【CheckPointR77.30】検証記⑦(SmartConsoleインストール)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
なお、以降記載の手順は、検証目的のため、必ずしも正規の手順ではないかもしれませんので、ご了承ください。
目次
前回までの前提
前回までで、構成の概要を決めながら、
Gaiaのインストールを3台実施し、
さらに、マネージメントサーバを構築し、
ファイアーウォールゲートウェイ(2台)を構築し、
IPアドレスを設定し、
staticルーティングまでを設定した。
以降では、ファイアーウォールのポリシー設定をなどを行うために、 CheckPoint社の管理ツールである「SmartConsole」をインストールする。
インストール前に
まずは、
「SmartConsole」をインストールするにあたっては インストーラを入手する必要があるが、入手にあたっては、 以下、2通りがある。
当初、マネジメントサーバより、下記の通りインストーラをダウンロードし、
Windows7にインストールを試みたところ、インストール自体完了するものの、 起動時に下記のエラーが発生し、SmartConsole自体起動しない問題が発生。
Visual Studio 2013 の Visual C++ 再頒布可能パッケージをダウンロードし、
改めてインストールしたものの、問題が改善しなかったため、 CheckPoint社のサイトから、最新のインストーラをダウンロードしたうえで、 Windows10にSmartConsoleをインストールすることに。
最終的な配置図としては、以下の通り。
本来インストールしようとした、内部セグメントに位置するWindows7のPC(192.168.1.45)に SmartConsoleをインストールしようとしたものエラーとなった。
そこで、本来あり得ない配置となるものの、検証目的であることと機材の数が足りないことも あり、外部セグメントに位置するWindow10のPC(192.168.3.5)にSmartConsoleを インストールするものとして、以降の手順を記載。
SmartConsoleインストール手順
まず、CheckPoint社のサイトから、最新のインストーラをダウンロードする。
(URL)
ダウンロードしたインストーラを管理者権限で起動する。
[Next]を押下する。
同意して、[Next]を押下する。
インストール先の選択。 ここでは、デフォルトインストール先に インストールするものとして、[Next]を押下する。
インストールコンポーネントの選択。 ここでは、[Custom]を選択し、[Next]を押下する。
インストールコンポーネントの選択する。 今回の検証では、以下のコンポーネントが必要となるため、 最低限それらを選択し、[Install]を押下する。
- SmartDashBoard (ポリシーの設定)
- SmartViewTracker (ログの解析)
- SmartView Monitor (クラスタの状態確認)
インストールが開始される。
インストールが完了したら、[Finish]を押下
インストール後、[SmartDashBoard]を起動し、 以下の入力を行い、ログインする。
- admin
- パスワード(ここでは「Gaia321」)
- マネージメントサーバ(ここでは「192.168.1.70」)
初回のみ、下記が表示されるので、[Approve]
問題なく、下記のポリシーの設定画面が表示されることを確認する。
ここまでで、SmartConsoleから、ファイアーウォールの 各種設定が可能となったため、以降で、クラスタの構築、 ファイアーウォールルールの設定などをSmartConsoleを通じて、 行っていく。
【CheckPointR77.30】検証記⑥(staticルーティングの設定)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
なお、以降記載の手順は、検証目的のため、必ずしも正規の手順ではないかもしれませんので、ご了承ください。
目次
前回までの前提
前回までで、構成の概要を決めながら、
Gaiaのインストールを3台実施し、
さらに、マネージメントサーバを構築し、
ファイアーウォールゲートウェイ(2台)を構築し、
IPアドレスまでを設定した。
以降では、設定したアドレス体系に基づき、静的なルーティング(static)を設定していく。
ルーティング(static)の設定に関して
今回設定を行うルーティングの設定は、あくまでstaticルーティングのため、 以下の要件に基づき、
下記のように設定を行う。
- 自身が接続されたセグメント毎に出力インターフェースを設定する。
- 自身が接続されていないセグメント宛のデフォルトゲートウェイを設定する。
以降では、マネージメントサーバでのルーティング設定を記載するが、 ファイアーウォールゲートウェイサーバでも設定手順は同様となる。
staticルーティングの設定に関して
管理サーバのIPアドレス(ここでは、「https://192.168.1.71/」) にhttps接続し、adminでログインする。
左ペインの[IPv4 Static Routes]を選択し、 中央のペインの[IPv4 Static Routes]-[Add]を押下する。
ルーティング対象の宛先を[Desitinateion]に設定し、 サブネットマスクを[Subnet mask]に設定する。
その後、AddGatewayについては、以下の選択が可能。
- [IP Address]
- [Network Interface]
上記に基づき、適切なゲートウェイの種類を選択する。 ここでは、[Network Interface]をを選択する。
※デフォルトゲートウェイ設定時など、NextホップにIPアドレスを設定する場合は、ここで、 [IP Address]を選択する。
出力インターフェース(ここでは[eth0])を選択し、[OK]
追加した出力インターフェースが一覧表示されたら[Save]
これを要件に応じ、ルーティング対象の宛先ごとに繰り返し、設定された マネージメントサーバのルーティングが下記の通り。
同様の手順で、ファイアーウォールゲートウェイ側の ルーティング設定は下記の通り。
staticルーティングの設定は、各要件に応じて、 内容は変わってくるものの、設計が固まれば、上記のように 簡単なオペレーションで設定が完了する。
これまでは、マネージメントサーバおよび ファイアーウォールゲートウェイの管理画面にhttps接続を行うことにより、 設定を行ってきたが、以降は、ファイアーウォールポリシーなどを 行っていくために、CheckPoint社の管理ソフトウェア「SmartConsole」を インストールしていく。
【CheckPointR77.30】検証記⑤(IPアドレスの設定)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
なお、以降記載の手順は、検証目的のため、必ずしも正規の手順ではないかもしれませんので、ご了承ください。
目次
前回までの前提
前回までで、構成の概要を決めながら、
Gaiaのインストールを3台実施し、
さらに、マネージメントサーバを構築し、
ファイアーウォールゲートウェイ(2台)を構築した。
以降では、マネージメントサーバとファイアーウォールゲートウェイサーバに IPアドレスを設定していく。
IPアドレスの設定に関して
今回の検証環境では、以下のセグメントを利用する想定となっている
最終的に、上記セグメントに対して、下記の通り、 IPアドレスを設定する必要があるが、
これまでの手順では、「192.168.1.0」のネットワークセグメントに対してのみ、 IPアドレスが設定されているので、そのほかのセグメントのIPアドレスを設定する。
以降では、マネージメントサーバでのIPアドレス設定を記載するが、 ファイアーウォールゲートウェイサーバでも設定手順は同様となる。
マネージメントサーバのIPアドレス設定
管理サーバのIPアドレス(ここでは、「https://192.168.1.71/」) にhttps接続し、adminでログインする。
その後、左ペインの[Network Interfaces」を選択し、 Interfasecsの一覧が表示されるので、ここで、設定対象となる インターフェース(ここではeth1)を選択し、[Edit]を押下。
[Enable]欄にチェックを入れて、IPアドレス(ここでは192.168.3.70)を設定し、 [OK]
同様に、インターフェースの一覧から、設定対象となる インターフェース(ここではeth2)を選択し、 [Enable]欄にチェックを入れて、IPアドレス(ここでは172.16.1.70)を設定し、[OK]
設定が下記の通りとなったことを確認する。
ファイアーウォールゲートウェイのIPアドレス設定
先述のIPアドレスの設定をファイアーウォールゲートウェイにも設定する。 設定後のIPアドレスについては、下記の通り。
- ファイアーウォールゲートウェイ 1台目(gaia1)
- ファイアーウォールゲートウェイ 2台目(gaia2)
IPアドレスの設定が完了したら、次にルーティングの設定を行う。
【CheckPointR77.30】検証記④(ファイアーウォールゲートウェイサーバ構築)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
なお、以降記載の手順は、検証目的のため、必ずしも正規の手順ではないかもしれませんので、ご了承ください。
目次
前回までの前提
前回までで、構成の概要を決めながら、
Gaiaのインストールを3台実施し、
さらに、マネージメントサーバを構築した。
以降では、ファイアーウォールゲートウェイを構築する。 ここでは、後でファイアーウォールゲートウェイをクラスタ構成にするため、 下記、2台のゲートウェイを構築する。
なお、ここでは、「gaia1」(1台目)の構築時の手順のみ、 記載するが、「gaia2」(2台目)も同様の手順となる。
ファイアーウォールゲートウェイサーバ構築
ファイアーウォールゲートウェイサーバにeth0に「192.168.1.71」 がすでに振られているため、同セグメント上のPC「192.168.1.45」 からWEBブラウザでマネージメントサーバにhttps接続して設定を行う。
同セグメント上のPCから、マネージメントサーバにhttps接続を行う。 ここでは、https://192.168.1.71がアクセス先となり、 接続すると、下記のように、adminでログインする。
下記の画面で、[Next]
下記の画面で、デフォルトで[Next]
すでにeth0には、Gaiaインストール時に設定したIPアドレスが 設定されているため、このまま下記の画面で、[Next]
下記の画面で、デフォルトで[Next]
ホスト名(ここでは「gaia1])を設定し、 DNSサーバは、既設のDNSサーバお設定し、[Next]
時刻の設定画面で、検証環境のため、ここではNTPサーバは設定せず、 マシンローカルの時刻を使うことにし、[Next]
下記を選択し、[Next]
機能の選択。ここでは、マネージメントサーバを単独で 構築するため、「Security Gateway」のみを選択し、
さらに、[Clustering]-[Unit is a part of a cluster type]にチェックを行い、 [CluseterXL]を選択し、[Next]
adminのパスワード(ここでは、「Gaia321」)を設定し、[Next]
確認画面で、問題なければ、[Finish]
以下で[Yes]、設定が開始される。
インストールが開始されるため、しばらく待つ。(15分程度)
インストールが終了すると、以下の画面となり、 [OK]を押下すると、設定が完了する。
上記と同じ手順で、もう1台のゲートウェイ(ここでは、「gaia2」) を構築しておく。
【CheckPointR77.30】検証記③(Managementサーバ構築)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
なお、以降記載の手順は、検証目的のため、必ずしも正規の手順ではないかもしれませんので、ご了承ください。
目次
前回までの前提
前回までで、構成の概要を決めながら、
Gaiaのインストールを3台実施した。
以降では、後で設定するファイアーウォールゲートウェイを管理するために必要となる マネージメントサーバを構築する。
なお、CheckPointR77.30上、ファイアーウォールゲートウェイとマネージメントサーバ を共用させることは可能となるが、ここでは、単独でマネージメントサーバを構築する。
また、ここでは、マネージメントサーバにeth0に「192.168.1.70」 がすでに振られているため、同セグメント上のPC「192.168.1.45」 からWEBブラウザでマネージメントサーバにhttps接続して設定を行う。
Managementサーバ構築
同セグメント上のPCから、マネージメントサーバにhttps接続を行う。 ここでは、https://192.168.1.70がアクセス先となり、 接続すると、下記のように、adminでログインする。
下記の画面で、[Next]
下記の画面で、デフォルトで[Next]
すでにeth0には、Gaiaインストール時に設定したIPアドレスが 設定されているため、このまま下記の画面で、[Next]
下記の画面で、デフォルトで[Next]
ホスト名(ここでは「gaia3])を設定し、 DNSサーバは、既設のDNSサーバお設定し、[Next]
時刻の設定画面で、検証環境のため、ここではNTPサーバは設定せず、 マシンローカルの時刻を使うことにし、[Next]
下記を選択し、[Next]
機能の選択。ここでは、マネージメントサーバを単独で 構築するため、「Security Management」のみを選択し、[Next]
adminのパスワード(ここでは、「Gaia321」)を設定し、[Next]
GuiClientの接続元を指定するが、ここでは、一旦[Any IPAddress]で 許可し、[Next]
確認画面で、問題なければ、[Finish]
以下で[Yes]、設定が開始される。
しばらく待つ。(15分程度)
設定が完了すると、以下の画面となるため、[OK]
[OK]を押下すると、以下の画面に遷移し、ここでの設定は完了。
以降で、ファイアーウォールゲートウェイを構築していく。
【CheckPointR77.30】検証記②(Gaiaインストール×3台分)
【CheckPointR77.30】検証記②(Gaiaインストール×3台分)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
なお、以降記載の手順は、検証目的のため、必ずしも正規の手順ではないかもしれませんので、ご了承ください。
目次
Gaiaインストールについて
CheckPointR77.30をインストールにあたり、 まずは、OSである「Gaia」をインストールする
CheckPoint社のOSは従来、「SecurePlatform」と呼ばれるものであったが、 CheckPointR75.40あたりから、OSを再設計し、OSが刷新された(はず)。
そのため、ここでもCheckPointR77.30のOS「Gaia」をインストールする。
インストールする順番
計3台インストールするが、基本的に手順は一緒。 ただし、順番としては、以下の順番で、まずマネージメントサーバをインストールする。
ライセンス
ここでは、評価版の14日間限定ライセンスを使用する。
ダウンロード先
CheckPoint社のサイトから、事前にダウンロードする。
(ダウンロード先)
サイトに行ったら、以下のファイルをダウンロードする。
(ダウンロードファイル)
Check_Point_R77.30_3000_5000_15000_23000_Sandblast_Appliances.iso
なお、ダウンロードには あらかじめ、CheckPointのサイトのアカウントを作成しておく必要がある。
ダウンロードしたISOファイルをブータブル形式でCDに焼くか、 ISOファイルをVmwareのデータストア上にアップロードしておく。(ここでは、データストア上にアップロードした)
インストール手順
ここらは、3台インストールうち、1台目のマネージメントサーバの インストール時の手順を記載するが、基本的には、2台目(ファイアーウォールゲートウェイ)以降の 手順についても、IPアドレスの設定の箇所を除けば一緒となる。
ISOを指定して起き、仮想マシンの電源をONする。
以下の画面が表示されたら、[Install Gaia on this system]を選択し、Enter
ファイルのロードが始まるので待つ。
[OK]を押す。※カーソルはタブキーで移動。
言語はJapaneseを選択し、[OK] ※カーソルはタブキーで移動。
そのまま(デフォルト)で[OK]
管理者「admin」のパスワードを入力(ここでは「Gaia321」)
下矢印で、[eth0」を選択し、タブキーでカーソル移動し、[OK]
問題なければ、[OK]
インストールが開始される
インストール途中。
ログイン画面が表示される。
取り合えず、これでGaia(マネージメントサーバ)のインストールは終わり。 これを、ファイアーウォールゲートウェイ分(2台)もインストールしておく。
【CheckPointR77.30】検証記①(概要)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
目次
経緯
仕事上、ファイアーウォール老舗である「CheckPoint社」の R77.30も含めた様々なファイアーウォールの導入を検討しなくては ならず、いろいろ検討している。
FortiGateやパロアルトネットワークなど社など 様々な選択候補などがあるものの、やはり自分的には、 ファイアーウォールはといったら、「元祖ステートフルインスペクション」たるCheckPoint社の ファイアーウォールである。
昔は、英語のマニュアルをベースに学習するしかなかったが、 いまでは、YouTubeなどで設定方法などが紹介されていることや Vmware環境で、環境が構築できてしまうので、ここでは、以下の機材を使用し、 CheckPointR77.30の検証を行っていく。
なお、物理的な機材としては、
- VmwareEsxi5.1(HP Proliant360G5 メモリ6GB)×1台
- Windows10のクライアントPC×1台
となり、ここでは、VmwareEsxi5上に以下のCheckPointR77.30の仮想サーバを構築していく。
また、Windows10のクライアントPCには、CheckPointSmartConsoleをインストールして、ポリシーインストールなどを行っていく。 ※Windows7(内部用PC)にCheckPointSmartConsoleをインストールしたら、エラーとなったため、 ここでは、Windows10にインストールした。
ライセンス
14日間の評価来仙を利用する。
パスワード設定など
今回の環境で設定するパスワードの類は、 すべて「Gaia321」とする。
ネットワーク構成
まずは、検証用途のネットワーク構成。
我ながら、よくわからないネットワークであるが、一応こんなイメージ。 自宅のネットワークと限られた機材で行うため、とりあえず、検証が行えることを 優先しているため、設計の良し悪しはこの際、度外視。
ネットワークセグメント
ネットワークセグメントはセグメントは以下の通り。 構築対象のファイアーウォール(ゲートウェイは) 下記すべてのセグメントを割り当て、そのほか疎通用のサーバは、 該当するセグメントのIPをそれぞれ割り当てる。
IPアドレスなど
IPアドレスなどのそれぞれのホスト情報は下記の通り。
ファイアーウォール用仮想マシンVmwareの設定
それぞれ、以下の設定を行う。
- CPU:1つ
- メモリ:1G
ディスク:30GB
gaia1:ファイアーウォールゲートウェイ(主系)
- gaia2:ファイアーウォールゲートウェイ(副系)
- gaia3:マネージメントサーバ
ここからの構築シナリオ
おおむね、以下の順で構築を行う。
①OSのインストール(CheckPointR77.30 GaiaOS) 順番は以下の通り。
②ルーティングの設定
③クラスタの構築
④オブジェクトの設定
⑤各種オブジェクトの作成
⑥ポリシーインストール