Download presentation
Presentation is loading. Please wait.
Published byしゅんすけ すずがみね Modified 約 8 年前
1
©2014 Check Point Software Technologies Ltd. 1 ©2014 Check Point Software Technologies Ltd AWS R77.30 セットアップガイド [Restricted] ONLY for designated groups and individuals
2
©2014 Check Point Software Technologies Ltd. 2 チェック・ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました チェック・ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました Amazon パブリック・クラウド用 仮想アプライアンス Public Cloud Amazon Web Services 向け 先進のセキュリティ! 2
3
©2014 Check Point Software Technologies Ltd. 3 Amazon VPC トポロジーと構成要素 Internet 1 2 3 プライベート・サブネットの AWS EC2 インスタンス インターネット接続 (直結または VPN ) Check Point VPC 用 仮想アプライアンス Amazon VPC アマゾン VPC インターネットゲートウェイ 1 4 4 3 2
4
©2014 Check Point Software Technologies Ltd. 4 クラウドのためのフルレンジ防御 貴社のセキュリティ要件に応じた Software Blade をご選択ください Public Cloud
5
©2014 Check Point Software Technologies Ltd. 5 クラウド上でのネットワーク攻撃から防御 攻撃パターンの 検知 SQL インジェクション 攻撃 攻撃者 Firewall & IPS Software Blades チェック・ポイント バーチャル・アプライアンス お客様向けサーバ Firewall と IPS Software Blades すべての DB の内容を 閲覧しよう・・・
6
©2014 Check Point Software Technologies Ltd. 6 Amazon Web Services 上で チェック・ポイント バーチャル・アプライアンス を有効化 先端のセキュリティを手軽に導入 Public Cloud
7
©2014 Check Point Software Technologies Ltd. 7 迅速に先進のセキュリティを利用可能 Amazon Web Services 上で チェック・ポイント バーチャル・アプライアンス を有効化 必要な Software Blade を 選択するだけ 必要な Software Blade を 選択するだけ Public Cloud
8
©2014 Check Point Software Technologies Ltd. 8 Virtual Appliance for Amazon Public Cloud Public Cloud ADVANCED SECURITY for Amazon Public Cloud 統合管理 完全な防御 簡単な導入 8
9
©2014 Check Point Software Technologies Ltd. 9 ©2014 Check Point Software Technologies Ltd VPC 環境の Web サーバを保護 [Restricted] ONLY for designated groups and individuals
10
©2014 Check Point Software Technologies Ltd. 10 想定構成 [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 100(eth0) 100(eth1) VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント
11
©2014 Check Point Software Technologies Ltd. 11 環境概要 VPC としては 10.0.0.0/16 の空間を利用 外部セグメントとして 10.0.0.0/24 を利用 内部セグメントとして 10.0.1.0/24 を利用 – このセグメント内の Web サーバを保護 SG には自身の IP アドレスと Web サーバ用の IP アドレスの 2 つを割り当てる EIP も同様に SG 用と Web サーバ用の 2 つを割り当てる –EIP1 ←→ 10.0.0.100 (SGアクセス用) –EIP2 ←→ 10.0.0.101 (Webサーバ用) SG は Static NAT を行い、 Web サーバへの通信を行う
12
©2014 Check Point Software Technologies Ltd. 12 ©2014 Check Point Software Technologies Ltd VPC 環境設定 [Restricted] ONLY for designated groups and individuals
13
©2014 Check Point Software Technologies Ltd. 13 VPC 作成 [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント 100(eth0) 100(eth1)
14
©2014 Check Point Software Technologies Ltd. 14 VPC 環境作成 [Restricted] ONLY for designated groups and individuals VPC VPC の項目をクリックします。
15
©2014 Check Point Software Technologies Ltd. 15 VPC 環境作成 [Restricted] ONLY for designated groups and individuals VPC VPC 環境を作成します。 VPC 環境では 10.0.0.0/16 のネットワーク空間を利用します。 “testX_VPC ” で入力して下さい
16
©2014 Check Point Software Technologies Ltd. 16 VPC 環境作成 [Restricted] ONLY for designated groups and individuals VPC VPC 環境 (Demo VPC) が作成されました。
17
©2014 Check Point Software Technologies Ltd. 17 外部セグメント作成 [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント VPC 100(eth0) 100(eth1)
18
©2014 Check Point Software Technologies Ltd. 18 外部セグメント作成 [Restricted] ONLY for designated groups and individuals VPC VPC 環境内に外部セグメントを作成します。 外部サブネットを作成する VPC と、割り当 てるサブネット (10.0.0.0/24) を指定します。 “testX_Ext-Net“ で入力して下さい “testX_VPC” を選択
19
©2014 Check Point Software Technologies Ltd. 19 外部セグメント作成 [Restricted] ONLY for designated groups and individuals VPC 外部セグメントが作成されました。
20
©2014 Check Point Software Technologies Ltd. 20 内部セグメント作成 [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント VPC 100(eth0) 100(eth1)
21
©2014 Check Point Software Technologies Ltd. 21 内部セグメント作成 [Restricted] ONLY for designated groups and individuals VPC VPC 環境内に内部セグメントを作成します。 内部サブネットを作成する VPC と、割り当 てるサブネット (10.0.1.0/24) を指定します。 “testX_Int-Net“ で入力して下さい “testX_VPC” を選択
22
©2014 Check Point Software Technologies Ltd. 22 内部セグメント作成 [Restricted] ONLY for designated groups and individuals VPC 内部セグメントが作成されました。
23
©2014 Check Point Software Technologies Ltd. 23 Internet Gateway 作成 [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント VPC 100(eth0) 100(eth1)
24
©2014 Check Point Software Technologies Ltd. 24 Internet Gateway 作成 [Restricted] ONLY for designated groups and individuals VPC インターネットに接続する Internet Gateway を作成します。 “testX_InternetGW” で入力して下さい
25
©2014 Check Point Software Technologies Ltd. 25 Internet Gateway 作成 [Restricted] ONLY for designated groups and individuals VPC Internet Gateway と VPC を紐付けます。 紐付ける VPC(testX_VPC) を指定します。 “testX_VPC ” を選択
26
©2014 Check Point Software Technologies Ltd. 26 Internet Gateway 作成 [Restricted] ONLY for designated groups and individuals VPC Internet Gateway が作成されました。
27
©2014 Check Point Software Technologies Ltd. 27 外部セグメント用ルーティング設定 [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント VPC 100(eth0) 100(eth1)
28
©2014 Check Point Software Technologies Ltd. 28 ルート・テーブル作成 [Restricted] ONLY for designated groups and individuals VPC 外部セグメントで使用するルート・テーブルを 作成します。 ルート・テーブルを作成する VPC (testX_VPC) を選択します。 “testX_SG-Route” で入力して下さい “testX_VPC” を選択
29
©2014 Check Point Software Technologies Ltd. 29 ルート・テーブル作成 [Restricted] ONLY for designated groups and individuals VPC 作成されたルート・テーブルに ルーティング情報を追加します。
30
©2014 Check Point Software Technologies Ltd. 30 ルート・テーブル作成 [Restricted] ONLY for designated groups and individuals VPC デフォルトルート (0.0.0.0/0) が、 Internet Gateway に向くように設定します。 ヒント: Internet Gateway の名前は Internet Gateways ページで確認します。
31
©2014 Check Point Software Technologies Ltd. 31 ルート・テーブル作成 [Restricted] ONLY for designated groups and individuals VPC このルート・テーブルを使用する サブネットを指定します。
32
©2014 Check Point Software Technologies Ltd. 32 ルート・テーブル作成 [Restricted] ONLY for designated groups and individuals VPC 外部セグメント (10.0.0.0/24) を選択します。
33
©2014 Check Point Software Technologies Ltd. 33 ルート・テーブル作成 [Restricted] ONLY for designated groups and individuals VPC ルート・テーブルの設定が完了しました。
34
©2014 Check Point Software Technologies Ltd. 34 Security Group (AWS 標準セキュリティ ) 設定 [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント VPC 100(eth0) 100(eth1)
35
©2014 Check Point Software Technologies Ltd. 35 Security Group 作成 [Restricted] ONLY for designated groups and individuals VPC 各インスタンスが使用する Security Group ( PermissiveSecGrp ) を作成します。 ヒント:デフォルトの Security Group は 限られた通信しか許可されません (SG に 通信が到達しない ) 。そのため、特別な Security Group を作成します。
36
©2014 Check Point Software Technologies Ltd. 36 Security Group 作成 [Restricted] ONLY for designated groups and individuals VPC Security Group の名前 ( PermissiveSecGrp ) と、 Security Group を作成する VPC を指定します。 “testX_PerSecGrp“ で入力して下さい “testX_VPC ” を選択
37
©2014 Check Point Software Technologies Ltd. 37 Security Group 作成 [Restricted] ONLY for designated groups and individuals VPC 作成された Security Group (PermissiveSecGrp) にインバウンド ( 内向き ) のルールを作成します。
38
©2014 Check Point Software Technologies Ltd. 38 Security Group 作成 [Restricted] ONLY for designated groups and individuals VPC すべての通信を許可します。 タイプ : 全てのトラフィック 送信元 : 0.0.0.0/0
39
©2014 Check Point Software Technologies Ltd. 39 Security Group 作成 [Restricted] ONLY for designated groups and individuals VPC Security Group ( PermissiveSecGrp ) が作成 されました。この Security Group を使用すると、 すべての通信が許可されます。
40
©2014 Check Point Software Technologies Ltd. 40 ©2014 Check Point Software Technologies Ltd SG インスタンス設定 [Restricted] ONLY for designated groups and individuals
41
©2014 Check Point Software Technologies Ltd. 41 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント 100(eth0) 100(eth1)
42
©2014 Check Point Software Technologies Ltd. 42 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2 EC2 をクリックします。
43
©2014 Check Point Software Technologies Ltd. 43 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2 SG インスタンスを作成します。
44
©2014 Check Point Software Technologies Ltd. 44 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals AWS Marketplace で “Check Point” で 検索します。 ”PAYG” ではない イメージ (BYOL) を選択します。 EC2 ヒント: PAYG はライセンス込みの インスタンスになります。利用時間に応じて Amazon 経由で R77.30 使用料が課金されます。 どちらのモデルも 15 日間の評価機期間があります。
45
©2014 Check Point Software Technologies Ltd. 45 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals インスタンスタイプを選択します。 ここでは、 “c4.large ” を選択しています。 EC2 ヒント:選択可能なタイプはリリースノート を参照してください。 未対応のタイプでの動作は保障されません。
46
©2014 Check Point Software Technologies Ltd. 46 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals SG インスタンスを設置する VPC とサブ ネット ( 外部セグメント :10.0.0.0/24) を 指定します。【次ページに続く】 EC2 “testX_VPC” を選択 “testX_Ext-Net” を選択
47
©2014 Check Point Software Technologies Ltd. 47 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals 1. SG インスタンスに割り当てる外部 セグメント側の IP アドレス (10.0.0.100) を指定します。 EC2 2. 内部セグメント用にインタフェース (eth1) を追加します。
48
©2014 Check Point Software Technologies Ltd. 48 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals SG インスタンスに割り当てる内部 セグメント側のサブネット (10.0.1.0/24) と IP アドレス (10.0.1.100) を指定します。 EC2
49
©2014 Check Point Software Technologies Ltd. 49 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2 特に設定変更せず、次に進みます。
50
©2014 Check Point Software Technologies Ltd. 50 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2 “ キー ” と ” 値 ” の欄に、 “testX_SG” と入力して下さい
51
©2014 Check Point Software Technologies Ltd. 51 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals インスタンスに適用するセキュリティ・ グループ (testX_PerSecGrp) を指定します。 EC2
52
©2014 Check Point Software Technologies Ltd. 52 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2 特に選択肢は変更せず、次に進みます。
53
©2014 Check Point Software Technologies Ltd. 53 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2
54
©2014 Check Point Software Technologies Ltd. 54 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals ssh でアクセスするための証明書キーを 作成し、ローカルに保存します。 ※ キーペアのダウンロード後に、 ” インスタンスの作成 ” ボタンがクリック できるようになります。 EC2 “testX” と入力し、 “ キーペアのダウンロー ド ” をクリックします
55
©2014 Check Point Software Technologies Ltd. 55 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2
56
©2014 Check Point Software Technologies Ltd. 56 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2
57
©2014 Check Point Software Technologies Ltd. 57 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2
58
©2014 Check Point Software Technologies Ltd. 58 SG インスタンス作成 [Restricted] ONLY for designated groups and individuals EC2 SG インスタンスが作成されました。 インスタンスのタイプにより running 状態に なるまで時間がかかることがあります。 作成後、 Name の欄に “testX_SG” と入力します。
59
©2014 Check Point Software Technologies Ltd. 59 送信先 / 送信元の変更チェック無効化 [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント EC2 100(eth0) 100(eth1)
60
©2014 Check Point Software Technologies Ltd. 60 送信先 / 送信元の変更チェック無効化 [Restricted] ONLY for designated groups and individuals Security Gateway 宛 ( 発 ) 以外の通信も 送受信できるようにします。 EC2 ヒント:デフォルトでは、自身宛 ( 発 ) 以外の 通信しか送受信しません ( パケットが到達し ません ) 。
61
©2014 Check Point Software Technologies Ltd. 61 送信先 / 送信元の変更チェック無効化 [Restricted] ONLY for designated groups and individuals EC2 ソース / 宛先チェックを無効化します。
62
©2014 Check Point Software Technologies Ltd. 62 内部インタフェース 送信先 / 送信元の変更チェック無効化 [Restricted] ONLY for designated groups and individuals 内部インタフェースにおいても Security Gateway 宛 ( 初 ) 以外の通信も送受信できる ようにします。 EC2
63
©2014 Check Point Software Technologies Ltd. 63 内部インタフェース 送信先 / 送信元の変更チェック無効化 [Restricted] ONLY for designated groups and individuals EC2 送信元 / 送信先の変更チェックを 無効化します。
64
©2014 Check Point Software Technologies Ltd. 64 SG への EIP 割り当て [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント 100(eth0) 100(eth1)
65
©2014 Check Point Software Technologies Ltd. 65 SG 用 EIP 取得 [Restricted] ONLY for designated groups and individuals SG 用の EIP を取得します。 この EIP は、 SG の管理に利用します。 EC2 EIP を VPC で使用できるようにします。
66
©2014 Check Point Software Technologies Ltd. 66 SG への EIP 割り当て [Restricted] ONLY for designated groups and individuals EC2 取得した EIP を SG に割り当てます。 EIP を割り当てる SG インスタンスと 対応する IP アドレス (10.0.0.100) を指定します。 “testX_SG” を選択
67
©2014 Check Point Software Technologies Ltd. 67 SG への EIP 割り当て [Restricted] ONLY for designated groups and individuals EC2 EIP が、 SG に割り当てられました。
68
©2014 Check Point Software Technologies Ltd. 68 SG への EIP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント 100(eth0) 100(eth1)
69
©2014 Check Point Software Technologies Ltd. 69 SG への Secondary IP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals 内部の Web サーバに対応する IP アドレス を SG に割り当てます。 EC2 ヒント:インターネットからは、 EIP→10.0.0.101→10.0.1.200 と 2 段階に NAT されて Web サーバにアクセスされます。
70
©2014 Check Point Software Technologies Ltd. 70 SG への Secondary IP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals eth0 ( 外部 ) インタフェースに、 セカンダリ IP アドレスを割り当てます。 EC2
71
©2014 Check Point Software Technologies Ltd. 71 SG への Secondary IP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals EC2 セカンダリ IP アドレス (10.0.0.101) を指定し ます。
72
©2014 Check Point Software Technologies Ltd. 72 SG への Secondary IP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals ヒント:セカンダリ IP アドレスは SG 側では 特に設定を行う必要はありません。 セカンダリ IP 宛ての通信は IG が SG の外部 インタフェースにルーティングしてくれます。 EC2
73
©2014 Check Point Software Technologies Ltd. 73 SG Secondary IP 用 EIP 取得 (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals Web サーバ用のセカンダリ IP に対応する EIP を取得します。 EC2
74
©2014 Check Point Software Technologies Ltd. 74 SG Secondary IP に EIP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals Web サーバ用 EIP を SG の Secondary IP に割り当てます。 EC2 EIP を割り当てるインタフェースと対応する IP アドレスを指定します。 ヒント:インタフェース名は Network Interfaces ページで事前に確認しておきます。
75
©2014 Check Point Software Technologies Ltd. 75 SG Secondary IP に EIP 割り当て (Web サーバ用 ) [Restricted] ONLY for designated groups and individuals EC2 Web サーバ用 EIP が SG の Secondary IP に割り当てられました。
76
©2014 Check Point Software Technologies Ltd. 76 ©2014 Check Point Software Technologies Ltd SG 初期設定 [Restricted] ONLY for designated groups and individuals
77
©2014 Check Point Software Technologies Ltd. 77 SG GAiA 管理者パスワード設定 GAiA ssh で SG 用 EIP にアクセスします。 証明書を利用し、 “admin” ユーザで ログインします。 デフォルトでは admin ユーザにパスワードが 設定されていないため、パスワードを設定し、 設定を保存します。 ※ パスワードは ”P@ssw0rd” と設定してください。
78
©2014 Check Point Software Technologies Ltd. 78 SG GAiA 管理者パスワード設定 [Restricted] ONLY for designated groups and individuals GAiA “admin” ユーザ用のパスワード作成コマンド コンフィグを保存するコマンド
79
©2014 Check Point Software Technologies Ltd. 79 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals ブラウザで SG の EIP に https でアクセス します。 ※ 初回アクセス時に証明書のエラーが 表示されますが、続けてアクセスしてください。 GAiA
80
©2014 Check Point Software Technologies Ltd. 80 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals 通常の製品と同様に First Time Configuration Wizard が起動しますので、手順に従います。 ここではシングル構成でセットアップします。 GAiA
81
©2014 Check Point Software Technologies Ltd. 81 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA 今回は新規インストールを実施するので、 一番上の選択肢を選んだまま次に進めます。
82
©2014 Check Point Software Technologies Ltd. 82 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA eth0 にはインスタンス作成時に指定した IP アドレス (10.0.0.100) が設定されています。 この IP アドレスを変更することはできません。
83
©2014 Check Point Software Technologies Ltd. 83 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA メーカサイト (UserCenter) へ接続するインタ フェースを選択する画面となりますが、 特に変更せずに次に進めます。
84
©2014 Check Point Software Technologies Ltd. 84 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA GW のホスト名やドメイン、 DNS サーバの設定 画面が表示されますが、今回は特に内容を 追加せず、次に進めます。
85
©2014 Check Point Software Technologies Ltd. 85 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA 次に、日付や時刻の設定画面が表示されます。 日付や時刻に大きなズレがないことを確認して 次に進めます。 ※ NTP 連携は実施しません。
86
©2014 Check Point Software Technologies Ltd. 86 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA 管理サーバの種類を選択する画面が表示されますが、 標準で選択している項目のまま次に進めます。
87
©2014 Check Point Software Technologies Ltd. 87 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA 展開する製品・機能の選択画面が表示されます。 “Security Gateway” 及び ”Security Management” に チェックが入っていることを確認し、次に進めます。
88
©2014 Check Point Software Technologies Ltd. 88 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA 管理ツール (SmartConsole) で アクセスする際のアカウントを作成します。 管理者名 : fwadmin パスワード : P@ssw0rd に設定します。
89
©2014 Check Point Software Technologies Ltd. 89 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA 管理ツールでアクセスするクライアントの 制限画面となりますが、特に変更せずに次に進めます。
90
©2014 Check Point Software Technologies Ltd. 90 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA サマリー画面が表示されますので、 ”Finish” ボタンを クリックして設定を反映させます。
91
©2014 Check Point Software Technologies Ltd. 91 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA “Yes” ボタンをクリックします。
92
©2014 Check Point Software Technologies Ltd. 92 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA ウィザードが完了すると、自動的に再起動します。
93
©2014 Check Point Software Technologies Ltd. 93 SG First Time Configuration Wizard [Restricted] ONLY for designated groups and individuals GAiA GAiA ポータルで AWS が認識されている ことが確認できます。
94
©2014 Check Point Software Technologies Ltd. 94 SG 内部インタフェース設定 [Restricted] ONLY for designated groups and individuals 追加した内部インタフェース (eth1) は、 自動では設定されないため、手動で設定する必要が あります。 GAiA
95
©2014 Check Point Software Technologies Ltd. 95 SG 内部インタフェース設定 [Restricted] ONLY for designated groups and individuals SG の内部側インタフェースを有効化し、 IP アドレス (10.0.1.100) とサブネットマスク (255.255.255.0) を指定します。 GAiA
96
©2014 Check Point Software Technologies Ltd. 96 SG 内部インタフェース設定 [Restricted] ONLY for designated groups and individuals GAiA
97
©2014 Check Point Software Technologies Ltd. 97 ©2014 Check Point Software Technologies Ltd Web サーバ設定 [Restricted] ONLY for designated groups and individuals
98
©2014 Check Point Software Technologies Ltd. 98 Web サーバ設定 [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント 100(eth0) 100(eth1)
99
©2014 Check Point Software Technologies Ltd. 99 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2
100
©2014 Check Point Software Technologies Ltd. 100 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2
101
©2014 Check Point Software Technologies Ltd. 101 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals Web サーバを VPC 内の内部セグメント (10.0.1.0) に構成します。 EC2
102
©2014 Check Point Software Technologies Ltd. 102 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2 内部セグメントの IP アドレス (10.0.1.200) を 指定します。
103
©2014 Check Point Software Technologies Ltd. 103 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2
104
©2014 Check Point Software Technologies Ltd. 104 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2 “ キー ” と ” 値 ” の欄に、 “testX_WebServer” と入力して下さい
105
©2014 Check Point Software Technologies Ltd. 105 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals Web サーバへのアクセス制御は SG で行うため、 SG と同様に、 ”testX_PerSecGrp” を使用します。 EC2
106
©2014 Check Point Software Technologies Ltd. 106 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2
107
©2014 Check Point Software Technologies Ltd. 107 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2 ssh でアクセスするための証明書キーを選択 します ( 事前作成済み ) 。 ※ 新規に作成することもできます。 “testX” を選択
108
©2014 Check Point Software Technologies Ltd. 108 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2
109
©2014 Check Point Software Technologies Ltd. 109 Web サーバ環境 ( 参考 ) [Restricted] ONLY for designated groups and individuals EC2 “testX_WebServer” と設定します。
110
©2014 Check Point Software Technologies Ltd. 110 Web サーバ設定 ( 参考 ) [Restricted] ONLY for designated groups and individuals Web ユーザ名を “ec2-user” と入力します。 証明書 (testX.pem) を指定して、 ログインします。
111
©2014 Check Point Software Technologies Ltd. 111 Web サーバ設定 ( 参考 ) [Restricted] ONLY for designated groups and individuals Web “sudo yum –y install httpd” コマンドを実行します。
112
©2014 Check Point Software Technologies Ltd. 112 Web サーバ設定 ( 参考 ) [Restricted] ONLY for designated groups and individuals Web “sudo service httpd start” コマンドを実行します。
113
©2014 Check Point Software Technologies Ltd. 113 Web サーバ設定 ( 参考 ) [Restricted] ONLY for designated groups and individuals Web 【注意!】 Web サーバへは SG の NAT 設定、 セキュリティ・ポリシーが適用 されるまでアクセスできません!!
114
©2014 Check Point Software Technologies Ltd. 114 ©2014 Check Point Software Technologies Ltd 内部セグメント設定 [Restricted] ONLY for designated groups and individuals
115
©2014 Check Point Software Technologies Ltd. 115 内部セグメント用ルーティング設定 [Restricted] ONLY for designated groups and individuals SG Web サーバ 10.0.0.0/24 10.0.1.0/24 VPC: 10.0.0.0/16 200 仮想 IP: 101 EIP1 ・・・ SG 用 EIP2 ・・・ Web サーバ用 SG : Security Gateway IG 外部セグメント 内部セグメント 100(eth0) 100(eth1)
116
©2014 Check Point Software Technologies Ltd. 116 Web サーバ用ルートテーブル作成 [Restricted] ONLY for designated groups and individuals Web サーバ ( 内部セグメント ) で使用する ルート・テーブルを作成します。 VPC ルート・テーブルは VPC で使用します。 testx_WebRoute と設定します。
117
©2014 Check Point Software Technologies Ltd. 117 Web サーバ用ルートテーブル作成 [Restricted] ONLY for designated groups and individuals 作成したルート・テーブル (Web Route) に ルーティング情報を追加します。 VPC
118
©2014 Check Point Software Technologies Ltd. 118 Web サーバ用ルートテーブル作成 [Restricted] ONLY for designated groups and individuals デフォルト・ルート (0.0.0.0/0) が SG の 内部インタフェースに向かうようにします。 SG の内部インタフェースは EC2 の Network Interface ページで調べておきます。 VPC
119
©2014 Check Point Software Technologies Ltd. 119 Web サーバ用ルートテーブル作成 [Restricted] ONLY for designated groups and individuals ルート・テーブルを使用するサブネットを 指定します。 VPC
120
©2014 Check Point Software Technologies Ltd. 120 Web サーバ用ルートテーブル作成 [Restricted] ONLY for designated groups and individuals ルート・テーブルを内部セグメント (10.0.1.0) で使用します。 VPC
121
©2014 Check Point Software Technologies Ltd. 121 ©2014 Check Point Software Technologies Ltd セキュリティ設定 [Restricted] ONLY for designated groups and individuals
122
©2014 Check Point Software Technologies Ltd. 122 [Restricted] ONLY for designated groups and individuals SmartDashboard で SG にアクセスします。 ID : fwadmin Password : P@ssw0rd GUI SmartDashboard ログイン
123
©2014 Check Point Software Technologies Ltd. 123 SmartDashboard ログイン [Restricted] ONLY for designated groups and individuals ログインに成功すると、上記のような画面が表示されます。 GUI
124
©2014 Check Point Software Technologies Ltd. 124 GW プロパティ [Restricted] ONLY for designated groups and individuals 画面左下にあるメニューから、 GW の オブジェクトをダブルクリックします。 GUI
125
©2014 Check Point Software Technologies Ltd. 125 GW プロパティ [Restricted] ONLY for designated groups and individuals 利用するソフトウェア・ブレードを指定します。 今回は特に変更しません。 GUI
126
©2014 Check Point Software Technologies Ltd. 126 SG トポロジー設定 [Restricted] ONLY for designated groups and individuals トポロジーを正しく設定します。 “Get” ⇒ ”Interface with Topology..” を選択します。 正しく設定できると、以下のような状態に 更新されます。 eth0 (10.0.0.100): External eth1 (10.0.1.100): Internal GUI
127
©2014 Check Point Software Technologies Ltd. 127 Web サーバ・オブジェクト ( 外部 ) [Restricted] ONLY for designated groups and individuals Web サーバ用のオブジェクトを作成するために、 画面右下にある ”Nodes” の項目を右クリックして、 オブジェクトの作成画面を表示させます。 GUI
128
©2014 Check Point Software Technologies Ltd. 128 Web サーバ・オブジェクト ( 外部 ) [Restricted] ONLY for designated groups and individuals Web サーバの外部側での IP アドレスの オブジェクトを作成します。 NAT および FireWall ルールで使用します。 Name : Web-SV-ext IPv4 Address : 10.0.0.101 GUI
129
©2014 Check Point Software Technologies Ltd. 129 Web サーバ・オブジェクト ( 内部 ) [Restricted] ONLY for designated groups and individuals 外部側のオブジェクトと同じ流れで、 Web サーバの内部側での IP アドレスの オブジェクトを作成します ( 実際の IP アドレス ) 。 NAT および FireWall ルールで使用します。 Name : Web-SV-int IPv4 Address : 10.0.1.200 GUI
130
©2014 Check Point Software Technologies Ltd. 130 NAT ルール [Restricted] ONLY for designated groups and individuals Web サーバを NAT する Manual NAT ルールを追加するために、画面左上に ある ”NAT” を選択します。 GUI
131
©2014 Check Point Software Technologies Ltd. 131 NAT ルールの説明 [Restricted] ONLY for designated groups and individuals 1. デフォルトで入っている Office Mode 用 NAT ルール ( 削除可 ) 2. デフォルトで入っている Office Mode 用 NAT ルール ( 削除可 ) 3. インターネットから Web サーバ (10.0.0.101) 宛ての通信を 10.0.1.200 宛てに変換 4.Web サーバ (10.0.1.200) からの通信を 10.0.0.101 からの通信に変換
132
©2014 Check Point Software Technologies Ltd. 132 FW ルールの例 [Restricted] ONLY for designated groups and individuals 適切なセキュリティ・ポリシーを作成する ために、画面左上にある ”Policy” を選択します。 GUI
133
©2014 Check Point Software Technologies Ltd. 133 ルール説明 [Restricted] ONLY for designated groups and individuals 1. インターネットから SG への ssh / https 通信を許可 2. インターネットから Web サーバへの http / ssh 通信を許可 3.Web サーバからインターネットへの http/dns 通信を許可 4. 上記以外はドロップ
134
©2014 Check Point Software Technologies Ltd. 134 ポリシー・インストール [Restricted] ONLY for designated groups and individuals GUI
135
©2014 Check Point Software Technologies Ltd. 135 [Restricted] ONLY for designated groups and individuals 以上で設定は完了です! 正しく設定できていれば、 内部の Web サーバに通信を 行うことができるはずです。 ※ 110 ページ目の作業が必要になります。
136
©2014 Check Point Software Technologies Ltd. 136 Web サーバへアクセス [Restricted] ONLY for designated groups and individuals Web サーバの EIP にアクセスしてみましょう。
137
©2014 Check Point Software Technologies Ltd. 137 ログの例 : SmartView Tracker [Restricted] ONLY for designated groups and individuals GUI Web サーバ (Web-SV-ext / 10.0.0.101) への 通信が見えます。
138
©2014 Check Point Software Technologies Ltd. 138 ログ詳細 [Restricted] ONLY for designated groups and individuals GUI ログを詳しく見ると、 10.0.1.200 へ NAT されて いることが分かります。
139
©2014 Check Point Software Technologies Ltd. 139 ©2014 Check Point Software Technologies Ltd Thank You [Restricted] ONLY for designated groups and individuals
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.