ファイアウォール管理ガイド R75.40VS - Check Point

More documents

Recommendations

Info

2. [User Access]セクションの[Portal Settings]ウィンドウで、[Unregistered guest login]が選択されていることを確認します。 3. [Unregistered guest login - Settings]をクリックします。 4. [Unregistered guest login - Settings]ウィンドウで、以下を設定します。 • ゲストの入力必須データ。 • ゲストがネットワーク・リソースにアクセスできる期間。 • ユーザの使用許諾の同意が必要かどうか、またそのテキスト内容 5. ファイアウォール・ルール・ベースに新しいルールを 2 つ作成します。 A) 認識されるユーザは組織からインターネットにアクセスできるようにルールを作成します(ない場合 )。 i. ルールの[Source]で、右クリックして新しいアクセス・ロールを作成します。 ii. iii. iv. アクセス・ロールの[Name]を入力します。 [Users]タブで[All identified users]を選択します。 [OK]をクリックします。アクセス・ロールがルールに追加されます。 Name Source Destination VPN Service Action Internet Identified_users ExternalZone Any Traffic http accept B) 認識されないユーザはインターネットだけにアクセスできるようにルールを作成します。 v. ルールの[Source]で、右クリックして新しいアクセス・ロールを作成します。 vi. vii. viii. ix. アクセス・ロールの[Name]を入力します。 [Users]タブで[Specific users]を選択し、[Unauthenticated Guests]を指定します。 [OK]をクリックします。アクセス・ロールがルールに追加されます。 [Action]には[access]を指定します x. [Action]カラムを右クリックして、[Edit Properties]を選択します。[Action Properties]ウィンドウが開きます。 xi. xii. [Redirect http connections to an authentication (captive) portal. Note: redirection will not occur if the source IP is already mapped to a user]を選択します。 [OK]をクリックします。 Name Source Destination VPN Service Action Guests Guests ExternalZone Any Traffic http accept(display captive portal) ユーザの操作 ACME のゲスト・ユーザとして、次の手順を実行します。 1. ノート PC からインターネット・サイトへアクセスします。このユーザは識別されていないためインターネットにアクセスできません。そのため Captive Portal が開きます。 2. ID 情報をを Captive Portal に入力し、ネットワーク・アクセスの使用許諾条件を読んで同意します。 [Welcome to the network]ウィンドウが開きます。 3. ユーザは、特定の時間だけインターネットのブラウジングができるようになります。ログのユーザ認識以下の SmartView Tracker ログは、システムがどのようにゲストを識別するかを表しています。 36 | ファイアウォール 管理ガイド R75.40VS
このログ・エントリは、システムがユーザ ID で送信元 IP アドレスをマップすることを表します。ユーザが Captive Portal で「ゲスト」として識別されたので、この場合に ID は「ゲスト」です。 Identity Agent でのアイデンティティ取得シナリオ: Endpoint Identity Agent の導入とユーザ・グループ・アクセス ACME 社では、Finance チームだけが Finance Web サーバにアクセスできるよう徹底したいと考えています。従来のルール・ベースでは、静的 IP アドレスを使って Finance チームのアクセスを定義していました。 IT 管理者の Amy は、Endpoint Identity Agent を活用して以下のようにしたいと考えています。 Finance のユーザは、SSO でログインするとそれ以降自動的に認証されるようにする(Microsoft Active Directory にビルトインされている Kerberos を使用 )。組織の広範囲にアクセスするユーザは Finance Web サーバに継続的にアクセスできるようにする。 Finance Web サーバへのアクセスは、IP スプーフィング攻撃を防御してより安全に設定する。 Amy は、Finance チームのユーザには Captive Portal から Endpoint Identity Agent をダウンロードしてもらいたいと考えます。この場合、以下の設定が必要です。 Identity Agent を Identity Awareness のアイデンティティ・ソースにします。 Financeグループへのエージェント導入を Captive Portal から行います。IPスプーフィング攻撃を阻止するために Full Identity Agent を導入する必要があります。IP スプーフィング攻撃の保護は、クライアント側での設定は不要です。すべての管理対象マシンとすべての場所に対して、Finance ユーザのアクセス・ロールを持つルール・ベースのルールを、IP スプーフィング保護を有効にして設定します。設定を完了してポリシーをインストールすると、Finance Web サーバにアクセスするユーザは Captive Portal が表示されて Endpoint Identity Agent をダウンロードできます。必要な SmartDashboard の設定これを実現させるためには、IT 担当者は次の手順を実行します。 1. ゲートウェイで Identity Awareness を有効にして、アイデンティティ・ソースに[Identity Agents]と [Browser-Based Authentication]を選択します。 2. Browser-Based Authenticationの[Settings]ボタンをクリックします。 3. [User Access]セクションの[Portal Settings]ウィンドウで、[Name and password login]を選択します。 4. ポータルの[Identity Agent Deployment]で、[Require users to download]を選択し、[Identity Agent - Full] オプションをクリックします。注 – これで、すべてのユーザに Endpoint Identity Agent が設定されます。Identity Agent のダウンロードは、特定のグループに設定することもできます。 5. Kerberos SSO を設定します。 6. ファイアウォール・ルール・ベースに、Finance チームのユーザだけが Finance Web サーバにアクセスできるようにルールを作成し、ポリシーをインストールします。 A) ルールの[Source]で、右クリックして新しいアクセス・ロールを作成します。 B) アクセス・ロールの[Name]を入力します。 C) [Networks]タブで[Specific users]を選択して「Active Directory Finance」ユーザ・グループを追加します。 D) [Users]タブで[All identified users]を選択します。 E) [Machines]タブで、[All identified machines]を選択し、[Enforce IP spoofing protection (requires Full Identity Agent)]を選択します。 F) [OK]をクリックします。 ファイアウォール 管理ガイド R75.40VS | 37
Page 1 and 2: ファイアウォール R75.40VS
Page 3 and 4: ドキュメントに関する
Page 5 and 6: 自動ルールと手動ルー
Page 7 and 8: 付録 ...........................
Page 9 and 10: Application Control と Identity Aw
Page 11 and 12: 項目 Install-On Time 説明ル
Page 13 and 14: たは[Destination]を「Any」と
Page 15 and 16: ポリシーはまた 2 つの基
Page 17 and 18: Hit Count 表示を設定す
Page 19 and 20: 7. [Interface Properties]ウィン
Page 21 and 22: ラジオを特定の周波
Page 23 and 24: 13. ルール・ベースにマル
Page 25 and 26: SmartDashboard からアクセス
Page 27 and 28: アイデンティティを識別
Page 29 and 30: 2. Identity Awareness でユーザ
Page 31 and 32: 3. Security Gateway からユーザ
Page 33 and 34: ログでのユーザ識別 Smart
Page 35: 2. Captive Portal で、通常
Page 39 and 40: 次のステップ Identity Agent
Page 41 and 42: 第 3 章ネットワーク・ア
Page 43 and 44: たとえば、10.1.1.2 から 10.1
Page 45 and 46: この原則の例外は、2
Page 47 and 48: 自動ルールの順序自
Page 49 and 50: Static NAT を定義すると、
Page 51 and 52: Alaska.Web Any Any Alaska.Web (Vali
Page 53 and 54: ネットワークの設定た
Page 55 and 56: オブジェクト·データベー
Page 57 and 58: SecuRemote/SecureClient から MEP(
Page 59 and 60: デフォルトの[Do not reuse IP
Page 61 and 62: 第 4 章 IPv6 この章の構
Page 63 and 64: Security Gateway での IPv6 の
Page 65 and 66: [Interface Properties]ウィンド
Page 67 and 68: ICMPv6 router- advertisement ICMPv6
Page 69 and 70: 4. [Other Service Properties]ウィ
Page 71 and 72: Any Any Any Traffic Any drop None
Page 73 and 74: 第 5 章 ISP の冗長性こ
Page 75 and 76: Security Gateway の DNS への設
Page 77 and 78: ISP リンク・ステートの強
Page 79 and 80: メール・セキュリティの
Page 81 and 82: 2. [Spam]、[Suspected Spam]また
Page 83 and 84: 2. [Anti-Spam]オプションを
Page 85 and 86: 詳細については、「連
Page 87 and 88:
アンチウイルスアンチス
Page 89 and 90:
第 8 章 ConnectControl - サー
Page 91 and 92:
HTTP リダイレクト・メカニ
Page 93 and 94:
永続サーバのタイムアウ
Page 95 and 96:
第 9 章 CoreXL 管理この章
Page 97 and 98:
すべてのインタフェース
Page 99 and 100:
たとえば、「eth0」と「eth1
Page 101 and 102:
データ値説明デーモン
Page 103 and 104:
パラメータ説明 -k カー
Page 105 and 106:
1. コンピュータが起動
Page 107 and 108:
6. SmartConsole クライアント
Page 109 and 110:
fwboot bootconf 「fwboot bootconf
Page 111 and 112:
付録 B 付録このセクシ
Page 113 and 114:
c) ポート 1645 サービス上
Page 115 and 116:
2. SmartDashboard でゲートウ
Page 117 and 118:
3. ユーザが正常に認証
Page 119 and 120:
4. 以下のいずれかのオプ
Page 121 and 122:
tower 3% telnet london 259 Trying 1
Page 123 and 124:
1. [Authentication]ページで、S
Page 125 and 126:
5. [Yes]をクリックします。
Page 127 and 128:
付録 C 付録この付録
Page 129:
ファイアウォール管理
show all

ファイアウォール 管理ガイド R75.40VS - Check Point

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ファイアウォール管理ガイド R75.40VS - Check Point