Full-HA ********* - チェック・ポイント・ソフトウェア・テクノロジーズ

Transcript Full-HA ********* - チェック・ポイント・ソフトウェア・テクノロジーズ

R76 VRRP
分散構成設定ガイド
2014年4月23日 ver. 2
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
©2013 Check Point Software Technologies Ltd.
ネットワーク構成図
10.1.1.1
External:10.1.1.0/24
VIP:10.1.1.100
Gateway-1
SG2200
eth1: 10.1.1.101
eth2: 192.168.254.101
eth5: 192.168.1.101
Mgmt: 172.16.1.101
SG2200
SYNC:192.168.1.0/24
Smart-1 5
Gateway-2
eth1: 10.1.1.102
eth2: 192.168.254.102
eth5: 192.168.1.102
Mgmt: 172.16.1.102
VIP:192.168.254.100
DMZ:192.168.254.0/24
MGMT:172.16.1.200
VIP:172.16.1.100
Internal:172.16.1.0/24
SmartConsole:172.16.1.1
©2013 Check Point Software Technologies Ltd.
2
IPアドレス設定(冗長化)
 GW1
 MGMT
– Internal:172.16.1.101/24
– External:10.1.1.101/24
– DMZ:192.168.254.101/24
– SYNC:192.168.1.101/24
– DefaultGW:10.1.1.1
– Internal:172.16.1.200/24
– DefaultGW:172.16.1.100
 GW2
– Internal:172.16.1.102/24
– External:10.1.1.102/24
– DMZ:192.168.254.102/24
– SYNC:192.168.1.102/24
– DefaultGW:10.1.1.1
[Protected] For public distribution
©2013 Check Point Software Technologies Ltd.
3
構成パターン
スタンドアロン構成
Gateway
分散構成
Management
Gateway
Management
本ドキュメントは、
こちらについて解説します！
冗長構成
(ClusterXL or VRRP)
冗長構成 (Full HA)
Management
Gateway
Management
Gateway
Management
Gateway
Gateway
©2013 Check Point Software Technologies Ltd.
4
VRRPによる冗長化（HA: High Availability)
 市場で認められたルータのための
標準冗長機能
 1998年、Nokia, Ascend,
Microsoft, DEC,IBMが共同でRFC
標準化したインターネット標準プロト
コル。RFC3768
 Nokiaがファイアウォールへ応用し
Internet
Master/
Active
Backup/
Standby
て独自に拡張
– モニタードサーキット（監視対象イン
タフェースのリンクダウン検知によ
る全体的なプライオリティ減算）
– Firewall ステート・モニター
©2013 Check Point Software Technologies Ltd.
5
VRRP HA概念
 アクティブ/スタンバイ構成
Internet
Backup/
Standby
Master/
Act
VRRP
– バーチャル・ルータ（仮想IPア
ドレス）を共有
– マスター側がパケットの処理
– マスターは定期的にVRRPハ
ローパケットをイーサネットに
マルチキャストする
– ハローパケットはプライオリティ値を
持ち、一番大きな値のものがマス
ターになる
10.1.1.1
– スレーブは待機。自分より大
きなプライオリティ値のハロー
パケットが来なくなったら新マ
スターと成りパケットを処理
– 左の例ではこのため仮想IPアド
レス10.1.1.1を有効にしVRRP
ハローパケットを定期的に送出
Company Confidential
©2013 Check Point Software Technologies Ltd.
6
三層構造アーキテクチャ
冗長構成（管理装置別建て分散構成）
Security Management
サーバ
管理コンソール
SmartConsole & Webブラウザ
セキュリティ・ポリシーなど
ログやステータスなど
ログやステータスなど
ゲートウェイ
冗長構成
ゲートウェイ
 Security Managementサーバではセキュリティ・ポリシーの保存やコンパイルなどが
行われる
 ゲートウェイで生成されるログは、 Security Managementサーバで保存されます
©2013 Check Point Software Technologies Ltd.
7
VRRPの推奨ネットワーク構成例
インターネット
外部ネットワーク
セッション同期
管理ネットワーク
内部ネットワーク
Department A
Department B
Corpnet DMZ
Department C
Extran
et
Security
Management
Server
SmartConsole
 Gatewayに隣接するスイッチを冗長化する際は、スイッチ間のネットワークを二重化します
– （スイッチ間のリンクが切れた場合、VRRPがActive/Active状態になってしまうため）
 Security Management Serverと通信するための専用セグメント（管理ネットワーク）を用意して、
他のネットワークからの不正アクセスを防ぎます。また、Gatewayから送られてくるアクセスロ
グのトラフィック負荷を分ける意味もあります
©2013 Check Point Software Technologies Ltd.
8
アジェンダ
1
Gaiaセットアップ
2
Software Bladeセットアップ
3
付録：運用管理オペレーション
©2013 Check Point Software Technologies Ltd.
9
アジェンダ
1
Gaiaセットアップ
2
Software Bladeセットアップ
3
付録：運用管理オペレーション
©2013 Check Point Software Technologies Ltd.
10
アプライアンス初期設定
 アプライアンスは、初期設定においてMGMTインターフェースに
192.168.1.1/24のIPアドレスが割り当てられています
 PCをMGMTインターフェースに接続します
 ブラウザを起動して以下のURLにアクセスします
– https://192.168.1.1
 Security ManagementとしてSmart-1 5アプライアンスの初期設
定を行い、次に2台のゲートウェイSG2200の初期設定を行う
Smart-1 5 アプライアンスの例
2200 アプライアンスの例
©2013 Check Point Software Technologies Ltd.
11
初期アカウント
 初期設定では、以下のアカウントが設定されています
– ユーザ名：admin, パスワード：admin
©2013 Check Point Software Technologies Ltd.
12
Gaia First Time Configuration Wizard 1
Security Management Smart-1 の設定
 ログイン後、Gaia First Time Configuration Wizardが表示さ
れます
 Nextボタンをクリックしてパスワードを設定します
– 今回は、例としてP@ssw0rdと入力します
©2013 Check Point Software Technologies Ltd.
13
Gaia First Time Configuration Wizard 2
Security Management Smart-1 の設定
 時刻設定を行います。アプライアンスのローカルクロックを選択
するか、NTPサーバによる時刻同期を選択します
 冗長構成では、2台のゲートウェイの時計の差が大きいと
ステートの同期が取れなくなりますので正確な時間設定は大切
ローカル・クロック設定例
©2013 Check Point Software Technologies Ltd.
14
Gaia First Time Configuration Wizard 3
Security Management Smart-1 の設定
 ホスト名、ドメイン名、DNSサーバを設定します
 ホスト名は、ゲートウェイ管理の“オブジェクト名“に利用されま
すので、慎重に入力します
©2013 Check Point Software Technologies Ltd.
15
Gaia First Time Configuration Wizard 4
Security Management Smart-1 の設定
 MGMTのインターフェースのアドレスはここでは初期設定のままで進めます
 アドレスを変更しても構いませんが、その場合初期設定のアドレスは
セカンダリIPアドレスとなります
MGMTインターフェースのアドレスを変更した場合
©2013 Check Point Software Technologies Ltd.
16
Gaia First Time Configuration Wizard 5
Security Management Smart-1 の設定
 Smart-1アプライアンスをSecurity Managementとして使用するには
“Smart-1 applianceに”チェックを入れます
 続いて“Security Management”にチェックを入れ、 Security Management
はシングル構成なので”Primary”のままとしておきます
©2013 Check Point Software Technologies Ltd.
17
Gaia First Time Configuration Wizard 6
Security Management Smart-1 の設定
 Security Managementサーバの管理者ユーザ名、パスワードを設定します
– Administrator Name: admin, Password: P@ssw0rd
 管理者が使用するGUIクライアントのIPアドレスを制限できますが今回は
Any IP addressで進めます
©2013 Check Point Software Technologies Ltd.
18
Gaia First Time Configuration Wizard 7
Security Management Smart-1 の設定
 サマリーが出るので確認します。戻ってやり直しがこの時点までは可能
 Finishボタンを押下で設定が実行され、“Configuration completed
successfully”のOKを押下するとGaiaのOverview画面が現れる
©2013 Check Point Software Technologies Ltd.
19
Gaia Portal： Overview画面
Security Management Smart-1 の設定
©2013 Check Point Software Technologies Ltd.
20
Gaia Portal, Configuration Lock
 ポータルのトップに鍵マークが出ている場合は排他ロックがかかっていて設
定が行えない。鍵マークをクリックし下記のようにロックを外す。
©2013 Check Point Software Technologies Ltd.
21
Gaia Portal： Interfaces画面
Security Management Smart-1 の設定
 画面左のメニューからNetwork Interfacesをクリックしたところ
©2013 Check Point Software Technologies Ltd.
22
Gaia Portal：インターフェース設定画面
Security Management Smart-1 の設定
 Interfaces画面でMgmt
インターフェースをクリッ
クしポップアップが出る
ので先ずEthernetタブを
開きイーサネットの設定
を行い、次にIPアドレス
を変更する。
 ここで接続が切れるので
使用しているPCのアドレ
スを172.16.1.1に変更
する。デフォルト・ルート
は172.16.1.100
©2013 Check Point Software Technologies Ltd.
23
Gaia Portal：スタティック・ルート設定画面
Security Management Smart-1 の設定
 新しいアドレスに接続し直し(https://172.16.1.200)、以下のようにデフォルト・ルート
を変更する。
デフォルト・ルートをダブルクリックし、
ポップアップがでたら既存のゲートウェイ
(192.168.1.254)を削除し、新規にゲート
ウェイ(172.16.1.100)を追加する。
デフォルト・ルート変更後
©2013 Check Point Software Technologies Ltd.
24
Gaia First Time Configuration Wizard
Security Gatewayの設定
 Security Managementと同様にパスワード、時刻、ホスト名
（Gateway-1, Gateway-2）の設定を行う
©2013 Check Point Software Technologies Ltd.
25
Gaia First Time Configuration Wizard, Products
Security Gatewayの設定
 Gateway-1, -2共にProducts設定の画面では次のように設定する
– Security Gateway
– クラスター・タイプをVRRP Clusterとしてクラスターの構成メンバーとする
©2013 Check Point Software Technologies Ltd.
26
Gaia First Time Configuration Wizard, Products
Security Gatewayの設定
 すると次の注意が表示される。何れも後程行う。
– クラスタをcpconfigコマンドで有効にすること
– VRRPの設定をGaiaで行うこと
©2013 Check Point Software Technologies Ltd.
27
Gaia First Time Configuration Wizard, DAIP
Security Gatewayの設定
 Dynamically Assigned IPについてはGateway-1, -2共にIPアドレスは動
的割り当ては行わないのでNoをクリック
©2013 Check Point Software Technologies Ltd.
28
Gaia First Time Configuration Wizard, SIC
Security Gatewayの設定
 Security Managementと安全な通信(Secure Internal Communication:
SIC)を確立するための一時的なパスワードを入力。例えばGateway-1, -2
共に「P@ssw0rd」とする。
©2013 Check Point Software Technologies Ltd.
29
Gaia First Time Configuration Wizard, License
Activation
Security Gatewayの設定
 Gateway-1, -2共にライセンスについてはトライアル・ライセンス（15日間有
効）を使うのでActivate laterの方をクリック
©2013 Check Point Software Technologies Ltd.
30
Gaia Portal, ゲートウェイのOverview画面
Security Gatewayの設定
 初期設定ウイザードが終了するとGaiaポータル概要画面が現れる
©2013 Check Point Software Technologies Ltd.
31
Gaia Portal, インターフェースの設定
Security Gatewayの設定
 Security Managementの時と同様に各インターフェースのイーサネット設
定、IPアドレスの設定を行う。
Gateway-1のIPアドレス設定
Gateway-2のIPアドレス設定
©2013 Check Point Software Technologies Ltd.
32
VRRP設定値一覧
FW名
VRID
インタ
フェース
物理IPアドレス
仮想IPアドレス
(VIP)
プラ
イオ
リ
ティ
ハローイ
ンターバ
ル（秒）
デルタ値
Gateway-1
(Master/Active)
10
Internal
172.16.1.101
172.16.1.100
100
1
10
10
DMZ
192.168.254.101
192.168.254.100
100
1
10
10
External
10.1.1.101
10.1.1.100
100
1
10
10
Internal
172.16.1.102
172.16.1.100
95
1
10
10
DMZ
192.168.254.102
192.168.254.100
95
1
10
10
External
10.1.1.102
10.1.1.100
95
1
10
Gateway-2
(Backup/Standby)
 VRRPのプライオリティ値とデルタ値について
– 通常、VRRPを構成する場合、MasterとBackupの関係は固定になります
– 上記設定値の場合、MasterのVRRPインタフェースが1つダウンすると、Master
のプライオリティ値（100）からデルタ値（10）が減算されます。（100-10=90）
– その結果、Backupのプライオリティ値（95）よりも低い値になるため、フェイル
オーバ（※）が起こります。
※プライオリティ値の高い方がActiveになります
©2013 Check Point Software Technologies Ltd.
33
Gaia Portal: VRRPの設定
Security Gatewayの設定
 左メニュー・ペインからVRRPを選択し、Addボタンを押してバーチャル・ルー
タを追加してゆこう。
©2013 Check Point Software Technologies Ltd.
34
Gaia Portal: バーチャル・ルータの追加
Security Gatewayの設定
 Gateway-1についてはバーチャル・ルータID = 10, Priority = 100, Priority
Delta = 10。Gateway-2についてはPriority = 95であとは同じ値。
10.1.1.0のセグメントに追加された
10.1.1.100のバーチャル・ルータ
©2013 Check Point Software Technologies Ltd.
35
Gaia Portal: バーチャル・ルータの追加
Security Gatewayの設定
 同様にして172.16.1.0および192.168.254.0の各セグメントにバーチャル・
ルータを追加したところ。Saveボタンを押しバーチャル・ルータ追加完了。
Gateway-1のバーチャル・ルータ設定
Gateway-2のバーチャル・ルータ設定
©2013 Check Point Software Technologies Ltd.
36
Gaia Portal: VRRP動作確認 (1)
Security Gatewayの設定
 Gateway-1,2共にルーターのレベルでVRRPの動作確認を行うためファイ
アウォールの状態監視を止めるとともにデフォルトのセキュリティ・ポリシー
を無効にする。
チェックを外し、
Appy Global Settingsボタンを押す。
コンソールを開き、fw unloadlocalコマンドを実行
©2013 Check Point Software Technologies Ltd.
37
Gaia Portal: VRRP動作確認 (2)
 この時点で結線などちゃんとできていればGateway-1がMasterで
Gateway-2がBackupの状態になっているはず。
©2013 Check Point Software Technologies Ltd.
38
Gaia Portal: VRRP動作確認 (3)
 Gateway-1のeth2のケーブルを抜いたところ。ケーブルを再度つなげば
Gateway-1のバーチャル・ルーター3つ全てがマスターに、Gateway-2では
全てバックアップに戻るはず。
VRRPの画面をモニターに切り替える。
©2013 Check Point Software Technologies Ltd.
39
Gaia Portal:クラスター・メンバー化
Security Gatewayの設定
 Gateway-1,2共にcpconfigコマンドでクラスター・メンバーシップを有効にし
てクラスターのメンバーとする。次にrebootコマンドでリブートし設定を有効
にする。
コンソールを開き、cpconfigコマンドを実行
©2013 Check Point Software Technologies Ltd.
40
アジェンダ
1
Gaiaセットアップ
2
Software Bladeセットアップ
3
付録：運用管理オペレーション
©2013 Check Point Software Technologies Ltd.
41
SmartConsoleのインストール 1
 専用GUIのSmartConsoleをダウンロードして、管理用のクライ
アントにインストールします
©2013 Check Point Software Technologies Ltd.
42
SmartConsoleのインストール 2
 SmartConsoleは、MS Visual C++, MS .NET Frameworkを
要求しますので、”OK”ボタンをクリックします
©2013 Check Point Software Technologies Ltd.
43
SmartConsoleのインストール 3
 SmartConsoleのインストールを開始します
 ライセンスにどうして”Next”ボタンをクリックしてプロセスを進め
ます
©2013 Check Point Software Technologies Ltd.
44
SmartConsoleのインストール 4
 インストールが完了したら、”Finish”ボタンをクリックして、
SmartDashboardの専用GUIツールを立ち上げます
©2013 Check Point Software Technologies Ltd.
45
SmartDashboardの接続 1
 SmartDashboardからSecurity Managementサーバに接続を行います
 Gaia First Time Configuration Wizardで設定したSecurity Management
サーバのユーザ名、パスワードを入力します
– ユーザ名：admin, パスワード：P@ssw0rd
 SmartDashboardは、実際の機器がなくてもSoftware Bladeの機能を確認
できる”Demo mode”を利用できます
©2013 Check Point Software Technologies Ltd.
46
SmartDashboardの接続 2
 Security Managementサーバが成りすまされていないか
Fingerprintを確認します
 評価期間であることと、その残存日数が表示されますの
で、”OK”ボタンをクリックします
©2013 Check Point Software Technologies Ltd.
47
SmartDashboard
©2013 Check Point Software Technologies Ltd.
48
SmartDashboard、MGMTアドレスの変更
 Security ManagementのオブジェクトMGMTを
クリックし図のようにトポロジーのところから
アドレスを変更する。
©2013 Check Point Software Technologies Ltd.
49
SmartDashboard、ゲートウェイの作成 (1)
 Network ObjectsペインのCheck Pointフォルダを右クリックし現れたメ
ニューからSecurity Gatewayを選ぶ。ポップアップ・ウインドウが出たら
Wizard Modeを選択。
©2013 Check Point Software Technologies Ltd.
50
SmartDashboard、ゲートウェイの作成 (2)
 図のようにゲートウェイ名の入力、プラットフォームの指定、IPアドレスの入
力を行い、次へ進む。
©2013 Check Point Software Technologies Ltd.
51
SmartDashboard、ゲートウェイの作成 (3)
 ゲートウェイの初期設定時にSIC(Secure Internal Communication)のため
の一時的パスワードを入力。するとゲートウェイのトポロジー（インターフェー
ス一覧）が表示されTrust StateがEstablished（確立済）になる。
©2013 Check Point Software Technologies Ltd.
52
SmartDashboard、ゲートウェイの作成 (4)
 サマリーが表示されたら内容を確認する。完了するとGateway-1のプロパ
ティ画面が開く。
©2013 Check Point Software Technologies Ltd.
53
SmartDashboard、ゲートウェイの作成 (5)
 Gateway-1のプロパティ画面でトポロジーを開きeth1をダブルクリック。現れたポップ
アップ画面でExternalを選択。Anti-Spoofingの指定が入っていることを確認する。
©2013 Check Point Software Technologies Ltd.
54
SmartDashboard、ゲートウェイの作成 (6)
 同様にしてGateway-1の他のインターフェースはInternalを選択し、“Network
defined by the interface IP and Net Mask”をクリックして指定。Anti-Spoofingの指
定が入っていることを確認する。
 同様にしてGateway-2のオブジェクトも作成すること。
トポロジーの設定が終わったところ
©2013 Check Point Software Technologies Ltd.
55
SmartDashboard、クラスタの作成 (１)
 Network ObjectsペインのCheck Pointフォルダを右クリックし現れたメ
ニューからSecurity Clusterを選ぶ。ポップアップ・ウインドウが出たら
Classic Modeを選択。
©2013 Check Point Software Technologies Ltd.
56
SmartDashboard、クラスタの作成 (2)
 次にCluster名、Cluster IPアドレスを入力。Platform Hardwareに2200 applianceを
指定。
 次にGateway-1, -2をクラスターに追加する。（クラスターメンバーにするといくつか
の設定が失われると警告がでるが無視）
©2013 Check Point Software Technologies Ltd.
57
SmartDashboard、クラスタの作成 (3)
 ClusterXL and VRRPページにてHigh Availabilityを選択しリストからVRRPを選ぶ。
 次にAdvanced SettingsにおいてUse State Synchronizationを含め全ての項目に
チェックが入っていることを確認する。
©2013 Check Point Software Technologies Ltd.
58
SmartDashboard、クラスタの作成 (4)
 TopologyページにてEdit機能を使い各インターフェースのクラスター仮想IPアドレス
とサブネット・マスクを設定する。Network Objective欄は同期インターフェースは1st
syncを、クラスターインターフェースはClusterと指定する。クラスターのインター
フェース名は自動付与もしくは手動で適当に名前を付ける（次ページ参照）。
©2013 Check Point Software Technologies Ltd.
59
SmartDashboard、クラスタの作成 (5)
 設定が終わったクラスターのトポロジー。
©2013 Check Point Software Technologies Ltd.
60
SmartDashboard、クラスタの作成 (6)
 以上作成したクラスターのオブジェクトは次のようにできているはず。
©2013 Check Point Software Technologies Ltd.
61
SmartDashboard、VRRPマルチキャスト・
オブジェクトの作成
 VRRPでマスターがハローパケットを定期的にマルチキャストする。宛先IPアドレス
は224.0.0.18が割り当てられている。このマルチキャストを通すファイアウォールの
ルール書く必要がある。そのために先ずマルチキャスト・アドレスをあらわすオブジェ
クトをホスト・オブジェクトとして作成する。
オブジェクトの名前は分かり
易いものを適当に決める。
©2013 Check Point Software Technologies Ltd.
62
SmartDashboard、ゲートウェイ
グループ・オブジェクトの作成
 VRRPハローパケットの送信元はGateway-1またはGateway-2なのでそれぞれ個
別にルールに記してもよいがグループオブジェクトにまとめておくと分かり易い。
 Simple Groupとして二つのゲートウェイを含むグループ・オブジェクトを作成する。
オブジェクトの名前は分かり
易いものを適当に決める。
左の一覧より二つのゲートウェイ
を選択しAdd（グループに追加）する。
©2013 Check Point Software Technologies Ltd.
63
SmartDashboard、VRRPルール作成 (1)
 Policy> Add Rule at the Topを選択すると空のルールが1行追加されます
ルールNameの欄を右クリックしEditを選択しルールに
名前を付ける。名前は「Stealth rule for VRRP」
©2013 Check Point Software Technologies Ltd.
64
SmartDashboard、VRRPルール作成 (2)
 空のルール次のように編集する。
各オブジェクトをドラッグ&ドロップして
ルールのSource欄、Destination欄
を指定する。
ルールService欄を右クリックしAdd Objectを
選択し、ポップアップからvrrpとigmpのサービス
オブジェクトを選択しOKボタンを押下。
©2013 Check Point Software Technologies Ltd.
65
SmartDashboard、VRRPルール作成 (3)
 ルールのアクション欄を右クリックしポップアップからacceptを選択する。
完成したStealth rule for VRRP
©2013 Check Point Software Technologies Ltd.
66
SmartDashboard、その他ルールの追加
 同様にして管理コンソールの通信を許可するルール（2行目）を作る。
 最後にクリーンアップ・ルール（3行目）を作る。このルールのTrack欄はログ
を取る設定とすること。（Track欄を右クリックしいくつか提示されるトラック方
法からLogを選択する）
– 実環境では、logが大量になってしまうので、クリーンアップ・ルールのTrackは
Noneにするのが一般的です
©2013 Check Point Software Technologies Ltd.
67
SmartDashboard、ポリシー・インストール
 次のようにポリシー（定義した一連のルール）をインストールする。
©2013 Check Point Software Technologies Ltd.
68
Gaia Portal、Monitor Firewall State
 Gateway-1, -2共に先ほど解除したMonitor Firewall Stateをチェックする。
Apply Global Settingsボタンを押下し設定を有効にする。
©2013 Check Point Software Technologies Ltd.
69
アジェンダ
1
Gaiaセットアップ
2
Software Bladeセットアップ
3
付録：運用管理オペレーション
©2013 Check Point Software Technologies Ltd.
70
cpconfig
 Gaia First Time Configuration Wizard で設定したSecurity
ManagementサーバのアカウントやGUIアクセスを許容するク
ライアントなどの再設定などが可能です
©2013 Check Point Software Technologies Ltd.
71
コンフィグレーション・ロック
 鍵表示の場合、コンフィグレーション・ロック状態です
 ロックを解除してから設定変更を行います
 CLIでロックの権限を奪うには以下のコマンドを入力します
– lock database override
©2013 Check Point Software Technologies Ltd.
72
Terminalの起動
 Gaia PortalからTerminalアクセスが可能です
 show configurationコマンドで、Gaiaの設定が確認できます
©2013 Check Point Software Technologies Ltd.
73
expertモード
 expertモードでは、Unixコマンドを実行できます
 expertモードのアカウントを設定します
– set expert-passwordコマンドで、パスワードを設定します
– 今回は、パスワード：P@ssw0rdを設定します
©2013 Check Point Software Technologies Ltd.
74
Trackカラム
 Trackカラムの選択肢は、 Launch Menu> Policy> Global
Properties> log and Alert> Alertsの項目と対応しています
©2013 Check Point Software Technologies Ltd.
75
ポリシーのインストール 1
 Install PolicyをクリックしてGW-Cluster1にポリシーをインス
トールします
 ゲートウェイが複数ある場合、チェックの有無でポリシーをイン
ストールするゲートウェイを選択できます
©2013 Check Point Software Technologies Ltd.
76
ポリシーのインストール 2
 ポリシー・インストールのプロセスは、ポリシーの不一致を検証
するVerifying機能が含まれます
 Successfulメッセージが確認できたらポリシーは正常にインス
トールされました。Error, Warningが発生した場合は、内容を
確認して手当てします
©2013 Check Point Software Technologies Ltd.
77
SmartView Trackerの起動
 SmartConsole> SmartView Trackerを選択します
 SmartView Trackerは、各種Bladeで検出したログ、監査ログ
などをリアルタイムで確認できます
©2013 Check Point Software Technologies Ltd.
78
SmartView Trackerのログ 1
 特定のレコードをダブルクリックすると、詳細を確認できます
 Previousで前のレコード、Nextで次のレコードに移動します
 Copyをクリックするとメモ帳などにテキストでコピーできます
©2013 Check Point Software Technologies Ltd.
79
SmartView Trackerのログ 2
 Managementタブでは、管理系のログを確認できます
©2013 Check Point Software Technologies Ltd.
80
SmartView Monitorの起動
 SmartConsole> SmartView Monitorを選択します
 SmartView Monitorは、システム・ステータスを確認できます
©2013 Check Point Software Technologies Ltd.
81
ステート・テーブルの確認
 各クラスタメンバで以下のコマンドを実行します
 VALSの値が近い値になっていれば、正しく同期が行われています
 PEAKの値は、メンバ稼働後の最大コネクション数を示しています
©2013 Check Point Software Technologies Ltd.
82
クラスタの状態確認
 cphaprob statコマンドで状態を確認します
 ゲートウェイのActive, Standbyが確認できます
Gateway-1
Gateway-2
©2013 Check Point Software Technologies Ltd.
83
ログ管理 1
 ログはゲートウェイで生成されて、Security Managementサーバにネット
ワーク経由で転送され、 Security ManagementサーバのHDD上の
$FWDIR/log/fw.logに累積的に追加されます
 ログはfw.logのみではなく、ポインタ・ファイルも構成されます
 ログはlog switch(ログ切り換え)という作業を行うことにより、それまでのロ
グを別ファイルに保存できます。 Log switchではポインタ・ファイルも別ファ
イル名で保存されます
 後に再度ログを閲覧する場合、Security Managementサーバ上の
$FWDIR/logディレクトリに戻して確認します
 Log switchは手動で行う方法と自動で行う方法があります
– 手動では、SmartView TrackerのLaunch Menu> File> Switch Active File、も
しくはCLIからfw logswitchコマンドで実行できます
– 自動では、定時に行う、ログファイルのサイズが指定した大きさを超えた
ら行うなどの設定が可能です
©2013 Check Point Software Technologies Ltd.
84
ログ管理 2
 $FWDIR/logディレクトリのログ・ファイルの例です
©2013 Check Point Software Technologies Ltd.
85
ログ管理 3
 オブジェクトのLogs> Local Log Storageで、自動でLog switchする設定が
可能です
 初期設定で、幾つかのtimeオブジェクトが用意されています
©2013 Check Point Software Technologies Ltd.
86
SNMP設定 1
 GaiaポータルのView modeをAdvancedに変更するとツリーに
SNMP項目が表示されます
©2013 Check Point Software Technologies Ltd.
87
SNMP設定 2
 Enable SNMP Agentにチェックを入れ、必要に応じてTrapで通知する項目
を選択します
©2013 Check Point Software Technologies Ltd.
88
SNMP設定 3
 MIBファイルは、以下が用意されています
– $CPDIR/lib/snmp
– chkpnt.mib, chkpnt-trap.mib
TWSNMPの例
©2013 Check Point Software Technologies Ltd.
89
バックアップ・リストア 1
 バックアップの方法は、手動で行う方法とスケジュール化による自動の方法
があります
– バックアップは、Gaia OSとSoftware Bladeの設定です
– $FWDIR/log/配下は含まれません
 バックアップファイルは、/var/CPbackup/backupに保存されます
 リストアは、バックアップしたバージョン、Build、HF、HFAなど全て合わせて
実行する必要があります
©2013 Check Point Software Technologies Ltd.
90
バックアップ・リストア 2
 バックアップ・リストアは、CLIからも実行できます
 バックアップコマンド： add backup
 リストアコマンド：set backup restore
 リストア後は、rebootコマンドで再起動を実行します
Localにバックアップの例
show backup statusコマンドの例
©2013 Check Point Software Technologies Ltd.
91
Image Management
 Image Managementは、Snapshotによるシステムイメージのバックアップで
す。/bootにディレクトリが作成され、その中にファイルが生成されます
– システム全体をイメージとして保存します
– イメージの容量は数GBに達しますので、数十分要する場合があります
– イメージのexport, importが可能です
 Image Managementには、ログ・ファイルは含まれません
Revertで復元できます
©2013 Check Point Software Technologies Ltd.
92
初期化
 CLIでrebootを行います
 “Press any key to see the boot menu”が表示されている間に、Enterキーを入力します
 Reset to factory defaults – Gaia R76を選択します。確認を求められますので、yesを入力し
ます
 プロセスが終了して、loginプロンプトが表示されたら、初期のアカウントでログインします
– login: admin, Passworsd: admin
 電源offする場合、Haltコマンドを入力します
 Power downが表示されたら、電源offします
©2013 Check Point Software Technologies Ltd.
93
ありがとうございました！
©2013 Check Point Software Technologies Ltd.