1.安全なコンピュータ上に SecureClient をインストールします。
2.Integrity クライアント インストーラ パッケージを同じ安全なコンピュータに配備してイ
ンストールし、Integrity クライアント (Integrity Agent または Integrity Flex) を起動しま す。Integrity サーバが起動されると、Integrity クライアントが自動的にデフォルトのポリ シーまたは割り当てられたポリシーをダウンロードして実装します。
3.プログラムの確認を設定します。
a Integrity サーバ管理者コンソールで、[Program Rules (プログラム規則)] ページを開きます ([Policies (ポリシー)] - <ポリシーを選択> - [Edit (編集)] - [Program Rules (プログラム 規則)])。
b [Record program activity (プログラムの活動を記録)] チェック ボックスをオンにし、
[Observation period (観察間隔)] を 120 に設定します。
アプリケーション Act as Client (トラスト)
Act as Client (Internet)
Act as Server (トラスト)
Act as Server
(インター
ネット)
SR_SERVICE.EXE 許可 許可 許可 ブロック
SR_GUI.EXE 許可 許可 許可 ブロック
SCC.EXE 許可 許可 許可 ブロック
SR_SDS.EXE 許可 許可 ブロック ブロック
SR_DIAGNOSTICS.EXE 許可 許可 ブロック ブロック
c [Client Settings (クライアント設定)] タブをクリックします。
d [Heartbeat frequency (ハートビート間隔)] と [Log transfer frequency (ログ送信間隔)]
を High に設定します。
4.ポリシーを配備します。
5.安全なコンピュータ上で SecureClient を起動し、Integrity が実行可能ファイルを観察で きるようにします。実行可能ファイルは Integrity サーバ プログラム マネージャに表示さ れ、ポリシーに追加することができます。
6.SecureClient アイコンを右クリックして、[Launch SecureClient Diagnostics (SecureClient Diagnostics を起動)] を選択します。
7.CLI ユーザの場合は、SCC コマンド ラインを使用して接続します。
8.ソフトウェア配布サービスのユーザは、ソフトウェア配布エージェントを起動します。
エンタープライズ ポリシーの設定
Integrity サーバを使用して、各 SecureClient が VPN サーバと通信できるようにするポリ
シーを作成します。
エンタープライズ ポリシーを設定するには:
1.Integrity サーバで、SecureClient 実行可能ファイルに必要な許可を与えるポリシーを作成
します。
a Integrity 管理者コンソールで、[Policies (ポリシー)] をクリックします。
b ポリシーをリストから選択して、[Edit (編集)] をクリックします。
c [Program Rules (プログラム規則)] タブをクリックします。
d [Add (追加)] をクリックします。
e [All Programs (すべてのプログラム)] をクリックします。
f リストから以下のプログラムを選択して、[Add (追加)] をクリックします。
SR_SERVICE.EXE
SR_GUI.EXE
デフォルトのポリシーが多数のクライアントで使用されている環境では、デフォルトのポ リシー内でプログラムの観察を有効にするのはお勧めしません。 理由は、帯域幅とデータ ベースの使用率が大幅に上昇してしまう可能性があるためです。こうした環境では、安全 なリファレンス コンピュータにDiscoveryモード ポリシーを割り当てることを検討してく ださい。
íçà”
実行可能ファイルの観察を終えたら、プログラム観察を必ずオフにしてください。
SCC.EXE
SR_SDS.EXE
SR_DIAGNOSTICS.EXE
g [Allow Internet (インターネットを許可)] および [Allow Trusted (トラストを許可)] の チェックボックスを、36ページの「プログラム規則」に従ってオン/オフにします。
2.Check Point VPN をトラスト ゾーンに追加します。
a [Access Zones (アクセス ゾーン)] タブをクリックします。
b [Add (追加)] をクリックします。
c [Adding a new Source/Destination (新規発信元/送信先を追加)] をドロップ ダウン リ ストから選択します。
d フィールドに、Check Point VPN サーバの情報を記入します。複数のサーバがある場合 には、複数のエントリの追加が必要な場合もあります。
e [Add (追加)] をクリックします。
3.手順 2 を Office Mode IP アドレスとすべてのゲートウェイおよびポリシー サーバについ て繰り返します。
ポリシー ファイルのパッケージ化
ポリシーの設定が完了したら、Integrity Flex または Integrity Agent インストール パッケージ にこのポリシーを追加することができます。SecureClient ユーザが Integrity クライアントを インストールするときは、ポリシーは自動的に SecureClient の Check Point VPN へのアクセ スを許可します。
Integrity Flex または Integrity Agent に設定ファイルをパッケージするには:
1.ポリシーをバンドルするインストーラ パッケージのディレクトリに、extras という名前 のディレクトリを作成します。例:
c:\Program Files\Zone
Labs\Integrity\jakarta-tomcat-4.0.1\webapps\integrity\package\Integrity_Flex_US_5_0_556_026\extras
2.管理者コンソールを使用して、作成したエンタープライズ ポリシーを extras ディレクト リにエクスポートします。
a [Policies (ポリシー)]を選択します。
観察する実行可能ファイルは、インストールした SecureClient のバージョンによって異な ります。上記のすべての実行可能ファイルを観察できるとは限りません。
ポリシーを Integrity Flex インストーラ パッケージに含める前に、ポリシーの [Client Settings (クライアント設定)] タブで [Enforce enterprise policies only (エンタープライズ ポリシーのみを施行)] が選択されていることを確認します。
b 作成したポリシーを選択します。
c [Export:XML format (XML フォーマットでエクスポート)] をクリックします。
d [Save (保存)] をクリックして作成した extras ディレクトリに移動し、ファイルに
CPpolicy.xml という名前を付けて保存します。
3.Integrity Advanced Server で、[Client Functions (クライアント機能)] - [Client Packager ( クライアント パッケージャ)] を選択します。
4.[New (新規作成)] をクリックします。
5.[Package Details (パッケージの詳細)] 領域に、新しいパッケージの名前を入力します。
6.[Product Information (製品情報)] 領域に、パッケージ情報を入力します。
a Integrity クライアントのタイプを選択します。
b Integrity クライアント インストーラ ファイルを選択します。
c 製品のバージョン番号を入力します。
d [Add SecureClient installer file to package (SecureClient インストーラ ファイルをパッ ケージに追加)] を選択し、SecureClient インストーラ ファイルを指定します。
7.[Install Parameters (インストール パラメータ)] 領域に、適切な情報を入力します。
a [Install Directory (インストール ディレクトリ)] には、クライアントをインストールしたい場 所を入力します。
b [Additional Parameters (追加パラメータ)] フィールドに、以下のように入力します。
POLICYFILE=”$temp$\CPPolicy.xml”
8.必要に応じて、[New Package (新規パッケージ)] 画面の残りの部分を入力します。
9. [Save (保存)] をクリックしてインストールパッケージを保存します。
これで、新しいインストール パッケージを正常に配布できるようになりました。
インストール パッケージの使用に関するその他の情報については、『Integrity のインス トールおよび設定ガイド』を参照してください。
Cisco VPN 3000 シリーズ コンセントレータ イン テグレーション
イントロダクション
この章では、Cisco VPN シリーズ コンセントレータ (Cisco コンセントレータ) で協調施行機 能を有効にする設定方法について説明します。
ここで説明する内容は、すでに Cisco VPN 3000 シリーズ コンセントレータのインストール と設定が終了していることを前提としています。詳細については、『Cisco コンセントレー タ インストール ガイド』を参照してください。
またこの章では、『Integrity Advanced Server 管理者ガイド』に記載されている協調施行設 定の手順をすでに完了していることを前提としています。
この章は、以下のセクションで構成されています。
41ページの「要件」
42ページの「Cisco VPN 3000 シリーズ コンセントレータ の Integrity との統合」
44ページの「Integrity クライアントの設定」
49ページの「トラブルシューティング」
要件
システム要件
Cisco コンセントレータを Integrity Advanced Server とともに使用するために必要な一般的 なコンポーネントを下記に示します。 システム要件およびバージョン情報の詳細について は、Integrity Advanced Server のシステム要件のドキュメントを参照してください。
Check Point Integrity サーバ
Integrity クライアント
Cisco VPN 3000 シリーズ コンセントレータ
Cisco VPN クライアント
Cisco のクラスタリング オプションまたは Integrity Advanced Serverのクラスタリング オ プションのいずれか一方のみを使用できます。 これらの両方を使用することはできません。
Cisco VPN 3000 シ リ ー ズ コ ン セ ン ト レ ー タ の Integrity との統合
以下の手順に従って、Cisco コンセントレータを Integrity サーバに統合します。