ファイアウォール管理ガイド R75.40VS - Check Point

More documents

Recommendations

Info

外部インタフェースから来たパケットが偽の内部 IP アドレスを持っていても、ファイルウォールのスプーフィング対策機能が不正なインタフェースから来たことを検知するのでブロックされます。 Alaska_GW では、ファイルウォールは以下のことを保証します。インタフェース IF1 へのすべての着信パケットはインターネットから送信されている。インタフェース IF2 へのすべての着信パケットは Alaska_LAN、Alaska_RND_LAN、または Florida_LAN から送信されている。 Alaska_RND_GW では、ファイルウォールは以下のことを保証します。インタフェース IF3 へのすべての着信パケットは Alaska_LAN、Florida_LAN、またはインターネットから送信されている。インタフェース IF4 へのすべての着信パケットは Alaska_RND_LAN から送信されている。スプーフィング対策を設定する場合は、インタフェース・トポロジの定義でインタフェースがインターネットに接続している(「External」として定義する)か、内部ネットワークに接続している(「Internal」として定義する)かを指定する必要があります。スプーフィング対策の設定内部インタフェースを含む Security Gateway のすべてのインタフェースで、スプーフィング対策を設定することが重要です。設定外部インタフェースで有効なアドレスを定義するには 1. SmartDashboard から、[Manage]→[Network Objects]を選択します。 2. ゲートウェイを選択して、[Edit]をクリックします。 3. ページのリストから[Topology]を選択してクリックします。 4. [Get]→[Interfaces]の順にクリックして、ゲートウェイ・コンピュータのインタフェース情報を取得します。 5. [Accept]をクリックします。 SmartDashboard がトポロジ情報を取得できない場合は、ゲートウェイの[General Properties]が正しく一覧表示され、ゲートウェイ、Security Management Server と SmartDashboard のすべてが機能し通信していることを確認します。 6. [Topology]ページで、インターネットへのインタフェースを選択して[Edit]をクリックします。 18 | ファイアウォール 管理ガイド R75.40VS
7. [Interface Properties]ウィンドウで[Topology]タブを開きます。 8. [External (leads out to the Internet)]を選択します。 9. [Perform Anti-Spoofing based on interface topology]を選択します。 10. [Anti-Spoofing action is set to]から、以下のいずれか 1 つのオプションを選択します。 Prevent - スプーフィングされたパケットをブロックします。 Detect - スプーフィングされた可能性のあるパケットを許可します。このオプションは監視目的に使用され、いずれか 1 つのトラッキング・オプションと組み合わせて使用する必要があります。これは、実際にパケットを拒否することなくネットワークのトポロジを学習するためのツールとして機能します。 11. [Don't check packets from]は外部インタフェースに着信する特定の内部ネットワークからのアドレスに対してアンチ・スプーフィング・チェックを動作させないようにするのに使用します。このオプションを使用するには、チェックボックスを選択し、ドロップダウン・リストから有効なアドレスを持つ内部ネットワークを表すネットワーク・オブジェクトを選択します。必要なネットワーク・オブジェクトがリストにない場合は、[New]をクリックして必要な内部ネットワーク・オブジェクトを定義します。ドロップダウン・リストで選択したオブジェクトは、スプーフィング対策の実施メカニズムによって無視されます。 12. [Spoof Tracking]オプションから[Log]を選択し、[OK]をクリックします。内部インタフェースのスプーフィング対策設定内部インタフェースの有効アドレスを定義するには 1. SmartDashboard から、[Manage]→[Network Objects]を選択します。 2. チェック・ポイントのゲートウェイを選択し、[Edit]をクリックします。 3. ゲートウェイ・ウィンドウから、[Topology]を選択します。 4. [Topology]ウィンドウから、[Get]→[Interfaces]の順にクリックして、ゲートウェイ・コンピュータのインタフェース情報を取得します。 5. [Name]カラムから内部インタフェースを選択して[Edit]ボタンをクリックします。 6. [Interface Properties]ウィンドウから[Topology]をクリックし、[Internal (leads to the local network)]を選択します。 7. [IP Addresses behind this interface]から、以下のいずれか 1 つを実行します。インタフェースの背後に 1 つのネットワークしかない場合は、[Network defined by the interface IP and Net Mask]を選択します。インタフェースの背後に複数のネットワークがある場合は、インタフェースの背後のすべてのネットワークを構成するネットワーク・グループ・オブジェクトを定義し、[Specific]を選択し、作成したグループを選択します。 8. [Perform Anti-Spoofing based on interface topology]を選択します。 9. [Anti-Spoofing action is set to]から、以下のいずれかのオプション 1 つを選択します。 Prevent - スプーフィングされたパケットをブロックします。 Detect - スプーフィングされたパケットを許可します。このオプションは監視目的に使用され、いずれか 1 つのトラッキング・オプションと組み合わせて使用する必要があります。これは、実際にパケットを拒否することなく、ネットワークのトポロジを学習するためのツールとして機能します。 10. [Spoof Tracking]から[Log]を選択し、[OK]をクリックしてください。 11. すべての内部インタフェースに対して、手順 1 から 8 まで繰り返します。 12. [Policy]→[Install]の順に選択してセキュリティ・ポリシーをインストールします。特定内部アドレスの除外状況によっては、内部ネットワークに属する送信元アドレスを持つパケットを、外部インタフェース経由でゲートウェイに送信できるようにする必要があります。これは、外部アプリケーションが内部 IP アドレスを外部クライアントに割り当てる場合に役立つことがあります。この場合、指定した内部ネットワークからのパケットに対してスプーフィング対策・チェックを行わないように指定できます。 ファイアウォール 管理ガイド R75.40VS | 19
Page 1 and 2: ファイアウォール R75.40VS
Page 3 and 4: ドキュメントに関する
Page 5 and 6: 自動ルールと手動ルー
Page 7 and 8: 付録 ...........................
Page 9 and 10: Application Control と Identity Aw
Page 11 and 12: 項目 Install-On Time 説明ル
Page 13 and 14: たは[Destination]を「Any」と
Page 15 and 16: ポリシーはまた 2 つの基
Page 17: Hit Count 表示を設定す
Page 21 and 22: ラジオを特定の周波
Page 23 and 24: 13. ルール・ベースにマル
Page 25 and 26: SmartDashboard からアクセス
Page 27 and 28: アイデンティティを識別
Page 29 and 30: 2. Identity Awareness でユーザ
Page 31 and 32: 3. Security Gateway からユーザ
Page 33 and 34: ログでのユーザ識別 Smart
Page 35 and 36: 2. Captive Portal で、通常
Page 37 and 38: このログ・エントリは、
Page 39 and 40: 次のステップ Identity Agent
Page 41 and 42: 第 3 章ネットワーク・ア
Page 43 and 44: たとえば、10.1.1.2 から 10.1
Page 45 and 46: この原則の例外は、2
Page 47 and 48: 自動ルールの順序自
Page 49 and 50: Static NAT を定義すると、
Page 51 and 52: Alaska.Web Any Any Alaska.Web (Vali
Page 53 and 54: ネットワークの設定た
Page 55 and 56: オブジェクト·データベー
Page 57 and 58: SecuRemote/SecureClient から MEP(
Page 59 and 60: デフォルトの[Do not reuse IP
Page 61 and 62: 第 4 章 IPv6 この章の構
Page 63 and 64: Security Gateway での IPv6 の
Page 65 and 66: [Interface Properties]ウィンド
Page 67 and 68: ICMPv6 router- advertisement ICMPv6
Page 69 and 70:
4. [Other Service Properties]ウィ
Page 71 and 72:
Any Any Any Traffic Any drop None
Page 73 and 74:
第 5 章 ISP の冗長性こ
Page 75 and 76:
Security Gateway の DNS への設
Page 77 and 78:
ISP リンク・ステートの強
Page 79 and 80:
メール・セキュリティの
Page 81 and 82:
2. [Spam]、[Suspected Spam]また
Page 83 and 84:
2. [Anti-Spam]オプションを
Page 85 and 86:
詳細については、「連
Page 87 and 88:
アンチウイルスアンチス
Page 89 and 90:
第 8 章 ConnectControl - サー
Page 91 and 92:
HTTP リダイレクト・メカニ
Page 93 and 94:
永続サーバのタイムアウ
Page 95 and 96:
第 9 章 CoreXL 管理この章
Page 97 and 98:
すべてのインタフェース
Page 99 and 100:
たとえば、「eth0」と「eth1
Page 101 and 102:
データ値説明デーモン
Page 103 and 104:
パラメータ説明 -k カー
Page 105 and 106:
1. コンピュータが起動
Page 107 and 108:
6. SmartConsole クライアント
Page 109 and 110:
fwboot bootconf 「fwboot bootconf
Page 111 and 112:
付録 B 付録このセクシ
Page 113 and 114:
c) ポート 1645 サービス上
Page 115 and 116:
2. SmartDashboard でゲートウ
Page 117 and 118:
3. ユーザが正常に認証
Page 119 and 120:
4. 以下のいずれかのオプ
Page 121 and 122:
tower 3% telnet london 259 Trying 1
Page 123 and 124:
1. [Authentication]ページで、S
Page 125 and 126:
5. [Yes]をクリックします。
Page 127 and 128:
付録 C 付録この付録
Page 129:
ファイアウォール管理
show all

ファイアウォール 管理ガイド R75.40VS - Check Point

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ファイアウォール管理ガイド R75.40VS - Check Point