PowerPoint プレゼンテーション

(1)

GAiAインストールガイド -

Check Point R77

チェック・ポイント・ソフトウェア・テクノロジーズ(株)

(2)

アジェンダ

1

Check Point R77

アプライアンスへのインストール

2

VMwareへのインストール

3

IPアプライアンスへのインストール

4

(3)

3

変更履歴



Rev1 – R75.40ベースにて新規作成



Rev2 – R75.46ベースに改定



Rev3 – R76ベースに改定



Rev3a – vmnetのドライバー変更を削除ほか



Rev4 – R77ベースに改定

(4)

アジェンダ

1

Check Point R77

アプライアンスへのインストール

2

VMwareへのインストール

3

IPアプライアンスへのインストール

4

(5)

5

Check Point R77での新機能



Threat Emulation Software Blade

– Sandbox技術を利用し、未知の攻撃からの防御を提供



– SmartConsoleからGAiAの集中管理が可能 – クラスタリングされているGAiA環境を自動的に同期 – 必要であれば、自動的にOSのアップデートを実行



Identity Awarenessの改善 – RADIUSのサポートや、Agentの配布やインストールを改善



Endpoint Security

– Endpoint Security Serverの機能を統合



その他、多数の新機能を搭載！

(6)

Check Point R77の入手



sk92965からISOイメージをダウンロードします

– Fresh InstallationからGAiAのISOイメージをダウンロードします

– アプライアンスやオープンサーバーも、すべて同じISOイメージです



ISOイメージをDVDに焼きます – USBメモリーからインストールする場合は、sk65205を参照してください – USBメモリーによってはブートできないものもあります – VMwareにインストールする場合はISOイメージから直接インストールできます – DVDメディアに焼く必要はありません



インストール後、15日間はフル機能の評価ができます – 継続して評価が必要な場合は、₁ヶ月の評価ライセンスの入手が必要

(7)

7

アジェンダ

1

Check Point R77

アプライアンスへのインストール

2

VMwareへのインストール

3

IPアプライアンスへのインストール

4

(8)

アプライアンスへのインストール(1)



USB接続のDVDドライブを用意します – 認識されないドライブもありますのでご注意ください



DVDドライブにISOイメージを焼いたDVDをセットし、アプライアンスのUSBポートに接続します



シリアルコンソールにコンソールケーブルを接続し、ターミナルソフトから参照できるようにします

– 9600bps/8bit/No Parity/1 stop bit

(9)

9

アプライアンスへのインストール(2)



DVDドライブからBoot出来ると「Welcome to Check Point Gaia」

「Press any key to start installation」と表示されますので、60秒以

内に何かキーを押せばインストールが始まります

– 60秒以内にキーを押さなかった場合は、ローカルのハードディスクから

Bootします

[Protected] For public distribution

Welcome to Check Point Gaia

Press any key to start installation

(10)

アプライアンスへのインストール(3)



インストール作業はすべて自動的に行われます



「You may safely reboot your system」と表示されれば終了です



アプライアンスの電源を切り、DVDドライブをUSBから取り外します



再度、電源を入れローカルのハードディスクからBootします： /mnt/sysimage/tmp/fcd_GAIA/dev done /mnt/sysimage/tmp/fcd_GAIA done /mnt/sysimage/var/log done /mnt/sysimage/dev done /mnt/sysimage done

(11)

11

PCとのネットワーク接続



アプライアンスのINTまたはMGMTポートとPCをイーサーネットケーブルで接続します(Auto MDI-Xなのでストレートケーブルで接続可能)



PCのネットワークインターフェイスに、IPアドレス：192.168.1.x(ｘは 2~254までの任意)、サブネットマスク：255.255.255.0を設定します



デフォルト・ゲートウェイは特に設定しなくても構いませんが、 192.168.1.1を設定しておいてもいいでしょう



準備ができたら、アプライアンスの電源を入れます



アプライアンスが起動したら、「https://192.168.1.1/」にブラウザからアクセスします



証明書のエラーが出ますが、無視して続行してください

(12)

First Time Configuration Wizard(1)



ブラウザから正常に接続できると、ポータル画面が表示されます



コマンドラインからの初期設定はできなくなっていますのでご注意ください



初期のユーザ名：admin、パスワード： adminでログインします

(13)

13

First Time Configuration Wizard(2)



ログインすると、First Time Configuration Wizardが開始されます



Cancelすることも可能ですが、Wizardを完了することをお勧めしま

す

(14)

First Time Configuration Wizard(3)



OSのパスワードを設定し直します(初期値はadminでした)

(15)

15

First Time Configuration Wizard(4)



INTまたはMGMTインターフェイスのIPアドレスを設定、変更します

(16)

First Time Configuration Wizard(4-a)



IPアドレスを変更し、Nextをクリックすると以下のダイアログが出ます



設定したIPアドレスをインターフェスに割り当てましたが、ブラウザの接続性を保つために、デフォルトの_IPアドレス_{(192.168.1.1)}はセカンダリーIP(Alias)として残してあります



Wizard終了後に、新しいIPアドレスでアクセスできるのを確認してから、セカンダリーIPを削除してください

(17)

17

First Time Configuration Wizard(5)



ホスト名、ドメイン名(任意)、DNSサーバのアドレスを設定します



ホスト名を後から変更するのは大変なので、慎重に決定します

(18)

First Time Configuration Wizard(6)



おおよその日時とタイムゾーンを設定します



NTPサーバを使う場合は、インターネット接続が可能になってから設

(19)

19

First Time Configuration Wizard(7)



インストールするプロダクトを選択します



アプライアンスの場合Security Gatewayは外せません(Smart-1は

除きます)



冗長化構成の場合は、冗長化構成のタイプ等を設定してください

(20)

First Time Configuration Wizard(8-a)



Security Gatewayのみを選択した場合のみです



動的IP（DHCPやPPPoEなど）を使ってIPアドレスを設定する場合は

(21)

21

First Time Configuration Wizard(8-b)



SICのアクティベーションキーを入力します(ワンタイムパスワードな

ので、SICが確立すれば、以後利用することはありません)

(22)

First Time Configuration Wizard(9)



Security Managementのインストールを選択した場合、管理者の設

定を行います(SmartDashboardにて入力するユーザ名/パスワード)

(23)

23

First Time Configuration Wizard(10)



Security Managementのインストールを選択した場合、 GUI

Clients(SmartDashboardなど)の接続を許可するIPアドレスを設定

します



指定したIPアドレスをもつPC以外からGUIの接続はできなくなります

(24)

First Time Configuration Wizard(11)



この画面はアプライアンスによって異なります



インターネット経由でUserCenterにアクセス出来る場合、必要なライセンスをここで投入することができます



評価目的等であれば、Activate laterを選択して次に進んでください後からでも評価、または正規ライセンスを入れることが出来ます

(25)

25

First Time Configuration Wizard(12)



以上で初期設定は終わり、Finishをクリックし確認のためのメッセー

ジが出ますので、Yesをクリックすれば設定が反映されます

(26)

First Time Configuration Wizard(13)

(27)

27

セカンダリーIPの削除(1)



初期設定完了後は、まだセカンダリーIPが設定されているため、初

期値の192.168.1.1に対してアクセスしています



Sign Outをクリックして、Portalからログアウトします

(28)

セカンダリーIPの削除(2)



PCのIPアドレスを変更し、新たに割り当てたIPアドレスでポータルに

(29)

29

セカンダリーIPの削除(3)



ログイン出来るのを確認したら、Network Interfacesからセカンダ

リーIPを削除します

(30)

セカンダリーIPの削除(4)



Deleteをクリックすると、確認のダイアログが出てきますので、OKをクリックし設定を完了させます



以上で、最低限の初期設定は終了です – 引続き、OSの設定を行なってください – その他インターフェスへのIPアドレスの付与 – ルーティングの設定 – NTPの設定 – 必要であれば冗長化の設定 – ライセンスの投入、アクティベーション – バックアップの作成

(31)

31

アジェンダ

1

Check Point R77

アプライアンスへのインストール

2

VMwareへのインストール

3

IPアプライアンスへのインストール

4

(32)

VMwareの準備



評価目的でVMware上で稼働させることが可能です

– 実際にサポートされる環境は下記でご確認ください

– http://www.checkpoint.com/services/techsupport/hcl/index.html



VMware Workstation又は、VMware Playerをインストールしておき

ます(本来サポートされるのはESXi環境ですがここでは省略します)



ipconfig等を使って、事前にVMネットワーク構成を把握しておいてく

ださい



VMware Playerの場合、vmnetcfg.exeを別途導入しておくと便利で

す

(33)

33

VMの作成(1)



VMware Playerを起動し、新規仮想マシンの作成を選択します



インストーラーディスクイメージとして、ダウンロードしたISOイメージ

を指定します

(34)

VMの作成(2)



ゲストOSはLinuxから「Red Hat Enterprise Linux 5 64 ビット」を選

(35)

35

VMの作成(3)



任意の仮想マシン名と、保存する場所を選択します

(36)

VMの作成(4)

(37)

37

VMの作成(5)



「この仮想マシンを作成後にパワーオンする」のチェックを外して、完

了をクリックします

(38)

VMの作成(6)

(39)

39

VMの作成(7)



ウイザードでの仮想マシン作成直後は下記のようになっています



この状態から、使いやすいようにチューニングします

(40)

VMの作成(8)



メモリーは1.5GB以上(推奨2GB)、プロセッサーは1又は2



フロッピー、USBコントローラ、サウンドカード、プリンタは削除します

(41)

41

VMの作成(9)



Gateway型で設定する場合、ネットワークアダプタを追加します



追加したネットワークアダプタをInternal(内側ネットワーク)として利用

します

(42)

VMの作成(10)



Internal(内側のネットワーク)として利用する場合は、外部に接続す

(43)

43

VMの作成(11)



下記のような状態になれば、最低限のチューニングは終了です



ネットワークアダプタが2つ以上必要な場合は、それぞれ追加してく

ださい

(44)

GAiAのインストール(1)

 ISOイメージからBootすると、以下の状態になります

 60秒以内に操作しなかった場合、ローカルのハードディスクからBootしま

す(空の状態なので何も起こらないはずです)



VMware toolのインストールダイアログが出た場合は、「後で」を選択しま

(45)

45

GAiAのインストール(2)



矢印の上下を使って「Install Gaia on this system」を選択し、リター

ンキーを押します

(46)

GAiAのインストール(3)



インストール作業を行う旨の確認メッセージがでますので、OKでリ

(47)

47

GAiAのインストール(4)

 キーボードのタイプを指定します



jのキーを押すと、jから始まるところに素早く移動できます



パスワードに記号などが必要になりますので、正しいタイプを指定してくだ

さい

(48)

GAiAのインストール(5)



パーティションサイズを決定します



System-rootは最低6GB確保してください



OSのスナップショット機能を使わないのであれば、Backup images

(49)

49

GAiAのインストール(6)



adminユーザのパスワードを設定します



英数字、記号を混在させて、結果がStrongになるようにしてください

(50)

GAiAのインストール(7)

 マネージメントポートを指定します



このポートに対して、次のステップでIPアドレスを付与します

(51)

51

GAiAのインストール(8)



マネージメントポートに指定したインターフェスに対して、IPアドレスを

付与します



初期セットアップのためのIPアドレスで、後で変更することも可能で

す

(52)

GAiAのインストール(9)



入力した設定を反映させ、インストール作業を開始する確認画面に

なります



OKでリターンキーを押すと、(バーチャル)ハードディスクの内容はす

(53)

53

GAiAのインストール(10)



インストールが正常に終了しましたので、リターンキーを押して

Rebootします



ブラウザでアクセスするIPアドレスを忘れないでください

(54)

GAiAの起動



正常に起動すると、以下の状態になりますので、これ以降はブラウ

(55)

55

First Time Configuration Wizard(1)



インストール時に設定したIPアドレスに対して、ブラウザからhttpsで

アクセスします



ユーザ名：admin、パスワードはインストール時に設定したものでロ

グインします

(56)

First Time Configuration Wizard(2)



(57)

57

First Time Configuration Wizard(3)



マネージメントポートに指定したインターフェイスのIPアドレス(IPv6も

設定可能)を設定します(初期値はインストール時に指定したもの)

(58)

First Time Configuration Wizard(4)



IPアドレスを変更した場合、Nextをクリックすると以下のダイアログが出ます



設定した_IPアドレスをインターフェスに割り当てましたが、ブラウザの接続性を保つために、以前のIPアドレス(ここでは172.16.1.60)はセカンダリーIP(Alias)として残してあります



(59)

59

First Time Configuration Wizard(5)



(60)

First Time Configuration Wizard(6)



(61)

61

First Time Configuration Wizard(7)



Security Gateway又はSecurity Managementをインストールするの

か、Multi-Domain Server(旧Provider-1)をインストールするのか選

択します



ここではSecurity Gateway or Security Managementを選択します

(62)

First Time Configuration Wizard(8)



(63)

63

First Time Configuration Wizard(8-a)



前段のプロダクト選択において、Security Gatewayのみ選択した場

合、次の設定項目が追加されます

– ダイナミックIP(DHCPなどからIPを取得する)を利用するのか？

– SICのアクティベーションキーを入力します(ワンタイムパスワードなので、

SICが確立すれば、以後利用することはありません)

(64)

First Time Configuration Wizard(9)



定を行います(SmartDashboardにて入力するユーザ名/パスワード)

(65)

65

First Time Configuration Wizard(10)



Clients(SmartDashboard)の接続を許可するIPアドレスを設定しま

す



(66)

First Time Configuration Wizard(11)



(67)

67

First Time Configuration Wizard(12)



設定を完了するためにリブートが必要です



OKを押してリブートし、設定を完了します

– OKを押さなくても、60秒経つと自動的に再起動します

(68)

インストールの完了



再起動後、ポータルに再度ログインします



以上で、最低限の初期設定は終了です – 引続き、OSの設定を行なってください – その他インターフェスへのIPアドレスの付与 – ルーティングの設定 – NTPの設定 – 必要であれば冗長化の設定 – ライセンスの投入 – バックアップの作成 – Etc, etc...

(69)

69

アジェンダ

1

Check Point R77

アプライアンスへのインストール

2

VMwareへのインストール

3

IPアプライアンスへのインストール

4

(70)

IPアプライアンスの準備

 GAiAをサポートしているIPアプライアンスを準備します – IP150/IP280/IP290/IP390/IP560/IP690/IP1280/IP2450 – 64bitカーネルを利用するためには8GBのメモリーが必要です – IP1280とIP2450で利用することができます  R77のGAiAでは、フラッシュベース又はハイブリッドモードのプラットフォームはサポートしていません  事前にIPSO 6.2をインストールし、最低限1つのインターフェイスをセットアップしておきます – IPSO 6.2であれば、どのBuildでもインストールが可能です – インターフェイスのセットアップを行わないとインストールに失敗します  バックアップ等は事前に取得し、アプライアンス以外の場所で保管してください

(71)

71

ftpサーバの準備

 IPアプライアンスにGAiAをインストールする場合、別途ftpサーバが必要です – 100以上の同時セッションが接続できる必要があります – ftpサーバのOSはLinuxでもWindowsでも構いません – Linux OSを推奨します – Windowsの場合、ISOイメージ内のファイルをすべてコピーする必要がありま

すのでご注意ください(Installation and Upgrade Guideのドキュメントを参照)

 USBポートを搭載しているIPアプライアンスはUSBメモリーからのインストールも可能です  事前にプリセットしたftpサーバのVMwareイメージの用意があります – 入手希望の方は、弊社担当者にお問い合わせください  ここでは、事前に用意したVMware上のLinux(Ubuntu)からのインストール手順を記述してあります

– 個別に準備される場合は、Installation and Upgrade Guideのマニュアルを元

に準備してください

(72)

インストール環境



ここでは、以下の条件でGAiAの新規インストールを行うものとします



IPアプライアンスの設定 – eth1c0：192.168.1.1/24 – デフォルトゲートウェイ：_{192.168.1.254}



ftpサーバ(PC上のVMwareにて稼働) – ブリッジインターフェイス：192.168.1.254/24 – デフォルトゲートウェイ：192.168.1.1



IPアプライアンスとPCのブリッジインターフェイスをイーサネットケーブルで接続します 192.168.1.1/24 192.168.1.254/24

(73)

73

GAiAの新規インストール(1)



GAiAをインストールするためのパッケージをIPSOに導入します

– clishから導入します(太字の部分が入力するコマンドです)



エラーが無いことを確認して次に進みます

ip390[admin]# clish

NokiaIP390:1> add package media anonftp addr 192.168.1.254 name /Check_Point_Upgrade_R77_T237.IPSO6.2_to_Gaia.tgz Trying to install package: /opt/packages/Check_Point_Upgrade_R77_T237.IPSO6.2_to_Gaia.tgz

Package Information --

Name : IPSO to Gaia Upgrade Version : 1.29

Release : 2

Description: IPSO to Gaia Upgrade Package (1.29.2-6.2.B990000006.1)

Package will be installed under: /opt

Package installed and activated successfully. End of package installation.

NokiaIP390:2> exit ip390[admin]#

(74)

GAiAの新規インストール(2)

 パッケージのインストール後、新規インストールのスクリプトを実行します

(太字の部分が入力するコマンドで、オレンジは説明です)

ip390[admin]# cd /opt/CP-IPSO2GaiaUpgrade-1.29-2/

ip390[admin]# ./run-install-Gaia (新規インストール用のスクリプトを実行)

Welcome to the IPSO to Gaia Install/Upgrade procedure. Checking platform...OK

Checking IPSO OS version ...OK Checking hostname ...OK

You have selected to do an install and your settings will be lost. If you wanted to preserve the configuration in Gaia,

exit and run script 'run-upgrade-to-Gaia'. Do you want to continue with the install ? [n] y

========================================================= The following types of information are needed to prepare your IPSO appliance for the install:

(75)

75

GAiAの新規インストール(3)



続き

Answer the prompts for this info and then the install is performed. Hit 'Enter' to continue or Ctrl-C to exit

[Enter] (Enterキーを押してインストールを続行します)

========================================================= Info for download of the Gaia image:

IP address of FTP server []: 192.168.1.254 (ftpサーバーのIPアドレスを入力します)

User name []: ftp (ftpサーバーのユーザ名を入力します)

Password []: **** (ftpサーバーのパスワードを入れますがAnonymousなので適当に入力)

Directory (full pathname) []: /gaia

Performing tests to access FTP server and Gaia ISO Checking route to 192.168.1.254 ... OK

Interface: eth1 speed 1000M, duplex full

Checking FTP access with given credentials ... OK Checking FTP access to /gaia ... OK

Checking directory /gaia ... OK

Checking directory /gaia is Gaia ISO ... OK

Checking multiple simultaneous connections to 192.168.1.254 ... OK Checking timeout to 192.168.1.254 ... OK

Checking FTP access to files downloaded by Gaia boot-manager system/ramdisk.pxe ... OK

(76)

GAiAの新規インストール(4)



続き

========================================================= A complete backup of the IPSO system can performed

including system configuration, user home directories, log files and files from packages.

IPSO directories for backup use 1 MB

Directories for Check Point packages use 536 MB

Do you want to perform this backup ? [y] n (今回はバックアップを取らない)

---

Information for download of the Gaia image: FTP Server IP Address = 192.168.1.254 FTP Server user name = ftp

Directory on FTP Server = /gaia

Are these values correct? [y] y (インストール情報が正しいか確認)

Writing values to file

(77)

77

GAiAの新規インストール(5)



続き



再起動後もインストール作業が続きますので、ftpサーバは起動した

まま、構成を変えずにそのままでインストール作業を続行してください

IP appliance reboots automatically in 30 seconds to complete the install. Do nothing to continue or hit 'Enter' to abort.[Enter]

Aborted. (30秒待つ必要は無いのでEnterでAbortする)

When you are ready to proceed with the install,use the 'reboot' command.

(78)

GAiAの新規インストール(1)



再起動後、再度ftpサーバーに接続し、自動的にGAiAのインストー

ルが再開されます

(79)

79

GAiAの起動



正常にインストールされると、以下の状態になりますので、これ以降

はブラウザを使って設定していきます

(80)

First Time Configuration Wizard(1)



ブラウザからhttpsで最後に設定したIPアドレスにアクセスすると、ポータル画面が表示されます – 証明書の警告は無視してください



コマンドラインからの初期設定はできなくなっていますのでご注意ください



初期のユーザ名：admin、パスワード： adminでログインします

(81)

81

First Time Configuration Wizard(2)



す

(82)

First Time Configuration Wizard(3)



OSのパスワードを設定し直します(初期値はadminでした)

(83)

83

First Time Configuration Wizard(4)



eth1(インストールに使った)インターフェイスのIPアドレスを設定、変

更します

(84)

First Time Configuration Wizard(5)



IPアドレスを変更し、Nextをクリックすると以下のダイアログが出ます



設定したIPアドレスをインターフェスに割り当てましたが、ブラウザの接続性を保つために、デフォルトの_IPアドレス_{(192.168.1.1)}はセカンダリーIP(Alias)として残してあります



(85)

85

First Time Configuration Wizard(6)



(86)

First Time Configuration Wizard(7)



(87)

87

First Time Configuration Wizard(8)



IPアプライアンスの場合のSecurity Managementは、アップグレード

の場合のみ認められています



冗長化構成の場合は、冗長化構成のタイプ等を設定してください

(88)

First Time Configuration Wizard(8-a)



動的IP（DHCPやPPPoEなど）を使ってIPアドレスを設定する場合は

(89)

89

First Time Configuration Wizard(8-b)



SICのアクティベーションキーを入力します(ワンタイムパスワードな

ので、SICが確立すれば、以後利用することはありません)

(90)

First Time Configuration Wizard(9)



定を行います

(91)

91

First Time Configuration Wizard(10)



Clients(SmartDashboard)の接続を許可するIPアドレスを設定しま

す



(92)

First Time Configuration Wizard(12)



(93)

93

First Time Configuration Wizard(13)



設定の反映が正常に終了しました

(94)

セカンダリーIPの削除(1)



初期設定完了後は、まだセカンダリーIPが設定されているため、初

期値の192.168.1.1に対してアクセスしています



Sign Outをクリックして、Portalからログアウトします

(95)

95

セカンダリーIPの削除(2)



PCのIPアドレスを変更し、新たに割り当てたIPアドレスでポータルに

再ログインします

(96)

セカンダリーIPの削除(3)



ログイン出来るのを確認したら、Network Interfacesからセカンダ

(97)

97

セカンダリーIPの削除(4)



Deleteをクリックすると、確認のダイアログが出てきますので、OKをクリックし設定を完了させます



以上で、最低限の初期設定は終了です – 引続き、OSの設定を行なってください – その他インターフェスへのIPアドレスの付与 – ルーティングの設定 – NTPの設定 – 必要であれば冗長化の設定 – ライセンスの投入 – バックアップの作成 – Etc, etc...

(98)