Configuration Tool を終了します。 - Internet Security Product Suite 導入の手引き NGX R65 バージョン

HTTP

15. Configuration Tool を終了します。

注：

SmartCenter

サーバのフィンガープリントを使用できない場合、お

よび

SmartConsole

に表示されるフィンガープリントと一致しない場

合、

SmartConsole

から

SmartCenter

サーバに対する初回の接続は実行しないでください。

VPN-1 Power/UTM

のインストール

Unix システムでの Configuration Tool の使用方法

インストール・プロセスを完了するには、Configuration Tool を使用して、

SmartCenter

サーバまたは実施ゲートウェイを設定します。

Unix

システムで

Configuration Tool

を使用して

NGX R65

を設定するには、以下の手順に従います。

1. Configuration Tool

にアクセスします。

2.

ライセンスを追加します。

ライセンスは、手動で追加するか、またはファ

イルから取り込むことができます。

3.

管理者を追加します。SmartConsoleを使用して、SmartCenterサーバに接続する管理者を追加します。Configuration Tool を使用して追加できる管理者は

1

人だけです。SmartDashboardを使用すると、さらに管理者を追加できます。

4. GUI

クライアントを定義します。GUIクライアントを追加するときは、

以下の形式を使用します。

• IPアドレス：たとえば、

1.2.3.4

^など

• IP/ネットマスク： アドレスの範囲、たとえば

192.168.10.0/255.255.255.0

^など

• コンピュータ名：

たとえば、 Alice

^、

Alice.checkpoint.com

^など

• Any：任意の

IP

アドレス

注：初めてインストールするときは、Configuration Toolが自動的に実行されます。

インストールの完了後に、 cpconfig

^{コマンドを使用して}

Configuration Tool

を実行することもできます。

VPN-1 Power/UTM

のインストール

5.

内部認証局を初期化します。

このオプションを使用すると、SmartCenter サーバの内部認証局（ICA）

と、SmartCenterサーバの

SIC（Secure Internal Communication）証明書

を初期化できます。

SIC

証明書は、チェック・ポイントの通信コンポーネント間、またはチェック・ポイントの通信コンポーネントと

OPSEC

アプリケーション間の通信を認証します。

6. GUI

クライアントのフィンガープリントをテキスト・ファイルにエクスポートします。フィンガープリントとは、SmartCenterサーバの証明書から取得されるテキスト文字列で、SmartConsole 経由でアクセスされる

SmartCenter

サーバの

ID

を検証するために使用されます。初めて

SmartConsole

からこの

SmartCenter

サーバに接続するときは、この文字

列を

SmartDashboard

に表示される文字列と比較してください。

7.

インストールした製品を起動します。

注：認証局が初期化され、各コンポーネントに

SIC

証明書が発行されるまで、コンポーネント間の通信はできません。

VPN-1 Power/UTM

のインストール

初めてログインする場合

ログイン・プロセス

管理者は、すべての

SmartConsole

クライアントに共通の手順を使用し、

SmartDashboard

経由で

SmartCenter

サーバに接続します。最初に管理者と

SmartCenter

サーバが認証され、安全な通信チャネルが作成されます。その後、

選択した

SmartConsole

が起動します。

初回のログイン後、管理者はその後のログインに使用する証明書を作成できます。

証明書の作成方法については、『R65 SmartCenter Administration Guide』を参照してください。

管理者の認証

管理者を認証するには、以下の手順に従います。

1.

［スタート］>［プログラム］>［Check Point SmartConsole NGX R65］>

［SmartDashboard］を選択して、SmartDashboardを開きます。

2. SmartCenter

サーバのインストール時に、Configuration Toolの

［Administrators］ページの［User Name］に指定したユーザ名と、

［Password］に指定したパスワードを入力してログインします。

3.

対象となる

SmartCenter

サーバの名前または

IP

アドレスを指定して、

［OK］をクリックします。

4. SmartCenter

サーバのフィンガープリントと、Configuration Toolの設定中に表示されたフィンガープリントを目で比較して、一致することを確認します。

Provider-1/SiteManager-1

のインストール

Provider-1/SiteManager-1 のインストール

このセクションの構成

概要

一般に

MSP（Management Service Provider）は、さまざまなカスタマ・シス

テムを取り扱います。

Provider-1/SiteManager-1

は、広範なカスタマのセキュリティ・スキーマや製品構成に対応できます。図

4-5

は、

Provider-1

構成の例を示しています。

概要

70

ページ

Provider-1

標準ネットワークの構築

72

ページ

MDS

のインストールと設定

73

ページ

SmartConsole

と

MDG

クライアントのインストール

75

ページ

初めて

MDG

にログインする場合

77

ページ

Provider-1/SiteManager-1

のインストール図 4-5

Provider-1

構成の例

Provider-1

の基本構成のコンポーネントは以下のとおりです。

• MDS：

それぞれの Provider-1

ネットワークには、少なくとも

1

つのマネー

ジャと

1

つのコンテナが必要です。これらは、同一サーバまたは別々のサーバにインストールできます。

• MDGおよびSmartConsoleアプリケーション：

これらのアプリケーショ

ンは、

GUI

クライアントにインストールされ、集中システム管理をサポー

Provider-1/SiteManager-1

のインストール

• NOCゲートウェイ：

MSP

の本社およびネットワーク

/

セキュリティ・

オペレーション・センターを保護します。

Provider-1 標準ネットワークの構築

このセクションでは、図

4-6

に示した作業手順に従って、初めて

Provider-1

オペレーション・センターを構築する場合の手順を説明します。

図 4-6

ネットワークの設定

MDS

サーバ・ホストと

VPN-1

ゲートウェイは、TCP/IPの通信が有効である必要があります。

MDS

サーバとなるコンピュータは、

1

つ以上の

IP

アドレスを持つインタフェースを含み、他のコンピュータ名の

IP

アドレスを解決するために、

DNS

サーバを照会できる必要があります。

適宜、下記のコンポーネント間で

IP

通信を可能にするようにルーティングが正しく設定されていることを確認します。

•

CMA/CLM

とその管理対象ゲートウェイ

注：システムの仕様に応じて、NOCゲートウェイをスタンドアロンの

SmartCenter

で管理するか、Provider-1 システムで管理するかを決め

ます。

Provider-1

システムの場合、通常、

Provider-1

カスタマを「NOC」

カスタマ専用にします。

Provider-1/SiteManager-1

のインストール

•

CMA

とその高可用性

CMA

ピア

•

GUI

クライアントと

MDS

マネージャ

•

GUI

クライアントと

CMA/CLM

ゲートウェイのインストール

NOC

ゲートウェイとカスタマのゲートウェイをインストールします。ゲートウェイのインストールは、

Internet Security Product Suite CDを使用して行います。

詳細については、40ページの「VPN-1 Power/UTMのインストール」を参照してください。

MDS のインストールと設定

MDS

のすべてのタイプ（マネージャ、コンテナ、MLM）は同じインストール・

プロセスを使用して作成されます。

プライマリ・マネージャを作成するには、以下の手順に従います。

1.

スーパーユーザ権限を持っていることを確認します。

2.

マウントされたディレクトリから、MDSサーバのオペレーティング・システムに対応するサブディレクトリ（

solaris2

^または

linux

^{）に移動し} ます。

注：ゲートウェイのインストール中に、各ゲートウェイの管理サーバで

SIC

を初期化するために使用したアクティベーション・キーを記録してください。

注：MDSを

SecurePlatform

にインストールする場合は、CDの

Provider-1/SiteManager-1

のインストール

4. MDS

の役割を以下の中から選択します。

• マネージャ

• コンテナ

• マネージャとコンテナ

•

MLM

MDS

をマネージャ（またはマネージャとコンテナの両方）にする場合は、

この

MDS

をプライマリ・マネージャにするかどうかを指定します。少なくとも

1

つのプライマリ・マネージャを作成する必要があります。

5.

再起動するたびに

MDS

を自動的に起動するかどうかを指定します。自動的に起動することをお勧めします。自動的に起動するように選択すると、

プロンプトが表示され、デフォルトのベース・ディレクトリを選択します。

6. License Agreement

を読んで、承諾します。

MDS

上のネットワーク・インタフェースの一覧が表示されます。

7.

プライマリ・インタフェースの名前を入力します。これは、MDSと、

Provider-1/SiteManager-1

ネットワーク上のほかの

MDS

との通信に使用されるインタフェースです。

8. 15

日間のトライアル・ライセンスが自動的に適用されます。

有効なパーマ

ネント・ライセンスをお持ちの場合は、ここで入力します。

9. MDS

ファイルへのアクセスを許可する、オペレーティング・システムのユーザ・グループを選択します。

ユーザ・グループを選択しない場合、ルー

ト・ユーザ・グループにファイルへのアクセス権限が付与されます。

10.

プライマリ・マネージャの

ICA

を初期化します。信頼関係が確立されて

MDS

と管理者がシステムと安全に通信できるように、

ICA

は

MDS

と管理者に証明書を発行します。

サーバ用のフィンガープリントが生成されます。

後の参照用にこのフィン

注：コンテナ

MDS

の場合は、Provider-1/SiteManager-1によって、このインタフェースに対する

CMA

のマッピングが追加で行われます。

Provider-1/SiteManager-1

のインストール

11.

管理者を作成します。

名前とパスワードを入力し、管理者の権限レベルを

割り当てます。

Provider-1/SiteManager-1

ネットワークを設定するための

Provider-1

スーパーユーザを

1

人以上作成します。

ほかの管理者はこのと

きに、またはあとで作成します。

12. 1

台以上のコンピュータを

GUI

クライアント（MDGにアクセスする権限があるコンピュータ）として設定します。

GUI

クライアントは、IPアドレスまたは名前（名前がネットワーク上で解決可能な場合）で識別できます。

ほかの GUI

クライアントはこのときに、またはあとで追加します。

13. mdsconfig

ユーティリティが完了したら、シェルに応じて以下のコマンド

を実行してソース・パスを設定します。

•

csh - source /opt/CPshared/5.0/tmp/.CPprofile.csh

•

sh - . /opt/CPshared/5.0/tmp/.CPprofile.sh

MDS

を起動するたびにこのソース・パス・コマンドを実行する手間を省くには、

.cshrc

^または

. profile

ファイルに上記の行を追加してください。

14.

スクリプト

mdsstart

^{を実行して}

MDS

を起動します。

現在のシェルが

sh

^または

bash

^{の場合は、}

MDS

の起動後にシェルを終了する必要があります。

SmartConsole と MDG クライアントのインストール

ここでは、Windowsプラットフォームに

SmartConsole

アプリケーションをインストールする手順について説明します。

ドキュメント内 Internet Security Product Suite 導入の手引き NGX R65 バージョン (ページ 66-86)