変 更 します。たとえば、その ISP リンクの 状 態 に 合 わせ<br />
てダイヤル・インタフェースの 状 態 を 変 更 するように Security Gateway を 強 制 することができます。<br />
ISP リンクの 1 つでダイヤルアップ 接 続 を 有 効 にするには、このスクリプトを 編 集 します。<br />
ダイヤルアップを 設 定 するには<br />
1. Security Gateway 上 のスクリプトでは、ダイヤルアップ・インタフェースの 状 態 を 変 更 するコマンドを 入 力 します。<br />
<br />
<br />
リンクがダウンする 場 合 : fw isp_link link_name down<br />
リンクがアップする 場 合 : fw isp_link link_name up<br />
2. PPPoE または PPTP xDSL モデムを 使 用 する 場 合 は、SecurePlatform の PPPoE または PPTP 設 定 で、[Use<br />
Peer Gateway]オプションを 選 択 しないでください。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 77
第 6 章<br />
アンチスパムとメール<br />
この 章 の 構 成<br />
アンチスパムとメール・セキュリティについて 78<br />
メール・セキュリティの 概 要 79<br />
アンチスパムの 設 定 80<br />
メールのウイルス 対 策 保 護 の 設 定 83<br />
免 責 の 設 定 85<br />
アンチスパムのログ 記 録 と 監 視 86<br />
チェック・ポイントへの 誤 検 出 の 報 告 86<br />
アンチスパム 追 跡 とレポート・オプション 86<br />
アンチスパムとメール・セキュリティについて<br />
かつてないほど 継 続 して 増 加 し 続 ける 迷 惑 メールは 現 在 、ネットワークへの 予 期 できないセキュリティ 脅 威 となって<br />
います。 迷 惑 メールの 処 理 にあてられるリソース(ディスク 容 量 、ネットワーク 帯 域 幅 、CPU)の 量 は 年 々 増 加 し、 従<br />
業 員 は 一 般 的 にスパムと 呼 ばれる 迷 惑 メールの 仕 分 けにより 多 くの 時 間 を 無 駄 にしています。「アンチスパムとメー<br />
ル・セキュリティ 機 能 」はネットワーク 管 理 者 に 自 社 のネットワークに 到 達 する 迷 惑 メールを 排 除 する、 簡 単 な 中 央 制<br />
御 方 法 を 提 供 します。<br />
アンチスパムとメール・セキュリティ 機 能<br />
機 能<br />
コンテンツ・ベースのアンチスパム<br />
IP レピュテーション・アンチスパム<br />
ブロックリスト・アンチスパム<br />
メール・アンチ・ウイルス<br />
ゼロ・アワーのマルウェア 対 策<br />
IPS<br />
内 容<br />
アンチスパム 機 能 の 中 核 は、コンテンツ・ベースの 分 類 エンジンで<br />
す。<br />
IP レピュテーション・サービスを 使 用 して、 受 信 した 迷 惑 メールのほ<br />
とんどは、 接 続 時 にブロックされます。<br />
IP アドレスまたは 送 信 者 のアドレスに 基 づいて、 特 定 の 送 信 者 をブ<br />
ロックします。<br />
メールをスキャンしてマルウェアをフィルタします。<br />
迅 速 なレスポンス・シグネチャを 使 用 してメールをフィルタします。<br />
メール 保 護 用 の 侵 入 防 止 システム。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 78
メール・セキュリティの 概 要<br />
[Anti-Spam & Mail]タブでは、 以 下 を 行 います。<br />
<br />
<br />
<br />
<br />
アンチウイルス・チェックを 実 施 するゲートウェイの 選 択<br />
アンチスパム 保 護 を 実 施 するゲートウェイの 選 択<br />
自 動 更 新 の 有 効 化<br />
設 定 とログの 表 示<br />
アンチスパム<br />
アンチスパム 機 能 には、ユニークなライセンスされた 技 術 を 採 用 しています。キーワードでの 検 索 や 電 子 メール・メッ<br />
セージの 内 容 解 析 に 依 存 する 多 くのアンチスパム・アプリケーションと 異 なり、チェック・ポイントのアンチスパムは、<br />
既 存 と 新 たな 分 布 パターンを 分 析 し、スパムを 識 別 します。 正 当 な 電 子 メールをスパムとして 識 別 する 可 能 性 がある<br />
キーワードと 語 句 の 検 索 ではなくメッセージの 特 性 などにフォーカスすることによって、このソリューションは 高 いスパ<br />
ム 検 出 率 と 低 い 誤 検 知 を 実 現 します。<br />
個 人 のプライバシーやビジネスの 機 密 性 を 保 持 するために、メッセージ・エンベロープ、ヘッダ、 本 体 ( 実 際 のコンテ<br />
ンツまたは 添 付 ファイルへの 参 照 が 含 まれていない) 特 性 からのみ 抽 出 されます。これらのメッセージ 特 性 のハッシ<br />
ュされた 値 は、パターン 解 析 の 検 知 センターに 送 信 されます。 検 知 センターは、 任 意 の 言 語 、メッセージ 形 式 、また<br />
はエンコード・タイプで 発 生 するスパムを 識 別 します。 応 答 は 300 ミリ 秒 以 内 にエンタープライズ・ゲートウェイに 返 さ<br />
れます。<br />
識 別 されたら、スパム 生 成 コンピュータのネットワークがブラックリストに 載 ります。ネットワークでの 挙 動 が 変 更 した<br />
場 合 、ブラックリストから 削 除 されます。<br />
アダプティブ 連 続 ダウンロード<br />
遅 延 を 避 けるために、「アダプティブ 連 続 ダウンロード」はアンチスパム・スキャンがまだ 進 行 中 に 受 信 者 への 電 子 メ<br />
ールの 配 信 を 開 始 します。 電 子 メールがスパムとして 指 定 された 場 合 、そのメールが 完 全 に 受 信 者 に 転 送 される 前<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 79
に、スパムのフラグが 付 けられます。SMTP と POP3 プロトコルは、 電 子 メール 全 体 のメッセージに 対 するアダプティ<br />
ブ 連 続 ダウンロードをサポートしています。<br />
アンチスパムの 設 定<br />
コンテンツ・アンチスパム・ポリシーの 設 定<br />
コンテンツ・アンチスパム・ポリシーは、[SmartDashboard]→[Anti-Spam]→[Content based Anti-Spam]の 順 に<br />
選 択 し、[Anti-Spam & Mail]タブで 設 定 します。<br />
1. アンチスパム・ポリシーの 保 護 レベルを 選 択 するには、スライダを 使 用 します。<br />
2. フラグ・オプションを 選 択 します。<br />
3. [Security Gateway Engine settings]セクションでは、スキャンする 最 大 データ・サイズを 設 定 します。<br />
4. [UTM-1 Edge Engine settings]セクションでは、スパムとスパムと 疑 わしいメールの 信 頼 レベルを 設 定 します。<br />
スパム 信 頼 レベルは、 特 定 の 電 子 メール・メッセージがスパムとして 処 理 されるべきであるかどうかを 決 定 する<br />
ために 使 用 する 等 級 又 はレーティング( 通 常 はゼロと 百 の 間 )です。たとえば、 信 頼 レベルを 70 に 設 定 した 場 合 、<br />
すべての 電 子 メール・メッセージは 70 以 上 でスパムとして 扱 われます。<br />
UTM-1 Edge デバイスは、 独 自 のアンチスパム・エンジンを 持 っています。[UTM-1 Edge Engine settings]セ<br />
クションで 入 力 した 値 はチェック·ポイント・アンチスパム・エンジンのレーティングである SofaWare Anti-Spam エ<br />
ンジン・レーティングで 相 関 させるために 使 用 されます。たとえば、 特 定 の 電 子 メール・メッセージが SofaWare ア<br />
ンチスパム・エンジンによって 90 と 評 価 され、そしてチェック·ポイントの 評 価 に 変 換 され 換 算 されたこの 値 は、 電<br />
子 メールがスパムとして 扱 われるべきだということを 意 味 しており、[Anti-Spam Policy]ページでスパムまたは<br />
スパムと 疑 わしいメール 用 に 定 義 されたアクションが 実 行 されます。<br />
5. [Spam]、[Suspected Spam]または[Non Spam]の 追 跡 オプションを 選 択 します。 以 下 は 追 跡 オプションで<br />
す。<br />
<br />
<br />
<br />
<br />
<br />
<br />
None(ログ 記 録 なし)<br />
Log<br />
Popup Alert<br />
Mail Alert<br />
SNMP trap alert<br />
3 つのカスタム・ユーザ 定 義 スクリプト<br />
IP レピュテーション・ポリシーの 設 定<br />
このウィンドウは、IP レピュテーション 評 価 という、 疑 わしい IP アドレスの 動 的 データベースに 対 して、メッセージ 送 信<br />
者 の IP アドレス( 開 いている SYN パケットに 含 まれている)をチェックするアンチスパム・メカニズムを 有 効 にします。<br />
IP レピュテーション・サービスによって、 発 信 元 のネットワークが 送 信 スパムと 評 価 されている 場 合 、スパム・メール・<br />
セッションは 接 続 時 にブロックされます。このように、IP レピュテーション 機 能 は、 信 頼 できる 電 子 メール・ソースのリ<br />
ストを 作 成 します。<br />
1. スライダを 使 用 して IP レピュテーション・ポリシーを 選 択 します。<br />
IP レピュテーション・ポリシー<br />
ポリシー<br />
Off<br />
Monitor Only<br />
Medium Protection<br />
High Protection<br />
結 果<br />
IP レピュテーション・サービスなし<br />
スパムとスパムと 疑 わしいメールの 監 視<br />
スパムの 拒 否 と、スパムと 疑 わしいメールの 監 視<br />
スパムとスパムと 疑 わしいメールの 拒 否<br />
80 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
2. [Spam]、[Suspected Spam]または[Non spam]の 追 跡 オプションを 選 択 します。 以 下 は 追 跡 オプションで<br />
す。<br />
<br />
<br />
<br />
<br />
<br />
<br />
None(ログ 記 録 なし)<br />
Log<br />
Popup Alert<br />
Mail Alert<br />
SNMP trap alert<br />
3 つのカスタム・ユーザ 定 義 スクリプト<br />
ブロック・リストの 設 定<br />
ブロックする 電 子 メールの 送 信 元 リストは 送 信 者 名 、ドメイン 名 、または IP アドレスで 設 定 することができます。<br />
1. スライダを 使 用 してブロック・ポリシーを 選 択 します。<br />
ブロック・ポリシー<br />
ブロック・ポリシー<br />
Off<br />
Monitor only<br />
Block<br />
結 果<br />
ブロックなし<br />
IP やメール・アドレスによる 送 信 者 の 監 視<br />
IP アドレスやメール・アドレスによる 送 信 者 のブロック<br />
2. [Blocked senders/domains]セクションでは、[Add]をクリックして、 拒 否 する 送 信 者 やドメインの 名 前 を 入 力 し<br />
ます。<br />
3. [Blocked IPs]セクションでは、[Add]をクリックして、ブロックする IP アドレスを 入 力 します。<br />
4. [Tracking]セクションでは、ドロップダウン・リストから、ブロックしたメールや 非 スパムの 追 跡 オプションを 選 択 し<br />
ます。<br />
アンチスパム SMTP の 設 定<br />
SMTP トラフィックの 方 向 に 従 ってスキャンできます。<br />
1. 以 下 のスキャン 方 向 を 選 択 します。<br />
<br />
<br />
<br />
受 信 ファイル<br />
送 信 ファイル<br />
ゲートウェイを 経 由 する 内 部 ファイル<br />
2. サイズの 大 きいファイルをスキャンする 場 合 は、[Activate Continuous download]を 選 択 して、クライアントのタ<br />
イムアウトを 回 避 します。<br />
詳 細 については、「アダプティブ 連 続 ダウンロード」を 参 照 してください。<br />
アンチスパム POP3 の 設 定<br />
POP3 トラフィックの 方 向 に 従 ってスキャンすることができます。<br />
1. 以 下 のスキャン 方 向 を 選 択 します。<br />
<br />
<br />
<br />
受 信 ファイル<br />
送 信 ファイル<br />
内 部 ファイル<br />
2. サイズの 大 きいファイルをスキャンする 場 合 は、[Activate Continuous download]を 選 択 して、クライアントのタ<br />
イムアウトを 回 避 します。<br />
詳 細 については、「アダプティブ 連 続 ダウンロード」を 参 照 してください。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 81
ネットワーク 例 外 の 設 定<br />
アンチスパム・ポリシーは、 全 ての 電 子 メール・トラフィック、もしくは 意 図 的 にポリシーから 除 外 されていないすべて<br />
の 電 子 メール・トラフィックに 適 用 することができます。<br />
送 信 元 と 宛 先 を 除 外 するには<br />
1. [Anti-Spam & Mail]タブから、[Anti-Spam]→[Advanced]→[Network Exceptions]の 順 にクリックします。<br />
2. [Enforce the Anti-Spam policy on all traffic except for traffic between the following sources and<br />
destinations]を 選 択 します。<br />
3. [Add]をクリックします。[Network Exception]ウィンドウが 開 きます。<br />
4. [Source]と[Destination]に「Any」または「Specific」を 選 択 し、 各 リストから 1 つのゲートウェイを 選 択 します。<br />
5. [OK]をクリックします。<br />
許 可 リストの 設 定<br />
電 子 メールを 許 可 する 送 信 元 リストは 送 信 者 名 、ドメイン 名 、または IP アドレスで 設 定 することができます。<br />
1. [Anti-Spam & Mail]タブで、[Anti-Spam]→[Advanced]→[Allow List]の 順 にクリックします。<br />
2. [Allowed Senders / Domains]セクションでは、[Add]をクリックして、 許 可 する 送 信 者 またはドメインの 名 前 を<br />
入 力 します。<br />
3. [Allowed IPs]セクションでは、[Add]をクリックして 許 可 される IP アドレスを 入 力 します。<br />
4. [Tracking]セクションでは、ドロップダウン・リストから、 追 跡 オプションを 選 択 します。<br />
カスタマイズ・サーバの 選 択<br />
アンチスパム 解 析 のために 別 のデータ・センターを 選 択 することができます。<br />
データ・センターを 選 択 するには<br />
1. [Anti-Spam & Mail]タブから、[Anti-Spam]→[Advanced]→[Customized Server]の 順 にクリックします。<br />
2. [Use Customized Server]を 選 択 します。<br />
3. ドロップダウン・リストから、サーバを 選 択 します。<br />
UTM-1 Edge デバイスでのアンチスパム<br />
アンチスパム 保 護 は UTM-1 Edge デバイスで 利 用 できます。<br />
UTM-1 Edge デバイスでアンチスパムを 設 定 するには<br />
1. UTM-1Edge ゲートウェイの[General Properties]ウィンドウを 開 きます。<br />
82 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
2. [Anti-Spam]オプションを 選 択 します。<br />
ブリッジ・モードとアンチスパム<br />
UTM-1 アプライアンスはブリッジ・モードで 実 行 するように 設 定 されている 場 合 は、 以 下 の 場 合 にアンチスパムが 使<br />
用 できます。<br />
<br />
<br />
ブリッジ・インタフェースに IP アドレスを 設 定 している 場 合<br />
ブリッジ・インタフェースにデフォルト・ゲートウェイを 設 定 している 場 合<br />
メールのウイルス 対 策 保 護 の 設 定<br />
このセクションの 手 順 で 説 明 したオプションの 詳 細 については、『<strong>R75.40VS</strong> Anti-Bot and Anti-Virus 管 理 ガイド』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
メールのウイルス 対 策 の 設 定<br />
メールのウイルス 対 策 ポリシーは、メールをウイルスの 配 信 メカニズムとして 使 用 されることから 防 ぎます。<br />
メール・ウイルス 対 策 ポリシーを 設 定 するには<br />
1. [Anti-Spam & Mail]タブから、[Traditional Anti-Virus]→[Security Gateway]→[Mail Protocols]→[Mail<br />
Anti-Virus]の 順 にクリックします。<br />
2. スライダを[Block]に 設 定 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 83
3. すべての POP3 と SMTP メール、または 単 にブロック・メールにいずれかの 追 跡 オプションを 選 択 します。 以 下<br />
は 追 跡 オプションです。<br />
<br />
<br />
<br />
<br />
<br />
<br />
None(ログ 記 録 なし)<br />
Log<br />
Popup alert<br />
Mail alert<br />
SNMP trap alert<br />
3 つのカスタム・ユーザ 定 義 スクリプト<br />
ゼロ・アワー・マルウェア 対 策 の 設 定<br />
積 極 的 にインターネットをスキャンすることにより、データ・センターは 大 規 模 なウイルスが 発 生 すると 同 時 にそのこ<br />
とを 識 別 します。このゼロ・アワー・ソリューションは、 新 しいウイルスの 大 規 模 感 染 を 発 見 し、シグネチャを 提 供 する<br />
までの 間 重 要 な 保 護 を 提 供 します。<br />
1. [Anti-Spam & Mail]タブから、[Traditional Anti-Virus]→[Security Gateway]→[Mail Protocols]→[Zero<br />
Hour Malware Protection]の 順 にクリックします。<br />
2. スライダを 使 用 して、ゼロ・アワーのマルウェア 対 策 レベルを 選 択 します。<br />
<br />
<br />
<br />
Off<br />
Monitor only<br />
Block<br />
3. ブロックされる SMTP および POP3 メールの 追 跡 オプションを 選 択 します。 以 下 は 追 跡 オプションです。<br />
<br />
<br />
<br />
<br />
<br />
None(ログ 記 録 なし)<br />
Log<br />
Popup alert<br />
Mail alert<br />
SNMP trap alert<br />
4. 3 つのカスタム・ユーザ 定 義 スクリプト<br />
SMTP と POP3 の 設 定<br />
SMTP と POP3 トラフィックを 方 向 に 従 って、または IP によってスキャンすることができます。<br />
1. [Anti-Spam & Mail]タブから、[Traditional Anti-Virus]→[Security Gateway]→[Mail Protocols]→[SMTP]<br />
または[POP3]の 順 にクリックします。<br />
2. スライダを 使 用 して、 保 護 レベルを 選 択 します。<br />
<br />
<br />
<br />
Off<br />
Monitor Only - SMTP と HTTP でのみ、この 保 護 レベルをサポートします<br />
Block<br />
3. ファイルの 方 向 によってスキャンする 場 合 は、 以 下 の 方 向 を 選 択 します。<br />
<br />
<br />
<br />
受 信 ファイル<br />
送 信 ファイル<br />
ゲートウェイを 経 由 する 内 部 ファイル<br />
4. IP アドレスによるスキャンの 場 合 は、ルール・ベースのルールを 新 規 作 成 して、スキャンするデータの 送 信 元 と<br />
宛 先 を 指 定 します。<br />
5. SMTP と HTTP の 場 合 は、[Activate Proactive Detection (impacts performance)]チェックボックスを 選 択 して、<br />
ファイル・ベースの Traditional Anti-Virus 検 出 を 有 効 にします。ストリーム・モード 検 出 を 有 効 にするチェックボッ<br />
クスをオフにします。 詳 細 については、「プロアクティブとストリームのモード 検 出 について」を 参 照 してください。<br />
FTP と POP3 は 自 動 的 にプロアクティブ 検 出 モードに 設 定 されます。<br />
6. プロアクティブ 検 出 が 設 定 されている 場 合 は、 大 きなサイズのファイルがスキャンする 場 合 に[Activate<br />
Continuous Download]チェックボックスをオンにすると、クライアントのタイムアウトを 回 避 できます。<br />
84 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
詳 細 については、「 連 続 ダウンロード」を 参 照 してください。<br />
ファイル・タイプの 設 定<br />
特 定 のタイプのファイルがゲートウェイを 通 過 した 際 に 実 行 するアクションを 設 定 することができます。 特 定 の 種 類 の<br />
ファイルをウイルス・スキャンせずにゲートウェイを 通 過 させることができます。たとえば、 画 像 ファイルとビデオ・ファ<br />
イルは 通 常 、 安 全 と 判 断 されます。このほかに、 改 変 が 比 較 的 難 しいファイル 形 式 は 安 全 と 判 断 できます。 必 要 に<br />
応 じてリストを 更 新 します。<br />
<br />
[Anti-Spam & Mail]タブから、[TraditionalAnti-Virus]→[Security Gateway]→[File Types]ページの 順 にク<br />
リックしてアクションを 設 定 します。<br />
値 の 設 定<br />
スキャンするファイルとアーカイブの 最 大 サイズを 定 義 します。 設 定 された 限 界 値 を 超 過 する 場 合 、またはスキャン<br />
が 失 敗 する 場 合 に 設 定 したアクションが 実 行 されます。<br />
<br />
[Anti-Spam & Mail]タブから、[Traditional Anti-Virus]→[Security Gateway]→[Settings]ページの 順 にクリ<br />
ックしてフィールドを 設 定 します。<br />
免 責 条 項 の 設 定<br />
独 自 のカスタム 免 責 の 通 知 を 作 成 することができます。<br />
1. [Anti-Spam & Mail]タブから、[Advanced]→[Disclaimer]の 順 にクリックします。<br />
2. [Add disclaimer to email scanned by Anti-Virus and Anti-Spam engines]を 選 択 します。<br />
3. テキストボックスに、 免 責 条 項 を 入 力 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 85
アンチスパムのログ 記 録 と 監 視<br />
アンチスパム・スキャンで 生 成 されたログは Security Management Server に 送 信 され、SmartView Tracker を 使<br />
用 して 参 照 します。<br />
アンチスパム・ステータスは SmartView Monitor を 使 用 して 監 視 されます。アンチスパムのステータスは Firewall<br />
product の 下 に 表 示 されます。ステータスには、アンチスパム・エンジンのバージョンなどの 情 報 が 含 まれています。<br />
アンチスパム・ステータスにはスキャンされたファイルに 関 する 統 計 情 報 も 含 まれます。「 追 跡 とレポート」オプション<br />
(86ページ)も 参 照 してください。<br />
チェック・ポイントへの 誤 検 出 の 報 告<br />
数 は 少 ないですが、 必 然 的 に 本 物 のメールもスパム・メールとして 分 類 されることがあります。チェック・ポイントのア<br />
ンチスパム・サービスの 改 良 を 支 援 するために、チェック・ポイントのサポートにそれらを 誤 検 知 を 報 告 してください。<br />
誤 って 迷 惑 メールとして 分 類 されているメールの 送 信 者 は、 電 子 メールが 配 信 できなかったことを 電 子 メールで 通 知<br />
を 受 け 取 ります。この 電 子 メールには 電 子 メール・セッション ID が 含 まれます。<br />
1. 送 信 者 に 電 子 メールのセッション ID を 要 求 します。<br />
2. SmartView Tracker を 開 きます。<br />
3. [Log]タブの[Content-based Anti-Spam]セクションに 電 子 メール ID があります。<br />
4. [Record Details]を 開 き、[Copy]をクリックします。<br />
5. [<strong>Check</strong> <strong>Point</strong> Support Center]からサービス・リクエストをオープンし、レコード 詳 細 を 貼 り 付 けます。<br />
サービス・リクエストの 作 成 と 参 照 方 法 については、「sk31615」<br />
(http://supportcontent.checkpoint.com/solutions?id=sk31615)を 参 照 して 下 さい。<br />
アンチスパム 追 跡 とレポート・オプション<br />
アンチスパムの 追 跡 とレポートのオプションは 以 下 で 利 用 できます。<br />
<br />
<br />
<br />
SmartView Tracker<br />
SmartView Monitor<br />
SmartReporter<br />
SmartView Tracker<br />
SmartView Tracker はアンチ・スパム・アクティビティをログに 記 録 します。 記 録 には、 番 号 、 日 付 、 時 刻 、プロダクト、<br />
インタフェース、 生 成 元 、タイプ、アクション、サービス、 送 信 元 、 送 信 元 の 国 、 宛 先 、 送 信 者 、 元 の 送 信 者 、 受 信 者 、<br />
元 の 受 信 者 、スパム・カテゴリ、 制 御 、 情 報 が 含 まれています。<br />
行 の 上 で 右 クリックして、 新 しい[Follow Email Session ID]オプションを 表 示 します。そのセッションの 詳 細 な 情 報 を<br />
提 供 します。<br />
SmartView Monitor<br />
SmartView Monitor はアンチスパムとアンチウイルス・アクティビティに 関 してレポートします。<br />
SmartReporter<br />
以 下 のコンテンツ 検 査 のための 新 しいエクスプレス・レポートが SmartReporter に 追 加 されました。<br />
86 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
アンチウイルス<br />
アンチスパム<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 87
第 7 章<br />
VoIP<br />
IPS は 80 以 上 の IPS 保 護 と VoIP 設 定 を 追 加 し、 悪 意 のある 攻 撃 から 保 護 します。 IPS は 以 下 に 基 づいて 保 護 し<br />
ます。<br />
<br />
<br />
<br />
<br />
攻 撃 シグネチャの 識 別<br />
プロトコル・アノマリ・パケットの 識 別<br />
RFC コンプライアンスの 保 証<br />
シグナリング・プロトコルの 検 査 、ヘッダ·フォーマットおよびプロトコル・コール・フローの 状 態 の 検 証<br />
IPS の 一 部 として、 VoIP 保 護 は 以 下 を 行 います。<br />
<br />
<br />
IPS のプロファイルを 使 用 して 異 なるゲートウェイでの 実 施<br />
検 知 モードを 使 用 して 監 視<br />
IPS で 以 下 のこともできます。<br />
<br />
<br />
<br />
VoIP のセキュリティ・イベントのパケットのキャプチャと 詳 細 なログ 生 成<br />
導 入 と 実 施 に 最 大 限 の 柔 軟 性 を 提 供 する 詳 細 な VoIP セキュリティの 設 定<br />
指 定 された VoIP の 保 護 に 例 外 を 追 加<br />
たとえば、 特 定 の VoIP サーバで RFC に 準 拠 しない SIP トラフィックを 許 可 する 例 外 を 追 加 した 場 合 、セキュリ<br />
ティはその 他 のすべての VoIP トラフィックでは 侵 害 されません。<br />
Security Gateway は 多 くの 主 要 なベンダーからの VoIP デバイスと 相 互 運 用 し、SIP、H.323、MGCP および SCCP<br />
(Skinny)プロトコルをサポートします。<br />
VoIP の 詳 細 については、『<strong>R75.40VS</strong> VoIP 管 理 ガイド』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 88
第 8 章<br />
ConnectControl - サーバの 負 荷 分 散<br />
この 章 の 構 成<br />
ConnectControl について 89<br />
負 荷 分 散 方 式 89<br />
ConnectControl のパケットの 流 れ 90<br />
論 理 サーバのタイプ 90<br />
永 続 サーバ・モード 92<br />
サーバの 可 用 性 93<br />
負 荷 の 測 定 93<br />
ConnectControl の 設 定 93<br />
ConnectControl について<br />
ConnectControl は、サーバの 負 荷 分 散 のためのチェック・ポイント・ソリューションです。ConnectControl はネット<br />
ワーク・トラフィックを 複 数 のサーバに 分 散 することで、 単 一 のコンピュータの 負 荷 を 軽 減 し、ネットワークの 応 答 時 間<br />
を 短 縮 し、さらに 可 用 性 を 高 めることができます。パフォーマンス 上 の 利 点 に 加 えて、 複 数 のコンピュータに 負 荷 を 分<br />
散 することでアプリケーションの 冗 長 性 が 構 築 され、ダウンタイムのリスクを 軽 減 できます。<br />
負 荷 が 分 散 されるサーバは、1 つの 仮 想 IP アドレスによって 表 されるので、クライアントは 複 数 のサーバがリクエス<br />
トを 処 理 していることを 認 識 しません。これは 論 理 サーバを 使 用 して 実 現 されます。 論 理 サーバは、 物 理 サーバのグ<br />
ループを 表 すネットワーク・オブジェクトで、SmartDashboard で 定 義 されます。 論 理 サーバは、 負 荷 分 散 アプリケー<br />
ションのサービス・リクエストを 整 理 し、それらのリクエストを 適 切 な 物 理 サーバに 送 信 します。<br />
ConnectControl はゲートウェイ 上 で 実 行 され、 追 加 メモリまたはプロセッサの 要 件 はありません。ConnectControl<br />
は 各 サーバの 可 用 性 を 確 認 し、サーバに 障 害 が 発 生 した 場 合 またはサーバに 到 達 できない 場 合 は、サーバが 使 用<br />
可 能 になるまでそのサーバへの 接 続 を 停 止 します。<br />
負 荷 分 散 方 式<br />
ConnectControl は、 以 下 の 事 前 に 定 義 した 分 散 方 式 に 従 って、ネットワーク・トラフィックを 負 荷 分 散 対 象 のサーバ<br />
に 分 散 します。<br />
<br />
Server Load: 各 サーバの 負 荷 を 測 定 し、リクエストを 処 理 するために 利 用 できるリソースが 最 も 多 いサーバを<br />
特 定 します。グループ 内 の 各 サーバで 負 荷 測 定 エージェントが 実 行 され、このエージェントが、Security<br />
Gateway 上 の ConnectControl に 現 在 のシステムの 負 荷 を 報 告 します。[Server Load]は、サーバが、 負 荷 分<br />
散 アプリケーションのサポートに 加 えて、リソースを 多 く 消 費 する 他 のアプリケーションを 実 行 する 場 合 に 適 した<br />
選 択 肢 です。また「 負 荷 測 定 」(93ページ)を 参 照 してください。<br />
Round Trip: 着 信 したリクエストは、 応 答 時 間 の 最 も 短 いサーバによって 処 理 されます。ConnectControl は、<br />
ユーザが 定 義 した 間 隔 でグループ 内 のサーバの 応 答 時 間 を 確 認 します。この 際 、ゲートウェイが 一 連 の ICMP<br />
エコー・リクエスト(Ping)を 実 行 し、 平 均 のラウンド・トリップ 時 間 が 最 も 短 いサーバを 報 告 します。 次 に、<br />
ConnectControl がサービス・リクエストをそのサーバに 送 信 します。ラウンド・トリップ 方 式 は、ネットワーク 上 の<br />
トラフィックの 負 荷 が 大 きく 変 動 する 場 合 、または WAN 接 続 上 で 負 荷 分 散 を 行 う 場 合 に 効 果 的 です。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 89
Round Robin: サービス・リクエストを 順 番 に 次 のサーバに 割 り 当 てます。ラウンド・ロビン 方 式 は、 分 散 対 象 の<br />
すべてのサーバが 同 様 の RAM と CPU を 搭 載 し、 同 じセグメント 上 に 配 置 されている 場 合 に 最 適 な 負 荷 分 散 を<br />
実 現 します。<br />
Random: サービス・リクエストをランダムにサーバに 割 り 当 てます。ランダム 方 式 は、 分 散 対 象 のすべてのサ<br />
ーバが 同 様 の RAM と CPU を 搭 載 し、 同 じセグメント 上 に 配 置 されている 場 合 に 最 適 な 負 荷 分 散 を 実 現 します。<br />
Domain: ドメイン 名 を 基 にしてサービス・リクエストを 配 信 します。<br />
ConnectControl のパケットの 流 れ<br />
クライアントが、ConnectControl によって 負 荷 分 散 されるアプリケーションへのアクセスを 要 求 した 場 合 は、パケット<br />
は 以 下 のように 流 れます。<br />
1. クライアントがアプリケーション・サーバの 論 理 IP アドレスを 使 用 して 接 続 を 開 始 します。このアドレスは 実 際 に<br />
は 論 理 サーバに 割 り 当 てられたアドレスです。<br />
2. サービス・リクエストがゲートウェイに 到 着 し、ルール・ベース 内 の 論 理 サーバ・ルール・ベースによって 照 合 され<br />
ます。<strong>ファイアウォール</strong>がパケットを 論 理 サーバに 送 信 します。<br />
3. ConnectControl が、 負 荷 分 散 方 式 を 基 にして、リクエストを 最 適 に 処 理 できるグループ 内 のサーバを 決 定 しま<br />
す。<br />
論 理 サーバのタイプ<br />
論 理 サーバ・オブジェクトを 作 成 するときは、サーバのタイプとして HTTP または Other を 指 定 する 必 要 があります。<br />
ConnectControl は 各 サーバ・タイプに 応 じてクライアントへの 接 続 を 異 なる 方 法 で 処 理 するので、この 区 別 は 重 要<br />
です。ネットワーク・トラフィックを 送 信 する 場 合 に、HTTP サーバ・タイプでは HTTP リダイレクトを 使 用 し、Other サー<br />
バ・タイプではアドレス 変 換 を 使 用 します。<br />
HTTP<br />
HTTP 論 理 サーバ・タイプは HTTP サービスのみをサポートし、HTTP リダイレクトを 使 用 してネットワーク・トラフィッ<br />
クを 分 散 します。リダイレクト・メカニズムによって、HTTP 接 続 を 構 成 するすべてのセッションは 1 台 のサーバに 送 信<br />
されます。これは、HTTP ベースのフォームなど、すべてのユーザ・データを 1 台 のサーバで 処 理 する 必 要 がある 多<br />
くの Web アプリケーションにとって 不 可 欠 です。<br />
90 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
HTTP リダイレクト・メカニズムは、ConnectControl の 負 荷 分 散 方 式 と 連 携 して 機 能 します。 最 初 の HTTP 接 続 は、<br />
選 択 した 負 荷 分 散 方 式 を 基 にして 適 切 なサーバに 送 信 されます。 次 に ConnectControl は、 論 理 サーバの IP アドレ<br />
スではなく、 選 択 された 物 理 サーバの IP アドレスにその 後 の 接 続 を 送 信 する 必 要 があることをクライアントに 通 知 し<br />
ます。IP アドレスには、<strong>ファイアウォール</strong>の 背 後 またはオフサイトにあるサーバの IP アドレスを 使 用 できます。セッシ<br />
ョンの 残 りの 処 理 は ConnectControl の 介 入 なしで 実 行 され、すべての 操 作 はエンド・ユーザに 対 して 透 過 的 です。<br />
論 理 サーバは、ConnectControl による 負 荷 分 散 の 結 果 に 応 じて、クライアントを<strong>ファイアウォール</strong>の 背 後 にある<br />
HTTP サーバまたはオフサイトの HTTP サーバに 接 続 します。<br />
クライアントとサーバ 間 のその 後 のすべての 通 信 は、ConnectControl の 介 入 なしで 実 行 されます。<br />
Other<br />
「Other」タイプの 論 理 サーバは、HTTP を 含 む、Security Gateway によってサポートされるすべてのサービスで 使<br />
用 できます。このタイプでは NAT を 使 用 して、ネットワーク・トラフィックをグループ 化 されたサーバに 送 信 します。<br />
ConnectControl は、クライアントがセッションを 継 続 している 場 合 でも 各 サービス・リクエストを 仲 介 します。「Other」<br />
タイプの 論 理 サーバを 作 成 すると、ConnectControl によって 自 動 的 に Security Gateway のカーネル・テーブル 内<br />
にエントリが 格 納 され、 接 続 が 許 可 されます。ConnectControl はリクエストを 受 け 取 るサーバを 決 定 し、NAT を 使 用<br />
して 着 信 パケットの 宛 先 IP アドレスを 変 更 します。リターン・コネクションが 開 かれた 場 合 は、サーバとクライアントの<br />
間 に 自 動 的 に 接 続 が 確 立 され、パケット 内 のサーバの 発 信 元 アドレスが 論 理 サーバのアドレスに 変 換 されます。 次<br />
の 図 は、<strong>ファイアウォール</strong> 内 のネットワーク・アドレス 変 換 される FTP サーバへの 接 続 を 表 します。<br />
パケットの 返 信 では、<strong>ファイアウォール</strong>がパケットの 元 のアドレスを 論 理 サーバのアドレスに 変 換 します。<br />
Other タイプの 論 理 サーバを 使 用 して HTTP サービス・リクエストを 処 理 することもできます。HTTP タイプとは 異 なり、<br />
クライアントとサーバの 間 の 接 続 が 確 立 されたあと、「Other」タイプの 論 理 サーバでは 接 続 は 切 断 されません。<br />
ConnectControl はクライアントからの 各 HTTP サービス・リクエストを 処 理 し、1 つのクライアントからの 複 数 のサー<br />
ビス・リクエストは 異 なる 複 数 のサーバに 送 信 されます。<br />
論 理 サーバのタイプの 検 討<br />
ご 使 用 の 環 境 に 適 切 な 実 施 を 検 討 する 場 合 、HTTP フォームの 使 用 、サーバの 場 所 、サーバに NAT を 使 用 という 3<br />
つの 判 断 基 準 があります。HTTP タイプは、オフサイトの HTTP サーバおよびフォーム・ベースのアプリケーションを<br />
サポートしますが、HTTP プロトコルでのみ 機 能 します。Other タイプは、すべてのプロトコルをサポートし、 最 も 効 果<br />
的 に 負 荷 分 散 を 実 現 しますが、ゲートウェイでサービスをネットワーク・アドレス 変 換 する 必 要 があります。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 91
永 続 サーバ・モード<br />
永 続 サーバ・モードは、 最 初 に 接 続 されたサーバへのクライアントの 接 続 を 維 持 する ConnectControl 機 能 です。こ<br />
の 機 能 を 使 用 する 場 合 は、サーバごとの 永 続 性 またはサービスごとの 永 続 性 のいずれかを 選 択 する 必 要 がありま<br />
す。<br />
サーバごとの 永 続 性<br />
サーバごとの 永 続 性 は、たとえば 3 台 の Web サーバで 負 荷 分 散 を 行 う 環 境 において、フォームのサポートなど 特 定<br />
のタイプの HTTP アプリケーションで 便 利 です。[Persistency by server]を 有 効 にすると、ConnectControl が<br />
HTTP クライアントを 特 定 のサーバに 接 続 し、そのクライアントによる 後 続 の 各 リクエストは 同 じサーバに 送 信 されま<br />
す。このモードを 使 用 すると、クライアントがフォームに 入 力 するときに、 個 別 のサービス・リクエストが 異 なるサーバ<br />
に 配 信 される 場 合 に 発 生 する 可 能 性 があるデータ 損 失 が 起 こりません。フォームをサポートする 場 合 は、<br />
[Persistent server mode](デフォルトの 設 定 )と[Persistency by server]オプションを 有 効 にします。<br />
サービスごとの 永 続 性<br />
サービスごとの 永 続 性 機 能 は、たとえば、それぞれ HTTP と FTP を 実 行 する 2 台 のコンピュータから 成 る 冗 長 環 境<br />
において、サーバ・グループ 内 で 複 数 のサービスを 負 荷 分 散 する 場 合 に 便 利 です。<br />
サービスごとの 永 続 性 を 使 用 すると、クライアントは HTTP サービスの 場 合 はある 1 台 のサーバに 接 続 され、FTP<br />
サービスの 場 合 は 別 のサーバに 接 続 されます。これにより、サーバごとの 永 続 性 を 選 択 した 場 合 に、 大 きな 負 荷 が<br />
かかったサーバがロック 状 態 になるのを 防 ぐことができます。[Persistency by service]を 利 用 すると、 以 前 に 負 荷<br />
分 散 されたクライアントが 別 のサービスを 要 求 した 場 合 、 再 び 負 荷 分 散 の 処 理 を 行 い、 適 切 なサーバに 接 続 させる<br />
ことができます。<br />
92 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
永 続 サーバのタイムアウト<br />
[Persistent server timeout]は、 特 定 のサーバに 一 度 接 続 されたクライアントがそのサーバに 継 続 的 に 接 続 される<br />
時 間 を 設 定 します。サーバが 使 用 不 能 になった 場 合 は、 永 続 サーバ・モードが 有 効 になっている 場 合 でも、 新 しい 接<br />
続 は 使 用 可 能 なサーバに 送 信 されます。サーバ 間 で 最 適 な 負 荷 分 散 を 行 うには、[Persistent server mode]を 無<br />
効 にして、 負 荷 分 散 方 式 に 従 ってすべてのアプリケーションのトラフィックを 分 散 します。[Persistent server<br />
timeout]は[Global Properties]ウィンドウの[ConnectControl]ページで 設 定 します。<br />
サーバの 可 用 性<br />
論 理 サーバ・グループ 内 のサーバの 可 用 性 を 確 認 するために、ConnectControl のさまざまなプロパティを 設 定 でき<br />
ます。サーバが 継 続 的 にアクティブであることを 確 認 するためにゲートウィーで Ping を 行 う 頻 度 と、 応 答 しないサー<br />
バへの 接 続 を 試 行 する 回 数 (その 回 数 に 到 達 すると、ConnectControl はそのサーバへの 接 続 を 停 止 )を 定 義 でき<br />
ます。<br />
これらの 設 定 は、[Global Properties]ウィンドウの[ConnectControl]ページにあります。[Server availability<br />
check interval]オプションは、サーバに 対 して Ping を 実 行 する 頻 度 を 定 義 します。[Server check retries]オプショ<br />
ンは、 応 答 しないサーバへの 接 続 の 試 行 回 数 を 定 義 します。<br />
負 荷 の 測 定<br />
Server Load の 負 荷 分 散 方 式 は、グループ 内 の 各 サーバで 負 荷 測 定 エージェントを 実 行 する 必 要 があるという 点 で<br />
独 特 です。このエージェントは 軽 量 であり、 遅 延 やシステム・オーバヘッドがサーバで 増 加 することはありません。こ<br />
のエージェントは、UDP プロトコルを 使 用 して、 負 荷 測 定 エージェントと ConnectControl の 間 で 通 信 を 行 います。<br />
チェック・ポイントは、サーバにインストールするサンプルの 負 荷 測 定 エージェント・アプリケーション、および 独 自 の<br />
エージェントを 作 成 する 必 要 がある 組 織 のための 負 荷 測 定 アプリケーション・プログラミング・インタフェース(API)を<br />
提 供 しています。チェック・ポイントのサポート・サイト<br />
(http://supportcontent.checkpoint.com/solutions?id=47.0.1569467.2530820)にログインして、お 使 いの OS の<br />
ロード・エージェントのアプリケーションをダウンロードすることができます。<br />
[Global Properties]ウィンドウの[ConnectControl]ページで 負 荷 測 定 エージェントのプロパティを 設 定 できます。<br />
[Load agents port]プロパティで、 負 荷 測 定 エージェントが Security Gateway と 通 信 するために 使 用 するポートを<br />
指 定 します。 設 定 内 のすべての 負 荷 測 定 エージェントが 同 じポート 番 号 を 使 用 する 必 要 があります。[Load<br />
measurement interval]プロパティは、エージェントがサーバの 負 荷 に 関 する 情 報 を<strong>ファイアウォール</strong>に 返 す 間 隔 を<br />
定 義 します(デフォルト 値 は 20 秒 ごと)。<br />
Windows サーバの 場 合 は、「load_agent_nt 」の 構 文 を 使 用 して 負 荷 測 定 エージェ<br />
ントを 設 定 して 有 効 にします。<br />
ConnectControl によって 使 用 されるデフォルトのポートは 18212 です。「load_value」の 値 は 0、 1、2 になります。<br />
<br />
<br />
<br />
「0」は 1 分 間 隔 で 負 荷 を 測 定 します。<br />
「1」は 5 分 間 隔 で 負 荷 を 測 定 します。<br />
「2」は 15 分 間 隔 で 負 荷 を 測 定 します。<br />
ConnectControl の 設 定<br />
ConnectControl を 設 定 するには<br />
1. SmartDashboard から、ネットワーク・オブジェクト・ツリーで[Network Objects]を 右 クリックし、[New]→<br />
[Node]→[Host]の 順 に 選 択 します。<br />
2. 負 荷 分 散 対 象 のサーバを 表 すサーバ・オブジェクトを 定 義 します。<br />
3. グループ 内 に 配 置 する 各 サーバについて 手 順 2 を 繰 り 返 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 93
4. セキュリティ 管 理 で、[Network Object]を 右 クリックし、[New]→[Group]→[Simple Group]の 順 に 選 択 しま<br />
す。<br />
5. グループに 名 前 を 付 けます(たとえば HTTP_Server_Group)。<br />
6. サーバ・オブジェクトを[Group Properties]ボックスのグループに 追 加 します。29 以 上 の 論 理 サーバをグループ<br />
に 追 加 しないことをお 勧 めします。<br />
7. SmartDashboard から、ネットワーク・オブジェクト・ツリーで[Network Object]を 右 クリックし、[New]→<br />
[Logical Server]の 順 に 選 択 します。 割 り 当 てる IP アドレスがルーティング 可 能 な IP アドレスであることを 確 認<br />
します。 負 荷 分 散 されるすべてのトラフィックがゲートウェイ 経 由 で 送 信 される 必 要 があります。<br />
8. サーバのタイプを 選 択 します。<br />
9. 手 順 3 で 作 成 したグループ・オブジェクトを[Servers Group]に 追 加 します。<br />
10. 永 続 サーバ・モードを 有 効 にするには、[Persistency by service]または[Persistency by server]を 選 択 します<br />
(デフォルト・モードは[Persistency by service]です)。<br />
11. [Balance Method]として 負 荷 分 散 方 式 を 選 択 します。<br />
12. 以 下 のルールをルール・ベースに 追 加 します。<br />
負 荷 分 散 ルール<br />
Source Destination Service Action<br />
Any Logical_Server [ 負 荷 分 散 するサービス] Accept<br />
または User Auth<br />
または Client Auth<br />
または Session Auth<br />
13. HTTP リダイレクトを 使 用 するアプリケーション(HTTP タイプの 論 理 サーバ)に 対 しては、セッションの 開 始 後 に<br />
物 理 サーバ・グループがクライアントと 直 接 通 信 できるように 2 番 目 のルールを 追 加 します。<br />
サーバ・グループ 接 続 ルール<br />
Source Destination Service Action<br />
Any HTTP_Server_Group http Accept<br />
14. [Policy]メニューから[Global Properties]→[ConnectControl]を 選 択 します。デフォルトの 設 定 を 確 認 し、 導 入<br />
環 境 に 応 じて 調 整 します。 以 下 のオプションが 使 用 できます。<br />
<br />
<br />
<br />
Servers Availability: ConnectControl が、 負 荷 分 散 対 象 のサーバが 実 行 されていてサービス・リクエスト<br />
に 応 答 することを 確 認 する 頻 度 、およびトラフィックの 送 信 を 停 止 するまでに ConnectControl がサーバの 接<br />
続 を 試 行 する 回 数 を 管 理 します。[Server availability check interval]オプションのデフォルト 値 は 20 秒 で<br />
す。[Server check retries]オプションのデフォルト 値 は 3 回 です。<br />
Servers Persistency: 特 定 のサーバに 一 度 接 続 されたクライアントがそのサーバにトラフィックを 送 信 する<br />
時 間 を 定 義 します。[Persistent server timeout]オプションのデフォルト 値 は 1800 秒 です。<br />
Servers Load Balancing: 負 荷 測 定 エージェント( 使 用 する 場 合 )が ConnectControl に 負 荷 のステータス<br />
を 報 告 する 頻 度 、および ConnectControl との 通 信 で 使 用 するポートを 管 理 します。[Load agents port]オ<br />
プションのデフォルト 値 は 18212 です。[Load measurement interval]のデフォルト 値 は 20 秒 です。<br />
94 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
第 9 章<br />
CoreXL 管 理<br />
この 章 の 構 成<br />
サポートされるプラットフォームとサポートされない 機 能 95<br />
デフォルト 設 定 96<br />
IPv6 の CoreXL 96<br />
パフォーマンス・チューニング 96<br />
CoreXL の 設 定 100<br />
コマンドライン 100<br />
CoreXL は、マルチコア・プロセッシング・プラットフォームで Security Gateway のパフォーマンスを 向 上 させる 技 術<br />
です。CoreXL は、プロセッシング・コアが 同 時 に 複 数 のタスクを 実 行 することを 可 能 にすることで、Security<br />
Gateway のパフォーマンスを 向 上 させます。<br />
CoreXL は、 単 一 コンピュータ 上 のプロセッシング・コアの 数 に 応 じて、 性 能 においてほぼ 直 線 的 なスケーラビリティ<br />
を 提 供 します。パフォーマンスの 向 上 は 管 理 やネットワーク・トポロジの 変 更 を 必 要 とすることなく 実 現 されます。<br />
CoreXL は、ClusterXL 負 荷 共 有 や SecureXL など、チェック・ポイントのトラフィック・アクセラレーション 技 術 ファミリ<br />
を 補 完 する 機 能 の 1 つとして、 提 供 されます。<br />
CoreXL ゲートウェイでは、<strong>ファイアウォール</strong>のカーネルは 複 数 回 複 製 されます。<strong>ファイアウォール</strong>・カーネルの 各 複<br />
製 コピー、またはインスタンスが、1 プロセッシング・コア 上 で 実 行 されます。 各 インスタンスは 完 全 かつ 独 立 した 検 査<br />
カーネルで、それぞれのインスタンスで 並 行 してトラフィックを 処 理 します。<br />
CoreXL ゲートウェイは、 通 常 の Security Gateway のように 動 作 します。すべてのカーネル・インスタンスは、 同<br />
じゲートウェイ・インタフェースを 通 過 するトラフィックを 処 理 し、 同 じゲートウェイ・·セキュリティ・ポリシーを 適 用 しま<br />
す。<br />
サポートされるプラットフォームとサポートされない 機 能<br />
CoreXL は GAiA、SecurePlatform、IPSO、Crossbeam プラットフォームでサポートされています。<br />
サポートされない 機 能 :<br />
CoreXL は 以 下 のチェック・ポイント・スイートの 機 能 をサポートしていません。<br />
チェック・ポイント QoS(サービス 品 質 )<br />
<br />
<br />
<br />
ルート-ベース VPN<br />
IPSO での IPv6<br />
重 複 NAT<br />
チェック・ポイント・スイートでサポートされていない 機 能 を 有 効 にするには、「cpconfig」を 使 用 して CoreXL を 無 効 に<br />
して、ゲートウェイを 再 起 動 します(100ページの「CoreXL の 設 定 」を 参 照 )。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 95
デフォルト 設 定<br />
CoreXL インストール 後 に、カーネル・インスタンスの 数 はシステム 内 のコアの 総 数 から 取 得 されます。<br />
コア 数<br />
カーネル・インスタンス 数<br />
1 1<br />
2 2<br />
4 3<br />
8 6<br />
12 10<br />
12 以 上 コア 数 マイナス 2<br />
PerformancePack がインストールされている 場 合 、すべてのインタフェースのデフォルトのアフィニティ(Affinity) 設 定<br />
は[ 自 動 ]です。 詳 細 は「プロセッシング・コアの 割 り 当 て」(96ページ)を 参 照 してください。すべてのインタフェースか<br />
らのトラフィックはセキュア・ネットワーク・ディストリビュータ(SND)を 実 行 してコアに 向 けられます。<br />
IPv6 での CoreXL<br />
<strong>R75.40VS</strong> は IPv6 トラフィックで 複 数 のコアをサポートします。IPv4 トラフィックで 動 作 する<strong>ファイアウォール</strong>の 各 カー<br />
ネル・インスタンスには、IPv6 トラフィックでも 動 作 する<strong>ファイアウォール</strong>のカーネル・インスタンスがあります。 両 方 の<br />
インスタンスは 同 じコアで 実 行 されます。<br />
Security Gateway で CoreXL の 状 態 を 確 認 するには、<br />
「fw6 ctl multik stat」を 実 行 します。<br />
「w6 ctl multik stat」(マルチカーネル 統 計 )コマンドは、 各 カーネル・インスタンスの IPv6 情 報 を 表 示 します。 各 イン<br />
スタンスの 状 態 とプロセッシング・コア 数 が 以 下 と 一 緒 に 表 示 されます。<br />
現 在 実 行 されている 接 続 の 数 。<br />
インスタンスが 開 始 以 来 使 用 していた 同 時 接 続 の 最 大 数 。<br />
パフォーマンス・チューニング<br />
以 下 のセクションは、GAiA と SecurePlatform のみに 関 連 しています。<br />
プロセッシング・コアの 割 り 当 て<br />
CoreXL ソフトウェア・アーキテクチャには、Secure Network Distributor(SND)が 含 まれています。SND は 以 下 を<br />
行 います。<br />
<br />
ネットワーク・インタフェースからの 着 信 トラフィックの 処 理<br />
許 可 されたパケットの 安 全 な 高 速 化 (PerformancePack が 実 行 されている 場 合 )<br />
<br />
カーネル・インスタンス 間 での 高 速 化 しないパケットの 分 配<br />
ネットワーク・インタフェース・カード(NIC)に 入 るトラフィックは、SND を 実 行 しているプロセッシング・コアに 向 けられ<br />
ます。プロセッシング・コアと 特 定 のインタフェースの 関 連 付 けは、そのコアのインタフェースの「アフィニティ<br />
(Affinity)」と 呼 ばれます。このアフィニティによって、インタフェースのトラフィックがそのコアに 向 けられ、SND がその<br />
コアで 実 行 します。カーネル・インスタンスの 設 定 や 特 定 のコアで 実 行 するためのプロセスは、そのコアのインタフェース<br />
またはプロセスの「アフィニティ」と 呼 ばれます。<br />
96 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
すべてのインタフェースのデフォルトのアフィニティ 設 定 は[Automatic]です。 自 動 アフィニティは、Performance<br />
Pack が 実 行 されている 場 合 、 各 インタフェースのアフィニティを 60 秒 ごとに 自 動 的 にリセットし、 利 用 可 能 なコア 間<br />
のバランスをとります。Performance Pack が 実 行 されていない 場 合 、すべてのインタフェースのデフォルトのアフィ<br />
ニティは 1 つの 利 用 可 能 なコアとなります。カーネル・インスタンスを 実 行 している、または 別 のプロセスのアフィニ<br />
ティとして 定 義 される 任 意 のプロセッシング・コアはどちらの 場 合 も 利 用 できないとみなされ、インタフェースのアフィ<br />
ニティとして 設 定 されません。<br />
次 のセクションで 説 明 する 一 部 のケースで、プロセッシング・コア 間 でカーネル・インスタンス、SND、および 他 のプロ<br />
セスの 配 分 を 変 更 することが 賢 明 であるかもしれません。これは、 異 なる NIC(インタフェース)および/またはプロセ<br />
スのアフィニティを 変 更 することで 行 われます。しかし、CoreXL の 効 率 性 を 確 保 するために、すべてのインタフェー<br />
スのトラフィックは、カーネルのインスタンスを 実 行 していないコアに 向 けられなければなりません。インタフェースま<br />
たは 他 のプロセスのアフィニティを 変 更 した 場 合 、それに 応 じてカーネルのインスタンスの 数 を 設 定 し、インスタンス<br />
が 他 のプロセッシング・コア 上 で 動 作 することを 確 認 する 必 要 があります。<br />
通 常 の 状 況 下 で、SND とインスタンスでコアを 共 有 する 事 はお 勧 めできません。しかし、2 つのコアのみを 搭 載 した<br />
コンピュータを 使 用 する 場 合 は、SND とインスタンスでコアを 共 有 する 必 要 があります。<br />
プロセッシング・コアの 割 り 当 て<br />
ケースによっては、プロセッシング・コア 間 でカーネル・インスタンス、SND、および 他 のプロセスの 配 分 を 変 更 する<br />
望 ましい 場 合 もあります。このセクションでは、そのような 例 を 説 明 します。<br />
コア 割 り 当 てを 計 画 する 前 に、「プロセッシング・コアの 割 り 当 て」(96ページ)を 必 ずお 読 みください。<br />
ハードウェアへのプロセッシング・コアの 追 加<br />
ハードウェア・プラットフォーム 上 でプロセッシング・コアの 数 を 増 やしても、 自 動 的 にカーネル・インスタンスの 数 は 増<br />
えません。カーネル・インスタンスの 数 が 増 加 されていない 場 合 、CoreXL は、いくつかのプロセッシング・コアを 利 用<br />
しません。ハードウェアをアップグレードした 後 は、「cpconfig」を 使 用 して、カーネルのインスタンスの 数 を 増 やしま<br />
す。<br />
プロセッシング・コア 数 を 増 やしハードウェアをアップグレードした 場 合 や、プロセッシング・コアの 数 は 同 じままだが、<br />
カーネル・インスタンスの 数 を 手 動 でデフォルトから 変 更 した 場 合 、ゲートウェイを 再 設 定 してカーネルのインスタンス<br />
数 を 変 更 します。ハードウェアをアップグレードした 後 は、「cpconfig」を 使 用 して、カーネル・インスタンスの 数 を 設 定<br />
します。<br />
クラスタ 環 境 では、カーネルのインスタンス 数 (たとえば、CoreXL 再 インストール)の 変 更 は、バージョン・アップグ<br />
レードとして 扱 われるべきです。『<strong>R75.40VS</strong> Installation and Upgrade Guide』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)での 説 明 を 参 照 して、「Upgrading ClusterXL<br />
Deployments」 章 の「Minimal Effort Upgrade」または「Zero Downtime Upgrade」のいずれかを 実 行 して、バージョ<br />
ン・アップ 用 の 手 順 でインスタンスの 数 を 置 き 換 えます。クラスタ 環 境 でカーネル・インスタンスの 数 を 変 更 する 場 合<br />
は、 完 全 に 接 続 を 維 持 しながらアップグレードを 実 行 することはできません。<br />
SND に 追 加 コアの 割 り 当 て<br />
いくつかの 例 では、インスタンスと SND のデフォルト 設 定 は 最 適 化 されません。SND がトラフィックを 減 速 している 場<br />
合 、カーネル・インスタンスの 数 を 減 らすことができ、かつ 十 分 なコアがご 使 用 のプラットフォームに 搭 載 されている<br />
場 合 は、SND に 追 加 のコアを 割 り 当 てることができます。これは、トラフィックの 多 くが PerformancePack により 高<br />
速 化 されいる 場 合 や、ClusterXL 負 荷 共 有 での 導 入 時 、または IPS 機 能 が 無 効 になっている 場 合 に、 発 生 する 可 能<br />
性 が 大 きくなります。これらの 場 合 のいずれにおいても、SND のタスク 負 荷 がカーネル・インスタンスに 対 して 不 釣<br />
合 である 可 能 性 があります。<br />
SND がトラフィックを 減 速 しているかどうかを 確 認 するには<br />
1. 「fw ctl affinity -l -r」を 使 用 して、インタフェースがトラフィックを 向 けるプロセッシング・コアを 特 定 します。<br />
2. トラフィックが 多 い 状 況 で、CoreXL ゲートウェイで「top」コマンドを 実 行 し、「idle」 列 で 別 のコアの 値 を 確 認 しま<br />
す。<br />
次 のすべての 条 件 が 満 たされている 場 合 のみ、SND に 追 加 コアを 割 り 当 てることをお 勧 めします。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 97
お 使 いのプラットフォームには、 少 なくとも 8 つのプロセッシング・コアがある<br />
現 在 SND を 実 行 しているコアの「idle」 値 が 0%〜5%の 範 囲<br />
カーネル・インスタンスを 実 行 するコアの「idle」の 値 の 合 計 が 100%より 大 幅 に 高 くなっている<br />
上 記 のいずれかの 条 件 が 満 たされていない 場 合 は、1 つのプロセッシング・コアを SND に 割 り 当 てるというデフォル<br />
ト 設 定 で 十 分 であり、それ 以 上 の 設 定 は 必 要 ありません。<br />
SND に 追 加 のプロセッシング・コアを 割 り 当 てるには 表 示 される 順 に、 以 下 の 2 つの 段 階 を 実 行 する 必 要 がありま<br />
す。<br />
1. 「cpconfig」を 使 用 して、カーネル・インスタンスの 数 を 減 らします。<br />
2. 以 下 のように、 残 りのコアへのインタフェース・アフィニティを 設 定 します。<br />
3. 新 しい 設 定 を 実 装 するために 再 起 動 します。<br />
インタフェース・アフィニティの 設 定<br />
どのコアがカーネル・インスタンスを 実 行 しているかを 確 認 してください。また「プロセッシング・コアの 割 り 当 て」(97<br />
ページ)を 参 照 してください。コアへのインタフェースのアフィニティを 設 定 することにより、SND に 残 りのコアを 割 り 当<br />
てます。インタフェース・アフィニティを 定 義 する 正 しい 方 法 は、 次 のセクションで 説 明 するように、PerformancePack<br />
が 実 行 されているかどうかによって 異 なります。<br />
<br />
<br />
Performance Pack が 実 行 されている 場 合<br />
Performance Pack が 実 行 されている 場 合 、インタフェース・アフィニティは Perforamnce Pack の「sim affinity」<br />
コマンドによって 処 理 されます。<br />
デフォルトでは「sim affinity」 設 定 は 自 動 で 行 われます。Performance Pack の 自 動 モードで、インタフェース・ア<br />
フィニティは、カーネルのインスタンスを 実 行 していなく、また 他 のプロセス 用 のアフィニティとして 設 定 されていな<br />
いコアに 自 動 的 に 分 散 されます。<br />
ほとんどの 場 合 に、「sim affinity」 設 定 を 変 更 する 必 要 はありません。「sim affinity」 設 定 の 詳 細 については、<br />
『<strong>R75.40VS</strong> Performance Pack Administration Guide』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
Performance Pack が 実 行 されていない 場 合 の、インタフェースのアフィニティの 設 定<br />
Performance Pack が 実 行 されていない 場 合 、インタフェース・アフィニティは、「$FWDIR/conf」にある<br />
「fwaffinity.conf」と 呼 ばれる 設 定 テキスト・ファイルからブート 時 に 読 み 込 まれます。 テキスト・ファイル 内 で、 文<br />
字 「i」で 始 まる 行 は、インタフェース・アフィニティを 定 義 します。<br />
Performance Pack が 実 行 されている 場 合 は、インタフェース・アフィニティは「sim affinity」 設 定 によって 定 義 さ<br />
れ、「i in fwaffinity.conf」で 始 まる 行 は 無 視 されます。<br />
SND に 1 つのプロセッシング・コアのみを 割 り 当 てている 場 合 は、インタフェース・アフィニティ 設 定 をデフォルト<br />
の 自 動 のままにし、そのコアを 自 動 的 に 選 択 されるようにして 下 さい。インタフェースに 対 して 明 示 的 なコアのア<br />
フィニティを 設 定 しないようにすることが 最 善 です。これを 実 現 するために、「fwaffinity.conf」に 以 下 の 行 が 含 ま<br />
れていることを 確 認 してください。<br />
i default auto<br />
また、「fwaffinity.conf」では、 他 には「i」で 始 まる 行 が 含 まれていないようにし、 明 示 的 なインタフェースのアフィ<br />
ニティが 定 義 されていないことを 確 認 して 下 さい。すべてのインタフェースのトラフィックは、 残 りのコアに 送 られ<br />
ます。<br />
SND に 2 つのプロセッシング・コアを 割 り 当 てる 場 合 は、 明 示 的 に 残 りの 2 つのコアへインタフェースのアフィニ<br />
ティを 設 定 する 必 要 があります。 複 数 のインタフェースがある 場 合 は、2 つのコアごとに 設 定 するインタフェース<br />
を 決 定 する 必 要 があります。コア 間 で 予 想 されるトラフィックのバランスを 成 立 させてるようにしてください(「top」<br />
コマンドを 使 用 して、 後 でバランスをチェックすることができます)。<br />
Performance Pack が 実 行 されていない 時 に、 明 示 的 にインタフェースのアフィニティを 設 定 するには<br />
1. 「fwaffinity.conf」を 編 集 し、 各 インタフェースのアフィニティを 設 定 します。ファイルには、 各 インタフェース 用 に「i」<br />
で 始 まる 行 をが 含 まれます。これらの 各 行 は、 以 下 の 構 文 に 従 う 必 要 があります。<br />
i <br />
はインタフェースの 名 前 、はそのインタフェースのアフィニティに 設 定 されるプロセッシ<br />
ング・コアの 番 号 です。<br />
98 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
たとえば、「eth0」と「eth1」からのトラフィックをコア「#0」で 処 理 させたい 場 合 、また「eth2」からのトラフィックはコ<br />
ア「#1」で 処 理 させたい 場 合 は、「fwaffinity.conf」で 以 下 の 行 を 作 成 します。<br />
i eth0 0<br />
i eth1 0<br />
i eth2 1<br />
また、に「default」を 使 用 して、 明 示 的 に 1 つだけプロセッシング・コア 用 のインタフェース・<br />
アフィニティを 定 義 し、 残 りのインタフェースのデフォルトのアフィニティに 他 のコアを 定 義 することができます。<br />
前 の 例 の 場 合 、「fwaffinity.conf」での 行 は 下 記 のようになります。<br />
i eth2 1<br />
i default 0<br />
2. 「$FWDIR/scripts/fwaffinity_apply」を 実 行 し、fwaffinity.conf」 設 定 を 有 効 にします。<br />
仮 想 インタフェースのアフィニティは、その 物 理 インタフェース( 複 数 可 )を 使 用 して 設 定 できます。<br />
ヘビー・ロギングのコアの 割 り 当 て<br />
ゲートウェイが 大 量 のログ 処 理 を 行 なっている 場 合 、ログ 記 録 を 実 行 する fwd デーモンにプロセッシング・コアを 割 り<br />
当 てることが 望 ましい 場 合 があります。SND のコアを 追 加 するのと 同 様 に、ツールを 用 いてカーネル・インスタンスで<br />
使 用 可 能 なコアの 数 を 減 らすことができます。<br />
fwd デーモンへプロセッシング・コアを 割 り 当 てるには、 次 の 2 つのことを 行 う 必 要 があります。<br />
1. 「cpconfig」を 使 用 して、カーネル・インスタンスの 数 を 減 らします。<br />
2. 以 下 のように、fwd デーモン・アフィニティを 設 定 します。<br />
FWD デーモン・アフィニティの 設 定<br />
「fw ctl affinity -l -r」を 使 用 して、どのプロセッシング・コアがカーネルのインスタンスを 実 行 しているか、またどのコア<br />
がインタフェースのトラフィックを 処 理 しているかを 確 認 します。fwd デーモン・アフィニティをそのコアに 設 定 して、 残<br />
りのコアを fwd デーモンに 割 り 当 てます。<br />
注 - SND を 実 行 しているプロセッシング・コア、またはコアを 回 避 することは、これらのコアが<br />
明 示 的 にインタフェースのアフィニティとして 定 義 されている 場 合 のみに 重 要 です。インタ<br />
フェースのアフィニティが[ 自 動 ]に 設 定 されている 場 合 、カーネルのインスタンスを 実 行 してい<br />
ない 任 意 のコアは FWD デーモンを 使 用 することができ、インタフェースのトラフィックは 自 動 的<br />
に 他 のコアに 転 送 されます。<br />
チェック・ポイント・デーモン(たとえば、fwd デーモン)のアフィニティを 設 定 している 場 合 は、「$FWDIR/conf」にある<br />
「fwaffinity.conf」 設 定 テキスト・ファイルからブート 時 に 読 み 込 まれます。 以 下 の 行 を 追 加 して、ファイルを 編 集 しま<br />
す。<br />
n fwd <br />
は fwd デーモンのアフィニティとして 設 定 するプロセッシング・コアの 番 号 です。たとえば、コア「#2」を fwd デ<br />
ーモンのアフィニティとして 設 定 するには、 以 下 をファイルに 追 加 します。<br />
n fwd 2<br />
fwaffinity.conf 設 定 を 有 効 にするには、コンピュータを 再 起 動 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 99
CoreXL の 設 定<br />
CoreXL を 有 効 / 無 効 にするには<br />
1. 「cpconfig」コマンドを 実 行 します。<br />
2. [Configure <strong>Check</strong> <strong>Point</strong> CoreXL]を 選 択 します。<br />
3. CoreXL を 有 効 または 無 効 にするかを 選 択 します。<br />
4. ゲートウェイを 再 起 動 します。<br />
インスタンスの 数 を 設 定 するには<br />
1. 「cpconfig」コマンドを 実 行 します。<br />
2. [Configure <strong>Check</strong> <strong>Point</strong> CoreXL]を 選 択 します。<br />
3. CoreXL が 有 効 になっている 場 合 は、インスタンス 化 された<strong>ファイアウォール</strong>の 数 を 変 更 します。<br />
CoreXL が 無 効 になっている 場 合 は、CoreXL を 有 効 にしてから、<strong>ファイアウォール</strong>・インスタンスに 必 要 な 数 を<br />
設 定 します。<br />
4. ゲートウェイを 再 起 動 します。<br />
注 - クラスタ 環 境 では、カーネルのインスタンス 数 の 変 更 はバージョン・アップとして 扱 われる<br />
べきです。<br />
コマンドライン<br />
アフィニティ 設 定<br />
アフィニティ 設 定 は、 起 動 時 に 自 動 的 に 実 行 する「affinity_apply」スクリプト・ファイルで 制 御 されます。アフィニティ 設<br />
定 を 変 更 した 場 合 、 設 定 を 有 効 にするには 再 起 動 するか、 手 動 で「fwaffinity_apply」スクリプトを 実 行 する 事 が 必 要<br />
です。<br />
「fwaffinity_apply」は「fwaffinity.conf」テキスト・ファイル 内 で 設 定 された 情 報 にもとづきアフィニティ 定 義 を 実 行 しま<br />
す。アフィニティの 設 定 を 変 更 するには、テキスト・ファイルを 編 集 します。<br />
注 - Performance Pack が 実 行 されている 場 合 、インタフェース・アフィニティは Performance<br />
Pack の「sim affinity」コマンドによってしか 定 義 されていません。「fwaffinity.conf」インタフェー<br />
スのアフィニティの 設 定 は 無 視 されます。<br />
fwaffinity.conf<br />
「fwaffinity.conf」は「$FWDIR/conf 」ディレクトリにあります。<br />
構 文<br />
テキスト・ファイルの 各 行 は、 同 じ「 」のフォーマットを 使 用 します。<br />
データ 値 説 明<br />
I インタフェース<br />
n<br />
k<br />
チェック・ポイント・デーモン<br />
カーネル・インスタンス<br />
インタフェース 名 if = i<br />
100 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
データ 値 説 明<br />
デーモン 名<br />
インスタンス 番 号<br />
default<br />
if = n<br />
if = k<br />
別 の 行 に 指 定 されていないインタフェース<br />
< 番 号 > アフィニティとして 設 定 するプロセッシング・コアの 番 号<br />
all<br />
ignore<br />
auto<br />
インタフェースのトラフィック、デーモンまたはカーネル・インスタン<br />
スに 適 用 可 能 な 全 てのプロセッシング・コア<br />
指 定 されたアフィニティなし(default 設 定 からインタフェースを 除<br />
外 する 場 合 に 便 利 )<br />
自 動 モードについては「プロセッシング・コア 割 り 当 て」(96ページ)<br />
も 参 照 してください。<br />
注 - 1 つのインタフェースが「default」アフィニティ 設 定 に 含 まれる 場 合 でも、IRQ を 共 有 する<br />
インタフェースは、アフィニティなどの 異 なるコアを 持 つことができません。 両 方 のインタフェー<br />
スを 同 じアフィニティに 設 定 し、またその 中 の 1 つに「ignore」を 使 用 します。すべてのインタフ<br />
ェースの IRQ を 表 示 するには、「fw ctl affinity -l -v -a」のコマンドを 実 行 します。<br />
fwaffinty_apply<br />
「fwaffinity_apply」は「$FWDIR/scripts」ディレクトリにあります。コマンドを 実 行 するには、 以 下 の 構 文 を 使 用 します。<br />
$FWDIR/scripts/fwaffinity_apply <br />
は 次 のパラメータのいずれかになります。<br />
パラメータ<br />
説 明<br />
-q Quiet モード - エラー・メッセージのみ 印 刷 。<br />
-t 指 定 されたタイプのみにアフィニティを 適 用 します。<br />
-f 自 動 アフィニティがアクティブになっている 場 合 でも、インタフェース・アフィニティを 設<br />
定 します。<br />
fw ctl affinity<br />
「fw ctl affinity」コマンドはアフィニティ 設 定 を 制 御 します。ただし、Security Gateway を 再 起 動 すると「fw ctl affinity」<br />
設 定 は 保 持 されません。<br />
アフィニティを 設 定 するには、「fw ctl affinity -s」を 実 行 します。<br />
既 存 のアフィニティを 一 覧 表 示 するには、「fw ctl affinity -l」を 実 行 します。<br />
fw ctl affinity -s<br />
このコマンドを 使 用 してアフィニティを 設 定 します。<br />
Security Gateway を 再 起 動 すると、「fw ctl affinity -s」 設 定 は 保 持 されません。 設 定 を 永 続 に 保 存 するために、<br />
「sim affinity」(PerformancePack コマンド( 詳 細 は、『<strong>R75.40VS</strong> Performance Pack Administration Guide』<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 101
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 )を 使 用 するか、「fwaffinity.conf」 設 定 ファ<br />
イルを 編 集 します。<br />
Performance Pack が 動 作 していない 場 合 のみ、「fw ctl affinity」を 使 用 してインタフェース・アフィニティを 設 定 しま<br />
す。Performance Pack が 動 作 している 場 合 は、Performance Pack の「sim affinity」コマンドを 使 用 し、てインタ<br />
フェース・アフィニティを 設 定 します。 以 下 の 設 定 は 永 続 的 に 保 存 されます。Performance Pack の「sim affinity」を<br />
自 動 モード(Performance Pack がその 後 無 効 になった 場 合 でも)に 設 定 する 場 合 は、「fw ctl affinity -s」を 使 用 して<br />
インタフェース・アフィニティを 設 定 できません。<br />
構 文<br />
fw ctl affinity -s <br />
は 以 下 のパラメータのいずれかになります。<br />
パラメータ<br />
説 明<br />
-p 特 定 のプロセスのアフィニティを 設 定 します。はプロセス ID#で<br />
す。<br />
-n チェック·ポイント·デーモンのアフィニティを 設 定 します。は<br />
チェック・ポイント・デーモン 名 です(たとえば fwd)。<br />
-k カーネル・インスタンスのアフィニティを 設 定 します。はイン<br />
スタンスの 番 号 です。<br />
-i インタフェースのアフィニティを 設 定 します。はインタ<br />
フェース 名 です(たとえば eth0)。<br />
はプロセッシング・コアの 番 号 またはプロセッシング・コアの 番 号 のリストでなければなりません。 任 意 の 特<br />
定 プロセッシング・コアへのアフィニティを 持 たないようにするには、を「all」にする 必 要 があります。<br />
例<br />
注 - インタフェース・アフィニティを 設 定 すると、 同 じプロセッシング・コアに 同 じ IRQ を 共 有 し<br />
ているすべてのインタフェースのアフィニティを 設 定 します。<br />
すべてのインタフェースの IRQ を 表 示 するには「fw ctl affinity -l -v -a」のコマンドを 実 行 します。<br />
カーネル・インスタンス「#3」を、プロセッシング・コア「#5」で 実 行 するよう 設 定 するには、 以 下 を 実 行 します。<br />
fw ctl affinity -s -k 3 5<br />
fw ctl affinity -l<br />
このコマンドを 使 用 して 既 存 のアフィニティを 一 覧 表 示 します。カーネル、デーモンとインタフェース・アフィニティの 説<br />
明 については、「CoreXL の 管 理 」(95ページ)を 参 照 してください。<br />
構 文<br />
fw ctl affinity -l [] []<br />
が 省 略 される 場 合 は、「fw ctl affinity -l」はすべてのチェック·ポイントのデーモン、カーネル・イン<br />
スタンスおよびインタフェースのアフィニティを 一 覧 表 示 します。それ 以 外 の 場 合 では、は 以 下 の<br />
パラメータのいずれかになります。<br />
パラメータ<br />
説 明<br />
-p 特 定 のプロセスのアフィニティを 表 示 します。はプロセス ID#です。<br />
-n チェック・ポイント·デーモンのアフィニティを 表 示 します。は<br />
チェック・ポイント・デーモン 名 です(たとえば「fwd」)。<br />
102 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
パラメータ<br />
説 明<br />
-k カーネル・インスタンスのアフィニティを 表 示 します。はインスタン<br />
スの 番 号 です。<br />
-i インタフェースのアフィニティを 表 示 します。はインタフェー<br />
ス 名 です(たとえば「eth0」)。<br />
が 省 略 される 場 合 、fw ctl affinity –l で 特 定 のアフィニティとそれらのアフィニティを 持 つアイテムを 一 覧 表<br />
示 します。それ 以 外 の 場 合 は、は 以 下 のパラメータのいずれかになります。<br />
パラメータ<br />
説 明<br />
-a すべて: 特 定 のアフィニティを 除 くアイテムを 含 めます。<br />
-r リバース: 各 プロセッシング・コアと、アフィニティとして 持 っている 項 目 を 一<br />
覧 表 示 します。<br />
-v 詳 細 : 追 加 情 報 を 含 むリストです。<br />
例<br />
特 定 のアフィニティを 除 く 全 てのチェック・ポイント・デーモン、カーネル・インスタンスおよびインタフェースの 完 全 なア<br />
フィニティ 情 報 を 付 加 的 な 情 報 とともに 一 覧 表 示 するには、 以 下 を 実 行 します。<br />
fw ctl affinity -l -a -v<br />
fw ctl multik stat<br />
「fw ctl multik stat」と「fw6ctl multik stat」(マルチカーネル 統 計 データ)コマンドは 各 カーネル・インスタンスの 情 報 を<br />
表 します。 各 インスタンスの 状 態 とプロセッシング・コア 番 号 が 以 下 と 一 緒 に 表 示 されます。<br />
現 在 処 理 中 の 接 続 数 。<br />
インスタンスが 開 始 以 来 処 理 した 同 時 接 続 の 最 大 数 。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 103
付 録 A<br />
付 録<br />
この 付 録 の 構 成<br />
<strong>ファイアウォール</strong>を 有 効 にする 前 のセキュリティ 104<br />
ブート・セキュリティ 104<br />
デフォルト・フィルタ 104<br />
初 期 ポリシー 106<br />
デフォルト·フィルタと 初 期 ポリシーの 管 理 107<br />
<strong>ファイアウォール</strong>を 有 効 にする 前 のセキュリティ<br />
<strong>ファイアウォール</strong>にセキュリティ・ポリシーがインストールされる 前 に、コンピュータが 危 険 にさらされるケースがいくつ<br />
かあります。このようなケースでは、 次 の 2 つの 機 能 によってセキュリティを 確 保 できます。ブート・セキュリティは、 起<br />
動 時 に 安 全 な 通 信 を 確 保 します。 初 期 ポリシーは、セキュリティ・ポリシーを 初 めてインストールする 前 にセキュリティ<br />
を 提 供 します。したがって、コンピュータが 無 防 備 な 状 態 である 期 間 はありません。<br />
ブート・セキュリティ<br />
起 動 処 理 時 には、コンピュータが 通 信 可 能 となった( 攻 撃 される 可 能 性 がある) 時 点 から、セキュリティ・ポリシー<br />
がロードされて 実 施 されるまでの 間 に、 短 い 期 間 ( 数 秒 間 )があります。この 間 、<strong>ファイアウォール</strong>のブート・セキュリ<br />
ティ 機 能 は、Security Gateway の 背 後 にある 内 部 ネットワークとコンピュータ 自 体 を 保 護 します。ブート・セキュリティ<br />
は 以 下 の 2 つの 要 素 によって 提 供 されます。<br />
<br />
<br />
起 動 時 の IP 転 送 の 制 御<br />
デフォルト・フィルタ<br />
デフォルト・フィルタは、メンテナンスのために<strong>ファイアウォール</strong>・プロセスを 停 止 する 場 合 でも、コンピュータを 保 護 し<br />
ます。<br />
起 動 時 の IP 転 送 の 制 御<br />
Security Gateway で 保 護 されているネットワークでは、OS カーネルで IP 転 送 を 無 効 にすることによって 起 動 時 の<br />
保 護 を 実 現 できます。これにより、IP 転 送 が 有 効 なときには 常 にセキュリティ・ポリシーが 実 施 されます。したがって、<br />
ゲートウェイの 背 後 にあるネットワークの 安 全 が 確 保 されます。<br />
IP 転 送 を 無 効 にすることによって、Security Gateway コンピュータの 背 後 にあるネットワークを 保 護 していますが、<br />
Security Gateway コンピュータ 自 体 を 保 護 しているわけではありません。このため、Security Gateway は 脆 弱 期 間<br />
にはデフォルト・フィルタを 実 施 します。<br />
デフォルト・フィルタ<br />
デフォルト・フィルタで 起 動 する 際 の Security Gateway の 一 連 の 動 作 を 下 記 に 示 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 104
1. コンピュータが 起 動 します。<br />
2. ブート・セキュリティが 有 効 になります(デフォルト・フィルタがロードされ、IP 転 送 が 無 効 になる)。<br />
3. インタフェースを 設 定 します。<br />
4. Security Gateway サービスを 開 始 します。<br />
コンピュータは、デフォルト・フィルタが 読 み 込 まれた 直 後 から 保 護 されます。<br />
以 下 のいくつかのデフォルト・フィルタがあります。<br />
<br />
一 般 フィルタは 着 信 通 信 を 受 け 付 けません(デフォルトのオプション)。<br />
ドロップ・フィルタは 着 信 および 発 信 通 信 を 受 け 付 けません。このフィルタは、 脆 弱 期 間 にゲートウェイでの 発 信 /<br />
着 信 通 信 を 破 棄 します。ただし、 起 動 時 にゲートウェイが 他 のホストと 通 信 する 必 要 がある 場 合 には、ドロップ・<br />
フィルタを 使 用 しないでください。<br />
<br />
<br />
<br />
リモート 管 理 をサポートするための SSH 着 信 通 信 を 許 可 する IPSO 用 デフォルト・フィルタ。<br />
リモート 管 理 をサポートするための HTTPS 着 信 通 信 を 許 可 する IPSO 用 デフォルト・フィルタ。<br />
リモート 管 理 をサポートするための SSH および HTTPS 着 信 通 信 を 許 可 する IPSO 用 デフォルト・フィルタ。<br />
プラットフォームと 通 信 の 要 件 に 合 わせて、 適 切 なデフォルト・フィルタを 選 択 します。デフォルトでは 一 般 フィルタが<br />
選 択 されます。<br />
デフォルト・フィルタには、Security Gateway 用 のスプーフィング 対 策 保 護 も 用 意 されています。これは、 発 信 元 が<br />
Security Gateway コンピュータ 自 身 であるパケットが、そのいずれのインタフェースからも 着 信 していないということ<br />
を 確 認 します。<br />
デフォルト・フィルタのドロップ・フィルタへの 変 更<br />
典 型 的 なセットアップには、「defaultfilter.boot」と「defaultfilter.drop」の 2 つのデフォルトのフィルタがあります。これ<br />
らの 設 定 は「$FWDIR/lib」にあります。<br />
デフォルト・フィルタを 変 更 するには<br />
1. 関 連 する 必 要 なデフォルト・フィルタ 検 査 ファイル(「defaultfilter.boot」または「defaultfilter.drop」)を<br />
$FWDIR/conf/defaultfilter.pf にコピーして 名 前 を 変 更 します。<br />
2. 以 下 のコマンドを 実 行 してデフォルト・フィルタをコンパイルします。<br />
fw defaultgen<br />
「$FWDIR/state/default.bin」に 出 力 されます。<br />
3. 「fwboot bootconf get_def」を 実 行 し、デフォルト・フィルタ・ファイルへのパスを 表 示 します。<br />
4. 「default.bin」をデフォルト・フィルタ・ファイルへのパスにコピーします。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 105
5. セキュリティ・ポリシーをまだインストールしていない 場 合 は、「cpconfig」を 実 行 して 初 期 ポリシーを 再 生 成 しま<br />
す。<br />
カスタムデフォルト·フィルタの 定 義<br />
管 理 者 が INSPECT を 熟 知 している 場 合 は、 独 自 のデフォルト・フィルタを 定 義 できます。<br />
デフォルト・フィルタを 定 義 するには<br />
1. 「defaultfilter.pf」という 名 前 の INSPECT スクリプトを$FWDIR/conf に 作 成 します。<br />
重 要 - このスクリプトは 以 下 のいずれの 機 能 も 実 行 しないことを 確 認 します。<br />
ログ<br />
認 証<br />
暗 号 化<br />
コンテンツ・セキュリティ<br />
1. デフォルト·フィルタを、ドロップ・フィルタへ 変 更 する 場 合 の 手 順 2 から 処 理 を 続 行 します。<br />
セキュリティ・ポリシーが 起 動 プロセスを 妨 害 しないことを 確 認 してください。<br />
メンテナンス 時 のデフォルト・フィルタの 使 用<br />
メンテナンスのために<strong>ファイアウォール</strong>・プロセスを 停 止 する 必 要 がある 場 合 があります。しかし、たとえばコンピュー<br />
タがリモートの 場 所 にある 場 合 など、Security Gateway コンピュータをネットワークから 切 断 できません。<br />
「cpstop -fwflag -default」コマンドと「cpstop -fwflag -proc」コマンドを 使 用 すると、コンピュータを 攻 撃 の 危 険 にさら<br />
すことなく、リモート・メンテナンスのために Security Gateway プロセスを 一 時 的 に 停 止 できます。<br />
デフォルト・フィルタではメンテナンス 時 に、ゲートウェイで 開 いている 接 続 を 破 棄 せずに 開 いたままにしておくことが<br />
できます。<br />
初 期 ポリシー<br />
Security Gateway 管 理 者 がゲートウェイにセキュリティ・ポリシーを 初 めてインストールするまでは、セキュリティは<br />
初 期 ポリシーによって 実 施 されます。 初 期 ポリシーは、デフォルト・フィルタに「 暗 黙 ルール」を 追 加 します。これらの<br />
ルールはほとんどの 通 信 を 禁 止 しますが、セキュリティ・ポリシーのインストールに 必 要 な 通 信 は 許 可 します。 初 期<br />
ポリシーは、チェック・ポイント 製 品 をアップグレードするとき、ゲートウェイで SIC 証 明 書 をリセットするとき、または<br />
チェック・ポイント 製 品 のライセンスが 失 効 したときにもゲートウェイを 保 護 します。<br />
注 - 初 期 ポリシーは、アップグレード 時 、SIC 証 明 書 のリセット 時 、またはライセンスの 失 効 時<br />
にユーザ 定 義 ポリシーを 上 書 きします。<br />
以 下 は、セキュリティ・ポリシーが 初 めてロードされるまでの Security Gateway コンピュータの 起 動 時 の 一 連 のアク<br />
ションです。<br />
1. コンピュータが 起 動 します。<br />
2. デフォルト・フィルタのロードと IP 転 送 を 無 効 にします。<br />
3. インタフェースを 設 定 します。<br />
4. Security Gateway サービスが 開 始 します。<br />
5. ローカル・ゲートウェイから 初 期 ポリシーを 取 得 します。<br />
106 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
6. SmartConsole クライアントの 接 続 または 信 頼 関 係 を 確 立 し、セキュリティ・ポリシーをインストールします。<br />
初 期 ポリシーは、ユーザを 定 義 したポリシーがインストールされるまで 実 施 され、その 後 は 再 びロードされることはあ<br />
りません。これ 以 降 の 起 動 では、デフォルト・フィルタの 直 後 に 通 常 のポリシーが 読 み 込 まれます。<br />
スタンドアロン 構 成 と 分 散 構 成 にはそれぞれ 異 なる 初 期 ポリシーがあります。Security Management Server と<br />
Security Gateway が 同 一 のコンピュータに 導 入 されているスタンドアロン 構 成 では、 初 期 ポリシーは CPMI 通 信 の<br />
み 許 可 します。これは、SmartConsole クライアントが Security Management Server に 接 続 することを 許 可 します。<br />
プライマリ Security Management Server が 1 台 のコンピュータに 導 入 され、Security Gateway が 別 のコンピュータ<br />
に 導 入 されている 分 散 構 成 では、 初 期 ポリシーは 以 下 の 通 信 を 許 可 します。<br />
<br />
<br />
プライマリ Security Management Server ― SmartConsole クライアントに CPMI 通 信 を 許 可 します。<br />
Security Gateway — SIC 通 信 ( 信 頼 関 係 を 確 立 するため)とポリシーのインストールに「cpd」と「fwd」 通 信 を<br />
許 可 します。<br />
分 散 構 成 では、Security Gateway の 初 期 ポリシーは CPMI 接 続 を 許 可 しません。SmartConsole が、 初 期 ポリシー<br />
を 実 行 しているゲートウェイを 介 して Security Management Server にアクセスする 必 要 がある 場 合 は、<br />
SmartConsole は Security Management Server に 接 続 できません。<br />
セカンダリ Security Management Server(Managed HA) 用 の 初 期 ポリシーもあります。この 初 期 ポリシーは、<br />
SmartConsole クライアントに CPMI 通 信 を 許 可 し、SIC 通 信 ( 信 頼 関 係 を 確 立 するため)とポリシーのインストール<br />
に cpd と fwd 通 信 を 許 可 します。<br />
デフォルト·フィルタと 初 期 ポリシーの 管 理<br />
デフォルト・フィルタまたは 初 期 ポリシーが 読 み 込 まれていることを 確 認<br />
デフォルト・フィルタと 初 期 ポリシーの 両 方 またはそのいずれかが 読 み 込 まれていることを 確 認 できます。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 107
デフォルト・フィルタまたは 初 期 ポリシーがロードされていることを 確 認 するには<br />
1. システムを 起 動 します。<br />
2. 他 のセキュリティ・ポリシーをインストールする 前 に、 以 下 のコマンドを 入 力 します。<br />
$FWDIR/bin/fw stat<br />
コマンドの 出 力 は、デフォルト・フィルタ・ステータスに「defaultfilter」がインストールされているとを 示 します。 初 期<br />
ポリシーが 使 用 されている 場 合 は、ステータスに「InitialPolicy」が 表 示 されます。<br />
デフォルト·フィルタまたは 初 期 ポリシーのアンロード<br />
デフォルト・フィルタまたは 初 期 ポリシーをカーネルからアンロードするには、 通 常 のポリシーのアンロードと 同 じコマ<br />
ンドを 使 用 します。アンロードは、デフォルト・フィルタまたは 初 期 ポリシーによるセキュリティが 不 要 であることが 確 実<br />
な 場 合 にのみ 行 ってください。<br />
ローカルでデフォルト·フィルタをアンロードするには<br />
<br />
「fw unloadlocal」コマンドを 実 行 します。<br />
リモート・セキュリティ 管 理 コンピュータから 初 期 ポリシーをアンロードするには<br />
<br />
Security Management サーバで 次 のコマンドを 実 行 します。<br />
fwm unload <br />
「hostname」はゲートウェイの SIC_name です。<br />
トラブルシューティング: 再 起 動 を 完 了 できない<br />
構 成 によって、デフォルト・フィルタのために Security Gateway コンピュータがインストールしたあとで 再 起 動 できな<br />
いことがあります。<br />
まず、デフォルト・フィルタを 調 べ、デフォルト・フィルタがコンピュータの 再 起 動 に 必 要 なトラフィックを 許 可 しているか<br />
確 認 します。<br />
起 動 処 理 を 終 了 できない 場 合 は、 以 下 の 手 順 に 従 ってデフォルト・フィルタを 削 除 します。<br />
1. 「single user」モード(UNIX)または「Safe Mode With No Networking(Windows 2000)」で 再 起 動 します。<br />
2. 以 降 の 起 動 時 にデフォルト・フィルタが 読 み 込 まれないようにします。コマンド「fwbootconf bootconf Set_def」を<br />
使 用 します。<br />
3. 再 起 動 します。<br />
コマンドライン<br />
control_bootsec<br />
ブート・セキュリティを 有 効 または 無 効 にします。このコマンドは、デフォルト・フィルタと 初 期 ポリシーの 両 方 に 影 響 し<br />
ます。<br />
使 用 方 法<br />
$FWDIR/bin/control_bootsec [-r] [-g]<br />
control_bootsec のオプション<br />
オプション<br />
内 容<br />
-r ブート・セキュリティを 無 効 にします。<br />
-g ブート・セキュリティを 有 効 にします。<br />
108 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
fwboot bootconf<br />
「fwboot bootconf」コマンドを 使 用 してセキュリティ・オプションの 起 動 を 設 定 します。このコマンドは$FWDIR/boot に<br />
あります。<br />
使 用 方 法<br />
$FWDIR/bin/fwboot bootconf [value]<br />
fwboot bootconf のオプション<br />
オプション<br />
Get_ipf<br />
Set_ipf 0/1<br />
Get_def<br />
Set_def<br />
内 容<br />
<strong>ファイアウォール</strong>が IP 転 送 を 制 御 するかどうかを 通 知 します。<br />
<br />
<br />
起 動 時 に IP 転 送 を 制 御 する 場 合 は「1」を 返 します。<br />
起 動 時 に IP 転 送 を 制 御 しない 場 合 は「0」を 返 します。<br />
次 回 の 起 動 時 に IP 転 送 の 制 御 を 無 効 / 有 効 にします。<br />
0 - 無 効 にします。<br />
1 - 有 効 にします。<br />
起 動 時 に 使 用 するデフォルト・フィルタの 完 全 なパスを 返 します。<br />
次 回 の 起 動 時 に、デフォルト・フィルタとしてをロードします。<br />
default.bin ファイルを 安 全 に 格 納 できる 唯 一 の 場 所 として、$FWDIR¥boot<br />
をお 勧 めします。(default.bin ファイル 名 がデフォルトの 名 前 です)。<br />
注 - これらのファイルを 移 動 しないでください。<br />
comp_init_policy<br />
「comp_init_policy」コマンドを 使 用 して、 初 期 ポリシーの 生 成 と 読 み 込 み、または 削 除 を 行 います。<br />
このコマンドは 初 期 ポリシーを 生 成 します。コンピュータの 次 回 起 動 時 、または 次 にポリシーを 取 得 した 際 (「cpstart」<br />
の 実 行 時 または「fw fetch localhost」コマンドによる 取 得 時 )に、 初 期 ポリシーがロードされるようにします。このコマ<br />
ンドを 実 行 したあとは、それまでポリシーがインストールされていなかった 場 合 は、「cpconfig」によって 初 期 ポリシー<br />
が 追 加 されます。<br />
使 用 方 法<br />
$FWDIR/bin/comp_init_policy [-u | -g]<br />
comp_init_policy のオプション<br />
オプション<br />
内 容<br />
-u 現 在 の 初 期 ポリシーを 削 除 し、 以 後 の「cpconfig」の 実 行 時 に 再 生 成 されないようにします。<br />
-g 初 期 ポリシーを 生 成 し、 次 にポリシーを 取 得 した 際 (「cpstart」 実 行 時 、 次 回 起 動 時 、または<br />
「fw fetchlocalhost」コマンドによる 取 得 時 )に、 初 期 ポリシーがロードされるようにします。こ<br />
のコマンドを 実 行 したあとは、 必 要 に 応 じて「cpconfig」によって 初 期 ポリシーを 追 加 します。<br />
「comp_init_policy -g」コマンドは、それまでポリシーがない 場 合 にのみ 使 用 できます。ポリシーがある 場 合 には、ポ<br />
リシーを 削 除 したあとで 「$FWDIR¥state¥local¥FW1¥」フォルダを 削 除 してください。「$FWDIR/state/local/FW1」<br />
フォルダには、「fw fetch localhost」を 実 行 して 取 得 されるポリシーが 格 納 されています。<br />
「fw fetch localhost」コマンドはローカル・ポリシーをインストールするコマンドです。「cpstart. comp_init_policy」は<br />
初 期 ポリシーを 作 成 しますが、 安 全 対 策 として 初 期 ポリシーは 通 常 のユーザ・ポリシーを 上 書 きしないようになって<br />
います( 初 期 ポリシーは 新 規 インストールまたはアップグレードのみに 使 用 されるため)。このため、 前 のポリシーが<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 109
ある 場 合 は 「$FWDIR¥state¥local¥FW1¥」ディレクトリを 削 除 する 必 要 があります。 削 除 しない 場 合 は、<br />
「comp_init_policy」はその 既 存 のユーザ・ポリシーを 検 出 しますが、それを 上 書 きしません。<br />
以 前 のポリシーを 削 除 しない 場 合 に、 以 下 のコマンドを 実 行 します …<br />
… 元 のポリシーが 読 み 込 まれます。<br />
comp_init_policy -g + fw fetch localhost<br />
comp_init_policy -g + cpstart<br />
comp_init_policy -g + reboot<br />
cpstop -fwflag default と cpstop -fwflag proc<br />
すべての<strong>ファイアウォール</strong>・プロセスを 停 止 し、デフォルト・フィルタを 実 行 したままにするには、「cpstop -fwflag<br />
-default」を 使 用 します。すべての Security Gateway プロセスを 停 止 し、セキュリティ・ポリシーを 実 行 したままにする<br />
には、「cpstop -fwflag -proc」を 使 用 します。<br />
すべてのチェック・ポイント・プロセスを 開 始 または 停 止 させるには、「cpstop」と「cpstart」を 使 用 します。 これらのコ<br />
マンドは 注 意 して 使 用 する 必 要 があります。<br />
Win32 プラットフォームでは、チェック・ポイント・サービスの 停 止 と 開 始 には[コントロール・パネル]の[サービス]を<br />
使 用 してください。<br />
使 用 方 法<br />
cpstop -fwflag [-default | -proc]<br />
fwflag のオプション<br />
オプション<br />
-default<br />
-proc<br />
内 容<br />
<strong>ファイアウォール</strong>のプロセス(fwd、fwm、vpnd、snmpd など)を 停 止 します。ログ、カーネル・トラッ<br />
プ、リソース、およびセキュリティ・サーバのすべての 接 続 が 停 止 します。<br />
カーネルのセキュリティ・ポリシーは、デフォルト・フィルタに 置 き 換 えられます。<br />
<strong>ファイアウォール</strong>のプロセス (fwd、fwm、vpnd など)を 停 止 します。ログ、カーネル・トラップ、<br />
リソース、およびセキュリティ・サーバのすべての 接 続 が 停 止 します。<br />
セキュリティ・ポリシーは、カーネルにロードされたまま 維 持 されます。したがって、リソースを 使 用<br />
せずにサービスのみを 使 用 する 許 可 / 拒 否 / 破 棄 ルールは 維 持 されます。<br />
110 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
付 録 B<br />
付 録<br />
このセクションはレガシー 認 証 方 法 の 使 い 方 を 述 べます。<br />
この 付 録 の 構 成<br />
認 証 の 設 定 111<br />
認 証 スキーム 112<br />
認 証 方 式 116<br />
ユーザとグループの 作 成 125<br />
認 証 トラッキングの 設 定 126<br />
Windows ユーザ・グループ 用 のポリシーの 設 定 126<br />
認 証 の 設 定<br />
Security Gateway では、 以 下 の 2 つの 場 所 のいずれかで 認 証 を 設 定 できます。<br />
<br />
<br />
ゲートウェイの[Gateway Properties]ウィンドウの[Authentication]ページで、チェック・ポイント・パスワード、<br />
SecurID、OS Password で 認 証 するユーザ、 RADIUS サーバまたは TACACS サーバへのアクセスを 許 可 す<br />
ることができます。 選 択 した 方 法 の 他 に、 内 部 認 証 局 からのクライアント 証 明 書 を 使 用 した 認 証 がデフォルトで<br />
有 効 になっています。<br />
一 部 のブレードには、 独 自 の 認 証 設 定 があります。[]→[Authentication] 下 で、ゲートウェイの<br />
[Gateway Properties]ウィンドウでこれを 設 定 します。たとえば、[Gateway Properties]→[IPSec VPN]→<br />
[Authentication]の 順 に 選 択 して IPSec VPN クライアントの 認 証 方 法 を 設 定 するとします。ブレードの 認 証 方 式<br />
を 選 択 した 場 合 は、そのブレードを 認 証 するのにすべてのユーザが 使 用 しなければならない 方 法 です。 別 の<br />
ページでの 別 のブレードに 使 用 しなければならない 他 の 認 証 方 法 を 設 定 することができます。<br />
特 定 のブレード 用 に[Authentication]ページで 選 択 しない 場 合 は、Security Gateway はゲートウェイの 認 証<br />
ページからブレードの 認 証 設 定 を 行 います。<br />
注 - 以 前 のリリースで、 特 定 のブレードの 認 証 設 定 オプションはありませんでした。R75 または<br />
それ 以 上 のバージョンから、 特 定 のブレードの 認 証 方 式 を 設 定 する 場 合 は、このページの 設 定 は<br />
そのブレードに 全 く 適 用 されません。<br />
ゲートウェイのユーザ 検 索<br />
Security Gateway の[Legacy Authentication]ページから、ブレードの 認 証 を 設 定 する 場 合 は、Security Gateway<br />
は 標 準 的 な 方 法 で 認 証 しようとするユーザを 検 索 します。ゲートウェイは 以 下 を 検 索 します。<br />
1. 内 部 ユーザ·データベース。<br />
2. 指 定 したユーザがこのデータベースで 定 義 されていない 場 合 は、ゲートウェイは、アカウント・ユニットで 定 義 さ<br />
れている User Directory(LDAP)サーバを 優 先 順 位 に 従 って 1 つずつ 検 索 します。<br />
3. それでも 情 報 が 見 つからない 場 合 は、ゲートウェイは 外 部 ユーザ・テンプレートを 使 用 して、 汎 用 プロファイルに<br />
一 致 するものがないかどうかを 確 認 します。 汎 用 プロファイルには、 指 定 したユーザに 適 用 されるデフォルトの<br />
属 性 が 含 まれています。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 111
特 定 のブレードの 認 証 方 式 を 設 定 する 場 合 は、ゲートウェイはそのブレードでの 認 証 に 使 用 されるユーザ・グループ<br />
に 応 じてユーザを 検 索 します。<br />
たとえば、Mobile Access でゲートウェイがどのユーザ・グループが 含 まれているかを 確 認 するために Mobile<br />
Access ポリシーを 参 照 します。ゲートウェイがユーザを 認 証 しようとする 場 合 は、ユーザ·グループに 関 連 するデー<br />
タベース 内 のユーザを 検 索 します。<br />
IPSec VPN で、ゲートウェイは、ユーザ・グループが 含 まれているかを 確 認 するためにリモート・アクセス VPN コミュ<br />
ニティを 参 照 します。それらのユーザ·グループに 関 連 するデータベース 内 のユーザを 検 索 します。<br />
認 証 方 式 に 基 づいた 検 索 は 高 速 で、 良 い 結 果 を 得 ることができます。 関 連 しないグループでは 同 じユーザ 名 のユー<br />
ザを 設 定 することができます。ゲートウェイは、ユーザ・グループに 基 づいてブレードに 関 連 しているユーザを 認 識 し<br />
ます。<br />
認 証 スキーム<br />
Security Gateway は 認 証 情 報 を 使 用 して 個 々のユーザを 認 証 します。 認 証 情 報 はいくつかの 認 証 スキームで 管 理<br />
されます。すべての 認 証 スキームではユーザ 名 とパスワードを 設 定 している 必 要 があります。パスワードをゲート<br />
ウェイに 保 存 するスキームでも、 外 部 サーバに 保 存 するスキームでも 同 様 です。<br />
以 下 のセクションでは、チェック・ポイントでサポートされている 様 々な 認 証 方 式 を 説 明 します。<br />
チェック・ポイント・パスワード<br />
Security Gateway は、セキュリティ 管 理 サーバで 設 定 された 各 ユーザの 固 定 パスワードをローカルのユーザ・デー<br />
タベースに 保 存 できます。 追 加 のソフトウェアは 必 要 ありません。<br />
オペレーティング・システム・パスワード<br />
Security Gateway は、Security Gateway がインストールされているコンピュータのオペレーティング・システムに 保<br />
存 されているユーザ 情 報 とパスワードを 使 用 して 認 証 できます。Windows ドメインに 保 存 されているパスワードを 使<br />
用 することもできます。 追 加 のソフトウェアは 必 要 ありません。<br />
RADIUS<br />
RADIUS(Remote Authentication Dial-In User Service)は、 認 証 機 能 をアクセス・サーバから 切 り 離 すことで、セ<br />
キュリティとスケーラビリティを 提 供 する 外 部 認 証 スキームです。<br />
RADIUS を 使 用 すると、Security Gateway はリモート・ユーザの 認 証 要 求 を RADIUS サーバに 転 送 します。ユーザ<br />
は、ユーザ・アカウント 情 報 を 保 存 している RADIUS サーバによって 認 証 されます。<br />
RADIUS プロトコルでは、UDP を 使 用 してゲートウェイと 通 信 します。RADIUS サーバと RADIUS サーバ・グルー<br />
プ・オブジェクトは、SmartDashboard で 定 義 します。<br />
RADIUS 認 証 を 使 用 するための Security Gateway 設 定<br />
RADIUS 認 証 を 使 用 するために Security Gateway を 設 定 するには<br />
1. SmartDashboard から、[Manage]→[Network Objects]→[New]→[Node]→[Host]の 順 に 選 択 して、<br />
RADIUS ホスト・オブジェクトを 新 規 作 成 します。<br />
2. ホスト・オブジェクトに 名 前 を 付 けて、IP アドレスを 割 り 当 てます。<br />
3. [Manage]→[Server and OPSEC Applications]→[New]→[RADIUS]を 選 択 し、RADIUS サーバ・オブジェ<br />
クトを 新 規 作 成 し、 以 下 のように 設 定 します。<br />
a) RADIUS サーバ・オブジェクトに 名 前 を 付 けます。<br />
b) RADIUS サーバ・オブジェクトを、 手 順 1 で 作 成 した RADIUS ホスト・オブジェクトに 関 連 付 けます。<br />
112 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
c) ポート 1645 サービス 上 の[RADIUS]またはポート 1812 上 の[NEW-RADIUS]を 選 択 してサービスを 割 り<br />
当 てます(デフォルトの 設 定 は[RADIUS]ですが、1645 は 同 じポート 上 で 実 行 される「datametrics」サービ<br />
スと 競 合 する 可 能 性 があるため、RADIUS 標 準 グループでは[NEW-RADIUS]の 使 用 を 推 奨 しています)。<br />
d) 実 際 の RADIUS サーバ 上 で 設 定 したのと 同 じ 共 有 の 秘 密 鍵 を 割 り 当 てます。<br />
e) RFC 2138 準 拠 の RADIUS バージョン 1.0 または RFC2865 準 拠 の RADIUS バージョン 2 のいずれかを<br />
選 択 します。<br />
f) 複 数 の RADIUS 認 証 サーバを 使 用 する 場 合 は、RADIUS サーバの 優 先 順 位 を 割 り 当 てます。<br />
g) [OK]をクリックします。<br />
4. ゲートウェイ・オブジェクトを 右 クリックして、[Edit]→[Authentication]の 順 に 選 択 します。<br />
5. RADIUS 認 証 を 有 効 にします。<br />
6. [Manage]→[Users & Administrators]→[New]→[User Group]の 順 に 選 択 して、ユーザ・グループ(たとえ<br />
ば RADIUS_Users)を 定 義 します。<br />
7. [Manage]→[Users and Administrators]→[New]→[User by Template]→[Default]の 順 に 選 択 して、<br />
Security Gateway の RADIUS 認 証 を 有 効 にします。<br />
8. 外 部 ユーザ・プロファイルを 作 成 することによって、Security Gateway ユーザ・アカウントを 使 用 しないユーザへ<br />
の RADIUS 認 証 を 有 効 にすることができます。[Manage]→[Users and Administrators]→[New]→<br />
[External User Profile]→[Match all users]または[Match by domain]の 順 に 選 択 します。 複 数 の 外 部 認 証<br />
スキームをサポートするには、[Match By Domain] 設 定 を 使 用 して 外 部 ユーザ・プロファイルを 定 義 します。<br />
9. すべてのユーザ・プロファイルとテンプレートについて 以 下 の 手 順 を 実 行 します。<br />
a) [General]タブで、RADIUS サーバのデフォルトのログイン 名 を 入 力 します([Match all users]を 外 部 ユー<br />
ザ・プロファイルとして 設 定 する 場 合 は、「generic*」という 名 前 が 自 動 的 に 割 り 当 てられます。)<br />
b) [Personal]タブで、[Expiration Date]を 調 整 します。<br />
c) [Authentication]タブで、ドロップダウン・リストから[RADIUS]を 選 択 します。<br />
d) [Groups]タブで、RADIUS グループにユーザを 追 加 します。<br />
10. アドレス 変 換 ルール・ベースで<strong>ファイアウォール</strong>と RADIUS サーバの 間 の 通 信 が 定 義 されないことを 確 認 しま<br />
す。<br />
11. ポリシーを 確 認 および 保 存 し、インストールします。<br />
RADIUS サーバ・グループを 使 用 したユーザ・アクセス 権 の 付 与<br />
Security Gateway を 使 用 すると、 管 理 者 がユーザに 割 り 当 てた RADIUS グループにより、 認 証 された RADIUS<br />
ユーザのアクセス 権 を 制 御 できます。これらのグループは、 特 定 のリソースへのアクセスをユーザに 制 限 または 許<br />
可 するためにセキュリティ・ルール・ベースで 使 用 されます。ユーザは 自 分 が 所 属 しているグループを 認 識 しません。<br />
RADIUS グループを 使 用 するには、RADIUS サーバ 上 の RADIUS ユーザ・プロファイルで 戻 り 属 性 を 定 義 する 必 要<br />
があります。この 属 性 は Security Gateway に 返 され、ユーザが 属 するグループ 名 (たとえば、RAD_)を 含 んでいます。 他 の RADIUS 属 性 も 使 用 できますが、デフォルトでは Class<br />
属 性 が 使 用 されます(IETF RADIUS 属 性 番 号 25)。<br />
RADIUS サーバ・グループを 使 用 してアクセス 権 を 付 与 するには<br />
1. Security Gateway で、RADIUS を 使 用 するには、「Security Gateway の 設 定 」の 手 順 1~4 に 従 います(112<br />
ページを 参 照 )。<br />
2. [Manage]→[Users and Administrators]→[New]→[External User Profile]→[Match all users]の 順 に 選<br />
択 して 外 部 ユーザ・プロファイルを 作 成 します。これは generic*ユーザです。<br />
3. [Authentication]タブで、 認 証 スキームとして[RADIUS]を 選 択 して、ドロップダウン・リストから、 作 成 した<br />
RADIUS サーバ(ノードではない)を 選 択 します。<br />
4. [Manage]→[Users & Administrators]→[New]→[User Group]を 選 択 して、 必 要 な RADIUS ユーザ・グル<br />
ープを 定 義 します。グループの 名 前 は「RAD_」の 書 式 にする 必<br />
要 があります。グループが 空 であることを 確 認 します。<br />
5. RADIUS ユーザのアクセスを 許 可 するために 必 要 なルールを 作 成 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 113
6. 変 更 を 保 存 し、SmartDashboard を 終 了 します。<br />
7. Security Management Server で「cpstop」を 実 行 します。<br />
8. Security Management Server で、グラフィカル・データベース・ツール(GUIdbEdit)を 使 用 し、<br />
「add_radius_groups」 属 性 の 値 を「false」から「true」に 変 更 します。<br />
9. Security Management Server で「cpstart」を 実 行 します。<br />
10. ポリシーをインストールします。<br />
11. RADIUS サーバで RADIUS ユーザを 変 更 して、ユーザがアクセスするユーザ・グループに 対 応 する 戻 り 属 性 の<br />
リストに class RADIUS 属 性 が 含 まれるようにします。<br />
「class」 属 性 の 代 わりに 別 の 属 性 を 使 用 するには<br />
1. Security Gateway で、GUIdbEdit を 使 用 して、「firewall_properties」 属 性 の 値 「radius_groups_attr」を 新 しい<br />
RADIUS 属 性 に 変 更 します。<br />
2. RADIUS サーバ 上 で、ユーザがアクセスする<strong>ファイアウォール</strong>・ユーザ・グループに 対 応 する 戻 り 属 性 のリストで、<br />
同 じ RADIUS 属 性 を 使 用 していることを 確 認 します。<br />
Security Gateway を 使 用 した RADIUS サーバとの 関 連 付 け<br />
ユーザ・プロパティ 認 証 タブでユーザを Radius 認 証 サーバに 関 連 付 けることができます。また、ゲートウェイを<br />
RADIUS サーバと 関 連 付 けることもできます。これにより、ユーザと RADIUS サーバの 関 連 付 けは 無 効 になります。<br />
このためには、dbedit コマンドを 使 用 してデータベースを 編 集 します。<br />
1 つ 以 上 の RADIUS サーバをゲートウェイに 関 連 付 けるには<br />
1. 以 下 の「dbedit」コマンドを 実 行 します。<br />
modify network_objects radius_server servers:<br />
2. RADIUS サーバと Security Gateway の 関 連 付 けをなくし、ユーザが 常 に[ユーザ・プロパティ 認 証 ]タブで 指 定<br />
された RADIUS サーバに 対 して 認 証 されるようにするには、 以 下 の「dbedit」コマンドを 実 行 して、データベース<br />
の 別 の 属 性 をオフに 設 定 します<br />
modify users use_fw_radius_if_exist false<br />
SecurID<br />
SecurID では、ユーザがトークン 認 証 コードを 所 有 し、PIN またはパスワードを 入 力 する 必 要 があります。トークン 認<br />
証 コードは RSA ACE/Server に 同 期 されるワン・タイム・パスワードを 生 成 します。トークンはハードウェアまたはソフ<br />
トウェアの 形 式 で 提 供 されます。ハードウェア・トークンはキーホルダー 型 またはクレジット・カード 型 のデバイスで、<br />
ソフトウェア・トークンは PC またはユーザが 認 証 したいデバイスに 保 存 されます。すべてのトークンは、 約 1 分 ごとに<br />
変 更 される、ランダムで 一 度 だけ 使 用 されるアクセス・コードを 生 成 します。ユーザが、 保 護 されたリソースに 対 して<br />
認 証 しようとする 場 合 は、 一 度 だけ 使 用 されるコードが ACE/Server によって 検 証 される 必 要 があります。<br />
SecurID を 使 用 すると、Security Gateway はリモート・ユーザの 認 証 要 求 を ACE/Server に 転 送 します。ACE は、<br />
RSA ユーザ、およびそのユーザに 割 り 当 てられたハードウェア・トークンまたはソフトウェア・トークンのデータベース<br />
を 管 理 します。ゲートウェイは ACE/Agent 5.0 として 動 作 し、すべてのアクセス 要 求 を 認 証 のために RSA<br />
ACE/Server に 転 送 します。エージェント 設 定 の 詳 細 については、ACE/Server のマニュアルを 参 照 してください。<br />
SecurID 認 証 スキームに 必 要 な 固 有 のパラメータはありません。<br />
SecurID 認 証 を 使 用 するための Security Gateway 設 定<br />
SecurID を 使 用 するために Security Gateway を 設 定 するには<br />
1. 「sdconf.rec」ファイルを 生 成 し、「ACE/Server」から 次 の 場 所 にコピーします。<br />
「/var/ace/sdconf.rec」(UNIX、Linux、IPSO の 場 合 )<br />
「%SystemRoot%\System32\sdconf.rec」(Windows の 場 合 )<br />
114 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
2. SmartDashboard でゲートウェイ・オブジェクトを 右 クリックして、[Edit]>[Authentication]ページの 順 に 選 択 し<br />
ます。<br />
3. SecurID 認 証 を 有 効 にします。<br />
4. [Manage]→[Users & Administrators]→[New]→[User Group]の 順 に 選 択 して、ユーザ・グループ(たとえ<br />
ば、SecurID_Users)を 定 義 します。<br />
5. [Manage]→[Users and Administrators]→[New]→[User by Template]→[Default]の 順 に 選 択 して、セキュリ<br />
ティ・ゲートウェイ・ユーザの SecurID 認 証 を 有 効 にします。<br />
6. 外 部 ユーザ・プロファイルを 作 成 することによって、Security Gateway ユーザ・アカウントを 使 用 しないユーザに<br />
対 して SecurID 認 証 を 有 効 にすることができます。[Manage]→[Users and Administrators]→[New]→<br />
[External User Profile]→[Match all users]または[Match by domain]の 順 に 選 択 します。 複 数 の 外 部 認 証<br />
スキームをサポートするには、[Match By Domain] 設 定 を 使 用 して 外 部 ユーザ・プロファイルを 設 定 します。<br />
7. すべてのユーザ・プロファイルとテンプレートについて 以 下 の 手 順 を 実 行 します。<br />
a) [General]タブで、「ACE/Server」のデフォルトのログイン 名 を 入 力 します([Match all users]を 外 部 ユー<br />
ザ・プロファイルとして 設 定 する 場 合 は、「generic*」という 名 前 が 自 動 的 に 割 り 当 てられます)。<br />
b) [Personal]タブで、[Expiration Date]を 設 定 します。<br />
c) [Authentication]タブで、ドロップダウン・リストから[SecurID]を 選 択 します。<br />
d) [Groups]タブで、SecurID グループにユーザ・プロファイルを 追 加 します。<br />
8. アドレス 変 換 ルール・ベースで<strong>ファイアウォール</strong>と ACE/Server の 間 の 通 信 が 変 換 されないことを 確 認 します。<br />
9. ポリシーを 確 認 および 保 存 し、インストールします。<br />
注 - Security Gateway に 複 数 のインタフェースがある 場 合 、 状 況 によって、Security<br />
Gateway の SecurID エージェントが 誤 ったインタフェース IP を 使 用 して ACE/Server からの<br />
返 信 を 復 号 し、 認 証 が 失 敗 することがあります。<br />
この 問 題 を 解 決 するには、「sdopts.rec」という 新 しいテキスト・ファイルを「sdconf.rec」と 同 じ<br />
ディレクトリに 置 きます。このファイルには、CLIENT_IP= 行 を 含 める 必 要 があります。<br />
「」は Security Gateway のプライマリ IP で、ACE/Server で 定 義 されます。これはサーバ<br />
にルーティングされるインタフェースの IP です。<br />
TACACS<br />
TACACS(Terminal Access Controller Access Control System)は、1 つまたは 複 数 の 中 央 サーバにより、ルータ、<br />
ネットワーク・アクセス・サーバ、および 他 のネットワーク・デバイスのアクセス 管 理 を 行 います。<br />
TACACS は 検 証 サービスを 提 供 する 外 部 認 証 スキームです。TACACS を 使 用 すると、Security Gateway はリモー<br />
ト・ユーザの 認 証 要 求 を TACACS サーバに 転 送 します。ユーザ・アカウント 情 報 を 保 存 する TACACS サーバがユー<br />
ザを 認 証 します。このシステムは 物 理 的 なカード 鍵 デバイスまたはトークン・カード、および Kerberos 秘 密 鍵 認 証 を<br />
サポートします。TACACS は、 通 信 の 安 全 性 を 確 保 するために、すべての 認 証 要 求 のユーザ 名 、パスワード、 認 証<br />
サービス、およびアカウント 情 報 を 暗 号 化 します。<br />
TACACS+ 認 証 を 使 用 する Security Gateway の 設 定<br />
TACACS+を 使 用 するために Security Gateway を 設 定 するには<br />
1. SmartDashboard から、[Manage]→[Network Objects]→[New]→[Node]→[Host]の 順 に 選 択 して、<br />
TACACS ホスト・オブジェクトを 新 規 作 成 します。<br />
2. ホスト・オブジェクトに 名 前 を 付 けて、IP アドレスを 割 り 当 てます。<br />
3. [Manage]→[Server and OPSEC Applications]→[New…]→[TACACS…]の 順 に 選 択 して TACACS サー<br />
バを 作 成 し、 以 下 の 項 目 を 設 定 します。<br />
a) TACACS サーバ・オブジェクトに 名 前 を 付 けます。<br />
b) TACACS サーバ・オブジェクトを 手 順 1 で 作 成 した TACACS ホスト・オブジェクトに 関 連 付 けます。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 115
c) 実 行 する TACACS の Type を 選 択 します(デフォルトは TACACS ですが、TACACS+をお 勧 めします)。<br />
d) サービスを 割 り 当 てます。TACACS サービス(UDP または TCP)をステップ C で 選 択 した Type に 一 致 させ<br />
ます。<br />
4. ゲートウェイ・オブジェクトを 右 クリックして、[Edit]→[Authentication]の 順 に 選 択 します。<br />
5. TACACS 認 証 を 有 効 にします。<br />
6. [Manage]→[Users & Administrators]→[New]→[User Group]の 順 に 選 択 して、ユーザ・グループ(たとえ<br />
ば TACACS_Users)を 定 義 します。<br />
7. [Manage]→[Users and Administrators]→[New]→[User by Template]→[Default]の 順 に 選 択 して、<br />
Security Gateway の TACACS 認 証 を 有 効 にします。<br />
8. 外 部 ユーザ・プロファイルを 作 成 することによって、セキュリティ・ゲートウェイ・ユーザ・アカウントを 使 用 しない<br />
ユーザに 対 して TACACS 認 証 を 有 効 にすることができます。[Manage]→[Users and Administrators]→<br />
[New]→[External User Profile]→[Match all users]または[Match by domain]の 順 に 選 択 します。 複 数 の<br />
外 部 認 証 スキームがサポートされている 場 合 は、[Match By Domain] 設 定 を 使 用 して 外 部 ユーザ・プロファイ<br />
ルを 設 定 します。<br />
9. すべてのユーザ・プロファイルとテンプレートについて 以 下 の 手 順 を 実 行 します。<br />
a) [General]タブで、TACACS サーバのデフォルトのログイン 名 を 入 力 します([Match all users]を 外 部 ユー<br />
ザ・プロファイルとして 設 定 する 場 合 は、「generic*」という 名 前 が 自 動 的 に 割 り 当 てられます)。<br />
b) [Personal]タブで、[Expiration Date]を 設 定 します。<br />
c) [Authentication]タブで、ドロップダウン・リストから[TACACS]を 選 択 します。<br />
d) [Groups]タブで、TACACS グループにユーザ・プロファイルを 追 加 します。<br />
10. アドレス 変 換 ルール・ベースで<strong>ファイアウォール</strong>と TACACS サーバの 間 の 通 信 が 変 換 されないことを 確 認 しま<br />
す。<br />
11. ポリシーを 確 認 および 保 存 し、インストールします。<br />
Undefined<br />
ユーザの 認 証 スキームを undefined( 未 定 義 )と 定 義 できます。 未 定 義 認 証 スキームを 持 つユーザが 何 らかの 形 式<br />
の 認 証 を 使 用 するセキュリティ・ルールに 一 致 した 場 合 は、アクセスは 常 に 拒 否 されます。<br />
認 証 方 式<br />
<strong>ファイアウォール</strong> 管 理 者 は、 接 続 を 単 純 に 許 可 または 拒 否 するセキュリティ・ルールを 作 成 する 代 わりに、クライアン<br />
トが 特 定 のネットワーク・リソースにアクセスしようとしたときに 認 証 するように 要 求 できます。<br />
ユーザ 認 証 、クライアント 認 証 、セッション 認 証 の 3 つの 認 証 方 式 を 利 用 できます。これらの 認 証 方 式 では、 提 供 さ<br />
れたサービス、ログオン・メカニズム、および 全 体 的 なユーザ・エクスペリエンスが 異 なります。 各 認 証 方 式 は、ゲート<br />
ウェイにクライアントを 接 続 して 認 証 した 後 で、 目 的 のリソースに 接 続 を 渡 すように 設 定 できます(このプロセスは 非 ト<br />
ランスペアレント 認 証 と 呼 ばれます)。または、クライアントを 対 象 サーバに 直 接 接 続 するように 設 定 できます(このプ<br />
ロセスはトランスペアレント 認 証 と 呼 ばれます)。<br />
ユーザ 認 証<br />
ユーザ 認 証 は、Telnet、FTP、HTTP、および RLOGIN サービスの 認 証 機 能 を 提 供 します。ユーザ 認 証 はデフォルト<br />
でトランスペアレント 認 証 です。ユーザは 直 接 ゲートウェイに 接 続 せず、 対 象 となるサーバに 接 続 します。<br />
一 般 的 なユーザ 認 証 方 式 のワークフローを 以 下 に 示 します。<br />
1. Security Gateway は、クライアントとサーバ 間 の 通 信 を 傍 受 します。<br />
2. Security Gateway ユーザのユーザ 名 とパスワードを 求 めるプロンプトが 表 示 されます。<br />
116 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
3. ユーザが 正 常 に 認 証 された 場 合 、ゲートウェイは 接 続 をリモート・ホストに 渡 します。 不 正 な 認 証 情 報 が 入 力 さ<br />
れた 場 合 、ユーザはデータを 再 入 力 するように 要 求 されます。 事 前 定 義 された 接 続 試 行 回 数 以 上 、 不 正 な 認 証<br />
情 報 が 提 供 された 場 合 は、 接 続 が 破 棄 されます。<br />
4. リモート・ホストは、ユーザ 名 とパスワードをユーザに 要 求 します。<br />
注 - ユーザ・オブジェクトを 設 定 するときに、ユーザがアクセスを 許 可 される 場 所 を 設 定 でき<br />
ます。しかし、 何 らかの 形 式 の 認 証 を 必 要 とするセキュリティ・ルールと 競 合 する 可 能 性 があり<br />
ます。 詳 細 については「アクセスの 競 合 の 解 決 」(123ページ)を 参 照 してください。<br />
ユーザ 認 証 の 設 定<br />
ユーザ 認 証 を 設 定 するには<br />
1. 認 証 に 必 要 なユーザとグループを 設 定 し、ユーザ・データベースをインストールします。 詳 細 については、「ユー<br />
ザとグループの 作 成 」(125ページ)を 参 照 してください。<br />
2. 以 下 の 手 順 に 従 って、ユーザ 認 証 アクセス・ルールを 定 義 します。<br />
a) [Source]カラムを 右 クリックして、[Add object]→[Add legacy user access]の 順 に 選 択 し、グループを 選<br />
択 します。<br />
b) 認 証 ユーザの 場 所 を 限 定 するには、 同 じウィンドウの[Location]セクションで[Restrict To]を 選 択 し、ユー<br />
ザがアクセスできるホスト、ホストのグループ、ネットワーク、またはネットワーク・グループを 選 択 します。<br />
c) [Service]フィールドで、 認 証 するサービスを 選 択 します。<br />
d) [Action]カラムで、[Legacy]→[User Auth]の 順 に 選 択 します。<br />
3. [Action]カラムをダブルクリックして[Session Authentication Action Properties]を 編 集 します。<br />
4. 必 要 に 応 じて、Security Gatewayオブジェクトの[Authentication]ページで、ユーザ 認 証 セッションのタイムアウ<br />
トを 調 整 します。<br />
5. [Policy]→[Install]の 順 に 選 択 して、セキュリティ・ポリシーをインストールします。<br />
ユーザ 認 証 ルールの 順 序 の 重 要 性<br />
Telnet、FTP、HTTP、および RLOGIN サービスに 対 するユーザ 認 証 ルールを 定 義 するときに、これらのサービスを<br />
使 用 する 他 の 非 認 証 ルールが 存 在 する 場 合 は、ユーザ 認 証 ルールは 必 ずそれらのルールの 最 後 に 設 定 してくださ<br />
い。<br />
セッション 認 証<br />
セッション 認 証 は 任 意 のサービスに 使 用 できますが、ユーザの 身 元 を 確 認 するためにセッション 認 証 エージェントが<br />
必 要 です。セッション 認 証 エージェントは 通 常 、 認 証 を 行 うクライアントにインストールされます。この 場 合 、 対 象 ホス<br />
トへの 接 続 を 開 始 するユーザが 認 証 情 報 を 提 供 します。セッション 認 証 では 接 続 ごとに 認 証 手 順 が 必 要 です。ただ<br />
し、セッション 認 証 エージェントは、 対 象 のコンピュータまたはネットワーク 内 の 他 のコンピュータにインストールして、<br />
そのコンピュータのユーザがユーザ 名 とパスワードを 入 力 できるようにすることもできます。<br />
一 般 的 なセッション 認 証 のワークフローを 以 下 に 示 します。<br />
1. ユーザがサーバに 直 接 、 接 続 を 開 始 します。<br />
2. Security Gateway は 接 続 を 代 行 受 信 します。<br />
3. セッション 認 証 エージェントはユーザに 認 証 データを 要 求 し、ゲートウェイにこの 情 報 を 返 します。<br />
4. 認 証 に 成 功 すると、Security Gateway はこの 接 続 がゲートウェイを 通 過 して 目 的 のサーバに 接 続 することを 許<br />
可 します。<br />
注 - ユーザ・オブジェクトを 設 定 するときに、ユーザがアクセスを 許 可 される 場 所 を 設 定 でき<br />
ます。これは、 何 らかの 形 式 の 認 証 を 必 要 とするセキュリティ・ルールと 競 合 する 可 能 性 があ<br />
ります。「アクセス 競 合 の 解 決 」(123ページ)も 参 照 してください<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 117
セッション 認 証 の 設 定<br />
セッション 認 証 を 設 定 するには、 以 下 の 手 順 に 従 います。<br />
1. セッション 認 証 エージェントを 使 用 する 場 合 、セッション 認 証 を 利 用 するすべてのコンピュータのデスクトップに<br />
エージェントをインストールして 設 定 します。<br />
2. 認 証 に 必 要 なユーザとグループを 設 定 し、ユーザ・データベースをインストールします。 詳 細 については、「ユー<br />
ザとグループの 作 成 」(125ページ)を 参 照 してください。<br />
3. ゲートウェイを 表 すチェック・ポイント・ゲートウェイ・オブジェクトを 編 集 し、[Authentication]ページで 必 要 な 認 証<br />
スキームを 有 効 にします。ゲートウェイはユーザに 定 義 されたすべての 認 証 スキームをサポートする 必 要 があり<br />
ます。たとえば、 一 部 のユーザがチェック・ポイント・パスワードを 使 用 し、 他 のユーザが RADIUS 認 証 を 使 用 す<br />
る 場 合 は、 両 方 のスキームを 選 択 します。<br />
4. 以 下 の 手 順 に 従 って、セッション 認 証 アクセス・ルールを 定 義 します。<br />
a) [Source]カラムを 右 クリックして、[Add object]>[Add legacy user access]の 順 に 選 択 し、グループを 選<br />
択 します。ウィンドウを 閉 じないでください。<br />
b) 認 証 ユーザの 場 所 を 限 定 するには、 同 じウィンドウの[Location]セクションで[Restrict To]を 選 択 し、ユー<br />
ザがアクセスできるホスト、ホストのグループ、ネットワーク、またはネットワーク・グループを 選 択 します。<br />
c) [Service]フィールドで、 認 証 するサービスを 選 択 します。<br />
d) [Action]カラムで、[Legacy]→[Session Auth]の 順 に 選 択 します。<br />
5. [Action]カラムをダブルクリックしてセッション 認 証 アクション・プロパティを 編 集 します。<br />
6. 必 要 に 応 じて、[Global Properties]の[Authentication]ページでセッション 認 証 の[Failed Authentication<br />
Attempts] 設 定 を 調 整 します。<br />
7. セキュリティ・ポリシーをインストールします。<br />
セッション 認 証 エージェントのインストールと 設 定<br />
セッション 認 証 エージェントをインストールして 設 定 するには<br />
1. DVD からセッション 認 証 エージェントをインストールします。<br />
<br />
<br />
セッション 認 証 エージェントは 認 証 を 行 うクライアントにインストールされる 場 合 、 対 象 ホストに 接 続 する 必 要<br />
があるユーザが 認 証 情 報 を 提 供 します。<br />
セッション 認 証 エージェントは、 対 象 のコンピュータ 上 、またはネットワーク 内 の 他 のコンピュータにインストー<br />
ルすることもできます。その 場 合 、エージェントがインストールされているコンピュータのユーザが、 認 証 の 資<br />
格 情 報 を 入 力 するよう 求 められます。<br />
2. Windows コンピュータでは、システム・トレイのセッション 認 証 エージェント・アイコンをダブルクリックします。<br />
[Session Authentication]ウィンドウが 開 きます。<br />
3. [Configure]をクリックします。[Configuration]ウィンドウが 開 き、[Passwords]タブが 表 示 されます。ユーザが<br />
自 分 のパスワードを 入 力 するように 促 される 頻 度 を 指 定 します。ワン・タイム・パスワード(SecurID など)は<br />
キャッシュできません。<br />
118 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
4. 以 下 のいずれかのオプション 1 つを 選 択 します。<br />
<br />
<br />
<br />
Every request: Security Gateway が 認 証 を 要 求 するたびに、ユーザにパスワードを 要 求 します。セッション<br />
認 証 ルールが 適 用 されるセッションをユーザが 開 始 するたびに、ユーザにパスワードを 要 求 します。パスワード<br />
のキャッシュは 行 われません。<br />
Once per session: セッション 認 証 エージェントのセッションのたびに、ユーザにパスワードを 要 求 します。<br />
ユーザがパスワードを 入 力 すると、セッション 認 証 エージェントはこのパスワードを 無 期 限 にキャッシュします。<br />
ワン・タイム・パスワードに 対 しては、このオプションを 使 用 できません。セッション 認 証 エージェントのセッション<br />
を 閉 じてから 再 開 する 場 合 、ユーザは 再 びパスワードを 入 力 する 必 要 があります。<br />
After minutes of inactivity: [Once per session]オプションと 似 ていますが、 指 定 された 時 間 内 に 認 証 要<br />
求 が 行 われないと、ユーザは 再 びパスワードを 要 求 されます。<br />
5. [Configuration]ウィンドウで、[Allowed FireWall-1]タブを 選 択 して、セッション 認 証 エージェントが 認 証 サービス<br />
を 提 供 できるために Security Gateway を 指 定 します。<br />
6. 以 下 のいずれかのオプションを 選 択 します。<br />
<br />
<br />
Any IP Address: セッション 認 証 エージェントは、すべての Security Gateway に 対 して 認 証 サービスを 提<br />
供 します。<br />
IP Address: セッション 認 証 エージェントは、ユーザが 指 定 した IP アドレス 上 で 動 作 している Security<br />
Gateway に 対 してのみ 認 証 サービスを 提 供 します(IP アドレスは 3 つまで 指 定 できます)。<br />
7. [Configuration]ウィンドウから、[Options]タブを 選 択 し、クリア・パスワードとアドレスの 解 決 を 許 可 するかどう<br />
かを 指 定 します。<br />
8. 適 切 なオプションを 選 択 して、[OK]ボタンをクリックします。<br />
セッション 認 証 エージェントの 起 動<br />
セッション 認 証 エージェントを 起 動 するには<br />
1. Windows のシステム・トレイから、 最 小 化 されたセッション 認 証 エージェント・アイコンをクリックします。<br />
2. セッション 認 証 エージェントを 構 成 するか、Security Gateway からの 認 証 要 求 を 受 け 取 ります。<br />
クライアント 認 証<br />
クライアント 認 証 は 任 意 のサービスを 認 証 することができます。これは、 特 定 の IP アドレスからのアクセスを 無 制 限<br />
の 数 の 接 続 に 対 して 許 可 することができます。クライアント・ユーザが 認 証 プロセスを 実 行 しますが、アクセスを 許 可<br />
されるのはクライアント・コンピュータです。クライアント 認 証 は、 許 可 された IP アドレスまたはホストからの 複 数 の<br />
ユーザによる 接 続 のアクセスが 許 可 されるため、ユーザ 認 証 よりも 安 全 性 が 低 くなります。 認 証 はコンピュータごと<br />
に、 初 期 ログイン 手 順 のないサービスに 対 して 行 われます。クライアント 認 証 の 利 点 は、 認 証 が 無 限 の 数 の 接 続 お<br />
よびすべてのサービスにおいて 使 用 可 能 であり、 認 証 を 任 意 の 時 間 だけ 有 効 にできることです。<br />
注 - ユーザ・オブジェクトを 設 定 するときに、ユーザがアクセスできる 場 所 を 設 定 できます。し<br />
かし、これを 使 用 すると、 何 らかの 形 式 の 認 証 を 必 要 とするセキュリティ・ルールとの 間 で 問 題<br />
が 発 生 する 可 能 性 があります。 詳 細 については、「アクセス 競 合 の 解 決 」(123ページ)を 参 照<br />
してください。<br />
クライアント 認 証 はすべてのサインオン 方 法 で 使 用 できます。 次 の 表 は、 異 なるサインオン 方 法 で、 認 証 されたサー<br />
ビスおよびその 他 のサービスに 対 して 選 択 できる 認 証 方 式 を 表 します。 手 動 クライアント 認 証 以 外 のサインオン 方 法<br />
では、ゲートウェイはユーザから 透 過 的 で、ユーザは 直 接 、 宛 先 ホストに 対 して 認 証 を 行 います。<br />
クライアント 認 証 サインオン 方 法<br />
クライアント 認 証 サインオン<br />
方 法<br />
手 動<br />
認 証 されたサービスの 認 証 方 法 :<br />
Telnet、FTP、HTTP、RLOGIN<br />
ゲートウェイでポート 259 への Telnet<br />
ゲートウェイでポート 900 への HTTP<br />
その 他 のサービスの 認 証 方 法 :<br />
ゲートウェイでポート 259 への<br />
Telnet<br />
ゲートウェイでポート 900 への<br />
HTTP<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 119
クライアント 認 証 サインオン<br />
方 法<br />
認 証 されたサービスの 認 証 方 法 :<br />
Telnet、FTP、HTTP、RLOGIN<br />
その 他 のサービスの 認 証 方 法 :<br />
半 自 動 ユーザ 認 証 使 用 不 可<br />
全 自 動 ユーザ 認 証 セッション 認 証<br />
エージェント 自 動 セッション 認 証 セッション 認 証<br />
Single Sign On<br />
(シングル・サインオン)<br />
UserAuthority<br />
UserAuthority<br />
クライアント 認 証 には 以 下 の 2 つのサインオン・オプションがあります。<br />
<br />
<br />
Standard Sign On: ユーザはルールで 許 可 されたすべてのサービスを 利 用 できます。サービスごとに 認 証 を<br />
行 う 必 要 はありません。<br />
Specific Sign On: ルールが 複 数 のサービスを 許 可 していても、ユーザは 認 証 するときに 指 定 したサービスに<br />
のみアクセスできます。ユーザが 別 のサービスを 利 用 したい 場 合 、その 特 定 のサービスに 対 して 再 認 証 する 必<br />
要 があります。<br />
認 証 セッション 終 了 時 に、ユーザはサインオフできます。サインオフすると、ユーザはすべてのサービスでリモート・<br />
ホストから 切 断 されます。<br />
Manual Sign On( 手 動 サインオン)<br />
手 動 サインオンは、クライアント 認 証 ルールに 指 定 された 任 意 のサービスに 対 して 使 用 できます。ユーザはまず<br />
ゲートウェイに 接 続 して、 以 下 の 2 つの 方 法 のいずれかで 認 証 を 行 う 必 要 があります。<br />
1. ゲートウェイのポート 259 へ Telnet で 接 続 します。<br />
2. Web ブラウザを 利 用 してゲートウェイのポート 900 へ HTTP で 接 続 します。 要 求 する URL には、<br />
「http://Gateway:900」などゲートウェイ 名 とポート 番 号 を 指 定 する 必 要 があります。<br />
a) 以 下 の 例 は、Standard Sign On 方 法 を 使 用 したクライアント 認 証 を 示 しています。この 例 では、 宛 先 ホスト<br />
との 接 続 を 確 立 する 前 に、ユーザ「fbloggs」はまず「london」の Security Gateway に 対 して 認 証 を 行 いま<br />
す。<br />
tower 1% telnet london 259<br />
Trying 191.23.45.67 ...<br />
Connected to london.<br />
Escape character is '^]'.<br />
<strong>Check</strong><strong>Point</strong> FireWall-1 Client Authentication Server running on london<br />
Login:fbloggs<br />
FireWall-1 Password:********<br />
User authenticated by FireWall-1 auth.<br />
Choose:<br />
(1) Standard Sign On<br />
(2) Sign Off<br />
(3) Specific Sign On<br />
Enter your choice: 1<br />
User authorized for standard services (1 rules)<br />
Connection closed by foreign host.<br />
b) 以 下 の 例 は、Specific Sign On 方 法 を 使 用 したクライアント 認 証 を 示 しています。この 例 では、2 つのサービ<br />
ス「rstat」と「finger」が 指 定 されています( 各 ホストに 1 つを 指 定 )。<br />
120 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
tower 3% telnet london 259<br />
Trying 191.23.45.67 ...<br />
Connected to london.<br />
Escape character is '^]'.<br />
<strong>Check</strong><strong>Point</strong> FireWall-1 Client Authentication Server running on london<br />
Login: jim<br />
FireWall-1 Password: ********<br />
User authenticated by Internal auth.<br />
Choose:<br />
(1) Standard Sign On<br />
(2) Sign Off<br />
(3) Specific Sign On<br />
Enter your choice: 3<br />
Service: rstat<br />
Host: palace<br />
Client Authorized for service<br />
Another one (Y/N): Y<br />
Service: finger<br />
Host: thames<br />
Client Authorized for service<br />
Another one (Y/N): n<br />
Connection closed by foreign host.<br />
Wait モード<br />
Wait モードは、ユーザがゲートウェイのポート「259」との Telnet セッションによるクライアント 認 証 接 続 を 開 始 すると<br />
きに 利 用 可 能 な、 手 動 サインオンのクライアント 認 証 機 能 です。<br />
Wait モードは、サインオフしてクライアント 認 証 特 権 を 取 り 消 すために、 新 しい Telnet セッションを 開 く 必 要 がないよ<br />
うにします。Wait モードでは、クライアント 認 証 により 得 られた 特 権 が 有 効 になっているかぎり、 最 初 の Telnet<br />
セッションが 開 いたままになります。クライアント 認 証 特 権 は、Telnet セッションを 閉 じると 取 り 消 されます。<br />
Security Gateway は、 認 証 クライアントへ Ping を 出 すことによって Telnet セッションを 開 いたままにします。 何 らか<br />
の 原 因 でクライアント・コンピュータが 動 作 を 停 止 すると、ゲートウェイは Telnet セッションを 閉 じ、 接 続 した IP アドレ<br />
スのクライアント 認 証 特 権 が 取 り 消 されます。<br />
Wait モードを 利 用 できるのは、Standard Sign On が 指 定 されたクライアント 認 証 ルールのみです。Wait モードでは、<br />
Specific Sign On が 指 定 されたクライアント 認 証 ルールは 適 用 されません。<br />
Partially Automatic Sign On( 半 自 動 サインオン)<br />
半 自 動 サインオンは、Telnet、FTP、HTTP、および RLOGIN の 各 認 証 サービスがクライアント 認 証 ルールに 指 定 さ<br />
れている 場 合 に 限 り、それらの 認 証 サービスに 対 して 使 用 できます。ユーザがいずれかの 認 証 サービスを 使 用 して<br />
リモート・ホストへの 接 続 を 試 みる 場 合 は、ユーザ 認 証 を 使 用 して 認 証 を 行 う 必 要 があります。 半 自 動 クライアント 認<br />
証 を 使 用 する 場 合 は、ゲートウェイ・コンピュータ 上 でポート 80 がアクセス 可 能 なことを 確 認 してください。<br />
Fully Automatic Sign On( 全 自 動 サインオン)<br />
全 自 動 サインオンは、 必 要 なサービスがクライアント 認 証 ルールで 指 定 されている 場 合 のみ、 任 意 のサービスに 対<br />
して 使 用 できます。ユーザが 認 証 サービス(Telnet、FTP、HTTP、および RLOGIN)を 使 用 してリモート・ホストへの<br />
接 続 を 試 みる 場 合 には、ユーザ 認 証 を 使 用 して 認 証 を 行 う 必 要 があります。ユーザがその 他 のサービスを 使 用 して<br />
リモート・ホストへの 接 続 を 試 みる 場 合 には、 正 しくインストールされたセッション 認 証 エージェントを 使 用 して 認 証 を<br />
行 う 必 要 があります。 全 自 動 クライアント 認 証 を 使 用 する 場 合 は、ゲートウェイ・コンピュータ 上 でポート 80 がアクセ<br />
ス 可 能 なことを 確 認 してください。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 121
Agent Automatic Sign On(エージェント 自 動 サインオン)<br />
Agent Automatic Sign On は、 必 要 なサービスはクライアント 認 証 ルールに 指 定 されていて、セッション 認 証 エー<br />
ジェントが 正 しくインストールされている 場 合 のみ 使 用 できます。<br />
ユーザが 任 意 のサービスを 使 用 してリモート・ホストへの 接 続 を 試 みる 場 合 には、セッション 認 証 エージェントを 使 用<br />
して 認 証 を 行 う 必 要 があります。<br />
Single Sign On(シングル・サインオン)<br />
シングル・サインオンは、 必 要 なサービスがクライアント 認 証 ルールで 指 定 され、UserAuthority がインストールされ<br />
ている 場 合 のみ、 任 意 のサービスに 対 して 使 用 できます。<br />
シングル・サインオンは、ネットワークへの 透 過 的 なアクセスを 可 能 にするチェック・ポイントのアドレス 管 理 機 能 です。<br />
Security Gateway はユーザの IP アドレスの 記 録 を 参 照 し、 指 定 された IP アドレスにログインしているユーザを 確 認<br />
します。シングル・サインオンが 有 効 になっているルールに 接 続 が 適 合 した 場 合 、ゲートウェイは UserAuthorityにパ<br />
ケットの 発 信 元 IP アドレスとともにクエリを 送 信 します。UserAuthority は、IP アドレスに 登 録 されているユーザの 名<br />
前 を 返 します。パケットは、ユーザ 名 が 認 証 されていれば 許 可 され、そうでなければ 破 棄 されます。<br />
クライアント 認 証 の 設 定<br />
基 本 的 なクライアント 認 証 を 設 定 するには<br />
1. 認 証 に 必 要 なユーザとグループを 設 定 し、ユーザ・データベースをインストールします。 詳 細 については、「ユー<br />
ザとグループの 作 成 」(125ページ)を 参 照 してください。<br />
2. [Authentication]ページで、Security Gateway が 表 示 されるチェック・ポイント・ゲートウェイ・オブジェクトを 編 集<br />
し、 必 要 な 認 証 スキームを 有 効 にします。ゲートウェイはユーザに 定 義 されたすべての 認 証 スキームをサポート<br />
する 必 要 があります。たとえば、 一 部 のユーザがチェック・ポイント・パスワードを 使 用 し、 他 のユーザが<br />
RADIUS 認 証 を 使 用 する 場 合 は、 両 方 のスキームを 選 択 します。<br />
3. 以 下 の 手 順 に 従 って、クライアント 認 証 アクセス・ルールを 定 義 します。<br />
a) [Source]カラムを 右 クリックして、[Add object]→[Add legacy user access]の 順 に 選 択 し、グループを 選<br />
択 します。ウィンドウを 閉 じないでください。<br />
b) 認 証 ユーザの 場 所 を 限 定 するには、 同 じウィンドウの[Location]セクションで[Restrict To]を 選 択 し、ユー<br />
ザがアクセスできるホスト、ホストのグループ、ネットワーク、またはネットワーク・グループを 選 択 します。<br />
c) [Service]フィールドで、 認 証 するサービスを 選 択 します。<br />
d) [Action]カラムで、[Legacy]→[Client Auth]の 順 に 選 択 します。<br />
4. 半 自 動 または 全 自 動 クライアント 認 証 の 場 合 は、ゲートウェイ・コンピュータ 上 でポート 80 がアクセス 可 能 なこと<br />
を 確 認 してください。<br />
5. [Action]カラムをダブルクリックして[Client Authentication Action Properties]を 編 集 します。Requires Sign<br />
On と Sign On Method の 設 定 については、「クライアントの 認 証 」(119ページ)で 説 明 します。<br />
6. すべてのクライアント 認 証 ルールは、ユーザがセキュリティ・ゲートウェイにアクセスできるように、Security<br />
Gateway(ステルス・ルール)への 直 接 接 続 を 防 止 するルールよりも 上 に 置 きます。<br />
7. 必 要 に 応 じて、[Global Properties]ウィンドウの[Authentication]ページでクライアント 認 証 の[Failed<br />
Authentication Attempts] 設 定 を 調 整 します。<br />
8. セキュリティ・ポリシーをインストールします。<br />
クライアント 認 証 の Wait モードの 有 効 化<br />
手 動 サインオンを 使 用 し、ユーザがゲートウェイのポート 259 への Telnet セッションで 認 証 を 行 う 場 合 は、Wait モー<br />
ドを 利 用 すると、サインオフしてクライアント 認 証 特 権 を 取 り 消 すために 新 しい Telnet セッションを 開 く 必 要 がありま<br />
せん。<br />
Wait モードを 有 効 にするには<br />
122 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
1. [Authentication]ページで、Security Gateway を 表 すチェック・ポイント・ゲートウェイ・オブジェクトを 編 集 し、<br />
[Enable Wait Mode for Client Authentication]を 選 択 します。クライアント 認 証 の Wait モードでは、Security<br />
Gateway がユーザのホストに 対 して Ping を 行 って、ゲートウェイのポート 259 への Telnet 接 続 を 監 視 します。<br />
2. 以 下 のようにして、Ping を 有 効 にするルールを 定 義 します。<br />
<br />
<br />
Security Gateway からユーザのホストへの「echo-request」サービスを 有 効 にします。<br />
ユーザのホストから、Security Gateway への「echo-reply」サービスを 有 効 にします。<br />
アクセスの 競 合 の 解 決<br />
ユーザを 設 定 する 場 合 、ユーザがアクセスできる 場 所 を 定 義 できます。ただし、これを 行 うと、 指 定 していない 場 所<br />
へのアクセスはすべて 禁 止 されるため、 認 証 を 必 要 とするセキュリティ・ルールと 競 合 する 可 能 性 があります。<br />
たとえば、ルールでは Marketing_net から Finance_net へのユーザの 認 証 されたアクセスが 許 可 され、ユーザの<br />
[Location]タブで Marketing_net 内 の 接 続 のみが 許 可 されている 場 合 は、<strong>ファイアウォール</strong>は、ユーザが<br />
Finance_net に 接 続 しようとしたときに 認 証 要 求 を 許 可 してよいかどうかがわかりません。<br />
ルールの[Authentication Action Property]を 編 集 することによって、このような 競 合 を 解 決 する 方 法 を 指 定 できま<br />
す。このプロパティは、ルールの[Source]と[Destination]の 両 方 に 対 して 定 義 できます。<br />
アクセスの 競 合 を 解 決 するには<br />
1. 何 らかの 形 式 の 認 証 を 使 用 しているルールの[Action]フィールドを 右 クリックし、[Edit Properties]を 選 択 しま<br />
す。<br />
2. 以 下 のいずれかを 実 行 します。<br />
<br />
<br />
ルールおよび 各 ユーザの[User Properties]ウィンドウの[Location]タブで 指 定 したより 厳 しいアクセス 権 を<br />
適 用 するには、[Intersect with User Database]を 選 択 します。<br />
ルールで 指 定 した 場 所 に 従 ってアクセスを 許 可 するには、[Ignore User Database]を 選 択 します。<br />
すべての Standard Sign On ルールの 認 証<br />
デフォルトでは、 半 自 動 または 全 自 動 サインオン 方 法 は、 正 常 に 認 証 されたあとで 1 つのルール(サインオンを 開 始<br />
したルール)に 対 応 する 接 続 を 許 可 します。たとえば、ある 自 動 サインオン・ルールに 従 ってユーザが 正 常 に 認 証 さ<br />
れた 場 合 、そのユーザは、そのルールによって 許 可 されたサービスおよび 接 続 先 のみアクセスが 許 可 されます。<br />
半 自 動 または 全 自 動 サインオンを 使 用 して 正 常 に 認 証 されたあとですべての Standard Sign On が 指 定 されたルー<br />
ルに 対 応 する 接 続 を 自 動 的 に 許 可 するように]を 設 定 できます。ユーザが 自 動 サインオン・ルールに 従 って 正 常 に<br />
認 証 された 場 合 は、そのユーザと 発 信 元 を 定 義 するすべての Standard Sign On が 指 定 されたルールに 従 って 接<br />
続 が 許 可 されます。ユーザは、 関 連 するルールによって 許 可 されたすべてのサービスと 接 続 先 を 使 用 できます。<br />
Security Gateway は、クライアントを 使 用 しているユーザを 認 識 し、 追 加 の 認 証 が 不 要 なことを 認 識 します。<br />
半 自 動 認 証 または 全 自 動 認 証 が 成 功 したあとですべての 関 連 する Standard Sign On ルールを 許 可 するには、<br />
GUIdbedit データベース・ツールを 使 用 して、データベースの 設 定 を 変 更 します。<br />
すべての Standard Sign On ルールを 許 可 するには<br />
1. ローカル・ドライブのインストールされた SmartConsole と 同 じディレクトリから、GUIdbedit データベース・ツール<br />
にアクセスします。<br />
2. GUIdbedit を 起 動 します。<br />
3. [automatically_open_ca_rules]フィールドを 探 します。<br />
4. 値 を「true」に 設 定 します。 新 しい 値 は、セキュリティ・ポリシーをインストールしたあとで 有 効 になります。<br />
クライアント 認 証 用 ポート 番 号 の 変 更<br />
クライアント 認 証 用 ポート 番 号 を 変 更 するには<br />
1. 「cpstop」コマンドを 実 行 して、チェック・ポイント・サービスを 停 止 します。<br />
2. [Manage]→[Service]→[Show]→[TCP Services]ウィンドウの 順 に 選 択 して 以 下 のサービスのポート 番 号<br />
を 変 更 します。<br />
<br />
Telnet サインオンのポート 番 号 を 変 更 する 場 合 は、「FW1_clntauth_telnet」サービスのポート 番 号 を 変 更 し<br />
ます。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 123
HTTP サインオンのポート 番 号 を 変 更 する 場 合 は、「FW1_clntauth_http」サービスのポート 番 号 を 変 更 しま<br />
す。<br />
これらは、クライアント 認 証 機 能 の 一 部 として 提 供 される 特 別 なチェック・ポイント・サービスです。<br />
3. テキスト・エディタを 使 用 して「$FWDIR/conf/fwauthd.conf」ファイルを 編 集 します。クライアント 認 証 アプリケー<br />
ションのポート 番 号 を 手 順 2 で 定 義 したのと 同 じポート 番 号 に 変 更 します。<br />
4. 以 下 のいずれかを 実 行 します。<br />
<br />
<br />
Telnet サインオンの 場 合 は、「in.aclientd」 行 の 最 初 のカラムを 変 更 します。<br />
HTTP サインオンの 場 合 は、「in.ahclientd」 行 の 最 初 のカラムを 変 更 します。<br />
21 fwssd in.aftpd wait 0<br />
80 fwssd in.ahttpd wait 0<br />
513 fwssd in.arlogindwait 0<br />
25 fwssd in.asmtpd wait 0<br />
23 fwssd in.atelnetd wait 0<br />
259 fwssd in.aclientd wait 259<br />
10081 fwssd in.lhttpd wait 0<br />
900 fwssd in.ahclientdwait 900<br />
0 fwssd in.pingd respawn 0<br />
0 fwssd in.asessiond respawn 0<br />
0 fwssd in.aufpd respawn 0<br />
0 vpn vpnd respawn 0<br />
0 fwssd mdq respawn 0<br />
0 xrm xrmdrespawn0-pr<br />
重 要 - 他 の 項 目 は 変 更 しないでください。<br />
5. 新 しいポートへの 接 続 を 遮 断 するルールがないことを 確 認 します。<br />
6. 「cpstart」コマンドを 実 行 して、チェック・ポイント・サービスを 再 起 動 します。<br />
暗 号 化 されたクライアント 認 証 の 許 可<br />
HTTPS 接 続 の 暗 号 化 されたクライアント 認 証 を 設 定 するには<br />
1. Security Gateway の 場 合 は、Security Gateway で「cpstop」を 実 行 します。<br />
2. 「fwauthd.conf」を 編 集 し、「$FWDIR/conf」ディレクトリに 配 置 します。「defaultCert」を 以 下 のラインに 追 加 しま<br />
す。<br />
900 fwssd in.ahclientd wait 900 ssl:defaultCert<br />
注 - 「defaultCert」は Security Gateway にある 証 明 書 の 一 覧 に 含 まれているニックネームで<br />
す。 使 用 中 のゲートウェイのニックネームを 確 認 するには、ゲートウェイ・プロパティ・ウィンドウの<br />
VPN ページを 開 き、 証 明 書 リストを 参 照 します。<br />
3. ファイルを 保 存 して 閉 じます。<br />
4. 「cpstart」を 実 行 します。<br />
5. SmartDashboard を 開 きます。<br />
6. このルール(クライアントと Web サーバの 間 の HTTPS トラフィックも 許 可 される)を 新 規 作 成 します。<br />
Source Destination Service Action<br />
Any user group Internal Web server https Client Auth<br />
( 一 部 自 動 または 手 動 モード)<br />
7. ポリシーをインストールします。<br />
クライアント·ブラウザを 使 用 して 次 の 手 順 を 続 行 します。<br />
1. クライアント・ブラウザを 使 用 して、「https:// :900」と 入 力 します。<br />
2. [Yes]をクリックして Security Gateway の 証 明 書 を 信 頼 します。<br />
3. Security Gateway のユーザ 名 を 入 力 します。<br />
4. [OK]をクリックします。<br />
124 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
5. [Yes]をクリックします。<br />
6. ゲートウェイ・パスワードを 入 力 します。<br />
7. [Submit]をクリックします。<br />
8. URL アドレス「https://」を 入 力 します。<br />
9. [Yes]をクリックします。<br />
Security Gateway と 内 部 Web サーバ 上 で 認 証 されます。<br />
ユーザとグループの 作 成<br />
認 証 ルールは、 個 々のユーザではなくユーザのグループごとに 定 義 します。したがって、 認 証 ルールを 定 義 するに<br />
は、まずユーザを 定 義 してグループに 追 加 する 必 要 があります。Security Gateway 独 自 のユーザ・データベース、<br />
または LDAP サーバを 使 用 してユーザを 定 義 することができます。<br />
ユーザ・グループの 作 成<br />
ユーザ・グループを 作 成 するには<br />
1. SmartDashboard から、オブジェクト・ツリーの[Users and Administrators]タブから[User Groups]を 選 択 します。<br />
2. 右 クリックし、 新 しいグループを 選 択 します。[Group Properties]ウィンドウが 開 きます。<br />
3. グループに 名 前 を 付 けます。<br />
ユーザ・テンプレートの 作 成<br />
テンプレートを 使 用 して、ユーザはグループのメンバシップを 含 むテンプレートのプロパティを 継 承 します。テンプレートのプロパティ<br />
を 変 更 すると、その 変 更 は 以 降 そのテンプレートを 使 用 して 作 成 するユーザに 対 してのみ 影 響 します。そのテンプレートを 使 用 し<br />
て 以 前 に 作 成 されたユーザは 影 響 を 受 けません。<br />
ユーザ・テンプレートを 作 成 するには<br />
1. SmartDashboard のオブジェクト・ツリーから、[Users and Administrators]タブを 開 きます。<br />
2. テンプレートを 右 クリックして、 新 しいテンプレートを 選 択 します。<br />
[User Template Properties]ウィンドウが 開 きます。<br />
3. テンプレートに 名 前 を 付 けます。<br />
4. [Groups]タブから、ユーザ・グループを 追 加 します。<br />
グループのすべてのユーザは、このテンプレートのプロパティを 取 得 します。<br />
5. [Authentication]タブで、 認 証 スキームを 選 択 します。<br />
6. 残 りのタブでは、ユーザ・テンプレートのプロパティを 入 力 します。<br />
ユーザの 作 成<br />
ユーザを 作 成 するには<br />
1. オブジェクト・ツリーの[Users]ブランチで、 右 クリックして[Edit]を 選 択 します。[User Properties]ウィンドウが 開<br />
きます。<br />
2. ユーザ・データを 入 力 します。テンプレートからユーザが 継 承 したプロパティは、テンプレートを 変 更 せずに 変 更<br />
できます。<br />
データベース 内 のユーザ 情 報 のインストール<br />
ユーザとグループはルール・ベースとは 別 にインストールできます。つまり、ルール・ベースを 再 インストールせずに<br />
ユーザとグループを 更 新 できます。<br />
ユーザ・データベースをインストールするには、SmartDashboard メニューから[Policy]→[Install Database]の 順<br />
に 選 択 します。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 125
認 証 トラッキングの 設 定<br />
SmartView Tracker または 電 子 メールや 警 告 などの 他 のトラッキング・オプションを 使 用 して、 成 功 および 失 敗 した<br />
認 証 試 行 を 監 視 できます。 以 下 の 種 類 の 認 証 試 行 に 対 して 認 証 トラッキングを 設 定 できます。<br />
<br />
<br />
<br />
失 敗 した 認 証 試 行 :あらゆる 形 式 の 認 証 についてトラッキングできます。<br />
失 敗 した 認 証 試 行 をトラッキングするには、 以 下 の 手 順 に 従 います。<br />
ゲートウェイ・オブジェクトの[Authentication]ページで、[Authentication Failure Track]プロパティを 設 定 して、<br />
認 証 で 失 敗 が 発 生 した 場 合 のトラッキング・オプションを 定 義 します。<br />
成 功 した 認 証 試 行 : クライアント 認 証 についてトラッキングできます。<br />
成 功 した 認 証 試 行 をトラッキングするには<br />
1. [Client Authentication Action Properties]ウィンドウで、[Successful Authentication Tracking ]プロパティを<br />
設 定 して、すべての 成 功 したクライアント 認 証 試 行 のトラッキング・オプションを 定 義 します。<br />
2. このオプションを 設 定 するには、クライアント 認 証 ルールの[Action]カラム 内 をダブルクリックします。デフォルト<br />
設 定 は[Log]です。<br />
すべての 認 証 試 行 をトラッキングするには<br />
1. 何 らかの 形 式 の 認 証 を 使 用 するルールの[Track]カラムで 追 跡 オプションを 選 択 します。[Set by<br />
RuleTracking]オプションは、ゲートウェイ・オブジェクト 内 のトラッキング・ポリシー・セットに 追 加 されます。<br />
たとえば、ゲートウェイ・オブジェクトが、すべての 失 敗 した 認 証 試 行 をログに 記 録 するように 設 定 されている 場<br />
合 は、ルールを[None]にしても 効 果 がありません。 失 敗 した 認 証 試 行 は、SmartView Tracker でログに 記 録 さ<br />
れます。ただし、ルールを[Alert]に 設 定 すると、 認 証 試 行 が 失 敗 するたびに 警 告 が 送 信 されます。<br />
Windows ユーザ・グループ 用 のポリシーの 設 定<br />
Security Management Server で 定 義 されておらず、ゲートウェイのホスト(Windows コンピュータ)または 信 頼 され<br />
たドメインの Windows コンピュータで 定 義 されているユーザ・グループを 使 用 するようにポリシー・ルールを 作 成 でき<br />
ます。<br />
Windows ユーザ・グループを 使 用 するポリシーを 設 定 するには<br />
1. グラフィカル・データベース・ツール(GUIdbEdit)を 使 用 して、この 機 能 を 有 効 にします。<br />
2. 「add_nt_groups」 属 性 の 値 を「true」に 変 更 します(この 属 性 は、プロパティ 表 の「firewall_properties」オブジェ<br />
クトの 下 にあります)。<br />
3. ユーザが Windows ユーザ・グループに 属 していることを 確 認 します。<br />
4. SmartDashboard から、ユーザ・グループを 新 規 作 成 し、Windows_の 書 式 で 名 前 を<br />
付 けます。このグループは 空 の 場 合 があります。<br />
5. 認 証 スキームとしてオペレーティング・システム・パスワードを 使 用 する 一 般 的 なユーザ・プロファイルを 各 ユー<br />
ザに 対 して 定 義 します。<br />
126 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
付 録 C<br />
付 録<br />
この 付 録 の 構 成<br />
実 施 モード 128<br />
NAT 環 境 128<br />
Monitor Only 導 入 モード 128<br />
協 調 施 行 の 設 定 128<br />
協 調 施 行 はチェック・ポイントの Endpoint Security サーバと 連 携 して 動 作 します。この 機 能 は Endpoint Security サ<br />
ーバのコンプライアンス 対 応 力 を 活 用 して、 内 部 ネットワーク 全 体 のさまざまなホストからの 接 続 を 検 証 します。<br />
Endpoint Security サーバは 中 央 管 理 型 の 多 層 構 造 Endpoint Security ソリューションで、ポリシー・ベースのセキュ<br />
リティ 施 行 を 施 行 して 内 部 およびリモートの PC を 保 護 します。 導 入 と 管 理 が 簡 単 で、Endpoint Security サーバはハ<br />
ッカー、ワーム、スパイウェア、その 他 の 脅 威 によって 発 生 するリスクを 軽 減 できます。<br />
管 理 者 は、 定 義 済 みのポリシー・テンプレート、 使 いやすい Web ベースの 管 理 インタフェース、PC <strong>ファイアウォール</strong><br />
とアプリケーションの 権 限 コントロールなどの 機 能 を 使 用 して、 協 調 施 行 の 開 発 、 管 理 、および 施 行 を 迅 速 かつ 簡 単<br />
に 実 行 できます。<br />
協 調 施 行 を 使 用 することで、ゲートウェイ 経 由 で 接 続 を 開 始 するホストに 対 しては 必 ずコンプライアンスのテストが 実<br />
行 されます。これにより、 悪 質 なソフトウェア・コンポーネントを 使 用 するホストによるネットワーク・アクセスを 防 ぐこと<br />
ができるため、より 高 いネットワークの 完 全 性 を 実 現 します。<br />
この 機 能 は Endpoint Security サーバが 管 理 するホストと Endpoint Security サーバ 本 体 の 仲 介 役 の 役 割 を 果 たし<br />
ます。 協 調 施 行 は、ホストが 安 全 かどうかを 定 義 し、ソフトウェア・コンポーネントの 定 義 済 み 必 要 条 件 を 満 たさない<br />
接 続 をブロックできる Endpoint Security サーバのコンプライアンス 機 能 に 依 存 します。<br />
一 般 的 な 協 調 施 行 ワークフローを 以 下 に 表 します。<br />
1. ホストが<strong>ファイアウォール</strong>・ゲートウェイを 経 由 して、ネットワークへの 接 続 を 開 始 します。クライアントからサーバ<br />
への 最 初 のパケットが 許 可 されます。 協 調 施 行 機 能 は、クライアントに 対 するサーバの 最 初 の 応 答 時 にのみ 動<br />
作 を 開 始 します。<br />
2. <strong>ファイアウォール</strong>はホストのコンプライアンスを 確 認 します。 必 要 に 応 じて Endpoint Security サーバにクエリを<br />
送 ります。<br />
3. 応 答 を 受 信 すると、コンプライアンスに 準 拠 するホストからの 接 続 は 許 可 され、 準 拠 しないホストからの 接 続 は<br />
遮 断 されます。<br />
ゲートウェイで 協 調 施 行 機 能 を 有 効 にすると、 以 下 の 暗 黙 ルールが 自 動 的 に 有 効 になります。<br />
1. すべての<strong>ファイアウォール</strong> GUI クライアントは、HTTP または HTTPS(ポート 80 または 443) 経 由 で Endpoint<br />
Security サーバへの 接 続 が 許 可 されます。<br />
2. すべての 内 部 クライアントは、<strong>ファイアウォール</strong> 経 由 で Endpoint Security サーバへのハートビート 用 のアクセス<br />
が 許 可 されます。<br />
3. <strong>ファイアウォール</strong>は、ポート 5054 で Endpoint Security サーバとの 通 信 が 許 可 されます。<br />
追 加 のアクセス 許 可 ( 外 部 クライアントによる Endpoint Security サーバへの 接 続 許 可 や、 他 のコンピュータによる<br />
Endpoint Security サーバの 管 理 機 能 へのアクセス 許 可 など)が 必 要 な 場 合 は、 明 示 的 なルールを 定 義 する 必 要 が<br />
あります。<br />
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 127
実 施 モード<br />
実 施 モードの 場 合 、 準 拠 しないホスト 接 続 は<strong>ファイアウォール</strong>・エンドポイント・セキュリティ 機 能 によって 遮 断 されま<br />
す。HTTP 接 続 の 場 合 、 準 拠 していないことがホストに 通 知 されます。その 場 合 、ユーザは 適 切 な 処 理 を 実 行 して、<br />
準 拠 するように 設 定 を 変 更 します。たとえば、Endpoint Security クライアントのバージョンをアップグレードします。<br />
NAT 環 境<br />
協 調 施 行 機 能 は 一 部 の NAT 設 定 ではサポートされていません。<br />
協 調 施 行 が NAT 環 境 で 動 作 するには、ゲートウェイと Endpoint Security サーバの 間 で 特 定 のクライアントが 同 一<br />
の IP アドレスに 紐 づいている 必 要 があります。したがって、NAT を 使 用 しているために、ゲートウェイが 認 識 するクラ<br />
イアント IP と Endpoint Security サーバが 認 識 するクライアント IP が 異 なる 場 合 、 協 調 施 行 は 正 常 に 機 能 しません。<br />
Monitor Only 導 入 モード<br />
「Monitor Only」 導 入 モードでは、<strong>ファイアウォール</strong>は Endpoint Security サーバからの 認 証 ステータスを 要 求 します<br />
が、 受 信 したステータスに 関 係 なく、 接 続 は 破 棄 されません。さらに、( 管 理 者 によって 設 定 されている 場 合 ) 協 調 施<br />
行 機 能 は 導 入 モードに 関 係 なくログを 生 成 します。<br />
協 調 施 行 の 設 定<br />
協 調 施 行 を 設 定 するには、 以 下 の 手 順 に 従 います。<br />
ゲートウェイの[Cooperative Enforcement]ページで、[Authorize clients using Endpoint Security Server]を 選<br />
択 して 協 調 施 行 を 有 効 にします。<br />
1. [Monitor Only]を 選 択 すると、トラフィックは 破 棄 せず、トラフィックのトラッキングのみ 行 い、トラフィックはそのま<br />
ま 通 過 させます。<br />
2. [Track unauthorized client status]によって、 適 切 なトラッキングまたは 警 告 のオプションを 設 定 できます。<br />
デフォルト 設 定 は[Log]です。<br />
3. [Endpoint Security Server Selection]セクションでは、 使 用 する Endpoint Security サーバを 選 択 します。<br />
<br />
<br />
このコンピュータを 使 用 するには、[Use Endpoint Security Server installed on this machine]を 選 択 しま<br />
す。<br />
別 のコンピュータを 選 択 するには、[Select Endpoint Security Server]ドロップダウン・メニューからサーバ<br />
を 選 択 します。[New]をクリックすると 新 しいサーバを 作 成 できます。<br />
4. [Client Authorization]セクションで 以 下 を 選 択 します。<br />
<br />
<br />
<br />
<strong>Check</strong> authorization of all clients: すべてのクライアントを 検 査 します。<br />
Bypass authorization of the following clients: ドロップダウン・リストで 選 択 したグループ 内 のすべてのク<br />
ライアントは 検 査 されません。<br />
<strong>Check</strong> authorization only of the following clients: ドロップダウン・リストで 選 択 したグループ 内 のクライア<br />
ントを 検 査 します。<br />
128 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>
<strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong> | 129