SmartCenterは、パブリックIPアドレスの数が限られているため、プライベートIPアドレス(RFC
1918に記載)または他のルーティング不能IPアドレスを使用する場合があります。
SmartCenterサーバのIPアドレスのNAT(StaticまたはHide)は、管理されたゲートウェイとの接
続性を保った状態で、ワン・クリックで設定できます。すべてのゲートウェイはSmartCenterサー バから制御可能であり、SmartCenterサーバにログを送信できます。 NATはManagement High
Availabilityサーバおよびログ・サーバに対しても設定できます。
図 3-16はNATの背後にSmartCenterがある典型的なシナリオです。SmartCenterサーバは、ネッ
トワーク・アドレス変換が実行されるネットワーク(「アドレス変換されたネットワーク」)内にあ
ります。SmartCenterサーバは、アドレス変換されたネットワーク内、アドレス変換されたネット
ワークと外部との境界上、およびアドレス変換されたネットワークの外部にあるチェック・ポイン ト・ゲートウェイを制御できます。
図 3-16 NATの背後のSmartCenterシナリオ
通常のHide NATの設定では、VPN-1 NATゲートウェイの外側から接続を確立することはできません。
しかし、SmartCenterサーバにHide NATを使用する場合は、ゲートウェイはSmartCenterサーバに ログを送信できます。
NATの背後にあるSmartCenterの機能を使用する場合は、ゲートウェイ(リモート・モジュール)は、
使用するSmartCenterアドレスを自動的に選択し、同時にNATに関する考慮事項を適用します。
SmartCenterサーバに対してNATを有効にするには、以下の手順に従います。
• SmartCenterサーバ・オブジェクトの[NAT]ページからNATを定義し、[Apply for VPN-1
control connections]を選択します。
注: NATの背後にあるSmartCenterは、SmartCenterサーバがゲートウェイとしても機能す る導入環境ではサポートされず、ネットワーク・アドレス変換されるドメインの外部から
(たとえばSAMコマンドを受信する場合に)アドレス指定する必要があります。
対応していないゲートウェイ・アドレス
ゲートウェイが、リモート・ゲートウェイの環境に対応していないアドレスを使用してSmartCenter に接続しようとする場合があります。以下に例を示します。
• NG with Application Intelligenceより前のバージョンのゲートウェイが存在する場合。この場
合の詳細な手順については、SecureKnowledgeソリューション
(https://secureknowledge.checkpoint.com/)SK15558を参照してください。
• ゲートウェイが自動選択したアドレスがゲートウェイの環境で正しくルーティングされてい ない場合。この場合には、リモート・ゲートウェイが適切なアドレスを使用してSmartCenter に接続できるようにするため、マスタとロガーを手動で定義します。管理されているゲート ウェイからの着信接続がVPN-1ゲートウェイに到着すると、ポート変換が使用されて、隠蔽 アドレスをSmartCenterサーバの実際のIPアドレスに変換します。
マスタとロガーを定義するには、以下の手順に従います。
• [Use local definitions for Log Servers]と[Use local definitions for Masters]を選択し、
ゲートウェイ上で正しいIPアドレスを指定します。
この解決策は以下の2つのケースで使用できます。
• 実際のIPアドレスを指定する必要があるにも関わらず、リモート・ゲートウェイがネッ トワーク・アドレス変換されるIPアドレスを指定する場合。
• ネットワーク・アドレス変換されるIPアドレスを指定する必要があるにも関わらず、
リモート・ゲートウェイが実際のIPアドレスを指定する場合。この場合は、マスタ・
ファイル内でSmartCenterサーバのSIC名を指定します。
次の点に注意してください。
• これらの設定では1つのオブジェクトのみを定義できます。2番目のオブジェクトを定義 できるのは、セカンダリSmartCenterサーバまたはログ・サーバのみです。
• すべてのゲートウェイ上でトポロジの設定を適切に定義する必要があります。図 3-16で
は、California_GWで内部インタフェース上にPrimary_SmartCenterを定義します。
• すべての管理されるゲートウェイおよびSmartCenterサーバのバージョンが、NG with
Application Intelligence以上である必要があります。
• 以前のバージョンでは、さまざまな回避策が必要でした。以前のすべての回避策は、動作を 変更せずに引き続き使用できます。
SmartCenter サーバ・オブジェクトの設定
SmartCenterサーバ・オブジェクトを設定するには、以下の手順に従います。
1. Primary_SmartCenterオブジェクトの[NAT]ページで[Static NAT]または[Hide NAT]を
選択します。 Hide NATを使用する場合は、[Hide behind IP Address](たとえば
192.168.55.1)を選択します。[Hide behind Gateway](アドレス0.0.0.0)は選択しないで ください。
2. [Install on Gateway]を選択して、ネットワーク・アドレス変換されるオブジェクトまたは ネットワークを保護します。[All]は選択しないでください。 たとえば、図 3-16では、
ゲートウェイCalifornia_GWを選択します。
3. [Apply for VPN-1 control connections]を選択します。
ゲートウェイ・オブジェクトの設定
図 3-16の例では、Primary_SmartCenterが背後にあることをCalifornia_GWが認識するようにし ます。
ゲートウェイ・オブジェクトを設定するには、以下の手順に従います。
1. California_GWの[Topology]ページでインタフェースEth3を定義します。
2. [Interface Properties]ウィンドウの[General]タブで、IPアドレス10.0.0.0とネット マスク255.255.0.0を定義します。
[Interface Properties]ウィンドウの[Topology]タブで[Network defined by the interface IP and Net Mask]を選択します。
NG with Application Intelligence バージョンより前のゲート ウェイ・オブジェクトの設定
管理されたゲートウェイがNG with Application Intelligence以降ではないバージョンの場合は、
ダミー・オブジェクトを定義する必要があります。 図 3-16の例では、Florida_GWおよび
California_GWのバージョンがNG with Application Intelligenceよりも前の場合は、ダミー・オブ
ジェクトは次のことを保証します。Florida_GWは、SmartCenterサーバのアドレスが 192.168.255.1であることを認識し、California_GWは、SmartCenterサーバのアドレスが 10.0.0.1であることを認識します。
NG with Application Intelligenceバージョンより前のゲートウェイ・オブジェクトを設定するには、
以下の手順に従います。
1. Primary_SmartCenterの変換されたアドレスを使用してダミー・オブジェクトを定義します。
1. 名前を付けます(たとえば、Dummy-SmartCenter)。
2. [General Properties]ページの[Check Point Products]セクションで、[Secondary Management Station]と[Log Server]を選択します。
3. 以下の手順に従って、California_GWオブジェクトのダミー・オブジェクトを定義します。
a. 名前を付けます。
b. IPアドレス192.168.255.1を割り当てます。
c. プライマリSmartCenter NAT定義のアドレスを割り当てます。
d. [General Properties]ページの[Check Point Products]セクションで、[Secondary Management Station]と[Log Server]を選択します。
e. [Logs and Masters]で以下の操作を行います。
i. ダミー・オブジェクトをマスタとして定義します。
ii. ダミー・オブジェクトをログ・サーバとして定義します(ログ・サーバが別のコン ピュータ上にある場合は、2つの仮想オブジェクトを定義します)。