CheckPointファイアウォールについて

はじめに

CheckPoint 5800
CheckPoint 5800

バディットコンサルティングのITエンジニア wahooです。今回は、CheckPointファイアウォールを触る機会があったので、まとめておきたいと思います。

準備

セットアップの前に、構築する際の基本情報を決めておきます。

  • ホスト名
  • 各インターフェースのIPアドレス、デフォルトゲートウェイ、VLANなど
  • 冗長構成の有無

セットアップ

セットアップは、単体セットアップとGAIAセットアップの順に進めます。

単体セットアップ

基本的に、初めて電源を投入すると、デフォルトの設定で、起動してきます。
起動したら、マネージメントポートと端末を接続して、ブラウザで管理画面へ接続します。初回ログイン時は、セットアップ画面になります。

※CheckPoint及び端末のIPアドレス、初回ログインID/パスワードなどは、使用するバージョンによって変更されることがあるので、マニュアルを参照してください。

必要事項を入力して、完了させます。

GAIAセットアップ

GAIAとは、ファイアウォールポリシーなどを設定するためのツール(Windows版)です。冗長化の設定もこちらで実施します。
GAIAツールを端末にインストールする必要があります。ツールは、単体セットアップの管理画面(ブラウザ)から、ダウンロードすることができます。
インストール後、初回ログイン時は、セットアップ画面になります。
冗長化などの設定を行い、完了すると、CheckPointのステータスがOKとなり、正常に動作していることが、わかります。

以上で、ベースとなるセットアップは、完了です。

ファイアウォールポリシー

GAIAの管理画面から、ポリシーの設定をしていきます。
基本の設定は、「ソース」・「デスト」・「サービス」⇒「アクション」となります。
なお、「ソース」・「デスト」・「サービス」は、オブジェクトとして、ポリシーとは別に定義しておく必要があります。

ソース

通信元のIPアドレス・セグメントを指定します。
複数のIPアドレス・セグメントを指定することができます。

デスト

通信先のIPアドレス・セグメントを指定します。
複数のIPアドレス・セグメントを指定することができます。

サービス

ポリシーに該当(マッチ)させたい「サービス」を指定します。
デフォルトで、多くの「サービス」オブジェクトが定義されているので、一般的なものは、選ぶだけで利用可能です。
複数の「サービス」を指定することができます。

アクション

Accept(許可)または、Drop(破棄)を指定します。

まず最初に、ホワイトリスト方式かブラックリスト方式かを決めて、ポリシーの作成を行います。

ホワイトリスト方式

ポリシーの最後に、全ての通信をDropするポリシーを書いておき、それ以前のポリシーとして、許可させるポリシーを追加していく方式です。

ブラックリスト方式

ポリシーの最後に、全ての通信をAcceptするポリシーを書いておき、それ以前のポリシーとして、許可しないポリシーを追加していく方式です。

その他

syslog

syslogサーバーへのログ転送ですが、標準のCheckPointでは、単体の機器のログしか転送することができません。
GAIA上のポリシーに関するログを転送する場合、「Log Exporter」という別ソフト(Hotfixとして提供)をインストールして、設定する必要があります。
また、syslogのメッセージ形式は、2つ(BSD形式とIETF形式)ありますが、IETF形式になります。

まとめ

初期設定から、基本のポリシー設定までは、これでできると思います。なお、詳細は、購入元から、詳しいマニュアル等を入手すれば、問題ありません。

まとめると、意外に簡単に思えますが、実際にやってみると、思った通りに動かなかったりして、何度もセットアップをやり直したりしました。

皆さんも触る機会があったら、チャレンジしてみて下さい。

では、また、次回!!

タイトルとURLをコピーしました