ファイアウォール管理ガイド R75.40VS - Check Point

More documents

Recommendations

Info

発信 IGMP マルチキャスト・パケットのマルチキャスト・グループへのアクセスがインタフェースで拒否される場合は、着信パケットも拒否されます。マルチキャスト・データグラムのアクセス制限が定義されていない場合、1 つのインタフェースからゲートウェイに入った着信マルチキャスト・データグラムは、他のすべてのインタフェースから出ることが許可されます。インタフェースごとのアクセス制限を定義する以外に、マルチキャスト・トラフィックとサービスを許可するルールをルール・ベースで定義し、ルールの宛先には必要なマルチキャスト・グループを指定する必要があります。 VPN 接続マルチキャスト・トラフィックは暗号化して、複数の VPN トンネル・インタフェース( 同じ物理インタフェースに関連付けられた仮想インタフェース)を使用して定義された VPN リンク経由で送信できます。マルチキャスト·アクセス制御の設定マルチキャスト・アクセス制御を設定するには 1. SmartDashboard からゲートウェイ·オブジェクトを選択します。 2. [General Properties]ページから、ゲートウェイのバージョンが正しく指定されていることを確認します。 3. [Topology]ページからインタフェースを選択して[Edit]をクリックしてください。 4. [Interface Properties]ページの[Multicast Restrictions]タブから、[Drop Multicast packets by the following conditions]を選択します。 5. 以下のいずれかのインタフェースのマルチキャスト・ポリシーを選択します。 Drop multicast packets whose destination is in the list Drop all multicast packets except those whose destination is in the list 6. [Add]をクリックしてマルチキャスト・アドレスの範囲を追加します。リストから選択したマルチキャスト・アドレス範囲のオブジェクトが[Add Object]ウィンドウに表示されます。 7. [New]→[Multicast Address Range]をクリックします。[Multicast Address Range Properties]ウィンドウが表示されます。 8. この範囲の名前を入力します。 9. 「224.0.0.0~239.255.255.255」の範囲内で IP Address Range か Single IP Address を選択して IP アドレス範囲や単一 IP アドレスを定義します。 10. [OK]をクリックします。名前付けられたマルチキャスト範囲は、[Add Object]ウィンドウで表示されます。 11. [OK]をクリックします。名前付けられたマルチキャスト範囲は、[Interface Properties]→[Multicast Restrictions]ウィンドウの順に選択して表示します。 12. [OK]をクリックし、[Interface Properties]ウィンドウを選択し、再度ゲートウェイ・ウィンドウを閉じます。 22 | ファイアウォール 管理ガイド R75.40VS
13. ルール・ベースにマルチキャスト・アドレスの範囲を許可するルールを追加します。ルールの宛先として、手順 5 で定義した範囲を指定します。 14. セキュリティ・ポリシーを保存して、[Policy]→[Install]の順に選択してインストールします。 Microsoft Networking Services のセキュリティ Microsoft Networking Services(CIFS)の保護 CIFS(Common Internet File System)は、ネットワーク上のサーバ・システムにファイル共有と印刷サービスを要求するのに使用するプロトコルです。CIFS は SMB(Server Message Block)プロトコルの拡張です。CIFS は、TCP ポート「139」を使用する NETBIOS セッション(nbsession)サービスの基本となるトランスポート層として使用されます。Windows ネットワーキングでは、CIFS は Microsoft-DS プロトコル(ポート「445」)でネットワーキングおよびファイル共有に使用されます。CIFS の詳細については、http://samba.org/cifs/を参照してください。 Windows サーバは、管理上の理由からデフォルトの共有 (C$, ADMIN$, PRINT$)がオープンになっているので、ファイル・サーバに対するパスワード攻撃などの内部攻撃の格好の標的になります。 Security Gateway は、セキュリティ・サーバを使用せずに検査モジュールで Microsoft Networking Services のセキュリティを確保します。これにより、LAN セキュリティ(Fast Ethernet と Gigabit Ethernet)に必要な高性能要件を満たすことが可能になります。 CIFS リソースを使用して、CIFS 接続に対して以下のセキュリティ・チェックを実行できます。プロトコルの正確性を確認するクライアントが発行した CIFS メッセージと NETBIOS メッセージが境界を越えた場所を示すのを防止する CIFS サーバとディスク共有のリストへのアクセスを制限するディスク共有へのアクセスをログに記録するサーバと共有へのアクセス制限 (CIFS リソース) サーバと共有へのアクセスを制限するには 1. 新しい CIFS リソースを定義します。 2. CIFS リソースを設定します。[Allowed Disk¥Print Shares]は、許可された CIFS サーバとディスク共有のリストです。ワイルドカードを使用できます。[Add]、[Edit]、または[Delete]を選択してリストを変更します。たとえば、CIFS サーバ BEATLES 上のディスク共有 PAUL へのアクセスを許可するには、以下の手順に従います。 a) [Add]ボタンをクリックして[Server Name]フィールドに「BEATLES」、[Share Name]フィールドに「IPC$」と入力します。[OK]をクリックします。 b) 再度 [Add]ボタンをクリックして[Server Name]フィールドに「BEATLES」、[Share Name]フィールドに「PAUL」と入力します。[OK]をクリックします。 3. 新しいルールを追加します。[Service]の下に、設定したリソースと共に「nbsession」または「Microsoft-DS」を追加します。重要 - コンテンツ検査を行うサービス・オブジェクトのプロトコルは、削除または変更しないでください。サービスを変更すると保護機能が機能しなくなります。 4. [Policy]→[Install]の順に選択してセキュリティ・ポリシーをインストールします。 ファイアウォール 管理ガイド R75.40VS | 23
Page 1 and 2: ファイアウォール R75.40VS
Page 3 and 4: ドキュメントに関する
Page 5 and 6: 自動ルールと手動ルー
Page 7 and 8: 付録 ...........................
Page 9 and 10: Application Control と Identity Aw
Page 11 and 12: 項目 Install-On Time 説明ル
Page 13 and 14: たは[Destination]を「Any」と
Page 15 and 16: ポリシーはまた 2 つの基
Page 17 and 18: Hit Count 表示を設定す
Page 19 and 20: 7. [Interface Properties]ウィン
Page 21: ラジオを特定の周波
Page 25 and 26: SmartDashboard からアクセス
Page 27 and 28: アイデンティティを識別
Page 29 and 30: 2. Identity Awareness でユーザ
Page 31 and 32: 3. Security Gateway からユーザ
Page 33 and 34: ログでのユーザ識別 Smart
Page 35 and 36: 2. Captive Portal で、通常
Page 37 and 38: このログ・エントリは、
Page 39 and 40: 次のステップ Identity Agent
Page 41 and 42: 第 3 章ネットワーク・ア
Page 43 and 44: たとえば、10.1.1.2 から 10.1
Page 45 and 46: この原則の例外は、2
Page 47 and 48: 自動ルールの順序自
Page 49 and 50: Static NAT を定義すると、
Page 51 and 52: Alaska.Web Any Any Alaska.Web (Vali
Page 53 and 54: ネットワークの設定た
Page 55 and 56: オブジェクト·データベー
Page 57 and 58: SecuRemote/SecureClient から MEP(
Page 59 and 60: デフォルトの[Do not reuse IP
Page 61 and 62: 第 4 章 IPv6 この章の構
Page 63 and 64: Security Gateway での IPv6 の
Page 65 and 66: [Interface Properties]ウィンド
Page 67 and 68: ICMPv6 router- advertisement ICMPv6
Page 69 and 70: 4. [Other Service Properties]ウィ
Page 71 and 72: Any Any Any Traffic Any drop None
Page 73 and 74:
第 5 章 ISP の冗長性こ
Page 75 and 76:
Security Gateway の DNS への設
Page 77 and 78:
ISP リンク・ステートの強
Page 79 and 80:
メール・セキュリティの
Page 81 and 82:
2. [Spam]、[Suspected Spam]また
Page 83 and 84:
2. [Anti-Spam]オプションを
Page 85 and 86:
詳細については、「連
Page 87 and 88:
アンチウイルスアンチス
Page 89 and 90:
第 8 章 ConnectControl - サー
Page 91 and 92:
HTTP リダイレクト・メカニ
Page 93 and 94:
永続サーバのタイムアウ
Page 95 and 96:
第 9 章 CoreXL 管理この章
Page 97 and 98:
すべてのインタフェース
Page 99 and 100:
たとえば、「eth0」と「eth1
Page 101 and 102:
データ値説明デーモン
Page 103 and 104:
パラメータ説明 -k カー
Page 105 and 106:
1. コンピュータが起動
Page 107 and 108:
6. SmartConsole クライアント
Page 109 and 110:
fwboot bootconf 「fwboot bootconf
Page 111 and 112:
付録 B 付録このセクシ
Page 113 and 114:
c) ポート 1645 サービス上
Page 115 and 116:
2. SmartDashboard でゲートウ
Page 117 and 118:
3. ユーザが正常に認証
Page 119 and 120:
4. 以下のいずれかのオプ
Page 121 and 122:
tower 3% telnet london 259 Trying 1
Page 123 and 124:
1. [Authentication]ページで、S
Page 125 and 126:
5. [Yes]をクリックします。
Page 127 and 128:
付録 C 付録この付録
Page 129:
ファイアウォール管理
show all

ファイアウォール 管理ガイド R75.40VS - Check Point

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ファイアウォール管理ガイド R75.40VS - Check Point