©2014 Check Point Software Technologies Ltd. 1 ©2014 Check Point Software Technologies Ltd AWS R77.30 セットアップガイド [Restricted] ONLY for designated groups.

Slides:



Advertisements
Similar presentations
1 実技演習1 2008/01/28,29 JaLTER Morpho 講習会. 2 起動・接続 各自、コンピュータを起動してネットワーク に接続してください。 各自、コンピュータを起動してネットワーク に接続してください。 IP アドレス自動取得 IP アドレス自動取得 無線 LAN 使用可 無線.
Advertisements

WINDOWS AZURE上での ACTIVE DIRECTORY構築入門 Windows Azure ハンズオン トレーニング.
Internet Explorer 障害解析 最初の一歩 - IE のトラブルを理解する -. 概要 Internet Explorer を使用中に発生するトラブルの 種類と、調査のための切り分け方法を紹介します! (以降は IE と略称で表記します) よくあるお問い合わせ Web ページの表示が白画面のまま完了しない.
CCP Express 3.1 簡単設定ガイド ※本資料は 2015/06 現在のハードウェア / ソフトウェアにおけるガイドです.
Raritan, Inc. - Proprietary Power IQ(free trial)のSetup Basic Setup & Installation Power IQ(free trial)のSetup ► Power IQのfree trial版(VM Player版)をダウンロード.
BBT 大学 Ruby on Rails 開発環境セットアップマニュアル Mac 版 1.1 最終更新日: 2013/1/5.
ネットワークからみるPCC 寺内康之.
Windows XP ウィルス対策手順 1 感染の確認 感染している場合→2へ 感染していない場合→3へ 2 ウィルスの駆除
ファイアウォール 基礎教育 (4日目).
メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).
目次 WindowsPCの場合 iPadの場合 iPhoneの場合 Androidの場合
4.ユーザー登録マニュアル              Version 年6月10日 国立情報学研究所.
情報基礎A 情報科学研究科 徳山 豪.
NORWAY ENGLAND AMERICA FRANCE
SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL
.NET テクノロジー を利用した SAP ソリューションの拡張 (3階層化) (評価環境構築ガイド)
WEBから確認できる 駐車場管理システムについて
受動的攻撃について Eiji James Yoshida penetration technique research site
Knowledge Suite(ナレッジスイート) ファーストステップガイド (管理者向け)
Androidアプリを公開する方法.
CCP Express 3.1 初期設定ガイド(WAN/LAN)
IGD Working Committee Update
SharePoint Server において 構成ウィザードが失敗する場合の トラブルシューティング
GoNET ~ Ver 2.3 新機能紹介 ~ ネットワーク接続制御アプライアンス 2013年11月リリース 2013年10月
CGI Programming and Web Security
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
Al-Mailのインストールと使い方 インストール –1 (pop-authの設定、Al-Mailのインストール用ファイルをダウンロード)
管理者用の手順 使用環境により、SaaS またはオンプレミスのパワーポ イント資料集を選択します。
らくらく学校連絡網 スライドショーで見る操作ガイド -8- グループの新規登録、修正できる項目 escで中断、リターンキーで進みます
個体識別番号を登録しないとSNSを使えなくする
平成22年度に実施を予定するインターネットを 用いた研修システムによる研修 ライブ配信受講手順書
ファイアウォール 基礎教育 (1日目).
メッセージ機能 相手にメッセージを送信する 04 送信する相手を選んでメッセージを送信します。
タブレットのビジネス活用を支援する法人向けファイル共有サービス
Windows でのネットワーク、メールの設定
Windows 7 ウィルスバスターインストール方法 ユーザーアカウント制御の設定変更 ウィルスバスターのインストール
ファイアウォール 基礎教育 (2日目).
第8章 Web技術とセキュリティ   岡本 好未.
Cisco Start – Cisco Mobility Express バンドル コントローラ簡単初期設定ガイド (設定例) 〜WLAN Express Setup (sample)〜 シスコシステムズ合同会社 2015年12月.
メールの利用1 Webメールの利用方法.
管理画面操作マニュアル <サイト管理(1)> 基本設定 第9版 改訂 株式会社アクア 1.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
Cisco Startシリーズ 製品概要 ルータ編 (Cisco841M)
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
Copyright © 2014 JOPS AWS Working Group, All rights reserved.
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
7. セキュリティネットワーク (ファイアウォール)
セキュリティ(6) 05A2013 大川内 斉.
Cisco dCloud dCloud登録ルータ配下からのvWLCへのAP接続 シスコシステムズ合同会社 2016年7月.
初期設定マニュアル コナミスポーツクラブ情報ダイヤル 【お問い合わせ先】 0120-919-573 受付時間
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
Windows Vista ウィルスバスターインストール方法 ユーザーアカウント制御の無効化 ウィルスバスターのインストール
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
すぐできるBOOK -基本設定編-.
Cisco dCloud dCloudへのルータの登録について シスコシステムズ合同会社 2016年7月.
☆製品についてのご質問はサポートセンターへご連絡ください
G Suite導入ガイド Ver1.3.
日本郵便 「Web-EDI」利用ガイド (JP EDIシステム)
7-0.SWORD Client for WEKO インストールマニュアル Version 2.2
Cisco Configuration Professional Express 3.3 アップデート
ネットワーク技術II 第10.3課 サブネット化のメカニズム
管理画面操作マニュアル <物件情報> 第5版 改訂 株式会社アクア 1.
バーチャルサーバー設定資料 (管理者様用)
仮想環境を用いた 侵入検知システムの安全な構成法
6 インターネット(2) 6.1 インターネットへの接続 ネットワークにつなげば  →ブラウザや電子メールなどのアプリ   ケーション使用可.
CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマ バージョン 対応)
Cisco Umbrella セミナー 第4回 Umbrella 設定概要.
VPNクライアント接続 サーバー保守のための安全な経路+作業者単位のアクセス制御 簡単な図 (網羅性より象徴性)
Presentation transcript:

©2014 Check Point Software Technologies Ltd. 1 ©2014 Check Point Software Technologies Ltd AWS R77.30 セットアップガイド [Restricted] ONLY for designated groups and individuals

©2014 Check Point Software Technologies Ltd. 2 チェック・ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました チェック・ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました Amazon パブリック・クラウド用 仮想アプライアンス Public Cloud Amazon Web Services 向け 先進のセキュリティ! 2

©2014 Check Point Software Technologies Ltd. 3 Amazon VPC トポロジーと構成要素 Internet プライベート・サブネットの AWS EC2 インスタンス インターネット接続 (直結または VPN ) Check Point VPC 用 仮想アプライアンス Amazon VPC アマゾン VPC インターネットゲートウェイ

©2014 Check Point Software Technologies Ltd. 4 クラウドのためのフルレンジ防御 貴社のセキュリティ要件に応じた Software Blade をご選択ください Public Cloud

©2014 Check Point Software Technologies Ltd. 5 クラウド上でのネットワーク攻撃から防御 攻撃パターンの 検知 SQL インジェクション 攻撃 攻撃者 Firewall & IPS Software Blades チェック・ポイント バーチャル・アプライアンス お客様向けサーバ Firewall と IPS Software Blades すべての DB の内容を 閲覧しよう・・・

©2014 Check Point Software Technologies Ltd. 6 Amazon Web Services 上で チェック・ポイント バーチャル・アプライアンス を有効化 先端のセキュリティを手軽に導入 Public Cloud

©2014 Check Point Software Technologies Ltd. 7 迅速に先進のセキュリティを利用可能 Amazon Web Services 上で チェック・ポイント バーチャル・アプライアンス を有効化 必要な Software Blade を 選択するだけ 必要な Software Blade を 選択するだけ Public Cloud

©2014 Check Point Software Technologies Ltd. 8 Virtual Appliance for Amazon Public Cloud Public Cloud ADVANCED SECURITY for Amazon Public Cloud 統合管理 完全な防御 簡単な導入 8

©2014 Check Point Software Technologies Ltd. 9 ©2014 Check Point Software Technologies Ltd VPC 環境の Web サーバを保護 [Restricted] ONLY for designated groups and individuals

©2014 Check Point Software Technologies Ltd. 10 想定構成 [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 100(eth0) 100(eth1) VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント

©2014 Check Point Software Technologies Ltd. 11 環境概要 VPC としては /16 の空間を利用 外部セグメントとして /24 を利用 内部セグメントとして /24 を利用 – このセグメント内の Web サーバを保護 SG には自身の IP アドレスと Web サーバ用の IP アドレスの 2 つを割り当てる EIP も同様に SG 用と Web サーバ用の 2 つを割り当てる –EIP1 ←→ (SGアクセス用) –EIP2 ←→ (Webサーバ用) SG は Static NAT を行い、 Web サーバへの通信を行う

©2014 Check Point Software Technologies Ltd. 12 ©2014 Check Point Software Technologies Ltd VPC 環境設定 [Restricted] ONLY for designated groups and individuals

©2014 Check Point Software Technologies Ltd. 13 VPC 作成 [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント 100(eth0) 100(eth1)

©2014 Check Point Software Technologies Ltd. 14 VPC 環境作成 [Restricted] ONLY for designated groups and individuals VPC VPC の項目をクリックします。

©2014 Check Point Software Technologies Ltd. 15 VPC 環境作成 [Restricted] ONLY for designated groups and individuals VPC VPC 環境を作成します。 VPC 環境では /16 のネットワーク空間を利用します。 “testX_VPC ” で入力して下さい

©2014 Check Point Software Technologies Ltd. 16 VPC 環境作成 [Restricted] ONLY for designated groups and individuals VPC VPC 環境 (Demo VPC) が作成されました。

©2014 Check Point Software Technologies Ltd. 17 外部セグメント作成 [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント VPC 100(eth0) 100(eth1)

©2014 Check Point Software Technologies Ltd. 18 外部セグメント作成 [Restricted] ONLY for designated groups and individuals VPC VPC 環境内に外部セグメントを作成します。 外部サブネットを作成する VPC と、割り当 てるサブネット ( /24) を指定します。 “testX_Ext-Net“ で入力して下さい “testX_VPC” を選択

©2014 Check Point Software Technologies Ltd. 19 外部セグメント作成 [Restricted] ONLY for designated groups and individuals VPC 外部セグメントが作成されました。

©2014 Check Point Software Technologies Ltd. 20 内部セグメント作成 [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント VPC 100(eth0) 100(eth1)

©2014 Check Point Software Technologies Ltd. 21 内部セグメント作成 [Restricted] ONLY for designated groups and individuals VPC VPC 環境内に内部セグメントを作成します。 内部サブネットを作成する VPC と、割り当 てるサブネット ( /24) を指定します。 “testX_Int-Net“ で入力して下さい “testX_VPC” を選択

©2014 Check Point Software Technologies Ltd. 22 内部セグメント作成 [Restricted] ONLY for designated groups and individuals VPC 内部セグメントが作成されました。

©2014 Check Point Software Technologies Ltd. 23 Internet Gateway 作成 [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント VPC 100(eth0) 100(eth1)

©2014 Check Point Software Technologies Ltd. 24 Internet Gateway 作成 [Restricted] ONLY for designated groups and individuals VPC インターネットに接続する Internet Gateway を作成します。 “testX_InternetGW” で入力して下さい

©2014 Check Point Software Technologies Ltd. 25 Internet Gateway 作成 [Restricted] ONLY for designated groups and individuals VPC Internet Gateway と VPC を紐付けます。 紐付ける VPC(testX_VPC) を指定します。 “testX_VPC ” を選択

©2014 Check Point Software Technologies Ltd. 26 Internet Gateway 作成 [Restricted] ONLY for designated groups and individuals VPC Internet Gateway が作成されました。

©2014 Check Point Software Technologies Ltd. 27 外部セグメント用ルーティング設定 [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント VPC 100(eth0) 100(eth1)

©2014 Check Point Software Technologies Ltd. 28 ルート・テーブル作成 [Restricted] ONLY for designated groups and individuals VPC 外部セグメントで使用するルート・テーブルを 作成します。 ルート・テーブルを作成する VPC (testX_VPC) を選択します。 “testX_SG-Route” で入力して下さい “testX_VPC” を選択

©2014 Check Point Software Technologies Ltd. 29 ルート・テーブル作成 [Restricted] ONLY for designated groups and individuals VPC 作成されたルート・テーブルに ルーティング情報を追加します。

©2014 Check Point Software Technologies Ltd. 30 ルート・テーブル作成 [Restricted] ONLY for designated groups and individuals VPC デフォルトルート ( /0) が、 Internet Gateway に向くように設定します。 ヒント: Internet Gateway の名前は Internet Gateways ページで確認します。

©2014 Check Point Software Technologies Ltd. 31 ルート・テーブル作成 [Restricted] ONLY for designated groups and individuals VPC このルート・テーブルを使用する サブネットを指定します。

©2014 Check Point Software Technologies Ltd. 32 ルート・テーブル作成 [Restricted] ONLY for designated groups and individuals VPC 外部セグメント ( /24) を選択します。

©2014 Check Point Software Technologies Ltd. 33 ルート・テーブル作成 [Restricted] ONLY for designated groups and individuals VPC ルート・テーブルの設定が完了しました。

©2014 Check Point Software Technologies Ltd. 34 Security Group (AWS 標準セキュリティ ) 設定 [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント VPC 100(eth0) 100(eth1)

©2014 Check Point Software Technologies Ltd. 35 Security Group 作成 [Restricted] ONLY for designated groups and individuals VPC 各インスタンスが使用する Security Group ( PermissiveSecGrp ) を作成します。 ヒント:デフォルトの Security Group は 限られた通信しか許可されません (SG に 通信が到達しない ) 。そのため、特別な Security Group を作成します。

©2014 Check Point Software Technologies Ltd. 36 Security Group 作成 [Restricted] ONLY for designated groups and individuals VPC Security Group の名前 ( PermissiveSecGrp ) と、 Security Group を作成する VPC を指定します。 “testX_PerSecGrp“ で入力して下さい “testX_VPC ” を選択

©2014 Check Point Software Technologies Ltd. 37 Security Group 作成 [Restricted] ONLY for designated groups and individuals VPC 作成された Security Group (PermissiveSecGrp) にインバウンド ( 内向き ) のルールを作成します。

©2014 Check Point Software Technologies Ltd. 38 Security Group 作成 [Restricted] ONLY for designated groups and individuals VPC すべての通信を許可します。 タイプ : 全てのトラフィック 送信元 : /0

©2014 Check Point Software Technologies Ltd. 39 Security Group 作成 [Restricted] ONLY for designated groups and individuals VPC Security Group ( PermissiveSecGrp ) が作成 されました。この Security Group を使用すると、 すべての通信が許可されます。

©2014 Check Point Software Technologies Ltd. 40 ©2014 Check Point Software Technologies Ltd SG インスタンス設定 [Restricted] ONLY for designated groups and individuals

©2014 Check Point Software Technologies Ltd. 41 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント 100(eth0) 100(eth1)

©2014 Check Point Software Technologies Ltd. 42 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2 EC2 をクリックします。

©2014 Check Point Software Technologies Ltd. 43 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2 SG インスタンスを作成します。

©2014 Check Point Software Technologies Ltd. 44 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals AWS Marketplace で “Check Point” で 検索します。 ”PAYG” ではない イメージ (BYOL) を選択します。 EC2 ヒント: PAYG はライセンス込みの インスタンスになります。利用時間に応じて Amazon 経由で R77.30 使用料が課金されます。 どちらのモデルも 15 日間の評価機期間があります。

©2014 Check Point Software Technologies Ltd. 45 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals インスタンスタイプを選択します。 ここでは、 “c4.large ” を選択しています。 EC2 ヒント:選択可能なタイプはリリースノート を参照してください。 未対応のタイプでの動作は保障されません。

©2014 Check Point Software Technologies Ltd. 46 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals SG インスタンスを設置する VPC とサブ ネット ( 外部セグメント : /24) を 指定します。【次ページに続く】 EC2 “testX_VPC” を選択 “testX_Ext-Net” を選択

©2014 Check Point Software Technologies Ltd. 47 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals 1. SG インスタンスに割り当てる外部 セグメント側の IP アドレス ( ) を指定します。 EC2 2. 内部セグメント用にインタフェース (eth1) を追加します。

©2014 Check Point Software Technologies Ltd. 48 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals SG インスタンスに割り当てる内部 セグメント側のサブネット ( /24) と IP アドレス ( ) を指定します。 EC2

©2014 Check Point Software Technologies Ltd. 49 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2 特に設定変更せず、次に進みます。

©2014 Check Point Software Technologies Ltd. 50 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2 “ キー ” と ” 値 ” の欄に、 “testX_SG” と入力して下さい

©2014 Check Point Software Technologies Ltd. 51 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals インスタンスに適用するセキュリティ・ グループ (testX_PerSecGrp) を指定します。 EC2

©2014 Check Point Software Technologies Ltd. 52 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2 特に選択肢は変更せず、次に進みます。

©2014 Check Point Software Technologies Ltd. 53 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2

©2014 Check Point Software Technologies Ltd. 54 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals ssh でアクセスするための証明書キーを 作成し、ローカルに保存します。 ※ キーペアのダウンロード後に、 ” インスタンスの作成 ” ボタンがクリック できるようになります。 EC2 “testX” と入力し、 “ キーペアのダウンロー ド ” をクリックします

©2014 Check Point Software Technologies Ltd. 55 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2

©2014 Check Point Software Technologies Ltd. 56 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2

©2014 Check Point Software Technologies Ltd. 57 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2

©2014 Check Point Software Technologies Ltd. 58 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2 SG インスタンスが作成されました。 インスタンスのタイプにより running 状態に なるまで時間がかかることがあります。 作成後、 Name の欄に “testX_SG” と入力します。

©2014 Check Point Software Technologies Ltd. 59 送信先 / 送信元の変更チェック無効化 [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント EC2 100(eth0) 100(eth1)

©2014 Check Point Software Technologies Ltd. 60 送信先 / 送信元の変更チェック無効化 [Restricted] ONLY for designated groups and individuals Security Gateway 宛 ( 発 ) 以外の通信も 送受信できるようにします。 EC2 ヒント:デフォルトでは、自身宛 ( 発 ) 以外の 通信しか送受信しません ( パケットが到達し ません ) 。

©2014 Check Point Software Technologies Ltd. 61 送信先 / 送信元の変更チェック無効化 [Restricted] ONLY for designated groups and individuals EC2 ソース / 宛先チェックを無効化します。

©2014 Check Point Software Technologies Ltd. 62 内部インタフェース 送信先 / 送信元の変更チェック無効化 [Restricted] ONLY for designated groups and individuals 内部インタフェースにおいても Security Gateway 宛 ( 初 ) 以外の通信も送受信できる ようにします。 EC2

©2014 Check Point Software Technologies Ltd. 63 内部インタフェース 送信先 / 送信元の変更チェック無効化 [Restricted] ONLY for designated groups and individuals EC2 送信元 / 送信先の変更チェックを 無効化します。

©2014 Check Point Software Technologies Ltd. 64 SG への EIP 割り当て [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント 100(eth0) 100(eth1)

©2014 Check Point Software Technologies Ltd. 65 SG 用 EIP 取得 [Restricted] ONLY for designated groups and individuals SG 用の EIP を取得します。 この EIP は、 SG の管理に利用します。 EC2 EIP を VPC で使用できるようにします。

©2014 Check Point Software Technologies Ltd. 66 SG への EIP 割り当て [Restricted] ONLY for designated groups and individuals EC2 取得した EIP を SG に割り当てます。 EIP を割り当てる SG インスタンスと 対応する IP アドレス ( ) を指定します。 “testX_SG” を選択

©2014 Check Point Software Technologies Ltd. 67 SG への EIP 割り当て [Restricted] ONLY for designated groups and individuals EC2 EIP が、 SG に割り当てられました。

©2014 Check Point Software Technologies Ltd. 68 SG への EIP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント 100(eth0) 100(eth1)

©2014 Check Point Software Technologies Ltd. 69 SG への Secondary IP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals 内部の Web サーバに対応する IP アドレス を SG に割り当てます。 EC2 ヒント:インターネットからは、 EIP→ → と 2 段階に NAT されて Web サーバにアクセスされます。

©2014 Check Point Software Technologies Ltd. 70 SG への Secondary IP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals eth0 ( 外部 ) インタフェースに、 セカンダリ IP アドレスを割り当てます。 EC2

©2014 Check Point Software Technologies Ltd. 71 SG への Secondary IP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals EC2 セカンダリ IP アドレス ( ) を指定し ます。

©2014 Check Point Software Technologies Ltd. 72 SG への Secondary IP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals ヒント:セカンダリ IP アドレスは SG 側では 特に設定を行う必要はありません。 セカンダリ IP 宛ての通信は IG が SG の外部 インタフェースにルーティングしてくれます。 EC2

©2014 Check Point Software Technologies Ltd. 73 SG Secondary IP 用 EIP 取得 (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals Web サーバ用のセカンダリ IP に対応する EIP を取得します。 EC2

©2014 Check Point Software Technologies Ltd. 74 SG Secondary IP に EIP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals Web サーバ用 EIP を SG の Secondary IP に割り当てます。 EC2 EIP を割り当てるインタフェースと対応する IP アドレスを指定します。 ヒント:インタフェース名は Network Interfaces ページで事前に確認しておきます。

©2014 Check Point Software Technologies Ltd. 75 SG Secondary IP に EIP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals EC2 Web サーバ用 EIP が SG の Secondary IP に割り当てられました。

©2014 Check Point Software Technologies Ltd. 76 ©2014 Check Point Software Technologies Ltd SG 初期設定 [Restricted] ONLY for designated groups and individuals

©2014 Check Point Software Technologies Ltd. 77 SG GAiA 管理者パスワード設定 GAiA ssh で SG 用 EIP にアクセスします。 証明書を利用し、 “admin” ユーザで ログインします。 デフォルトでは admin ユーザにパスワードが 設定されていないため、パスワードを設定し、 設定を保存します。 ※ パスワードは と設定してください。

©2014 Check Point Software Technologies Ltd. 78 SG GAiA 管理者パスワード設定 [Restricted] ONLY for designated groups and individuals GAiA “admin” ユーザ用のパスワード作成コマンド コンフィグを保存するコマンド

©2014 Check Point Software Technologies Ltd. 79 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals ブラウザで SG の EIP に https でアクセス します。 ※ 初回アクセス時に証明書のエラーが 表示されますが、続けてアクセスしてください。 GAiA

©2014 Check Point Software Technologies Ltd. 80 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals 通常の製品と同様に First Time Configuration Wizard が起動しますので、手順に従います。 ここではシングル構成でセットアップします。 GAiA

©2014 Check Point Software Technologies Ltd. 81 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA 今回は新規インストールを実施するので、 一番上の選択肢を選んだまま次に進めます。

©2014 Check Point Software Technologies Ltd. 82 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA eth0 にはインスタンス作成時に指定した IP アドレス ( ) が設定されています。 この IP アドレスを変更することはできません。

©2014 Check Point Software Technologies Ltd. 83 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA メーカサイト (UserCenter) へ接続するインタ フェースを選択する画面となりますが、 特に変更せずに次に進めます。

©2014 Check Point Software Technologies Ltd. 84 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA GW のホスト名やドメイン、 DNS サーバの設定 画面が表示されますが、今回は特に内容を 追加せず、次に進めます。

©2014 Check Point Software Technologies Ltd. 85 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA 次に、日付や時刻の設定画面が表示されます。 日付や時刻に大きなズレがないことを確認して 次に進めます。 ※ NTP 連携は実施しません。

©2014 Check Point Software Technologies Ltd. 86 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA 管理サーバの種類を選択する画面が表示されますが、 標準で選択している項目のまま次に進めます。

©2014 Check Point Software Technologies Ltd. 87 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA 展開する製品・機能の選択画面が表示されます。 “Security Gateway” 及び ”Security Management” に チェックが入っていることを確認し、次に進めます。

©2014 Check Point Software Technologies Ltd. 88 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA 管理ツール (SmartConsole) で アクセスする際のアカウントを作成します。 管理者名 : fwadmin パスワード : に設定します。

©2014 Check Point Software Technologies Ltd. 89 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA 管理ツールでアクセスするクライアントの 制限画面となりますが、特に変更せずに次に進めます。

©2014 Check Point Software Technologies Ltd. 90 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA サマリー画面が表示されますので、 ”Finish” ボタンを クリックして設定を反映させます。

©2014 Check Point Software Technologies Ltd. 91 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA “Yes” ボタンをクリックします。

©2014 Check Point Software Technologies Ltd. 92 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA ウィザードが完了すると、自動的に再起動します。

©2014 Check Point Software Technologies Ltd. 93 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA GAiA ポータルで AWS が認識されている ことが確認できます。

©2014 Check Point Software Technologies Ltd. 94 SG 内部インタフェース設定 [Restricted] ONLY for designated groups and individuals 追加した内部インタフェース (eth1) は、 自動では設定されないため、手動で設定する必要が あります。 GAiA

©2014 Check Point Software Technologies Ltd. 95 SG 内部インタフェース設定 [Restricted] ONLY for designated groups and individuals SG の内部側インタフェースを有効化し、 IP アドレス ( ) とサブネットマスク ( ) を指定します。 GAiA

©2014 Check Point Software Technologies Ltd. 96 SG 内部インタフェース設定 [Restricted] ONLY for designated groups and individuals GAiA

©2014 Check Point Software Technologies Ltd. 97 ©2014 Check Point Software Technologies Ltd Web サーバ設定 [Restricted] ONLY for designated groups and individuals

©2014 Check Point Software Technologies Ltd. 98 Web サーバ設定 [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント 100(eth0) 100(eth1)

©2014 Check Point Software Technologies Ltd. 99 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2

©2014 Check Point Software Technologies Ltd. 100 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2

©2014 Check Point Software Technologies Ltd. 101 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals Web サーバを VPC 内の内部セグメント ( ) に構成します。 EC2

©2014 Check Point Software Technologies Ltd. 102 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2 内部セグメントの IP アドレス ( ) を 指定します。

©2014 Check Point Software Technologies Ltd. 103 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2

©2014 Check Point Software Technologies Ltd. 104 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2 “ キー ” と ” 値 ” の欄に、 “testX_WebServer” と入力して下さい

©2014 Check Point Software Technologies Ltd. 105 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals Web サーバへのアクセス制御は SG で行うため、 SG と同様に、 ”testX_PerSecGrp” を使用します。 EC2

©2014 Check Point Software Technologies Ltd. 106 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2

©2014 Check Point Software Technologies Ltd. 107 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2 ssh でアクセスするための証明書キーを選択 します ( 事前作成済み ) 。 ※ 新規に作成することもできます。 “testX” を選択

©2014 Check Point Software Technologies Ltd. 108 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2

©2014 Check Point Software Technologies Ltd. 109 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2 “testX_WebServer” と設定します。

©2014 Check Point Software Technologies Ltd. 110 Web サーバ設定 ( 参考 ) [Restricted] ONLY for designated groups and individuals Web ユーザ名を “ec2-user” と入力します。 証明書 (testX.pem) を指定して、 ログインします。

©2014 Check Point Software Technologies Ltd. 111 Web サーバ設定 ( 参考 ) [Restricted] ONLY for designated groups and individuals Web “sudo yum –y install httpd” コマンドを実行します。

©2014 Check Point Software Technologies Ltd. 112 Web サーバ設定 ( 参考 ) [Restricted] ONLY for designated groups and individuals Web “sudo service httpd start” コマンドを実行します。

©2014 Check Point Software Technologies Ltd. 113 Web サーバ設定 ( 参考 ) [Restricted] ONLY for designated groups and individuals Web 【注意!】 Web サーバへは SG の NAT 設定、 セキュリティ・ポリシーが適用 されるまでアクセスできません!!

©2014 Check Point Software Technologies Ltd. 114 ©2014 Check Point Software Technologies Ltd 内部セグメント設定 [Restricted] ONLY for designated groups and individuals

©2014 Check Point Software Technologies Ltd. 115 内部セグメント用ルーティング設定 [Restricted] ONLY for designated groups and individuals SG Web サーバ / /24 VPC: / 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント 100(eth0) 100(eth1)

©2014 Check Point Software Technologies Ltd. 116 Web サーバ用ルートテーブル作成 [Restricted] ONLY for designated groups and individuals Web サーバ ( 内部セグメント ) で使用する ルート・テーブルを作成します。 VPC ルート・テーブルは VPC で使用します。 testx_WebRoute と設定します。

©2014 Check Point Software Technologies Ltd. 117 Web サーバ用ルートテーブル作成 [Restricted] ONLY for designated groups and individuals 作成したルート・テーブル (Web Route) に ルーティング情報を追加します。 VPC

©2014 Check Point Software Technologies Ltd. 118 Web サーバ用ルートテーブル作成 [Restricted] ONLY for designated groups and individuals デフォルト・ルート ( /0) が SG の 内部インタフェースに向かうようにします。 SG の内部インタフェースは EC2 の Network Interface ページで調べておきます。 VPC

©2014 Check Point Software Technologies Ltd. 119 Web サーバ用ルートテーブル作成 [Restricted] ONLY for designated groups and individuals ルート・テーブルを使用するサブネットを 指定します。 VPC

©2014 Check Point Software Technologies Ltd. 120 Web サーバ用ルートテーブル作成 [Restricted] ONLY for designated groups and individuals ルート・テーブルを内部セグメント ( ) で使用します。 VPC

©2014 Check Point Software Technologies Ltd. 121 ©2014 Check Point Software Technologies Ltd セキュリティ設定 [Restricted] ONLY for designated groups and individuals

©2014 Check Point Software Technologies Ltd. 122 [Restricted] ONLY for designated groups and individuals SmartDashboard で SG にアクセスします。 ID : fwadmin Password : GUI SmartDashboard ログイン

©2014 Check Point Software Technologies Ltd. 123 SmartDashboard ログイン [Restricted] ONLY for designated groups and individuals ログインに成功すると、上記のような画面が表示されます。 GUI

©2014 Check Point Software Technologies Ltd. 124 GW プロパティ [Restricted] ONLY for designated groups and individuals 画面左下にあるメニューから、 GW の オブジェクトをダブルクリックします。 GUI

©2014 Check Point Software Technologies Ltd. 125 GW プロパティ [Restricted] ONLY for designated groups and individuals 利用するソフトウェア・ブレードを指定します。 今回は特に変更しません。 GUI

©2014 Check Point Software Technologies Ltd. 126 SG トポロジー設定 [Restricted] ONLY for designated groups and individuals トポロジーを正しく設定します。 “Get” ⇒ ”Interface with Topology..” を選択します。 正しく設定できると、以下のような状態に 更新されます。 eth0 ( ): External eth1 ( ): Internal GUI

©2014 Check Point Software Technologies Ltd. 127 Web サーバ・オブジェクト ( 外部 ) [Restricted] ONLY for designated groups and individuals Web サーバ用のオブジェクトを作成するために、 画面右下にある ”Nodes” の項目を右クリックして、 オブジェクトの作成画面を表示させます。 GUI

©2014 Check Point Software Technologies Ltd. 128 Web サーバ・オブジェクト ( 外部 ) [Restricted] ONLY for designated groups and individuals Web サーバの外部側での IP アドレスの オブジェクトを作成します。 NAT および FireWall ルールで使用します。 Name : Web-SV-ext IPv4 Address : GUI

©2014 Check Point Software Technologies Ltd. 129 Web サーバ・オブジェクト ( 内部 ) [Restricted] ONLY for designated groups and individuals 外部側のオブジェクトと同じ流れで、 Web サーバの内部側での IP アドレスの オブジェクトを作成します ( 実際の IP アドレス ) 。 NAT および FireWall ルールで使用します。 Name : Web-SV-int IPv4 Address : GUI

©2014 Check Point Software Technologies Ltd. 130 NAT ルール [Restricted] ONLY for designated groups and individuals Web サーバを NAT する Manual NAT ルールを追加するために、画面左上に ある ”NAT” を選択します。 GUI

©2014 Check Point Software Technologies Ltd. 131 NAT ルールの説明 [Restricted] ONLY for designated groups and individuals 1. デフォルトで入っている Office Mode 用 NAT ルール ( 削除可 ) 2. デフォルトで入っている Office Mode 用 NAT ルール ( 削除可 ) 3. インターネットから Web サーバ ( ) 宛ての通信を 宛てに変換 4.Web サーバ ( ) からの通信を からの通信に変換

©2014 Check Point Software Technologies Ltd. 132 FW ルールの例 [Restricted] ONLY for designated groups and individuals 適切なセキュリティ・ポリシーを作成する ために、画面左上にある ”Policy” を選択します。 GUI

©2014 Check Point Software Technologies Ltd. 133 ルール説明 [Restricted] ONLY for designated groups and individuals 1. インターネットから SG への ssh / https 通信を許可 2. インターネットから Web サーバへの http / ssh 通信を許可 3.Web サーバからインターネットへの http/dns 通信を許可 4. 上記以外はドロップ

©2014 Check Point Software Technologies Ltd. 134 ポリシー・インストール [Restricted] ONLY for designated groups and individuals GUI

©2014 Check Point Software Technologies Ltd. 135 [Restricted] ONLY for designated groups and individuals 以上で設定は完了です! 正しく設定できていれば、 内部の Web サーバに通信を 行うことができるはずです。 ※ 110 ページ目の作業が必要になります。

©2014 Check Point Software Technologies Ltd. 136 Web サーバへアクセス [Restricted] ONLY for designated groups and individuals Web サーバの EIP にアクセスしてみましょう。

©2014 Check Point Software Technologies Ltd. 137 ログの例 : SmartView Tracker [Restricted] ONLY for designated groups and individuals GUI Web サーバ (Web-SV-ext / ) への 通信が見えます。

©2014 Check Point Software Technologies Ltd. 138 ログ詳細 [Restricted] ONLY for designated groups and individuals GUI ログを詳しく見ると、 へ NAT されて いることが分かります。

©2014 Check Point Software Technologies Ltd. 139 ©2014 Check Point Software Technologies Ltd Thank You [Restricted] ONLY for designated groups and individuals