はじめに
バディットコンサルティングのITエンジニア wahooです。今回は、CheckPointファイアウォールを触る機会があったので、まとめておきたいと思います。
準備
セットアップの前に、構築する際の基本情報を決めておきます。
- ホスト名
- 各インターフェースのIPアドレス、デフォルトゲートウェイ、VLANなど
- 冗長構成の有無
セットアップ
セットアップは、単体セットアップとGAIAセットアップの順に進めます。
単体セットアップ
基本的に、初めて電源を投入すると、デフォルトの設定で、起動してきます。
起動したら、マネージメントポートと端末を接続して、ブラウザで管理画面へ接続します。初回ログイン時は、セットアップ画面になります。
※CheckPoint及び端末のIPアドレス、初回ログインID/パスワードなどは、使用するバージョンによって変更されることがあるので、マニュアルを参照してください。
必要事項を入力して、完了させます。
GAIAセットアップ
GAIAとは、ファイアウォールポリシーなどを設定するためのツール(Windows版)です。冗長化の設定もこちらで実施します。
GAIAツールを端末にインストールする必要があります。ツールは、単体セットアップの管理画面(ブラウザ)から、ダウンロードすることができます。
インストール後、初回ログイン時は、セットアップ画面になります。
冗長化などの設定を行い、完了すると、CheckPointのステータスがOKとなり、正常に動作していることが、わかります。
以上で、ベースとなるセットアップは、完了です。
ファイアウォールポリシー
GAIAの管理画面から、ポリシーの設定をしていきます。
基本の設定は、「ソース」・「デスト」・「サービス」⇒「アクション」となります。
なお、「ソース」・「デスト」・「サービス」は、オブジェクトとして、ポリシーとは別に定義しておく必要があります。
ソース
通信元のIPアドレス・セグメントを指定します。
複数のIPアドレス・セグメントを指定することができます。
デスト
通信先のIPアドレス・セグメントを指定します。
複数のIPアドレス・セグメントを指定することができます。
サービス
ポリシーに該当(マッチ)させたい「サービス」を指定します。
デフォルトで、多くの「サービス」オブジェクトが定義されているので、一般的なものは、選ぶだけで利用可能です。
複数の「サービス」を指定することができます。
アクション
Accept(許可)または、Drop(破棄)を指定します。
まず最初に、ホワイトリスト方式かブラックリスト方式かを決めて、ポリシーの作成を行います。
ホワイトリスト方式
ポリシーの最後に、全ての通信をDropするポリシーを書いておき、それ以前のポリシーとして、許可させるポリシーを追加していく方式です。
ブラックリスト方式
ポリシーの最後に、全ての通信をAcceptするポリシーを書いておき、それ以前のポリシーとして、許可しないポリシーを追加していく方式です。
その他
syslog
syslogサーバーへのログ転送ですが、標準のCheckPointでは、単体の機器のログしか転送することができません。
GAIA上のポリシーに関するログを転送する場合、「Log Exporter」という別ソフト(Hotfixとして提供)をインストールして、設定する必要があります。
また、syslogのメッセージ形式は、2つ(BSD形式とIETF形式)ありますが、IETF形式になります。
まとめ
初期設定から、基本のポリシー設定までは、これでできると思います。なお、詳細は、購入元から、詳しいマニュアル等を入手すれば、問題ありません。
まとめると、意外に簡単に思えますが、実際にやってみると、思った通りに動かなかったりして、何度もセットアップをやり直したりしました。
皆さんも触る機会があったら、チャレンジしてみて下さい。
では、また、次回!!