ファイアウォールと smartdefense · secure wireless router、zone labs、およびzone labs...

ファイアウォールと SmartDefense

NGX R65 バージョン

703065 2007 年 7 月 2 日

© 2003-2007 Check Point Software Technologies Ltd.

All rights reserved. 本製品および関連ドキュメントは著作権法によって保護されており、その使用、複写、逆コンパイルを制限するライセンス契約に基づいて配布

されています。本製品または関連ドキュメントのいかなる部分も、チェック・ポイントの書面による事前承諾を得ない限り、いかなる形態や方法によっても複製

することはできません。本マニュアルを製作するにあたっては細心の注意が払われていますが、チェック・ポイントはいかなる誤りまたは欠落に対しても一切責

任を負いません。本マニュアルおよびその記述内容は、予告なく変更される場合があります。

権利の制限

米国政府による本製品の使用、複写、または開示は、DFARS（連邦国防調達規定）252.227-7013 および FAR（連邦調達規定）52.227-19 の技術データおよびコ

ンピュータ・ソフトウェアに関する権利条項（c）（1）（ii）により制限されます。

商標

2003-2007 Check Point Software Technologies Ltd. All rights reserved.Check Point、AlertAdvisor、Application Intelligence、Check Point Endpoint Security、CheckPoint Express、Check Point Express CI、Check Point のロゴ、ClusterXL、Confidence Indexing、ConnectControl、Connectra、Connectra Accelerator Card、CooperativeEnforcement、Cooperative Security Alliance、CoreXL、CoSa、DefenseNet、Dynamic Shielding Architecture、Eventia、Eventia Analyzer、Eventia Reporter、EventiaSuite、FireWall-1、FireWall-1 GX、FireWall-1 SecureServer、FloodGate-1、Hacker ID、Hybrid Detection Engine、IMsecure、INSPECT、INSPECT XL、Integrity、Integrity Clientless Security、Integrity SecureClient、InterSpect、IPS-1、IQ Engine、MailSafe、NG、NGX、Open Security Extension、OPSEC、OSFirewall、Pointsec、Pointsec Mobile、Pointsec PC、Pointsec Protector、Policy Lifecycle Management、Provider-1、PURE Security、puresecurity のロゴ、Safe@Home、Safe@Office、SecureClient、SecureClient Mobile、SecureKnowledge、SecurePlatform、SecurePlatform Pro、SecuRemote、SecureServer、SecureUpdate、SecureXL、SecureXLTurbocard、Security Management Portal、Sentivist, SiteManager-1、SmartCenter、SmartCenter Express、SmartCenter Power、SmartCenter Pro、SmartCenterUTM、SmartConsole、SmartDashboard、SmartDefense、SmartDefense Advisor、Smarter Security、SmartLSM、SmartMap、SmartPortal、SmartUpdate、SmartView、

SmartView Monitor、SmartView Reporter、SmartView Status、SmartViewTracker、SMP、SMP On-Demand、SofaWare、SSL Network Extender、Stateful Clustering、TrueVector、Turbocard、UAM、UserAuthority、User-to-Address Mapping、UTM-1、UTM-1 Edge、VPN-1、VPN-1 Accelerator Card、VPN-1 Edge、VPN-1 Express、VPN-1 Express CI、VPN-1 Power、VPN-1 Power VSX、VPN-1 Pro、VPN-1 SecureClient、VPN-1 SecuRemote、VPN-1 SecureServer、VPN-1 UTM、VPN-1 VSX、Web Intelligence、ZoneAlarm、ZoneAlarm Anti-Spyware、ZoneAlarm Antivirus、ZoneAlarm ForceField、ZoneAlarm Internet Security Suite、ZoneAlarm Pro、ZoneAlarmSecure Wireless Router、Zone Labs、および Zone Labs のロゴは、Check Point Software Technologies Ltd. あるいはその関連会社の商標または登録商標です。

ZoneAlarm is a Check Point Software Technologies, Inc. Company. 本書に記載されているその他の製品名は、各所有者の商標または商標登録です。本書に記載さ

れた製品は米国の特許 No. 5,606,668、5,835,726、5,987,611、6,496,935、6,873,988、6,850,943 および 7,165,076 により保護されています。また、その他の米

国における特許やその他の国における特許で保護されているか、出願中の可能性があります。

サード・パーティの商標および著作権については、以下の項を参照してください。サード・パーティの商標および著作権

目次 5

目次

序文本書の対象読者......................................................................................................... 16本書の内容................................................................................................................ 17

セクション 1：ネットワーク・アクセス ............................................................ 17セクション 2：接続性 ......................................................................................... 18セクション 3： SmartDefense............................................................................. 19セクション 4： Application Intelligence ............................................................... 20セクション 5： Web セキュリティ ...................................................................... 21セクション 6：付録............................................................................................. 21

関連ドキュメント ..................................................................................................... 22関連情報 ................................................................................................................... 25ドキュメントに関するご意見 ................................................................................... 26

ネットワーク・アクセス

第 1 章アクセス制御アクセス制御の必要性.............................................................................................. 30安全なアクセス制御のためのソリューション.......................................................... 31

ネットワークの境界におけるアクセス制御 ........................................................ 31ルール・ベース ................................................................................................... 32アクセス制御ルールの例..................................................................................... 33ルール・ベース要素 ............................................................................................ 33暗黙ルール .......................................................................................................... 34IP スプーフィングの防止 .................................................................................... 35マルチキャスト・アクセス制御 .......................................................................... 37協調施行 .............................................................................................................. 40End Point Quarantine（EPQ）- Intel® AMT....................................................... 42

アクセス制御に関する特別な考慮事項..................................................................... 43スプーフィング保護 ............................................................................................ 43簡潔性.................................................................................................................. 43基本ルール .......................................................................................................... 44ルールの順序 ....................................................................................................... 44トポロジに関する考慮事項： DMZ...................................................................... 44X11 サービス....................................................................................................... 45暗黙ルールの編集................................................................................................ 45

アクセス制御の設定 ................................................................................................. 46アクセス制御ルールの定義 ................................................................................. 46

6

基本的なアクセス制御ポリシーの定義 ............................................................... 47アンチ・スプーフィングの設定 .......................................................................... 48マルチキャスト・アクセス制御の設定 ............................................................... 49協調施行の設定 ................................................................................................... 51End Point Quarantine（EPQ）- Intel® AMT の設定 ........................................... 51EPQ の有効化...................................................................................................... 51接続認証データ ................................................................................................... 52ポリシー・データの隔離 ..................................................................................... 53パスワードの暗号化 ............................................................................................ 54不正な行動に対するスクリプトと警告 ............................................................... 54アクティビティのログ記録 ................................................................................. 56手動によるコンピュータの隔離 .......................................................................... 56

第 2 章認証認証の必要性 ............................................................................................................ 58認証のための VPN-1 ソリューション....................................................................... 59

VPN-1 認証の概要 ............................................................................................... 59認証スキーム ....................................................................................................... 60認証方式 .............................................................................................................. 62

認証の設定................................................................................................................ 71ユーザとグループの作成 ..................................................................................... 71ユーザ認証の設定................................................................................................ 73セッション認証の設定 ........................................................................................ 74クライアント認証の設定 ..................................................................................... 78認証トラッキングの設定 ..................................................................................... 84VPN-1 ゲートウェイの RADIUS 使用の設定 ...................................................... 85RADIUS サーバ・グループを使用したユーザ・アクセス権の付与 .................... 87RADIUS サーバと VPN-1 ゲートウェイの関連付け............................................ 88VPN-1 ゲートウェイの SecurID 使用の設定 ....................................................... 89VPN-1 ゲートウェイの TACACS+ 使用の設定 ................................................... 91Windows ユーザ・グループ用のポリシーの設定................................................ 92

接続性

第 3 章ネットワーク・アドレス変換（NAT） IP アドレスを隠蔽することの必要性 ....................................................................... 96チェック・ポイント・ソリューションによるネットワーク・アドレス変換 ........... 97

パブリックおよびプライベート IP アドレス ...................................................... 97VPN-1 の NAT ..................................................................................................... 98Static NAT ........................................................................................................... 99Hide NAT........................................................................................................... 100

目次 7

自動および手動 NAT ルール ............................................................................. 101内部ネットワーク用の自動 Hide NAT............................................................... 102アドレス変換ルール・ベース............................................................................ 103双方向 NAT........................................................................................................ 104自動生成ルールについて................................................................................... 105ポート変換 ........................................................................................................ 107NAT とアンチ・スプーフィング ....................................................................... 107ルーティングの問題 .......................................................................................... 107VPN トンネルでの NAT の無効化 ..................................................................... 109

NAT の計画での考慮事項 ....................................................................................... 110Hide 対 Static..................................................................................................... 110自動ルールと手動ルール................................................................................... 110Hide NAT による隠匿アドレスの選択............................................................... 111

NAT の設定 ............................................................................................................. 112NAT 設定の一般的な手順 .................................................................................. 112基本設定（ネットワーク・ノードの Hide NAT）.............................................. 113設定例（Static NAT と Hide NAT）.................................................................... 114設定例（ポート変換に手動ルールを使用する）................................................. 116内部ネットワーク用の自動 Hide NAT の設定 ................................................... 117

NAT の詳細設定...................................................................................................... 118異なるゲートウェイ・インタフェース上の変換されたオブジェクト間の

通信の許可...................................................................................................... 118重複 IP アドレスを使用する内部ネットワーク間通信の有効化........................ 119NAT の背後の SmartCenter............................................................................... 123IP プール NAT ................................................................................................... 127

第 4 章 ISP の冗長性 ISP リンクの冗長性の必要性 ................................................................................. 134ISP リンクの冗長性のためのソリューション ........................................................ 135

ISP の冗長性の概要........................................................................................... 135ISP の冗長性の動作モード................................................................................ 136ISP リンクの監視 .............................................................................................. 137ISP の冗長性の仕組み ....................................................................................... 137ISP の冗長性スクリプト ................................................................................... 139リンクのステータスの手動変更（fw isp_link）.................................................. 139ISP の冗長性の導入........................................................................................... 140ISP の冗長性と VPN ......................................................................................... 144

ISP リンクの冗長性に関する考慮事項 ................................................................... 146導入方法の選択 ................................................................................................. 146冗長性モードの選択 .......................................................................................... 146

ISP リンクの冗長性の設定 ..................................................................................... 147ISP リンクの冗長性の設定について ................................................................. 147ドメインの登録と IP アドレスの取得 ............................................................... 147

8

着信接続のための DNS サーバの設定............................................................... 148着信接続のためのダイヤルアップ・リンクの設定 ........................................... 149SmartDashboard の設定.................................................................................... 149ISP の冗長性ゲートウェイのデフォルト・ルートの設定 ................................. 152

第 5 章 ConnectControl - サーバの負荷分散サーバの負荷分散の必要性..................................................................................... 154サーバの負荷分散のための ConnectControl ソリューション................................. 155

ConnectControl について .................................................................................. 155負荷分散方式 ..................................................................................................... 156ConnectControl のパケットの流れ.................................................................... 157論理サーバのタイプ .......................................................................................... 157永続サーバ・モード .......................................................................................... 160サーバの可用性 ................................................................................................. 162負荷の測定 ........................................................................................................ 162

ConnectControl の設定 ........................................................................................... 163

第 6 章ブリッジ・モードブリッジ・モードについて..................................................................................... 166

ブリッジ・モードの制限 ................................................................................... 167ブリッジ・モードのゲートウェイの管理.......................................................... 167

ブリッジ・モードの設定 ........................................................................................ 168インタフェースのブリッジ ............................................................................... 168アンチ・スプーフィングの設定 ........................................................................ 169ブリッジ設定の表示 .......................................................................................... 169

SmartDefense

第 7 章 SmartDefense SmartDefense の必要性 ......................................................................................... 174SmartDefense ソリューション............................................................................... 175

SmartDefense について .................................................................................... 175次世代の脅威に対する防御 ............................................................................... 176ネットワーク層とトランスポート層................................................................. 177Web 攻撃の保護 ................................................................................................ 177SmartDefense の機能........................................................................................ 178オンライン・アップデート ............................................................................... 179SmartDefense 機能の分類................................................................................. 179SmartDefense プロファイル ............................................................................. 181Monitor-Only モード .......................................................................................... 182

目次 9

Network Security..................................................................................................... 183SmartDefense 保護機能に対する日本語のサポート ......................................... 183SmartDefense の単一プロファイル・ビュー.................................................... 184Denial of Service ............................................................................................... 185IP および ICMP ................................................................................................. 186TCP ................................................................................................................... 186Fingerprint Scrambling ...................................................................................... 187Successive Events ............................................................................................ 187DShield Storm Center ....................................................................................... 187Port Scan........................................................................................................... 188Dynamic Ports ................................................................................................... 188

Application Intelligence ........................................................................................... 189Mail .................................................................................................................... 189FTP.................................................................................................................... 189Microsoft Networks............................................................................................ 189Peer-to-Peer...................................................................................................... 190Instant Messengers ........................................................................................... 190DNS................................................................................................................... 190VoIP................................................................................................................... 190SNMP ................................................................................................................ 191

Web Intelligence ..................................................................................................... 192Web Intelligence の保護機能 ............................................................................. 192Web Intelligence の技術 .................................................................................... 193Web Intelligence と ClusterXL ゲートウェイ・クラスタ .................................. 193Web コンテンツの保護 ..................................................................................... 194カスタマイズ可能なエラー・ページ................................................................. 194接続性とセキュリティの考慮事項 .................................................................... 195Web セキュリティのパフォーマンスについての考慮事項 ............................... 197HTTP プロトコル・インスペクションの下位互換性オプション ...................... 199Web Intelligence ライセンスの実施 .................................................................. 200HTTP セッション、接続、および URL について ............................................. 201

SmartDefense の設定 ............................................................................................. 204新の防御機能での SmartDefense アップデート............................................ 204

SmartDefense サービス ......................................................................................... 205Download Updates ............................................................................................ 205Advisories.......................................................................................................... 206Security Best Practices ..................................................................................... 207

SmartDefense プロファイルの設定 ....................................................................... 208プロファイルの作成 .......................................................................................... 208ゲートウェイへのプロファイルの割り当て ...................................................... 208プロファイルによって保護されたゲートウェイの表示 .................................... 209

10

SmartDefense StormCenter モジュール ................................................................ 210侵入検知での協調作業の必要性 ........................................................................ 210Storm Center 統合のためのチェック・ポイント・ソリューション ................. 211計画時の注意事項.............................................................................................. 215Storm Center 統合の設定 .................................................................................. 216

Application Intelligence

第 8 章コンテンツ検査ウイルス対策 .......................................................................................................... 222

統合されたウイルス対策について .................................................................... 222アーキテクチャ ................................................................................................. 223統合されたウイルス・スキャンの設定 ............................................................. 223データベースのアップデート............................................................................ 224通信方向によるスキャンと IP によるスキャンについて .................................. 225通信方向によるスキャン：スキャンするデータの選択 .................................... 229ファイル形式の認識 .......................................................................................... 231継続的ダウンロード .......................................................................................... 232ログと監視 ........................................................................................................ 233ファイル・サイズの制限とスキャン................................................................. 234VPN-1 UTM Edge のウイルス対策.................................................................... 236

Web フィルタリング .............................................................................................. 237Web フィルタリングについて........................................................................... 237用語 ................................................................................................................... 238アーキテクチャ ................................................................................................. 238Web フィルタリングの設定 .............................................................................. 239

第 9 章 VoIP（Voice Over IP）のセキュリティ Voice Over IP のセキュリティの必要性 ................................................................. 242VoIP のセキュリティを保護するチェック・ポイント・ソリューションに

ついて .................................................................................................................. 243シグナリングとメディア・プロトコルの制御........................................................ 244VoIP のハンドオーバー .......................................................................................... 245

ハンドオーバーを実施する場合 ........................................................................ 246VoIP Application Intelligence .................................................................................. 247

VoIP Application Intelligence について.............................................................. 247VoIP ドメインを使用したハンドオーバー・ロケーションの制限 .................... 248シグナリングとメディア接続の制御................................................................. 249サービス妨害攻撃の阻止 ................................................................................... 249プロトコル固有の Application Intelligence........................................................ 250

目次 11

VoIP ログ記録......................................................................................................... 251プロトコル固有のセキュリティ ............................................................................. 252SIP ベースの VoIP のセキュリティ ........................................................................ 253

セキュリティ・ルール・ベースにおける SIP の構成要素 ................................ 254サポートされる SIP の RFC と標準 .................................................................. 255セキュリティで保護された SIP トポロジと NAT のサポート........................... 256SIP の Application Intelligence .......................................................................... 258SIP に対する SmartDefense Application Intelligence........................................ 259ユーザ情報の同期.............................................................................................. 261SIP サービス ..................................................................................................... 261デフォルトでないポートでの SIP の使用 ......................................................... 262SIP に対する ClusterXL とマルチキャストのサポート ..................................... 262SIP ベースのインスタント・メッセンジャのセキュリティ ............................. 262SIP ベースの VoIP の設定 ................................................................................. 263

SIP のトラブルシューティング .............................................................................. 272H.323 ベースの VoIP のセキュリティ .................................................................... 273

セキュリティ・ルール・ベース内の H.323 構成要素 ....................................... 273サポートされる H.323 の RFC と標準 .............................................................. 274セキュリティで保護された H.323 トポロジと NAT のサポート....................... 274H.323 の Application Intelligence....................................................................... 277H.323 の SmartDefense Application Intelligence の設定 ................................... 278H.323 サービス.................................................................................................. 280H.323 ベース VoIP の設定................................................................................. 281

MGCP ベースの VoIP のセキュリティ ................................................................... 297MGCP の必要性 ................................................................................................ 297MGCP プロトコルとデバイス........................................................................... 298MGCP ネットワーク・セキュリティと Application Intelligence....................... 299セキュリティで保護された MGCP トポロジと NAT のサポート...................... 301ユーザ情報の同期.............................................................................................. 302MGCP ベースの VoIP の設定 ............................................................................ 303

SCCP ベースの VoIP のセキュリティ.................................................................... 305SCCP プロトコル.............................................................................................. 305SCCP デバイス ................................................................................................. 306SCCP ネットワーク・セキュリティと Application Intelligence ....................... 306ClusterXL の SCCP サポート ............................................................................ 307SCCP ベースの VoIP の設定............................................................................. 307

第 10 章インスタント・メッセンジャのセキュリティインスタント・メッセンジャのセキュリティを保護する必要性 ........................... 314インスタント・メッセンジャのセキュリティについて ......................................... 315インスタント・メッセンジャのセキュリティについて ......................................... 316SIP ベースの MSN メッセンジャーの NAT サポート............................................. 317MSNMS ベースの MSN メッセンジャーの NAT サポート ..................................... 318

12

インスタント・メッセンジャ・アプリケーションのログ記録 .............................. 318SIP ベースのインスタント・メッセンジャの設定 ................................................. 319MSNMS ベースの MSN メッセンジャーの設定 ..................................................... 321Skype、Yahoo、ICQ およびその他のインスタント・メッセンジャの設定 .......... 322

第 11 章 Microsoft Networking Services（CIFS）のセキュリティ Microsoft Networking Services（CIFS）の保護 ..................................................... 324サーバと共有へのアクセス制限（CIFS リソース）................................................ 325

第 12 章 FTP セキュリティ FTP コンテンツ・セキュリティについて .............................................................. 328VPN-1 カーネルによる FTP の実施........................................................................ 328FTP セキュリティ・サーバによる FTP の実施 ...................................................... 329

許可されたプロトコル・コマンドの制御.......................................................... 329保護された他のサービスの完全性の維持.......................................................... 329FTP アプリケーションの脆弱性の回避............................................................. 329FTP リソースによるコンテンツ・セキュリティ .............................................. 330

特定ディレクトリへのアクセス制限の設定 ........................................................... 331

第 13 章コンテンツ・セキュリティコンテンツ・セキュリティの必要性 ...................................................................... 334コンテンツ・セキュリティのためのチェック・ポイント・ソリューション ......... 335

コンテンツ・セキュリティについて................................................................. 335セキュリティ・サーバ ...................................................................................... 336OPSEC サーバの導入 ....................................................................................... 337ウイルス対策と悪意のあるコンテンツ保護用の CVP サーバ........................... 339URL フィルタリングを使用した Web 利用者の制限 ........................................ 342TCP セキュリティ・サーバ .............................................................................. 345

コンテンツ・セキュリティの設定.......................................................................... 346リソースの定義と使用方法 ............................................................................... 346リソースの作成とルール・ベースでの使用 ...................................................... 347着信電子メールに対するウイルス対策検査の設定 ........................................... 348Web トラフィックの CVP 検査の設定によるパフォーマンスの改善 ............... 350UFP サーバを使用した URL フィルタリングの設定 ........................................ 350任意の TCP サービスに対する CVP または UFP 検査の実施 ........................... 354

CVP の詳細設定： CVP のチェーン化と負荷共有 .................................................. 355CVP のチェーン化と負荷共有について ............................................................ 355CVP のチェーン化............................................................................................. 355CVP 負荷共有.................................................................................................... 357CVP のチェーン化と負荷共有の組み合わせ ..................................................... 358CVP のチェーン化と負荷共有の設定................................................................ 358

目次 13

第 14 章 Application Intelligence によるサービス Application Intelligence によるサービスについて .................................................. 362DCE-RPC ............................................................................................................... 362SSLv3 サービス ...................................................................................................... 363SSHv2 サービス ..................................................................................................... 363FTP_BASIC プロトコル・タイプ ........................................................................... 363Domain_UDP サービス .......................................................................................... 364ポイント・ツー・ポイント・トンネリング・プロトコル（PPTP）....................... 365

PPTP の設定 ..................................................................................................... 365ビジター・モード（TCPT）のブロッキング ......................................................... 367

TCPT について.................................................................................................. 367ビジター・モードと発信 TCPT を遮断する理由 .............................................. 367VPN-1 が TCPT を識別する方法 ....................................................................... 367発信 TCPT を遮断するタイミング .................................................................... 367ビジター・モードのブロッキングの設定.......................................................... 368

Web セキュリティ

第 15 章 Web コンテンツの保護 Web コンテンツの保護について ............................................................................ 372セキュリティ・ルール・ベースを使用した Web コンテンツ・セキュリティ ....... 373

URI リソースとは.............................................................................................. 373発信元と宛先別の URL、方式、およびメソッドのフィルタリング ................. 373基本的 URL フィルタリング ............................................................................. 374URL のロギング ................................................................................................ 374Java と ActiveX セキュリティ........................................................................... 375

XML Web サービス（SOAP）のセキュリティ ...................................................... 376HTTP セッション、接続、および URL について ................................................... 377

HTTP 要求の例.................................................................................................. 377HTTP 応答の例.................................................................................................. 378HTTP 接続 ......................................................................................................... 378URL について .................................................................................................... 379

Web 利用者に対する接続性とセキュリティについての考慮事項.......................... 380コンテンツの許可または制限............................................................................ 380コンテンツ圧縮 ................................................................................................. 381

HTTP セキュリティ・サーバのパフォーマンスに影響を与える要因 .................... 382同時セキュリティ・サーバ接続の数................................................................. 382HTTP セキュリティ・サーバの複数インスタンスを実行する方法 .................. 383

14

Web コンテンツ保護の設定 ................................................................................... 384URI リソースの使用による URL ベース攻撃の遮断 ......................................... 384URL ロギングの設定 ......................................................................................... 385基本的 URL フィルタリングの設定................................................................... 386

付録付録 A VPN-1 を有効にする前のセキュリティ

VPN-1 を有効にする前のセキュリティの確保 ....................................................... 390ブート・セキュリティ............................................................................................ 390

起動時の IP 転送の制御..................................................................................... 390デフォルト・フィルタ ...................................................................................... 391

初期ポリシー .......................................................................................................... 393デフォルト・フィルタと初期ポリシーの設定........................................................ 396

デフォルト・フィルタまたは初期ポリシーがロードされていることの確認.... 396デフォルト・フィルタのドロップ・フィルタへの変更 .................................... 397ユーザ定義のデフォルト・フィルタ................................................................. 397メンテナンス時のデフォルト・フィルタの使用............................................... 398デフォルト・フィルタまたは初期ポリシーをアンロードするには .................. 398インストール後に再起動できない場合 ............................................................. 398デフォルト・フィルタと初期ポリシーのコマンド・ライン参照...................... 399

付録 B コマンドライン・インタフェース

索引 .............................................................................................................................................................. 411

15

序文 P序文

この章の構成

本書の対象読者 16 ページ

本書の内容 17 ページ

関連ドキュメント 22 ページ

関連情報 25 ページ

ドキュメントに関するご意見 26 ページ

本書の対象読者

16

本書の対象読者本書は、ポリシー管理やユーザ・サポートなど、企業内でネットワーク・セキュリティの保守を担

当する管理者を対象にしています。

本書では、以下の基本事項を理解していることを前提にしています。

• システム管理

• 基本オペレーティング・システム

• インターネット・プロトコル（IP、TCP、UDPなど）

本書の内容

序文 17

本書の内容本書では、VPN-1のファイアウォールおよびSmartDefenseコンポーネントについて説明します。

本書は以下のセクションと章で構成されています。

セクション 1：ネットワーク・アクセス

このセクションでは、保護されたネットワークに、許可されたユーザとリソースだけがアクセスで

きるようにして、VPN-1ゲートウェイの背後にあるネットワークをセキュリティで保護する方法に

ついて説明します。

章説明

第1章「アクセス制御」組織の要件に適したセキュリティ・ポリシーを設定する方

法について説明します。

第2章「認証」 VPN-1認証スキーム（ユーザ名とパスワードの管理方法）

と認証方式（ユーザが自分自身を認証する方法）について

説明します。

セクション 2：接続性

18

セクション 2：接続性

このセクションでは、ゲートウェイを介して無制限でかつ安全な接続性を社内のユーザとリソース

に提供する方法について説明します。

章説明

第3章「ネットワーク・

アドレス変換（NAT）」IPアドレスを異なる IPアドレスに置き換える、ネットワー

ク・アドレス変換（NAT）プロセスについて説明します。

NATはパケットの発信元 IPと宛先 IPの両方のアドレスを

変更でき、セキュリティと管理の両方の目的で使用され

ます。

第4章「ISPの冗長性」単一のまたはクラスタ化されたVPN-1ゲートウェイが、冗

長なインターネット・サービス・プロバイダ（ISP）のリ

ンクを使用してインターネットに接続できるようにする

ことで、信頼性の高いインターネット接続性を保証する

ISPの冗長性機能について説明します。

第5章「ConnectControl - サーバの負荷分散」

ネットワーク・トラフィックを複数のサーバに分散するこ

とで、単一のマシンの負荷を軽減し、ネットワークの応答

時間を短縮し、さらに可用性を高めることができる

ConnectControlサーバの負荷分散ソリューションについ

て説明します。

セクション 3： SmartDefense

序文 19

セクション 3： SmartDefenseこのセクションでは、SmartDefenseの概要について説明します。顧客はこのVPN-1コンポーネン

トを使用して、ネットワークおよびアプリケーションに対する攻撃の防御を設定、適用、および更

新できます。このセクションでは、DShield StormCenterについても詳しく説明します。具体的な

保護方法の詳細については、SmartDefenseのHTMLページとオンラインヘルプを参照してください。

章説明

第7章「SmartDefense」セキュリティ・ルール・ベースで明示的に保護が定義され

ていない場合でも、積極的にネットワークを保護する

SmartDefenseコンポーネントについて説明します。

SmartDefenseはネットワーク内の活動を妨げることなく

動作を分析し、潜在的な脅威となるイベントをトラッキン

グして必要に応じて通知を送信します。SmartDefenseは

インテリジェントなセキュリティ技術を使用して、すべて

の既知のネットワーク攻撃および未知のさまざまな攻撃

から組織を守ります。

セクション 4： Application Intelligence

20

セクション 4： Application Intelligenceこのセクションでは、Check Point Application Intelligence機能について説明します。Check PointApplication Intelligence機能はVPN-1とSmartDefenseに統合された高度な機能のセットであり、こ

れらの機能によってアプリケーション・レベルの攻撃を検出して防ぐことができます。このセク

ションでは、アプリケーション・プロトコルごとにアプリケーション・レベルの攻撃から保護する

方法、およびアンチウィルス（CVP）とURLフィルタリング（UFP）の使用方法について説明します。

章説明

第8章「コンテンツ検査」ウイルス対策技術が統合されているゲートウェイについ

て説明します。ウイルス対策は、HTTP、FTP、SMTP、お

よびPOP3プロトコルに対応しています。各プロトコルの

オプションは一元的に設定できます。

第9章「VoIP（Voice Over IP）の

セキュリティ」

H.323、SIP、MGCP、およびSCCP環境でVoIPトラフィッ

クを保護する方法について説明します。

第10章「インスタント・メッセン

ジャのセキュリティ」

SIPベースのインスタント・メッセンジャとMSNメッセン

ジャー・アプリケーションを保護する方法について説明し

ます。

第11章「Microsoft Networking Services（CIFS）のセキュリティ」

サーバと共有へのアクセスを制限してMicrosoft Networking Services（CIFS）を保護する方法について説

明します。

第12章「FTPセキュリティ」 FTPコンテンツ・セキュリティを提供し、特定ディレクト

リへのアクセス制限を設定する方法について説明します。

第13章「コンテンツ・

セキュリティ」

サード・パーティ製のOPSEC 認定ウイルス対策アプリ

ケーションおよびURLフィルタリング・アプリケーション

と統合する方法について説明します。

第14章「Application Intelligenceによるサービス」

コンテンツを検査する、一部の事前定義済みTCPサービス

に対する保護機能を設定する方法について説明します。

セクション 5： Web セキュリティ

序文 21

セクション 5： Web セキュリティ

このセクションでは、Webサーバとアプリケーションに対して高性能な攻撃防御を提供するVPN-1のWeb Intelligence機能、およびVPN-1のWebコンテンツの機能について説明します。

セクション 6：付録

このセクションでは、VPN-1ゲートウェイがゲートウェイ自体とネットワークを保護する方法、

およびVPN-1コマンドライン・インタフェース・コマンドの概要について説明します。

章説明

第15章「Webコンテンツの保護」セキュリティ・ルール・ベースを使用して設定される統合

Webセキュリティ機能、およびWebサーバ上のXML Webサービス（SOAP）を保護する方法について説明します。

付録説明

付録 A 「VPN-1を有効に

する前のセキュリティ」

コンピュータにVPN-1セキュリティ・ポリシーがインス

トールされていない場合に使用される、ブート・セキュリ

ティおよび初期ポリシー機能について説明します。

付録 B 「コマンドライン・

インタフェース」

VPN-1のファイアウォール・コンポーネントに関連するコ

マンドライン・インタフェース・コマンドについて説明し

ます。

関連ドキュメント

22

関連ドキュメントこのVPN-1のリリースには、以下の関連ドキュメントが含まれます。

表 P-1 VPN-1 Power Suite のマニュアル

タイトル説明

Internet Security Product Suite導入の手引き

NGX R65の概要および製品のインストールとアップグレード

の手順について説明しています。また、新機能、ライセンス、

ハードウェアとソフトウェアの小要件などについても説明

しています。

アップグレード・ガイド VPN-1/FireWall-1 NG以降のチェック・ポイント製品で利用で

きるすべてのアップグレード・パスについて説明しています。

このガイドでは特に、NGX R65へのアップグレードに重点を

置いています。

SmartCenter SmartCenter管理ソリューションについて説明しています。

このガイドでは、ネットワークの境界、ネットワーク内部、

あらゆるユーザのエンドポイントでのセキュリティ導入の設定、

管理および監視を制御するためのソリューションを紹介して

います。

ファイアウォールとSmartDefense

ネットワーク・アクセスの制御と保護、ネットワーク接続の

確立、SmartDefenseを使用したネットワークおよびアプリ

ケーション・レベルの攻撃に対する防御、Web Intelligenceを

使用したWebサーバとアプリケーションの保護、および統合

Webセキュリティ機能について取り上げます。さらに、ウイ

ルス対策用のCVP（コンテンツ・ベクトリング・プロトコル）

アプリケーション、Webサイトへのアクセスを制限するため

のURL フィルタリング（UFP）アプリケーションの使用方法、

およびVoIPトラフィックを保護する方法について説明してい

ます。

バーチャル・プライベート・

ネットワーク

このガイドでは、VPNの基本的なコンポーネントについて説

明し、VPNインフラストラクチャを構成する技術に関する基

本情報を提供します。


序文 23

Eventia Reporter トラフィックを監視および監査する方法、チェック・ポイント

VPN-1 Power、SecureClient、およびSmartDefenseによって

記録されたすべてのイベントの詳細レポートや要約レポートを、

選択した形式（リスト、棒グラフ、円グラフなど）を使用し

て生成する方法について説明しています。

SecurePlatform™/ SecurePlatform Pro

SecurePlatformのインストールと設定の方法について説明し

ています。また、SecurePlatformコンピュータの管理方法と

ダイナミック・ルーティング（ユニキャストおよびマルチキャ

スト）プロトコルについても説明しています。

Provider-1/SiteManager-1 Provider-1/SiteManager-1 セキュリティ管理ソリューション

について説明します。このガイドでは、3層のマルチポリシー

管理アーキテクチャ、およびネットワーク・オペレーティン

グ・センター環境に共通して見られる、時間のかかる繰り返

し作業を自動化するためのネットワーク・オペレーティング・

センター指向の機能のホストについて詳しく説明します。

表 P-2 Integrity サーバのマニュアル

タイトル説明

Integrity Advanced Server Installation Guide

Integrity Advanced Serverのインストール、設定、および保守の

方法を説明します。

Integrity Advanced Server Administrator Console Reference

画面ごとのユーザ・インタフェース要素の説明と関連する章への

相互参照を紹介します。ヘルプ・システムの使い方も含めた管理

コンソールの操作の概要を説明します。

Integrity Advanced Server Administrator Guide

Integrity Advanced Serverで管理者およびエンドポイントの

セキュリティを管理する方法を説明します。 Integrity Advanced Server Gateway Integration Guide

VPN（バーチャル・プライベート・ネットワーク）ゲートウェイ・

デバイスを Integrity Advanced Serverと統合する方法について

説明します。また、統合SecureClient/Integrity クライアント・

パッケージの導入方法についても説明しています。

System Requirements: Integrity Advanced Server

クライアントとサーバの要件について説明します。

表 P-1 VPN-1 Power Suite のマニュアル（続き）

タイトル説明


24

Installation and Administration Guide: Installing and using Integrity Agent for Linux

Integrity Agent for Linuxのインストールと設定方法について説

明します。

Integrity XML Policy File Reference

IntegrityクライアントのXMLポリシー・ファイルの内容につい

て説明しています。

Integrity Client Management Guide

コマンド・ライン・パラメータを使用して、Integrityクライアント

のインストーラの動作およびインストール後の動作を制御する

方法を説明しています。

表 P-2 Integrity サーバのマニュアル（続き）

タイトル説明

関連情報

序文 25

関連情報• チェック・ポイント製品の詳細な技術情報については、弊社のナレッジ・ベース

SecureKnowledge（https://secureknowledge.checkpoint.com/）を参照してください。

• 本書の新版については、以下のWebサイトを参照してください。http://www.checkpoint.com/support/technical/documents

https://secureknowledge.checkpoint.com/

http://www.checkpoint.com/support/technical/documents

ドキュメントに関するご意見

26

ドキュメントに関するご意見チェック・ポイントは継続的にドキュメントの改善に努めています。ご意見やご要望がありましたら、

遠慮なく以下の宛先までお送りください。

[email protected]

mailto:[email protected]?subject=Check Point User Guide feedback

ネットワーク・アクセスこのセクションでは、許可されたユーザとリソースだけが保護されたネットワークにアクセスできるようにして、VPN-1 ゲートウェイの背後にあるネットワークをセキュリティで保護する方法について説明します。

29

第章1アクセス制御

この章の構成

アクセス制御の必要性 30 ページ

安全なアクセス制御のためのソリューション 31 ページ

アクセス制御に関する特別な考慮事項 43 ページ

アクセス制御の設定 46 ページ

アクセス制御の必要性

30

アクセス制御の必要性ネットワーク管理者には、ネットワーク、ホスト、ネットワーク・サービス、プロトコルなどのリ

ソースへのアクセスを厳重に制御する手段が必要です。アクセス制御（認証）は、アクセスできる

リソース、およびリソースへのアクセス方法を決定する機能です。ユーザ認証は、これらのリソース

にアクセスできるユーザを決定する機能です（詳細については、第2章「認証」を参照してください）。

安全なアクセス制御のためのソリューション

第 1 章アクセス制御 31


このセクションの構成

ネットワークの境界におけるアクセス制御

ネットワークの境界にあるVPN-1ゲートウェイは、ゲートウェイを通過するすべてのトラフィックを

検査してアクセス制御を行います。ゲートウェイを通過しないトラフィックは制御されません。

図 1-1 ネットワーク境界での VPN-1 ゲートウェイ・トラフィック検査

ネットワークの境界におけるアクセス制御 31 ページ

ルール・ベース 32 ページ

アクセス制御ルールの例 33 ページ

ルール・ベース要素 33 ページ

暗黙ルール 34 ページ

IPスプーフィングの防止 35 ページ

マルチキャスト・アクセス制御 37 ページ

協調施行 40 ページ

End Point Quarantine（EPQ）- Intel® AMT 42 ページ


32

セキュリティ管理者は、企業のセキュリティ・ポリシーを実施する責任があります。 VPN-1を使用

すると、管理者は、複数のゲートウェイにわたってセキュリティ・ポリシーを一貫して実施できます。

このためには、管理者はSmartDashboardを使用して企業全体のセキュリティ・ポリシー・ルール・

ベースを定義し、SmartCenterサーバにインストールします。 SmartDashboardは、管理者がセキュ

リティ・ポリシーを定義してゲートウェイに適用するために使用するSmartConsoleクライアント・

アプリケーションです。特定のルールを特定のゲートウェイに適用することにより、セキュリティ・

ポリシーをきめ細かく管理できます。

VPN-1は、ネットワークを通過するすべてのサービスとアプリケーションをきめ細かく解析するこ

とにより、安全なアクセス制御を可能にします。ステートフル・インスペクション技術は150以上

の事前定義済みアプリケーション、サービス、およびプロトコルについてアプリケーション層まで

の情報を認識し、包括的なアクセス制御を提供し、さらにカスタム・サービスを指定および定義す

る機能も提供します。

ステートフル・インスペクションは、すべてのアプリケーション・レベルからセキュリティ判断に

必要な状態情報を抽出し、以降の接続の試みを検査するのに使用されるダイナミック・ステート・

テーブル内でこの情報を管理します。ステートフル・インスペクションの詳細な技術情報については、

次のCheck Point Technical Noteを参照してください。 http://www.checkpoint.com/products/downloads/firewall-1_statefulinspection.pdf

ルール・ベース

セキュリティ・ポリシーは、セキュリティ・ルール・ベース内でルールの集合として作成されます。

明確に定義されたセキュリティ・ポリシーは、効果的なセキュリティ・ソリューションに不可欠です。

ルール・ベースの基本原則は、「明示的に許可されないすべてのアクションは禁止する」です。ルー

ル・ベースは、どの通信トラフィックを許可して、どのトラフィックを遮断するかを決定するルー

ルの集合です。ルール・パラメータには、通信の発信元と宛先、使用可能なサービスとプロトコル、

通信を許可する時刻、トラッキング・オプションが含まれます。 SmartView Trackerのトラフィック・

ログと警報を参照することは、重要なセキュリティ管理事項です。

VPN-1はパケットを順番に検査します。 VPN-1は接続のパケットを受け取ると、それをルール・

ベースの初のルール、2番目のルール、3番目のルールと順番に検査します。 VPN-1は適用可能な

ルールを検出すると、検査を停止して、そのルールをパケットに適用します。ルール・ベースで適

用可能なルールが見つからない場合、パケットは遮断されます。適用されるルールは必ずしもも

一致するルールではなく、初に一致するルールであることに注意してください。

http://www.checkpoint.com/products/downloads/firewall-1_statefulinspection.pdf



アクセス制御ルールの例

図1-2は典型的なアクセス制御ルールを示しています。このルールは、任意のAlaska_LANグルー

プ・ホストから任意の宛先に発信されたHTTP接続を許可し、ログに記録します。

図 1-2 アクセス制御ルールの例

ルール・ベース要素

ルールは、以下のルール・ベース要素で構成されています（すべてのフィールドが特定のルールに

定義されるわけではありません）。

表 1-1 ルール・ベース要素

Source とDestination

接続の発信元と宛先を指します。クライアント・サーバ・モデルで動作するアプリケー

ションでは、Sourceはクライアント、Destinationはサーバです。接続が許可されると、

接続を介して転送されるパケットは双方向に自由に通過します。 SourceとDestinationパラメータの否定をとることができます。つまり、特定のルールは、

指定した場所を除く、すべての接続のSource/Destination に適用されます。たとえば、

Sourceが特定のネットワークに含まれないと指定する方が便利な場合があります。接続の

SourceまたはDestinationの否定をとるには、該当するルールのセルを右クリックして、オ

プション・メニューから［Negate Cell］を選択します。

VPN 暗号化の有無に関わらずルールをすべての接続に適用するか、VPN接続にのみ適用するかを

設定できます。ルールをVPN接続に限定するには、該当するルールをダブルクリックして、

2つのVPNオプションのいずれかを選択します。 Service ルールを特定の事前定義済みプロトコル、サービス、またはアプリケーションに適用でき

ます。新しいカスタム・サービスを定義できます。

Action パケットを許可 (Accept)、拒否 (Reject)、または破棄 (Drop)するかどうかを決定します。

接続が拒否されると、VPN-1はRSTパケットを接続の発信元に送信し、接続を閉じます。

パケットが破棄されると応答は送信されず、接続は後に時間切れになります。認証に関

するアクションの詳細については、第2章「認証」を参照してください。

Track 各種のログ記録オプションを指定します（詳細については、『SmartCenter』を参照してく

ださい）。

Install-On ルールをインストールするVPN-1ゲートウェイを指定します。特定のルールをすべての

VPN-1ゲートウェイで実施する必要はありません。たとえば、特定のネットワーク・サー

ビスは特定のゲートウェイのみを通過させるルールを作成できます。この場合、特定の

ルールを他のゲートウェイにインストールする必要はありません（詳細については、

『SmartCenter』を参照してください）。

Time このルールを実施する日付と時刻を指定します。


34

暗黙ルール

VPN-1は、管理者が定義するルール以外に［Policy］>［Global Properties］で定義される暗黙の

ルールも作成します。暗黙のルールにより、各種機能を使用するために必要なゲートウェイを発着

信する通信が許可されます。暗黙のルールの例としては、VPN-1制御接続とVPN-1ゲートウェイか

らの発信パケットを許可するルールがあります。

VPN-1の暗黙ルールをルール・ベースの初（First）、後（Last）、または後の前（Before Last）に位置し、ログに記録できます。ルールは以下の順序で処理されます。

1. 初のルール：初のルールは常にパケットに適用されます。他のルールを前に置くことが

できないため、このルールはルール・ベースで変更または上書きできません。

2. 明示的ルール：これらは、管理者が定義するルールで、初のルールと後から2番目の

ルールの間に置くことができます。

3. 後の前のルール：後のルールが適用される前に実施する、より具体的なルールです。

4. n番目のルール：後に定義されたルールです。

5. 後のルール：ルール・ベース内の後のルールの後で実施されるルールで、通常、すべて

のパケットを拒否し、何も影響を与えません。

6. 暗黙の破棄ルール：ログに記録されません。



IP スプーフィングの防止

IPスプーフィングは、高いアクセス権を持つネットワーク・ノードからパケットが発生したかのよ

うに見せるため、パケットの IPアドレスを変更し、許可されていないアクセス権を侵入者が取得し

ようとする手法です。

注：すべての通信が明確な発信元から発生しているかどうかを確認することが重要です。

アンチ・スプーフィング保護は、パケットがゲートウェイの正しいインタフェースに発着信するこ

とを検証します。アンチ・スプーフィング保護は、パケットが指定された内部ネットワーク・イン

タフェースから送信されているかを確認します。また、パケットがルーティングされた後、それが

適切なインタフェースを通過することを検証します。

外部インタフェースから来たパケットが偽の内部 IPアドレスを持っていても、VPN-1のアンチ・

スプーフィング機能が不正なインタフェースから来たことを検知するので遮断されます。図1-3に

アンチ・スプーフィング・プロセスの仕組みを示します。

図 1-3 アンチ・スプーフィング・プロセス

Alaska_GWでは、VPN-1は以下のことを確認します。

• インタフェース IF1へのすべての着信パケットはインターネットから送信されている。

• インタフェース IF2へのすべての着信パケットはAlaska_LAN、Alaska_RND_LAN、または

Florida_LANから送信されている。


36

Alaska_RND_GWでは、VPN-1は以下のことを確認します。

• インタフェース IF3へのすべての着信パケットはAlaska_LAN、Florida_LAN、またはイン

ターネットから送信されている。

• インタフェース IF4へのすべての着信パケットはAlaska_RND_LANから送信されている。

アンチ・スプーフィングを設定する場合は、インタフェース・トポロジの定義でインタフェースが

インターネットに接続されている（Externalとして定義する）か、内部ネットワークに接続されて

いる（Internalとして定義する）か指定する必要があります。図1-3に、ゲートウェイ・インタフェー

スがインタフェース・トポロジ定義の内部または外部のどちらであるかを示します。

アンチ・スプーフィング保護から特定の内部アドレスを除外

状況によっては、内部ネットワークに属する送信元アドレスを持つパケットを、外部インタフェー

ス経由でゲートウェイに送信できるようにする必要があります。これは、外部アプリケーションが

内部 IPアドレスを外部クライアントに割り当てる場合に役立つことがあります。この場合、指定し

た内部ネットワークからのパケットに対してアンチ・スプーフィング・チェックを行わないように

指定できます。たとえば、図1-3では、Alaska_RND_LANに含まれる発信元アドレスのパケットを

インタフェース IF1に送信できるように指定できます。

適正なアドレスとは適正なアドレスとは、VPN-1ゲートウェイ・インタフェースへの入力を許可されるアドレスです。

適正なアドレスはネットワーク・トポロジによって決まります。 VPN-1アンチ・スプーフィング保

護を設定する場合、管理者はインタフェースの背後にある適正な IPアドレスを指定します。［GetInterfaces with Topology］オプションは、自動的にインタフェースとそのトポロジを定義し、ネッ

トワーク・オブジェクトを作成します。VPN-1は、ルーティング・テーブルのエントリを読み取る

ことによってこの情報を取得します。

追加情報

アンチ・スプーフィング保護の計画の詳細については、43ページの「スプーフィング保護」を参照

してください。

アンチ・スプーフィングの設定の詳細については、48ページの「アンチ・スプーフィングの設定」を

参照してください。



マルチキャスト・アクセス制御


マルチキャスト IP について

マルチキャスト IPを使用すると、1つのメッセージを定義済みの受信者のグループに送信すること

ができます。例としては、分散型の会議に参加している一連のホストへのリアルタイムのオーディ

オやビデオの配信があります。

マルチキャストは、選択した周波数にチューナを合わせて情報を受信するラジオやテレビに似てい

ます。マルチキャストでは興味のあるチャンネルだけを聞き、他のチャンネルは聞きません。

IPマルチキャスト・アプリケーションは、各データグラムの1つのコピー（IPパケット）を受信し

たいコンピュータのグループ宛に送信します。この方法では、データグラムを1人の受信者（ユニ

キャスト・アドレス）ではなく、受信者のグループ（マルチキャスト・アドレス）に送信します。

ネットワーク内のルータは、データグラムを必要としているルータとホストにのみ転送します。

IETF（Internet Engineering Task Force）で、以下を定義するマルチキャスト通信標準が開発され

ています。

• マルチキャスト・ルーティング・プロトコル

• 動的な登録

• IPマルチキャスト・グループのアドレス指定

マルチキャスト・ルーティング・プロトコル

マルチキャスト・ルーティング・プロトコルは、マルチキャスト・グループ間で情報を伝達します。

マルチキャスト・ルーティング・プロトコルの例として、PIM（Protocol-Independent Multicast）、DVMRP（Distance Vector Multicast Routing Protocol）、MOSPF（Multicast Extensions to OSPF）などがあります。

マルチキャスト IPについて 37 ページ

マルチキャスト・ルーティング・プロトコル 37 ページ

IGMPを使用した動的な登録 38 ページ

IPマルチキャスト・グループのアドレス指定 38 ページ

インタフェースごとのマルチキャストの制限 39 ページ


38

IGMP を使用した動的な登録

ホストは IGMP（Internet Group Management Protocol）を使用して、ホストが特定のマルチキャス

ト・グループに所属する必要があるかどうかを、も近いマルチキャスト・ルータに通知します。

ホストは、いつでもグループから抜けたりグループに参加したりできます。 IGMPはRFC 1112で定

義されています。

IP マルチキャスト・グループのアドレス指定 IPアドレス空間は、クラスA、クラスB、クラスC、およびクラスDの4つのセクションに分かれ

ています。クラスA、B、およびCのアドレスはユニキャスト・トラフィック用に使用されます。クラスDのアドレスは、マルチキャスト・トラフィック用に予約され、動的に割り当てられます。

マルチキャスト・アドレスの範囲224.0.0.0～239.255.255.255は、IPマルチキャスト・トラフィッ

クのグループ・アドレスまたは送信先アドレス専用です。宛先アドレスが「1110」で始まるすべて

の IPデータグラムは IPマルチキャスト・データグラムです (図1-4)。

図 1-4 マルチキャスト・アドレスの範囲

ラジオを特定の周波数にチューニングして、放送されている番組を受信するのと同じように、ホスト・

インタフェースを「調整」して、特定のマルチキャスト・グループに送信されたデータグラムを受信

できます。このプロセスはマルチキャスト・グループへの参加と呼ばれます。

マルチキャスト・アドレス範囲の残りの28ビットは、データグラムの送信先のマルチキャスト・グ

ループを識別します。マルチキャスト・グループのメンバシップは動的です（ホストはいつでもグ

ループに参加したり、グループから抜けたりできます）。マルチキャスト・データグラムの発信元ア

ドレスは、常にユニキャスト発信元アドレスです。

予約済みローカル・アドレス

Internet Assigned Numbers Authority（IANA）は、224.0.0.0～224.0.0.255の範囲のマルチキャスト・

グループ・アドレスを、ルータによって転送されずに特定のLANセグメント内でローカルで使用さ

れるアプリケーション用に割り当てています。



これらのアドレスはパーマネント・ホスト・グループと呼ばれます。表 1-2に、予約済みのローカル・

ネットワーク・マルチキャスト・グループの例を示します。

予約済みのマルチキャスト・アドレスの詳細については、

http://www.iana.org/assignments/multicast-addressesを参照してください。

インタフェースごとのマルチキャストの制限

マルチキャスト対応のルータは、1つのインタフェースから別のインタフェースにマルチキャスト・

データグラムを転送します。SecurePlatform上で実行されているVPN-1ゲートウェイでマルチキャ

ストを有効にすると、インタフェースごとにマルチキャスト・アクセスを制限することができます

（図1-5を参照）。これらの制限では、許可または遮断するマルチキャスト・グループ（アドレスまた

はアドレス範囲）を指定します。制限は発信マルチキャスト・データグラムに対して適用されます。

発信 IGMPマルチキャスト・パケットのマルチキャスト・グループへのアクセスがインタフェース

で拒否される場合、着信パケットも拒否されます。

表 1-2 ローカル・ネットワーク・マルチキャスト・グループの例

マルチキャスト・アドレス目的

224.0.0.1 すべてのホスト。このグループに送信される ICMPリクエスト

（Ping）は、ネットワーク上のすべてのマルチキャスト対応の

ホストによって応答される必要があります。すべてのマルチ

キャスト対応ホストは、すべてのマルチキャスト対応インタ

フェースで起動時にこのグループに参加する必要があります。

224.0.0.2 すべてのルータ。すべてのマルチキャスト・ルータは、すべて

のマルチキャスト対応インタフェースでこのグループに参加す

る必要があります。

224.0.0.4 すべてのDVMRPルータ。

224.0.0.5 すべてのOSPFルータ。

224.0.0.13 すべてのPIMルータ。

http://www.iana.org/assignments/multicast-addresses


40

図 1-5 インタフェースごとのマルチキャスト制限を使用したゲートウェイ

マルチキャスト・データグラムのアクセス制限が定義されていない場合、1つのインタフェースか

らゲートウェイに入った着信マルチキャスト・データグラムは、他のすべてのインタフェースから

出ることが許可されます。

インタフェースごとのアクセス制限を定義する以外に、マルチキャスト・トラフィックとサービスを

許可するルールをルール・ベースで定義し、ルールの宛先には必要なマルチキャスト・グループを

指定する必要があります。

詳細については、49ページの「マルチキャスト・アクセス制御の設定」を参照してください。

VPN 接続

マルチキャスト・トラフィックは暗号化して、複数のVPNトンネル・インタフェース（同じ物理

インタフェースに関連付けられた仮想インタフェース）を使用して定義されたVPNリンク経由で

送信できます。

協調施行

協調施行はチェック・ポイントの Integrityサーバと連動して動作します。この機能は Integrityサー

バのコンプライアンス対応力を活用して、内部ネットワークのホストからの接続を制御します。

Integrityサーバは中央管理型の多層構造エンドポイント・セキュリティ・ソリューションで、ポリ

シー・ベースのセキュリティを施行して内部およびリモートのPCを保護します。簡単に導入および

管理でき、ハッカー、ワーム、スパイウェア、その他のセキュリティの脅威によるリスクを軽減で

きます。



管理者は、定義済みのポリシー・テンプレート、使いやすいWebベースの管理インタフェース、PCファイアウォールとアプリケーションの権限コントロールなどの機能を使用して、協調施行の開発、

管理、および施行を迅速かつ簡単に実行できます。

協調施行を使用することで、ゲートウェイ経由で接続を開始するホストに対しては必ずコンプライ

アンスのテストが実行されます。これにより、悪質なソフトウェア・コンポーネントを使用するホ

ストによるネットワーク・アクセスを防ぐことができるため、より高いネットワークの完全性を実

現します。

この機能は Integrityサーバが管理するホストと Integrityサーバ本体の仲介役の役割を果たします。

協調施行は、ホストが安全かどうかを定義し、ソフトウェア・コンポーネントの定義済み必要条件

を満たさない接続を遮断できる Integrityサーバのコンプライアンス機能に依存します。

一般的な協調施行のワークフローを以下に示します。

1. ホストがファイアウォール・ゲートウェイを経由して、ネットワークへの接続を開始します。クライアントからサーバへの初のパケットは許可されます。協調施行機能は、クライアント

に対するサーバの初の応答時にのみ動作を開始します。

2. ファイアウォールはホストのコンプライアンスを確認します。必要に応じて Integrityサーバに

クエリを送ります。

3. 応答を受信すると、コンプライアンスに準拠するホストからの接続は許可され、準拠しない

ホストからの接続は遮断されます。

ゲートウェイで協調施行機能を有効にすると、以下の暗黙ルールが自動的に有効になります。

1. すべてのファイアウォールGUIクライアントは、HTTPまたはHTTPS（ポート80または443）経由で Integrityサーバへの接続が許可されます。

2. すべての内部クライアントは、ファイアウォール経由で Integrityサーバへのハートビート用の

アクセスが許可されます。

3. ファイアウォールは、ポート5054で Integrityサーバとの通信が許可されます。

追加のアクセス許可（外部クライアントによる Integrityサーバへの接続許可や、他のコンピュータ

による Integrityサーバの管理機能へのアクセス許可など）が必要な場合は、明示的なルールを定義

する必要があります。

実施モード

実施モードの場合、準拠しないホスト接続はファイアウォール・エンドポイント・セキュリティ機

能によって遮断されます。 HTTP接続の場合、準拠していないことがホストに通知されます。その

場合、ユーザは適切な処理を実行して、準拠するように設定を変更します。たとえば、Integrityクライアントのバージョンをアップグレードします。


42

NAT 環境

協調施行機能は一部のNAT設定ではサポートされていません。

協調施行がNAT環境で動作するには、実施モジュールと Integrityサーバの間で特定のクライアント

が同一の IPアドレスに紐づいている必要があります。したがって、NATを使用しているために、

ゲートウェイが認識するクライアント IPと Integrityサーバが認識するクライアント IPが異なる場合、

協調施行は正常に機能しません。

Monitor Only 導入モード

「Monitor Only」導入モードでは、ファイアウォールは Integrityサーバからの認証ステータスを要求

しますが、受信したステータスに関係なく、接続は破棄されません。さらに、（管理者によって設定

されている場合）協調施行機能は導入モードに関係なくログを生成します。

設定の詳細については、51ページの「協調施行の設定」を参照してください。

End Point Quarantine（EPQ）- Intel® AMTEnd Point Quarantine（Intel AMTを使用）により、管理者は、セキュリティ・ポリシーの設定に

従って、不正な行動が発生した場合に不正なユーザのコンピュータを隔離できます。

EPQは、不正な行動が発生したコンピュータにセキュリティ・ポリシーをインストールして、不正

なコンピュータを隔離します。ポリシーは、そのコンピュータとの着信と送信トラフィックの両方

を制限します。その結果、コンピュータは他のネットワーク隔離され、問題の拡大を防ぎます。

アンチ・スプーフィングを有効にして大限のセキュリティ保護を実施することをお勧めします。

アンチ・スプーフィングを有効にしていても、以下の保護はEPQと一緒には正常に機能せず、ホ

ストを隔離する場合があります。

• すべてのDOS Protection（DOS攻撃からの保護）

• Packet Sanity（パケットの正当性）

• Max Ping Size（Pingの大サイズ）

• IP Fragment（IPフラグメント）

• Network Quota（ネットワーク・クォータ）

• Small PMTU（スモールPMTU攻撃）

EPQはSecurePlatformおよびLinuxプラットフォームでサポートされています。

設定の詳細については、51ページの「End Point Quarantine（EPQ）- Intel® AMTの設定」を参照


アクセス制御に関する特別な考慮事項




スプーフィング保護

ネットワークが IPアドレス・スプーフィングから保護されていない場合、アクセス制御ルールは無

効になり、攻撃者にパケットの発信元アドレスを変更され簡単にアクセスされてしまいます。この

ため、内部インタフェースを含むVPN-1ゲートウェイのすべてのインタフェースに、必ずアンチ・

スプーフィング保護を設定してください。設定の詳細については、46ページの「アクセス制御の設

定」を参照してください。

簡潔性

効果的なファイアウォール保護を実現するための鍵は簡潔なルール・ベースです。組織のセキュリ

ティにとっても危険なことの1つは、設定ミスです。たとえば、誤って無制限のメッセージング・

プロトコルを許可していれば、ユーザは偽の断片化されたパケットを使用することなくファイア

ウォールをすり抜けることができます。ルール・ベースを簡潔にすることにより、ルールの管理と

運用を簡単に行うことができます。ルールが増えれば増えるほど間違いを起こす可能性が高まり

ます。

スプーフィング保護 43 ページ

簡潔性 43 ページ

基本ルール 44 ページ

ルールの順序 44 ページ

トポロジに関する考慮事項： DMZ 44 ページ

暗黙ルールの編集 45 ページ

アクセス制御ルールの定義 46 ページ


44

基本ルール

ルールを作成する場合は、必要なトラフィックのみを許可するようにしてください。ファイア

ウォールで保護されている側と保護されていない側の両方から発信されてファイアウォールを通

過するトラフィックを考慮する必要があります。

すべてのルール・ベースに次の基本アクセス制御ルールを含めることをお勧めします。

• VPN-1ゲートウェイへの直接アクセスを防止するステルス・ルール。

• 前のルールで許可されていないトラフィックをすべて破棄するクリーンアップ・ルール。こ

れを行う暗黙ルールがありますが、クリーンアップ・ルールによりそのようなアクセスの試

みをログに記録できます。

ルール・ベースの基本原則は、「明示的に許可されないすべてのアクションは禁止する」であるこ

とをあらためて認識する必要があります。

ルールの順序

ルールの順序は、効果的なルール・ベースの重要な要素です。同じルールでも、順序を変更すると

ファイアウォールの効果が大幅に変わります。も具体的なルールを初に置き、より一般的な

ルールを後に置くことが適切です。この順序により、具体的なルールの前に一般的なルールが適

用されるのを防ぎ、ファイアウォールを設定ミスから保護できます。

トポロジに関する考慮事項： DMZインターネットを使用して外部からアクセスできるサーバがある場合は、非武装地帯（DMZ）を

作成する必要があります。 DMZは、インターネットなどの信頼されていない発信元からアクセス

可能なすべてのサーバを隔離することによって、仮にこれらのサーバに侵入されたとしても、侵

入者によるアクセスを外部からアクセス可能なサーバのみに制限します。DMZ内のサーバは任意

のネットワークからアクセスできるため、外部からアクセス可能なサーバはすべてDMZに設置す

る必要があります。 DMZ ゾーン内のサーバは、できる限り安全に保護する必要があります。

UserAuthorityなど特定のアプリケーションを除き、DMZから内部ネットワークへのアクセスを許可

してはなりません。



X11 サービス

X11（Xウィンドウ・システム・バージョン11）グラフィックス表示システムは、UNIX環境における

グラフィックス・システムの標準です。X11を有効にするには、X11サービスを許可するルールを

作成する必要があります。 Serviceとして［Any］を選択した場合、X11サービスは含まれません。

これは、X11サービスを使用する場合、GUIアプリケーションがクライアントではなくサーバとし

て機能するからです。

暗黙ルールの編集

暗黙ルールは、［Global Properties］ウィンドウの［Firewall Implied Rules］ページで定義され

ます。一般に定義済みの暗黙ルールは変更する必要がありません。プロパティをルール・ベースか

ら詳細に管理できるよう、一部の暗黙ルールを選択しないことをお勧めします。たとえば、特定の

ゲートウェイでのみ ICMP Pingを許可したい場合があります。

以下に暗黙ルールの推奨設定を示します。

表 1-3 ファイアウォール用暗黙ルールの推奨設定

暗黙ルール推奨設定

Accept VPN-1 control connections First

Accept Remote Access control connections First

Accept SmartUpdate connections First

Accept outbound packets originating from the gateway オフ

Accept RIP オフ

Accept Domain Name Over UDP (Queries) オフ

Accept Domain Name over TCP (Zone transfer) オフ

Accept ICMP requests オフ

Accept dynamic address modules' DHCP traffic First

Accept VRRP packets originating from cluster members (VSX Nokia VRRP)

First

アクセス制御の設定

46



アクセス制御ルールの定義

アクセス制御ルールの例については、35ページの図1-3を参照してください。

アクセス制御ルールを定義するには、SmartDashboardを使用して以下の手順を実行します（詳細

については、『SmartCenter』を参照してください）。

1. SmartDashboardを使用して、各ネットワークおよびホストに対してネットワーク・オブジェ

クトを定義します。

2. ルール・ベースの［Security］タブをクリックします。

3. SmartDashboardメニューから［Rules］>［Add Rule］を選択し、［Bottom］、［Top］、［Below］、［Above］のいずれかを選択します。

4. ［Source］および［Destination］カラムで右クリックして［Add...］を選択します。

5. ネットワーク・オブジェクトを選択して［OK］ボタンをクリックします。

6. ［Service］カラムで右クリックして［Add...］を選択します。

7. サービスまたはサービス・グループを選択して［OK］ボタンをクリックします。

8. ［Action］カラムで右クリックして［Accept］、［Drop］、または［Reject］を選択します。

9. ［Track］カラムで右クリックします。

10. いずれかのトラッキング・オプションを選択します。

アクセス制御ルールの定義 46 ページ

基本的なアクセス制御ポリシーの定義 47 ページ

アンチ・スプーフィングの設定 48 ページ

マルチキャスト・アクセス制御の設定 49 ページ

協調施行の設定 51 ページ

End Point Quarantine（EPQ）- Intel® AMTの設定 51 ページ



基本的なアクセス制御ポリシーの定義

アクセス制御ポリシーは次の目的で必要です。

• 内部ユーザにインターネットへのアクセスを許可する。

• すべてのユーザにDMZネットワークのサーバへのアクセスを許可する。

• ネットワークを外部の者から保護する。

このポリシーには、2つの基本ルールであるステルス・ルールとクリーンアップ・ルールも必要です。

図 1-6は、アクセス制御ポリシーを必要とするネットワークの例を示しています。

図 1-6 アクセス制御ポリシーを必要とするネットワークの例

アクセス制御ポリシーを作成するには、以下の手順に従います。

• ［Rules］>［Add Rules...］メニュー項目を使用してSmartDashboardにルールを追加します。

図 1-7 アクセス制御ルール・ベースの例

詳細については、47ページの「基本的なアクセス制御ポリシーの定義」を参照してください。


48

アンチ・スプーフィングの設定

内部インタフェースを含むVPN-1ゲートウェイのすべてのインタフェースにアンチ・スプーフィング

保護を設定する必要があります。以下の設定例では、外部インタフェースと内部インタフェースに

アンチ・スプーフィング・パラメータを設定する方法を示しています。

外部インタフェースのアドレスの定義

外部インタフェースの有効アドレスを定義するには、以下の手順に従います。

1. SmartDashboard で［Manage］>［Network Objects］を選択します。

2. ゲートウェイを選択して［Edit］ボタンをクリックします。

3. ［Network Properties］リストで［Topology］を選択します。

4. インタフェース情報をまだ取得していない場合、［Get］>［Interfaces］を選択して、ゲート

ウェイ・コンピュータのインタフェース情報を取得します。

5. インターネット方向を向いているインタフェースを選択して［Edit］ボタンをクリックし

ます。

6. ［Interface Properties］ウィンドウで［Topology］をクリックして［External (leads out to the internet)］を選択します。

7. ［Perform Anti-Spoofing based on interface topology］を選択します。

8. 外部インタフェースへ到達する特定の内部ネットワークのアドレスに対してアンチ・スプー

フィング・チェックを行わないようにするには、それらの内部ネットワークを表すネット

ワーク・オブジェクトを定義します。［Don't check packets from:］を選択して、ドロップ

ダウン・リストからそのネットワーク・オブジェクトを選択します。

9. ［Spoof Tracking］の下の［Log］を選択して、［OK］ボタンをクリックします。

内部インタフェースのアドレスの定義

内部インタフェースの有効アドレスを定義するには、以下の手順に従います。

1. SmartDashboardで［Manage］>［Network Objects］を選択します。

2. チェック・ポイント・ゲートウェイを選択し、［Edit］ボタンをクリックします。

3. ［Properties］リストで［Topology］を選択します。

4. ［Get］>［Interfaces］を選択して、ゲートウェイ・コンピュータのインタフェース情報を取

得します。

5. ［Name］カラムから内部インタフェースを選択して［Edit］ボタンをクリックします。



6. ［Interface Properties］ウィンドウで［Topology］をクリックして［Internal (leads to the local network)］を選択します。

7. ［IP Addresses behind this interface］で以下のいずれかを実行します。

• インタフェースの背後に1つのネットワークしかない場合は、［Network defined by the interface IP and Net Mask］を選択します。

• インタフェースの背後に複数のネットワークがある場合は、インタフェースの背後のす

べてのネットワークを構成するネットワーク・グループ・オブジェクトを定義し、作成

したグループを［Specific］で選択します。

8. ［Perform Anti-Spoofing based on interface topology］チェック・ボックスがオンになって

いることを確認し、［Spoof Tracking］の下の［Log］を選択して［OK］ボタンをクリック

します。

9. すべての内部インタフェースについて手順5から手順8を繰り返します。

10. セキュリティ・ポリシーをインストールします。

マルチキャスト・アクセス制御の設定

マルチキャスト・アクセス制御の詳細については、37ページの「マルチキャスト・アクセス制御」を


マルチキャスト・アクセス制御を設定するには、以下の手順に従います。

1. ゲートウェイの［General Properties］ページで、ゲートウェイのバージョンが正しく指定

されていることを確認します（バージョンR60以降のゲートウェイでは、インタフェースご

とにマルチキャスト・ポリシーを定義できます）。

2. ［Topology］ページでインタフェースを編集します。

3. ［Interface Properties］ウィンドウの［Multicast Restrictions］タブ（図1-8）で、［Drop Multicast packets by the following conditions］チェック・ボックスをオンにします。


50

図 1-8 ［Interface Properties］ウィンドウの［Multicast Restrictions］タブ

4. 以下のいずれかのオプションを選択して、インタフェースに対して厳格または寛容なマルチ

キャスト・ポリシーを定義します。

• Drop multicast packets whose destination is in the list

• Drop all multicast packets except those whose destination is in the list

5. ［Add］を選択し、［New］>［Multicast Address Range］をクリックして、マルチキャスト・

アドレスの範囲を追加します。［Multicast Address Range Properties］ウィンドウが表示さ

れます。

6. 224.0.0.0～239.255.255.255の範囲で［IP address Range］または［Single IP Address］を定義します。

7. ルール・ベースに、必要なマルチキャスト・グループを許可するルールを追加します。

8. ルールの［Destination］として、手順5で定義したマルチキャスト・グループを指定します。

9. セキュリティ・ポリシーを保存してインストールします。



協調施行の設定

協調施行を設定するには、以下の手順に従います。

ゲートウェイの［Cooperative Enforcement］ページで、［Authorize clients using Integrity Server］を選択して協調施行を有効にします。

1. ［Monitor Only］を選択すると、トラフィックは破棄せず、トラフィックのトラッキングのみ

行い、トラフィックはそのまま通過させます。

2. ［Track unauthorized client status］によって、適切なトラッキングまたは警告のオプションを

設定できます。デフォルト設定は［Log］です。

3. ［Integrity Server Selection］セクションで、使用する Integrityサーバを選択します。

• このコンピュータを使用するには、［Use Integrity Server installed on this machine］を選択します。

• 別のコンピュータを選択するには、［Select Integrity Server］ドロップダウン・メ

ニューからサーバを選択します。［New］をクリックすると新しいサーバを作成でき

ます。

4. ［Client Authorization］セクションで以下を選択します。

• Check authorization of all clients：すべてのクライアントを検査します。

• Bypass authorization of the following clients：ドロップダウン・リストで選択したグ

ループ内のすべてのクライアントは検査されません。

• Check authorization only of the following clients：ドロップダウン・リストで選択し

たグループ内のクライアントを検査します。

End Point Quarantine（EPQ）- Intel® AMT の設定

EPQの設定はCLIを使用して行われます。以下の表は、AMT.confファイルを設定する方法を示して

います。 $FWDIR/confフォルダに入っているAMT.confファイルを使用して、不正な行動を開始した

コンピュータに対して実行する、すべてのアクションを定義します。

EPQ の有効化

デフォルトでは、EPQは無効です。有効にするには、AMT.confファイルを以下の手順に従って修正

します。

1. enable_amt行で、falseをtrueに変更します。

2. 設定例については、表 1-4、表 1-5、および表 1-6を参照してください。

3. ポリシーをインストールします。


52

表 1-4 設定例

接続認証データ表 1-5 認証方式の定義

----- フラグを trueに変更して機能を有効にし、機能が有効にするサブネットを定義します。

:enable_amt (false)

----- AMT Quarantineは、ホストかネットワーク、またはその両方で有効にできます。

:apply_on (

:(host

:ipaddr (192.168.10.1)

)

:(network

:ipaddr_from (192.168.10.1)

:ipaddr_to (192.168.10.100)

)

)

:track (log)

:authentication (

----- 以下のいずれかを使用して認証方式を定義します。

no_tls - クリア・テキスト

tls - サーバ認証のみ

mutual_tls - クライアントおよびサーバ認証

:method (no_tls)

----- すべてのメソッドでユーザ名とパスワードが必要です。

:user_name ("admin")

:user_pass ("Myadmin1!")

----- 選択した認証方式が tlsの場合のみ、サーバの証明書が必要です。

:server_certificate (

:server_cert_name ("server certificate name")

:server_cert_path ("server certificate path")

)

----- 選択した認証方式が mutual_tlsの場合、クライアントの証明書は Linuxのみに関係します。

:client_certificate ( :cert_name ("certificate name"):cert_pass ("certificate pass")

))



ポリシー・データの隔離表 1-6 ポリシー名とルール

:quarantine_policy_data ( :policy_name ("CP_Qua")

----- ポリシー・バージョンの書式は MMDDHHmm（月、日、時間、分）です。:policy_ver ("23121917")

----- 不正な行動を開始したコンピュータに発信されるトラフィックに対するルールを定義します。

:incoming ( :1 (

:name ("dns") :service (

:protocol (udp) # tcp / udp :port (53)

):address ("10.16.70.5") :address_mask ("255.255.255.0")

) :2 (

:name ("ftp") :service (

:protocol (udp) :port (21)


)

----- 不正な行動を開始したコンピュータから発信されるトラフィックに対するルールを定義します。

:outgoing ( :1 (

:name ("dns") :service (

:protocol (udp) # tcp / udp :port (53)


) :2 (

:name ("ftp") :service (

:protocol (udp) :port (21)


)


54

着信トラフィックおよび発信トラフィックに対して、大29のルールを設定できます。

ポリシー名は「CP_」で始まり、6文字以内にする必要があります。数字とその他の記号は使用で

きません。

パスワードの暗号化

AMT.confファイルを設定して保存したあと、以下のコマンドを実行します。

epq -o set_password

このコマンドはパスワードを変更するのではなく、パスワードをクリア・テキストから暗号化され

た文字列に変換します。ただし、このコマンドをもう1回実行すると、パスワードが変更されてし

まいます。元に戻すことができないため、パスワードを安全な場所に保管することをお勧めします。

不正な行動に対するスクリプトと警告

sam_alertツールは、標準入力（ログ・メカニズム）を介して受け取った情報に従ってFW-1 SAMアクションを実行します。このツールは、ユーザ定義警告メカニズムを用いてFW-1 SAMv2アク

ションを実行するために使用します。

使用方法

sam_alert [-O] [-S] [-t timeout] [-f target] [-n name] -[c comment] [-o originator] [-l r|a] -a d|r|n|b|q|i[-C] -ip -eth -src -dst -srv -any

表 1-7で、このコマンドの引数について説明します。

注：デフォルトのポリシー名を変更しないことをお勧めします。

表 1-7

引数説明

-O このツールの入力を標準出力（パイプ用）に出力します。

-S 連絡先のSAMサーバに一致します。デフォルトはローカル・ホストです。

-t timeout アクションを実行する時間（秒）を指定します。デフォルトは無期限です。

-f target 操作を実行するファイアウォールを指定します。デフォルトはすべての

ファイアウォールです。

-n name ［SAM name］フィールドに入力します。デフォルトは空です。

-c comment ［SAM comment］フィールドに入力します。デフォルトは空です。



設定

SmartDashboardで、以下の手順に従います。

1. ［Policy］>［Global Properties］>［Log and Alert］>［Alert Commands］をクリックし

ます。

2. 未使用の［Run UserDefined script］フィールドのいずれかに、以下のスクリプト・コマン

ドを入力します。

sam_alert -v2 -a r -t 60 -ip -src

これはサンプル・スクリプトです。以下の点に注意してください。

• 機能は、アクション（-a）がr（拒否）またはd（破棄）の場合のみ動作します。

• -t 60は変更できます。

• -ipと-srcは、悪意のあるコードを送信する攻撃者のみをブロックすることを表します。


-o originator ［SAM originator］フィールドに入力します。デフォルトは「sam_alert」です。

-l 指定の条件に一致する接続に対して発行するログを指定します。 r（通常）

またはa（警告）のいずれかになります。デフォルトはNone（なし）です。

-a 指定の条件に一致する接続に適用するアクションを指定します。 d（破棄）、

r（拒否）、n（通知）、b（バイパス）、q（隔離）、i（検査）のいずれかになります。

-C 指定の条件に一致する既存の通信をすべて終了します。

-ip IPアドレスを条件パラメータとして使用します。

-eth MACアドレスを条件パラメータとして使用します。

-src 接続の送信元アドレスに一致します。

-dst 接続の送信先アドレスに一致します。

-srv 特定の送信元、送信先、プロトコル、およびサービスに一致します。

-any 接続の送信元アドレスまたは送信先アドレスのいずれかに一致します。

表 1-7

引数説明


56

アクティビティのログ記録

スクリプトは、不正な行動が記録されると実行されます。

ログはSmartView Trackerで以下のように表示されます。

初のログ・エントリは、エンドポイント・ホストBroadwaterが隔離されたことを表します。2番目

のログ・エントリは、エンドポイント・ホストBroadwaterが隔離から解放され、ネットワークへ

の接続を許可されたことを表します。

手動によるコンピュータの隔離

以下のコマンドを使用してコンピュータを手動で隔離できます。

epq -o < status | list | is_amt | enable | disable [-l lastPolicyHandle] > -i

AMTdeviceIP [policyFileName]

表 1-8で、このコマンドの引数について説明します。

注：アクションはデフォルトでは記録されません。 sam_alertスクリプトを有効にするには、

それぞれの脅威に対して User Defined Alert（ユーザ定義の警告）を有効にする必要があり

ます。

表 1-8

引数説明

status ポリシーとルールのステータスを表示します。

list 隔離されたエンドポイント・コンピュータを一覧表示し

ます。

is_amt ユーザによる、コンピュータに AMT があるかどうかの

チェックを許可します。

enable ポリシーを有効にします。

disable 実施中のポリシーを無効にします。

-l lastPolicyHandle 有効にする後に認識されたポリシーです。

-i AMTdeviceIP 隔離するエンドポイント・コンピュータの IPアドレスを指

定します。

policyFileName 実施するポリシーを含むファイルの名前を指定します

（デフォルトの場所は$FWDIR/conf/AMT.confです）。

57

第章2認証

この章の構成

認証の必要性 58 ページ

認証のためのVPN-1ソリューション 59 ページ

認証の設定 71 ページ

認証の必要性

58

認証の必要性認証は、企業ネットワークへのアクセス権限を持つ、有効なユーザの身元を確認します。所属部署

が異なるスタッフに対して、組織内での責任レベルと役割に基づいてアクセス権限が割り当てられ

ます。認証によりシステムにアクセスしようとするすべてのユーザが有効なユーザであることを確

認できますが、アクセス権の定義は行いません。

認証のための VPN-1 ソリューション

第 2 章認証 59



VPN-1 認証の概要

VPN-1はクレデンシャルを使用して個々のユーザを認証します。認証情報はいくつかの認証スキーム

で管理されます。すべての認証スキームではユーザ名とパスワードを入力する必要があります。パス

ワードをVPN-1ゲートウェイに保存するスキームでも、外部サーバに保存するスキームでも同様

です。

VPN-1を使用して認証して、ネットワーク・リソースにアクセスするには、以下の3つの方法があ

ります。

ユーザ認証：管理者は同じホスト上のすべてのユーザにアクセスを許可するのではなく席から離れ

た特定のユーザのみにローカル・ネットワーク上で作業できるようにすることができます。ユーザ

認証は、Telnet、FTP、HTTP、およびRLOGINサービスでのみ使用できます。

セッション認証：すべてのサービスに対して認証メカニズムを提供します。認証セッションごとに

ユーザがクレデンシャルを入力する必要があります。認証を行うすべてのクライアントに、セッ

ション認証エージェントをインストールする必要があります。そのため、この方法は、各セッション

で複数の接続を開くHTTPの認証には適していません。クライアント認証と同様に、一度に1人の

ユーザのみが特定の IPから認証できるコンピュータを単一ユーザで使用する環境にも適してい

ます。

クライアント認証：許可された IPアドレスまたはホストからの複数のユーザと接続が許可されます。

クライアント認証はコンピュータ単位で行われます。たとえば、FINGERがクライアント・コン

ピュータに対して許可されている場合は、そのクライアントのすべてのユーザがFINGERの使用を

許可されます。認証中にパスワードの入力は要求されません。クライアント認証はコンピュータを

単一ユーザで使用する環境にも適しています。

クライアント認証の大の利点は、認証が任意の数の接続とすべてのサービスで使用可能であり、

認証を特定の時間だけ有効になるように設定できることです。

これらの認証方式は、暗号化されていない通信でも使用できます。

SecuRemote/SecureClientを使用したリモート・アクセス通信では認証が必要です。

VPN-1認証の概要 59 ページ

認証スキーム 60 ページ

認証方式 62 ページ


60

認証スキーム

認証スキームは、ユーザ名とパスワードを使用して有効なユーザを識別します。ローカルで管理

され、ユーザ名とパスワードがVPN-1ゲートウェイに保存されるスキームがあれば、外部で管理

され、ユーザ認証情報が外部認証サーバに保存されるスキームもあります。SecurIDなどのいくつ

かのスキームでは、ワン・タイム・パスワードを使用します。すべてのスキームで、LDAPサーバ

上で定義されたユーザを使用できます。 LDAPサーバと統合するためのVPN-1の設定の詳細につい

ては、『SmartCenter』の「SmartDirectory（LDAP）とユーザ管理」の章を参照してください。

チェック・ポイント・パスワード

VPN-1は、SmartCenterサーバで設定された各ユーザの固定パスワードをローカルのユーザ・デー

タベースに保存できます。追加のソフトウェアは必要ありません。

オペレーティング・システム・パスワード

VPN-1は、VPN-1がインストールされているコンピュータのオペレーティング・システムに保存さ

れているユーザ情報とパスワードを使用して認証できます。 Windowsドメインに保存されている

パスワードを使用することもできます。追加のソフトウェアは必要ありません。

RADIUSRADIUS（Remote Authentication Dial-In User Service）は、認証機能をアクセス・サーバから切り

離すことで、セキュリティとスケーラビリティを提供する外部認証スキームです。

RADIUSを使用すると、VPN-1はリモート・ユーザの認証要求をRADIUSサーバに転送します。ユー

ザ・アカウント情報を保存するRADIUSサーバがユーザを認証します。

RADIUSプロトコルでは、UDPを使用してゲートウェイと通信します。RADIUSサーバとRADIUSサーバ・グループ・オブジェクトは、SmartDashboardで定義します。 RADIUSの設定の詳細につ

いては、85ページの「VPN-1ゲートウェイのRADIUS使用の設定」を参照してください。


第 2 章認証 61

SecurIDSecurIDでは、ユーザがトークン認証コードを所有し、PINまたはパスワードを入力する必要があ

ります。トークン認証コードはRSA ACE/Serverに同期されるワン・タイム・パスワードを生成し

ます。トークンはハードウェアまたはソフトウェアの形式で提供されます。ハードウェア・トーク

ンは、鍵リングまたはクレジット・カード・サイズのデバイスです。ソフトウェア・トークンは、

PCまたはユーザが認証に使用するデバイスに保存されます。すべてのトークンは、約1分ごとに

変更される、ランダムで一度だけ使用されるアクセス・コードを生成します。ユーザが、保護され

たリソースに対して認証しようとする場合は、一度だけ使用されるコードがACE/Serverによって

検証される必要があります。

SecurID を使用すると、VPN-1 はリモート・ユーザの認証要求を ACE/Server に転送します。

ACE/Serverは、RSAユーザ、およびそのユーザに割り当てられたハードウェア・トークンまたは

ソフトウェア・トークンのデータベースを管理します。 VPN-1ゲートウェイはACE/Agent 5.0とし

て動作し、すべてのアクセス要求を認証のためにRSA ACE/Serverに転送します。エージェント設

定の詳細については、ACE/Serverのマニュアルを参照してください。

SecurID認証スキームに必要な固有のパラメータはありません。 SecurIDの設定の詳細については、

89ページの「VPN-1ゲートウェイのSecurID使用の設定」を参照してください。

TACACSTACACS（Terminal Access Controller Access Control System）は、1つまたは複数の中央サーバに

より、ルータ、ネットワーク・アクセス・サーバ、および他のネットワーク・デバイスのアクセス

管理を行います。

TACACSは検証サービスを提供する外部認証スキームです。 TACACSを使用すると、VPN-1はリ

モート・ユーザの認証要求をTACACSサーバに転送します。ユーザ・アカウント情報を保存する

TACACSサーバがユーザを認証します。このシステムは物理的なカード鍵デバイスまたはトークン・

カード、およびKerberos秘密鍵認証をサポートします。TACACSは、通信の安全性を確保するた

めに、すべての認証要求のユーザ名、パスワード、認証サービス、およびアカウント情報を暗号化

します。

TACACSの設定の詳細については、91ページの「VPN-1ゲートウェイのTACACS+使用の設定」を

参照してください。.

Undefinedユーザの認証スキームをundefined（未定義）と定義できます。未定義認証スキームを持つユーザが

何らかの形式の認証を使用するセキュリティ・ルールに一致した場合は、アクセスは常に拒否され

ます。


62

認証方式


認証方式について

ファイアウォール管理者は、接続を単純に許可または拒否するセキュリティ・ルールを作成する代

わりに、クライアントが特定のネットワーク・リソースにアクセスしようとしたときに認証するよ

うに要求できます。

認証方式としては、ユーザ認証、セッション認証、およびクライアント認証があります。これらの

認証方式では、提供するサービス、ログオン・メカニズム、および全体的なユーザ・エクスペリエ

ンスが異なります。各認証方式は、VPN-1ゲートウェイにクライアントを接続して認証したあとで、

目的のリソースに接続を渡すように設定できます（このプロセスは非トランスペアレント認証と呼

ばれます）。または、クライアントを対象サーバに直接接続するように設定できます (このプロセス

はトランスペアレント認証と呼ばれます )。

ここでは、ユーザが各認証方式を使用してどのように認証するかについて説明します。認証方式の

設定の詳細については、71ページの「認証の設定」を参照してください。

ユーザ認証

ユーザ認証は、Telnet、FTP、HTTP、およびRLOGINサービスの認証機能を提供します。ユーザ認

証はデフォルトでトランスペアレント認証です。ユーザは直接VPN-1ゲートウェイに接続せず、対

象となるサーバに接続します。

一般的なユーザ認証方式のワークフローを以下に示します。

1. VPN-1は、クライアントとサーバ間の通信を傍受します。

2. VPN-1はユーザ名とパスワードを要求します。

3. ユーザが正常に認証された場合、VPN-1は接続をリモート・ホストに渡します。指定された

接続試行回数内に不正な認証情報が提供された場合は、接続が破棄されます。

認証方式について 62 ページ

ユーザ認証 62 ページ

セッション認証 65 ページ

クライアント認証 66 ページ


第 2 章認証 63

4. リモート・ホストは、ユーザ名とパスワードをユーザに要求します。

以下のセクションでは、ユーザ認証方式を使用したTelnetおよびFTP認証スキームの例を示します。

Telnet セッションの認証

以下は、「ユーザ認証」認証方式と「オペレーティング・システム・パスワード」認証スキームを

使用した、10.11.12.13へのTelnetセッションの認証例を示しています（RLOGINもほとんど同様）。

FTP セッション認証

「ユーザ認証」認証方式と「オペレーティング・システム・パスワード」認証スキームを使用して

10.11.12.13へのFTPセッションを認証するには、以下の手順に従います。

1. 10.11.12.13へのFTPセッションを開始します。

2. ユーザ名を以下の形式で入力します。

たとえば、

注：ユーザ・オブジェクトを設定するときに、ユーザがアクセスを許可される場所を設定で

きます。しかし、これは、何らかの形式の認証を必要とするセキュリティ・ルールと競合す

る可能性があります。詳細については、79 ページの「アクセスの競合の解決」を参照して

ください。

# telnet 10.11.12.13Trying 10.11.12.13...Connected to 10.11.12.13.

Escape character is ‘^]’.Check Point FireWall-1 authenticated Telnet server running on towerUser: fbloggsFireWall-1 password: *******User fbloggs authenticated by FireWall-1 authenticationConnected to 10.11.12.13......login:

# ftp 10.11.12.13Connected to 10.11.12.13.220 Check Point FireWall-1 Secure FTP server running on tower Name (10.11.12.13:fbloggs):

FTPユーザ @FireWall-1ユーザ @接続先ホスト

ftpuser@[email protected] password: you can use password@password


64

3. 以下のように、FTPパスワードの後にチェック・ポイント・パスワードを入力します。

注：ユーザ名に「@」記号を使用するには、「@@」と入力します。たとえば、FTP ユーザ名が

user@domain の形式になっている場合、ユーザ名の形式は次のようになります。

user@@domain@FireWall-1 ユーザ @ 接続先ホスト

4. 以下のuserコマンドを使用してログインします。

HTTP のユーザ認証のタイムアウトに関する考慮事項

HTTPのユーザ認証では、Webブラウザが接続ごとにサーバに対してパスワードを自動的に提供す

るので、HTTP用ユーザ認証でワン・タイム・パスワードを使用しているときは、セキュリティ上、

特別な注意が必要になります。

ワン・タイム・パスワードを使用するユーザに対して接続ごとに新しいパスワードを強制的に生成

させるのを避けるために、HTTPセキュリティ・サーバはパスワードの有効期限を、［Check PointGateway］ウィンドウの［Authentication］ページの［User Authentication session timeout］オプションで指定した時間だけ延長します。これにより、ワン・タイム・パスワードを使用する

ユーザは、この時間内には各要求ごとに再認証を行う必要はありません。

セキュリティを強化するために、特定のタイプの要求に対してはユーザに再認証を要求できます。

たとえば、特定のHTTPサーバに対するすべての要求で新しいパスワードが必要になるように指定

したり、サーバの設定を変更する要求で新しいパスワードが必要になるように指定したりできます。

認証パラメータを設定するには、［Global Properties］>［FireWall］>［Security Server］ページ

の［HTTP Server］定義の［Reauthentication］オプションを再定義します。

ユーザ認証の設定の詳細については、73ページの「ユーザ認証の設定」を参照してください。

Password: ftppass@xyz987230-User fbloggs authenticated by FireWall-1 authentication 230-Connected to server. Logging in...230-220 bigben ftp server (UNIX(r) System V Release 4.0) ready.ftp>

ftp> user anonymous331 Anonymous access allowed, send identity (e-mail name) as password.Password: [email protected] Anonymous user logged in.ftp>


第 2 章認証 65

セッション認証

セッション認証は任意のサービスに使用できますが、ユーザの身元を確認するためにセッション認

証エージェントが必要です。セッション認証エージェントは通常、認証を行うクライアントにイン

ストールされます。この場合、対象ホストへの接続を開始するユーザが認証クレデンシャルを提供

します。セッション認証では接続ごとに認証手順が必要です。ただし、セッション認証エージェン

トは、対象のコンピュータまたはネットワーク内の他のコンピュータにインストールして、そのコン

ピュータのユーザがユーザ名とパスワードを入力できるようにすることもできます。

図 2-1に［FireWall-1 Session Authentication］ウィンドウを示します。ユーザ名を入力すると、

別のプロンプトでパスワードが要求されます。

図 2-1 ［FireWall-1 Session Authentication］ウィンドウ

一般的なセッション認証のワークフローを以下に示します。

1. ユーザがサーバに直接、接続を開始します。

2. VPN-1がこの接続を傍受します。

3. セッション認証エージェントはユーザに認証データを要求し、VPN-1にこの情報を返します。

4. 認証に成功すると、VPN-1はこの接続がゲートウェイを通過して目的のサーバに接続するこ

とを許可します。

セッション認証とセッション認証エージェントの設定の詳細については、74ページの「セッション

認証の設定」を参照してください。

注：ユーザ・オブジェクトを設定するときに、ユーザがアクセスを許可される場所を設定で

きます。これは、何らかの形式の認証を必要とするセキュリティ・ルールと競合する可能性

があります。詳細については、79 ページの「アクセスの競合の解決」を参照してください。


66

クライアント認証


クライアント認証とサインオンの概要

クライアント認証は、任意のサービスを認証するために使用できます。これは、特定の IPアドレス

からのアクセスを無制限の数の接続に対して許可することができます。クライアント・ユーザが認

証プロセスを実行しますが、アクセスを許可されるのはクライアント・コンピュータです。クライ

アント認証は、許可された IPアドレスまたはホストからの複数のユーザによる接続のアクセスが許

可されるため、ユーザ認証よりも安全性が低くなります。認証はコンピュータごとに、初期ログイ

ン手順のないサービスに対して行われます。クライアント認証の利点は、認証が無限の数の接続お

よびすべてのサービスにおいて使用可能であり、認証を任意の時間だけ有効にできることです。

クライアント認証とサインオンの概要 66 ページ

Manual Sign On（手動サインオン） 67 ページ

Waitモード 69 ページ

Partially Automatic Sign On（半自動サインオン） 69 ページ

Fully Automatic Sign On（全自動サインオン） 69 ページ

Agent Automatic Sign On（エージェント自動サインオン） 70 ページ

Single Sign On（シングル・サインオン） 70 ページ

注：ユーザ・オブジェクトを設定するときに、ユーザがアクセスできる場所を設定できます。

しかし、これによって、何らかの形式の認証を必要とするセキュリティ・ルールとのあいだで

問題が発生する可能性があります。詳細については、79 ページの「アクセスの競合の解決」を



第 2 章認証 67

クライアント認証はすべてのサインオン方法で使用できます。表 2-1に、異なるサインオン方法で、

認証されたサービスおよびその他のサービスに対して選択できる認証方式を示します。手動クライ

アント認証以外のサインオン方法では、VPN-1ゲートウェイはユーザから透過的で、ユーザは直接、

宛先ホストに対して認証を行います。

クライアント認証には以下の2つのサインオン・オプションがあります。

• Standard Sign On：ユーザはルールで許可されたすべてのサービスを利用できます。サービス

ごとに認証を行う必要はありません。

• Specific Sign On：ルールが複数のサービスを許可していても、ユーザは認証するときに指

定したサービスにのみアクセスできます。ユーザが異なるサービスを使用したい場合は、その

サービスに対して再認証する必要があります。

認証セッション終了時に、ユーザはサインオフできます。サインオフすると、ユーザはすべてのサー

ビスでリモート・ホストから切断されます。

Manual Sign On（手動サインオン）

手動サインオンは、クライアント認証ルールに指定された任意のサービスに対して使用できます。

ユーザはまずゲートウェイに接続して、以下の2つの方法のいずれかで認証を行う必要があります。

1. ゲートウェイのポート259へTelnetで接続します。

2. Webブラウザを利用してゲートウェイのポート900へHTTPで接続します。要求するURLに

は、http://Gateway:900などゲートウェイ名とポート番号を指定する必要があります。

表 2-1 クライアント認証サインオン方法

クライアント認証サインオン方法

認証されたサービスの認証方式：Telnet、FTP、HTTP、RLOGIN

その他のサービスの認証方式

手動ゲートウェイのポート259へのTelnetゲートウェイのポート900へのHTTP

ゲートウェイのポート259へのTelnetゲートウェイのポート900へのHTTP

半自動ユーザ認証使用不可

全自動ユーザ認証セッション認証

エージェント自動セッション認証セッション認証

シングル・サインオン UserAuthority UserAuthority


68

以下の例は、Standard Sign On方法を使用したクライアント認証を示しています。この例では、宛

先ホストとの接続を確立する前に、ユーザfbloggsはまずVPN-1ゲートウェイlondonに対して

認証を行います。

以下の例は、Specific Sign On方法を使用したクライアント認証を示しています。この例では、

異なるホストに対してrstatとfingerの2つのサービスをそれぞれ指定しています。

tower 1% telnet london 259Trying 191.23.45.67 ...Connected to london.Escape character is '^]'.CheckPoint FireWall-1 Client Authentication Server running on londonLogin: fbloggsFireWall-1 Password: ********User authenticated by FireWall-1 auth.

Choose:(1) Standard Sign On(2) Sign Off(3) Specific Sign On

Enter your choice: 1

User authorized for standard services (1 rules)Connection closed by foreign host.

tower 3% telnet london 259Trying 191.23.45.67 ...Connected to london.Escape character is '^]'.CheckPoint FireWall-1 Client Authentication Server running on londonLogin: jimFireWall-1 Password: ********User authenticated by Internal auth.

Choose:(1) Standard Sign On(2) Sign Off(3) Specific Sign On

Enter your choice: 3Service: rstatHost: palaceClient Authorized for serviceAnother one (Y/N): YService: fingerHost: thamesClient Authorized for serviceAnother one (Y/N): nConnection closed by foreign host.


第 2 章認証 69

Wait モード

Waitモードは、ユーザがゲートウェイのポート259とのTelnetセッションによるクライアント認証

接続を開始するときに利用可能な、手動サインオンのクライアント認証機能です。

Waitモードは、サインオフしてクライアント認証特権を取り消すために新しいTelnetセッションを

開く必要がないようにします。 Waitモードでは、クライアント認証により得られた特権が有効に

なっているかぎり、初のTelnetセッションが開いたままになります。クライアント認証特権は、

Telnetセッションを閉じると取り消されます。

VPN-1は、認証クライアントへPingを出すことによってTelnetセッションを開いたままにします。

何らかの原因でクライアント・コンピュータが動作を停止すると、VPN-1はTelnetセッションを閉

じ、接続した IPアドレスのクライアント認証特権が取り消されます。

Wait モードを利用できるのは、Standard Sign Onが指定されたクライアント認証ルールのみです。

Wait モードでは、Specific Sign Onが指定されたクライアント認証ルールは適用されません。

Partially Automatic Sign On（半自動サインオン）

半自動サインオンは、Telnet、FTP、HTTP、およびRLOGINの各認証サービスがクライアント認証

ルールに指定されている場合に限り、それらの認証サービスに対して使用できます。ユーザがいず

れかの認証サービスを使用してリモート・ホストへの接続を試みる場合は、ユーザ認証を使用して

認証を行う必要があります。半自動クライアント認証を使用する場合は、ゲートウェイ・コンピュー

タ上でポート80がアクセス可能なことを確認してください。

Fully Automatic Sign On（全自動サインオン）

全自動サインオンは、必要なサービスがクライアント認証ルールで指定されている場合のみ、任意の

サービスに対して使用できます。ユーザが認証サービス（Telnet、FTP、HTTP、およびRLOGIN）を

使用してリモート・ホストへの接続を試みる場合には、ユーザ認証を使用して認証を行う必要があ

ります。ユーザがその他のサービスを使用してリモート・ホストへの接続を試みる場合には、正し

くインストールされたセッション認証エージェントを使用して認証を行う必要があります。全自動

クライアント認証を使用する場合は、ゲートウェイ・コンピュータ上でポート80がアクセス可能

なことを確認してください。


70

Agent Automatic Sign On（エージェント自動サインオン）

エージェント自動サインオンは、必要なサービスがクライアント認証ルールに指定されていて、

セッション認証エージェントが正しくインストールされている場合のみ使用できます。

ユーザが任意のサービスを使用してリモート・ホストへの接続を試みる場合には、セッション認証

エージェントを使用して認証を行う必要があります。

Single Sign On（シングル・サインオン）

シングル・サインオンは、必要なサービスがクライアント認証ルールで指定され、UserAuthorityがインストールされている場合のみ、任意のサービスに対して使用できます。

シングル・サインオンは、ネットワークへの透過的なアクセスを可能にするチェック・ポイントの

アドレス管理機能です。 VPN-1はユーザの IPアドレスの記録を参照し、指定された IPアドレスに

ログインしているユーザを確認します。シングル・サインオンが有効になっているルールに接続が

適合した場合、VPN-1はUserAuthorityにパケットの発信元 IPアドレスとともにクエリを送信します。

UserAuthorityは、IPアドレスに登録されているユーザの名前を返します。パケットは、ユーザ名が

認証されていれば許可され、そうでなければ破棄されます。

認証の設定

第 2 章認証 71

認証の設定


ユーザとグループの作成

認証ルールは、個々のユーザではなくユーザのグループごとに定義します。したがって、認証ルー

ルを定義するには、まずユーザを定義してグループに追加する必要があります。ユーザは、VPN-1独自のユーザ・データベースまたはLDAPサーバを使用して定義できます。LDAPとの統合の詳細

については、『SmartCenter』の「SmartDirectory（LDAP）とユーザ管理」を参照してください。

以下の手順で、グループを作成し、テンプレートを使用してVPN-1ユーザを作成し、ユーザをグ

ループに追加してユーザ情報をデータベースにインストールする方法について説明します。ユーザ

とグループの作成の詳細については、『SmartCenter』の「SmartCenterの概要」を参照してください。

ユーザ・グループの作成

ユーザ・グループを作成するには、以下の手順に従います。

1. オブジェクト・ツリーの［Users and Administrators］タブから［User Groups］を選択し

ます。

2. 右クリックし、［New Group...］を選択します。［Group Properties］ウィンドウが開きます。

3. グループに名前を付けます。

4. ユーザをグループに追加するには、72ページの「ユーザの作成」を参照してください。

ユーザとグループの作成 71 ページ

ユーザ認証の設定 73 ページ

セッション認証の設定 74 ページ

クライアント認証の設定 78 ページ

認証トラッキングの設定 84 ページ

VPN-1ゲートウェイのRADIUS使用の設定 85 ページ

RADIUSサーバ・グループを使用したユーザ・アクセス権の付与 87 ページ

RADIUSサーバとVPN-1ゲートウェイの関連付け 88 ページ

VPN-1ゲートウェイのSecurID使用の設定 89 ページ

VPN-1ゲートウェイのTACACS+使用の設定 91 ページ

Windowsユーザ・グループ用のポリシーの設定 92 ページ

認証の設定

72

ユーザ・テンプレートの作成

ユーザ・テンプレートを作成するには、以下の手順に従います。

1. オブジェクト・ツリーの［Users and Administrators］タブから［Users］を選択します。

2. ［Templates］ブランチを右クリックし、［New Template...］を選択します。［User Template Properties］ウィンドウが開きます。

3. テンプレートに名前を付けます。

4. ［Groups］タブで、このテンプレートを基にするユーザが属する必要のあるすべてのグルー

プをユーザ・テンプレートに追加します。

5. ［Authentication］タブで、ユーザに対する適切な認証スキームを選択します。

6. 残りのタブでは、ユーザ・テンプレートの必要なプロパティを入力します。

テンプレートを作成すると、指定したテンプレートを基に作成したすべてのユーザは、グループの

メンバシップを含む、テンプレートのプロパティを継承します。テンプレートのプロパティを変更

すると、その変更は以後そのテンプレートを使用して作成するユーザに対してのみ影響します。そのテンプレートを使用して以前に作成されたユーザは影響を受けません。

ユーザの作成

ユーザを作成するには、以下の手順に従います。

1. オブジェクト・ツリーの［Users］ブランチで右クリックし、新規ユーザのプロパティの基に

なるテンプレートを選択します。［User Properties］ウィンドウが開きます。

2. ユーザ・データを入力します。テンプレートからユーザが継承したプロパティは、テンプレー

トを変更せずに変更できます。

データベース内のユーザ情報のインストール

ユーザとグループはルール・ベースとは別にインストールできます。つまり、ルール・ベースを再

インストールせずにユーザとグループを更新できます。

ユーザ・データベースをインストールするには、以下の手順に従います。

• SmartDashboardのメニューから［Policy］>［Install Database...］を選択します。

認証の設定

第 2 章認証 73

ユーザ認証の設定

ユーザ認証を設定するには、以下の手順に従います。

1. 必要なユーザとグループの認証を設定し、ユーザ・データベースをインストールします（詳細

については、71ページの「ユーザとグループの作成」を参照してください）。

2. 以下の手順に従って、ユーザ認証アクセス・ルールを定義します。

a. ［Source］カラムを右クリックして［Add User Access...］を選択し、グループを選択します。

b. 認証ユーザの場所を限定するには、同じウィンドウの［Location］セクションで

［Restrict To］を選択し、ユーザがアクセスできるホスト、ホストのグループ、ネット

ワーク、またはネットワーク・グループを選択します。

c. ［Service］フィールドで、認証するサービスを選択します。

d. ［Action］カラムで［User Auth］を選択します。表 2-2に、HTTPユーザ認証ルールを示

します。

3. ［Action］カラムをダブルクリックして［Session Authentication Action Properties］を編

集します。

4. 必要に応じて、VPN-1ゲートウェイ・オブジェクトの［Authentication］ページで［User Authentication session timeout］を調整します。


ユーザ認証ルールの順序の重要性

Telnet、FTP、HTTP、およびRLOGINサービスに対するユーザ認証ルールを定義するときに、これ

らのサービスを使用する他の非認証ルールが存在する場合は、ユーザ認証ルールは必ずそれらの

ルールの後に設定してください。

表 2-2 HTTP および FTP のユーザ認証ルール

SOURCE DESTINATION VPN SERVICE ACTION

Alaska_Users@Any Alaska_LAN Any Traffic HTTPFTP

User Auth

認証の設定

74

セッション認証の設定

セッション認証を設定するには、以下の手順に従います。

1. セッション認証エージェントを使用する場合は、セッション認証を利用するすべてのコン

ピュータのデスクトップにエージェントをインストールして設定します（詳細については、

75ページの「セッション認証エージェントのインストールと設定」を参照してください）。

2. 認証に必要なユーザとグループを設定し、ユーザ・データベースをインストールします

（詳細については、71ページの「ユーザとグループの作成」を参照してください）。

3. ゲートウェイを表すチェック・ポイント・ゲートウェイ・オブジェクトを編集し、

［Authentication］ページで必要な認証スキームを有効にします。ゲートウェイはユーザに定

義されたすべての認証スキームをサポートする必要があります。たとえば、一部のユーザが

チェック・ポイント・パスワードを使用し、他のユーザがRADIUS認証を使用する場合は、

両方のスキームを選択します。

4. 以下の手順に従って、セッション認証アクセス・ルールを定義します。

a. ［Source］カラムを右クリックして［Add User Access...］を選択し、グループを選択します。ウィンドウを閉じないでください。





d. ［Action］カラムで［Session Auth］を選択します。表 2-3に典型的なセッション認証

ルールを示します。

5. ［Action］カラムをダブルクリックして［Session Authentication Action Properties］を編

集します。

6. 必要に応じて、［Global Properties］の［Authentication］ページでセッション認証の

［Failed Authentication Attempts］設定を調整します。


表 2-3 HTTP および FTP のセッション認証ルール



Session Auth

認証の設定

第 2 章認証 75

セッション認証エージェントのインストールと設定

セッション認証エージェントをインストールして設定するには、以下の手順に従います。

1. CD-ROMからセッション認証エージェントをインストールします。セッション認証エージェ

ントは、通常、認証を行うクライアントにインストールされます。この場合、対象ホストに

接続する必要があるユーザが認証クレデンシャルを提供します。セッション認証エージェン

トは、対象のコンピュータまたはネットワーク内の他のコンピュータにインストールするこ

ともできます。その場合、エージェントがインストールされているコンピュータのユーザが、

認証クレデンシャルを入力するよう求められます。

2. Windowsコンピュータでは、システム・トレイのセッション認証エージェント・アイコンを

ダブルクリックします。［FireWall-1 Session Authentication］ウィンドウ（図 2-2）が開き

ます。

図 2-2 ［FireWall-1 Session Authentication］ウィンドウ

3. ［Configure］をクリックします。［Configuration］ウィンドウが開き、［Passwords］タブ

（図 2-3）が表示されます。［Passwords］タブで、ユーザにパスワードを要求する頻度を指

定します。ワン・タイム・パスワード（SecurIDなど）はキャッシュできません。

図 2-3 ［Configuration］ウィンドウ - ［Passwords］タブ

認証の設定

76

4. 以下のいずれかのオプションを選択します。

• Every request： VPN-1が認証を要求するたびに、ユーザにパスワードを要求します。

セッション認証ルールが適用されるセッションをユーザが開始するたびに、ユーザに

パスワードを要求します。パスワードのキャッシュは行われません。

• Once per session：セッション認証エージェントのセッションのたびに、ユーザにパス

ワードを要求します。ユーザがパスワードを入力すると、セッション認証エージェントは

このパスワードを無期限にキャッシュします。ワン・タイム・パスワードに対しては、こ

のオプションを使用できません。セッション認証エージェントのセッションを閉じてから

再開する場合、ユーザは再びパスワードを入力する必要があります。

• After ... minutes of inactivity：［Once per session］オプションと似ていますが、指定

された時間内に認証要求が行われないと、ユーザは再びパスワードを要求されます。

5. ［Configuration］ウィンドウで［Allowed FireWall-1］タブを選択します。［Allowed Firewall-1］タブが表示されます（図 2-4）。［Allowed FireWall-1］タブでは、セッション

認証エージェントが認証サービスを提供するVPN-1ゲートウェイを指定できます。

図 2-4 ［Configuration］ウィンドウ - ［Allowed FireWall-1］タブ

6. 以下のいずれかのオプションを選択します。

• Any IP Address：セッション認証エージェントは、すべてのVPN-1ゲートウェイに対し

て認証サービスを提供します。

• IP Address：セッション認証エージェントは、ユーザが指定した IPアドレス上で動作し

ているVPN-1ゲートウェイに対してのみ認証サービスを提供します（IPアドレスは3つ

まで指定できます）。

認証の設定

第 2 章認証 77

7. ［Configuration］ウィンドウで［Options］タブを選択します。［Options］タブが表示され

ます（図 2-5）。［Options］タブでは、クリア・パスワードとアドレスの解決を許可するかど

うかを指定できます。

図 2-5 ［Configuration］ウィンドウ - ［Options］タブ

適切なオプションを選択して、［OK］ボタンをクリックします。

セッション認証エージェントの起動

セッション認証エージェントを起動するには、以下の手順に従います。

• Windowsのシステム・トレイから、小化されたセッション認証エージェント・アイコンを

クリックします。これで、ユーザはセッション認証エージェントを設定したり、VPN-1ゲー

トウェイから認証要求を受け取ることができます。

認証の設定

78

クライアント認証の設定このセクションの構成

基本的なクライアント認証の設定の実行

基本的なクライアント認証の設定を実行するには、以下の手順に従います。

1. 認証に必要なユーザとグループを設定し、ユーザ・データベースをインストールします

（詳細については、71ページの「ユーザとグループの作成」を参照してください）。

2. VPN-1ゲートウェイを表すチェック・ポイント・ゲートウェイ・オブジェクトを編集し、

［Authentication］ページで必要な認証スキームを有効にします。ゲートウェイはユーザに定

義されたすべての認証スキームをサポートする必要があります。たとえば、一部のユーザが

チェック・ポイント・パスワードを使用し、他のユーザがRADIUS認証を使用する場合は、

両方のスキームを選択します。

3. 以下の手順に従って、クライアント認証アクセス・ルールを定義します。

a. ［Source］カラムを右クリックして［Add User Access...］を選択し、グループを選択します。ウィンドウを閉じないでください。





d. ［Action］カラムで［Client Auth］を選択します。表 2-4にHTTPおよびFTPのクライア

ント認証ルールを示します。

基本的なクライアント認証の設定の実行 78 ページ

クライアント認証のWaitモードの有効化 79 ページ

アクセスの競合の解決 79 ページ

すべてのStandard Sign Onルールの認証 80 ページ

クライアント認証用ポート番号の変更 81 ページ

暗号化されたクライアント認証（HTTPS接続）の許可 82 ページ

表 2-4 HTTP および FTP のクライアント認証ルール



Client Auth

認証の設定

第 2 章認証 79

4. 半自動または全自動クライアント認証の場合は、ゲートウェイ・コンピュータ上でポート80がアクセス可能なことを確認してください。

5. ［Action］カラムをダブルクリックして［Client Authentication Action Properties］を編集

します。［Requires Sign On］と［Sign On Method］の設定については、66ページの「クラ

イアント認証」を参照してください。

6. すべてのクライアント認証ルールは、ユーザがVPN-1ゲートウェイにアクセスできるように、

VPN-1ゲートウェイへの直接接続を防止するルール（ステルス・ルール）よりも上に置きます。

7. 必要に応じて、［Global Properties］ウィンドウの［Authentication］ページでクライアント

認証の［Failed Authentication Attempts］設定を調整します。


クライアント認証の Wait モードの有効化

手動サインオンを使用し、ユーザがゲートウェイのポート259へのTelnetセッションで認証を行う

場合は、Waitモードを利用すると、サインオフしてクライアント認証特権を取り消すために新しい

Telnetセッションを開く必要がありません。

Waitモードを有効にするには、以下の手順に従います。

1. VPN-1ゲートウェイを表すチェック・ポイント・ゲートウェイ・オブジェクトを編集し、

［Authentication］ページで［Enable Wait Mode for Client Authentication］を選択します。

クライアント認証のWaitモードでは、VPN-1がユーザのホストに対してPingを行って、ゲー

トウェイのポート259へのTelnet接続を監視します。

2. 以下のようにして、Pingを有効にするルールを定義します。

• VPN-1ゲートウェイからユーザのホストへのecho-requestサービスを有効にします。

• ユーザのホストからVPN-1ゲートウェイへのecho-replyサービスを有効にします。

アクセスの競合の解決ユーザを設定する場合、ユーザがアクセスできる場所を定義できます。ただし、これを行うと、指

定していない場所へのアクセスはすべて禁止されるため、認証を必要とするセキュリティ・ルール

と競合する可能性があります。たとえば、ルールではMktg_netからFinance_netへのユーザの認証

されたアクセスが許可され、ユーザの［Location］タブではMktg_net内の接続のみが許可されて

いる場合は、VPN-1は、ユーザがFinance_netに接続しようとしたときに認証要求を許可してよい

かどうかがわかりません。

ルールの［Authentication Action Property］を編集することによって、このような競合を解決す

る方法を指定できます。このプロパティは、ルールの［Source］と［Destination］の両方に対し

て定義できます。

認証の設定

80

アクセスの競合を解決するには、以下の手順に従います。

1. 何らかの形式の認証を使用しているルールの［Action］フィールドを右クリックし、［Edit Properties］を選択します。

2. 以下のいずれかを実行します。

• ルールおよび各ユーザの［User Properties］ウィンドウの［Location］タブで指定した

より厳しいアクセス権を適用するには、［Intersect with User Database］を選択します。

• ルールで指定した場所に従ってアクセスを許可するには、［Ignore User Database］を選

択します。

すべての Standard Sign On ルールの認証

デフォルトでは、半自動または全自動サインオン方法は、正常に認証されたあとで1つのルール（サ

インオンを開始したルール）に対応する接続を許可します。たとえば、ある自動サインオン・ルー

ルに従ってユーザが正常に認証された場合、そのユーザは、そのルールによって許可されたサービ

スおよび接続先のみアクセスが許可されます。

半自動または全自動サインオンを使用して正常に認証されたあとですべてのStandard Sign Onが

指定されたルールに対応する接続を自動的に許可するようにVPN-1を設定できます。ユーザが自動

サインオン・ルールに従って正常に認証された場合は、そのユーザと発信元を定義するすべての

Standard Sign Onが指定されたルールに従って接続が許可されます。ユーザは、関連するルールに

よって許可されたすべてのサービスと接続先を使用できます（VPN-1は、クライアントを使用して

いるユーザを認識し、追加の認証が不要なことを認識します )。

半自動認証または全自動認証が成功したあとですべての関連するStandard Sign Onルールを許可

するには、GUIdbeditデータベース・ツールを使用して、VPN-1のデータベースの設定を変更します。

すべてのStandard Sign Onルールを許可するには、以下の手順に従います。

1. ローカル・ドライブのインストールされたSmartConsoleと同じディレクトリから、

GUIdbeditデータベース・ツールにアクセスします。

2. GUIdbeditを起動します。

3. automatically_open_ca_rulesというフィールドを探します。

4. 値をtrueに設定します。新しい値は、セキュリティ・ポリシーをインストールしたあとで有

効になります。

認証の設定

第 2 章認証 81

クライアント認証用ポート番号の変更

クライアント認証用ポート番号を変更するには、以下の手順に従います。

1. cpstopコマンドを実行して、VPN-1を停止します。

2. ［Manage］>［Service］>［Show］>［TCP Services］ウィンドウで、以下のサービスの

ポート番号を変更します。

• Telnetサインオンのポート番号を変更する場合は、FW1_clntauth_telnetサービスのポー

ト番号を変更します。

• HTTPサインオンのポート番号を変更する場合は、FW1_clntauth_httpサービスのポート

番号を変更します。

これらは、クライアント認証機能の一部として提供される特別なVPN-1サービスです。

3. テキスト・エディタを使用して $FWDIR/conf/fwauthd.confファイルを編集します。クライ

アント認証アプリケーションのポート番号を手順2で定義したのと同じポート番号に変更

します。

4. 以下のいずれかを実行します。

• Telnetサインオンの場合は、in.aclientd行の初のカラムを変更します。

• HTTPサインオンの場合は、in.ahclientd行の初のカラムを変更します。

図 2-6 $FWDIR/conf/fwauthd.confファイル

21fwssd in.aftpd wait 080 fwssd in.ahttpd wait 0513 fwssd in.arlogindwait 025 fwssd in.asmtpd wait 023 fwssd in.atelnetd wait 0259 fwssd in.aclientd wait 25910081 fwssd in.lhttpd wait 0900 fwssd in.ahclientdwait 9000 fwssd in.pingd respawn 00 fwssd in.asessiond respawn 00 fwssd in.aufpd respawn 00 vpn vpnd respawn 00 fwssd mdq respawn 00 xrm xrmdrespawn0-pr

警告：他の項目は変更しないでください。

認証の設定

82

5. 新しいポートへの接続を遮断するルールがないことを確認します。

6. cpstartコマンドを実行してVPN-1を再起動します。

クライアント認証の設定の詳細については、78ページの「クライアント認証の設定」を参照してく

ださい。

暗号化されたクライアント認証（HTTPS 接続）の許可

暗号化されたクライアント認証を設定するには、以下の手順に従います。

1. VPN-1ゲートウェイでcpstopコマンドを実行します。

2. $FWDIR/confディレクトリ内のfwauthd.confファイルを編集し、次の行を変更します。

次のように変更します。

3. ファイルを保存して閉じます。

4. cpstartを実行します。

5. SmartDashboardを開きます。

6. 次のルール（表2-5）を作成します。


900 fwssd in.ahclientd wait 900

900 fwssd in.ahclientd wait 900 ssl:defaultCert

注： defaultCertは、VPN-1 ゲートウェイの証明書リスト上のニックネームです。使用中の

ゲートウェイのニックネームを確認するには、［Gateway Properties］ウィンドウの

［VPN］ページを開き、［Certificates List］を参照します。

表 2-5

SOURCE DESTINATION SERVICE ACTION

User_group@Any Internal server https Client Auth（半自動

または手動モード）

注：このルールでは、正常に認証されたあとでクライアントと Web サーバの間の HTTPSトラフィックも許可されます。

認証の設定

第 2 章認証 83

8. クライアントのブラウザで以下の手順に従います。

a. 次の URL アドレスを入力します。https://<FireWall-1_name_or_IP_address>:900

b. ［Yes］をクリックして、VPN-1ゲートウェイの証明書を信頼します。

c. VPN-1ユーザ名を入力します。

d. ［OK］をクリックします。

e. ［Yes］をクリックします。

f. VPN-1パスワードを入力します。

g. ［Submit］をクリックします。

h. 次のURLアドレスを入力します。https://<Internal_Web_Server_IP_address>

i. ［Yes］をクリックします。

これで、VPN-1ゲートウェイと内部Webサーバの両方に対して認証されます。

認証の設定

84

認証トラッキングの設定

SmartView Trackerまたは電子メールや警告などの他のトラッキング・オプションを使用して、成功

および失敗した認証試行を監視できます。以下の種類の認証試行に対して認証トラッキングを設定

できます。

• 失敗した認証試行：あらゆる形式の認証についてトラッキングできます。

失敗した認証試行をトラッキングするには、以下の手順に従います。

• ゲートウェイ・オブジェクトの［Authentication］ページで、［Authentication Failure Track］プロパティを設定して、認証で失敗が発生した場合のトラッキング・オプションを

定義します。

• 成功した認証試行：クライアント認証についてトラッキングできます。

成功した認証試行をトラッキングするには、以下の手順に従います。

1. ［Client Authentication Action Properties］ウィンドウで、［Successful Authentication Tracking ］プロパティを設定して、すべての成功したクライアント認証

試行のトラッキング・オプションを定義します。

2. このオプションを設定するには、クライアント認証ルールの［Action］カラム内をダブル・

クリックします。デフォルト設定は［Log］です。

• すべての認証試行：あらゆる形式の認証についてトラッキングできます。

すべての認証試行をトラッキングするには、以下の手順に従います。

• 何らかの形式の認証を使用するルールの［Track］カラムでトラッキング・オプションを

選択します。ルールで設定されたトラッキング・オプションは、ゲートウェイ・オブジェ

クト内のトラッキング・ポリシー・セットに追加されます。たとえば、ゲートウェイ・

オブジェクトが、すべての失敗した認証試行をログに記録するように設定されている場

合は、ルールを［None］にしても効果がありません。失敗した認証試行は、SmartView Trackerでログに記録されます。ただし、ルールを［Alert］に設定すると、認証試行が失

敗するたびに警告が送信されます。

注： NG より前のバージョンのチェック・ポイント・ファイアウォールでは、［Global Properties］ウィンドウの［Authentication］ページの［Authentication Failure Track］プロパティで認証失敗のトラッキングを定義します。

認証の設定

第 2 章認証 85

VPN-1 ゲートウェイの RADIUS 使用の設定

RADIUS認証を使用するようにVPN-1ゲートウェイを設定するには、以下の手順に従います。

1. SmartDashboardで、［Manage］>［Network Objects］>［New］>［Node］>［Host...］を

選択し、RADIUSホスト・オブジェクトを作成します。

2. ホスト・オブジェクトに名前を付けて、IPアドレスを割り当てます。

3. ［Manage］>［Server and OPSEC Applications］>［New］>［RADIUS］を選択して

RADIUSサーバ・オブジェクトを作成し、以下の項目を設定します。

a. RADIUS サーバ・オブジェクトに名前を付けます。

b. RADIUSサーバ・オブジェクトを、手順1で作成したRADIUSホスト・オブジェクトに関

連付けます。

c. ポート1645サービス上の［RADIUS］またはポート1812上の［NEW-RADIUS］を選択

して［Service］を割り当てます (デフォルトの設定は［RADIUS］ですが、1645は同じ

ポート上で実行されるdatametricsサービスと競合する可能性があるため、RADIUS標準

グループでは［NEW-RADIUS］の使用を推奨しています）。

d. 実際のRADIUSサーバ上で設定したと同じ共有の秘密鍵を割り当てます。

e. ［RADIUS Ver. 1.0 Compatible］（RFC 2138準拠）または［RADIUS Ver. 2.0 Compatible］（RFC 2865準拠）を選択します。

f. 複数のRADIUS認証サーバを使用する場合は、RADIUSサーバの優先順位を割り当て

ます。

g. ［OK］をクリックします。

4. ゲートウェイ・オブジェクトを右クリックして、［Edit］>［Authentication］を選択します。

5. RADIUS認証を有効にします。

6. ［Manage］>［Users and Administrators］>［New］>［User Group］を選択してユーザ・

グループ（たとえばRADIUS_Users）を定義します。

7. ［Manage］>［Users and Administrators］>［New］>［User by Template］>［Default］を選択してVPN-1ユーザを作成し、RADIUS認証を有効にします。

8. 外部ユーザ・プロファイルを作成することによって、VPN-1ユーザ・アカウントを使用しな

いユーザに対してRADIUS認証を有効にすることができます。［Manage］>［Users and Administrators］>［New］>［External User Profile］>［Match all users...］または

［Match by domain...］を選択します。複数の外部認証スキームをサポートするには、

［Match By Domain］設定を使用して外部ユーザ・プロファイルを定義します。

認証の設定

86

9. すべてのユーザ・プロファイルとテンプレートについて以下の手順を実行します。

a. ［General］タブで、RADIUS サーバのデフォルトのログイン名を入力します（［Match all users］を外部ユーザ・プロファイルとして設定する場合は、「generic*」という名前が自動的に割り当てられます）。

b. ［Personal］タブで、［Expiration Date］を調整します。

c. ［Authentication］タブで、ドロップダウン・リストから［RADIUS］を選択します。

d. ［Groups］タブで、RADIUSグループにユーザを追加します。

10. アドレス変換ルール・ベースでファイアウォールとRADIUSサーバの間の通信が変換されない

ことを確認します。

11. ポリシーを確認して保存し、インストールします。

認証の設定

第 2 章認証 87

RADIUS サーバ・グループを使用したユーザ・アクセス権の付与

VPN-1ゲートウェイを使用すると、管理者がユーザに割り当てたRADIUSグループにより、認証さ

れたRADIUSユーザのアクセス権を制御できます。これらのグループは、特定のリソースへのアク

セスをユーザに制限または許可するためにセキュリティ・ルール・ベースで使用されます。ユーザ

は自分が所属しているグループを認識しません。

RADIUSグループを使用するには、RADIUSサーバ上のRADIUSユーザ・プロファイルで戻り属性

を定義する必要があります。この属性はVPN-1ゲートウェイに返され、ユーザが属するグループ名

（たとえば、RAD_<RADIUSユーザが属するグループ>）を含んでいます。他のRADIUS属性も使用できま

すが、デフォルトではClass属性が使用されます（IETF RADIUS属性番号25）。

RADIUSサーバ・グループを使用してアクセス権を付与するには、以下の手順に従います。

1. VPN-1ゲートウェイで、85ページの「VPN-1ゲートウェイのRADIUS使用の設定」の手順1から手順4を実行します。

2. ［Manage］>［Users and Administrators］>［New...］>［External User Profile］>［Match all users...］を選択して外部ユーザ・プロファイルを作成します。これは generic*ユーザです。

3. ［Authentication］タブで、認証スキームとして［RADIUS］を選択して、ドロップダウン・

リストから、作成したRADIUSサーバ（ノードではない）を選択します。

4. ［Manage］>［Users and Administrators］>［New］>［User Group］を選択して、必要

なRADIUSユーザ・グループを定義します。グループの名前は、RAD_<RADIUSユーザが属する

グループ>の形式にする必要があります。グループが空であることを確認します。

5. RADIUSユーザのアクセスを許可するために必要なルールを作成します。

6. 変更を保存し、SmartDashboardを終了します。

7. SmartCenterサーバでcpstopを実行します。

8. SmartCenterサーバで、グラフィカル・データベース・ツール（GUIdbEdit）を使用し、

add_radius_groups属性の値をfalseからtrueに変更します。

9. SmartCenterサーバでcpstartを実行します。


11. RADIUSサーバでRADIUSユーザを変更して、ユーザがアクセスするユーザ・グループに対

応する戻り属性のリストに「class」RADIUS属性が含まれるようにします。

「class」属性の代わりに別の属性を使用するには、以下のいずれかを実行します。

• VPN-1ゲートウェイでGUIdbEditを使用して、firewall_properties属性

radius_groups_attrの値を新しいRADIUS属性に変更します。RADIUSサーバ上で、

ユーザがアクセスするファイアウォール・ユーザ・グループに対応する戻り属性の

リストで、同じRADIUS属性を使用していることを確認します。

認証の設定

88

RADIUS サーバと VPN-1 ゲートウェイの関連付け

［User Properties］の［Authentication］タブでユーザをRADIUS認証サーバに関連付けることが

できます。また、ゲートウェイをRADIUSサーバと関連付けることもできます。これにより、ユー

ザとRADIUSサーバの関連付けは無効になります。このためには、dbeditコマンドを使用して

VPN-1データベースを編集します。

1つ以上のRADIUSサーバをゲートウェイに関連付けるには、以下の手順に従います。

1. 以下のdbeditコマンドを実行します。

2. RADIUSサーバとVPN-1ゲートウェイの関連付けをなくし、ユーザが常に［User Properties］の［Authentication］タブで指定されたRADIUSサーバに対して認証されるようにするには、

以下のdbeditコマンドを実行して、VPN-1データベースの別の属性を falseに設定します

modify network_objects <gw obj> radius_server servers:<radius obj>

modify users <user obj> use_fw_radius_if_exist false

認証の設定

第 2 章認証 89

VPN-1 ゲートウェイの SecurID 使用の設定

SecurIDを使用するようにVPN-1ゲートウェイを設定するには、以下の手順に従います。

1. sdconf.recファイルを生成し、ACE/Serverから次の場所にコピーします。

• /var/ace/sdconf.rec（UNIX、Linux、IPSOの場合）

• %SystemRoot%¥System32¥sdconf.rec（Windowsの場合）

2. SmartDashboardでゲートウェイ・オブジェクトを右クリックして、［Edit］>［Authentication］ページを選択します。

3. SecurID認証を有効にします。


グループ（たとえばSecurID_Users）を定義します。

5. ［Manage］>［Users and Administrators］>［New］>［User by Template］>［Default］を

選択してVPN-1ユーザを作成し、SecurID認証を有効にします。

6. 外部ユーザ・プロファイルを作成することによって、VPN-1ユーザ・アカウントを使用しない

ユーザに対してSecurID認証を有効にすることができます。［Manage］>［Users and Administrators］>［New］>［External User Profile］>［Match all users...］または

［Match by domain...］を選択します。複数の外部認証スキームをサポートするには、

［Match By Domain］設定を使用して外部ユーザ・プロファイルを設定します。


a. ［General］タブで、ACE/Server のデフォルトのログイン名を入力します（［Match all users］を外部ユーザ・プロファイルとして設定する場合は、「generic*」という名前が自動的に割り当てられます）。


c. ［Authentication］タブで、ドロップダウン・リストから［SecurID］を選択します。

d. ［Groups］タブで、SecurIDグループにユーザを追加します。

8. アドレス変換ルール・ベースでファイアウォールとACE/Serverの間の通信が変換されない

ことを確認します。


認証の設定

90

VPN-1ゲートウェイに複数のインタフェースがある場合は、状況によっては、VPN-1のSecurIDエージェントが誤ったインタフェース IPを使用してACE/Serverからの返信を複合化し、認証が

失敗することがあります。

この問題を解決するには、sdopts.recという新しいテキスト・ファイルをsdconf.recと同じ

ディレクトリに置きます。このファイルには、CLIENT_IP=<ip>行を含める必要があります。

<ip>は、ACE/Serverで定義されたVPN-1のプライマリ IPです。これはサーバにルーティング

されるインタフェースの IPです。

認証の設定

第 2 章認証 91

VPN-1 ゲートウェイの TACACS+ 使用の設定

TACACS+を使用するようにVPN-1ゲートウェイを設定するには、以下の手順に従います。

1. SmartDashboardで、［Manage］>［Network Objects］>［New］>［Node］>［Host...］を

選択し、TACACSホスト・オブジェクトを作成します。

2. ホスト・オブジェクトに名前を付けて、IPアドレスを割り当てます。

3. ［Manage］>［Server and OPSEC Applications］>［New］>［TACACS］を選択して

TACACSサーバ・オブジェクトを作成し、以下の項目を設定します。

a. TACACS サーバ・オブジェクトに名前を付けます。

b. TACACSサーバ・オブジェクトを手順1で作成したTACACSホスト・オブジェクトに関

連付けます。

c. 実行するTACACSのタイプを選択します（デフォルトはTACACSですが、TACACS+を

お勧めします）。

d. サービスを割り当てます。 TACACSサービス（UDPまたはTCP）を手順cで選択した

［Type］に一致させます。

4. ゲートウェイ・オブジェクトを右クリックして、［Edit］>［Authentication］を選択します。

5. TACACS認証を有効にします。


グループ（たとえばTACACS_Users）を定義します。

7. ［Manage］>［Users and Administrators］>［New］>［User by Template］>［Default］を選択してVPN-1ユーザを作成し、TACACS認証を有効にします。

8. 外部ユーザ・プロファイルを作成することによって、VPN-1ユーザ・アカウントを使用しな

いユーザに対してTACACS認証を有効にすることができます。［Manage］>［Users and Administrators］>［New］>［External User Profile］>［Match all users...］または

［Match by domain...］を選択します。複数の外部認証スキームがサポートされている場合

は、［Match By Domain］設定を使用して外部ユーザ・プロファイルを設定します。


a. ［General］タブで、TACACS サーバのデフォルトのログイン名を入力します（［Match all users］を外部ユーザ・プロファイルとして設定する場合は、「generic*」という名前が自動的に割り当てられます）。


c. ［Authentication］タブで、ドロップダウン・リストから［TACACS］を選択します。

d. ［Groups］タブで、TACACSグループにユーザを追加します。

10. アドレス変換ルール・ベースでファイアウォールとTACACSサーバの間の通信が変換されな

いことを確認します。


認証の設定

92

Windows ユーザ・グループ用のポリシーの設定

SmartCenterサーバで定義されておらず、ゲートウェイのホスト（Windowsコンピュータ）または

信頼されたドメインのWindowsコンピュータで定義されているユーザ・グループを使用するように

ポリシー・ルールを作成できます。

Windowsユーザ・グループを使用するポリシーを設定するには、以下の手順に従います。

1. グラフィカル・データベース・ツール（GUIdbEdit）を使用してこの機能を有効にします。

2. add_nt_groups属性の値をtrueに変更します（この属性は、propertiesテーブルの

firewall_propertiesオブジェクトの下にあります）。

3. ユーザがWindowsユーザ・グループに属していることを確認します。

4. SmartDashboardで、Windows_<ユーザが属するWindowsユーザ・グループ>という名前のユーザ・

グループを作成します。このグループは空の場合があります。

5. 認証スキームとしてオペレーティング・システム・パスワードを使用する一般的なユーザ・

プロファイルを各ユーザに対して定義します。

接続性このセクションでは、ゲートウェイを介して無制限でかつ安全な接続性を社内のユーザとリソースに提供する方法について説明します。

95

第章3ネットワーク・アドレス変換（NAT）

この章の構成

IP アドレスを隠蔽することの必要性 96 ページ

チェック・ポイント・ソリューションによるネットワーク・アドレス変換 97 ページ

NATの計画での考慮事項 110 ページ

NATの設定 112 ページ

NATの詳細設定 118 ページ

IP アドレスを隠蔽することの必要性

96

IP アドレスを隠蔽することの必要性IPネットワークでは、ホストとネットワークを定義する固有の IPアドレスが各コンピュータに割り

当てられます。組織内の多くのコンピュータは、プライベートなルーティング不能 IPアドレスを

持ってはいますが、インターネットへのアクセスも必要です。通常、使用できるパブリック IPアド

レスの数が限られていることと管理上の制約から、各コンピュータにインターネットのルーティン

グ可能な IPアドレスを割り当てることはできません。

IPv4（IPの現行バージョン）ではアドレス空間は32ビットに限られています。アドレスの多くはす

でに割り当てられているため、使用できる IPアドレスが不足しています。インターネット・サービ

ス・プロバイダは、通常一度に1つまたは数個のアドレスしか割り当てません。大企業は複数のア

ドレスを購入しますが、ネットワーク上のすべてのコンピュータ用にアドレスを購入することは、

ほとんどの企業にとって実用的ではありません。

追加のパブリック IPアドレスを使用できたとしても、大規模ネットワークのすべてのコンピュータ

のアドレスの変更は多くの手間と時間がかかります。

コンピュータがルーティング可能なアドレスあるいはルーティング不能なアドレスを割り当てら

れていても、管理者はセキュリティ上の理由から（たとえば、組織外あるいは組織内の他の部署に

アドレスを知られないようにするために）、その実アドレスを隠蔽したい場合があります。ネット

ワークの内部アドレスはネットワークのトポロジを含んでいるので、この情報を隠蔽するとセキュ

リティは大幅に向上します。

チェック・ポイント・ソリューションによるネットワーク・アドレス変換

第 3 章ネットワーク・アドレス変換（NAT） 97



パブリックおよびプライベート IP アドレス

パブリック IPアドレスは、インターネット上でルーティング可能な IPアドレスです。RFC 1918は、内部ネットワークで使用でき、インターネットに直接接続するホスト用のプライベート・アド

レス空間について規定しています。IANA（Internet Assigned Numbers Authority）は、以下の3つ

のブロックの IPアドレス空間を内部（プライベート）ネットワークのために確保しています。

• クラスAネットワーク番号： 10.0.0.0～10.255.255.255

• クラスBネットワーク番号： 172.16.0.0～172.31.255.255

• クラスCネットワーク番号： 192.168.0.0～192.168.255.255

企業がプライベート・アドレスを使用するイントラネットを採用する場合、VPN-1 NATゲートウェイ

がイントラネットをインターネットに接続します。［Global Properties］>［Non Unique IPAddress Ranges］ページは、VPN-1がプライベート（非固有）と見なすアドレスの範囲を指定し

ています。

パブリックおよびプライベート IPアドレス 97 ページ

VPN-1のNAT 98 ページ

Static NAT 99 ページ

Hide NAT 100 ページ

自動および手動NATルール 101 ページ

内部ネットワーク用の自動Hide NAT 102 ページ

アドレス変換ルール・ベース 103 ページ

双方向NAT 104 ページ

自動生成ルールについて 105 ページ

ポート変換 107 ページ

NATとアンチ・スプーフィング 107 ページ

ルーティングの問題 107 ページ

VPNトンネルでのNATの無効化 109 ページ


98

VPN-1 の NATネットワーク・アドレス変換（NAT）は、IPアドレスを異なる IPアドレスに置き換えます。 NATは

パケット内の発信元 IPと宛先 IPの両方のアドレスを変更することができます。つまり、ファイア

ウォールの内側（保護）から外側（非保護）へ送信されるパケットは、宛先側から見ると別のアド

レスから送信されたように見え、ファイアウォールの外側から内側へ送信されたパケットは正しい

アドレスに到達します。

VPN-1は、以下の2種類のNATをサポートしています。

• Static NAT：各プライベート・アドレスを、対応するパブリック・アドレスに変換します。

内部ネットワーク内に複数のコンピュータが存在する典型的なStatic NATシナリオでは、各

コンピュータのアドレスがそれぞれ異なるパブリック IPアドレスに変換されます。これは多

対多の変換です。Static NATではVPN-1ゲートウェイの両側のマシンが接続を開始できます。

したがって、内部サーバを外から利用できるようにすることができます。

• Hide NAT：内部のマシンに割り当てられた複数のプライベート・アドレスを1つのパブリック・

アドレスに変換します。 Hide NATは多対1の変換です。Hide NATでは、VPN-1ゲートウェイの

保護されている側からのみ接続を開始できます。

NATは、チェック・ポイント、ノード、ネットワーク、アドレス範囲、およびダイナミック・オブ

ジェクトに対して実施できます。 NATを定義するには、ネットワーク・オブジェクトを介してルー

ルを自動的にアドレス変換ルール・ベースに追加する方法と、手動でアドレス変換ルール・ベース

にルールを定義する方法があります。

NATルールを手動で作成する場合は柔軟性が増します。たとえば、IPアドレスを変換するのに加え、

サービスまたは宛先ポート番号を変換できます。ポート番号変換は、特定のポート番号が異なる

ポート番号に変換されるStatic NATの一種です。



Static NAT Static NATはプライベート・アドレスを、対応するパブリック・アドレスに変換します。

ノードのStatic NATは、ノードのプライベート・アドレスをパブリック・アドレスに変換します。

ネットワークまたはアドレス範囲のStatic NATは、ネットワーク内の各 IPアドレスまたは範囲を、

定義済みの静的 IPアドレスから始まる対応するパブリック IPアドレスに変換します。

図 3-1では、アドレス範囲10.1.1.2～10.1.1.10はNAT範囲のIPアドレス192.168.0.2～192.168.0.10の背後に隠れています。この図は、10.1.1.3から開始された接続と、元のパケットと応答パケットの

発信元 IPアドレスおよび宛先 IPアドレスの変換を示しています。

図 3-1 アドレス範囲の Static NAT


100

Hide NATNATゲートウェイを利用すると、イントラネット内のプライベート・アドレスを割り当てられた複

数のコンピュータで、1つのパブリック・アドレスを共有できます。アクセスされたインターネッ

ト上のサーバは、インターネットとイントラネットの区別はできず、複数のコンピュータからの接

続は単一のコンピュータからの接続として処理されます。

Hide NATは、内部ネットワークから開始される接続のみを許可します。これにより、内部ホスト

はイントラネットの内側と外側の両方への接続を開始できますが、ネットワークの外側のホストは

内部ホストへの接続を開始できません。

Hide Address（隠蔽アドレス）は、その背後に内部ネットワーク、アドレス範囲あるいはノードが

隠れているアドレスです。内部アドレスを隠蔽するには以下のいずれかの方法があります。

• どの実コンピュータにも属さないパブリック IPアドレス（ルーティング可能な）である仮想

IPアドレスの背後に隠蔽する。

• パケットが発信されるVPN-1インタフェースの IPアドレスの背後に隠蔽する（これは従来

「IPアドレス0.0.0.0の背後に隠蔽する」と呼ばれていました）。

図 3-2 では、アドレス範囲10.1.1.2～10.1.1.10はVPN-1 の外部インタフェースのアドレス

（192.168.0.1）の背後に隠蔽されています。この図は、10.1.1.3から開始された接続と、元のパケッ

トと応答パケットの発信元 IPアドレスおよび宛先 IPアドレスの変換を示しています。

図 3-2 アドレス範囲の Hide NAT



Hide NAT の仕組み

Hideモードでは、パケットの発信元ポート番号が変更されます。戻りのパケットがファイアウォー

ルに到達すると、VPN-1はポート番号を使用して、どの内部コンピュータへパケットが送信されて

いるかを判定します。ポート番号は、2つの番号プールから動的に割り当てられます。 2つの番号

プールは、600～1023と10,000～60,000です。

ポート番号は通常、2番目のプールから割り当てられます。初のプールは rlogin（宛先ポート512）、rshell（宛先ポート513）、および rexec（宛先ポート514）の3つのサービスにのみ使用されます。

これらのサービスのいずれかを使用した接続で、オリジナルの発信元ポートが1024よりも小さい

場合は、ポート番号は1番目のプールから割り当てられます。この動作は設定可能です。

VPN-1は割り当てられたポート番号を記憶しているので、戻りのパケットに元のポート番号が正しく

復元され、使用中のポート番号が再び新しい接続に割り当てられることはありません。

Hide NATの容量はサーバあたり50,000接続です。つまりHide NATの容量は、Hide NATされた内

部クライアントからVPN-1ゲートウェイの保護されていない側の1台のサーバに向けられた接続が

同時に50,000を超えて発生したときにのみ限界に達します。ただし、これはめったに起こりません。

自動および手動 NAT ルール

NATは、ネットワーク・オブジェクト（ノード、ネットワーク、またはアドレス範囲）によって自

動的に定義できます。このようにしてNATを定義すると、ルールは自動的にアドレス変換ルール・

ベースに追加されます。

アドレス変換ルール・ベースのNATルールを追加または編集して、NATルールを手動で定義でき

ます。VPN-1は手動NATルールを検証し、設定プロセスの間違いを防止できるように支援します。

手動でNATルールを作成するとNATの機能を大限に活用できます。元のパケットおよび変換さ

れたパケットの両方に対して発信元、宛先、およびサービスを個別に指定できます。

手動NATルールを作成する場合は、元のオブジェクトの他に、変換されたネットワーク・オブジェ

クトを定義する必要があります。


102

内部ネットワーク用の自動 Hide NAT Hide NATを使用すると、認識されていないサブネットも含んだ多くのサブネットを持つ、大きくて

複雑な内部ネットワークでインターネット・アクセスを行うことができます。

通常のHide NATでは、変換する必要があるすべての内部ネットワーク・アドレスを指定する必要

があります。しかし、実用的でない場合もあります。

このような場合は、すべての内部ネットワークに対して自動Hide NATを指定できます。つまり、

ゲートウェイの外部インタフェース宛てに内部インタフェースから発信されるすべての接続（ゲート

ウェイ・オブジェクトの［Topology］ページで定義されます）が、ゲートウェイのインタフェース・

アドレスに変換されます。

図 3-3に、接続を開始する内部ネットワーク内のクライアントからインターネット上のサーバへの

接続を示します。内部クライアントの発信元アドレスは、接続が発生したインタフェースに応じて

外部インタフェースのアドレス192.168.0.1または172.16.1.1に変換されます。

図 3-3 ゲートウェイ・インタフェースの背後の Hide NAT

アクセス・ルールもセキュリティ・ルール・ベース内で定義する必要があります。

設定の詳細については、117ページの「内部ネットワーク用の自動Hide NATの設定」を参照してく

ださい。

注：通常の NAT ルールは、内部ネットワーク用 NAT ルールよりも優先されます。接続が通

常の NAT ルールと内部ネットワーク用の NAT ルールの両方に一致する場合は、接続は通常

の NAT ルールに一致します。



アドレス変換ルール・ベース

図 3-4にアドレス変換ルール・ベースを示します。

図 3-4 アドレス変換ルール・ベース

各ルールは、接続の初のパケットをどのように扱うかを指定します。応答パケットは、送信パケッ

トと反対方向に送信されますが、同一のルールと照合されます。

アドレス変換ルール・ベースは以下の2つのセクションに分かれています。

• Original Packet：ルールが適用されるときの条件を指定します。

• Translated Packet：ルールが適用されたときのアクションを指定します。

アドレス変換ルール・ベース・エディタ内のそれぞれのセクションは、［Source］、［Destination］、および［Service］に分かれています。以下のアクションが実行されます。

• ［Original Packet］の下の［Source］を［Translated Packet］の［Source］に変換する。

• ［Original Packet］の下の［Destination］を［Translated Packet］の［Destination］に変換

する。

• ［Original Packet］の下の［Service］を［Translated Packet］の［Service］に変換する。

ルール照合順序

アドレス変換ルール・ベースのルール照合は、セキュリティ・ルール・ベースと同じ方式で行われ

ます。VPN-1は接続に属するパケットを受け取ると、まずそれをルール・ベースの初のルールと比

較し、次に2番目のルール、3番目のルールと順次比較します。ルールに一致するパケットが見つか

ると、検査を停止してそのルールを適用します。

この原則の例外は、2つの自動ルールが接続に一致する場合です。その場合は、双方向NATが適用

されます。


104

双方向 NAT双方向NATはアドレス変換ルール・ベース内の自動NATルールに適用され、2つの自動NATルー

ルが接続に一致できるようにします。双方向NATを使用しない場合は、1つの自動NATルールのみ

が接続に一致します。

ネットワーク・オブジェクトに対してNATが定義されているときは、必要な変換を行う自動NATルールが生成されます。自動NATルールが定義された2つのネットワーク・オブジェクトがあり、

一方が接続の発信元で、もう一方が宛先の場合には、双方向NATを使用すると自動NATルールが

両方とも適用され、両方のオブジェクトが変換されます。

双方向NATの背後にあるロジックは以下のとおりです。

• 接続が初に手動NATルールに一致した場合は、NATルール・ベースはそれ以上検査されま

せん。

• 接続が初に自動NATルールに一致した場合は、残りのNATルール・ベースのルールが一度

に１つずつ調べられ、別の自動NATルールが接続に一致するかどうかがチェックされます。

別のNATルールが接続に一致した場合は、両方のルールが一致したと見なされ、それ以上検

査されません。

双方向NATの動作は、SmartView Trackerの［NAT Rule Number］および［NAT Additional Rule Number］フィールドを使用してトラッキングできます。［NAT Additional Rule Number］は、双方

向NATの2番目のオブジェクトに対して実行される自動変換に一致するルールです。



自動生成ルールについて

NATは、ネットワーク・オブジェクト（ノード、ネットワーク、またはアドレス範囲）によってアド

レス変換ルール・ベースに自動的に定義できます。

ノードのHide NATは、アドレス変換ルール・ベースに1つのルールを追加します。これは、内部

ネットワークのノードから開始される接続に対してパケットの発信元アドレスを変換することを

指定します（Source Hideルール）。

ノードのStatic NATは、アドレス変換ルール・ベースに2つのルールを追加します。Source Staticルールの他にもう一つのルールが追加され、外部ネットワークから開始される接続に対してパケット

の宛先アドレスを変換することを指定します（Destination Staticルール）。

ネットワークまたはアドレス範囲に対してNAT（HideまたはStatic）を行うと、特別なルールが追

加されます。追加されたルールは、ネットワークまたはアドレス範囲内の通信を変換しないことを

指定します（同じネットワーク内の1台のコンピュータから他のコンピュータへ送信されるパケッ

トは変更されません）。

自動生成ルールの例（Hide NAT）100ページの図3-2に表示されたシナリオでは、アドレス範囲ノードの定義された自動Hide NATに

より、2つのルールがNATルール・ベースに追加されます（図 3-5）。

図 3-5 アドレス範囲の Hide NAT で自動的に生成された NAT ルール

ルール1は、ファイアウォールの内側（保護側）のみで行われる接続ではNATを行わないことを指定

します。

ルール2は、ファイアウォールの内側（保護側）から開始された接続に対してパケットの発信元アド

レスをパブリックHide NATアドレスに変換することを指定します。

自動Hide NATルールでは、変換後のアドレスは「隠蔽アドレス」と呼ばれ、VPN-1ゲートウェイ

の保護されていない側で使用されます。実際のアドレスは、VPN-1ゲートウェイの保護されている

側で使用されるプライベート・アドレスです。


106

自動生成ルールの例（Static NAT）99ページの図3-1のシナリオでは、ノードに定義された自動Static NATにより、3つのルールがNATルール・ベースに追加されます（図 3-6）。

図 3-6 アドレス範囲の Static NAT で自動的に生成された NAT ルール

ルール1は、ファイアウォールの内側（保護側）のみで行われる接続ではNATを行わないことを指

定します。同じネットワーク内の1台のコンピュータから異なるコンピュータへ送信されたパケッ

トは変更されません。

ルール2は、ファイアウォールの内側（保護側）から発信されたパケットに対して発信元アドレスを

有効な（パブリック）Static NATアドレスに変換することを指定します。

ルール3は、ファイアウォールの外側（非保護側）から発信されたパケットに対して有効な（パブ

リック）宛先アドレスをStatic NAT アドレスに変換することを指定します。

自動Static NATルールでは、静的に変換されたパブリック・アドレスは「有効アドレス」と呼ばれ、

VPN-1ゲートウェイの保護されていない側で使用されます。実際のアドレスは、VPN-1ゲートウェイ

の保護されている側で使用されるプライベート・アドレスです。

自動ルールの順序

自動ルールは以下の順序でアドレス変換ルール・ベースに置かれます。

1. Hide NATルールの前にStatic NATルール。

2. ネットワークまたはアドレス範囲のNATの前にノードのNAT。



ポート変換ポート変換は、要求されたサービス（または宛先ポート）に基づき、1つの IPアドレスを使用して、

隠蔽されたネットワーク上の複数のアプリケーション・サーバにアクセスできるようにします。こ

れにより、不足しているパブリック IPアドレスを節約します。典型的な導入例では、1つの IPパブ

リック・アドレスを使用してFTPサーバ（ポート21からアクセス可能）、SMTPサーバ（ポート25）、およびHTTPサーバ（ポート80）にアクセスできます。

ポート変換を使用するには、手動NATルールを作成する必要があります。ポート変換ルールはバー

ジョンNG FP3以降のVPN-1ゲートウェイでサポートされています。

NAT とアンチ・スプーフィング

NATはアンチ・スプーフィング検査のあとに実施され、アンチ・スプーフィング検査はパケットの

発信元 IPアドレスに対してのみ実施されます。つまり、スプーフィング保護は、NATと同じように

VPN-1ゲートウェイのインタフェースに設定されています。従来のバージョンのVPN-1と異なり、

アンチ・スプーフィングの設定とNATに関する特別な要件はありません。

ルーティングの問題

VPN-1 ゲートウェイ上でのスタティック・ルート

このセクションは、アップグレード前の構成が以下のときにSmartCenterをアップグレードした管

理者を対象としています。

• NG以前のバージョンで、サーバ側でサーバの自動NATを実施

• NG FP3以前のバージョンで、サーバ側でサーバの手動NATを実施

VPN-1ゲートウェイを介したクライアント /サーバ接続では、クライアントから接続が開始され、

サーバはクライアントに応答パケットを送信します。

VPN-1のNG以降のバージョンでは、手動ルールと自動ルールの両方に対するサーバのNATは、デ

フォルトでVPN-1ゲートウェイのクライアント側で行われます（図 3-7）。これにより、オペレー

ティング・システムがパケットを正しくルーティングできます。

図 3-7では、発信パケットに対してVPN-1ゲートウェイが宛先アドレスをサーバの有効アドレスに

変換し、そのあとでパケットを宛先に送信します。


108

応答パケットに対しては宛先アドレスのNATは行われないため、オペレーティング・システムはパ

ケットを正しくクライアントへ転送します。

図 3-7 クライアント側での NAT

NG以降のバージョンではクライアント側でのNATがデフォルトに設定されているため、信頼でき

るアンチ・スプーフィングとルーティングが保証されます。SmartCenterをNG以前のバージョン

からアップグレードしたり、他の設定を必要とするVPN-1を持っていない限り、デフォルトの設定を

使用することをお勧めします。

サーバの宛先用NATをサーバ側で実施する場合は、オペレーティング・システムはNATを行う前

にルーティング用のパケットを受け取ります。したがって、オペレーティング・システムは有効な

アドレスを宛先と認識し、パケットをサーバではなくインターネット・ルータにルーティングして

戻します。この問題を解決するには、パケットが正しいインタフェースに転送されるように、VPN-1ゲートウェイでスタティック・ホスト・ルートを設定します（たとえば、route add 192.168.0.310.1.1.2）。



自動およびプロキシ ARPNATを使用して内部ネットワークのコンピュータに外部 IPアドレスを与えると、そのコンピュータは、

インターネットにとっては外部ネットワークまたはファイアウォールのインターネット側に存在

するように見えます。

NATを自動的に設定すると、内部コンピュータのアドレスを要求するインターネット・ルータから

のARPリクエストに対して、VPN-1ゲートウェイ・コンピュータはNAT変換されたネットワーク・

オブジェクトに代わって応答します（図 3-8）。

図 3-8 自動 ARP 設定

手動ルールを使用している場合は、変換された IPアドレスを、変換されたアドレスと同じネット

ワーク上にあるVPN-1ゲートウェイ・インタフェースのMACアドレスに関連付けるためにプロキシ

ARPを設定する必要があります。

VPN トンネルでの NAT の無効化

通常、VPNで通信する場合はNATを行う必要はありません。VPNコミュニティ・オブジェクトを

ワン・クリックすることにより、VPNトンネル内のNATを無効にできます。NATルールを定義して

VPNトンネル内のNATを無効にすると、VPNのパフォーマンスが低下します。

NAT の計画での考慮事項

110



Hide 対 Staticポート番号を変更できないプロトコルでは、Hide NATを使用できません。

Hide NATは、外部サーバが IPアドレスによってクライアントを識別する必要がある場合には使用

できません。なぜなら、Hide NATではすべてのクライアントが同じIPアドレスを共有するからです。

外部ネットワークから内部ネットワークへの接続を許可するために使用できるのはStatic NATのみ

です。

自動ルールと手動ルール

設定が簡単な自動NATルールは、設定エラーを起こす危険性を低減できます。自動ARP設定は自

動ルールに対してのみ有効です。

手動で定義するNATルールは複雑ですが、NATを完全に制御できます。以下の処理は手動NATルー

ルでのみ可能です。

• 指定された宛先 IPアドレス、および指定された発信元 IPアドレスにルールを限定する。

• 同じパケットの発信元 IPアドレスと宛先 IPアドレスの両方を変換する。

• 一方向にのみStatic NATを行う。

• サービス（宛先ポート）を変換する。

• 指定されたサービス（ポート）にルールを限定する。

• ダイナミック・オブジェクトに対してNATを行う。

Hide対Static 110 ページ

自動ルールと手動ルール 110 ページ

Hide NATによる隠匿アドレスの選択 111 ページ



Hide NAT による隠匿アドレスの選択

Hide Address（隠蔽アドレス）は、その背後にネットワーク、アドレス範囲あるいはノードが隠れ

ているアドレスです。

これらは、VPN-1ゲートウェイのインタフェースまたは特定の IPアドレスの背後に隠蔽することも

できます。

固定のパブリック IPアドレスを選択すると、VPN-1 ゲートウェイのアドレスを隠蔽することがで

きます。ただし、ルーティング可能なパブリック IPアドレスを余分に取得する必要があります。

VPN-1ゲートウェイのアドレスの背後に隠蔽することは、管理上望ましいオプションです。たとえ

ば、ファイアウォールの外部 IPアドレスが変更されても、NAT設定を変更する必要がありません。

NAT の設定

112

NAT の設定


NAT 設定の一般的な手順

NATを設定するには、以下の手順に従います。

1. 変換に使用する IPアドレスを決定します。

2. ネットワーク・オブジェクトを定義します。

3. ルール・ベース内にアクセス・ルールを定義します。手動NATルールを定義するときは、変換

されたアドレスでネットワーク・オブジェクトを定義する必要があります。自動NATルールを

使用するときは、実オブジェクトごとに1つのネットワーク・オブジェクトを定義するだけで

済みます。たとえば、Alaska_Webというオブジェクトに対してStatic NATを定義すると、

ルール・ベースはAlaska_Web（表 3-1）を参照するだけで済み、Alaska_Web（有効アドレス）

のルールを定義する必要はありません。

4. NATルール（自動または手動）を定義します。


NAT設定の一般的な手順 112 ページ

基本設定（ネットワーク・ノードのHide NAT） 113 ページ

設定例（Static NATとHide NAT） 114 ページ

設定例（ポート変換に手動ルールを使用する） 116 ページ

内部ネットワーク用の自動Hide NATの設定 117 ページ

表 3-1 自動 NAT オブジェクトのルール・ベース・ルール

SOURCE DESTINATION ACTION

Any Alaska_Web Accept

NAT の設定


基本設定（ネットワーク・ノードの Hide NAT）図 3-9は、ネットワーク・ノードのHide NATの基本設定を示しています。目的は、Alaska_Webウェブサーバ（10.1.1.10）の IPアドレスを、インターネット上で開始される接続から隠蔽するこ

とです。Alaska_GWには3つのインタフェースがあり、1つはAlaska_Webがあるネットワークを

向いています。

図 3-9 ネットワーク・ノードの Hide NAT

1. Alaska_Webのノード・オブジェクトを編集し、NATページで［Add Automatic Address Translation rules］を選択します（図 3-10）。

図 3-10 Hide NAT 設定

NAT の設定

114

2. ［Translation Method」に［Hide］と［Hide behind the interface of the Install on Gateway］オプションを選択します。

3. ［Install on Gateway］を選択します。この例ではNATゲートウェイはAlaska_GWなので、

［Alaska_GW］または［All］を選択します。

Alaska_Web からインターネットに向けられたパケットは、発信元アドレスが10.1.1.10から

192.168.0.1に変換されます。

設定例（Static NAT と Hide NAT）図 3-11は、内部ネットワーク上のSMTPサーバとHTTPサーバを、パブリック・アドレスを使用し

てインターネットから使用できるようにし、内部ネットワーク上のすべてのユーザがインターネッ

トにアクセスできるようにすることを目的としています。

図 3-11 設定例（Static NAT と Hide NAT）

Webサーバとメール・サーバは、インターネットから着信接続が行われるのでStatic変換が必要です。

2つのルーティング可能なアドレスを使用できます。この例の場合、Alaska.Web HTTPサーバには

192.168.0.5が使用され、Alaska.Mail SMTPサーバには192.168.0.6が使用されます。

内部クライアントは接続を開始するのでHide変換が必要です。インターネットからこれらに着信

接続はできません。これらは、VPN-1ゲートウェイの外部インタフェースの背後に隠蔽されます。

Static NATとHide NATの設定を実行するには、以下の手順に従います。

1. Alaska.Web（10.1.1.5）、Alaska.Mail（10.1.1.6）、Alaska_LAN（10.1.1.0、ネット・マス

ク255.255.255.0）、およびVPN-1ゲートウェイ（Alaska.GW）のネットワーク・オブジェク

トを定義します。

2. Alaska.Webオブジェクトを編集し、［NAT］ページで［Add Automatic Address Translation Rules］チェック・ボックスをオンにします。

3. ［Translation Method］として［Static］を選択して、［Translate to IP Address］を

192.168.0.5として定義します。

NAT の設定


4. Alaska.Mailに対して［Translation Method］として［Static］を選択し、［Translate to IP Address］を192.168.0.6として定義します。

5. Alaska_LANオブジェクトを編集し、［NAT］ページの［Translation Method］として［Hide］を

選択し、［Hide behind the interface of the Install On Gateway］を選択します。 Alaska_LAN上にある内部クライアントの有効なHideアドレスは192.168.0.1です。図 3-12に結果のアド

レス変換ルール・ベースを示します。

図 3-12 Static および Hide NAT の自動アドレス変換ルール・ベース

NAT の設定

116

設定例（ポート変換に手動ルールを使用する）図 3-13は、DMZネットワーク内のWebサーバとメール・サーバの両方を、1つの IPアドレスを使

用してインターネットから使用できるようにすることを目的としています。Hide NATはDMZ内の

すべてのアドレスに対して実行されます。

図 3-13 設定例（手動 NAT を使用したポート変換）

ポート変換に手動ルールを使用した設定例を実行するには、以下の手順に従います。

1. ネットワークAlaska.DMZ.LAN（172.16.0.0、ネット・マスク255.255.0.0）、Webサーバ

Alaska_DMZ_Web（172.16.1.7）、メール・サーバAlaska_DMZ_Mail（172.16.1.5）、および

VPN-1ゲートウェイ（Alaska.GW）のネットワーク・オブジェクトを定義します。

2. Alaska.DMZ.LANネットワーク・オブジェクトの［NAT］タブで、［Add Automatic Address Translation Rules］を選択します。

3. ［Translation Method］として［Hide］を選択し、［Hide behind the interface of the Install on Gateway］を選択します。この手順によりアドレス変換ルール・ベースに2つの自動ルー

ルが追加されます（図 3-14のルール1と2）。

4. アドレス変換ルール・ベースで、WebサーバへのHTTPサービスのリクエストを変換する手

動NATルール（図 3-14のルール3）とSMTPサーバへのSMTPリクエストを変換する手動

NATルール（図 3-14のルール4）を定義します。

NAT の設定


図 3-14 ポート変換用のアドレス変換ルール・ベース

内部ネットワーク用の自動 Hide NAT の設定

内部ネットワーク用の自動Hide NATを設定するには、以下の手順に従います。

1. チェック・ポイント・ゲートウェイ・オブジェクトの［NAT］ページにアクセスします。

2. ［Automatic Hide for Internal Networks］セクションで、［Hide all connections from internal interfaces to external interfaces behind the gateway］チェック・ボックスをオン

またはオフにします。

内部ネットワーク用の自動Hide NATの設定の詳細については、102ページの「内部ネットワーク

用の自動Hide NAT」を参照してください。

NAT の詳細設定

118

NAT の詳細設定


異なるゲートウェイ・インタフェース上の変換されたオブジェクト間の通信の許可

以下のセクションでは、異なるVPN-1ゲートウェイ・インタフェース上の静的に変換されたオブ

ジェクト（ノード、ネットワーク、アドレス範囲）の間で双方向通信を可能にする方法について説

明します。

NATが手動NATルールではなくネットワーク・オブジェクトを使用して定義されている場合は、双

方向NATが有効になっていることを確認する必要があります。

異なるゲートウェイ・インタフェース上の変換されたオブジェクト間の

通信の許可

118 ページ

重複 IPアドレスを使用する内部ネットワーク間通信の有効化 119 ページ

NATの背後のSmartCenter 123 ページ

IPプールNAT 127 ページ

NAT の詳細設定


重複 IP アドレスを使用する内部ネットワーク間通信の有効化

概要

2つの内部ネットワークで重複する（または部分的に重複する）IPアドレスを使用する場合は、

VPN-1によって以下のことが可能になります。

• 重複する内部ネットワーク間の通信。

• 重複する内部ネットワークと外部間の通信。

• 重複する各内部ネットワークに対する異なるセキュリティ・ポリシーの適用。

ネットワークの設定

図 3-15はネットワーク設定例です。

図 3-15 ネットワーク設定例：クラス C ネットワーク

図 3-15では、ネットワークAとネットワークBの両方が同じアドレス空間（192.168.1.0/24）を

使用しているため、標準的なNATを使用してネットワークAとネットワークB間の通信を有効にす

ることはできません。代わりに、インタフェースごとに重複NATを実行する必要があります。

ネットワーク A 内のユーザがネットワーク B 内のユーザと通信したい場合は、宛先として

192.168.30.0/24ネットワークを使用する必要があります。ネットワークB内のユーザがネット

ワークA内のユーザと通信したい場合は、宛先として192.168.20.0/24ネットワークを使用する必要

があります。

NAT の詳細設定

120

VPN-1ゲートウェイは、各インタフェースに対して以下のように IPアドレスを変換します。

インタフェース A• 着信の発信元 IPアドレスは仮想ネットワーク192.168.20.0/24に変換されます。

• 発信の宛先 IPアドレスはネットワーク192.168.1.0/24に変換されます。

インタフェース B• 着信の発信元 IPアドレスはネットワーク192.168.30.0/24に変換されます。

• 発信の宛先 IPアドレスはネットワーク192.168.1.0/24に変換されます。

インタフェース C

重複NATはこのインタフェース用に設定されません。代わりに、NAT Hideをインタフェースごと

ではなく通常の方法で使用して、インタフェースの IPアドレス（192.168.4.1）の背後に発信元ア

ドレスを隠します。

通信例

このセクションでは、内部ネットワーク間および内部ネットワークとインターネット間の通信を可

能にする方法について説明します。

内部ネットワーク間の通信

ネットワークA 内の IP アドレス192.168.1.10のユーザA が、ネットワークB 内の IP アドレス

192.168.1.10（同じIPアドレス）のユーザBと通信したい場合、ユーザAはIPアドレス192.168.30.10への接続を開きます（表 3-2）。

表 3-2

手順発信元 IP アドレス宛先 IP アドレス

インタフェースA - NATの前 192.168.1.10 192.168.30.10

インタフェースA - NATのあと 192.168.20.10 192.168.30.10

VPN-1ゲートウェイが、ネットワーク192.168.20.0/24からネットワーク192.168.30.0/24へのパケットの

セキュリティ・ポリシーを適用します。

インタフェースB - NATの前 192.168.20.10 192.168.30.10

インタフェースB - NATのあと 192.168.20.10 192.168.1.10

NAT の詳細設定


内部ネットワークとインターネット間の通信

ネットワークA 内の IP アドレス192.168.1.10のユーザA が、インターネット上の IP アドレス

10.10.10.10に接続すると想定します（表 3-3）。

ルーティングに関する考慮事項

ネットワークAからネットワークBへのルーティングを可能にするには、ファイアウォール・コン

ピュータ上でルーティングを設定する必要があります。以下にWindowsおよびLinuxオペレーティ

ング・システムのルーティング・コマンドの例を示します（他のオペレーティングシステムでも同

様のコマンドを使用します）。

Windows 上では次のコマンドを実行します。 • route add 192.168.30.0 mask 255.255.255.0 192.168.3.2

• route add 192.168.20.0 mask 255.255.255.0 192.168.2.2

Linux 上では次のコマンドを実行します。

• route add -net 192.168.30.0/24 gw 192.168.3.2

• route add -net 192.168.20.0/24 gw 192.168.2.2

表 3-3

手順発信元 IP アドレス宛先 IP アドレス

インタフェースA - NATの前 192.168.1.10 10.10.10.10

インタフェースA - NATのあと 192.168.20.10 10.10.10.10

VPN-1 ゲートウェイが、ネットワーク192.168.20.0/24からインターネットへのパケットのセキュリ

ティ・ポリシーを適用します。

インタフェースC - NATの前 192.168.20.10 10.10.10.10

インタフェースC - Hide NATのあと 192.168.4.1 10.10.10.10

NAT の詳細設定

122

VPN-1 オブジェクト・データベースの設定

重複NAT機能を有効にするには、guidbeditデータベース・エディタGUI（またはコマンド・ライン・

ユーティリティ）を使用します。

ネットワーク設定例（図 3-15）では、以下のようにインタフェースAとインタフェースBに対して

インタフェースごとに値が設定されます。

表 3-4

パラメータ値

enable_overlapping_nat true

overlap_nat_dst_ipaddr 重複 IPアドレス（NATの前）。ネットワーク設定例では、

両方のインタフェースで192.168.1.0になります。

overlap_nat_src_ipaddr NATのあとの IPアドレス。ネットワーク設定例では、

インタフェースAでは192.168.20.0、インタフェースBでは192.168.30.0になります。

overlap_nat_netmask 重複する IPアドレスのネット・マスク。ネットワーク設

定例では、255.255.255.0になります。

NAT の詳細設定


NAT の背後の SmartCenterSmartCenterは、パブリック IPアドレスの数が限られているため、プライベート IPアドレス（RFC1918に記載）または他のルーティング不能 IPアドレスを使用する場合があります。

SmartCenterサーバの IPアドレスのNAT（StaticまたはHide）は、管理されたゲートウェイとの接

続性を保った状態で、ワン・クリックで設定できます。すべてのゲートウェイはSmartCenterサー

バから制御可能であり、SmartCenter サーバにログを送信できます。 NAT はManagement HighAvailabilityサーバおよびログ・サーバに対しても設定できます。

図 3-16はNATの背後にSmartCenterがある典型的なシナリオです。SmartCenterサーバは、ネッ

トワーク・アドレス変換が実行されるネットワーク（「アドレス変換されたネットワーク」）内にあ

ります。SmartCenterサーバは、アドレス変換されたネットワーク内、アドレス変換されたネット

ワークと外部との境界上、およびアドレス変換されたネットワークの外部にあるチェック・ポイン

ト・ゲートウェイを制御できます。

図 3-16 NAT の背後の SmartCenter シナリオ

通常のHide NATの設定では、VPN-1 NATゲートウェイの外側から接続を確立することはできません。

しかし、SmartCenterサーバにHide NATを使用する場合は、ゲートウェイはSmartCenterサーバに

ログを送信できます。

NATの背後にあるSmartCenterの機能を使用する場合は、ゲートウェイ（リモート・モジュール）は、

使用するSmartCenterアドレスを自動的に選択し、同時にNATに関する考慮事項を適用します。

SmartCenterサーバに対してNATを有効にするには、以下の手順に従います。

• SmartCenterサーバ・オブジェクトの［NAT］ページからNATを定義し、［Apply for VPN-1 control connections］を選択します。

注： NAT の背後にある SmartCenter は、SmartCenter サーバがゲートウェイとしても機能す

る導入環境ではサポートされず、ネットワーク・アドレス変換されるドメインの外部から

（たとえば SAM コマンドを受信する場合に）アドレス指定する必要があります。

NAT の詳細設定

124

対応していないゲートウェイ・アドレス

ゲートウェイが、リモート・ゲートウェイの環境に対応していないアドレスを使用してSmartCenterに接続しようとする場合があります。以下に例を示します。

• NG with Application Intelligenceより前のバージョンのゲートウェイが存在する場合。この場

合の詳細な手順については、SecureKnowledgeソリューション

（https://secureknowledge.checkpoint.com/）SK15558を参照してください。

• ゲートウェイが自動選択したアドレスがゲートウェイの環境で正しくルーティングされてい

ない場合。この場合には、リモート・ゲートウェイが適切なアドレスを使用してSmartCenterに接続できるようにするため、マスタとロガーを手動で定義します。管理されているゲート

ウェイからの着信接続がVPN-1ゲートウェイに到着すると、ポート変換が使用されて、隠蔽

アドレスをSmartCenterサーバの実際の IPアドレスに変換します。

マスタとロガーを定義するには、以下の手順に従います。

• ［Use local definitions for Log Servers］と［Use local definitions for Masters］を選択し、

ゲートウェイ上で正しい IPアドレスを指定します。

この解決策は以下の2つのケースで使用できます。

• 実際の IPアドレスを指定する必要があるにも関わらず、リモート・ゲートウェイがネッ

トワーク・アドレス変換される IPアドレスを指定する場合。

• ネットワーク・アドレス変換される IPアドレスを指定する必要があるにも関わらず、

リモート・ゲートウェイが実際の IPアドレスを指定する場合。この場合は、マスタ・

ファイル内でSmartCenterサーバのSIC名を指定します。

次の点に注意してください。

• これらの設定では1つのオブジェクトのみを定義できます。2番目のオブジェクトを定義

できるのは、セカンダリSmartCenterサーバまたはログ・サーバのみです。

• すべてのゲートウェイ上でトポロジの設定を適切に定義する必要があります。図 3-16で

は、California_GWで内部インタフェース上にPrimary_SmartCenterを定義します。

• すべての管理されるゲートウェイおよびSmartCenterサーバのバージョンが、NG with Application Intelligence以上である必要があります。

• 以前のバージョンでは、さまざまな回避策が必要でした。以前のすべての回避策は、動作を

変更せずに引き続き使用できます。


NAT の詳細設定


SmartCenter サーバ・オブジェクトの設定

SmartCenterサーバ・オブジェクトを設定するには、以下の手順に従います。

1. Primary_SmartCenterオブジェクトの［NAT］ページで［Static NAT］または［Hide NAT］を

選択します。 Hide NATを使用する場合は、［Hide behind IP Address］（たとえば

192.168.55.1）を選択します。［Hide behind Gateway］（アドレス0.0.0.0）は選択しないで

ください。

2. ［Install on Gateway］を選択して、ネットワーク・アドレス変換されるオブジェクトまたは

ネットワークを保護します。［All］は選択しないでください。たとえば、図 3-16では、

ゲートウェイCalifornia_GWを選択します。

3. ［Apply for VPN-1 control connections］を選択します。

ゲートウェイ・オブジェクトの設定

図 3-16の例では、Primary_SmartCenterが背後にあることをCalifornia_GWが認識するようにし

ます。

ゲートウェイ・オブジェクトを設定するには、以下の手順に従います。

1. California_GWの［Topology］ページでインタフェースEth3を定義します。

2. ［Interface Properties］ウィンドウの［General］タブで、IPアドレス10.0.0.0とネット

マスク255.255.0.0を定義します。

［Interface Properties］ウィンドウの［Topology］タブで［Network defined by the interface IPand Net Mask］を選択します。

NG with Application Intelligence バージョンより前のゲートウェイ・オブジェクトの設定管理されたゲートウェイがNG with Application Intelligence以降ではないバージョンの場合は、

ダミー・オブジェクトを定義する必要があります。図 3-16の例では、Florida_GWおよび

California_GWのバージョンがNG with Application Intelligenceよりも前の場合は、ダミー・オブ

ジェクトは次のことを保証します。Florida_GWは、SmartCenterサーバのアドレスが

192.168.255.1であることを認識し、California_GWは、SmartCenterサーバのアドレスが

10.0.0.1であることを認識します。

NG with Application Intelligenceバージョンより前のゲートウェイ・オブジェクトを設定するには、

以下の手順に従います。

1. Primary_SmartCenterの変換されたアドレスを使用してダミー・オブジェクトを定義します。

1. 名前を付けます（たとえば、Dummy-SmartCenter）。

2. ［General Properties］ページの［Check Point Products］セクションで、［Secondary Management Station］と［Log Server］を選択します。

NAT の詳細設定

126

3. 以下の手順に従って、California_GWオブジェクトのダミー・オブジェクトを定義します。

a. 名前を付けます。

b. IPアドレス192.168.255.1を割り当てます。

c. プライマリSmartCenter NAT定義のアドレスを割り当てます。

d. ［General Properties］ページの［Check Point Products］セクションで、［Secondary Management Station］と［Log Server］を選択します。

e. ［Logs and Masters］で以下の操作を行います。

i. ダミー・オブジェクトをマスタとして定義します。

ii. ダミー・オブジェクトをログ・サーバとして定義します（ログ・サーバが別のコン

ピュータ上にある場合は、2つの仮想オブジェクトを定義します）。

NAT の詳細設定


IP プール NATIPプールは、ゲートウェイにルーティング可能な IPアドレスの範囲（アドレス範囲、ネットワーク、

またはこれらのどちらかのオブジェクトのグループ）です。IPプールNATは、以下の2つの接続シナ

リオで、暗号化された接続に対して適切なルーティングを保証します。

• SecuRemote/SecureClientからMEP (Multiple Entry Point) ゲートウェイへの接続

• ゲートウェイからMEPゲートウェイへの接続

SecuRemote/SecureClientまたはゲートウェイの背後にあるクライアントからMEPゲートウェイ

の背後にあるサーバへの接続が開かれると、パケットはいずれかのMEPゲートウェイを経由して

ルーティングされます。接続を維持するには、接続内の戻りのパケットが同じゲートウェイを経由

してルーティングされる必要があります。このように動作するために、各MEPゲートウェイは、

ゲートウェイにルーティング可能な IPアドレスのプールを保持しています。サーバへの接続が開か

れると、ゲートウェイが発信元 IPアドレスを IPプールからの IPアドレスに置き換えます。サーバ

からの戻りのパケットがゲートウェイに返されます。ゲートウェイは、元の発信元 IPアドレスを保

持し、パケットを発信元に転送します。

IPアドレスのプールは、ゲートウェイ・オブジェクトの [IP Pool]ページで設定されます。 MEPシ

ナリオでの IPプールNATの使用方法については、『バーチャル・プライベート・ネットワーク』の

「複数エントリ・ポイントVPN」の章を参照してください。

インタフェースごとの IP プール

ゲートウェイに対して単一の IPのプールを定義する代わりに、1つ以上のゲートウェイ・インタ

フェース上に個別の IPアドレス・プールを定義できます。

インタフェースごとに IPプールを定義すると、ゲートウェイに複数のインタフェースがある場合に発

生するルーティングの問題を解決できます。戻りのパケットが同じゲートウェイ・インタフェースを

経由してゲートウェイに戻ることが必要な場合があります。図 3-17は、SecuRemote/SecureClientからMEP（Multiple Entry Point）ゲートウェイへの接続の様子を示しています。

NAT の詳細設定

128

図 3-17 インタフェースごとの IP プール

リモート・クライアントが内部ネットワークとの接続を開く場合は、内部ネットワーク内のホスト

からの戻りのパケットは、静的 IPプールNATアドレスを使用して、正しいゲートウェイ・インタ

フェースにルーティングされます。

リモートのVPNクライアントの IPアドレスは、いずれかのゲートウェイ・インタフェース上の IPプール内のアドレスにネットワーク・アドレス変換されます。 IPプール内のアドレスは、ゲート

ウェイ・インタフェースを介してのみルーティング可能なので、ターゲット・ホストからのすべての

戻りのパケットは、他のインタフェースではなくそのインタフェースに戻ります。このため、インタ

フェースの IP NATプールが重複していないことが重要です。

ゲートウェイ・インタフェースにパケットが戻ると、ゲートウェイはリモート・ピアの発信元 IPアド

レスを復元します。

ゲートウェイの IPプールからのアドレスが正しいゲートウェイ・インタフェースに戻されるように、

ゲートウェイの背後にあるルータ上のルーティング・テーブルを編集する必要があります。

ゲートウェイごとの IPプールNATとインタフェースごとの IPプールNATを切り替えてからセキュ

リティー・ポリシーをインストールすると、すべての IPプールの割り当てとネットワーク・アドレス

変換されたすべての接続が削除されます。

NAT の詳細設定


NAT の優先順位

IPプールNATは、暗号化された（VPN）接続と、クリアな（ゲートウェイによって暗号解除された）

接続の両方で使用できます。

暗号化されていない接続の場合、IPプールNATはHide NATに比べて次の利点があります。

• ネットワーク・アドレス変換されるホストへの新しいバック・コネクション（X11など）を開

くことができます。

• 1つの IPに1つの接続を許可するプロトコルを使用する場合に、ユーザと IPアドレスのマッ

ピングは、1つのみのホストではなく複数のホストで使用できます。

• IPSec、GRE、および IGMPプロトコルは、IPプールNAT（およびStatic NAT）を使用して

ネットワーク・アドレス変換を行うことができます。 Hide NATは、TCP、UDP、および

ICMPプロトコルのみで機能します。

これらの利点があるため、IPプールNATとHide NATの両方が同じ接続に一致する場合に、IPプール

NATを優先するように指定できます。 Hide NATは、IPプールがすべて使用された場合にのみ適用

されます。

NATの優先順位は以下のとおりです。

1. Static NAT

2. IPプールNAT

3. Hide NAT

Static NATは、IPプールNATのすべての利点およびその他の利点を持っているので、他のNAT方法

よりも優先順位が高くなります。

NGX（R60）よりも前のバージョンのゲートウェイ、およびアップグレードされたゲートウェイ

（デフォルト）の場合は、NATの優先順位は以下のとおりです。

1. Static NAT

2. Hide NAT

3. IPプールNAT

注：ゲートウェイ経由のクリアな接続の IP プール NAT を有効にするには、user.defファイル

内で INSPECT の変更を設定します。詳細については、チェック・ポイントの技術サポート

にお問い合わせください。

NAT の詳細設定

130

異なる宛先に対する IP プール・アドレスの再利用

IPプールNATを使用するNGX（R60）よりも前のバージョンのゲートウェイで、IPプールにN個の

アドレスが含まれている場合は、大N個の異なるクライアントのネットワーク・アドレス変換を

行うことができます。

NGX（R60）以降のバージョンでは、異なる宛先に対して IPプールのアドレスを再利用でき、プー

ル内のアドレスをより効率的に使用できます。ルールにN個のアドレスが含まれている場合は、サー

バあたりのクライアント数がNを超えない限り、任意の数のクライアントにプールから IPアドレス

を割り当てることができます。

宛先ごとの IPプールの割り当てを使用すると、2つの異なるクライアントが異なるサーバと通信し

ている限り（図 3-18の接続1と2）、2つのクライアントがプールから同じ IPアドレスを受け取る

ことができます。IPアドレスを再利用する場合は、接続先のサーバからのバック・コネクションの

みがサポートされます。つまり、クライアントに戻る接続は、接続が開かれた特定のサーバからの

み開くことができます (図 3-18の接続3)。

図 3-18 異なる宛先に対する IP プール NAT アドレスの再利用

デフォルトの［Do not reuse IP Pool］の動作では、IPプール内の各 IPアドレスは一度だけ使用さ

れます（図 3-19の接続1と2）。このモードでは、IPプールに20個のアドレスが含まれている場合、

大20の異なるクライアントのネットワーク・アドレス変換を行い、任意の発信元からクライア

ントへのバック・コネクション（図 3-19の接続3）を開くことができます。

NAT の詳細設定


図 3-19 IP プール NAT アドレスを再利用しない

「再利用」モードと「非再利用」モードを切り替えてから、セキュリティ・ポリシーをインストー

ルすると、すべての IPプールの割り当てとネットワーク・アドレス変換されたすべての接続が削除

されます。

IP プール NAT の設定

IPプールNATを設定するには、以下の手順に従います。

1. ［Global Properties］>［NAT］ページで、［Enable IP Pool NAT］を選択し、必要なトラッ

キング・オプションを選択します。

2. ゲートウェイの［General Properties］ページで、ゲートウェイのバージョンが正しく指定

されていることを確認します。IPプールNATは、NGX（R60）以降のバージョンのゲート

ウェイの場合、ゲートウェイ・インタフェースごとに定義できます。

3. 各ゲートウェイまたはゲートウェイ・インタフェースに対して、その IPプールNATアドレスを

表すネットワーク・オブジェクトを作成します。 IPプールとして、ネットワーク、グループ、

またはアドレス範囲を使用できます。たとえばアドレス範囲の場合は、以下の手順に従います。

• ネットワーク・オブジェクト・ツリーで、［Network Objects］ブランチを右クリックし、

［New］>［Address Range...］を選択します。［Address Range Properties］ウィンド

ウが表示されます。

• ［General］タブで、アドレス範囲の初と後の IPアドレスを入力します。

• ［OK］をクリックします。新しいアドレス範囲がネットワーク・オブジェクト・ツリーの

［Address Ranges］ブランチに表示されます。

4. ゲートウェイ・オブジェクトを選択し、［Gateway Properties］ウィンドウにアクセスして、

［NAT］>［IP Pool NAT］を選択します。

NAT の詳細設定

132

5. ［IP Pool NAT］ページで以下のいずれかを選択します。

• ［Allocate IP Addresses from］を選択し、ゲートウェイ全体の IPプールNATを設定する

ために作成したアドレス範囲を選択します。

• ［Define IP Pool addresses on gateway interfaces］を選択し、IPプールNATをインタ

フェースごとに設定します。

6. 必要な場合は、以下のオプションを1つ以上選択します。

• ［Use IP Pool NAT for VPN client connections］

• ［Use IP Pool NAT for gateway to gateway connections］

• ［Prefer IP Pool NAT over Hide NAT］。IPプールNATとHide NATが同じ接続に一致した

場合に IPプールNATを優先することを指定します。Hide NATは、IPプールがすべて使用

された場合にのみ適用されます。

7. ［Advanced］をクリックします。

• Return unused addresses to IP Pool after：プール内のアドレスは、ユーザがログオフ

した場合でも60分間（デフォルト）は予約されています。ユーザが ISPから切断し、再び

ダイヤルして再接続した場合は、IPプールから初に取得したアドレスがタイムアウト

になるまで、2つのプールNATアドレスがこのユーザに使用されます。ユーザが ISPとの

接続を頻繁に切断する場合は、このタイムアウト時間を短縮し、IPプールが枯渇しない

ようにすることができます。

• Reuse IP addresses from the pool for different destinations：クライアントが初に

接続を開いた特定のサーバからだけでなく、任意の発信元からクライアントへのバック・

コネクションを開くことを許可する必要がない場合は、このオプションを選択すること

をお勧めします。

8. ［OK］をクリックします。

9. 各内部ルータのルーティング・テーブルを編集して、NATプールから割り当てられた IPアド

レスを使用するパケットが適切なゲートウェイまたは適切なゲートウェイ・インタフェース

（インタフェースごとの IPプールを使用する場合）にルーティングされるようにします。

クラスタ用の IP プール NATゲートウェイ・クラスタ用の IPプールは、SmartDashboardの次の2つの場所で設定されます。

• ゲートウェイ・オブジェクトの［NAT］>［IP Pool NAT］ページで、接続シナリオを選択し

ます。

• クラスタ・メンバ・オブジェクトの［IP Pool NAT］ページで、クラスタ・メンバ上の IPプールを定義します。各クラスタ・メンバに対して個別の IPプールを設定する必要があります。各クラスタ・メンバ・インタフェースに対して個別の IPプールを定義することはできません。

133

第章4ISP の冗長性

この章の構成

ISPリンクの冗長性の必要性 134 ページ

ISPリンクの冗長性のためのソリューション 135 ページ

ISPリンクの冗長性に関する考慮事項 146 ページ

ISPリンクの冗長性の設定 147 ページ

ISP リンクの冗長性の必要性

134

ISP リンクの冗長性の必要性ビジネスの成功にとってインターネット・アクセスの重要性が増加するのに伴って、接続性が失わ

れることによるコストが増加します。ネットワークのダウンタイムを防ぐには、ミッション・クリ

ティカルなインターネット・アプリケーションに対して冗長システムを導入するのが効果的です。

複数のインターネット・サービス・プロバイダ（ISP）を利用してインターネットに接続すると冗

長性が増加します。

複数の ISPに接続できるようにするためのいくつかのソリューションが市場で提供されています。

しかし、これらのソリューションはたいていの場合、高価な専用のハードウェアが必要で、設定や

管理するのに困難を伴います。インターネットと組織の間の既存の境界を活用する単純なソリュー

ション、つまりファイアウォール・ゲートウェイによるソリューションが必要とされています。

ISP リンクの冗長性のためのソリューション

第 4 章 ISP の冗長性 135



ISP の冗長性の概要

ISPの冗長性は、単一のまたはクラスタ化されたVPN-1ゲートウェイが、冗長なインターネット・

サービス・プロバイダ（ISP）のリンクを使用してインターネットに接続できるようにすることで、

信頼性の高いインターネット接続性を保証します。この機能は標準のVPN-1の一部であり、高価な

新しいネットワーク・ハードウェアや専門の操作知識は必要ありません。

ISPの冗長性は、以下のプラットフォームのVPN-1 NG with Application Intelligence（R55）ゲート

ウェイ以降でサポートされています。

• Red Hat Linux 7.2以上

• SecurePlatform

• IPSO

ISPの冗長性は、ISPリンクを監視し、動作モードに応じて接続を適切なリンクに振り分けます。

利用可能なモードは、負荷共有モードとプライマリ /バックアップ・モードの2つです。

図 4-1に、単一の ISPリンクを使用した一般的な導入と、二重化された ISPリンクを使用した冗長な

導入を示します。

ISPの冗長性の概要 135 ページ

ISPの冗長性の動作モード 136 ページ

ISPリンクの監視 137 ページ

ISPの冗長性の仕組み 137 ページ

ISPの冗長性スクリプト 139 ページ

リンクのステータスの手動変更（fw isp_link） 139 ページ

ISPの冗長性の導入 140 ページ

ISPの冗長性とVPN 144 ページ


136

図 4-1 ISP リンクの冗長性

ISP の冗長性の動作モード

以下のモードは、内部ネットワークのクライアントからインターネットへの発信接続の動作を制御

します。

• プライマリ /バックアップ：プライマリ・リンク経由で ISPに接続し、プライマリ ISPリンク

に障害が発生した場合にバックアップの ISPに切り替えます。プライマリ・リンクが回復する

と、新規の発信接続はプライマリ・リンクに割り当てられ、既存の接続は完了するまでバッ

クアップ・リンク上で維持されます。

• 負荷共有：両方の ISPに接続し、発信接続の負荷をそれらの ISPに分散させます。新規の接続

は、1つのリンクにランダムに割り当てられます。リンクに障害が発生した場合は、すべての

新規の発信接続がアクティブなリンクに振り分けられます。

VPN-1は、接続が開始された ISPリンクを使用してパケットを返すので、（インターネットからDMZまたは内部ネットワーク内のアプリケーション・サーバへの）着信接続に対しても、2つの ISPリ

ンクによる高可用性という利点が得られます。

また負荷共有モードでは、着信接続はどちらの ISPリンク経由でもアプリケーション・サーバに接

続できます。これは、VPN-1が両方の ISPからのアドレスを使用し、ISPの順序を変えながら内部

サーバの IPアドレスに対するDNS要求に応答できるからです。



ISP リンクの監視

ISPの冗長性は、ISPリンクを監視し、動作モードに応じて接続を適切なリンクに振り分けます。

VPN-1は、インタフェースが稼動しているかどうか、およびケーブルが接続されているかどうかを

確認し、リンクのステータスを監視します。次のホップのルータも自動的に監視されます。

ISPリンクのステータスを監視するもう1つの方法として、管理者が、ISPリンクがアクティブで

あると見なされるように ICMPエコー要求（Ping）に応答する必要があるホストのリストを設定で

きます。ICMP要求に応答できないホストがある場合、リンクは停止していると見なされます。ISPのWebサーバやインターネット上の他のホストなどを選択してリストに含めることができます。

ISPリンクのステータスは、SmartView Monitorによって [Firewall]セクションで報告されます。

ISP の冗長性の仕組み

重複したリンクが存在すると、VPN-1ゲートウェイの背後からインターネットへの発信接続および

インターネットからの着信接続の両方で利点が得られます。

発信接続

負荷共有モードでは、VPN-1ゲートウェイからインターネットへの発信トラフィックが ISPリンク

間で分散されます。プライマリ /バックアップ・モードでは、発信トラフィックはアクティブなプ

ライマリ・リンクを使用します。

Hide NAT を使用して、発信パケットの発信元アドレスが、VPN-1ゲートウェイを出るときにパケッ

トが通過するインタフェースのアドレスに変換されます。これにより、返信パケットの宛先アドレ

スが適切なリンクのアドレスになるため、返信パケットは自動的に同じ ISPリンクを経由してルー

ティングされます。Hide NATは管理者によって設定されます。

着信接続

着信接続を行う外部ユーザのために、管理者は各 ISPに1つ、合わせて2つのルーティング可能な

IPアドレスを各アプリケーション・サーバに設定する必要があります。また管理者は、ルーティ

ング可能なアドレスを実際のサーバのアドレスに変換するためのStatic NATを設定する必要があ

ります。

各サーバが異なるサービス（HTTP、FTPなど）を処理する場合は、2つのルーティング可能な IPアドレスだけを使用してすべての公開サーバをNATすることができます。


138

外部クライアントは2つのアドレスのどちらかを使用します。クライアントは、接続するために

サーバのDNS名を正しい IPアドレスに解決できる必要があります。

図 4-2では、Web サーバwww.example.comは、各 ISPから IPアドレスを割り当てられます。 ISPAから192.168.1.2が割り当てられ、ISP Bから172.16.2.2が割り当てられています。 ISPリンクAが停止している場合は192.168.1.2 が使用不能になり、クライアントはwww.example.com を

172.16.2.2に解決できる必要があります。

図 4-2 着信接続での IP アドレスの解決

図 4-2に基づいて、着信接続が確立されるワークフローを以下に示します。

1. インターネット上のユーザがwww.example.comにアクセスするときは、クライアント・コン

ピュータが IPアドレスのDNSクエリを送信します。DNSクエリはVPN-1ゲートウェイに到

達します。VPN-1には、ドメイン内のサーバに対するDNSクエリ（タイプA）を傍受するよう

に設定できるミニDNSサーバが組み込まれています。

2. いずれかの ISPリンクに属するインタフェースに到着したDNSクエリは、VPN-1によって傍受

されます。

3. VPN-1は、ホストの名前を認識した場合に以下のいずれかの応答を送信します。

• プライマリ /バックアップ・モードでは、VPN-1は、プライマリ・リンクがアクティブで

ある限り、プライマリ・リンクに関連付けられたアドレスのみを使用して応答します。

• 負荷共有モードでは、VPN-1は2つのアドレスを順序を変えながら使用して応答します。

注：以下の例では、サブネット 192.168.1.0/24および 172.16.2.0/24はルーティング可能

なパブリック・アドレスを表します。

http://www.example.com





4. VPN-1がDNS要求を処理できない場合（たとえば、ホスト名を認識できない場合）は、

VPN-1はDNSクエリを元の宛先（つまり、example.comドメインのDNSサーバ）に渡し

ます。

5. 外部クライアントは、DNSクエリの応答を受け取ると接続を開きます。パケットがゲート

ウェイに到着すると、VPN-1はStatic NATを使用して、宛先アドレス192.168.1.2または

172.16.2.2を実際のサーバのアドレスである10.0.0.2に変換します。

6. VPN-1は、接続を開始するために使用された ISPリンクを経由して、サーバからの戻りのパ

ケットをクライアントにルーティングします。

ISP の冗長性スクリプト

VPN-1の起動時または ISPリンクの状態が変わるたびにスクリプトが実行されます。ISPリンクが

稼動状態か停止状態かに応じて、このスクリプトはVPN-1ゲートウェイのデフォルト・ルートを自

動的に変更します。

いずれかの ISPリンクがダイヤルアップ・インタフェースである場合は、ISPの冗長性スクリプト

を手動で編集して、ISPリンクの状態が変更されたときまたはVPN-1を起動したときに、VPN-1で

ダイヤルアップ・インタフェースの状態を変更することができます。

このスクリプトは、その他の操作を実行するように設定することもできます。たとえば、プライマ

リ・リンクが停止しているときにリンク上のトラフィック負荷を減らすために、特定のトラフィッ

クを遮断するSAMコマンドを実行できます。

ISPの冗長性スクリプトの名前と場所は、$FWDIR/bin/cpisp_updateです。

リンクのステータスの手動変更（fw isp_link）fw isp_linkコマンドは、VPN-1上で ISPリンクを停止または稼動させるために使用され、以下の

場合に便利です。

• 設定をテストする場合。

• ISPリンクが停止しているのにVPN-1が認識しない場合。このコマンドでリンクステータスを

変更した場合は、リンクが実際に使用可能になったときには、このコマンドを利用してリン

クを稼動状態に戻します。

このコマンドは、ゲートウェイ上でローカルで実行することも、SmartCenterサーバからリモート

で実行することもできます。 SmartCenterサーバから実行する場合は、「fw isp_link [target]

link-name up|down」のように target引数を指定する必要があります。<target>はゲートウェイ

の名前、<link-name>は、ゲートウェイ・オブジェクトまたはゲートウェイ・クラスタ・オブジェ

クトの［ISP Redundancy］ページで定義された ISPリンクの名前です。


140

ISP の冗長性の導入

いくつかの導入方法がサポートされています。各導入方法の詳細については、146ページの「ISPリ

ンクの冗長性に関する考慮事項」を参照してください。

2 つの外部インタフェース

2つの ISPに接続するも簡単な方法は、各VPN-1ゲートウェイ・インタフェースをLAN経由で異

なる ISPに接続することです（図 4-3）。次ホップのルータは組織の境界または ISPにあります。

図 4-3 異なる外部 VPN-1 ゲートウェイ・インタフェースに接続された 2 つの ISP



1 つの外部インタフェース

VPN-1ゲートウェイで1つの外部インタフェースのみが使用可能な場合は、2つのサブネットを同

じ外部インタフェース上で設定できます。両方の ISPリンクが同じVPN-1インタフェースに接続さ

れますが、接続される次ホップのルータ（通常はスイッチ経由）は異なります（図 4-4）。

図 4-4 同じ VPN-1 外部インタフェースに接続された 2 つの ISP

1 つの永続インタフェースと 1 つのダイヤルアップ（バックアップ）インタフェース

1つの ISPにダイヤルアップ・ネットワーク（モデム）経由で接続し、もう1つの ISPにLAN経由

で接続するには、VPN-1ゲートウェイの各外部インタフェースを異なる ISPリンクに接続します

（図 4-5）。この導入方法は、バックアップ ISPにダイヤルアップ接続している場合に便利です。


142

図 4-5 LAN の ISP リンクとダイヤルアップ・ネットワークの ISP リンクの併用

ゲートウェイ・クラスタ接続

ClusterXLゲートウェイ・クラスタを利用している場合には、2つのインタフェースを使用してLAN経由で各クラスタ・メンバを両方の ISPと接続します（図 4-6）。

ClusterXLを通常の方法で設定しますが、メンバ・インタフェースをクラスタの外部インタフェース

と同じサブネット上に置く必要があります（詳細については、『ClusterXL』を参照してください）。



図 4-6 両方の ISP リンクを LAN 経由でゲートウェイ・クラスタに接続


144

ISP の冗長性と VPNVPN-1ゲートウェイ上で ISPの冗長性を設定する場合は、ゲートウェイ上の1つの ISPリンクに障害

が発生しても暗号化されたVPN接続を継続できます。ISPの冗長性は、ゲートウェイ間VPNおよび

SecuRemote/SecureClientとのリモート・アクセスVPNの両方で使用できます。

［ISP Redundancy］ウィンドウで設定した値はデフォルトで［Link Selection］ページに適用され、

既存の設定は上書きされます。プライマリ /バックアップ・モードが設定されている場合は、この

設定が［Link Selection］でも継続されます。

VPN-1ゲートウェイ上で ISPの冗長性を設定するには、以下の手順に従います。

1. ［VPN］>［Topology］>［ISP Redundancy］を選択します。［ISP Redundancy］ウィンド

ウが開きます。

2. ［ISP Redundancy］ウィンドウで該当する設定を行います。 ISPの冗長性を設定した場合、

［Link Selection］ページのデフォルト設定は［Use ongoing probing］ですが、リンク選択は

［ISP Redundancy］ウィンドウで設定した ISPのみをプロービングします。この機能により、

ゲートウェイ・インタフェースの1つが接続不能になっても、VPNトンネルの接続フェイル

オーバーが可能になります。

2つの ISPに2つのゲートウェイが接続されている場合は、リンク選択に対して異なる設定が必要

です（図 4-7）。

図 4-7 2 つの ISP に接続された 2 つのゲートウェイ



このシナリオの構成

• ゲートウェイA、B、およびCが2つの ISPに接続しています。

• ［ISP Redundancy］がゲートウェイAで設定されています。

• ゲートウェイAは、ゲートウェイBに接続するために ISP1を使用し、ゲートウェイCに接続

するために ISP2を使用する必要があります。いずれかの ISPが使用不能になった場合は、もう

1つの ISPが使用できる必要があります。

設定の詳細については、『バーチャル・プライベート・ネットワーク』の「リンク選択」の章を参

照してください。

ISP の冗長性とサード・パーティの VPNサード・パーティのVPNデバイスが ISPリンクの障害を検出できるかどうかは、サード・パーティ・

デバイスの実装方法によって異なります。ISPリンクの障害は、以下の2つの理由でVPNの障害の

原因になる可能性があります。

1. サード・パーティ・デバイスは、ゲートウェイの2番目のリンクから送信される暗号化された

着信トラフィックを認識できない場合があります。

2. サード・パーティ・デバイスは ISPリンクの障害を検出できない場合があり、障害が発生した

リンクに暗号化したトラフィックを送信し続ける可能性があります。

ISP リンクの冗長性に関する考慮事項

146

ISP リンクの冗長性に関する考慮事項

導入方法の選択

組織のニーズにも適した導入方法の選択肢は、通常すぐに分かります。以下に推奨方法を示し

ます。

• も単純な構成は、図 4-3に示すように ISPリンクごとに異なるインタフェースを使用する構

成です。

• VPN-1ゲートウェイで1つの外部インタフェースのみが使用可能な場合は、図 4-4に示すよう

に、同じインタフェース上に ISPごとに1つずつ、2つのサブネットを定義して、両方の ISPを

同じインタフェースに接続できます。

• いずれかの ISPリンクが、バックアップで使用するダイヤルアップ・ネットワーク（モデム

接続）である場合は、図 4-5に表示された導入方法を使用し、プライマリ /バックアップ動作

モードを選択します。

• ISPリンクがVPN-1ゲートウェイ・クラスタに接続されている場合は、図 4-6に表示されて

いる導入方法を使用します。

冗長性モードの選択

両方の ISPが基本的に同じである場合は、負荷共有モードを使用して両方の ISPをも有効に活用

できるようにします。

2つの ISPのうち料金と信頼性の面で費用対効果が優れている方の ISPを優先的に使いたい場合が

あります。この場合は、プライマリ /バックアップ・モードを使用して、費用対効果が優れた ISPを

プライマリ ISPリンクとして使用します。

ISP リンクの冗長性の設定




ISP リンクの冗長性の設定について

以下のISPの冗長性設定を使用すると、VPN-1ゲートウェイの背後からインターネットへの発信接続、

およびインターネットからVPN-1ゲートウェイの背後にあるネットワークへの着信接続が可能に

なります。

ドメインの登録と IP アドレスの取得

VPN-1ゲートウェイまたはその背後にあるDNSサーバは、DNSクエリに応答し、DMZ（または他

の内部ネットワーク）内のパブリック・アクセスが可能なサーバに属する IPアドレスを解決する必

要があります。 VPN-1ゲートウェイがDNSクエリを傍受するように設定できるので、実際のDNSサーバを用意する必要はありません。

ドメインを登録して IPアドレスを取得するには、以下の手順に従います。

1. DNSサーバまたはDNSクエリを傍受するVPN-1ゲートウェイ用のルーティング可能な IPア

ドレスを、各 ISPから1つずつ取得します。ルーティング可能な IPアドレスを使用できない場

合は、手動NATを使用してインターネットからDNSサーバにアクセスできるようにします

（手順15）。

2. 両方の ISPにドメイン（たとえばexample.com）を登録します。

3. example.comドメインに関するDNSクエリに応答するDNSサーバの2つのアドレスを両方の

ISPに通知します。

ISPリンクの冗長性の設定について 147 ページ

ドメインの登録と IPアドレスの取得 147 ページ

着信接続のためのDNSサーバの設定 148 ページ

着信接続のためのダイヤルアップ・リンクの設定 149 ページ

SmartDashboardの設定 149 ページ

ISPの冗長性ゲートウェイのデフォルト・ルートの設定 152 ページ

注：詳細な設定オプションについては、SecureKnowledge ソリューション sk23630（https://secureknowledge.checkpoint.com/）を参照してください（ユーザ名とパスワードが

必要です）。注：以下の設定例では、サブネット 192.168.1.0/24および 172.16.2.0/24は、ルーティン

可能なパブリック・アドレスを表します。



148

4. 着信接続を許可するために、インターネットからアクセスされる各アプリケーション・サー

バ用のルーティング可能な IPアドレスを各 ISPから1つずつ取得します。たとえば、138ペー

ジの図 4-2では、DMZ-net内のWebサーバ用の2つの IPアドレスを取得します。公開サーバ

用にルーティング可能な IPアドレスを使用しない場合は、手順15を参照してください。

着信接続のための DNS サーバの設定

以下のセクションでは、着信接続のためのDNSサーバの設定について説明します。この設定では、

Webサーバ（たとえば、138ページの図 4-2のwww.example.com)に対するDNSクエリを傍受し、

ISPアドレス192.168.1.2と172.16.2.2を使用してクエリに応答するようにVPN-1を設定します。

着信接続のためのDNSサーバを設定するには、以下の手順に従います。

1. ［ISP Redundancy］ウィンドウの［DNS Proxy］タブで、［Enable DNS proxy］を選択します。

2. VPN-1は、ISPリンクと冗長性モードのステータスに応じて、1つまたは2つの IPアドレスを

使用してDNSクエリに応答します。この動作を設定するには、［DNS Proxy］タブの［Add］を

クリックして、各サーバ名に IPアドレスのペアにマップします。

3. ［Host name］にホスト名（たとえばwww.example.com）を入力します。

4. ISP-1の IPアドレス（たとえば138ページの図 4-2の192.168.1.2）と ISP-2の IPアドレス

（たとえば172.16.2.2）を追加します。

インターネット上のDNSサーバに古いアドレス情報が保存されていないことを確認する必要

があります。各DNS応答には、応答内の情報をキャッシュできる期間を受信者に示す［TimeTo Live (TTL)］（保存期間）フィールドがあります。デフォルトでは、VPN-1の応答のTTLは

15秒です。この時間は［DNS TTL］フィールドで変更できます。



着信接続のためのダイヤルアップ・リンクの設定

着信接続のためのダイヤルアップ・リンクを設定するには、以下の手順に従います。

1. いずれかの ISPリンクがダイヤルアップ・ネットワークである場合は、

$FWDIR/bin/cpisp_updateにある ISPの冗長性スクリプトを編集します。

2. スクリプト内で、LinuxまたはSecurePlatformオペレーティング・システムのコマンドを使用

して、ダイヤルアップ・インタフェースを起動または停止します。

3. PPPoEまたはPPTP xDSLモデムを使用して、SecurePlatformをxDSLサービスを提供する

ISPに接続できます。これらの接続のいずれかを使用する場合は、SecurePlatformのPPPoEまたはPPTPの設定で、［Use Peer Gateway］チェック・ボックスをオフにします。

SmartDashboard の設定

SmartDashboardを設定するには、以下の手順に従います。

1. domain_udpサービスを使用してVPN-1ゲートウェイ経由のDNSトラフィックを許可するセ

キュリティ・ルール・ベース・ルールを定義します。

2. ［Check Point Gateway］ウィンドウの［Topology］ページで、ISPに接続するVPN-1イン

タフェースを定義します。

3. ［Topology］>［ISP Redundancy］を選択し、［Support ISP Redundancy］チェック・

ボックスをオンにします。

4. 「ISPリンクの自動設定」（手順5～手順8）または「ISPリンクの手動設定」（手順9～手順13）を実行します。自動設定は、正確に2つの外部インタフェースが［Topology］ページで定義さ

れている場合にのみ機能します（ゲートウェイ・クラスタ・オブジェクトでは機能しません）。

ISP リンクの自動設定

5. ［Automatic ISP Links configuration］をクリックして、ゲートウェイのルーティング・テー

ブル、およびゲートウェイ・オブジェクトの［Topology］ページから取得した情報に基づい

て ISPリンクを設定します。

6. プライマリ /バックアップ・モードで操作するには、以下の手順に従います。

a. ［Redundancy Mode］セクションで、［Primary/Backup］を選択します。

b. リンクを選択し［Edit］を選択して、プライマリにするリンクを定義します。

c. ［ISP Link Properties］ウィンドウの［General］タブで、［Primary ISP］を選択します。

7. 自動的に設定された ISPリンクの設定が正しいかどうかを調べます。

8. 手順14に進みます。


150

ISP リンクの手動設定

9. ［Redundancy Mode］セクションで、［Load Sharing］または［Primary/Backup］を選択

します。

10.［Add］をクリックして各 ISPリンクを定義します。

11.［ISP Link Properties］ウィンドウの［General］タブで以下を定義します。

a. ISP リンクに名前を付け、ISP に接続するインタフェースを選択します。

b. ［Get from routing table］をクリックし、［Next Hop IP Address］を指定します。 ISPリンクがダイヤルアップ接続である場合は、［Next Hop IP Address］フィールドを空白

のままにします。

140ページの図 4-3では、ISP Aへの接続に対する次のホップのルータの IPアドレスは

192.168.1.1であり、ISP Bへの接続に対する次のホップのルータの IPアドレスは

172.16.2.1です。

c. ［Primary/Backup］モードで、ISPリンクがプライマリかどうかを定義します。

12. リンクが動作していることを確認するために、監視するホストのリストを定義します。監視

するホストを指定するには、［ISP Link Properties］ウィンドウの［Advanced］タブを選択

し、［Add］を選択して［Selected hosts］のリストにホストを追加します。

13.［ISP failure］と［ISP recovery］の両方のオプションを選択して、［Tracking］を定義し

ます。

着信接続と発信接続の許可

14. 両方の ISPリンク経由での発信接続を許可するには、発信接続を開始するネットワーク・

オブジェクト上で自動Hide NATを定義します。 138ページの図 4-2に示されている例では、

以下の項目を設定します。

a. internal_netオブジェクトを編集します。

b. ［Network Properties］ウィンドウの［General］タブで［Add Automatic Address Translation Rules］を選択します。

c. ［Translation Method］で［Hide］を選択して、［Hide behind Gateway］オプションを

選択します。



15. 両方の ISPリンク経由でのアプリケーション・サーバおよびDNSサーバへの着信接続を許可

するには、手動Static NATルールを定義します。

各 ISP から取得したルーティング可能な IP アドレスが1 つしかなく、それらのアドレスが

VPN-1ゲートウェイに使用されている場合は、特定のサービスを特定のサーバへ接続するよう

に設定できます。 138ページの図 4-2に示されている例では、表 4-1のNATルールを定義します。

この例では、両方の ISPからのHTTP接続はWebサーバwww.example.comに接続され、両方

の ISPからのDNSトラフィックはDNSサーバに送信されます。

VPN-1ゲートウェイで使用されているアドレスの他に、各 ISPから取得した各公開サーバ用の

ルーティング可能なアドレスがある場合は、各サーバにルーティング不能なアドレスを与え

て、すべてのサービスがアプリケーション・サーバに接続するように設定できます。表 4-1の

NATルール・ベースで、以下の手順を実行します。

a. ［Original Packet］カラムの［Destination］でルーティング可能なアドレスを使用します。

b. ［Translated Packet］カラムの［Destination］でルーティング不能なアドレスを使用し

ます。

c. ［Original Packet］カラムの［Source］として、［Any］を選択します。


表 4-1 Web サーバおよび DNS サーバ用の手動 Static NAT ルール

ORIGINAL PACKET

TRANSLATED PACKET

COMMENT

SOURCE DESTINATION SERVICE SOURCE DESTINATION SERVICE

Any 192.168.1.2 http = 10.0.0.2 (Static)

= Incoming WebISP A

Any 172.16.2.2 http = 10.0.0.2 (Static)

= Incoming WebISP B

Any 192.168.1.2 domain_udp

= 10.0.0.3 (Static)

= Incoming DNSISP A

Any 172.16.2.2 domain_udp

= 10.0.0.3 (Static)

= Incoming DNSISP B

注：手動 NAT を使用する場合は、変換されたアドレスに対して自動 ARP は機能しません。 Linux と SecurePlatform では、local.arp を使用します。IPSO では、プロキシ ARP を設定し

ます。



152

ISP の冗長性ゲートウェイのデフォルト・ルートの設定 17. ISPの冗長性ゲートウェイ・コンピュータに対しては1つのデフォル・ルートのみを設定し、

メトリックは設定しません。プライマリ /バックアップ・モードで操作する場合は、プライマ

リ ISPに接続するルータの IPアドレスをデフォルト・ルートとして設定します。負荷共有

モードで操作する場合は、［ISP Redundancy］ウィンドウの初の ISPリンクのルータがデ

フォルト・ルートとして使用されます。

ISPリンクに障害が発生した場合は、ISPの冗長性スクリプトによって、ゲートウェイのデフォルト・

ルートが自動的に変更されます。リンクが再び稼働した場合は、元のデフォルト・ルートが回復し

ます。

153

第章5ConnectControl - サーバの負荷分散

この章の構成

サーバの負荷分散の必要性 154 ページ

サーバの負荷分散のためのConnectControlソリューション 155 ページ

ConnectControlの設定 163 ページ

サーバの負荷分散の必要性

154

サーバの負荷分散の必要性単一サーバを導入した環境でもチェック・ポイントは適なパフォーマンスを提供しますが、単一

サーバを利用してアプリケーションをホストすることにはいくつか欠点があります。通常はプロ

セッサやRAMを追加することでサーバの機能を拡張できますが、多くの場合、1台のコンピュータ

ではトラフィックの量を処理できないため、応答時間が長くなったり接続タイムアウトが発生した

りします。さらに、サーバのメンテナンスやその他の予定外のダウンタイムも単一サーバ環境では

問題になります。複数のサーバ間でネットワーク・トラフィックを合理的に共有すると、応答時間を

短縮し、1台のコンピュータに障害が発生した場合のアプリケーションのリスクを軽減できます。

サーバの負荷分散のための ConnectControl ソリューション

第 5 章 ConnectControl - サーバの負荷分散 155

サーバの負荷分散のための ConnectControlソリューション


ConnectControl について

ConnectControl は、サーバの負荷分散のためのチェック・ポイント・ソリューションです。

ConnectControl はネットワーク・トラフィックを複数のサーバに分散することで、単一のコン

ピュータの負荷を軽減し、ネットワークの応答時間を短縮し、さらに可用性を高めることができます。

パフォーマンス上の利点に加えて、複数のコンピュータに負荷を分散することでアプリケーション

の冗長性が構築され、ダウンタイムのリスクを軽減できます。

負荷が分散されるサーバは、1つの仮想 IPアドレスによって表されるので、クライアントは複数の

サーバがリクエストを処理していることを認識しません。これは論理サーバを使用して実現され

ます。論理サーバは、物理サーバのグループを表すネットワーク・オブジェクトで、SmartDashboardで定義されます。論理サーバは、負荷分散アプリケーションのサービス・リクエストを整理し、それ

らのリクエストを適切な物理サーバに送信します。

ConnectControlはゲートウェイ上で実行され、追加メモリまたはプロセッサの要件はありません。

ConnectControlは各サーバの可用性を確認し、サーバに障害が発生した場合またはサーバに到達で

きない場合は、サーバが使用可能になるまでそのサーバへの接続を停止します。

ConnectControlについて 155 ページ

負荷分散方式 156 ページ

ConnectControlのパケットの流れ 157 ページ

論理サーバのタイプ 157 ページ

永続サーバ・モード 160 ページ

サーバの可用性 162 ページ

負荷の測定 162 ページ


156

負荷分散方式 ConnectControlは、以下の事前に定義した分散方式に従って、ネットワーク・トラフィックを負荷

分散対象のサーバに分散します。

• Server Load：各サーバの負荷を測定し、リクエストを処理するために利用できるリソースが

も多いサーバを特定します。グループ内の各サーバで負荷測定エージェントが実行され、

このエージェントが、VPN-1ゲートウェイ上のConnectControlモジュールに現在のシステムの

負荷を報告します。［Server Load］は、サーバが、負荷分散アプリケーションのサポートに

加えて、リソースを多く消費する他のアプリケーションを実行する場合に適した選択肢です。

詳細については、162ページの「負荷の測定」を参照してください。

• Round Trip：着信したリクエストは、応答時間のも短いサーバによって処理されます。

ConnectControlは、ユーザが定義した間隔でグループ内のサーバの応答時間を確認します。

この際、ゲートウェイが一連の ICMPエコー・リクエスト（Ping）を実行し、平均のラウンド・

トリップ時間がも短いサーバを報告します。次に、ConnectControlがサービス・リクエス

トをそのサーバに送信します。ラウンド・トリップ方式は、ネットワーク上のトラフィック

の負荷が大きく変動する場合、またはWAN接続上で負荷分散を行う場合に効果的です。

• Round Robin：サービス・リクエストをシーケンス内の次のサーバに割り当てます。ラウン

ド・ロビン方式は、分散対象のすべてのサーバが同様のRAMとCPUを搭載し、同じセグメ

ント上に配置されている場合に適な負荷分散を実現します。

• Random：サービス・リクエストをランダムにサーバに割り当てます。ランダム方式は、分

散対象のすべてのサーバが同様のRAMとCPUを搭載し、同じセグメント上に配置されてい

る場合に適な負荷分散を実現します。

• Domain：ドメイン名を基にしてサービス・リクエストを配信します。



ConnectControl のパケットの流れ

クライアントが、ConnectControlによって負荷分散されるアプリケーションへのアクセスを要求した

場合は、パケットは以下のように流れます（図 5-1）。

1. クライアントがアプリケーション・サーバの論理 IPアドレスを使用して接続を開始します。

このアドレスは実際には論理サーバに割り当てられたアドレスです。

2. サービス・リクエストがゲートウェイに到着し、ルール・ベース内の論理サーバ・ルール・

ベースによって照合されます。VPN-1がパケットを論理サーバに送信します。

3. ConnectControlが、負荷分散方式を基にして、リクエストを適に処理できるグループ内の

サーバを決定します。

図 5-1 ConnectControl のパケットの流れ

論理サーバのタイプ

論理サーバ・オブジェクトを作成するときは、サーバのタイプとしてHTTPまたはOtherを指定す

る必要があります。ConnectControlは各サーバ・タイプに応じてクライアントへの接続を異なる方

法で処理するので、この区別は重要です。ネットワーク・トラフィックを送信する場合に、HTTPサーバ・タイプではHTTPリダイレクトを使用し、Otherサーバ・タイプではアドレス変換を使用

します。


158

HTTPHTTP論理サーバ・タイプはHTTPサービスのみをサポートし、HTTPリダイレクトを使用してネッ

トワーク・トラフィックを分散します。リダイレクト・メカニズムによって、HTTP接続を構成す

るすべてのセッションは1台のサーバに送信されます。これは、HTTPベースのフォームなど、す

べてのユーザ・データを1台のサーバで処理する必要がある多くのWebアプリケーションにとって

不可欠です。

HTTPリダイレクト・メカニズムは、ConnectControlの負荷分散方式と連携して機能します。初の

HTTP接続は、選択した負荷分散方式を基にして適切なサーバに送信されます。次にConnectControlは、論理サーバの IPアドレスではなく、選択された物理サーバの IPアドレスにその後の接続を送信

する必要があることをクライアントに通知します。 IPアドレスには、ファイアウォールの背後または

オフサイトにあるサーバのIPアドレスを使用できます。セッションの残りの処理はConnectControlの介入なしで実行され、すべての操作はエンド・ユーザに対して透過的です。

論理サーバは、ConnectControlによる負荷分散の結果に応じて、クライアントをファイアウォールの

背後にあるHTTPサーバまたはオフサイトのHTTPサーバに接続します（図 5-2）。

図 5-2 HTTP 論理サーバのパケットの流れ

クライアントとサーバ間のその後のすべての通信は、ConnectControlの介入なしで実行されます。



OtherOtherタイプの論理サーバは、HTTPを含む、VPN-1によってサポートされるすべてのサービスで

使用できます。このタイプではNATを使用して、ネットワーク・トラフィックをグループ化された

サーバに送信します。 ConnectControlは、クライアントがセッションを継続している場合でも各

サービス・リクエストを調停します。 Otherタイプの論理サーバを作成すると、ConnectControlによって自動的にVPN-1 のカーネル・テーブル内にエントリが格納され、接続が許可されます。

ConnectControlはリクエストを受け取るサーバを決定し、NATを使用して着信パケットの宛先 IPア

ドレスを変更します。戻りの接続が開かれた場合は、サーバとクライアントの間に自動的に接続が

確立され、パケット内のサーバの発信元アドレスが論理サーバのアドレスに変換されます。図 5-3は、ファイアウォール内のネットワーク・アドレス変換されるFTPサーバへの接続を示しています。

図 5-3 Other タイプの論理サーバのパケットの流れ

パケットの返信では、ファイアウォールがパケットの元のアドレスを論理サーバのアドレスに変換

します。

Other タイプの論理サーバを使用してHTTP サービス・リクエストを処理することもできます。

HTTPタイプとは異なり、クライアントとサーバの間の接続が確立されたあと、Otherタイプの論

理サーバでは接続は切断されません。ConnectControlはクライアントからの各HTTPサービス・リ

クエストを処理し、1つのクライアントからの複数のサービス・リクエストは異なる複数のサーバ

に送信されます。

論理サーバのタイプの検討

環境に適した実装方法を検討する場合、HTTPフォームの使用、サーバの場所、サーバにNATを使

用という3つの判断基準があります。 HTTPタイプは、オフサイトのHTTPサーバおよびフォーム・

ベースのアプリケーションをサポートしますが、HTTPプロトコルでのみ機能します。Otherタイ

プは、すべてのプロトコルをサポートし、も効果的に負荷分散を実現しますが、ゲートウェイで

サービスをネットワーク・アドレス変換する必要があります。


160

永続サーバ・モード

永続サーバ・モードは、初に接続されたサーバへのクライアントの接続を維持する

ConnectControl機能です（詳細については、161ページの「永続サーバのタイムアウト」を参照し

てください）。この機能を使用する場合は、サーバごとの永続性またはサービスごとの永続性のいず

れかを選択する必要があります。

サーバごとの永続性

サーバごとの永続性は、たとえば、3台のWebサーバで負荷分散を行う環境（図 5-4）において、

フォームのサポートなど特定のタイプのHTTP アプリケーションで便利です。［Persistency byserver］を有効にすると、ConnectControlがHTTPクライアントを特定のサーバに接続し、そのク

ライアントによる後続の各リクエストは同じサーバに送信されます。このモードを使用すると、ク

ライアントがフォームに入力するときに、個別のサービス・リクエストが異なるサーバに配信され

る場合に発生する可能性があるデータ損失が起こりません。フォームをサポートする場合は、

［Persistent server mode］（デフォルトの設定）と［Persistency by server］オプションを有効

にします。



サービスごとの永続性

サービスごとの永続性機能は、たとえば、それぞれHTTPとFTPを実行する2台のコンピュータか

ら成る冗長な環境（図 5-4）において、サーバ・グループ内で複数のサービスを負荷分散する場合

に便利です。

図 5-4 サービスごとの永続性の例

サービスごとの永続性を使用すると、クライアントはHTTPサービスの場合はある1台のサーバに

接続され、FTPサービスの場合は別のサーバに接続されます。これにより、サーバごとの永続性を

選択した場合に、大きな負荷がかかったサーバがロック状態になるのを防ぐことができます。

［Persistency by service］を利用すると、以前に負荷分散されたクライアントが別のサービスを

要求した場合、再び負荷分散の処理を行い、適切なサーバに接続させることができます。

永続サーバのタイムアウト

［Persistent server timeout］は、特定のサーバに一度接続されたクライアントがそのサーバに継

続的に接続される時間を設定します。サーバが使用不能になった場合は、永続サーバ・モードが有

効になっている場合でも、新しい接続は使用可能なサーバに送信されます。サーバ間で適な負荷

分散を行うには、［Persistent server mode］を無効にして、負荷分散方式に従ってすべてのアプ

リケーションのトラフィックを分散します。［Persistent server timeout］は［Global Properties］ウィンドウの［ConnectControl］ページで設定します。


162

サーバの可用性

論理サーバ・グループ内のサーバの可用性を確認するために、ConnectControlのさまざまなプロパ

ティを設定できます。サーバが継続的にアクティブであることを確認するためにモジュールでPingを行なう頻度と、応答しないサーバへの接続を試行する回数（その回数に到達すると、

ConnectControlはそのサーバへの接続を停止します）を定義できます。

これらの設定は、［Global Properties］ウィンドウの［ConnectControl］ページにあります。［Serveravailability check interval］オプションは、サーバに対してPingを実行する頻度を定義します。

［Server check retries］オプションは、応答しないサーバへの接続の試行回数を定義します。

負荷の測定

Server Loadの負荷分散方式は、グループ内の各サーバで負荷測定エージェントを実行する必要が

あるという点で独特です。このエージェントは軽量であり、遅延やシステム・オーバヘッドがサー

バで増加することはありません。このエージェントは、UDPプロトコルを使用して、負荷測定エー

ジェントとConnectControlモジュールの間で通信を行います。

チェック・ポイントは、サーバにインストールするサンプルの負荷測定エージェント・アプリ

ケーション、および独自のエージェントを作成する必要がある組織のための負荷測定アプリケー

ション・プログラミング・インタフェース（API）を提供しています。 SecureKnowledge(https://support.checkpoint.com/login/login.jsp)から、使用するOS用の負荷エー

ジェント・アプリケーションをダウンロードできます。ユーザ・センターの電子メールとパス

ワードを使用してサインインし、SecureKnowledge ID 47.0.1569467.2530820を検索します。

［Global Properties］ウィンドウの［ConnectControl］ページで負荷測定エージェントのプロパ

ティを設定できます。［Load agents port］プロパティで、負荷測定エージェントがVPN-1と通信

するために使用するポートを指定します。設定内のすべての負荷測定エージェントが同じポート番

号を使用する必要があります。［Load measurement interval］プロパティは、エージェントが

サーバの負荷に関する情報をファイアウォールに返す間隔を定義します（デフォルト値は20秒ご

とです）。

Windowsサーバの場合は、load_agent_nt <port_number> <load_value>の構文を使用して負荷測

定エージェントを設定して有効にします。

バージョンNG 以降のConnectControl によって使用されるデフォルトのポートは18212 です。

load_valueの値は、0、1、2です。 • 0は1分間隔で負荷を測定します。

• 1は5分間隔で負荷を測定します。

• 2は15分間隔で負荷を測定します。

ConnectControl の設定


ConnectControl の設定ConnectControlを設定するには、以下の手順に従います。

1. SmartDashboardで、ネットワーク・オブジェクト・ツリーの［Network Objects］を右ク

リックし、［New］>［Node］>［Host］を選択します。

2. 負荷分散対象のサーバを表すサーバ・オブジェクトを定義します。

3. グループ内に配置する各サーバについて手順2を繰り返します。

4. ［Network Objects］を右クリックし、［New］>［Group］>［Simple Group］を選択します。

5. グループに名前を付けます（たとえばHTTP_Server_Group）。

6. サーバ・オブジェクトを［Group Properties］ボックスのグループに追加します。29を超え

る数の論理サーバをグループに追加しないことをお勧めします。

7. SmartDashboardで、ネットワーク・オブジェクト・ツリーの［Network Objects］を右ク

リックし、［New］>［Logical Server］を選択します。割り当てる IPアドレスがルーティン

グ可能な IPアドレスであることを確認します。負荷分散されるすべてのトラフィックがゲー

トウェイ経由で送信される必要があります。

8. ［Server's Type］を選択します。

9. 手順4で作成したグループ・オブジェクトを［Servers Group］に追加します。

10. 永続サーバ・モードを有効にするには、［Persistency by service］または［Persistency by server］を選択します（デフォルト・モードは［Persistency by service］です）。

11.［Balance Method］として負荷分散方式を選択します。

12. 以下のルール（表 5-1）をルール・ベースに追加します。

13. HTTPリダイレクトを使用するアプリケーション（HTTPタイプの論理サーバ）に対しては、

セッションの開始後に物理サーバ・グループがクライアントと直接通信できるように2番目の

ルールを追加します（表 5-2）。

表 5-1

SOURCE DESTINATION SERVICE ACTIOIN

Any Logical_Server [負荷分散する

サービス ]Acceptまたは User Authまたは

Client AuthまたはSession Auth

表 5-2


Any HTTP_Server_Group http Accept

ConnectControl の設定

164

14.［Policy］メニューの［Global Properties］>［ConnectControl］を選択します。デフォルト

の設定を確認し、導入環境に応じて調整します。以下のオプションが使用できます。

• Servers Availability：ConnectControlが、負荷分散対象のサーバが実行されていてサー

ビス・リクエストに応答することを確認する頻度、およびトラフィックの送信を停止す

るまでにConnectControlがサーバの接続を試行する回数を管理します。［Server availability check interval］オプションのデフォルト値は20秒です。［Server check retries］オプションのデフォルト値は3回です。

• Servers Persistency：特定のサーバに一度接続されたクライアントがそのサーバにトラ

フィックを送信する時間を定義します。［Persistent server timeout］オプションのデ

フォルト値は1800秒です。

• Servers Load Balancing：負荷測定エージェント（使用する場合）がConnectControlに負荷のステータスを報告する頻度、およびConnectControlとの通信で使用するポートを

管理します。［Load agents port］オプションのデフォルト値は18212です。［Load measurement interval］のデフォルト値は20秒です。

165

第章6ブリッジ・モード

この章の構成

ブリッジ・モードについて 166 ページ

ブリッジ・モードの設定 168 ページ

ブリッジ・モードについて

166

ブリッジ・モードについて既存のネットワークに新しいゲートウェイをインストールするには、通常ルーティング・スキーム

を再設定する必要があります。しかし、複雑な導入形態では、新しいルーティング・スキームを有

効にするのに必要な再設定が禁止されている場合があります。 VPN-1ブリッジ・モードを使用すると、

既存の IPルーティングを変更しないでファイアウォールを配置できます。

ブリッジ・モードのVPN-1ゲートウェイは通常のファイアウォールとして動作して、トラフィックを

検査し、許可されていないトラフィックや危険なトラフィックを廃棄または遮断します。ブリッジ・

モードのゲートウェイは、すべてのレイヤ3 トラフィックからは透過的です。許可されたトラ

フィックがゲートウェイに到着した場合、「ブリッジ」と呼ばれる手順を経由して、あるインタ

フェースから別のインタフェースに渡されます。ブリッジは2つ以上のインタフェース間でレイヤ

2環境を作成するので、あるインタフェースに入ったトラフィックは、常に別のインタフェースに

送出されます。これにより、ファイアウォールは、元の IPルーティングを妨害せずにトラフィックを

検査して転送できます。

ブリッジ・モードを使用すると、VPN-1ゲートウェイを透過的に導入できます。図 6-5は、ブリッジ・

モードのファイアウォールが既存のネットワークの IPルーティングを変更しないことを示してい

ます。

図 6-5 ブリッジ・モードによる単一の VPN-1 ゲートウェイの導入

図 6-5で、サブネットのネットワーク・アドレスは192.168.1.0で、S-*のラベルが付いたオブジェ

クトはスイッチです。

IPルーティングから見ると、ファイアウォールは透過的に既存のネットワークに挿入され、ファイ

アウォールの両側でサブネットのアドレスは192.168.1.0のままです。 IPルーティング・スキームを

変更することなく、内部トラフィックはファイアウォールによって検査され許可されます。ファイ

アウォールによって許可されたトラフィックは、あるインタフェースから別のインタフェースに転

送されます。

設定の詳細については、168ページの「インタフェースのブリッジ」を参照してください。

ブリッジ・モードの制限

第 6 章ブリッジ・モード 167

ブリッジ・モードの制限• 各ブリッジはインタフェースのペアのみをサポートします。

• クラスタ構成はサポートされていません。

• ブリッジ・モードはチェック・ポイントのオペレーティング・システムSecurePlatformでサ

ポートされています。

ブリッジ・モードのゲートウェイの管理

ブリッジ・モードのゲートウェイを管理するためには、IPアドレスが割り当てられたインタフェー

スが必要です。このためには、ルーティングされた別のインタフェースを設定する必要があります。

ブリッジ・モードの設定

168

ブリッジ・モードの設定

インタフェースのブリッジ

SecurePlatform WebUIまたはコマンドラインのいずれかを使用してインタフェースをブリッジ構

成に設定できます。

SecurePlatform WebUIを使用するには、以下の手順を実行します。

1. WebUIを使用してVPN-1ゲートウェイの管理インタフェースに接続します。

2. ［Network］>［Connections］>［New］>［Bridge］を選択します。

3. ブリッジを構成するインタフェースを選択し、［Add］をクリックします。

4. 物理インタフェースではなくブリッジ・インタフェースの IPアドレスとネットマスクを入力

するか、IPアドレスを持たないブリッジとして IPアドレス0.0.0.0を割り当てます。 IPアドレ

スがなくてもブリッジは機能しますが、一部のセキュリティ・サーバを利用する機能では該

当するサブネットの IPアドレスが必要です。

5. ［Apply］を選択します。

コマンドラインを使用するには、以下の手順を実行します。

1. sysconfigコマンドを入力します。

2. ［Network Connections］>［Add new connection］>［Bridge］を選択します。

3. IPアドレスが設定されていないインタフェースのペアをブリッジに追加します。

4. 「N」と入力して次の操作に進みます。

5. 物理インタフェースではなくブリッジ・インタフェースの IPアドレスとネットマスクを入力

するか、IPアドレスを持たないブリッジとして IPアドレス0.0.0.0を割り当てます。 IPアドレ

スがなくてもブリッジは機能しますが、一部のセキュリティ・サーバを利用する機能では該

当するサブネットの IPアドレスが必要です。


第 6 章ブリッジ・モード 169


インタフェースをブリッジ構成にする場合、ブリッジ構成のインタフェースの背後にあるネット

ワークを IPアドレスとサブネットで定義することはできません。ブリッジの残りのインタフェース

にもこれが当てはまるためです。ブリッジ構成のインタフェースでアンチ・スプーフィングが必要

な場合は、48ページの「内部インタフェースのアドレスの定義」を参照して、ブリッジ構成の各イ

ンタフェースの背後のネットワークとしてIPアドレス範囲を定義してください。接続性が失われる

可能性があるので、両方のインタフェースに同じネットワークを使用しないでください。

ブリッジ設定の表示

brctl showbrctl showコマンドはブリッジ設定のステータスを表示します。 brctl showコマンド・レポート

の例を以下に示します。

brctl showコマンド・レポートは以下の結果を表示します。

• bridge name：ブリッジに付けられた名前。

• bridge id：ブリッジ固有の識別子。

• Interfaces：ブリッジを構成する2つのインタフェースの名前。

ブリッジのMACアドレスは物理インタフェースのいずれかから継承されます。

[Expert@GW-1]# brctl show

bridge name bridge id STP enabled interfacesbr0 8000.000423b93e56 no eth0 eth1

ブリッジ設定の表示

170

SmartDefenseこのセクションでは、SmartDefense の概要について説明します。お客様はSmartDefense を使用して、ネットワークとアプリケーションへの攻撃に対する防御を設定、適用、および更新することができます。 DShield StormCenter についても詳しく説明します。具体的な保護方法については、SmartDefense の HTML ページとオンラインヘルプを参照してください。

173

第章7SmartDefense

この章の構成

SmartDefenseの必要性 174 ページ

SmartDefenseソリューション 175 ページ

Network Security 183 ページ

Application Intelligence 189 ページ

Web Intelligence 192 ページ

SmartDefenseの設定 204 ページ

SmartDefenseサービス 205 ページ

SmartDefenseプロファイルの設定 208 ページ

SmartDefense StormCenterモジュール 210 ページ

SmartDefense の必要性

174

SmartDefense の必要性ネットワーク・セキュリティに対する脅威は数多くあり、増え続けています（図 7-1）。

図 7-1 ネットワーク攻撃

VPN-1などのファイアウォール・アクセス制御ソリューションは、無許可のトラフィックがゲート

ウェイを通過するのを防ぎます。このため、ハッカーたちは、許可されているトラフィックやサー

ビスを不正に使用するようになりました。現在のインターネット環境でも深刻な脅威のひとつと

して、アプリケーション層を悪用する攻撃があります。特にハッカーたちに関心があるのは、HTTP（ポート80）やHTTPS（ポート443）などを利用するサービスで、これらのポートは必要上、ほとん

どのネットワークで開いたままになっています。これらのサービスに対する攻撃をアクセス制御デ

バイスで検出するのは困難です。

以下の2つの例では、HTTPの脆弱性を利用する典型的なサービス妨害（DoS）攻撃について説明

します。初のシナリオでは、ネットワーク上での ICMP要求（ping）を許可しています。DoS攻

撃によってこの脆弱性が利用されると、ネットワーク上にPingが大量に送信されて、他の接続が受

け付けられなくなります。この種の攻撃を自動的に検出して防ぐ防御策がない場合には、Pingの使

用を禁止せざるを得ませんが、これは理想的な解決策ではありません。

2番目のシナリオでは、SYN攻撃はSYNパケットを送信しておきながら、TCP/IPサーバの応答パ

ケットに対して確認応答を送信しないことで、TCP/IPトラフィックを妨害します。このために、

サーバはタイムアウトするまで信号を送信し続けます。 TCP/IPを無効にすることは選択肢にない

ため、これは問題となります。コンテンツ・セキュリティ・アプリケーション（ウイルス・スキャ

ナ）などの他のソリューションを使用することもできます。しかし、コンテンツ・セキュリティ・

アプリケーションは特定のサービスに対してのみ使用でき、ハッカーの行動パターンを検出できな

いので、攻撃に対処するには適していません。

新の検出方法で攻撃を防御し、ネットワークのセキュリティを高めることは、組織のデータと通信

を保護するために不可欠です。 SmartDefenseは、これらの脅威に対処する確実で効果的な唯一の

ソリューションです。以下のセクションでは、ネットワーク境界に広がる攻撃に対する、SmartDefenseソリューションについて説明します。

SmartDefense ソリューション

第 7 章 SmartDefense 175

SmartDefense ソリューションこのセクションの構成

SmartDefense について

SmartDefenseはVPN-1において欠かすことのできないコンポーネントで、攻撃の検出と防御を行

う統一セキュリティ・フレームワークを提供します。 SmartDefenseは、セキュリティ・ルール・

ベースで明示的に保護が定義されていない場合でもネットワークを保護します。SmartDefenseは

ネットワーク内の活動を妨げることなく動作を分析し、潜在的な脅威となるイベントをトラッキン

グして通知を送信します。 SmartDefenseはインテリジェントなセキュリティ技術を使用して、すべ

ての既知のネットワーク攻撃および未知のさまざまな攻撃から組織を守ります。ワン・クリックす

るだけで、SmartDefenseのWebサイトから新の防御手段をすべて入手できます。

SmartDefense保護機能は完全にカスタマイズ可能で、以下の操作を実行できます。

• 保護対象のネットワークに対する攻撃を選択して、それらの攻撃の詳細情報を受信する。

• 攻撃ごとに、ログ・オプションなどのパラメータを設定する。

• 攻撃の情報をリアルタイムに受信し、新の機能でSmartDefenseを更新する。

［SmartDashboard］ウィンドウの［SmartDefense］ページはツリー構造のナビゲーション・ペインに

なっていて、「Network Security」、「Application Intelligence」、および「Web Intelligence」のカテゴ

リに保護機能が分類されています。

SmartDefenseについて 175 ページ

次世代の脅威に対する防御 176 ページ

ネットワーク層とトランスポート層 177 ページ

Web攻撃の保護 177 ページ

SmartDefenseの機能 178 ページ

SmartDefense機能の分類 179 ページ

SmartDefenseプロファイル 181 ページ

Monitor-Onlyモード 182 ページ

注： SmartDefense を更新すると、攻撃に対する防御策と共に新しいカテゴリがツリー構造に

追加されます。


176

次世代の脅威に対する防御

ファイアウォールを直接攻撃するのではなく、ネットワーク・アプリケーションの脆弱性を利用す

る攻撃がますます増加しています。 Application Intelligenceは、VPN-1とSmartDefenseに統合され

た高度な機能のセットです。これらの機能によって、アプリケーション層への攻撃を検出して防ぐ

ことができます（図 7-2）。Application Intelligenceは INSPECTインテリジェント・インスペクション

技術に基づいており、アプリケーションへの攻撃と脅威に対する保護機能をSmartDefenseに提供

します。

図 7-2 OSI（開放型システム間相互接続）参照モデル

注： OSI 参照モデルとは、ネットワーク上のデバイス間でデータを転送する方法を記述した

フレームワークまたはガイドラインです。

アプリケーション層は実際にエンド・ユーザが使用するソフトウェア・アプリケーションで

はなく、ソフトウェア・アプリケーションがネットワークを介して通信できるようにする一連

のサービスです。レイヤ5、レイヤ6、およびレイヤ7の違いは明確でない部分があり、他社

の同種製品にはこの管理ガイドと同様にこれらの層を組み合わせているものもあります。



ネットワーク層とトランスポート層

Application Intelligenceは主にアプリケーション層の防御に使用されます。しかし現実には、ネッ

トワーク・アプリケーションを標的とする多くの攻撃は、実際にはネットワーク層とトランスポー

ト層を標的にしています。

ハッカーはアプリケーション層にアクセスするための手段としてこれらの低レベル層を狙い、終

的にはアプリケーションとそのデータを標的とします。また、低レベル層を標的とすることで、正

規のユーザやアプリケーションがサービスを利用するのを妨げたり拒否させたりできます（DoS攻

撃など）。これらの理由から、SmartDefenseではアプリケーション層だけでなく、ネットワーク層

とトランスポート層の問題にも対処します。

ネットワーク層のプロトコル（IP、ICMPなど）が不正に操作されるのを防ぐことは、多層セキュ

リティ・ゲートウェイにおいて必要不可欠です。ネットワーク層への攻撃に使用されるも一般的

な手段は、サービスがネットワーク層にあるインターネット・プロトコル（IP）です。

ネットワーク層と同様にトランスポート層および一般的に使用されるプロトコル（TCP、UDPな

ど）も、アプリケーションとデータを攻撃するためのアクセス・ポイントとして頻繁に使用され

ます。

Web 攻撃の保護

WebサーバとWebアプリケーションは、初は簡単な静的コンテンツを提供するものでしたが、そ

れを基に発展してきました。現在では、WebサーバとWebアプリケーションは動的なページを作

成し、他のアプリケーションを起動し、データベースと通信してユーザに役立つコンテンツを生成

できます。ほとんどのWebサーバ・プラットフォームでは、サーバにアプリケーションがバンドル

されていて、も簡単なWebサイトでもWebアプリケーションと対話しています。

図 7-3 N 層 Web アーキテクチャでの複数のセキュリティ脆弱性


178

ほぼすべての組織が境界ファイアウォール経由のWebトラフィック（TCPポート80）を許可して

いるので、攻撃者は徐々に攻撃目標をWebサーバとWebアプリケーションに絞り込んでいます。現在、多くの攻撃は、Webアーキテクチャの各層にあるセキュリティ上の弱点を悪用しています。こ

れらの攻撃は、プライマリWebインタフェースを偽装する、サーバにWebアプリケーションを埋

め込んで意図しない機能を実行する、悪意のあるアプリケーションをインストールする、バックエ

ンド・データベースをだましてユーザ宛てに情報を送信させるなど、多岐にわたります。

ネットワーク・セキュリティと同様に、Webセキュリティはも脆弱なリンクと同じくらいの強度

しかありません。安全なWebアプリケーションを作成するには、Web開発者がアプリケーション

のすべての面にセキュリティを組み込む必要があります。残念ながら、多くの企業のWebアプリ

ケーションは、全体的なセキュリティを考慮して設計されていません。それどころか、外部へのア

クセスが可能なWebサーバの一部のみにWebセキュリティを組み込んでいる場合もあります。

［Web Intelligence］ページを使用すると、Webサーバやアプリケーションに対する攻撃保護機能を

設定、実施、および更新できます。Web Intelligenceの保護機能は、Webベースの攻撃に対して特

別に設計されており、SmartDefenseが提供するネットワーク・レベルとアプリケーション・レベ

ルの保護機能を補完します。さらに、Web Intelligenceアドバイザリでは、Web Intelligenceおよび

新しい攻撃に対する事前防御に関する情報をオンラインで提供しています。

Web Intelligenceはさまざまな既知の攻撃を防御するだけでなく、インテリジェント・セキュリティ

技術を採用することにより、新種および未知のさまざまな攻撃も防御します。Webファイアウォー

ルや旧来の侵入防止システムとは異なり、Web Intelligenceは外部の攻撃からWebを能動的に保護

します。クライアントとWebサーバ間の通信が、公開されている標準のセキュリティ対策に準拠し

ていることを確認し、攻撃者が不適切なシステム・コマンドを実行できないようにします。さらに、

Webサーバへのトラフィックを調べて、悪質なコードが含まれていないかどうかを確認します。

Web Intelligenceを使用すると、セキュリティやパフォーマンスを低下させずにWebサーバとWebアプリケーションへのアクセスを許可することができます。

SmartDefense の機能

SmartDefenseはVPN-1に統合されています。外部からのすべてのトラフィックはファイアウォー

ルを通過するので、ファイアウォールはアクティブ・ディフェンスを導入する合理的な場所です。

SmartDefense の機能にはネットワーク境界で実施されるものと、異常な行動の分析のように

SmartCenterサーバから管理されるものがあります。 SmartDefenseの保護機能は、セキュリティ・

ポリシーの一部としてSmartCenterサーバから各ゲートウェイに配布されます。 SmartDefenseは

チェック・ポイントのステートフル・インスペクション技術を使用して、ネットワーク境界で攻撃を

阻止します。



オンライン・アップデート

SmartDefenseのサブスクリプション・サービスに加入されたお客様は、SmartDefenseをワン・ク

リックで自動的に更新できます。アップデートは頻繁にリリースされ、以下の弊社Webサイトの

SmartDerenseのページから入手できます。

http://www.checkpoint.com/techsupport/documentation/smartdefense/index.html

有効なサブスクリプション・ライセンスをお持ちのお客様はSmartDefenseアドバイザリにアクセ

スし、新の攻撃手法とSmartDefenseでの対応策、ネットワークを保護するための情報、ツールや

実用例などを参照できます。

SmartDefense 機能の分類

SmartDefenseは以下の分類のSmartDefense機能を使用して、攻撃やその他の不正な、または望ま

しくないネットワーク活動から組織を保護します。

• 179ページの「攻撃に対する防御」

• 180ページの「情報公開の防止」

• 180ページの「異常動作分析」

SmartDefenseの機能によっては、複数の分類に属する保護機能を備えているものがあります。たと

えば、Initial Sequence Number Defender（ISN Defender）は、特定の攻撃に対する防御と暗黙の

防御の両方を提供します。

攻撃に対する防御 SmartDefenseは、組織を既知および未知のネットワーク攻撃から保護します。攻撃はゲートウェイ

で阻止され、対象サーバが影響を受けることを阻止します。 SmartDefenseは簡単に設定でき、管理者

は攻撃を防御するためにその技術的詳細を知る必要がありません。

SmartDefenseは、以下の攻撃タイプからネットワークを保護します。

• サービス妨害攻撃

• TCP/IP攻撃

• Webおよびアプリケーションの脆弱性

• ネットワーク・プロービング

• HTTPワーム

ヒント：チェック・ポイント・ソフトウェアの新バージョンには新の防御策が組み込ま

れているので、ゲートウェイのバージョンを新の状態に保つことをお勧めします。

http://www.checkpoint.com/techsupport/documentation/smartdefense/index.html


180

たとえば、ISN推測と呼ばれるTCP/IP攻撃について考えてみます。TCP/IP接続は、3ウェイ・ハ

ンドシェークを使用して開始されます。クライアントはSYNパケットを送信し、サーバはSYN/ACKで応答します。次にクライアントはACK パケットを送信して接続を確認します。サーバは各

SYN/ACKと共に、接続を識別する初期シーケンス番号（ISNまたはSN）も生成します。 SNはキー

を使用して生成され、オペレーティング・システムによっては前のSNから次のSNを予測するこ

とができます。外部クライアントは、有効な次のSNの推測に成功すると、有効なSNを使用して

SYN/ACKパケットを送信して、サーバに接続できます。この接続は存在しない IPアドレスから行

うことができるので、有害なデータが送信される可能性があります。

SmartDefenseは、サーバの代わりにSNを生成し、暗号化されたキーを使用してより攻撃を受けに

くいSNを生成することによって、この種の攻撃を防御します。

情報公開の防止

暗黙の防御は、ネットワーク・エンティティの情報がインターネットに到達して不正に使用される

ことを防止します。

179ページの「攻撃に対する防御」にあるSNの脆弱性の例では、内部サーバはTCP接続を確立し

たときに一連のSNを送信します。特定の条件下では、これらのSNを使用して送信元のオペレー

ティング・システムを特定できます。SmartDefenseでは、フィンガープリント・スプーフィングを

使用してこのフィンガープリントを別のものに置き換えることにより、内部サーバで使用されている

オペレーティング・システムを外部クライアントが知ることができないようにしています。

異常動作分析

SmartDefenseは異常なネットワーク動作のパターンを分析します。これらのパターンは、VPN-1ゲートウェイからSmartCenterに送信されるログを分析することによって検出されます。疑わしい

パターンが検出された場合は、（設定に応じて）管理者はログまたはその他の警報を使用して、アク

ティビティをトラッキングできます。

ポート・スキャン検出機能を使用すると、SmartDefenseはポート・スキャンを検出した場合、常に

アクティビティをログに記録して警告を発行します。



SmartDefense プロファイル

ネットワークのセキュリティに対する脅威にはさまざまな種類があるため、増加し続ける多様な脅

威から守るためには、各ゲートウェイに合った異なる設定を行う必要があります。管理者は

SmartDefenseプロファイルを使用して、コミュニティにおける各ゲートウェイの必要性に基づい

て、SmartDefense保護機能をカスタマイズできます。 SmartDefenseプロファイルは複数のゲート

ウェイにインストールできます。

以下の機能はすべてのゲートウェイに対して例外なく設定されます。

• Spoofed Reset Protection：プロファイルごとではなく、グローバルに適用されるサービス

除外リストです。

• Successive Events：各ゲートウェイではなく、ログ・サーバに関連する設定です。

• DShield Storm Center (Report to DShield)：ファイアウォールの一部ではないために、個別

に行うことができない設定です。

• Definitions of patterns (worm catcher patterns, P2P/IM patterns)：パターンの定義は

グローバルですが、プロファイルごとに各パターンを有効または無効にできます。

ゲートウェイに対してプロファイルを指定しない場合は、デフォルトのプロファイルが割り当てら

れます。

大20のプロファイルを作成できます。 SmartDefenseプロファイルはNGX R60以上のすべての

ゲートウェイで使用できます。

Connectraの場合、SmartDefenseプロファイルはNGX R62CM以上のすべてのゲートウェイで使

用できます。それ以前のバージョンのConnectraゲートウェイは、SmartCenterからSmartDefenseプロファイルを受け入れません。

SmartDefenseプロファイルを設定するには、208ページの「SmartDefenseプロファイルの設定」を


注：作成したすべてのプロファイルは、Windows および Motif のユーザ・コンソール・

マシンで、2 MB の RAM を使用します。


182

Monitor-Only モード

多くの保護機能には、未許可のトラフィックを検出し、遮断せずにトラッキングを行うMonitor-Onlyオプションがあります (図 7-4を参照 )。攻撃はSmartView Trackerのログに記録されます。

図 7-4 保護の適用範囲とアクションの設定

Monitor Onlyモードは、保護機能を初めて導入し、通信を中断せずに保護機能の効果を評価する場

合に便利です。 Monitor-Onlyモードにより、監査のためだけに保護機能を使用することもできます。

特別な Monitor-Only モード

すべてのアクティブな保護機能がMonitor-Onlyモードの場合、HTTPに準拠しないデータを含む接

続は拒否されません。この特別なモードでは、SmartDefenseはトラフィックに何の影響も与えま

せん。これに対して、アクティブな保護機能の一部のみがMonitor-Onlyモードの場合、HTTPに準

拠しないトラフィックは拒否されます。

この特別な動作モードは、SmartDefense の初期導入時に、接続性を損なうことなく保護機能の効

果を評価する場合、またはトラフィックの遮断に関する問題をトラブルシューティングする場合に

特に役立ちます。

Web サーバごとに Monitor-Only を使用

特定のWebサーバですべての保護機能をMonitor-Onlyに設定できます。これにより、接続性を維持

したまま新しいWebサーバを配置して、必要な保護機能を調べることができます。

WebサーバごとにMonitor Onlyモードを設定するには、チェック・ポイントのデータベース・ツール

（SmartConsoleのインストール先ディレクトリに含まれるGuiDBedit）を使用します。 GuiDBeditを使用してWebサーバ名を検索し、［web_server_monitor_only］フィールドをTRUEに設定します。

Network Security


Network Security［Network Security］ページから、ネットワーク・レベルとトランスポート・レベルでの攻撃に対

する各種のSmartDefense保護機能を設定できます。IP、TCP、UDPまたは ICMPネットワーク・

プロトコルを利用する攻撃には、組織内で使用されているオペレーティング・システムを識別する

ことから、ネットワーク上のホストとサーバに対するサービス妨害攻撃まで多岐にわたります。各SmartDefense保護機能には、対応する攻撃に関する説明が提供されています。

SmartDefense 保護機能に対する日本語のサポート

SmartConsoleは、基本オペレーティング・システムが日本語対応になっていることを検出すると、

各SmartDefense保護機能の説明ページを日本語で表示します。

この動作は、データベースの新しいプロパティ（図 7-5に表示されたgui_client_lang）を使用して

制御できます。

図 7-5 SmartDefense 保護機能の言語表示オプション

Network Security

184

SmartDefense の単一プロファイル・ビュー

/Gフラグを付けてFwpolicy.exeを実行するか、GuiDBeditでsd_enable_single_profile_modeプロ

パティをTRUEにすると、SmartDefense保護機能を簡易ビュー表示できます。このビューは以下の

ようになっています。

• ナビゲーション・ツリーのアイコンは保護機能のステータスを表示します（使用可能な場合）。

• 保護機能ごとのプロファイル選択、サマリ・リスト、グローバル・アクション、およびプロ

ファイル・セクションごとの保護機能は表示されません。

Network Security


Denial of Serviceサービス妨害（DoS）攻撃は、攻撃対象に対して偽のデータを大量に送信して正規のサービス要求

に応答できなくする攻撃です。これらの攻撃は、リモートからサーバを無効にできるオペレーティ

ング・システムのバグを利用します。詳細については、SmartDefenseのヘルプ・ページとオンライ

ン・ヘルプを参照してください。

アグレッシブ・エージング

アグレッシブ・エージングは、耐久性と安定性を向上させるためにファイアウォールの接続テーブ

ル容量とメモリ消費を管理します。

アグレッシブ・エージングは、アグレッシブ・タイムアウトと呼ばれる短いタイムアウトの新しい

セットを使用します。定義されたアグレッシブ・タイムアウトより長い時間、接続がアイドル状態

になると、削除可能のマークが付けられます。接続テーブルまたはメモリ消費がユーザ定義しきい

値（高値）に達すると、アグレッシブ・エージングが動作を開始します。表 7-1にアグレッシブ・

エージング・タイムアウトのデフォルト値を一覧表示します。

表 7-1 アグレッシブ・エージング・タイムアウト

アグレッシブ・エージング・タイムアウトはサービスごとに設定することもできます。

定義されたしきい値を超えると、着信接続が行われるたびに、削除リストから10接続が削除され

ます。メモリ消費または接続容量が特定の低値を下回るまで、新規の接続ごとに10接続がさらに

削除されます。「削除可能な」接続がなくなった場合、その時点では接続は削除されませんが、その

後の接続が高値を超えるたびにリストはチェックされます。

IP プロトコル / ステートアグレッシブ・タイムアウトタイムアウト

TCP開始セッション 5 25

TCPセッション 600 3600

TCP終了セッション 3 20

UDP 15 40

ICMP 3 30

IPプロトコル - HTTP 60 3600

その他（これらのプロトコルは

デフォルトでは実行されません）

15 60

注：すべての HTTP 関連サービス（たとえば http、https、http_proxy_8080）の場合、アグ

レッシブ・エージング・タイムアウトはデフォルトで 60 秒です。

Network Security

186

タイムアウト設定はメモリ消費設定の重要な要素です。タイムアウト値が低い場合、接続はより短

時間でテーブルから削除されるので、ファイアウォールはより多くの接続を同時に処理できます。

メモリ消費がしきい値を超える場合は、より短いタイムアウトにすると大部分のトラフィックの接

続性を維持できます。

アグレッシブ・エージングの大きな利点は、コンピュータに使用可能なメモリが残っており、また

接続テーブルが一杯になる前に動作を開始することです。これにより、リソースが少なくなってし

まったために発生する、接続性の問題の可能性を減らすことができます。

アグレッシブ・エージングによりゲートウェイ・コンピュータは、特にDoS攻撃中に起こる予期し

ない大量のトラフィックを処理できます。

SecureXLデバイスがアグレッシブ・エージングをサポートしていない場合、この機能は無効にな

ります。これが発生すると、ログに記録され、コンソールにメッセージが表示されます。すべての

SecureXL NGX R65デバイスはアグレッシブ・エージングをサポートしています。

IP および ICMPIPおよび ICMPは、IPおよび ICMPプロトコルに対する一連の総合的なレイヤ3テストを提供します。

たとえば、フラグメンテーション・タイムアウト・ログ機能は、ファイアウォールの回避やサービス

妨害攻撃のために意図的に断片化されたパケットを検出するとログを生成します。詳細については、

SmartDefenseのヘルプ・ページとオンライン・ヘルプを参照してください。

TCPVPN-1は、基本的な IPベースのプロトコルを識別し、パケットに許容されたオプションだけが含ま

れていることを確認します。 TCPパケットが正規のものであることを検証するために、以下のテス

トが実施されます。

• プロトコルのタイプの確認

• プロトコル・ヘッダの分析

• プロトコル・フラグの分析と検証

SYN Attack Protectionは、TCP接続開始パケットが、サービス妨害を引き起こすことを目的として

サーバに送信される攻撃を防ぎます。

シーケンス・ベリファイアは、TCPパケットの現在のシーケンス番号とTCPの接続状態を適合さ

せるメカニズムです。 TCPセッションにおいて、接続には一致するがシーケンス番号が正しくない

パケットは、破棄されるかデータが取り除かれます。詳細については、SmartDefenseのヘルプ・

ページとオンライン・ヘルプを参照してください。

Network Security


Fingerprint Scramblingオペレーティング・システムまたは接続を識別するフィンガープリントを用いると、コンピュータ

で使用されているオペレーティング・システムを特定したり、既存の接続をまねたりできる場合が

あります。 SmartDefenseのFingerprint Scrambling機能は、フィンガープリントを変更して識別を

不可能にすることでコンピュータを保護します。詳細については、SmartDefenseのヘルプ・ページ

とオンライン・ヘルプを参照してください。

Successive EventsSuccessive Events機能は悪意のあるイベントや疑わしいイベントを検出し、セキュリティ管理者

に通知します。Successive Events検出はSmartCenterサーバで実行され、ログ・エントリと攻撃

プロファイルを照合してVPN-1ゲートウェイのログを分析します。セキュリティ管理者は攻撃検出

パラメータを変更し、特定の攻撃を対象とした検出を有効または無効にしたり、Successive Events機能を無効にしたりできます。

SmartCenterサーバに到達しないログ（ローカル・ログやログ・サーバに送信されるログなど）は、

分析の対象になりません。詳細については、SmartDefenseのヘルプ・ページとオンライン・ヘルプを


DShield Storm CenterStorm Centerは攻撃に関するログ情報を収集します。この情報は、利用者全員の利益のために世界中

の組織から自発的に提供されます。 Storm Centerは、ネットワーク・セキュリティへのリアルタイム

の脅威に関するレポートを作成して提示します。

SmartDefense Storm Centerモジュールは、Storm Centerから新の攻撃情報を組織に取り込んだり、

組織の攻撃ログをStorm Centerのデータベースに提供できるようにします。

代表的なStorm Centerの1つにSANS DShield.orgがあります。SmartDefenseは、以下の方法で

SANS DShield.org Storm Centerに統合します。

• DShield.org Storm Centerでは、遮断すべきアドレス範囲の一覧を示すブロック・リスト・

レポートが生成されます。このリストは頻繁に更新されます。 SmartDefense Storm Centerモジュールはこのリストを取得し、すぐにセキュリティ・ポリシーに追加します。

• Storm Centerにログを送信して、他の組織が同じネットワークへの脅威に対処するのに役立

てます。ログを送信するルールを選択して、どのログを送信するかを決定できます。

SmartDefense DShield Storm Center統合の詳細については、210ページの「SmartDefense StormCenterモジュール」を参照してください。

Network Security

188

Port Scanポート・スキャンとは、ネットワーク内の開いた状態のTCPポートおよびUDPポートの情報を収

集する方法です。情報を収集すること自体は攻撃ではありませんが、収集した情報はあとで脆弱な

コンピュータを標的にして攻撃するために使用できます。

他のコンピュータにネットワーク・サービスを提供するために、ホストは該当するサービスで使用

するポートを開いておく必要があります。多くの場合、ポートはデフォルト・インストールで開いた

状態になっているので、管理者が気付かないうちに、ホストは攻撃に対して無防備になっています。

たとえば、デフォルトでFTPサービスが開いた状態になっていると、攻撃者はそのコンピュータへ

のアクセス権を得るためにデフォルトのユーザ名とパスワードで接続を試みることができます。

ポート・スキャンは、スキャン・ユーティリティを使用するハッカー、または他のコンピュータに

感染させようとするワームによって実施されます。ポート・スキャンは、一般的にはポートにアク

セスして応答を待つことによって行われます。応答によって、ポートが開いているかどうかを判断

できます。

SmartDefenseのポート・スキャン機能はスキャンを遮断しませんが、3つのレベルの検出感度のい

ずれかに一致するポート・スキャンを検出します。ポート・スキャンが検出されると、ログまたは

警告が生成されます。

SmartCenterサーバで自動SAM（Suspicious Activity Monitoring）警告ルールを設定して有害な IPアドレスを遮断することによって、SmartDefenseがソース・スキャンの発信元と検出したクライ

アントを遮断できます。 sam_alertコマンドの詳細については、『Command Line Interface』を参照


詳細については、SmartDefenseのヘルプ・ページとオンライン・ヘルプを参照してください。

Dynamic Ports多くのサービス（高負荷でのFTPやSIPプロトコルなど）は、動的にポートを開いて接続を確立し

ます。これらのポートは、SmartDashboardで事前に定義されたサービスのポートと同じになる場

合があります。［Dynamic Ports］ページでは動的に開かれたポートと、事前定義されたサービス

のポートと同じ接続を遮断するかどうかを定義できます。また、番号の小さいポート（1024より

下）を使用する動的ポート接続を遮断するかどうかを決定することもできます。詳細については、

SmartDefenseのヘルプ・ページとオンライン・ヘルプを参照してください。

警告：自動 sam_alert ルールは、正規のホストをリモートの DoS 攻撃にさらす可能性があり

ます。攻撃者が正規の IP に偽装してポート・スキャンを実施すると、正規の IP が自動 SAMルールによって遮断されてしまいます。



Application Intelligence［Application Intelligence］ページを使用してアプリケーション層での各種保護機能を設定でき

ます。

MailSMTPセキュリティ・サーバを利用するとSMTPプロトコルを厳密に適用できます。これは悪意の

あるメール・メッセージを防ぎ、SMTPプロトコルを重視したセキュリティを提供し、メール・リ

レーを利用してルール・ベースをバイパスする攻撃、サービス妨害攻撃およびスパム・メール攻撃

を防ぎます。通常、セキュリティ・サーバはセキュリティ・ルール・ベースでリソースまたは認証

ルールを指定して有効化します。

セキュリティ・サーバを通過するSMTP 接続に適用するアクションの種類を定義できます。

［Configuration applies to all connections］オプションは、すべてのSMTP接続をSMTPセキュ

リティ・サーバに転送し、定義されている設定をすべての接続に適用します。ルール・ベースにリ

ソースを定義する必要はありません。［Configurations apply only to connections related to RuleBase defined objects］オプションは、ルール・ベースでリソースが定義されているSMTP接続の

みにこれらの設定を適用します。

詳細については、SmartDefenseのヘルプ・ページとオンライン・ヘルプを参照してください。

FTPFTPプロトコルに関連するさまざまな保護機能を設定できます。たとえば、FTPポート・オーバー

フロー・チェックを防ぐと、FTPサーバを悪意のある操作のエージェントとして使用する試みが阻

止されます。

詳細については、327ページの「FTPセキュリティ」およびSmartDefenseのヘルプ・ページとオ

ンライン・ヘルプを参照してください。

Microsoft NetworksSmartDefenseのApplication Intelligence機能を使用して、アプリケーション層での各種防御機能を

設定できます。詳細については、323ページの「Microsoft Networking Services（CIFS）のセキュ

リティ」およびSmartDefenseのヘルプ・ページとオンライン・ヘルプを参照してください。


190

Peer-to-PeerSmartDefenseではピア・ツー・ピアのアプリケーションが利用するプロトコルを識別し、ピア・

ツー・ピア・ネットワークへの初期接続を防ぐことによって、ピア・ツー・ピア・トラフィックを

遮断できます。これにより、ダウンロードだけでなく検索操作も防止できます。 SmartDefenseは、

ピア・ツー・ピア・アプリケーションによってポート番号が切り替えられた場合にもプロトコルを

識別できます。たとえば、検出処理はHTTPヘッダのシグネチャの識別に依存していません。詳細

については、SmartDefenseのHTMLページとオンライン・ヘルプを参照してください。

Instant MessengersVoIPプロトコルを使用するインスタント・メッセンジャを遮断できます。インスタント・メッセン

ジャには、音声通話、メッセージ転送、ファイル共有などの多くの機能があります。詳細について

は、SmartDefenseのHTMLページとオンライン・ヘルプを参照してください。

DNSDNSプロトコルを利用すると IPアドレスとエイリアスによってサーバを識別できます。 DNSプロ

トコル・メッセージは、TCPまたはUDPを介して転送されます。このオプションは、UDPを介し

たDNSポートでのすべての接続がDNS関連の通信であることを確認します。また、問い合わせや

応答で使用できるデータの種類を制限します。詳細については、SmartDefenseのHTMLページと

オンライン・ヘルプを参照してください。

VoIP音声およびビデオ・トラフィックは、ネットワークで送受信される際に保護する必要があります。

音声とビデオ・トラフィックに対する潜在的な脅威を以下に示します。

• ある受信者に送信されたコールが他の人に転送されるコール・リダイレクト

• 発信者が身元を偽るコールの窃取

• VoIP接続用に開かれているポートを使用するシステム・ハッキング

VoIPコールでは多くの種類の複雑なプロトコルが使用されており、各プロトコルが多くのポートを

介して、潜在的に危険な情報を運搬する可能性があります。

SmartDefenseは、発信者と受信者のアドレスが有効であり、発信者と受信者がVoIPコールを送受信

できることを確認します。SmartDefenseは許可されている各ポートを通過するパケットの内容を

検査し、適切な情報が含まれていることも確認します。完全なステートフル・インスペクションを

H.323、SIP、MGCPおよびSCCPコマンドに対して実施することで、すべてのVoIPパケットの構

造が正しいこと、および正しい順序で到着することを保証します。

詳細については、241ページの「VoIP（Voice Over IP）のセキュリティ」を参照してください。



SNMPSmartDefenseは、SNMPv3（新バージョンのSNMP）より前のバージョンを拒否するオプショ

ンにより、SNMPの脆弱性に対する保護を提供します。また、SmartDefenseではSNMPのすべて

のバージョンを許可する一方で、SNMPv1とSNMPv2のデフォルトのコミュニティ・ストリングに

よる要求を破棄できます。 Monitor-Onlyモードを使用すると、正当でないトラフィックを遮断せずに

トラッキングできます。詳細については、SmartDefenseのHTMLページとオンライン・ヘルプを


Web Intelligence

192

Web Intelligenceこのセクションの構成

Web Intelligenceは、Webサーバを攻撃から保護します。すべてのWebサーバにセキュリティ保護

機能を提供するか、Webサーバ・オブジェクトを定義して選択したWebサーバに対してセキュリ

ティ保護機能を提供します。任意のゲートウェイやホスト・オブジェクトをWebサーバとして定義

することができます。

Web Intelligence の保護機能

Web Intelligenceの保護機能は、以下のカテゴリに分類されます。

Malicious CodeWebサーバ上で、攻撃者が悪意のあるコードを実行できないようにします。

Application LayerWebアプリケーションが特別な命令として解釈するテキスト、タグ、コマンド、その他の文字を攻

撃者が挿入できないようにします。

そのようなオブジェクトがフォームやURLに含まれていると、攻撃者が個人データの窃取、悪意の

あるWebサイトへの通信セッションのリダイレクト、データベースからの情報の窃取、不正アクセス、

許可されないコマンドの実行などを行う可能性があります。

Web Intelligenceの保護機能 192 ページ

Web Intelligenceの技術 193 ページ

Web IntelligenceとClusterXLゲートウェイ・クラスタ 193 ページ

Webコンテンツの保護 194 ページ

カスタマイズ可能なエラー・ページ 194 ページ

接続性とセキュリティの考慮事項 195 ページ

Webセキュリティのパフォーマンスについての考慮事項 197 ページ

HTTPプロトコル・インスペクションの下位互換性オプション 199 ページ

Web Intelligenceライセンスの実施 200 ページ

HTTPセッション、接続、およびURLについて 201 ページ

Web Intelligence


Information Disclosure攻撃者がWebサイトに関する情報を収集できないようにします。収集されたWebサーバに関する

情報は、実際にWebサーバを攻撃するために使用されます。

HTTP Protocol InspectionHTTPプロトコルに厳密なポリシーを適用して、セッションがRFC標準と共通のセキュリティ対策に

準拠するようにします。

Web Intelligence の技術

Web Intelligenceは、正当なトラフィックを通過させながら、個々の攻撃だけでなく各種の攻撃を

総合的に遮断するチェック •ポイントのステートフル・インスペクション、Application Intelligence、およびMalicious Code Protector技術をベースにしています。

• Malicious Code Protectorはチェック・ポイントが特許出願中の技術であり、Webサーバおよ

びアプリケーションを狙った悪質なコードを遮断します。データ・ストリーム内の実行コー

ドだけでなく、不審な動作も特定することにより、Web通信に潜む悪質な実行可能コードを

検出できます。Malicious Code Protectorはカーネル・ベースで検査されるため、ワイヤ・ス

ピードでの高パフォーマンスのセキュリティ保護を実現します。

• Application Intelligenceは、各アプリケーションの動作を詳細に理解したうえで、アプリケー

ション・レベルの攻撃を検出および防御する統合ネットワーク・セキュリティ技術です。

• ステートフル・インスペクションはネットワークに出入りする情報のフローを分析し、セ

キュリティに関する意思決定は、通信セッション情報とアプリケーション情報に基づいてリ

アルタイムで行われます。これは、複雑なプロトコルを使用した通信であっても、ネット

ワークで送受信されるすべての通信の状態とコンテキストをトラッキングすることで実現さ

れます。

Web Intelligence と ClusterXL ゲートウェイ・クラスタ

ClusterXLゲートウェイ・クラスタのWeb Intelligence機能は、フェイルオーバーに対応していません。

つまり、ClusterXLがWeb Intelligence保護機能を提供していて、クラスタ・メンバで障害が発生した

場合は、障害が発生したメンバを経由するHTTP接続は失われます。

Web Intelligence

194

Web コンテンツの保護

VPN-1は、OPSECパートナーとの連携によるWebコンテンツ・セキュリティを提供します。これ

により、チェック・ポイントのベスト・パートナーのアプリケーションを使用して、URLフィルタ

リングとネットワーク・ウイルス保護を実現できます。詳細については、333ページの「コンテン

ツ・セキュリティ」を参照してください。

VPN-1は、セキュリティ・ルール・ベースを使用して設定する、統合されたWebセキュリティ機

能も提供しています。これらには、URLベースの保護機能や、Webサーバ上のXML Webサービス

（SOAP）を保護する機能が含まれます。詳細については、第15章「Webコンテンツの保護」を参

照してください。

カスタマイズ可能なエラー・ページ

Web Intelligenceの多くの保護機能では、閲覧を遮断されたユーザに送信するエラー・ページを管

理者が定義できます（図 7-6を参照）。このページをSmartView Trackerと連動させると、通信が遮

断された理由が分かります。

図 7-6 HTML のエラー・ページの設定

Web Intelligence


これにより、攻撃が拡散する前に攻撃をすばやく特定して排除できます。セキュリティ管理者は、

ユーザが認識する前に問題を修正できます。ユーザが初に問題に気づいた場合は、ヘルプ・デス

クに連絡できます。また、ユーザが自分で問題を解決する方法について、Webページから情報を得

ることもできます。これにより、多忙なサポート・スタッフの負担を大幅に軽減できます。

管理者はページをカスタマイズして、テキストやロゴを含めることができます。接続が遮断された

理由は、エラー・ページに表示される2つの ID（拒否 IDとエラー ID）から特定できます。

拒否 IDエラー・ページに示される拒否IDは、攻撃者に知られずに管理者に情報を知らせるためのものです。

拒否 IDは、拒否された接続ごとに一意です。拒否 IDはSmartView Trackerにも示されるので、管理者

はエラーと特定の通信のログ記録を関連付けることができます。ログには、「Cross site scriptingdetected（クロス・サイト・スクリプティングが検出されました）」などの攻撃情報も記録されます。

エラー IDエラー IDは攻撃を特定するための標準 IDで、SmartView Trackerのログに示されます。この IDから、

該当する攻撃のソリューションをSecureKnowledgeで検索できます。たとえば、SmartView Trackerのログに「WSE0030002 cross site scripting detected in request」という情報が記録されていると

します。この場合は、WSE0030002がエラー IDです。SecureKnowledgeでこの IDを検索すると、

この攻撃に関する情報を参照できます。

管理者は、エラー IDをエラー・ページに表示するかどうかを指定できます。攻撃者によって誤用さ

れる恐れがあるため、この情報を表示しないことをお勧めします。

接続性とセキュリティの考慮事項

Web Intelligenceでは、接続性を下げてWebサーバのセキュリティを高めることも、セキュリティを

低くして接続性を高めることもできます。

注：エラー・ページをアクティブにすると、この機能が適用された Web トラフィックの

パフォーマンスは低下します。

Web Intelligence

196

Monitor-Only モード

Web Intelligenceのすべての保護機能にはMonitor-Onlyモードがあります。このモードを使用する

と、Web Intelligenceが危険であると検出したトラフィック・ログを検証して、保護機能が接続性

にどのような影響を与えるかを判断できます。この一連の処理はすべて、トラフィック・フローを

阻害せずに実行できます。

特定のサーバに対する保護

Web Intelligenceのすべての保護機能を特定のWebサーバに対して有効にできます。特定のWebサーバに対する保護機能で問題が発生した場合には、そのWebサーバに対する保護機能をオフにで

きます。

設定可能なセキュリティ・レベル

一部の高度な保護（Cross Site Scripting、Command Injection、SQL Injection、およびMaliciousCode Protector）では、セキュリティ・レベルを設定できます。特定のWebサーバで通信の問題が

発生した場合は、そのWebサーバのセキュリティ・レベルを下げることができます。

特定の保護機能が接続に与える影響

HTTPプロトコル・インスペクションの設定が厳密すぎると、有効なWebサーバとの接続に障害が

発生する可能性があります。

• ［HTTP Format sizes］はURLの長さ、ヘッダの長さ、またはヘッダの数を制約します。これ

らの要素は、WebサーバへのDoS攻撃（サービス妨害攻撃）の実行で悪用される可能性があ

るため、この機能を設定することをお勧めします。同時に、設定が厳しすぎると有効なサイト

を遮断してしまう可能性があります。接続の問題を解決するには、この保護機能を特定の

Webサーバにだけ適用します。

• ［ASCII only Request Header］は、URLでASCII以外の文字が使用されているWebページへ

の接続を遮断します。接続の問題を解決するには、この保護機能を特定のWebサーバにだけ

適用します。

［HTTP methods］を使用する場合、一部の標準HTTPメソッドおよび非標準のHTTPメソッドは、

Webサーバの脆弱性を悪用するために利用されるので安全ではありません。たとえば、MicrosoftWebDAVメソッド（Outlook ExpressがHotmailにアクセスするために使用）にはセキュリティ上

の問題がありますが、遮断すると重要なアプリケーションを使用できなくなります。通信の問題を

解決するには、この機能を特定のWebサーバにだけ適用します。

Web Intelligence


Web セキュリティのパフォーマンスについての考慮事項


カーネルとセキュリティ・サーバで実施される保護機能

Web Intelligenceは、Webサーバに対してさまざまなセキュリティ機能を提供します。すべてのWebIntelligence機能はカーネルの検査モジュールで実施されているので、非常に高いパフォーマンスが

得られます。

VPN-1は、Web Intelligence機能を必要としない、多くのWebセキュリティ機能を提供します。こ

れらの機能はHTTPセキュリティ・サーバを利用します。HTTPセキュリティ・サーバによるパ

フォーマンスは、カーネルによるパフォーマンスほど高くありません。これらの機能は、URIリソースを定義し、セキュリティ・ルール・ベースで使用することによって使用可能になります。

表 7-2にそれらの機能を示します。

カーネルとセキュリティ・サーバで実施される保護機能 197 ページ

保護機能のパフォーマンスを高くした場合のオーバーヘッド 198 ページ

許可される同時HTTP接続数の調整 198 ページ

表 7-2 Web Intelligence 機能を必要としない Web セキュリティ機能

Web セキュリティ機能以下を参照してください。

ウイルス対策保護のためのCVPサーバとの

統合

339ページの「ウイルス対策と悪意のある

コンテンツ保護用のCVPサーバ」

高度なセキュリティ・チェックによる

（UFPサーバ経由の）URLフィルタリング 342ページの「URLフィルタリングを使用

したWeb利用者の制限」

発信元および宛先別のURLベース攻撃の遮断 373ページの「発信元と宛先別のURL、方式、

およびメソッドのフィルタリング」

制限されたサイト・リストの統合URLフィルタリング

374ページの「基本的URLフィルタリング」

HTMLタグの除外：スクリプト・タグ、

アプレット・タグ、ActiveX、FTPリンク、

およびポート文字列の削除

375ページの「JavaとActiveXセキュリティ」

HTTP 応答のスキャン： Javaコードの

ブロック

375ページの「JavaとActiveXセキュリティ」

XML Webサービス（SOAP）の保護 376ページの「XML Webサービス（SOAP）のセキュリティ」

Web Intelligence

198

保護機能のパフォーマンスを高くした場合のオーバーヘッド

Web Intelligenceのデフォルトの保護機能は、セキュリティとパフォーマンスが高くなるように

適化されています。

以下の機能を有効にすると、これらの機能が適用されたWebトラフィックのパフォーマンスが低下

します。

• カスタムHTMLエラー・ページ

• ヘッダが書き直される［Header Spoofing］

• HTTP応答が検査される［ASCII Only Response Header］

許可される同時 HTTP 接続数の調整

VPN-1ゲートウェイでは、HTTP接続に使用可能なリソースを調整できます。トラフィック量が同

時接続数1000を超える場合には、同時HTTP接続の許容大数を増やすことができます。逆に、メ

モリ不足のためにセキュリティ・ポリシーのインストールで問題が発生する場合は、同時接続の許

容大数を減らすことができます。

SmartDashboardのメイン・メニューから［Policy］>［Global Properties］を選択して、

［SmartDashboard Customization］>［Configure］を選択します。［Advanced Configuration］ウィンドウで、［FireWall-1］>［Web Security］>［Tuning］を選択します。

http_max_concurrent_connectionsパラメータの値を調整します。デフォルト値は1000です。

Web Intelligence


HTTP プロトコル・インスペクションの下位互換性オプション

Web Intelligenceは、バージョンNG with Application Intelligence（R55W）以降のゲートウェイを

通過するすべての接続に対して、パフォーマンスの高いカーネル・レベルの検査を実行します。

それ以前のバージョンのゲートウェイでは、オプションが用意されています。Web Intelligenceの

［HTTP Protocol Inspection］で、パフォーマンスを適化するためにカーネルを使用してHTTPプロトコル・インスペクションを実行するか、またはプロトコルを厳密に実施するためにHTTPセ

キュリティ・サーバを使用するかを選択できます。以下のオプションを選択できます。

• Configurations apply to all connections: Perform optimized protocol enforcement

HTTP Format sizes、ASCII Only Request、Header Rejection、およびGeneral HTTP WormCatcherのHTTPプロトコル・インスペクション・オプションは、（アクティブな場合）すべて

の接続に対してカーネルによって実施されます。このオプションでは、ASCII Only ResponseHeaders保護機能は実行されません。セキュリティ・サーバを起動するルール・ベース内の

ルールに接続が一致した場合、セキュリティ・サーバはこれらのオプションを実行します（ア

クティブな場合）。

• Configurations apply to all connections: Perform strict protocol enforcement

HTTPプロトコル・インスペクション・オプションはセキュリティ・サーバによって実施され

ます。

• Configurations apply only to connections related to resources used in the Rule Base

ルール・ベースで使用されているリソースに関連する接続の場合は、HTTPプロトコル・インスペ

クション・オプションはセキュリティ・サーバによって実施されます。その他の接続の場合はオプ

ションが実施されません。

Web Intelligence

200

Web Intelligence ライセンスの実施

ゲートウェイまたはゲートウェイ・クラスタが以下の1つまたは複数の保護機能を実施する場合は、

Web Intelligenceのライセンスが必要です。

• Malicious Code Protector

• LDAP Injection

• SQL Injection

• Command Injection

• Directory Listing

• Error Concealment

• ASCII Only Request

• Header Rejection

• HTTP Methods

実際に必要なライセンスは、ゲートウェイまたはゲートウェイ・クラスタが保護するWebサーバの

数によって異なります。使用可能なライセンスを表 7-3に示します。

ゲートウェイ・クラスタの場合は、いずれかのクラスタ・メンバで通常のゲートウェイ用ライセン

スが1つ、残りの各クラスタ・メンバでゲートウェイ・クラスタ用ライセンスがそれぞれ必要です。

各ゲートウェイによって保護されているWebサーバの数をカウントしてライセンスが実施されます。

この数は、Webサーバ・オブジェクトの［Web Server］の［Protected by］フィールドにある設

定を使用して計算されます。「 *All」を指定した場合は、カウントされるWebサーバの数は、WebIntelligence機能を実行するすべてのゲートウェイについてインクリメントされます。正しいライ

センスをインストールしないと、どのゲートウェイにもポリシーをインストールできません。

表 7-3 Web Intelligence のライセンス

Web サーバの大数ゲートウェイ用の SKU ゲートウェイ・クラスタ用の SKU3 CPMP-WIT-3-NGX CPMP-HWIT-3-NGX

10 CPMP-WIT-10-NGX CPMP-HWIT-10-NGX

無制限 CPMP-WIT-U-NGX CPMP-HWIT-U-NGX

Web Intelligence


Web Intelligenceのライセンスは、SmartCenterサーバにインストールされてアタッチされます。

SmartCenterサーバは、ライセンスを適な方法でゲートウェイに割り当てます。たとえば、3つの

ゲートウェイA、B、Cがそれぞれ3、7、35台のWebサーバを保護し、SmartCenterサーバが、3台のWebサーバ用、10台のサーバ用、および数無制限用の合計3つのライセンスを持っているとし

ます。ライセンスは表 7-4のように割り当てられます。

ライセンスは加算できません。たとえば、ゲートウェイが6台のWebサーバを保護している場合

は、CPMP-WIT-10-NGライセンスが1つ必要です。2つのCPMP-WIT-3-NGライセンスを使用する

ことはできません。

HTTP セッション、接続、および URL について

VPN-1のWebセキュリティとWeb Intelligenceの保護機能を充分に活用するには、HTTPセッション、

HTTP接続、およびURLに関する基本用語と概念について理解する必要があります。

HTTPセッションは、HTTP要求とHTTP応答で構成されます。つまり、以下のように表すことが

できます。

HTTPセッション=HTTP要求+HTTP応答

HTTP要求とHTTP応答のどちらにも、ヘッダ・セクションとボディ・セクションがあります。

表 7-4 Web Intelligence ライセンスの割り当て例

ゲートウェイ保護されている Web サーバの数割り当てられたライセンス

A 3 CPMP-WIT-3-NG

B 7 CPMP-WIT-10-NG

C 35 CPMP-WIT-U-NG

Web Intelligence

202

HTTP 要求の例

ヘッダ・セクション

URLは、分かりやすいように太字で示されます。

ボディ・セクション

HTTP 応答の例



HTTP 接続

HTTP/1.1では、単一のTCP接続で複数の要求を送受信できます。ただし、各要求は1つの連続し

たメッセージで送信する必要があります。また、サーバは要求を受信した順序で、所定の接続を介

して応答を送信する必要があります。

GET http://www.site.com/path/file.html?param1=val1&param2=value2 HTTP/1.1

Host: www.site.com

Range: 1000-2000

Cookie: cookiename=A172653987651987361BDEF

<コンテンツ（通常は送信される記入済みフォーム）>

HTTP 200 OK

Content-Encoding: gzip

Content-Type: text/html

Transfer-encoding: chunked

Content-Disposition: http://alternative.url.com

<コンテンツ（通常は HTMLページまたはバイナリ・ファイル）>

Web Intelligence


以下にHTTP要求の接続の例を示します。

URL について

URLは、ホスト、パス、およびクエリの各パラメータで構成されます。図 7-7のURLの場合、ホスト

はhttp://www.elvis.com、パスは /alive/qc.html、残りはすべてクエリです。VPN-1とWeb Intelligenceでは、これらのパラメータでURLをフィルタリングし、特定のURLを含むHTTP要求を許可する

かどうかを決定できます。

図 7-7 URL のホスト、パス、およびクエリ・コンポーネントの例

要求 #1ヘッダ・セクション

Post /Hello/ HTTP/1.1Host: www.walla.co.il

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT5.0)Pragma: no-cacheContent-length: 20

Connection: Keep-alive

要求 #1- ボディ This my example body


Get /scripts/ HTTP/1.1

Host: www.walla.co.ilUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT5.0)Pragma: no-cache

Content-length: 0Connection: Keep-alive

http://www.elvis.com

SmartDefense の設定

204

SmartDefense の設定SmartDefenseを設定するには、以下の手順に従います。

1. ［SmartDashboard］ウィンドウで［SmartDefense］タブをクリックします。

2. ［SmartDefense］タブで、情報を表示するSmartDefenseカテゴリを選択します。

3. 特定の攻撃の詳細を表示するには、［+］をクリックしてブランチを展開し、攻撃を選択します。

4. 防御する攻撃を選択し、［Settings］を選択してカテゴリと特定の攻撃を設定します。

5. セキュリティ・ポリシーをインストールします。SmartDefenseの設定への変更内容を有効に

するには、セキュリティ・ポリシーを再インストール必要があります。

新の防御機能での SmartDefense アップデート

SmartDefense Webサイトから新の防御手段の更新版をすべて入手するには、以下の手順に従い

ます。

• ［SmartDefense］タブから［Download Updates］ページにアクセスして、［Online Update］をクリックします。

SmartDefense サービス


SmartDefense サービス［SmartDefense Services］タブでは、使用可能なすべての製品を中央からアップデートできます。

［SmartDefense Services］タブには以下のビューが含まれています。

• Download Updates

• Advisories

• Security Best Practices

Download Updates［Download Updates］ビューでは、ダウンロード可能なアップデートに関する情報を確認できます。

テーブルの各エントリで以下のアップデート・パッケージについて説明されています。

• VPN-1：以下のネットワーク・オブジェクトに対するSmartDefenseおよびWeb Intelligenceアップデートが含まれています。

• VPN-1 Power/UTMゲートウェイ

• VPN-1 Power/UTMクラスタ

• VPN-1 UTM EdgeまたはEmbeddedゲートウェイ

• VPN-1 Power VSXゲートウェイ

• VPN-1 Power VSXクラスタ

• InterSpect 1.x and 2.0：バージョン1.0、1.1、1.5、2.0の中央で管理される InterSpectゲー

トウェイに対するSmartDefenseおよびWeb Intelligenceアップデートについて説明します。このエントリは、ゲートウェイがSmartDashboardで定義されている場合のみ表示されます。

• InterSpect NGX：バージョンNGXの中央で管理される InterSpectゲートウェイに対する

SmartDefenseおよびWeb Intelligenceアップデートについて説明します。このエントリは、

ゲートウェイがSmartDashboardで定義されている場合のみ表示されます。

• Connectra 2.0：バージョン2.0の中央で管理されるConnectraゲートウェイに対する



• Connectra NGX：バージョンNGXの中央で管理されるConnectraゲートウェイに対する




206

• CI：ウイルス対策機能がインストールされたゲートウェイに対する手動シグネチャ・アップ

デートについて説明します。このアップデートを実行するには、ゲートウェイの［General Properties］ページのチェック・ポイント製品リストで［Anti Virus］が選択されていることを

確認します。このエントリは、ゲートウェイがSmartDashboardで定義されている場合のみ表

示されます。

• VPN-1 UTM Edge CI：ウイルス対策機能がインストールされたVPN-1 UTM Edgeゲートウェイ

に対する手動シグネチャ・アップデートについて説明します。これらのアップデートはゲー

トウェイの［Content Filtering］ページで定義されています。このエントリは、ゲートウェイ

がSmartDashboardで定義されている場合のみ表示されます。

以下の［Downloads Update］テーブル列には各アップデートの詳細情報が示されています。

1. Last Downloaded Update： SmartCenterに現在ダウンロードされているアップデートを表示

しますリンクをクリックすると、現在インストールされているアップデートの特長が表示さ

れます。（CIエントリには、そのような情報はありません）。

2. Available New Update：ダウンロード・センターで入手できる新のアップデートを表示し

ます。リンクをクリックすると、新のアップデートの特長が表示されます（CIエントリに

は、そのような情報はありません）。

3. Deployment Status：各ゲートウェイにインストールされているアップデート・バージョン

と以下のゲートウェイ・ステータスのいずれかを表示します。

• Up to date：ゲートウェイには使用可能な新のアップデートがインストールされてい

ます。

• Out of date：ゲートウェイには新のアップデートがインストールされていません。

• Not available：現在ゲートウェイにインストールされているアップデートはありません。

Advisories［Advisories］ビューでは、SmartDefenseアップデートの詳細な説明とアップデートを有効にして

設定する手順を表示できます。

アドバイザリを表示するには、以下のいずれかを実行します。

• 管理者がユーザ・センターにログインしていない場合は、［Check Point Reference］列をク

リックすると脆弱性の概要が表示されます。

• 管理者がユーザ・センターにログインしている場合は（ページの一番上にある [Log in to UserCenter］リンクを使用）、説明されている攻撃に対するソリューションの全文が表示され

ます。



Security Best Practices［Security Best Practices］ビューでは、チェック・ポイントが推奨する新のセキュリティ対策

の概要を表示できます。

［Advisories］ビューと同様に、このビューにも次の2つの状態があります。管理者がログインして

いる場合のビューと、管理者がログインしていない場合のビューです（詳細については、206ペー

ジの「Advisories」を参照してください）。

SmartDefense プロファイルの設定

208


プロファイルの作成

新しいプロファイルを設定するには、以下の手順に従います。

1. ［SmartDefense］タブ>［Profile Management］を選択します。

2. ［New］>［Create new profile］を選択します。

3. プロファイル名を割り当てます。［OK］をクリックします。

4. SmartDefenseナビゲーション・ツリーを使用してプロファイルに対する保護機能の設定を行

います。プロファイルを選択すると、他のSmartDefense保護機能を選択しても、そのプロ

ファイルが選択されたままの状態になります。

プロファイルを複製するには、以下の手順に従います。


2. 既存のプロファイルを選択します。

3. ［New］>［Clone selected profile］を選択します。選択したプロファイルの複製がプロファ

イル・リストに表示されます。たとえば、Default_Protectionという名前のプロファイルを

選択して複製した場合、Copy_of_Default_Protectionという名前のプロファイルが［Profile Name］フィールドに表示されます。


5. SmartDefenseナビゲーション・ツリーを使用してプロファイルに対する保護機能の設定を行

います。

ゲートウェイへのプロファイルの割り当て

以下の2つの方法でゲートウェイにプロファイルを割り当てることができます。

• ゲートウェイから

• ［SmartDefense］タブから

ゲートウェイからプロファイルを割り当てるには、以下の手順に従います。

1. ［Manage］>［Network Objects］をクリックします。

2. ゲートウェイを選択して、［Edit］をクリックします。

3. ［SmartDefense］ページに移動します。



4. このゲートウェイに対してSmartDefenseを無効にするには、［Do not apply SmartDefense on this gateway］を選択します。

プロファイルを割り当てるには、［Assign profile］の横にあるドロップダウン・メニューのリス

トからプロファイルを選択します。


［SmartDefense］タブからプロファイルを割り当てるには、以下の手順に従います。

1. ［SmartDefense］タブ>［Profile Assignment］を選択します。

2. ゲートウェイを選択して、［Edit］をクリックします。

3. ［SmartDefense］ページに移動します。

4. このゲートウェイに対してSmartDefenseを無効にするには、［Do not apply SmartDefense on this gateway］を選択します。

プロファイルを割り当てるには、［Assign profile］の横にあるドロップダウン・メニューのリ

ストからプロファイルを選択します。


プロファイルによって保護されたゲートウェイの表示

特定のプロファイルによって保護されているゲートウェイの一覧を表示するには、以下の手順に従

います。


2. 一覧からプロファイルをハイライトし、［Actions］>［Show Protected Gateways］を選択

します。

［Protected Gateways］ウインドウに、選択したプロファイルに割り当てられたゲートウェイ

の一覧が表示されます。

SmartDefense StormCenter モジュール

210



侵入検知での協調作業の必要性

ハッカーがプライベート・ネットワークに侵入するために使用する技術の範囲と巧妙さは、絶えず

進化しています。しかし、新の攻撃に対して新の保護機能を維持できる組織はほんのわずかし

かありません。ネットワークStorm Centerは、セキュリティ管理者がネットワークへのセキュリ

ティ脅威に対する新ソリューションを維持できるように用意された、協調作業による対策です。

Storm Centerは、攻撃に関するログ情報を収集し、世界中の組織と共有することによってこれを実

現します（図 7-8）。 Storm Centerは、ネットワーク・セキュリティへの脅威に関するレポートを作

成し、タイミングよく、効果的な方法で提示します。

図 7-8 組織とネットワーク Storm Center の連携

侵入検知での協調作業の必要性 210 ページ

Storm Center統合のためのチェック・ポイント・ソリューション 211 ページ

計画時の注意事項 215 ページ

Storm Center統合の設定 216 ページ



Storm Center 統合のためのチェック・ポイント・ソリューション


概要

SmartDefense Storm Centerモジュールは、標準のVPN-1製品に含まれています。これにより、ネッ

トワークStorm Centerとネットワーク・セキュリティ情報を必要とする組織の間で情報交換が可能

になります。

代表的なStorm Centerの 1つにSANS DShield.org http://www.dshield.org/があります。

DShield.orgは統計情報を収集し、結果を一連のレポートとしてhttp://www.dshield.org/reports.htmlに提示します。

SmartDefenseは、以下の2つの方法でSANS DShield.org Storm Centerに統合します（図 7-9）。

• DShield.org Storm Centerでは、遮断すべきアドレス範囲の一覧が含まれる、頻繁に更新され

るブロック・リスト・レポートを提供しています。 SmartDefense Storm Centerモジュールは

このリストを取得し、セキュリティ・ポリシーに追加します。

• Storm Centerは、あなたのネットワークが受けた脅威に他の組織が対処するのに役立てるよ

うに、ログを他の組織に送信します。ログを送信するには、ログを送信するセキュリティ・

ルールおよびSmartDefense/Web Intelligence保護機能を選択します。

概要 211 ページ

ブロック・リストを受信する方法 212 ページ

ログをStorm Centerに提供する方法 213 ページ

提供されるログの内容 214 ページ

提供するログからの識別情報の削除 214 ページ

信頼性を保証する方法 215 ページ

ログ・サイズおよびVPN-1パフォーマンスへの影響 215 ページ

www.dshield.org

http://www.dshield.org/reports.html


212

図 7-9 ブロック・リストの受信方法とログの提出方法

ブロック・リストを受信する方法セキュリティ管理者は、［Network Security］>［DShield Storm Center］>［Retrieve and BlockMalicious IPs］を選択してSmartDefenseのブロック・リスト・オプションを設定します。すべて

のゲートウェイ、または特定のゲートウェイで悪意のある IPを遮断できます。

悪意のある IPを遮断する各VPN-1ゲートウェイ上のエージェント（デーモン）は、

http://secure.dshield.org/block_list_info.htmlから悪意のある IPアドレスのブロック・リストを受信

します。エージェントは更新間隔（デフォルトは3時間）ごとにブロック・リストを受信し、ブロッ

ク・リスト内の IP アドレス範囲を使ってセキュリティ・ポリシーを更新します。この処理は

SmartView TrackerでVPN-1ログに記録されます（図 7-10）。

http://secure.dshield.org/block_list_info.html



図 7-10 SmartView Tracker におけるブロック・リストの取得

ログを Storm Center に提供する方法

セキュリティ管理者はどのログを提供するかを決定します。たとえば、Alert（警告）またはUserDefined Alert（ユーザ定義の警告）のログをすべて提供するように指定できます。検出された攻撃

（HTTPワーム・パターンなど）のログも提供できます。

SmartCenterサーバ上のログ提供エージェント（デーモン）は、2種類のログを生成します。通常の

ログと小型のダイジェスト・ログで、ダイジェスト・ログにはポートごとの切断と拒否の数だけが

含まれます。

Storm Centerはログ提供エージェントに対して、通常のログ、ダイジェスト・ログ、またはその両

方のログを送信するように通知します。

ログ提供エージェントは、Storm Centerによって要求された種類のログと、セキュリティ管理者が

選択したログを、HTTPS POSTを使用してStorm Centerに送信します。ログは、圧縮されてデー

タベースに格納されます。


214

提供されるログの内容

Storm Centerに提供されるログには以下の情報が含まれます。

• 接続パラメータ：発信元 IPアドレス、宛先 IPアドレス、発信元ポート、宛先ポート（サービ

ス）、IPプロトコル（UDP、TCP、ICMPなど）。

• ルール・ベース・パラメータ：時間とアクション

• ログの詳細な説明

HTTPワーム・パターンについては、ログには接続パラメータ、ルール・ベース・パラメータ、および

攻撃の名前と検出されたURLのパターンが含まれます。

ログがStorm Centerに提供されると、SmartView TrackerにSmartDefenseログとして記録されます

（図 7-11）。

図 7-11 SmartView Tracker における Storm Center へのログの提供

提供するログからの識別情報の削除

マスクするビット数を定義することによって、提供するログの内部 IPアドレスから識別情報を削除

できます。

マスクを使用して、内部 IPアドレスから必要な数のビットを削除します。ゼロ・ビットのマスクは

IPアドレス全体を隠し、32ビットのマスクは内部 IPアドレス全体を明らかにします。8ビットのマ

スクは内部 IPアドレスの8ビットを明らかにし、IPアドレス192.168.46.88を0.0.0.88に変換し

ます。



信頼性を保証する方法

ブロック・リストと提供されたログは、SSLにより安全に転送および認証されます。Storm Centerモジュールと共に提供されるStorm Center認証局の証明書は、ローカルに格納され、以下の目的に

使用されます。

• 受信されたブロック・リストの送信元の信頼性を調べる。

• ログを提供するときにStorm CenterとのSSL接続を確立し、ログが確実にStorm Centerのみ

に送信されるようにする。

SANS DShield.orgの認証局はEquifaxです。 equifax.cerはローカルに保存された証明書のファイ

ル名です。このファイルは、Storm Centerモジュールがインストールされているconfディレクト

リに格納されます。

ログをDShield.orgに送信するには、まずDShield.orgに登録する必要があります。 DShield.orgは、

提供者が登録時に取得したユーザ名とパスワードによってログの提供者を認証します。

ログ・サイズおよび VPN-1 パフォーマンスへの影響

ブロック・リストを受信しても、そのデータ量が非常に小さいのでVPN-1のパフォーマンスに影響

はありません。提供されるログは圧縮されており、SmartDefenseログ全体の小さなサブセットにす

ぎません。ログのサイズは、ログの間隔およびログ・データベースの大サイズに応じて異なります

（たとえば、約10,000行のログの場合、200 KBを消費します）。

計画時の注意事項

Storm Center に提供するログ Storm Centerでは通常、以下に関するログ情報を求めています。

• 組織に到達した不必要なポート80トラフィック

• それ以前のルールで明示的に許可されていないトラフィックを破棄するDrop Allルール

（ルール・ベースの後のルール）

• 悪意のある IPアドレスの遮断によって生成されるログ

• SmartDefenseとWeb Intelligenceの保護機能

Storm Center に提供しないログ

内部トラフィックを記録するルールによって生成されたログは送信しないことをお勧めします。


216

提供されるログから削除する識別情報

提供するログから組織のIPアドレスのどの部分を削除するかをまず決定します。すべての内部アド

レスがプライベートなルーティング不能アドレスの場合は、アドレスをマスクする必要がないよう

に思えますが、ルーティング不能なアドレスからでも内部のネットワーク・トポロジに関する情報

が漏れる場合があることに注意してください。

Storm Center 統合の設定

悪意のある IP の取得および遮断

悪意のある IPを取得および遮断するには、以下の手順に従います。

1. セキュリティ・ルール・ベースで、必要に応じて適切なルールを定義します。ゲートウェイと

SmartCenterサーバは、HTTPSを使用してStorm Centerに接続できる必要があります。

2. SmartDefenseで、［Network Security］>［DShield Storm Center］>［Retrieve and Block Malicious IPs］を選択します。

3. 必要な設定を行います。ブロック・リスト内の IPアドレスからの接続を、すべてのゲート

ウェイで遮断することも選択したゲートウェイのみで遮断することもできます。

4. ログをDShieldにも提供し、悪意のある IPアドレスの遮断によって生成されたログを提供す

る場合は、ルールベースの［Track］設定をSmartDefenseの［DShield Storm Center］>［Report to DShield］セクションの［Submit Logs of Type］設定と同じにします。


悪意のある IP の遮断の手動設定

SmartDefenseで設定した場合、DShieldのブロック・リストはルール・ベースより優先的に実施さ

れます。DShieldでは統計分析が行われ、ブロック・リストが /24（クラスC）ネットワークで構成

されているので、これらの IPアドレスがすべて悪質なわけではありません。したがって、信頼でき

る IPアドレスが遮断されないようにするために、セキュリティ・ルール・ベースにブロック・リス

ト・ルールを手動で追加できます。

注：ブロック・リストが境界のゲートウェイにのみ適用されていることを確認してください。



悪意のある IPの遮断を手動で設定するには、以下の手順に従います。

1. SmartDefenseで［Network Security］>［DShield Storm Center］を選択します。

2. ［Retrieve and Block Malicious IPs］オプションをオフにします。

3. ブロック・リスト・ルール（表 7-5）を追加して、以下の手順を実行します。

a. ブロック・リスト・ルールはセキュリティ・ルール・ベースのできるだけ上の方に置きますが、すべての認証ルールおよび遮断対象から除外する信頼できるソース用のその他のルールよりも下に置きます。

b. 特定のゲートウェイでのみ悪意のある IPを取得して遮断するには、ルールの［Install On］セルでそれを指定します。

c. ログをDShieldにも提供し、悪意のある IPの遮断によって生成されたログを提供する場

合は、ルールベースの［Track］設定をSmartDefenseの［DShield Storm Center］>［Report to DShield］の［Submit Logs of Type］設定と同じにします。


注：ブロック・リストが境界のゲートウェイにのみ適用されていることを確認してください。

表 7-5

SOURCE DESTINATION SERVICE ACTION INSTALL ON TRACK COMMENT

CPDShield Any Any Drop Policy Targets UserDefined

Block ListRule


218

DShield.org へのログの提供

ログをDShield.orgに送信するには、以下の手順に従います。

1. DShield.orgにログを送信するには、まずhttp://www.dshield.org/register.htmlで登録します。 DShieldのユーザ名とパスワードが送信されてきます（登録しなくてもブロック・リストを

受け取ることはできます）。

2. 提供したログに関するDShieldレポートと統計情報を表示するには、DShield（http://www.dshield.org/login.html）にログインします。

3. VPN-1ゲートウェイとSmartCenterサーバは、HTTPSを使用してStorm Centerに接続できる

必要があります。セキュリティ・ルール・ベースで、必要に応じて適切なルールを定義します。

4. SmartDefenseで、［Network Security］>［DShield Storm Center］>［Report to DShield］を

選択します。

5. ［Submit all logs of type］オプションを設定して、Storm Centerに送信するログを決定します。

たとえば、Alert（警告）またはUser Defined Alert（ユーザ定義の警告）のログをすべて提供

するように指定します。

6. ルールまたはログを送信するSmartDefense/Web Intelligence保護機能の［Track］オプションを

設定します。

7. ［Hide internal networks using this mask］オプションを設定し、提供するログによって内

部のネットワーク・トポロジが漏洩しないようにします。 0.0.0.0マスクは内部 IPアドレス全

体を明らかにします。 255.255.255.0マスクは内部 IPアドレスの8ビットを明らかにし、IPア

ドレス192.168.46.88を0.0.0.88に変換します。

8. ゲートウェイ・オブジェクトの［Topology］ページで、トポロジがすべてのゲートウェイに

対して正しく定義されていることを確認します。


http://www.dshield.org/register.html

http://www.dshield.org/login.html

Application IntelligenceCheck Point Application Intelligence は、VPN-1 と SmartDefense に統合された高度な機能のセットであり、これらの機能によってアプリケーション・レベルの攻撃を検出して防ぐことができます。このセクションでは、アプリケーション・プロトコルごとにアプリケーション・レベルの攻撃から保護する方法、およびアンチウィルス（CVP）とURL フィルタリング（UFP）の使用方法について説明します。

221

第章8コンテンツ検査

この章の構成

ウイルス対策 222 ページ

Webフィルタリング 237 ページ

ウイルス対策

222

ウイルス対策


統合されたウイルス対策について

ウイルスはネットワーク・オペレーションにとって大きな脅威であり、ますます危険で巧妙になっ

ています。たとえば、ウイルスの例として、ワーム、複合型脅威（感染と配布に悪意のあるコード

と脆弱性を組み合わせて利用）、トロイの木馬などがあります。

VPN-1 UTMゲートウェイにはウイルス対策技術が統合されています。統合されたウイルス対策ソ

リューションでは特別な ITリソースは必要ありません。企業にとっては、使い慣れたチェック・ポ

イントのSMARTインフラストラクチャを活用することで、ポリシー管理、ログ記録、監視など、

さまざまな管理タスクを簡素化できる利点があります。単一のソリューションであるため、ハード

ウェアの管理も簡単です。

ウイルス対策は、HTTP、FTP、SMTP、およびPOP3プロトコルに対応しています。デフォルト

では、すべてのプロトコルがスキャンされ、各プロトコルのオプションは中央で設定できます。

統合されたウイルス対策について 222 ページ

アーキテクチャ 223 ページ

統合されたウイルス・スキャンの設定 223 ページ

データベースのアップデート 224 ページ

通信方向によるスキャンと IPによるスキャンについて 225 ページ

通信方向によるスキャン：スキャンするデータの選択 229 ページ

ファイル形式の認識 231 ページ

継続的ダウンロード 232 ページ

ログと監視 233 ページ

ファイル・サイズの制限とスキャン 234 ページ

VPN-1 UTM Edgeのウイルス対策 236 ページ

ウイルス対策

第 8 章コンテンツ検査 223

アーキテクチャ

ウイルス・スキャンを有効にすると、選択されたプロトコルのトラフィックはカーネルで捕捉さ

れ、セキュリティ・サーバに転送されます。セキュリティ・サーバはデータ・ストリームをウイル

ス対策エンジンに転送します。データはウイルス対策エンジンの応答に基づいて許可または遮断

されます。

ウイルス・スキャンは、セキュリティ・ポリシーによって許可されている承認されたトラフィック

にのみ適用されます。

VPN-1 UTMでは、ウイルス対策を設定するとCVPリソースの設定は使用されなくなります。ウイ

ルス対策とCVPの両方が使用されている場合は、ウイルス対策のみが機能します。

統合されたウイルス・スキャンの設定

統合されたウイルス・スキャンを設定するには、以下の手順に従います。

1. すべてのVPN-1 UTMゲートウェイ・オブジェクトに対して、［General Properties］ページの

［Check Point Products］リスト（図 8-1）で［Anti Virus］を選択します。

図 8-1 ［Check Point Products］リスト

2. ［Topology］ページで、ゲートウェイのトポロジを定義して内部ネットワークおよびDMZを

指定します。

3. ［セキュリティ・ルール・ベース］を使用してサービスを許可します。ウイルス・スキャンは

許可されたトラフィックにのみ適用されます。

4. ［Content Inspection］タブで、以下のオプションを使用してスキャンするサービスを選択し

ます。

• ［Anti Virus］ページで、ファイルの処理とスキャンの失敗に関するオプションを設定し

ます。

• ［Signature Updates］ページで、自動シグネチャ・アップデートをいつ実施するか、

またはシグネチャ・アップデートを手動で開始するかどうかを設定します。

• ［SMTP］、［FTP］、［HTTP］、および［POP3］ページで、これらのサービスに対する

ウイルス・スキャンのオプションを設定します。

• ［File Types］ページで、ファイルの種類に基づいてトラフィックをスキャン、遮断、

または通過させる設定を行い、継続的ダウンロードの設定を行います。

ウイルス対策

224

データベースのアップデート

以下の方法でデータベースのアップデートを行えます。

• 自動：ウイルス・シグネチャのアップデート間隔は自由にスケジュール設定できます。

• 手動：ウイルス・シグネチャのアップデートは、いつでも開始できます。

UTMゲートウェイまたはSmartCenterサーバを使用している場合は、シグネチャ・アップデートを

ダウンロードする前にチェック・ポイント・サーバからアップデートをダウンロードします。初

に以下のことを確認します。

• DNSが正しく設定されており、HTTPおよびHTTPSによるインターネット接続が正しく行える。

• 有効なチェック・ポイント・ユーザ・センタのユーザ名とパスワードを持っている。

以下のシグネチャ・アップデート方法が使用できます（すべて方法で、デフォルトのアップデート

間隔は120分です）。

• Download signature updates every x minutes：アップデート間隔を定義できます。

• Download from Check Point site：各VPN-1ゲートウェイがチェック・ポイントのWebサ

イトにアクセスしてウイルス対策シグネチャを取得することを示します。アップデートは直接

UTMゲートウェイにダウンロードされます。通常、この方法ではアップデート時間が短縮さ

れます。

• Download from My local SmartCenter Server：アップデートが、SmartCenterサーバに

よってのみデフォルトのチェック・ポイント・シグネチャ配布サーバからダウンロードされ、

SmartCenterサーバからすべてのVPN-1 UTMゲートウェイに再配布されることを示します。

この方法は、インターネットにアクセスできないゲートウェイがある場合や、すべてのゲート

ウェイに対してダウンロードを1度しか実施できない場合に役立ちます。

ウイルス対策


通信方向によるスキャンと IP によるスキャンについて


定義

通信方向によるスキャンと IPによるスキャンはContent Inspectionで使用される2つのファイル・

スキャン方法です。ウイルス・スキャンはセキュリティ・ルール・ベースにより許可されたトラ

フィックに対してのみ実施されます。

通信方向によるスキャン

通信方向によるスキャンは、特定の方向（外部、内部、またはDMZネットワークを送信先または

送信元とする）でゲートウェイを通過するすべてのファイルをスキャンします。この方法（デフォ

ルト）の使い方は非常に簡単で、ホストやネットワークを指定する必要はありません。この方法で

は、たとえばスキャンしないファイルの送信先または送信元など、例外を定義することもできます。

IP アドレスによるスキャン

IPによるスキャンでは、スキャンするトラフィックを定義できます。たとえば、外部ネットワーク

からDMZに到達するすべての受信トラフィックに対して、IPによるスキャンを使用する場合は、

FTP、SMTP、HTTP、およびPOP3サーバへのトラフィックのみをスキャンするようにVPN-1 UTMを設定できます。これに対して、通信方向によるスキャンではDMZへ向かうすべてのトラフィック

がスキャンされます。

IPアドレスによるスキャンを使用する場合は、ルール・ベースで、スキャンするデータの送信元と

送信先を指定します。FTPの場合は各ルールに対して、GETメソッドとPUTメソッドのどちらか、

またはその両方をスキャンできます。HTTPの場合は各ルールに対して、HTTP要求とHTTP応答

のどちらか、またはその両方をスキャンできます。

定義 225 ページ

通信方向によるスキャンと IPによるスキャンの比較 226 ページ

注：通信方向によるスキャンは、UTM がゲートウェイとして接続され、外部と内部 /DMZネットワーク間に直列で配置されている場合にのみ機能します。 VPN-1 UTM がプロキシ・

モードのノードとして接続されている場合は機能しません。また、ゲートウェイのトポロジ

が正しく定義されている必要があります。

ウイルス対策

226

通信方向によるスキャンと IP によるスキャンの比較

通信方向によるスキャンでは、ファイル（接続とは限らない）の送信元と送信先に基づいてファイ

ル・スキャンを指定できます。

IPによるスキャンでは、ファイルが通過する接続、および該当する場合はプロトコルのフェーズ /コマンドに基づいてファイル・スキャンを指定できます。

特定方向のほとんどまたはすべてのファイルをウイルス・スキャンする場合は、［Scan byDirection］（通信方向によるスキャン）を選択します。

スキャンする接続または接続の一部の送信元や送信先を指定する場合は、［Scan by IP］（IPによる

スキャン）を選択します。

SMTP プロトコルでの通信方向によるスキャンと IP によるスキャンの比較

SMTPプロトコルの場合は、通信方向によるスキャンと IPによるスキャンは同等のオプションです。

図 8-2が示すように、SMTPプロトコルではファイル（データ）は常に接続と同じ方向に送信され

ます。 SMTPプロトコルはメールの送信に使用されます。メールの受信に使用されるプロトコル

（POP3や IMAPなど）は、SMTPのオプションではスキャンされません。

図 8-2 SMTP での通信方向によるスキャンと IP アドレスによるスキャンの比較

ウイルス対策


POP3 プロトコルでの通信方向によるスキャンと IP によるスキャンの比較

図 8-3に示すように、POP3プロトコルではファイル（データ）は常に接続の反対方向に送られます。

POP3はメールの取得に使用されます。

図 8-3 POP3 での通信方向によるスキャンと IP アドレスによるスキャンの比較

ウイルス対策

228

FTP プロトコルでの通信方向によるスキャンと IP によるスキャンの比較

図 8-4に、FTPプロトコルでの IPによるスキャンと通信方向によるスキャンの違いを示します。

FTP GETコマンドが使用されるときは、ファイルは接続の反対方向に転送されます。 FTP PUTコ

マンドが使用されるときは、ファイルは接続と同じ方向に転送されます。このシナリオでは、通信

方向によるスキャンのオプションを使用すると、接続の方向を考慮せずにファイルをスキャンでき

ます。

図 8-4 FTP での通信方向によるスキャンと IP アドレスによるスキャンの比較

ウイルス対策


HTTP プロトコルでの通信方向によるスキャンと IP によるスキャンの比較

図 8-5に、HTTPプロトコルでの IPによるスキャンと通信方向によるスキャンの違いを示します。

IPによるスキャンを使用した場合は、接続の発信元と宛先が指定され、要求、応答またはその両方

がスキャンされます。

図 8-5 HTTP での通信方向によるスキャンと IP アドレスによるスキャンの比較

通信方向によるスキャン：スキャンするデータの選択

通信方向によるスキャンを選択する場合は、内部ネットワークやDMZに送信されるファイルをス

キャンするのか、内部ネットワークやDMZから送信されるファイルをスキャンするかに基づいて、

スキャンするデータの送信方向を選択する必要があります。

DMZ とは

DMZ（非武装地帯）とは、中間レベルのセキュリティを持つ内部ネットワークのことです。 DMZの

セキュリティ・レベルは、企業のプライベートLANなどの信頼された内部ネットワークと、イン

ターネットなどの信頼されていない外部ネットワークの中間に位置します。

一般にDMZには、Web（HTTP）サーバ、FTPサーバ、SMTP（電子メール）サーバ、DNSサーバ、

POP3サーバなど、インターネット・トラフィックにアクセス可能なデバイスが含まれます。

ウイルス対策

230

通信方向によるスキャンを使用すると、DMZ固有のウイルス・スキャンのレベルを指定できます。

たとえば、外部ネットワークからDMZに送信されるトラフィックをスキャンせずに、DMZから内

部ネットワークに送信されるトラフィックと外部ネットワークから内部ネットワークに送信され

るトラフィックをスキャンするようにできます。

VPN-1 UTMゲートウェイ・トポロジで、内部インタフェースがDMZに属するように定義できます。

通信方向によるスキャンのオプション

通信方向によるスキャンでは以下のオプションが使用できます。

• Incoming files arriving to（図 8-6）：外部インタフェースから内部ネットワーク（1）、DMZ（2）、およびDMZと内部ネットワーク（1と2）に到着するファイル。

図 8-6 到着するファイルに対するスキャン・オプション

• Outgoing files leaving（図 7-7）：内部ネットワーク（1）、DMZ（2）、およびDMZと内部

ネットワーク（1と2）から外部インタフェースを介して送信されるファイル。

図 8-7 送信されるファイルに対するスキャン・オプション

• Internal files（図 8-8）： DMZがない場合は、すべての内部ネットワーク（1）間でやり取り

されるファイル。 DMZがある場合は、DMZと内部ネットワーク間でやり取りされるファイル

とすべての内部ネットワーク間でやり取りされるファイル（内部ネットワーク間（1）、DMZから内部ネットワークの間（2）、および内部ネットワークからDMZの間（3））。

ウイルス対策


図 8-8 内部ファイルに対するスキャン・オプション

ファイル形式の認識

VPN-1 UTM には組み込みのファイル形式認識エンジンが搭載されており、接続時に通過する

ファイルの形式を識別し、ファイルの形式別にポリシーを定義して特定形式のファイルを処理で

きます。

ウイルス・スキャンを実施せずにVPN-1 UTMゲートウェイを通過させる、安全なファイル形式を

指定できます。また、スキャンまたは遮断されるファイル形式を設定することもできます。

それぞれのファイル形式に以下を設定できます。

• Scan：それぞれのサービス・ページでの設定に基づいて、ファイルに対してウイルス対策ス

キャンが実施されます。デフォルトでは、すべての認識不能な形式のファイルがスキャンされ

ます。

• Block： SmartDefenseアドバイザリに基づいて遮断されるように事前設定した形式のファイ

ルは遮断されます。

• Pass：この形式のファイルはウイルス・スキャンを実施されることなくVPN-1 UTMゲート

ウェイを通過します。この形式に指定されたファイルは安全と判断されます。

ファイルの形式は、ウイルスを含んでいないと認識されれば安全と判断されます。たとえば、一部

の画像ファイルとビデオ・ファイルは安全と判断されます。このほかに、改変が比較的難しいファイ

ル形式は安全と判断されます。安全と判断する基準は、公開されている脅威、および管理者による

セキュリティとパフォーマンスのバランスの判断に基づいて変更されます。

VPN-1 UTMは、ファイル形式のシグネチャ（マジック・ナンバ）を調査してバイナリ形式のファイ

ルを確実に識別します。VPN-1 UTMでは、ファイル拡張子（*.GIFなど）を使ってファイルを識別し

ません。ファイル拡張子が詐称できるからです。また、HTTPやメール・プロトコルのMIMEヘッダ

（image/gifなど）も使用しません。これらも詐称できるからです。

ウイルス対策

232

継続的ダウンロード

ウイルス対策エンジンは、スキャン対象のファイルに対して、スキャンしたファイルをクライアン

トに送信する前にキャッシュするプロキシとして機能します。

サイズが大きいファイルをスキャンする場合は、ファイル全体をスキャンしてからファイルを利用

できるようにすると、ファイルが送信されるまでに長い遅延が発生することがあります。タイムア

ウト時間が短いクライアント・アプリケーション（特定のFTPクライアントなど）を使用してサイ

ズの大きいファイルをダウンロードする場合も、同様の問題が発生する可能性があります。ファイ

ル全体をキャッシュしてスキャンしてから送信すると、クライアント・アプリケーションは待機中

にタイムアウトする可能性があります。

この問題に対処するために、継続的ダウンロードでは、ウイルス対策スキャンを実施している間に

クライアントへの情報の送信を開始します。スキャン時にウイルスが検出されると、クライアント

へのファイル送信は終了します。

継続的ダウンロードを行わないファイル形式を指定できます。一部の形式のファイル（AdobeAcrobat PDFファイルやMicrosoft Power Pointファイルなど）は、ファイル全体がダウンロード完了

する前にクライアント・コンピュータで開くことができます。これらのファイル形式で継続的ダウン

ロードを許可している場合は、ファイルの開いた部分にウイルスが存在しているとクライアント・

コンピュータがウイルスに感染することがあります。

注： SMTP と POP3 プロトコルでは、電子メール全体に対する継続的ダウンロードがサポー

トされています。

ウイルス対策


ログと監視

ウイルス対策スキャンに関するログ情報はSmartCenterサーバに送信され、SmartView Trackerを使用して表示できます。スキャン結果に関する情報はログに表示されます。また、シグネチャ・アッ

プデート、新しいアップデートの確認、およびダウンロード結果に関するログもあります。

ウイルス対策ステータスはSmartView Monitorを使用して監視されます。ウイルス対策ステータス

はFirewall-1製品の下で表示されます。このステータスには、現在インストールされているシグネ

チャ・ファイルとウイルス対策エンジンのバージョンが表示されます。ウイルス対策ステータスに

は、スキャンしたファイルと検出したウイルスに関する統計情報も含まれます。

ウイルス対策

234

ファイル・サイズの制限とスキャン

全般的な設定

［Anti Virus］ページのデフォルトは、ウイルス対策エンジンに負荷がかかりすぎないように設定さ

れています。デフォルト設定を使用することをお勧めします。

ウイルス対策エンジンに負荷がかかりすぎた場合は、［Anti Virus］ページのオプションを使用して

以下の項目を決定します。

• スキャンしていないファイルの通過を許可するかどうか。このオプションを選択すると、

ウイルスによる攻撃にさらされることになります。

• すべてのファイルを遮断するかどうか。このオプションを選択すると、接続性の問題が発生す

る場合があります。

ファイルの処理

以下のファイル処理オプションが使用できます。

• Maximum file size to scan：ゲートウェイの通過を許可するファイル・サイズを制限します。

ファイルが圧縮されたアーカイブ・ファイルの場合は、この制限は解凍後のファイルに適用

されます（ウイルス対策エンジンはスキャンを実施する前にアーカイブを解凍します）。ウイ

ルス対策スキャンを実施する前に、ゲートウェイはファイル全体を再構成します。この制限は

ゲートウェイのリソースと宛先のクライアントを保護します。

アーカイブとは、1つまたは複数のファイルを含む圧縮形式のファイルのことです。アーカイ

ブ（およびその他のすべてのファイル形式）は、各ファイルのバイナリ・シグネチャによっ

て識別されます。デフォルトでは、アーカイブでないことが確認できなかったファイル形式

はすべてアーカイブと見なされ、ウイルス対策エンジンはそのファイルの展開を試みます。

• When file exceeds limit：ファイル・サイズが制限値を超えた場合、またはファイルの解凍

に失敗した場合に、ファイルに対してスキャンまたは遮断を実施するかどうかを決定します。

注：電子メールはアーカイブとして処理されるので、ファイル・サイズが限度値を超えても

影響はありません。

ウイルス対策


アーカイブ・ファイルの処理

以下のアーカイブ・ファイル処理オプションが使用できます。

• Maximum archive nesting level：アーカイブ・ファイルのネスト（1つのファイル内に別の

ファイルを入れること）・レベルを制限するために使用されます。この制限によって、何重に

もネスト状態になったファイルによる攻撃からゲートウェイと宛先のクライアントを保護で

きます。

• Maximum compression ratio：ターゲット・コンピュータ上で解凍するとサイズが非常に大

きくなる小さなサイズのアーカイブを使った攻撃を防ぎます。

• When archive file exceeds limit or extraction fails：ファイル・サイズが制限値を超えた場合、

またはファイルの解凍に失敗した場合に、ファイルに対してスキャンまたは遮断を実施する

かどうかを決定します。

スキャンの失敗

以下のスキャン失敗オプションが使用できます。

• When Anti Virus engine is overloaded or scan fails：ウイルス対策エンジンが高負荷の場合、

または検査が失敗した場合に、ファイルに対してスキャンまたは遮断を実施するかどうかを

決定します。

• When Anti Virus engine fails to initialize：ウイルス対策エンジンが初期化に失敗した場合に、

ファイルに対してスキャンまたは遮断を実施するかどうかを決定します。

ウイルス対策

236

VPN-1 UTM Edge のウイルス対策

VPN-1 UTM Edgeに対してウイルス対策を有効にできるようになりました。［Anti Virus Protection enabled］オプションを選択すると、ウイルス対策がインストールされ、指定された

ゲートウェイにアップデートが送信されます。

VPN-1 UTM Edgeがスキャンするアーカイブ・ファイルの大サイズを定義し、これらの制限値を

超えた場合やスキャンに失敗した場合の手順を設定できます。

VPN-1 UTM Edgeにウイルス・シグネチャを自動または手動でアップデートでき、VPN-1 UTMEdgeのトラフィックをスキャンする方法を設定するツールが利用できます。

VPN-1 UTM Edgeのウイルス対策スキャン・ポリシーを使用して、スキャンされる発信元、宛先お

よびサービスを選択できます。スキャン対象として設定されるファイルは、スキャンする接続の発

信元と宛先を定義するクラシック・ルール・ベースによって決定されます。スキャンするトラフィッ

クだけを指定する場合は、この方法を使用することをお勧めします。たとえば、外部ネットワーク

からDMZにトラフィックが到着する場合に、アンチウイルス・サーバへのトラフィックのみをス

キャンするように指定できます。

ウイルス対策を有効にして設定するには、以下の手順に従います。

1. VPN-1 UTM Edge/Embeddedゲートウェイの［General Properties］ページで［Anti Virus］オプションを選択します。

2. ［Content Inspection］タブの［VPN-1 UTM Edge］セクションで、ウイルス対策がVPN-1 UTM Edgeゲートウェイで動作するように設定します。［Content Inspection］ページの一部

のウイルス対策設定は、VPN-1 UTM Edgeコンピュータでは機能しません。［Content Inspection］ページの［VPN-1 UTM Edge］セクションの設定のみがVPN-1 UTM Edgeコン

ピュータで機能します。

注：シグネチャのアップデートが機能するためには、管理サーバとゲートウェイで有効な

DNS サーバ・アドレスを設定する必要があります。

Web フィルタリング




Web フィルタリングについて

インターネットへのアクセスは組織をさまざまなセキュリティの脅威にさらし、仕事とは無関係

のネット・サーフィンやファイルのダウンロードによって、従業員の生産性を妨げる可能性があ

ります。

従業員の過度のWebサーフィンに関連して発生する問題のために、組織は従業員のインターネッ

ト・アクセスを制御し、法的責任を削減し、組織のセキュリティを改善するためにWebフィルタリ

ングを行うようになっています。 Webフィルタリングでは、組織のニーズと、URLおよびURLの

パターンで構成された事前定義カテゴリに基づいてフィルタリング・ルールが適用されます。

Webフィルタリングには、Webトラフィック・データをキャプチャして表示するレポートおよび

監視ツールが含まれていて、Webサーフィンが組織のセキュリティに及ぼす影響について鋭い洞察

力を組織に提供し、Webサーフィンの制限決定を支援します。

Webフィルタは、受信するWebページをスクリーニングして、Webコンテンツを表示するかどう

かを決定する機能です。 Webフィルタは、WebページのURLを承認されたサイトのリストと照合

して、好ましくない内容（たとえば、ポルノ、不正なソフトウェア、スパイウェア）を含むサイト

またはサイト内のページへのアクセスを遮断します。

Webフィルタリングについて 237 ページ

用語 238 ページ

アーキテクチャ 238 ページ

Webフィルタリングの設定 239 ページ


238

用語

Webフィルタリング・アプリケーションでは以下の用語が使用されます。

• Allow List：許可されたURLアドレスのリスト。たとえば、Allow List内のURLは、遮断され

るカテゴリに関連していても許可されます。

• Block List：遮断されるURLアドレスのリスト。たとえば、Block List内のURLは、遮断され

ないカテゴリに関連していても遮断されます。

• Blocking Notifications： URLアドレスが遮断されたときに表示されるメッセージと、遮断さ

れたURLがリダイレクトされるURLが含まれています。

• Category：同じ属性（たとえば、犯罪、教育、ゲーム）を共有するトピックのグループが含

まれています。

• Network Exceptions： Webフィルタリングを適用しない接続のリストが含まれています。

• Web Filter：ネットワーク接続や外部カテゴリ別データベース、およびローカル例外リストに

基づいてURLを許可または遮断できます。

アーキテクチャ

URLリクエストがローカル・ゲートウェイに到着すると、ゲートウェイはNetwork Exceptionsリス

トをチェックして、Webフィルタリング・ポリシーを適用するかどうかを決定します。接続がセ

キュリティ・ポリシーで許可されると、Webフィルタリング・ポリシーが有効になります。 Webフィルタリング・ポリシーが適用されると、URLヘッダが取り除かれ、アドレスはWebフィルタ・

エンジンに送信されます。

URLは、事前定義データベースのカテゴリまたはWebフィルタの許可 /遮断リストに基づいて許可

または遮断されます。たとえば、URLアドレスが複数のカテゴリに一致し、そのうちのいずれかが

遮断される場合、URLアドレスは拒否されます。しかし、同じアドレスが許可リストに表示されて

いる場合は、許可されます。

Webフィルタ・エンジンはVPN-1にインストールされ、カテゴリを更新するには、

［SmartDashboard］>［Content Inspection］>［Database Updates］>［Web Filtering］>［Web Filtering Policy］を選択します。



Web フィルタリングの設定

Webフィルタリングを設定するには、以下の手順に従います。

1. チェック・ポイント・ゲートウェイ・オブジェクトの［General Properties］ページで、

［Check Point Products］リストの［Web Filtering］を選択して、該当するゲートウェイの

Webフィルタリングを有効にします。

2. ［SmartDashboard］の［Content Inspection］タブで、［Web Filtering］>［Web Filtering Policy］を選択します。

3. ［Web Filtering］ページで以下の項目を設定します。

a. 以下の［Web Filtering Policy Modes］のいずれかを選択します。

• On： Webフィルタリングは有効となり、遮断されるカテゴリに関連するURLは遮

断されます。

• Monitor：遮断されるカテゴリに関連するURLはログに記録されますが、遮断され

ません。

• Off： Webフィルタリングはオフとなり、URLアドレスは検査されません。

b. ［Enforcing Gateways］ウィンドウで、Webフィルタリングを有効にするゲートウェイを

選択します。このウィンドウには、Webフィルタリングを適用でき、かつ適用されてい

るすべてのゲートウェイが含まれています。特定のゲートウェイの［General Properties］ページの［Check Point Products］リストから［Web Filtering］を選択して、Webフィルタリングを有効にすることもできます。

c. ［Category Selection］リストで、遮断するURLカテゴリを選択します。

• 緑のアイコンは、このカテゴリに関連するURLが許可されることを示します。

• 赤のアイコンは、このカテゴリに関連するURLが遮断されることを示します。

d. ［Track Configuration］で、検出されたURLアドレスをトラッキングする方法を選択し

ます。［None］以外のすべてのオプションでは、SmartView Trackerでログ・レコード

が生成されます。

4. ［Advanced］>［Allow List］を選択して、遮断されるカテゴリに関連していても許可する

URLまたは IPアドレスを追加します。

5. ［Advanced］>［Block List］を選択して、許可されたカテゴリに関連していても遮断する

URLまたは IPアドレスを追加します。


240

6. ［Advanced］セクションで［Network Exceptions］を選択して、トラフィックを検査しない

ネットワーク接続のリストを作成するか、すべてのWebトラフィックにWebフィルタリング

を適用します。［Network Exceptions］は、発信元および宛先のルール・ベースに従って機

能し、Webフィルタリング・エンジンは使用しません。

7. URLリクエストが遮断されたときにユーザに通知するために、［Advanced］］セクションで

以下の［Blocking Notifications］のいずれかを選択します。

• Webフィルタリング・ポリシーに従ってURLアドレスが遮断されたときに表示される

メッセージを入力します。

• ユーザをリダイレクトするURLアドレスを入力します。

241

第章9VoIP（Voice Over IP）のセキュリティ

この章の構成

Voice Over IPのセキュリティの必要性 242 ページ

VoIPのセキュリティを保護するチェック・ポイント・

ソリューションについて

243 ページ

シグナリングとメディア・プロトコルの制御 244 ページ

VoIPのハンドオーバー 245 ページ

VoIP Application Intelligence 247 ページ

VoIPログ記録 251 ページ

SIPベースのVoIPのセキュリティ 253 ページ

SIPのトラブルシューティング 272 ページ

H.323ベースのVoIPのセキュリティ 273 ページ

MGCPベースのVoIPのセキュリティ 297 ページ

SCCPベースのVoIPのセキュリティ 305 ページ

Voice Over IP のセキュリティの必要性

242

Voice Over IP のセキュリティの必要性多くの組織はVoIP（Voice over IP）接続を使用して、遠隔地と通信し、データ、音声、およびビデ

オを送受信しています。 VoIP接続はビデオ会議やその他の活動にも使用され、組織の効率性向上と

大幅なコスト削減を実現しています。

音声およびビデオ・トラフィックも、企業の IPネットワーク上の他の情報と同様に、ネットワーク

で送受信される際に保護する必要があります。音声とビデオ・トラフィックに対する潜在的な脅威を

以下に示します。

• コール・スチール：発信者が、別のユーザの名前でコールを登録することによって身元を偽

ります。

• コール・ハイジャック：ある受信者に送信されたコールが第三者に転送されます。

• システム・ハッキング：ハッカーがVoIP接続用に開かれているポートを悪用します。

• サービス妨害攻撃：悪質な電話端末がネットワークに大量のコールを送信することによって、

正常な電話ネットワークの使用を不可能にします。

VoIP のセキュリティを保護するチェック・ポイント・ソリューションについて

第 9 章 VoIP（Voice Over IP）のセキュリティ 243

VoIP のセキュリティを保護するチェック・ポイント・ソリューションについて

VPN-1は、H.323、SIP、MGCP、およびSCCP環境でVoIPトラフィックのセキュリティを保護します。

VoIPコールでは多くの種類の複雑なプロトコルが使用されており、各プロトコルが多くのポートを

介して、潜在的に危険な情報を運搬する可能性があります。図 9-1に、VPN-1でサポートされてい

るVoIPプロトコルを示します。

図 9-1 セキュリティが保護される VoIP プロトコル： SIP、H.323、MGCP および SCCP

VPN-1は、発信者と受信者のアドレスが実際に正しいものであり、発信者と受信者がVoIPコールを

送受信できることを確認します。また、VPN-1は許可されているポートを通過するパケットの内容を

検査し、正しい情報が含まれていることを確認します。完全なステートフル・インスペクションを

H.323、SIP、MGCPおよびSCCPコマンドで実施することで、すべてのVoIPパケットの構造が正

しく、正しい順序で到着することを保証します。

シグナリングとメディア・プロトコルの制御

244

シグナリングとメディア・プロトコルの制御通常のデジタル電話ネットワークとVoIPネットワークでのコールは、メディアと制御信号で構成

されています。音声会話自体はメディア・ストリームです。たとえば、ダイアル・トーンと呼び出

し音はコール制御手順が実施されていることを示します。

各種VoIPプロトコルの目的は同じですが、それぞれ全く異なる技術が使用されています。243ペー

ジの図 9-1に示すように、VoIPプロトコルでは以下のコール制御（Call Control）またはゲートウェ

イ制御（Gateway Control）、およびメディア（Media）機能が処理されます。

• コール制御（シグナリング）：コールの設定、ピアの検出、符号化プロトコルのネゴシエー

ション、接続の確立、およびコールの終了を行います。

• ゲートウェイ制御：ゲートウェイ制御はコール制御と同様、エンドポイントの電話端末間で

はなくゲートウェイ間の通信を行います。これらのゲートウェイは電話端末に代わって仲介

の役割を果たします。

• メディア：実際の音声です。 VoIPと通常の電話ネットワークでは、メディアにRTP/RTCPが使

用されます。 RTPは実際のメディアを搬送し、RTCPはステータスと制御情報を搬送します。

制御信号は固定された（既知の）ポートと動的なポートの両方を開きます。次にコールの使用者は

制御信号を使用して、両側がRTP/RTCPメディア・ストリームを受信するために開く動的に割り当

てられたポートのネゴシエーションを行います。

VoIP のハンドオーバー


VoIP のハンドオーバーVoIPエンドポイント間通信のも簡単な方法は、エンドポイント間でシグナリングとメディアの両

方を送信することです。しかし多くのVoIPネットワークでは、エンドポイントは対向のエンドポイ

ントの場所を知りません。この場合、コールはハンドオーバー・デバイスによって管理され、これ

によってVoIPコールをピアに送信できます。

ハンドオーバー・デバイスを使用する場合は、シグナリングはメディアとは異なるルートでネット

ワーク上を送信されます。ハンドオーバーは以下のように実施されます。

• SIP：プロキシまたはレジストラ、あるいはその両方を使用します。

• H.323：ゲートキーパーまたはゲートウェイ、あるいはその両方を使用します。

• MGCP：コール・エージェント（メディア・ゲートウェイ・コントローラとも呼ばれます）を

使用します。

• SCCP： CallManagerを使用します。

通常の電話ネットワークおよびH.323では、VPN-1は電話番号または IPアドレスを利用してユーザを

識別します。その他のVoIPネットワークでは、VPN-1は、電子メール・アドレスやURLなどの他

の情報を利用してユーザを識別します。電話端末は、各ユーザ識別情報を IPアドレスにマッピング

する役割を果たすエンティティに自身を登録することによって、ネットワーク上で自身の存在を知

らせます。その後エンドポイントは電話をかけることができます。

VoIPで電話をかける場合は電話をかけるエンドポイントは初に制御信号を使用してハンドオー

バー・デバイスと連絡をとります。このデバイスは次に、直接または他のハンドオーバー・デバイ

スを介して宛先のエンドポイントと連絡をとります。コールがセットアップされたあとは、

RTP/RTCPメディアは常にエンドポイント間で受け渡しされます。

図 9-2に、VoIP電話端末Aがハンドオーバーを使用してVoIP電話端末Bとの通話を開始する様子を

示します。ハンドオーバー・デバイスは、エンドポイントAとエンドポイントBを含むVoIP電話

端末（エンドポイント）を管理しています。

図 9-2 VoIP ハンドオーバー

VoIP のハンドオーバー

246

一般的なVoIPハンドオーバーのワークフローを以下に示します。

1. エンドポイントAは制御信号をハンドオーバー・デバイスに送信します。

2. ハンドオーバー・デバイスと各エンドポイントは、プロトコルとトポロジに応じて、通信に

使用するポートに関して合意します。

3. ハンドオーバー・デバイスは、制御信号をエンドポイントBに送ります。

4. ハンドオーバー・デバイスはAにBの IPアドレスと宛先ポートを提供します。

5. AはメディアをBに、エンドポイント間で直接送信します。

ハンドオーバーを実施する場合

VoIPドメインを使用してハンドオーバーを実施すると、VoIPシグナリング・プロトコルに対する

アクセス制御が提供されるのでセキュリティが向上しますが、VoIPドメインを定義できない場合が

あります。ハンドオーバー・デバイスが外部キャリアによって保守されているために、どのマシン

がハンドオーバー・デバイスによって制御されているかわからない場合などです。ハンドオーバー・

デバイスが委託されている場合も同様です。これらの場合は、ハンドオーバーを実施することが不

可能または不必要であるため、VoIPドメインを定義する必要はありません。

VoIP Application Intelligence


VoIP Application Intelligenceこのセクションの構成

VoIP Application Intelligence について

VPN-1は、VoIPトラフィックに対する一般的な脅威を排除することでVoIPネットワークのセキュ

リティを保護します。これらの脅威には、コール・ハイジャック、コール・スチール、ネットワーク・

ハイジャック、およびDoS攻撃（サービス妨害攻撃）があります（これらの脅威の詳細については、

242ページの「Voice Over IPのセキュリティの必要性」を参照してください）。

VPN-1は、ゲートウェイを通過するVoIP制御信号を検査することによってVoIPのセキュリティを

保護します。 VPN-1は、制御信号から得た情報を使用して以下を実施します。

• 「VoIPドメインを使用したハンドオーバー・ロケーションの制限」

• 「シグナリングとメディア接続の制御」

• 「サービス妨害攻撃の阻止」

• 「プロトコル固有のApplication Intelligence」

VoIP Application Intelligenceについて 247 ページ

VoIPドメインを使用したハンドオーバー・ロケーションの制限 248 ページ

シグナリングとメディア接続の制御 249 ページ

プロトコル固有のApplication Intelligence 250 ページ


248

VoIP ドメインを使用したハンドオーバー・ロケーションの制限

ハンドオーバー・デバイスはコール制御信号のルート変更を行います。 VPN-1は、VoIPドメインを

定義して転送機能が悪用されるのを防ぎます。ハンドオーバー・デバイスは、自身のVoIPドメイ

ン内のエンドポイントにのみコールを送ることができます。また、VoIPドメイン許可されるコール

の方向を制御します。

たとえば図 9-3では、AとBがハンドオーバー・デバイスCのVoIPドメイン内にある場合に、VPN-1はAがメディア・ストリームをBにのみ送信することを保証します。これは、（手順3でハンドオー

バー・デバイスCがAに提供した）BのアドレスがVoIPドメイン内にあることを確認することに

よって実現されます。このプロセスにより、迷惑な発信者がファイアウォールを通過することを防

ぎます。

図 9-3 VPN-1 による VoIP のセキュリティ保護



シグナリングとメディア接続の制御

制御信号は常にVPN-1ゲートウェイを通過します。シグナリング時にネゴシエーションを行ったエ

ンドポイントのみにRTP/RTCPポートを開くことによって、VPN-1はコールのセキュリティを保護

します。また、これらのポートは必要な期間だけ開放され、コールが終了すると、タイムアウトす

る前でもすぐに閉じられます。パケットの順序と方向もセキュリティで保護されます。

VoIP 請求の問題

VoIP請求に含まれる潜在的なセキュリティの脅威に対応するため、VPN-1はRTP/RTCPデータ接

続を制御します。制御接続とメディア接続が異なるルートを通ると、セキュリティが侵害されます。

ハンドオーバー・デバイスが請求を処理しますが、RTP（音声メディア）はハンドオーバー・デバ

イスを経由しません。 RTPはハンドオーバー・デバイスを経由せずに IP電話端末間で送られるた

め、IP電話端末はコールが終了したことを示すVoIP制御メッセージを送信したあとも、メディア

（RTP接続）を送受信し続けることができるので、セキュリティの脅威となります。

VPN-1は、制御接続とメディア接続間の関係を監視することによって、請求処理をセキュリティで

保護します。VPN-1はVoIPサービスを検証し、制御接続内のメッセージがメディア接続を終了す

る必要があることを示している場合はメディア接続を削除します。

VPN-1ゲートウェイの同じ側に両方のエンドポイントが存在する場合は、VPN-1はメディア用の

ポートを開きません。

サービス妨害攻撃の阻止

悪質な IP電話端末は、ネットワークに大量のコールを送信して、電話ネットワークを正しい目的で

使用できなくすることによってサービス妨害（DoS）攻撃を行います。

SmartDefenseは、VPN-1ゲートウェイが個別の IPアドレスに対して1分間に許可するコール数を

制限することによって、VoIPネットワークへのDoS攻撃を防ぎます。ハンドオーバー・デバイス

は多数のコールを送信するので、ハンドオーバー・デバイスからのコールはカウントされません。


250

プロトコル固有の Application IntelligenceVPN-1は複雑なVoIPプロトコルを理解して、SIP、H.323、MGCP、およびSCCPパケットに対して

アプリケーション層でのフィルタ処理を行います。詳細については、以下のセクションを参照して

ください。

• 258ページの「SIPのApplication Intelligence」

• 277ページの「H.323のApplication Intelligence」

• 299ページの「MGCPネットワーク・セキュリティとApplication Intelligence」

• 306ページの「SCCPネットワーク・セキュリティとApplication Intelligence」

VoIP ログ記録


VoIP ログ記録VPN-1は、プロトコル固有の詳細なVoIPトラフィックのログを提供します。 VoIPログ記録が無効

になっている場合は、発信元、宛先、プロトコル情報を示す標準ログのみが記録されます。SIP、H.323、MGCP、およびSCCPイベントのログがSmartView Trackerに記録されます。また、事前

定義されたSmartView TrackerのVoIPログ・クエリも用意されています。

VoIPログ記録を有効にするには、以下の手順に従います。

• ［Global Properties］の［Log and Alert］ページで［Log VoIP connection］オプションを

選択します。以下のVoIPログ・フィールドが表示されます。

• Reg.IP-phones：コール登録イベントです。SIPとMGCPイベントでは、このフィール

ドにはURL（[email protected]など）が表示されます。H.323イベントでは、

このフィールドには電話番号（123456#7など）が表示されます。

• ［Source IP Phone］と［Destination IP Phone］：コール・セットアップ・イベント

です。

• Media Type：発信元と宛先の IP電話端末間を流れるメディアの種類 (オーディオ、

ビデオ、インスタント・メッセンジャ、アプリケーションなど )です。

• Information：コール情報とセキュリティ情報（たとえば、使用するポート、使用するコ

マンドと不正な送信方向、セットアップ・メッセージなど）です。MGCPイベントでは

コマンドが表示されます。

プロトコル固有のセキュリティ

252

プロトコル固有のセキュリティ以下のセクションでは、VPN-1でサポートされているVoIPプロトコル固有のセキュリティ要件に

ついて説明します。


SIPベースのVoIPのセキュリティ 253 ページ

H.323ベースのVoIPのセキュリティ 273 ページ

MGCPベースのVoIPのセキュリティ 297 ページ

SCCPベースのVoIPのセキュリティ 305 ページ

SIP ベースの VoIP のセキュリティ



セキュリティ・ルール・ベースにおけるSIPの構成要素 254 ページ

サポートされるSIPのRFCと標準 255 ページ

セキュリティで保護されたSIPトポロジとNATのサポート 256 ページ

SIPのApplication Intelligence 258 ページ

SIPに対するSmartDefense Application Intelligence 259 ページ

ユーザ情報の同期 261 ページ

SIPサービス 261 ページ

デフォルトでないポートでのSIPの使用 262 ページ

SIPに対するClusterXLとマルチキャストのサポート 262 ページ

SIPベースのインスタント・メッセンジャのセキュリティ 262 ページ

SIPベースのVoIPの設定 263 ページ

注：このセクションを読む前に、243 ページの「VoIP のセキュリティを保護するチェック・

ポイント・ソリューションについて」から 252 ページの「プロトコル固有のセキュリティ」

を読んでください。

このセクションでは、SIPプロトコルについて、VPN-1を使用してSIPトラフィックのセ

キュリティを保護することだけに限定して説明します。


254

セキュリティ・ルール・ベースにおける SIP の構成要素

SIPには、VPN-1でサポートされた以下の構成要素が含まれています。

• SIP端末（IP電話端末）：他のSIPエンティティとのリアルタイムの双方向通信をサポートし

ます。 IP電話端末はシグナリング（SIPコマンド）とメディアの両方をサポートします。 SIPでは IP電話端末だけを使用できます。 IP電話端末はSmartDashboardで IP電話端末のネット

ワークとして定義され、通常は、個々の IP電話端末のネットワーク・オブジェクトを定義す

る必要はありません。

• プロキシ：複数の IP電話端末を管理します。1つ以上のクライアントまたは次のホップの

サーバにコンタクトし、コール要求を送信します。

• リダイレクト・サーバ： SIP URLアドレスをゼロ個以上の新しいアドレスに変換し、VoIP接

続が開始される前にそれらをクライアントに返します。要求の開始もコールの受信も行いま

せん。

• レジストラ：REGISTER要求を受信するサーバです。通常、レジストラはプロキシやリダイ

レクト・サーバと同じ場所に配置されており、ロケーションに関するサービスを提供する場

合があります。

プロキシとレジストラはハンドオーバー・デバイスです。ハンドオーバー・デバイスは、VoIPドメ

インを管理するホスト・ノードとしてSmartDashboardで定義されます。ハンドオーバー・ロケー

ションを制限するには、VoIPドメインを定義することをお勧めします。通常、VoIPドメインは1つ

のネットワークまたはネットワークのグループです。各ハンドオーバー・デバイスが同一の IPアド

レスを保持している場合はVoIPドメインを1つだけ定義し、そうでない場合は各ハンドオーバー・

デバイスに対してVoIPドメインを定義する必要があります。

SIPでの通信を許可するには、SIP制御信号がVPN-1ゲートウェイを通過することを許可するルー

ルを作成するだけです。エンドポイントが開くポートや通信するエンドポイントを指定するメディ

ア・ルールを定義する必要はありません。VPN-1はこの情報をシグナリングから取得します。VPN-1は、特定のVoIPシグナリング・ルールが指定されると、エンドポイント間のRTP/RTCPメディア・

ストリーム用ポートを自動的に開きます。



サポートされる SIP の RFC と標準

以下のSIPのRFCと標準がVPN-1でサポートされています。

• RFC 3261 - 新のSIP RFC

• RFC 3372 - 電話端末用のセッション開始プロトコル（SIP-T）詳細については、271ページの

「SIP-Tサポートの設定」を参照してください。

• RFC 3311 - UPDATEメッセージ

• RFC 2976 - INFOメッセージ

• RFC 3515 - REFERメッセージ

• RFC 3265 - SIPイベント

• RFC 3262 - プロビジョナル応答の信頼性

• RFC 3428 - MESSAGEメッセージ

• MSN messenger over SIP

• SIP over TCP

• SIP over UDP

• SIP Early Media

SIPは標準、動的、および非標準のポートを使用して設定することができます。


256

セキュリティで保護された SIP トポロジと NAT のサポート

表 9-1にVPN-1がサポートするSIP構成の一覧を表示します。内部ネットワーク内の電話端末および

プロキシに対してNAT（HideまたはStatic）を設定できます。

プロキシは任意のSIPハンドオーバー・デバイス（プロキシまたはレジストラ、あるいはその両方）

です。P2P接続トポロジでは、シグナリングとメディアの両方がエンドポイント間で通信されます。

1つ以上のハンドオーバー・デバイスがある場合は、シグナリングは1つ以上のプロキシまたはレ

ジストラを通過します。コールが設定されると、メディアがピア間で通信されます。

SmartDashboardの設定はトポロジによって異なります (詳細については、263ページの「SIPベー

スのVoIPの設定」を参照してください）。

図 9-4 SIP P2P トポロジ

表 9-1 サポートされる SIP トポロジ

NAT なし電話端末の NATHide/Static NAT

プロキシの NATStatic NAT

P2P（図 9-4）

はいはい該当なし

外部のプロキシ

（図 9-5）はいはい該当なし



図 9-5 内部電話端末に NAT を使用したインターネット上の SIP プロキシ

SIP ネットワークで NAT を使用するための追加条件

SIPは、以下の条件に従ってNAT（ネットワーク・アドレス変換）と共に使用できます。

• Hide NATをすべての種類のコール（着信、発信、内部および外部）に対して使用できます。

ただし、着信コールに対しては手動Hide NATルールは使用できません。セキュリティ上の理

由から、着信コールでHide NATを使用する場合は、セキュリティ・ルール・ベース内の該当

ルールのVoIPコール宛先をAny（任意）にすることはできません。

• エンドポイントの両方がVPN-1ゲートウェイの信頼される側にある場合、2つのエンドポイ

ントの一方がNAT（StaticまたはHide）を使用しており他方がNATを使用していない場合は、

2つのエンドポイントに対して同じ発信元からコールを行うことはできません。

• VoIPコールの双方向NATはサポートされていません。


258

SIP の Application Intelligence VPN-1はハンドオーバー・ロケーションを制限してシグナリングとデータ接続を制御します（詳細

については、247ページの「VoIP Application Intelligence」を参照してください )。SIPでは、VPN-1Application IntelligenceはパケットがRFC 3261のSIP over UDPとSIP over TCPに準拠している

ことを保証し、SIPベースのインスタント・メッセンジャー・プロトコルを検査します。これによ

りサービス妨害（DoS）攻撃を防ぎ、接続ハイジャックや接続操作など侵入の試みを防ぎます。

VPN-1は、SIPプロトコルが適切に使用されていることを確認します。たとえば、コール開始直後

にコール終了メッセージが送信されている場合は、このコールは拒否されます。この動作はDoS攻

撃の特徴だからです。

以下のアプリケーション層の検証が行われます。

• パケット内でのバイナリおよび不正文字の確認

• RFCヘッダ・フィールドの実施

• ヘッダ・フィールドの長さ制限

• 不明なメディア・タイプの削除



SIP に対する SmartDefense Application IntelligenceSIP接続に対する追加のセキュリティ検証は、SmartDefenseで設定できます。事前に定義された

SIP検査が用意されています。セキュリティの必要性に応じて、いずれのコマンドも許可または禁

止できます。

追加のSIP接続セキュリティ機能にアクセスするには、以下の手順に従います。

1. SmartDefenseで、［Application Intelligence］>［VoIP］>［SIP］を選択します。以下のオ

プションを利用できます。

• Verify SIP header content：禁止文字がヘッダに使用されなくなります。禁止文字が検

出された場合はメッセージが遮断されます。

• Block calls from unregistered users：未登録のユーザが電話をかけられないようにし

ます。

• Block Notify with invalid Subscription state：有効なサブスクリプション・ステート・

ヘッダのないNotifyメッセージを遮断します。

• Block Basic authorization：基本認証ヘッダを含むSIPメッセージを遮断します。

• Block the destination from re-inviting calls：コールがアクティブの間に、宛先が初

のデータ接続と異なる IPアドレスを使って追加のデータ接続を開くことを防止します。

• Maximum invitations per call (from both directions)：電話会議に参加できる大参加

者数を定義します。

• Maximum allowed retransmissions：許可する転送の大数を定義します。

2. ［SIP Custom Properties］を選択します。以下のオプションを利用できます。

• Block SIP early media： Early Mediaメカニズムを使用するSIPコールを遮断します。

• Block SIP proxy failover：コール中にSIPプロキシを切り替えるSIPコールを遮断し

ます。

• Block SIP calls that use two different voice connections (RTP) for incoming audio and outgoing audio： 2つの異なるRTP接続を使用して音声やビデオ情報を2つのピア

間で転送する、SIP実装に適用されます。このスキームを使用しない実装では、このオプ

ションを選択してファイアウォールがこれらの接続のいずれかのみを許可するようにし

ます。

• Block calls using a proxy or a redirect server： SIPサーバを使用したコールが行われ

なくなります。このオプションを選択すると、エンドポイント間のコールのみが許可され

ます。セキュリティ・ルール・ベースのVoIPドメインを設定することによって得られる

追加のセキュリティは、プロキシまたはリダイレクト・サーバを使用するコールに対し

てのみ有効です。


260

• SIP user suffix length：ユーザのサフィックス長（たとえば内線番号）を定義します。

• Default proxy registration expiration time period：タイムアウトが登録関連のメッ

セージに指定されていない場合に、ファイアウォールがクライアントからの登録情報を

データベースに保持する期間を定義します（詳細については、261ページの「ユーザ情報

の同期」を参照してください）。この期間は、クライアントまたはプロキシの登録期間の

どちらか長い方以上にする必要があります。クライアントがユーザ登録メッセージを送

信しない場合は、登録情報は定義された時間が経過すると削除されます。

3. ［SIP Filtering］を選択します。以下のオプションを利用できます。

• Block SIP-based video： SIPを使用してビデオを搬送するすべてのアプリケーションを

遮断します。MSNメッセンジャーがSIPを使用するように設定されている場合は、MSNメッセンジャーのビデオ・コンポーネントがこれに含まれます。デフォルト設定では遮断

されません。

• Block SIP-based audio: SIPを使用してオーディオを搬送するすべてのアプリケーショ

ンを遮断します。MSNメッセンジャーがSIPを使用するように設定されている場合は、

MSNメッセンジャーのオーディオ・コンポーネントがこれに含まれます。デフォルト設

定では遮断されません。

• Block SIP-based Instant Messaging：インスタント・メッセンジャにSIPを使用するす

べてのアプリケーションを遮断します。デフォルトで遮断するように設定されています。

• MSNメッセンジャーによって提供されるアプリケーションを選択して遮断するには、

［Instant Messengers］>［MSN over SIP］を選択します。

• インスタント・メッセンジャを許可するP2Pアプリケーションを遮断するには、

［Application Intelligence］>［Peer to Peer］を選択します。

• Block Push to talk over cellular： Nokia独自のプッシュ・ツー・トーク・メッセージを

遮断します。

• Drop unknown SIP messages：ファイアウォールで認識されないSIPメッセージを破

棄します。このオプションはデフォルトで有効になっています。このオプションを無効

にすると、メッセージがSIP RFCに準拠している（適切な形式で必須のCALL-ID、

FROMおよびTOフィールドを含む）場合のみ、ファイアウォールは認識されないメッ

セージを受け付けます。



ユーザ情報の同期

ユーザの IP電話端末は、SIPメッセージをリダイレクト・サーバに送信して、自身をネットワーク

上に登録します。電話端末が登録されると電話をかけることができるようになります。

これらのSIPメッセージはVPN-1ゲートウェイを通過する際に読み取られます。このため、VPN-1とリダイレクト・サーバのVoIPユーザ・データベースは常に同期化されています。

登録を行うことで、VPN-1ゲートウェイの外から、Hide NATを使用してアドレス変換されている

電話端末にコールを開始できるようになります。

VPN-1のコンピュータが再起動すると、VoIPユーザ・データベースが削除されます。 cpstop/cpstartコマンドを使用すると、ユーザ・データベースは削除されません。

SIP サービス

以下の事前定義されたサービスが使用できます。

• sipとsip-tcp：ハンドオーバーを実施するために使用されます。sipサービスと共に、ルール

の発信元または宛先のVoIPドメインを使用してください。

• sip_anyとsip-tcp_any：ハンドオーバーを実施しない場合に使用されます。ルールの発信元

や宛先にVoIPドメインを配置しないでください。その代わりに、Anyまたはネットワーク・

オブジェクトをsip_anyまたはsip-tcp_anyサービスと共に使用します。VoIPドメインが

sip_anyまたはsip-tcp_anyサービスと共に使用される場合は、sipサービスと同様になります。

SIP TCPを使用するVoIP装置では、sip-tcpおよびsip-tcp_anyサービスを使用します。UDPを使用

する場合は、sipおよびsip_anyサービスを使用します。

これらのサービスが使用される場合は登録メッセージが追跡され、IP電話端末とユーザの詳細情報

を含むデータベースは維持されます。着信コールがHide NAT処理されたアドレス宛てに発信され

た場合は、VPN-1はユーザが sip登録データベースに存在することを確認してからコールを許可し

ます。これによってDoS攻撃を防ぐことができます。

オンライン IP電話端末の一覧を表示するには、以下の手順を実行します。

• fw tab -t sip_registration -fコマンドを実行します。

注： sip サービスと sip_any サービスは互いに相反しているので、同じルール内では使用で

きません。 sip-tcp と sip-tcp_any でも同様です。


262

デフォルトでないポートでの SIP の使用

デフォルトでは、SIPはUDPポートの5060を使用しますが、SIP電話端末とSIPプロキシを設定し

て異なるポートを使用できます。VPN-1では、SIPのセキュリティをどのSIPポートでも実現でき

ます。新しいポートを設定するには、新しいUDPサービスをSmartDashboardで定義し、セキュリ

ティ・ルール・ベースにSIPルールを定義する必要があります。新しく定義したサービスと事前に

定義のサービス（sipとsip_any）の両方を同じルール内で使用することもできます。

新しいSIPサービスを設定するには、以下の手順に従います。

1. SmartDashboardのメイン・メニューで、［Manage］>［Services］>［New...］>［UDP］を

選択します。

2. ［UDP Service Properties］ウィンドウで、新しいサービスに名前を付けて、新しいSIPポー

トを指定します。

3. ［Advanced...］をクリックします。

4. ［Advanced UDP Service Properties］ウィンドウで、［Protocol Type］に［sip_udp］を選

択し、［OK］をクリックします。

5. 新しいサービスを使用するセキュリティ・ルール・ベースにルールを定義します。

SIP に対する ClusterXL とマルチキャストのサポート

SIPコールは、高可用性モードまたは負荷共有モードのどちらのClusterXL ゲートウェイ・クラス

タを介しても発信できます。負荷共有モードでは、対称判定機能を有効にする必要があります (詳細

については、『ClusterXL』を参照してください）。

fw_sip_allow_mcast（true、false）プロパティを設定すると、マルチキャストのRTPトラフィックを

許可または破棄できます。このプロパティのデフォルト値はfalseです。このプロパティはモジュー

ルごとに設定する必要があります。この値を変更するには、fw ctl set int fw_sip_allow_mcastコマンドを実行します。

SIP ベースのインスタント・メッセンジャのセキュリティ

SIPベースのインスタント・メッセンジャおよびMSN Messenger over SIPのセキュリティの詳細

については、313ページの「インスタント・メッセンジャのセキュリティ」を参照してください。



SIP ベースの VoIP の設定


P2Pでプロキシなしのトポロジ用のSIPルール 264 ページ

外部ネットワークのプロキシ用のSIPルール 265 ページ

プロキシ・ツー・プロキシ・トポロジ用のSIPルール 267 ページ

DMZトポロジのプロキシ用のSIPルール 269 ページ

SIPベースのインスタント・メッセンジャの設定 271 ページ

SIP-Tサポートの設定 271 ページ

注：双方向のコール、または着信コールと発信コールの一方だけを許可するセキュリティ・

ルールを定義できます。後続の各セクションの例では、双方向のコールを許可するルールを

定義する方法について説明します。


264

P2P でプロキシなしのトポロジ用の SIP ルール

図 9-6にP2Pトポロジ用のSIPルールを示します。

図 9-6 SIP P2P トポロジ

P2Pトポロジ用のSIPルールを設定するには、以下の手順に従います。

1. Net_Aの IP電話端末がNet_Bを呼び出し、その逆も行えるルールを定義します（表 9-2）。

2. Net_Aのネットワーク・オブジェクトを編集して、内部ネットワークの電話端末に対して

Hide NAT（またはStatic NAT）を定義します。

3. ［NAT］タブで、［Add Automatic Address Translation Rules］を選択して［Translation method］（HideまたはStatic）を選択します。

4. ［Application Intelligence］>［VoIP］>［SIP］を選択してSmartDefenseオプションを設定

します（詳細については、259ページの「SIPに対するSmartDefense Application Intelligence」またはオンライン・ヘルプを参照してください）。


表 9-2

SOURCE DESTINATION SERVICE ACTION COMMENT

Net_ANet_B

Net_BNet_A

sipまたはsip-tcp

Accept 双方向コール



外部ネットワークのプロキシ用の SIP ルール

図 9-7に、外部ネットワークのプロキシを使うSIPトポロジを示します。

図 9-7 外部ネットワークでの SIP プロキシ

内部ネットワークと外部ネットワーク（Net_AとNet_B）内のSIP電話端末間で双方向コールを実

現し、内部電話端末に対してNATを定義するには、以下の手順に従います。

1. ハンドオーバー・デバイス（SIPプロキシまたはレジストラ）によって管理され、電話をかけ

ることが許可されていて、コールがVPN-1ゲートウェイによって追跡される IP電話端末に対

して、ネットワーク・オブジェクト（ノードまたはネットワーク）を定義します。図 9-7で

は、ネットワーク・オブジェクトはNet_AとNet_Bです。

2. ハンドオーバー・デバイスに対してネットワーク・オブジェクトを定義します（SIP_Proxy）。

3. ネットワーク・オブジェクト・ツリーを右クリックし、［New...］>［VoIP Domains］>［VoIP Domain SIP Proxy］を選択してVoIPドメイン・オブジェクトを定義します。表 9-3に

VoIPドメイン定義の一覧を示します。プロキシとレジストラ（SIP_Proxy）が単一の IPアド

レスを持つ1台のコンピュータ上にある場合は、VoIPドメインを1つだけ定義します。プロ

キシとレジストラが異なる IPアドレスを持っている場合は、各 IPアドレスに対してVoIPド

メインを定義します。


266

VoIPドメインの定義は、電話端末のハンドオーバー・ロケーションを外部ネットワークで実施

するかどうかによって変わります。内部ネットワークの電話端末では、ハンドオーバーは常に

実施する必要があります。

4. 以下のいずれかのSIPルールを定義します。

• ハンドオーバーを完全に実施する場合は、以下のルールを定義します（表 9-4）。

• 外部電話端末（Net_B内）に対してハンドオーバーを実施しない場合は、以下のルール

を定義します（表 9-5）。

SIPサービスの詳細については、261ページの「SIPサービス」を参照してください。

5. Net_Aのネットワーク・オブジェクトを編集して、内部ネットワークの電話端末に対して

Hide NAT（またはStatic NAT）を定義します。［NAT］タブで、［Add Automatic Address Translation Rules］を選択して［Translation method］（HideまたはStatic）を選択します。




表 9-3

VoIP ドメインの定義ハンドオーバーあり外部の電話端末に対してハンドオーバーなし

Name VoIP_Domain VoIP_Domain_A

Related endpoints domain Net_AとNet_Bを

含むグループ

Net_A

VoIP Gateway installed at SIP_Proxy SIP_Proxy

表 9-4


VoIP_Domain Net_A

Net_A VoIP_Domain

sipまたはsip-tcp

Accept 双方向のコールハンドオーバーを実施

表 9-5


Net_A Any sip_anyまたはsip-tcp_any

Accept 発信コールハンドオーバーを実施

しない

Any VoIP_Domain_A sipまたはsip-tcp

Accept 着信コールハンドオーバーを実施



プロキシ・ツー・プロキシ・トポロジ用の SIP ルール

図 9-8に、Net_AとNet_BがVPN-1ゲートウェイの反対側にあるプロキシ・ツー・プロキシ・トポ

ロジを示しています。

図 9-8 SIP トポロジ：プロキシ・ツー・プロキシ

内部ネットワークと外部ネットワーク（Net_AとNet_B）内の電話端末間で双方向コールを実現し、

内部電話端末と内部プロキシ（Proxy_A）に対してNATを定義するには、以下の手順に従います。

1. 電話をかけることが許可されていて、コールがVPN-1ゲートウェイによって追跡される電話

端末に対して、ネットワーク・オブジェクト（ノードまたはネットワーク）を定義します。図 9-8では、ネットワーク・オブジェクトはNet_AとNet_Bです。

2. プロキシに対してネットワーク・オブジェクトを定義します（Proxy_AとProxy_B）。

3. ネットワーク・オブジェクト・ツリーを右クリックし、［New...］>［VoIP Domains］>［VoIP Domain SIP Proxy］を選択してVoIPドメインを定義し、ハンドオーバーを実施する

ためにVoIPドメインでセキュリティ・ルール・ベースのルールを定義します。

4. 以下の2つのVoIPドメインを定義します（表 9-6）。

表 9-6

Name VoIP_Domain_A VoIP_Domain_B


含むグループ

Net_AとNet_Bを

含むグループ

VoIP installed at Proxy_A Proxy_B


268

5. 以下のいずれかのSIPルールを定義します。

• ハンドオーバーを完全に実施する場合は、以下のルールを定義します（表 9-7）。

• 外部電話端末（Net_B内）に対してハンドオーバーを実施しない場合は、以下のルールを

定義します（表 9-8）。


6. 内部ネットワークのネットワーク・オブジェクト（Net_A）を編集して、内部ネットワーク内

の電話端末に対してHide NAT（またはStatic NAT）を定義します。［NAT］タブで、［Add Automatic Address Translation Rules］を選択して［Translation method］（Hideまたは

Static）を選択します。

7. プロキシ・オブジェクト（Proxy_A）に対して手順6を繰り返して、内部ネットワーク内のプ

ロキシに対してStatic NATを定義します。




表 9-7


VoIP_Domain_AVoIP_Domain_B

VoIP_Domain_BVoIP_Domain_A

sipまたはsip-tcp

Accept 双方向コール

ハンドオーバーを実施

表 9-8


VoIP_Domain_A Any sip_anyまたはsip-tcp_any

Accept 発信コールハンドオーバーを実施

しない

Any VoIP_Domain_A sipまたはsip-tcp

Accept 着信コールハンドオーバーを実施



DMZ トポロジのプロキシ用の SIP ルール

図 9-9に、DMZにプロキシが設置されたSIPベースのVoIPトポロジを示します。

図 9-9 SIP トポロジ： DMZ のプロキシ

内部ネットワークと外部ネットワーク（Net_AとNet_B）内の電話端末間で双方向コールを実現し、

内部電話端末とDMZ内のプロキシ（Proxy_DMZ）に対してNATを定義するには、以下の手順に従

います。


端末に対して、ネットワーク・オブジェクト（ノードまたはネットワーク）を定義します。図 9-9では、ネットワーク・オブジェクトはNet_AとNet_Bです。

2. プロキシに対してネットワーク・オブジェクトを定義します (Proxy_DMZ)。

3. ネットワーク・オブジェクト・ツリーを右クリックし、［New...］>［VoIP Domains］>［VoIP Domain SIP Proxy］を選択してVoIPドメインを定義し、ハンドオーバーを実施する

ためにVoIPドメインを使用する、または使用しないセキュリティ・ルール・ベースのルールを

定義します（表 9-9）。

表 9-9

VoIP ドメインの定義ハンドオーバーあり

Name VoIP_Domain


含むグループ

VoIP installed at Proxy_DMZ


270

4. ハンドオーバーを完全に実施する場合は、以下のルールを定義します（表 9-10）。


5. 以下の手順に従って、内部ネットワークの電話端末に対してHide NAT（またはStatic NAT）を

定義します。

a. Net_A のネットワーク・オブジェクトを編集するには、［NAT］タブで、［Add Automatic Address Translation Rules］を選択して［Translation method］（Hide または Static）を選択します。

b. Hide NATを使用する場合は、［Hide behind IP address］オプションを選択し、内部

ネットワークの電話端末の隠蔽する IPアドレスを入力します。

c. Hide NATを使用する場合は、Hide NAT IPアドレスを持つノード・オブジェクトを、

手順4で定義したルールの［Destination］に追加する必要があります。

6. プロキシの静的アドレスに対するノード・オブジェクト（たとえばProxy_DMZ_NATed）を

作成し、以下の手動NATルール（表 9-11)を追加して、内部ネットワーク内のプロキシに対

してStatic NATを定義します。

7. すべての手動NATルールに対してプロキシarpを定義します。変換後の IPアドレスを、変換

後のアドレスと同じネットワーク上のチェック・ポイント・ゲートウェイ・インタフェース

のMACアドレスに関連付けるには、UNIXではarpコマンドを、Windowsではlocal.arpファイルを使用します。

fw ctl arpコマンドを実行すると、ARPプロキシ・テーブルがWindowsで動作しているVPN-1ゲートウェイに表示されます。 UNIXでは、arp -aコマンドを使用します。




表 9-10


VoIP_DomainNet_ANet_B

Net_ANet_BVoIP_Domain

sipまたはsip-tcp

Accept 双方向コールハンドオーバーを実施

表 9-11

ORIGINAL PACKET TRANSLATED PACKET COMMENT


Proxy_DMZ Net_B *Any Proxy_DMZ：Static

= = 発信

コール

Net_B Proxy_DMZ_NATed *Any = Proxy_DMZ：Static

= 着信

コール



SIP ベースのインスタント・メッセンジャの設定

SIPベースのMSNメッセンジャーの設定の詳細については、319ページの「SIPベースのインスタ

ント・メッセンジャの設定」を参照してください。

SIP-T サポートの設定

RFC 3372 Session Initiation Protocol for Telephones（SIP-T）（電話端末用セッション開始プロト

コル）のサポートを設定するには、以下の手順に従います。

1. 以下の行をSmartCenterサーバの$FWDIR/lib/user.defに追加します。

first_ipとsecond_ipは、（双方向の）SIP-Tが許可される IPアドレスです。たとえば、192.1.1.1と192.1.1.2の間、および192.1.1.1と192.1.1.3の間でSIP-Tを許可するには、以下の行を

追加します。

このファイルが存在しない場合は作成してください。

2. ファイルを保存します。


sipt_hosts = { < first_ip, second_ip> , < first_ip, second_ip> , .... ....,< first_ip, second_ip> } ;

sipt_hosts = { < 192.1.1.1, 192.1.1.2> , < 192.1.1.1, 192.1.1.3> } ;

SIP のトラブルシューティング

272

SIP のトラブルシューティングVPN-1で登録済みと記録されているオンライン IP電話端末の一覧を表示するには、以下の手順に従

います。

fw tab -t sip_registration -fコマンドを実行します。このコマンドの出力は「ユーザ名; IPアドレス」形式の一覧です。

現在のSIPコールに関する情報を得るには、以下を実行します。

fw tab -t sip_state -fコマンドを実行します。以下の出力が表示されます。

• 制御接続（発信元、宛先）

• RTP接続（エンドポイントの IPアドレス）

• コール状態（確立、終了、登録）

• メディア・タイプ（オーディオ、ビデオ、オーディオ /ビデオ、アプリケーション）

• 再招待の数（電話会議の参加者数）

H.323 ベースの VoIP のセキュリティ




セキュリティ・ルール・ベース内の H.323 構成要素

VPN-1は以下のH.323構成要素をサポートしています。

• IP電話端末は、シグナリング（H.323コマンド自体）とメディアの両方を扱う IPデバイス

です。 IP電話端末はH.323ゲートキーパに接続されます。

IP電話端末は通常、SmartDashboardで IP電話端末のネットワークとして定義されます。

通常は、個々の IP電話端末のネットワーク・オブジェクトを定義する必要はありません。

• 通常電話端末はH.323ゲートウェイに接続されています。通常電話端末は IPデバイスではな

いので、SmartDashboardで定義する必要はありません。

• ゲートキーパは、電話端末などH.323デバイスを管理します。これは電話番号を IPアドレス

に変換します。通常、ゲートキーパはゲートウェイ・サービスも提供します。

• ゲートウェイは、異なるネットワーク間の相互接続を可能にします。ゲートウェイは電話プロ

トコルと IPの間の変換を行います。

セキュリティ・ルール・ベース内のH.323構成要素 273 ページ

サポートされるH.323のRFCと標準 274 ページ

セキュリティで保護されたH.323トポロジとNATのサポート 274 ページ

H.323のApplication Intelligence 277 ページ

H.323のSmartDefense Application Intelligenceの設定 278 ページ

ゲートキーパとゲートウェイのコール・ルーティング 278 ページ

H.323サービス 280 ページ

H.323ベースVoIPの設定 281 ページ




このセクションでは、H.323プロトコルについて、VPN-1を使用してH.323トラフィックの

セキュリティを保護することだけに限定して説明します。


274

ゲートキーパとゲートウェイはハンドオーバー・デバイスです。ハンドオーバー・デバイスは、VoIPドメインを管理するホスト・ノードとしてSmartDashboardで定義されます。ハンドオーバー・ロ

ケーションを制限するには、VoIPドメインを定義してください。通常、VoIPドメインは1つのネッ

トワークまたはネットワークの集合です。各ハンドオーバー・デバイスが同一の IPアドレスを持つ

場合は、VoIPドメインを1つだけ定義すればすみます。これらのデバイスが異なる IPアドレスを持

つ場合は、それぞれに対してVoIPドメインを定義する必要があります。

H.323での通信を許可するには、H.323制御信号がVPN-1ゲートウェイを通過することを許可する

ルールを作成するだけです。エンドポイントが開くポートや通信するエンドポイントを指定するメ

ディア用のルールを定義する必要はありません。VPN-1はこの情報をシグナリングから取得します。

VPN-1は、特定のVoIPシグナリング・ルールが指定されると、エンドポイント間のRTP/RTCPメ

ディア・ストリーム用ポートを自動的に開きます。

サポートされる H.323 の RFC と標準• H.323バージョン2、3および4

• H.225バージョン2、3および4

• H.245バージョン3、5および7

セキュリティで保護された H.323 トポロジと NAT のサポート

VPN-1は、表 9-12に示すH.323構成をサポートしています。内部ネットワーク内の電話端末および

（該当する場合は）ゲートウェイ /ゲートキーパに対して、NAT（HideまたはStatic）を設定できます。

表 9-12 サポートされる H.323 トポロジ

NAT なし内部電話端末のNATHide/Static NAT

ゲートウェイ /ゲートキーパのNATStatic NAT

エンドポイント間 (図 9-10)


外部のゲートキーパ /ゲートウェイ

(図 9-11)はいはい該当なし

ゲートウェイ /ゲートキーパ・ツー・

ゲートウェイ /ゲートキーパ

(図 9-13)

はいはいはい

DMZ内のゲートウェイ /ゲートキーパ

(図 9-12)はいはいはい



• エンドポイント間： IP電話端末はゲートキーパやゲートウェイを介さずに直接通信します

（図 9-10を参照）。NAT（HideモードとStaticモードの両方）は、VPN-1ゲートウェイの内側

の電話端末に対して設定できます。内部電話端末に対してHide NATが設定されている場合は、

着信コールを行うことはできません。

図 9-10 H.323 トポロジ：エンドポイント間の直接通信

• 外部ネットワークのゲートキーパ /ゲートウェイ：IP電話端末はVPN-1ゲートウェイの外側に

あるゲートキーパのサービスを使用します（図 9-11を参照）。このトポロジでは、別の組織が

保守しているゲートキーパのサービスを使用できます。VPN-1ゲートウェイの内側の電話端

末に対してHide NAT（またはStatic NATあるいはNATなし）を設定できます。

図 9-11 H.323 トポロジ：外部ネットワークのゲートキーパ / ゲートウェイ


276

• DMZのゲートキーパ /ゲートウェイ：同一のゲートキーパ /ゲートウェイによって両方のエン

ドポイント・ドメインが制御されます。このトポロジでは、ゲートキーパ /ゲートウェイの

サービスを他の組織に提供できます（図 9-12を参照）。ゲートキーパ /ゲートウェイに対して

Static NAT（またはNATなし）を設定できます。Hide NAT（またはStaticあるいはNATなし）

は、VPN-1ゲートウェイの内側の電話端末に対して設定できます。

図 9-12 H.323 トポロジ： DMZ のゲートキーパ / ゲートウェイ

• ゲートウェイ /ゲートキーパ・ツー・ゲートウェイ /ゲートキーパ：各ゲートキーパ /ゲート

ウェイは、別々のエンドポイント・ドメインを制御します（図 9-13）。いずれかのゲート

キーパ /ゲートウェイに対してStatic NATを設定できます。Hide NAT（またはStatic NAT）は

VPN-1ゲートウェイの内側または外側（いずれか一方に限る）の電話端末に対して設定でき

ます。

図 9-13 H.323 トポロジ：ゲートウェイ / ゲートキーパ・ツー・ゲートウェイ / ゲートキーパ



H.323 の Application IntelligenceVPN-1は、H.323バージョン4以前をサポートしています。H.225バージョン4とH.245バージョン7も含まれます。 VPN-1は、以下に示すアプリケーション層の検査を実施します。

• プロトコルの厳格な実施。これにはH.323パケットの順序と方向が含まれます。

• 送信された電話番号が24文字を超える場合にパケットが破棄されること。これによってサー

バでバッファ・オーバーランが発生するのを防ぎます。

• 動的ポートが別のサービスによって使用されていない場合にのみ開かれること。たとえば、接

続メッセージがH.245に対してポート80を要求した場合は、ポートは開かれません。これに

よって既知のポートが不正に使用されるのを防ぎます。

VPN-1は、H.323の先進機能であるFast Connectをサポートしています。この機能は電話端末が応答

されるとすぐにオーディオが利用できるようにします。この機能はデフォルトで有効になっており、

いつでも利用できます。


278

H.323 の SmartDefense Application Intelligence の設定

以下のApplication Intelligenceの追加設定は、SmartDefenseの［Application Intelligence］>［VoIP］>［H.323］から実行できます。

• Block connections re-direction：通信が両側に渡されるのを防止します。ゲートキーパまた

はゲートウェイを使用するには、このオプションをオフにする必要があります。

• Prevent blank source phone numbers for gatekeeper connections：発信元電話番号が空

白のRAS接続を拒否します。これはデフォルトで防止されています。パケット内に存在する

必要のあるフィールドが存在しない場合は、そのパケットは破棄されます。

• Disable dynamic T.120：ホワイト・ボード、チャット、Microsoft NetMeetingなどのアプリ

ケーションでのアプリケーション共有などで使用される、アプリケーション共有ファイルの

転送を遮断します。デフォルトでT.120は許可されていません。

• Block H.245 Tunneling： Q.931メッセージへのH.245メッセージのカプセル化を防止します。 H.245トンネリングを使用すると、リソースの保護、コール・シグナリングと制御の同期化、

コール・セットアップ時間の短縮を実現できます。 VoIP装置がサポートしている場合は、

H.245トンネリングを許可することをお勧めします。

• Disable dynamic opening of H.323 connections opened from RAS messages： H323_rasサービスの動作を制御します。ルール・ベースでこのサービスを許可している場合は、この設

定によって、すべてのH.323セッションに必要な制御接続がファイアウォールによって動的

に開かれるかどうかが制御されます。 RASメッセージから開かれたH.323接続が遮断される

場合は、ルール・ベースでH323サービスを許可する必要があります。この設定は、RAS（H323_rasサービスによって許可されて検査される）で開始される接続に対してのみ適用され

ます。

• Drop H.323 calls that do not start with a SETUP message：このオプションを選択すると、

SETUPメッセージで始まらないすべてのH.323/Q.931接続が破棄されます。

• T120 timeout：動的に開かれたT120接続がアイドル状態を維持できる時間を指定します。この時間が経過すると接続が破棄されます。デフォルトのタイムアウトは3600秒です。

ゲートキーパとゲートウェイのコール・ルーティング

H.323ルーティング・モードでは、ゲートキーパまたはゲートウェイ間を通過できる制御プロトコル、

およびエンドポイント間を直接通過できるプロトコルが定義されます。VPN-1は、1つ以上のルー

ティング・モードを許可するように設定できます。ルーティング・モードについて理解するには、

H.323プロトコルおよびこのプロトコルが使用される順序についての基本事項を理解している必要

があります。



H.323 のシグナリングとメディア・プロトコル

H.323のメディアでは、RTP/RTCPまたはT.120プロトコル、あるいはその両方が使用されます。シグナリングは以下のH.323プロトコルで処理されます。

• RASは登録、アドミッションおよびステータスを管理します。 RASは固定ポートUDP1719を

使用します。

• Q.931はコールのセットアップと終了を管理します。 Q.931は固定ポートTCP1720を使用し

ます。

• H.245はチャネルの使用と機能をネゴシエートします。H.245は動的に割り当てられたポート

を使用します。

H.323コールがゲートキーパによって処理されるときに、これらのプロトコルが順に使用されてから

メディアが通過します。コールを終了するときは、シグナリング・プロトコルが逆の順に使用され

ます。

ゲートウェイでのプロトコルの順序は、エンドポイントがゲートウェイに接続するときにRASが使

用されないことを除いて同じです。

ルーティング・モード

H.323ルーティング・モードでは、ゲートキーパまたはゲートウェイ間を通過する制御プロトコル、

およびエンドポイント間を通過するプロトコルが定義されます。VPN-1は、1つ以上のルーティング・

モードを許可するように設定できます。少なくとも1つのルーティング・モードを選択する必要が

あります。VPN-1が複数のルーティング・モードを許可するように設定されている場合は、ゲート

キーパ /ゲートウェイによって使用するルーティング・モードが決められます。

図 9-14に、選択可能な3つのルーティング・モードを示します。

図 9-14 ゲートキーパとゲートウェイのルーティング・モード


280

以下のルーティング・モードが図 9-14に示されています。

• ［Direct］モードはゲートキーパ専用で、ゲートウェイには使用できません。 RAS信号のみが

ゲートキーパを通過します。その他のシグナリング（Q.931とH.245）とRTP/RTCPメディ

アは、直接エンドポイント間を通過します。

• ［Call Setup (Q.931)］モードでは、RAS（ゲートキーパでのみ使用）とQ.931がゲートキーパ /ゲートウェイを通過します。 H.245とRTP/RTCPメディアはエンドポイント間を通過します。

• ［Call Setup (Q.931) and Call Control (H.245)］モードでは、RAS（ゲートキーパのみ）、

Q.931およびH.245がゲートキーパ /ゲートウェイを通過します。 RTP/RTCPメディアのみが

エンドポイント間を通過します。

H.323 サービス

以下の事前定義されたサービスを、H.323ルールで使用できます。これらを使用すると、H.323コー

ルの各段階で許可されるプロトコルを制限できます。異なるプロトコルに対して別々のルールを定

義できます。

• H323_ras_onlyを選択するとRASのみが許可されます。コールを行うためには使用できません。このサービスを使用すると、Application Intelligence検査（ペイロード検査または変更）は実

施されません。H323_rasサービスと同じルール内で使用しないでください。

• H323_rasを選択するとRASポートに続いてQ.931ポートを開くことができます。 Q.931は

次に、必要に応じてH.245ポートを開き、これが次にRTP/RTCPまたはT.120のポートを開

きます。 RASメッセージでNATを実施するにはこのサービスを使用します。H323_ras_onlyサービスと同じルール内では使用しないでください。

• H323を選択するとQ.931が開き（必要に応じてH.245ポートが開き）、これが次に

RTP/RTCPまたはT.120のポートを開きます。H323_anyサービスと同じルール内では使用し

ないでください。

• H323_anyはH323サービスに似ていますが、ルール内のDestinationをネットワーク・オブ

ジェクトではなくANYにすることもできます。H323_anyは、VoIPトポロジが不明で、VoIPドメインを使用してハンドオーバーを実施していない場合にのみ使用します。H323サービス

と同じルール内では使用しないでください。

注： H323 サービスと H323_any サービスは互いに相反しているので、同じルール内では使

用できません。同様に、H323_ras サービスと H323_ras_any サービスも同じルール内では

使用できません。



H.323 ベース VoIP の設定


H.323-VoIP ドメインの種類の選択

ゲートウェイまたはゲートキーパを使用してコールを行う場合は、H.323電話端末のVoIPドメインを

設定します。以下の条件に基づいて、ゲートウェイまたはゲートキーパのオブジェクトを選択します。

• H.323ゲートウェイのVoIPドメインを使用する。コール開始時にデバイスに初に到着する

パケットがQ.931/H.225パケットで、RASパケットではない場合。

• H.323ゲートキーパーのVoIPドメインを使用する。コール開始時にデバイスに初に到着す

るパケットがRAS/H.225パケットの場合。

H.323ゲートキーパでは、VoIPドメインはそのゲートキーパのゾーンに対応します。ゾーンとは、

単一のゲートキーパによって管理される端末の集合のことです。 1つのゾーンにはゲートキーパは

1つしかありません。

ゲートキーパとゲートウェイが異なる IPアドレスを持つ場合は、それぞれに対してVoIPドメインを

定義します。ゲートウェイとゲートキーパが1台のコンピュータ上にあり、同じ IPアドレスを持つ

場合は、［VoIP Domain H.323 Gatekeeper］オブジェクトを1つだけ定義します。

エンドポイント・ツー・エンドポイント・トポロジの H.323ルール

図 9-15にエンドポイント・ツー・エンドポイント・トポロジを示します。ここではNet_AとNet_BがVPN-1ゲートウェイの両側に配置されています。以下の手順では、内部ネットワーク（Net_A）内の電話端末と外部ネットワーク（Net_B）内の電話端末の間で双方向コールを実現する方法、お

よび内部電話端末に対してNATを定義する方法を説明します。内部電話端末に対してHide NATが

設定されている場合は、着信コールを行うことはできません。

H.323-VoIPドメインの種類の選択 281 ページ

エンドポイント・ツー・エンドポイント・トポロジのH.323ルール 281 ページ

ゲートキーパ・ツー・ゲートキーパー・トポロジのH.323ルール 282 ページ

ゲートウェイ・ツー・ゲートウェイ・トポロジのH.323ルール 285 ページ

外部ネットワークのゲートキーパのH.323ルール 286 ページ

外部ネットワークのゲートウェイのH.323ルール 289 ページ

DMZトポロジのゲートキーパのH.323ルール 290 ページ

DMZトポロジのゲートウェイのH.323ルール 294 ページ


282

図 9-15 H.323 トポロジ：エンドポイント間の直接通信

エンドポイント・ツー・エンドポイント・トポロジのH.323ルールを定義するには、以下の手順に

従います。

1. 以下のルールを定義します。

2. 内部ネットワーク内の電話端末に対してHide NAT（またはStatic NAT）を定義するには、

内部ネットワークのネットワーク・オブジェクト（Net_A）を編集します。［NAT］タブで、

［Add Automatic Address Translation Rules］をオンにして［Translation method］（HideまたはStatic）を選択します。

3. 必要に応じて、［Application Intelligence］>［VoIP］>［H.323］以下のSmartDefenseオプ

ションを設定します。詳細については、278ページの「H.323のSmartDefense Application Intelligenceの設定」またはオンライン・ヘルプを参照してください。


ゲートキーパ・ツー・ゲートキーパー・トポロジの H.323ルール

図 9-16にゲートキーパ・ツー・ゲートキーパー・トポロジを示します。ここではNet_AとNet_BがVPN-1ゲートウェイの両側に配置されています。以下の手順では、内部ネットワーク（Net_A）内の電話端末と外部ネットワーク（Net_B）内の電話端末の間で双方向コールを実現する方法、お

よび内部電話端末と内部ゲートキーパ（GK_A）に対してNATを定義する方法を説明します。

表 9-13


Net_ANet_B

Net_BNet_A

H323 Accept



図 9-16 H.323 トポロジ：ゲートキーパ・ツー・ゲートキーパー

ゲートキーパ・ツー・ゲートキーパー・トポロジのH.323ルールを定義するには、以下の手順に従

います。

1. 登録にゲートキーパを使用し、電話をかけることが許可されていて、コールがVPN-1ゲート

ウェイによって追跡される電話端末に対して、ネットワーク・オブジェクト（ノードまたは

ネットワーク）を定義します。

図 9-16の例では、ネットワーク・オブジェクトはNet_AとNet_Bです。

2. ゲートキーパに対してネットワーク・オブジェクトを定義します（GK_AとGK_B）。

3. VoIPドメインを使用する、または使用しないセキュリティ・ルール・ベースのルールを定義

します。

ハンドオーバーを実施するには、VoIPドメインを定義します。ネットワーク・オブジェクト・

ツリーを右クリックし、［New...］>［VoIP Domains］>［VoIP Domain H.323 Gatekeeper］を

選択します。以下のように2つのVoIPドメインを定義します。

4. ［Routing Mode］タブで、ゲートキーパに対して許可されるルーティング・モードを定義し

ます。モードの説明については、279ページの「ルーティング・モード」を参照してください。少なくとも1つのオプションを選択する必要があります。

表 9-14


Related endpoints domain Net_Aを含むグループ Net_Bを含むグループ

VoIP installed at GK_A GK_B


284

5. ルールを定義します。ハンドオーバーを実施するには、VoIPドメインで以下のルールを定義

します。

ハンドオーバーを実施しない場合は、以下のルールを定義します。

VoIPドメインのないルールが定義されると、H323_ras以外のすべての接続はP2Pにする必要

があります。

H.323サービスの説明については、280ページの「H.323サービス」を参照してください。


内部ネットワーク（Net_A）のネットワーク・オブジェクトを編集します。［NAT］タブで、


7. 内部ネットワーク内のゲートキーパ /ゲートウェイに対してStatic NATを定義するには、ゲー

トキーパ・オブジェクト（GK_A）に対して手順6を繰り返します。

8. H323_rasサービスのタイムアウトを、ゲートキーパ登録タイムアウトと同じかそれ以上の時

間にすることをお勧めします。サービス・オブジェクトの［Advanced Properties］ウィンド

ウでタイムアウトを設定します。




表 9-15




H323_ras Accept 双方向コール


表 9-16


GK_A GK_B H323_ras_only Accept ハンドオーバー

なし

Net_ANet_B

Net_ANet_B

H323 Accept ハンドオーバー

なし



ゲートウェイ・ツー・ゲートウェイ・トポロジの H.323 ルール

図 9-17にゲートウェイ・ツー・ゲートウェイ・トポロジを示します。ここではNet_AとNet_Bが

VPN-1ゲートウェイの両側に配置されています。以下の手順では、内部ネットワーク（Net_A）内の

電話端末と外部ネットワーク（Net_B）内の電話端末の間で双方向コールを実現する方法、および

内部電話端末と内部ゲートウェイ（GW_A）に対してNATを定義する方法を説明します。

図 9-17 H.323 トポロジ：ゲートウェイ・ツー・ゲートウェイ

ゲートウェイ・ツー・ゲートウェイ・トポロジのH.323ルールを定義するには、以下の手順に従い

ます。


端末に対して、ネットワーク・オブジェクト（ノードまたはネットワーク）を定義します。


2. ゲートウェイに対してネットワーク・オブジェクトを定義します（GW_AとGW_B）。

3. ハンドオーバーを実施するには、VoIPドメインでセキュリティ・ルール・ベースのルールを

定義します。ネットワーク・オブジェクト・ツリーを右クリックし、［New...］>［VoIP Domains］>［VoIP Domain H.323 Gateway］を選択します。

4. 以下のように2つのVoIPドメインを定義します。

5. ［Routing Mode］タブで、ゲートウェイに対して許可されるルーティング・モードを定義し

ます。モードの説明については、279ページの「ルーティング・モード」を参照してください。

少なくとも1つのオプションを選択する必要があります。

表 9-17


Related endpoints domain Net_Aを含むグループ Net_Bを含むグループ

VoIP installed at GW_A GW_B


286


します。



内部ネットワークのネットワーク・オブジェクト（Net_A）を編集します。［NAT］タブで、


8. 内部ネットワーク内のゲートキーパ /ゲートウェイに対してStatic NATを定義するには、ゲー

トキーパ /ゲートウェイ・オブジェクト（GK_A）に対して手順6を繰り返します。




外部ネットワークのゲートキーパの H.323 ルール

図 9-18に、インターネット上にゲートキーパを持つH.323トポロジを示します。ここではNet_AとNet_BはVPN-1ゲートウェイの両側に配置されています。以下の手順では、内部ネットワーク

（Net_A）内の電話端末と外部ネットワーク（Net_B）内の電話端末の間で双方向コールを実現する

方法、および内部電話端末に対してNATを定義する方法を説明します。

表 9-18




H323 Accept 双方向コール




図 9-18 H.323 トポロジ：外部ネットワークのゲートキーパ

外部ネットワークのゲートキーパのH.323ルールを定義するには、以下の手順に従います。





2. ゲートキーパに対してネットワーク・オブジェクトを定義します（GK_B）。


します。



選択します。

4. 以下のようにVoIPドメインを定義します。




表 9-19

Name VoIP_Domain

Related endpoints domain Net_AとNet_B を含むグループ

VoIP installed at GK_B


288


します。

ハンドオーバーを実施しない場合は、以下のルールを定義します。

VoIPドメインのないルールが定義されると、RAS接続以外のすべての接続はP2Pにする必要

があります。


7. 内部ネットワークの電話端末に対してHide NAT（またはStatic NAT）を定義するには、以下

の手順に従います。

• 内部ネットワークのネットワーク・オブジェクト（Net_A）を編集します。［NAT］タブ

で、［Add Automatic Address Translation Rules］をオンにして［Translation method］（HideまたはStatic）を選択します。

• Hide NATを定義する場合は、Hide NAT IPアドレスを持つノード・オブジェクトを、

手順6で定義したルールの［Destination］に追加します。

8. H323_rasサービスのタイムアウトをゲートキーパ登録タイムアウトと同じかそれ以上の時間

にすることをお勧めします。サービス・オブジェクトの［Advanced Properties］ウィンドウ

でタイムアウトを設定します。




表 9-20



VoIP_DomainNet_A

H323_rasH323

Accept 双方向コールハンドオーバーを実施

表 9-21


Net_A GK_B H323_ras_only Accept ハンドオーバー

なし

Net_ANet_B

Net_ANet_B

H323 Accept ハンドオーバー

なし



外部ネットワークのゲートウェイの H.323 ルール

図 9-19に、インターネット上にゲートウェイを持つH.323トポロジを示します。ここではNet_AとNet_BはVPN-1ゲートウェイ実施ポイントの両側に配置されています。以下の手順では、内部

ネットワーク（Net_A）内の電話端末と外部ネットワーク（Net_B）内の電話端末の間で双方向コー

ルを実現する方法、および内部電話端末に対してNATを定義する方法を説明します。

図 9-19 H.323 トポロジ：外部ネットワークのゲートウェイ

外部ネットワークのゲートウェイのH.323ルールを定義するには、以下の手順に従います。




2. ゲートウェイに対してネットワーク・オブジェクトを定義します（GW_B）。

3. ハンドオーバーを実施するには、VoIPドメインでセキュリティ・ルール・ベースのルールを

定義します。ネットワーク・オブジェクト・ツリーを右クリックし、［New...］>［VoIP Domains］>［VoIP Domain H.323 Gateway］を選択します。以下のようにVoIPドメインを

定義します。




表 9-22

Name VoIP_Domain

Related endpoints domain Net_AとNet_B を含むグループ

VoIP installed at GW_B


290


します。




• 内部ネットワークのネットワーク・オブジェクト（Net_A）を編集します。［NAT］タブ

で、［Add Automatic Address Translation Rules］をオンにして［Translation method］（HideまたはStatic）を選択します。

• Hide NATを使用する場合は、Hide NAT IPアドレスを持つノード・オブジェクトを、





DMZ トポロジのゲートキーパの H.323 ルール

図 9-20に、DMZにゲートキーパが設置されたH.323ベースのVoIPトポロジを示します。以下の手

順では、内部ネットワーク（Net_A）内の電話端末と外部ネットワーク（Net_B）内の電話端末の

間で双方向コールを実現する方法、および内部電話端末とDMZのゲートキーパ（GK_DMZ）に対

してNATを定義する方法を説明します。

表 9-23



VoIP_DomainNet_A

H323 Accept 双方向コールハンドオーバーを実施



図 9-20 H.323 トポロジ： DMZ のゲートキーパ

DMZのゲートキーパのH.323ルールを定義するには、以下の手順に従います。





2. ゲートキーパに対してネットワーク・オブジェクトを定義します（GK_DMZ）。


します。



選択します。

VoIPドメインの定義は、電話端末のハンドオーバー・ロケーションを外部ネットワークで実施

するかどうかによって変わります。内部ネットワークの電話端末では、ハンドオーバーは常に

実施する必要があります。

表 9-24

VoIP ドメインの定義ハンドオーバーあり外部の電話端末に対してハンドオーバーなし

Name VoIP_Domain VoIP_Domain_A


含むグループ

Net_A

VoIP installed at GK_DMZ GK_DMZ


292




5. ルールを定義します。ハンドオーバーを完全に実施する場合は、以下のルールを定義します。

外部電話端末（Net_B内）に対してハンドオーバーを実施しない場合は、以下のルールを定義

します。

VoIPドメインのないルールが定義されると、H323_ras以外のすべての接続はP2Pのみが許可

されます。




• Net_Aのネットワーク・オブジェクトを編集します。［NAT］タブで、［Add Automatic Address Translation Rules］をオンにして［Translation method］（HideまたはStatic）を

選択します。

• Hide NATを使用する場合は、［Hide behind IP address］オプションを選択し、内部

ネットワークの電話端末の隠蔽アドレスにする IPアドレスを入力します。



表 9-25




H323_ras Accept 双方向コールハンドオーバーを実施

表 9-26


Net_A Net_B GK_DMZ

Net_A Net_B GK_DMZ

H323_ras_only Accept 発信コールハンドオーバーを実施しない

Net_ANet_B

Net_ANet_B

H323 Accept ハンドオーバーを実施しない



7. DMZのゲートキーパに対してStatic NATを定義するには、以下のように手動NATルールを追

加します。

• ゲートキーパの静的アドレスに対してノード・オブジェクトを作成します

（GK_DMZ_NATedなど）。

• 以下の手動NATルールを定義します。

• すべての手動NATルールに対してプロキシARPを定義します。つまり、変換後の IPアド

レスを、変換後のアドレスと同じネットワーク上のチェック・ポイント・ゲートウェイ・

インタフェースのMACアドレスに関連付ける必要があります。UNIXではarpコマンドを、

Windowsではlocal.arpファイルを使用します。

fw ctl arpコマンドを実行すると、ARPプロキシ・テーブルがWindowsで動作している

VPN-1ゲートウェイに表示されます。UNIXでは、arp -aコマンドを使用します。

8. H.323_rasサービスのタイムアウトをゲートキーパ登録タイムアウトと同じかそれ以上の時間

にすることをお勧めします。サービス・オブジェクトの［Advanced Properties］ウィンド

ウでタイムアウトを設定します。




表 9-27

ORIGINAL PACKET

TRANSLATED PACKET

COMMENT


GK_DMZ Net_B *Any GK_DMZ：Static

= = 発信コール

Net_B GK_DMZ_NATed *Any = GK_DMZ：Static

= 着信コール


294

DMZ トポロジのゲートウェイの H.323 ルール

図 9-21に、DMZにゲートウェイが設置されたH.323ベースのVoIPトポロジを示します。以下の手

順では、内部ネットワーク（Net_A）内の電話端末と外部ネットワーク（Net_B）内の電話端末の

間で双方向コールを実現する方法、および内部電話端末とDMZのゲートウェイ（GK_DMZ）に対

してNATを定義する方法を説明します。

図 9-21 H.323 トポロジ： DMZ のゲートウェイ

DMZのゲートウェイのH.323ルールを定義するには、以下の手順に従います。




2. ゲートウェイに対してネットワーク・オブジェクトを定義します（GW_DMZ）。

3. ハンドオーバーを実施するには、VoIPドメインを使用する、または使用しないセキュリ

ティ・ルール・ベースのルールを定義します。ネットワーク・オブジェクト・ツリーを右ク

リックし、［New...］>［VoIP Domains］>［VoIP Domain H.323 Gateway］を選択します。

表 9-28


Name VoIP_Domain


含むグループ

VoIP installed at GW_DMZ






5. ハンドオーバーを完全に実施する場合は、以下のルールを定義します。




• Net_Aのネットワーク・オブジェクトを編集します。［NAT］タブで、［Add Automatic Address Translation Rules］をオンにして［Translation method］（HideまたはStatic）を

選択します。

• Hide NATを使用する場合は、［Hide behind IP address］オプションを選択し、内部

ネットワークの電話端末の隠蔽アドレスにする IPアドレスを入力します。



7. DMZのゲートウェイに対してStatic NATを定義するには、以下のように手動NATルールを追

加します。

• ゲートウェイの静的アドレスに対してノード・オブジェクトを作成します

（GW_DMZ_NATedなど）。

• 以下の手動NATルールを定義します。

表 9-29




H323 Accept 双方向コールハンドオーバーを実施

表 9-30

ORIGINAL PACKET

TRANSLATED PACKET

COMMENT


GW_DMZ Net_B *Any GW_DMZ：Static

= = 発信コール

Net_B GW_DMZ_NATed *Any = GW_DMZ：Static

= 着信コール


296

• すべての手動NATルールに対してプロキシarpを定義します。つまり、変換後の IPアド

レスを、変換後のアドレスと同じネットワーク上のチェック・ポイント・ゲートウェイ・

インタフェースのMACアドレスに関連付ける必要があります。UNIXではarpコマンドを、

Windowsではlocal.arpファイルを使用します。

fw ctl arpコマンドを実行すると、ARPプロキシ・テーブルがWindowsで動作している

VPN-1ゲートウェイに表示されます。UNIXでは、arp -aコマンドを使用します。




MGCP ベースの VoIP のセキュリティ



MGCP の必要性

通常の電話端末は比較的安価です。これは、通常の電話端末は複雑な構成を必要とせず、中央交換

所の特定の交換機に固定されているからです。一方、IP電話端末とデバイスは特定の交換機に固定

されていないので、単独でインテリジェントに機能できるようにプロセッサを搭載し、中央交換所

から独立して機能する必要があります。このために端末（電話端末またはデバイス）が複雑化し、

より高価になります。

MGCP（メディア・ゲートウェイ制御プロトコル）プロトコルは、複雑でプロセッサに依存した IP電話端末デバイスの必要性を排除し、これらの端末を単純化してコストを削減することによって、

VoIP標準を単純化することを目的としています。

MGCPはSIPおよびH.323と相互運用できますが、これらのプロトコルの代わりになるものではあ

りません。 MGCPは、電話回線（PSTN）上で送信されるオーディオ信号を、インターネットまた

はその他のパケット・ネットワークを介して送信されるデータ・パケットに変換します。

MGCPの必要性 297 ページ

MGCPプロトコルとデバイス 298 ページ

MGCPネットワーク・セキュリティとApplication Intelligence 299 ページ

セキュリティで保護されたMGCPトポロジとNATのサポート 301 ページ

ユーザ情報の同期 302 ページ

MGCPベースのVoIPの設定 303 ページ




このセクションでは、MGCPプロトコルについて、VPN-1を使用してMGCPトラフィック

のセキュリティを保護することだけに限定して説明します。


298

MGCP プロトコルとデバイス

MGCPは、電話通信ゲートウェイをコール・エージェント（またはメディア・ゲートウェイ・コン

トローラ）と呼ばれる外部のコール制御デバイスから制御するプロトコルです。

MGCPはマスタ /スレーブ・プロトコルで、端末（エンドポイント）の機能を制限して中心（コー

ル・エージェント）に機能を集中させます。このため、このプロトコルはP2PプロトコルのSIPや

H.323とは異なります。

MGCPでは、コール制御デバイスであるコール・エージェントは相互に同期して、メディア・ゲー

トウェイと呼ばれる制御下にあるデバイスにコマンドを送信します。コール・エージェントは、IP電話端末に直接接続することもできます。メディア・ゲートウェイまたは IP電話端末は、コール・

エージェントから送信されたコマンドを実行します。図 9-22に、MGCPの構成要素とコール制御

手順を簡単に示します。

図 9-22 MGCP の構成要素

コール・エージェントとメディア・ゲートウェイは、通常はノード・オブジェクトとして

SmartDashboardで定義されます。

MGCPでの通信を許可するには、MGCP制御信号がVPN-1ゲートウェイを通過することを許可す

るルールを作成するだけです。エンドポイントが開くポートや通信するエンドポイントを指定する

メディア用のルールを定義する必要はありません。VPN-1はこの情報をシグナリングから取得し

ます。VPN-1は、特定のVoIPシグナリング・ルールが指定されると、エンドポイント間のRTP/RTCPメディア・ストリーム用ポートを自動的に開きます。



コール・エージェントまたはメディア・ゲートウェイ・コントローラ

コール・エージェントとは、以下の機能を備えたネットワーク・デバイスです。

• コール・シグナリング、制御および処理機能をメディア・ゲートウェイに提供する。

• メディア・ゲートウェイとの間でコマンドを送受信する。

メディア・ゲートウェイ

メディア・ゲートウェイは、以下の機能を備えたネットワーク・デバイスです。

• 電話回線上で送信されるオーディオ信号、およびインターネットまたはその他のパケット・

ネットワークを介して送信されるデータ・パケット間の変換を行う。

• エンドポイントでのイベントに関する通知をコール・エージェントに送信する。

• コール・エージェントから受信したコマンドを実行する。

メディア・ゲートウェイは、通常、電話会議、3ウェイ・ブローカリング、スーパバイザ検査など

の機能をサポートします。これらの機能はすべて、事前定義されているVPN-1 MGCPサービス

（MGCP-CAとMGCP-MG）によってサポートされています。

MGCP IP 電話端末

MGCP IP電話端末とは、以下の機能を備えたネットワーク・デバイスです。

• インターネットまたはその他のパケット・ネットワークを介して送信されるデオーディオ信

号間の変換を行う。

• イベントに関する通知をコール・エージェントに送信する。

• コール・エージェントから受信したコマンドを実行する。

MGCP IP電話端末は、通常、電話会議、3ウェイ・ブローカリング、スーパバイザ検査などの機能を

サポートします。これらの機能はすべて、事前定義されているVPN-1 MGCPサービス（MGCP-CAとMGCP-MG）によってサポートされています。

MGCP ネットワーク・セキュリティと Application Intelligence

VPN-1は、MGCPに対してネットワーク・レベルでの完全なセキュリティを提供します。VPN-1は、

RFC-2705、RFC-3435（バージョン1.0）、および ITU TGCP仕様J.171に厳密に準拠しています。

また、フラグメント化されたパケットの検査、アンチ・スプーフィング、DoS攻撃に対する保護な

ど、すべてのVPN-1の機能がサポートされています。

247ページの「VoIP Application Intelligence」で説明しているように、VPN-1はハンドオーバー・

ロケーションを制限してシグナリングとデータ接続を制御します。


300

SmartDefenseは、MGCP接続に対して追加のコンテンツ・セキュリティ検査を実行することで、

高度な保護を提供できます。MGCP固有のApplication Intelligenceのセキュリティは、SmartDefenseを介して［Application Intelligence］>［VoIP］>［MGCP］から設定できます。以下の3つのオプ

ションを利用できます。

• Blocked/Accepted Commands

• Verify MGCP Header Content

• Allow Multicast RTP Connections

Blocked/Accepted Commands 9個のMGCPコマンドが事前定義されています。表 9-31に示すように、コール・エージェントに

よって実施されるコマンドと、ゲートウェイによって実施されるコマンドがあります。セキュリ

ティの必要性に応じて、いずれのコマンドも許可または禁止できます。

また、独自のコマンドを追加定義して、そのコマンドを許可または遮断するように定義できます。

デフォルトでは、すべての未定義コマンドが遮断されます。

VPN-1は、新しいコマンドがRFCに準拠していることを確認します。

MGCPパケットには、省略可能なSDPヘッダが含まれています。このヘッダには、宛先のポート番号、

宛先の IPアドレス、メディア・タイプ（オーディオまたはビデオ）などの情報が含まれています。

事前定義されているMGCPコマンドのMDCXとCRCXにはSDPヘッダが含まれています。

MGCP コマンドを定義するときは、コマンドにSDP ヘッダを含めるかどうかを指定できます。

VPN-1はヘッダの解析方法を知っていて、ヘッダが正しい構文で記述されていることを確認します。

ヘッダ内の宛先アドレスとポートが許可された場合、VPN-1はゲートウェイを介したメディア接続を

許可します。

表 9-31 MGCP コマンド

コール・エージェントのコマンドゲートウェイのコマンド

EndpointConfiguration（EPCF） Notify（NTFY）

NotificationRequest（RQNT） DeleteConnection（DLXC）

CreateConnection（CRCX） RestartInProgress（RSIP）

ModifyConnection（MDCX）

DeleteConnection（DLCX）

AuditEndpoint（AUEP）

AuditConnection（AUCX）



Verify MGCP Header Contentこのオプションを使用すると、MGCPヘッダで実行可能なバイナリ・ファイルが送信されるのを防

ぐために、バイナリ文字をブロックできます。このオプションは、有害な可能性があるさまざまな

制御文字と空文字もブロックします。

Allow Multicast RTP ConnectionsRTPはVoIPメディアで使用されるプロトコルです。マルチキャストRTPはラジオに使用できます。

サーバがマルチキャスト・アドレスを含むパケットを送信すると、メディア・ゲートウェイはポー

トを開きます。いずれのクライアントもそのポートのマルチキャストを待機できます。このオプ

ションを使用すると、MGCPマルチキャストを遮断または許可できます。

セキュリティで保護された MGCP トポロジと NAT のサポート

VPN-1は、表 9-1に示すMGCP展開をサポートしています。内部ネットワーク内の電話端末および

（該当する場合は）コール・エージェントに対して、NAT（HideまたはStatic）を設定できます。

「コール・エージェント」は任意のMGCPハンドオーバー・デバイスです。

1つ以上のハンドオーバー・デバイスがある場合は、シグナリングは1つ以上のコール・エージェ

ントを通過します。コールが設定されると、メディアをピア間で渡すことができます。

SmartDashboardの設定は、303ページの「MGCPベースのVoIPの設定」で説明するようにトポロ

ジによって異なります。も広く使用されている展開トポロジを示す図もそこで紹介しています。

表 9-32 サポートされた MGCP トポロジ

NAT なし電話端末の NATHide/Static NAT

コール・エージェントの NAT - Static NAT

P2P（図 9-4）


外部のプロキシ

（図 9-5）はいはい該当なし


302

図 9-23 内部電話端末に NAT を使用したインターネット上の MGCP コール・エージェント

MGCP ネットワークで NAT を使用するための追加条件

MGCPは、以下の条件下ではNAT（ネットワーク・アドレス変換）と共に使用できます。

• Hide NATをすべての種類のコール（着信、発信、内部および外部）に対して使用できます。

ただし、着信コールに対しては手動Hide NATルールは使用できません。セキュリティ上の理

由から、着信コールでHide NATを使用する場合は、セキュリティ・ルール・ベース内の該当

ルールのVoIPコール宛先をAny（任意）にすることはできません。

• エンドポイントの両方がVPN-1ゲートウェイの信頼される側にある場合、2つのエンドポイ

ントの一方がNAT（StaticまたはHide）を使用しており他方がNATを使用していない場合は、

2つのエンドポイントに対して同じ発信元からコールを行うことはできません。

• VoIPコールの双方向NATはサポートされていません。

ユーザ情報の同期

ユーザの IP電話端末は、自身をネットワーク上で登録するためにMGCPメッセージをコール・エー

ジェントに送信します。電話端末が登録されると電話をかけることができるようになります。これら

のMGCPメッセージはVPN-1を通過して、ユーザ・データベースに格納されます。

登録を行うことで、VPN-1ゲートウェイの外から、Hide NATを使用してアドレス変換されている

電話端末にコールを開始できるようになります。

VPN-1のコンピュータが再起動すると、VoIPユーザ・データベースが削除されます。cpstop/cpstartコマンドを使用すると、ユーザ・データベースは削除されません。



MGCP ベースの VoIP の設定

外部ネットワークのコール・エージェント用の MGCP ルール

図 9-7に、外部ネットワークのコール・エージェントを使うMGCPトポロジを示します。以下の

手順では、内部ネットワーク（Net_A）内のMGCP電話端末と外部ネットワーク（Net_B）内の電

話端末で双方向コールを実現する方法、および内部電話端末に対してNATを定義する方法を説明

します。

図 9-24 外部ネットワークの MGCP コール・エージェント

外部ネットワークのコール・エージェントのMGCPルールを定義するには、以下の手順に従います。

1. ハンドオーバー・デバイス（MGCPコール・エージェント）によって管理され、電話をかけ

ることが許可されていて、コールがVPN-1ゲートウェイによって追跡される IP電話端末に対

して、ネットワーク・オブジェクト（ノードまたはネットワーク）を定義します。


2. ハンドオーバー・デバイスに対してネットワーク・オブジェクトを定義します

（MGCP_Call_Agent）。

3. VoIPドメイン・オブジェクトを定義します。コール・エージェント（MGCP_Call_Agent）が

単一の IPアドレスを持つ1台のコンピュータ上にある場合は、VoIPドメインを1つだけ定義

します。異なる IPアドレスを持っている場合は、各 IPアドレスに対してVoIPドメインを定

義します。

ネットワーク・オブジェクト・ツリーを右クリックし、［New...］>［VoIP Domains］>［VoIPDomain H.323 Gatekeeper］を選択します。


304

4. ルールを定義します。ハンドオーバーを完全に実施する場合は、以下のルールを定義します。

サービスの詳細は以下のとおりです。

• mgcp_CAはコール・エージェント・サービスです。このサービスはポート2727を使用

します。

• mgcp_MGはメディア・ゲートウェイ・サービスです。このサービスはポート2427を使

用します。

• mgcp_dynamic_ports はMGCPサービスで、事前定義されていないポートを使用します。たとえば、前のMGCPパッケージの[NotifiedEntity]フィールドで識別されたポート

です。

5. 内部ネットワークの電話端末に対してHide NAT（またはStatic NAT）を定義するには、

Net_Aのネットワーク・オブジェクトを編集します。［NAT］タブで、［Add Automatic Address Translation Rules］をオンにして［Translation method］（HideまたはStatic）を

選択します。

6. 必要に応じて、［Application Intelligence］>［VoIP］>［MGCP］以下のSmartDefenseオプ

ションを設定します。


表 9-33


Name VoIP_Domain

Related endpoints domain Net_AとNet_Bを含むグループ

VoIP Gateway installed at MGCP_Call_Agent

表 9-34


VoIP_Domain Net_A

Net_A VoIP_Domain

mgcp_CA、mgcp_MG、

またはmgcp_dynamic_portsAccept

SCCP ベースの VoIP のセキュリティ




SCCP プロトコル

多くのCisco® デバイスには、Cisco 独自のVoIP プロトコルであるSCCP（Skinny Client ControlProtocol）が使用されています。 SCCPプロトコルは、多くのCiscoパートナにもライセンス供与さ

れています。

SCCPは制御信号用にTCPをポート2000で使用します。メディアは、UDP上のRTPを使用して

SCCPクライアントまたはオーディオ用H.323端末との間で転送されます。

プロトコル・ヘッダはバイナリ形式のヘッダです（テキスト形式のヘッダを使用するMGCPなどと

は異なります）。

SCCPプロトコルでは多数のメッセージが定義されます。これは以下の3つのグループに大別でき

ます。

• 登録および管理用のメッセージ

• メディア制御用のメッセージ

• コール制御用のメッセージ




このセクションでは、SCCPプロトコルについて、VPN-1を使用してSCCPトラフィックの

セキュリティを保護することだけに限定して説明します。

SCCPプロトコル 305 ページ

SCCPデバイス 306 ページ

SCCPネットワーク・セキュリティとApplication Intelligence 306 ページ

ClusterXLのSCCPサポート 307 ページ

SCCPベースのVoIPの設定 307 ページ


306

SCCP デバイス

SCCPは、集中化されたコール制御アーキテクチャを備えています。 CallManagerはSCCPクライ

アント（VoIPエンドポイント）を管理します。このクライアントは IP電話端末またはCisco ATAア

ナログ電話アダプタの場合があります。 CallManagerはエンドポイントのすべての機能を制御し

ます。CallManagerはステーション機能などの情報を要求し、ボタン・テンプレートや日時などの

情報をVoIPエンドポイントに送信します。

CallManagersは、通常はノード・オブジェクトとしてSmartDashboardで定義されます。直接管理

される IP電話端末を含むネットワークもSmartDashboardで定義されます。通常は、個々の電話端

末に対してネットワーク・オブジェクトを定義する必要はありません。 CallManagerで管理する

Cisco ATAデバイスはSmartDashboardで定義する必要がありますが、接続されるアナログ電話は

定義されません。

SCCPでの通信を許可するには、SCCP制御信号がVPN-1ゲートウェイを通過することを許可する

ルールを作成するだけです。開くポートや通信するエンドポイントを指定するメディア用のルールを

定義する必要はありません。VPN-1はこの情報をシグナリングから取得します。VPN-1は、特定の

VoIPシグナリング・ルールを受け取ると、エンドポイント間のRTP/RTCPメディア・ストリーム

用ポートを自動的に開きます。

SCCP ネットワーク・セキュリティと Application Intelligence

VPN-1は、SCCPベースのVoIP通信に対して完全な接続性とネットワーク・レベルのセキュリティ

を提供します。すべてのSCCPトラフィックが検査され、適正なトラフィックは通過を許可され、

攻撃は遮断されます。アンチ・スプーフィングやDoS攻撃に対する保護など、VPN-1のすべての機

能がサポートされています。フラグメント化されたパケットは、カーネル・ベースのストリーミン

グを使用して調査されてセキュリティが保護されます。ただし、SCCPデバイスでのNATはサポー

トされていません。

247ページの「VoIP Application Intelligence」で説明しているように、VPN-1はハンドオーバー・

ロケーションを制限してシグナリングとデータ接続を制御します。

VPN-1は状態を追跡し、すべてのSCCPメッセージの状態が有効であることを検証します。多くの

主要なメッセージに対しては、メッセージのパラメータの存在と正当性も検証します。

SmartDefenseは、SCCP接続に対して追加のコンテンツ・セキュリティ検査を実行することで、

高度な保護を提供できます。



［Application Intelligence］>［VoIP］>［SCCP］で、以下の2つのオプションを利用できます。

• ［Verify SCCP Header Content］を選択すると、有害な可能性があるさまざまな制御文字と

空文字がブロックされます。

• ［Block Multicast RTP Connections］を選択すると、SCCPマルチキャストが遮断されます。 RTPはVoIPメディアで使用されるプロトコルです。マルチキャストRTPはラジオに使用でき

ます。サーバがマルチキャスト・アドレスを含むパケットを送信すると、CallManagerはポー

トを開きます。いずれのクライアントもそのポートのマルチキャストを待機できます。

ClusterXL の SCCP サポート

SCCPコールは、ClusterXLゲートウェイ・クラスタを介して行うことができます。ただし、フェイ

ルオーバーが発生するとコールは失われます。

SCCP ベースの VoIP の設定

SCCPベースのVoIPを設定するには、以下の手順に従います。

1. SCCPに対するSmartDefenseは、［Application Intelligence］>［VoIP］>［SCCP］で設定

します。

2. Cisco ATAデバイスまたはCallManagerによって制御されている IP電話端末のネットワーク・

オブジェクト（ノードまたはネットワーク）を定義します。

3. VoIPエンドポイント・ドメインのグループ・オブジェクトを定義します。これは手順2で定

義したすべてのネットワーク・オブジェクトのグループです。

4. CallManagerがインストールされているコンピュータのネットワーク・オブジェクトを定義し

ます。

5. VoIPドメイン・オブジェクトを定義します。

SmartDashboardメニューから、［Manage］>［Network Objects］>［New...］>［VoIP Domains］>［VoIP Domain SCCP］を選択します。［Name］にドメイン・オブジェクトの名前を入力

します。［Related endpoints domain］で、手順3で定義したグループ・オブジェクトを選択

します。［VoIP installed at］オプションで、手順4で定義したネットワーク・オブジェクトを

選択します。

6. トポロジに適したVoIPルールを定義します。事前定義されているSCCPサービスを、ルールの

［Service］カラムで指定します。 SCCPは他のVoIPプロトコルと相互運用できます。ただし、

SCCP設定は他のVoIPプロトコルの設定から独立しています。 SCCPとその他のVoIPプロト

コルに対して別々のルールを定義してください。


308

ルールはネットワーク・トポロジによって異なります。詳細については、以下のセクションを


• 308ページの「DMZのCallManager用のSCCPルール」

• 309ページの「内部ネットワークのCallManager用のSCCPルール」

• 310ページの「外部ネットワークのCallManager用のSCCPルール」


DMZ の CallManager 用の SCCP ルール

図 9-25に示すDMZトポロジでは、Cisco ATAデバイスまたは IP電話端末は内部ネットワークと外

部ネットワークにあり、CallManagerはVPN-1ゲートウェイの別のインタフェースに接続された

DMZネットワークにあります。

図 9-25 DMZ の SCCP CallManager

表 9-35のルールでは、ATA_IntとATA_Extによって管理されている電話端末は、お互いにコールし

あうことを許可されています。

表 9-35 DMZ の CallManager 用の SCCP ルール


ATA_IntATA_Ext

VoIP_Call_Manager SCCP Accept

VoIP_Call_Manager ATA_IntATA_Ext

SCCP Accept



VoIP_Call_Managerは、ATA_IntとATA_Extの両方を含むエンドポイント・ドメインを持つVoIPド

メイン・オブジェクトです。図 9-26に示すようにVoIPドメイン・オブジェクトを作成します。 CiscoATAデバイスと IP電話端末の両方のオブジェクトをグループ・オブジェクトに追加して、［Relatedendpoints domain］として使用します。［VoIP installed at］フィールドに、CallManager オブ

ジェクトを指定します。

図 9-26 SCCP CallManager の VoIP ドメイン

内部ネットワークの CallManager 用の SCCP ルール

図 9-27に示すトポロジでは、内部ネットワークと外部ネットワークにCisco ATAデバイスまたは

IP電話端末があります。 CallManagerは内部ネットワークにあります。

図 9-27 内部ネットワークの SCCP CallManager


310

表 9-36のルールでは、ATA_IntとATA_Extによって管理されている電話端末は、お互いにコールし

あうことを許可されています。各ルールでは1方向へのコールが許可されます。

VoIP_Call_Managerは、ATA_IntとATA_Extの両方を含むエンドポイント・ドメインを持つVoIPド

メイン・オブジェクトです。309ページの図 9-26に示すようにVoIPドメイン・オブジェクトを作

成します。Cisco ATAデバイスと IP電話端末の両方のオブジェクトをグループ・オブジェクトに追

加して、［Related endpoints domain］として使用します。［VoIP installed at］フィールドに、

CallManagerオブジェクトを指定します。

外部ネットワークの CallManager 用の SCCP ルール

図 9-28に示すトポロジでは、内部ネットワークと外部ネットワークにCisco ATAデバイスまたは

IP電話端末があります。 CallManagerは外部ネットワークにあります。

図 9-28 外部ネットワークの SCCP CallManager

表 9-36 内部ネットワークの CallManager 用の SCCP ルール


VoIP_Call_Manager ATA_Ext SCCP Accept 発信コール

ATA_Ext VoIP_Call_Manager SCCP Accept 着信コール



表 9-37の初のルールでは、ATA_Intによって管理されている電話端末とSkinny_LAN内の電話端

末は、ATA_Extによって管理されている電話端末にコールを行うことができます。 2番目のルール

では、逆方向へのコールが許可されます。この場合、CallManagerは外部ネットワークにあるので

VoIPドメインは必要ありません。VPN-1ゲートウェイ・オブジェクトの［Topology］ページで、

インターネットに面するインタフェースが［External］と定義されていることを確認してください。

CallManager が外部ネットワークにある場合の内部コールの許可

CallManagerが外部ネットワークにあり、異なるCisco ATAデバイスによって管理されている電話

端末間またはVPN-1ゲートウェイの同一インタフェースの背後にある IP電話端末間での内部コー

ルを許可する場合は、VoIPドメインを定義する必要があります。310ページの図 9-28にこの設定

を示します。表 9-38のルールでは、ATA_IntとSkinny_LANの IP電話端末の間のコールが許可され

ます。

VoIP_Call_Managerは、ATA_IntとSkinny_LANの両方を含むエンドポイント・ドメインを持つVoIPドメイン・オブジェクトです。309ページの図 9-26に示すようにVoIPドメイン・オブジェクトを

作成します。Cisco ATAデバイスと IP電話端末の両方のオブジェクトをグループ・オブジェクトに

追加して、［Related endpoints domain］として使用します。［VoIP installed at］フィールドに、

CallManagerオブジェクトを指定します。



ATA_IntSkinny_LAN

Call_Manager SCCP Accept 発信コール

Call_Manager ATA_IntSkinny_LAN

SCCP Accept 着信コール



ATA_IntSkinny_LAN

VoIP_Call_Manager SCCP Accept 発信コール

VoIP_Call_Manager ATA_IntSkinny_LAN

SCCP Accept 着信コール


312

313

第章10インスタント・メッセンジャのセキュリティ

この章の構成

インスタント・メッセンジャのセキュリティを保護する必要性 314 ページ

インスタント・メッセンジャのセキュリティについて 315 ページ

インスタント・メッセンジャのセキュリティについて 316 ページ

SIPベースのMSNメッセンジャーのNATサポート 317 ページ

MSNMSベースのMSNメッセンジャーのNATサポート 318 ページ

インスタント・メッセンジャ・アプリケーションのログ記録 318 ページ

SIPベースのインスタント・メッセンジャの設定 319 ページ

MSNMSベースのMSNメッセンジャーの設定 321 ページ

Skype、Yahoo、ICQおよびその他のインスタント・メッセンジャの設定 322 ページ

インスタント・メッセンジャのセキュリティを保護する必要性

314

インスタント・メッセンジャのセキュリティを保護する必要性

一般的なインスタント・メッセンジャの機能には、ファイル転送、リモートでの共同作業、および

リモート・アシスタンスがあります。たとえば、ファイル転送はウイルスやワームの感染源となる

可能性があります。旧来のコンテンツ・フィルタはインスタント・メッセンジャのトラフィックを

監視しないので、近のワームやトロイの木馬はインスタント・メッセンジャやP2Pネットワークを

悪用して感染を拡大します。リモート・アシスタンスを使用すると、ヘルプ・デスクのスタッフが

PCを制御できるので、サービスを改善してMISコストを削減できます。しかし、ハッカーによっ

てリモート・コンピュータを制御するために使われることもあります。

インスタント・メッセージ・プロトコル自体に、サービス妨害攻撃に悪用可能な脆弱性があります。

たとえば、一部のインスタント・メッセンジャでは、認証時に過剰に長いユーザ名とパスワードを

送信された場合に、バッファ・オーバーフローが発生してインスタント・メッセンジャのサーバが

応答不能に陥る可能性があります。

SIPは、企業で使用されるインスタント・メッセンジャの事実上の標準となりつつあります。 SIPベースのインスタント・メッセンジャには、既知のセキュリティの問題がいくつかあります。これは、

VoIP（Voice Over IP）で使用する場合はSIPに関連する脆弱性に似ていますが、インスタント・

メッセンジャの性質と企業内での使用方法が原因で脆弱性が増加しています。

インスタント・メッセンジャのセキュリティについて

第 10 章インスタント・メッセンジャのセキュリティ 315


インスタント・メッセンジャを使用すると、さまざまな通信モードを使用してユーザ間で通信およ

び共同作業を行うことができます。たとえば、インスタント・メッセージ、音声とビデオ、アプリ

ケーション共有、ホワイト・ボード、ファイル転送、リモート・アシスタンスなどです。

ファイアウォールとSmartDefenseを使用すると、インスタント・メッセンジャのセキュリティを

強力かつ柔軟に保護できます。特にMSN メッセンジャーでは、SIP モードでの操作と固有の

MSNMSプロトコルの両方において保護機能をより詳細に設定できます。

オーディオ、ビデオ、およびその他のMSNメッセンジャーの機能を選択して遮断することができ

ます。また、すべてのSIPベースのインスタント・メッセンジャのオーディオやビデオのストリー

ムを遮断することもできます。セキュリティ・ルール・ベースを使用すると、指定した場所との間

の通信を許可できます。

ファイアウォールとSmartDefenseでは、SIPベースのMSNメッセンジャー・トポロジのセキュリ

ティが保護されます。SIPベースのMSNメッセンジャーではSIPプロキシを使用する必要があり、

エンドポイント間でのコールはサポートされていません。


316


SIPベースのインスタント・メッセンジャでの通信のセキュリティ保護に関する原理を理解するに

は、第9章「VoIP（Voice Over IP）のセキュリティ」：243ページの「VoIPのセキュリティを保護

するチェック・ポイント・ソリューションについて」から253ページの「SIPベースのVoIPのセ

キュリティ」を参照してください。

VPN-1では、インスタント・メッセンジャが使用するサービスのポートが動的に開かれます。また、

これらのポートは必要な期間だけ開放され、コールが終了すると、タイムアウトする前でもすぐに

閉じられます。パケットの順序と方向も制御されます。

MSNメッセンジャーと使用されるプロトコルの詳細については、以下のMicrosoftのWebページを


• http://www.microsoft.com/japan/technet/prodtechnol/winxppro/evaluate/insid01.mspx

• http://www.microsoft.com/japan/technet/prodtechnol/winxppro/plan/rtcprot.mspx （技術的参考資料が必要な場合はこちらをお勧めします）

一部のP2Pアプリケーションもインスタント・メッセンジャの機能を備えていますが、それらも遮断

または許可できます。詳細については、SmartDefenseの［Application Intelligence］>［Peer toPeer］カテゴリのHTMLページとオンライン・ヘルプを参照してください。

http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/insid01.mspx

http://www.microsoft.com/technet/prodtechnol/winxppro/plan/rtcprot.mspx

SIP ベースの MSN メッセンジャーの NAT サポート


SIP ベースの MSN メッセンジャーの NATサポート

VPN-1のファイアウォールとSmartDefenseコンポーネントでは、SIPベースのすべてのMSNメッ

センジャー・アプリケーションが静的ネットワーク・アドレス変換（NAT）を使ってシームレスに

動作します。Hide NATは、インスタント・メッセンジャ（チャット）とオーディオ接続に対して

完全にサポートされています。その他のMSNメッセンジャー・アプリケーションでは、一部のHideNAT処理はMSNメッセンジャーの動作と整合性がないためサポートされていません。表 10-1で、

Hide NATをSIPベースのMSNメッセンジャー・アプリケーションで使用する方法を説明します。

表 10-1 SIP ベースの MSN メッセンジャー機能での Hide NAT のサポート

Hide NAT インスタント・

メッセージ

アプリケー

ション共有

とホワイト・

ボード

ファイル転送とリモート・アシスタンス

オーディオビデオと

オーディオ

内部→外部

（アウトバウンドの

トラフィック）

はいはいいいえはいいいえ

外部→内部

（インバウンドの

トラフィック）

はいいいえはいはいいいえ

内部→内部

（内部トラフィック）

はいはいはいはいはい

MSNMS ベースの MSN メッセンジャーの NAT サポート

318

MSNMS ベースの MSN メッセンジャーの NATサポート

MSNMSベースのMSNメッセンジャーでは、インスタント・メッセンジャとファイル転送アプリ

ケーションに対してStatic NAT（ネットワーク・アドレス変換）およびHide NATがサポートされ

ています。

インスタント・メッセンジャ・アプリケーションのログ記録

VPN-1では、インスタント・メッセンジャでの通信に関して、詳細なプロトコル固有のログを記録

できます。以下のイベントのログがSmartView Trackerに記録されます。

インスタント・メッセンジャのコールの設定および保守に使用されるポートは、固定または動的に

割り当てられます。これはコールのセットアップ順序によって異なり、イベントやアプリケーション

によって変化します。SmartView Trackerのログ記録の［Service］および［Source Port］フィール

ドには、使用されたポート番号が表示されます。

表 10-2 SmartView Tracker に記録される SIP ベースの MSN メッセンジャーのイベント

イベントまたはアプリケーション SmartView Tracker のフィールド名

値

コール登録 registered IP-phones SIPアドレス

インスタント・メッセージ media type instant messaging

オーディオ media type Audio

ビデオ media type Video

アプリケーション共有とホワイト・ボード（MSNメッセンジャーのみ）

media type Application

ファイル転送（MSNメッセンジャーのみ）

media type File_Transfer

リモート・アシスタンス（MSNメッセンジャーのみ）

media type Remote_Assistance



SIP ベースのインスタント・メッセンジャの設定ファイアウォールとSmartDefenseコンポーネントにより、すべてのSIPベースのインスタント・

メッセンジャ・アプリケーションを遮断または許可できます。SIPベースのMSNメッセンジャーで

は、より詳細に制御できます。

SIPベースのMSNメッセンジャーとその他のSIPベースのインスタント・メッセンジャを、基本的

なインスタント・メッセージ機能を含めて完全に遮断する場合は、セキュリティ・ルール・ベース

でSIPサービスを許可しないでください。

（基本的なインスタント・メッセンジャ機能を許可しながら）SIPベースのインスタント・メッセン

ジャを選択して遮断するには、以下の手順に従います。

1. SIPプロキシの使用を許可されたすべてのクライアントを含むネットワーク・グループ・オブ

ジェクトを作成します（たとえばallowed_phoneと名前を付けます）。

2. SIPプロキシに対してVoIPドメイン・オブジェクトを作成します（たとえばSIP_domainと

名前を付けます）。

3. 許可するサービスをすべて含むルールを定義します。表 10-3のルールはすべての関連サービ

スを含んでおり、双方向のコールが許可されます。

関連するサービスは以下のとおりです。

• sipは、プロキシ・サーバの使用を許可し、VoIPドメインを介したハンドオーバーを実施

します。261ページの「SIPサービス」を参照してください。

• sip_dynamic_portsは、SIPベースのすべてのインスタント・メッセンジャで必須です。

• T.120は、アプリケーション共有とホワイト・ボード・アプリケーションに必要です。

• MSN_Messenger_File_Transferは、MSNメッセンジャーのファイル転送アプリケー

ションで使用されます。

注： SIP プロキシのトポロジでの SmartDashboard の設定方法については、初に 263 ペー

ジの「SIP ベースの VoIP の設定」を読むことをお勧めします。

表 10-3 SIP ベースのインスタント・メッセンジャを許可するルールの例

SOURCE DESTINATION SERVICE ACTION TRACK

allowed_phonesSIP_domain

SIP_domainallowed_phones

sipsip_dynamic_portsT.120MSN_Messenger_File_Transfer

Accept Log


320

4. 必要に応じて、317ページの「SIPベースのMSNメッセンジャーのNATサポート」で説明す

る制限を考慮してStatic NATまたはHide NAT、あるいはその両方をMSNメッセンジャーに

対して設定します。

5. SmartDefenseで［Application Intelligence］>［VoIP］>［SIP］以下のオプションを設定し

ます。このオプションはSIPベースのMSNメッセンジャーなど、すべてのSIPベースのイン

スタント・メッセンジャに適用されます。

• ［Block SIP-based video］によって、SIPを使用してビデオを搬送するすべてのアプリ

ケーションが遮断または許可されます。 MSNメッセンジャーがSIPを使用するように設定

されている場合は、MSNメッセンジャーのビデオ・コンポーネントがこれに含まれます。

デフォルト設定では遮断されません。

• ［Block SIP-based audio］によって、SIPを使用してオーディオを搬送するすべてのア

プリケーションが遮断または許可されます。 MSNメッセンジャーがSIPを使用するよう

に設定されている場合は、MSNメッセンジャーのオーディオ・コンポーネントがこれに

含まれます。デフォルト設定では遮断されません。

• ［Block SIP-based Instant Messaging］によって、インスタント・メッセージにSIPを

使用するすべてのアプリケーションが遮断または許可されます。デフォルト設定では遮

断されます。

6. SIPベースのMSNメッセンジャーによって提供されるアプリケーションを選択的に遮断する

には、以下のように［Application Intelligence］>［Instant Messengers］>［MSN Messenger over SIP］のオプションを設定します。

• ［Block file transfer］を選択すると、ファイルを転送するアプリケーションへのアクセ

スが拒否されます。

• ［Block application sharing］を選択すると、ファイルを共有するアプリケーションへの

アクセスが拒否されます。

• ［Block white board］を選択すると、ホワイト・ボード・アプリケーションへのアクセス

が拒否されます。

• ［Block remote assistant］を選択すると、リモート・アプリケーションを使ったコン

ピュータへのアクセスが拒否されます。

MSNMS ベースの MSN メッセンジャーの設定


MSNMS ベースの MSN メッセンジャーの設定MSNMSベースのMSNメッセンジャーを、基本的なインスタント・メッセージ機能を含めて完全

に遮断するには、セキュリティ・ルール・ベースでMSNMSサービスを許可しないでください。

（基本的なインスタント・メッセンジャ機能を許可しながら）MSNMSベースのインスタント・メッ

センジャを選択的に遮断するには、以下の手順に従います。

1. 以下のサービスを許可するセキュリティ・ルール・ベースのルールを定義します。

• MSNMS、DNS（グループ）、Microsoft-ds、https

• MSNメッセンジャーのゲームを許可するには、httpも許可します。

2. 必要に応じて、318ページの「MSNMSベースのMSNメッセンジャーのNATサポート」で

説明する制限を考慮してStatic NATまたはHide NAT、あるいはその両方をMSNメッセン

ジャーに対して設定します。

3. SmartDefenseの［MSN Messenger over MSNMS］ページを以下のように設定します。

• ［Block video］を選択すると、MSNメッセンジャーのビデオ・アプリケーションが使用

できなくなります。

• ［Block audio］を選択すると、MSNメッセンジャーのオーディオ・アプリケーションが

使用できなくなります。

• ［Block file transfer］を選択すると、MSNメッセンジャーのファイル転送アプリケー

ションが使用できなくなります。

• ［Block application sharing］を使用すると、MSNメッセンジャーを使用したアプリ

ケーション共有が防止されます。

• ［Block white board］を選択すると、MSNメッセンジャーのホワイト・ボード・アプリ

ケーションが使用できなくなります。

• ［Block remote assistant］を選択すると、MSNメッセンジャーのホワイト・ボードの

リモート・アシスタンス・アプリケーションが使用できなくなります。

4. HTTPを使用するMSNメッセンジャー通信を遮断するには、［Web Intelligence］タブで、

［HTTP Protocol Inspection］>［Header Rejection］を選択し、MSNメッセンジャーのオプ

ションを選択します。

注：［Block video］オプションは、ビデオ会議アプリケーションに適用されます。 Web カ

メラ・アプリケーション（動的ポートを使用）は、Web カメラを許可する特別なルールを設

定しない限り常に遮断されます。

Skype、Yahoo、ICQ およびその他のインスタント・メッセンジャの設定

322

Skype、Yahoo、ICQ およびその他のインスタント・メッセンジャの設定

• Skype、Yahoo、ICQ、およびその他のインスタント・メッセンジャを許可するには、各アプ

リケーションのベンダーから提供されている指示に従ってください。

• Skype、Yahoo! Messenger、および ICQを遮断するには、［Application Intelligence］>［Instant Messengers］の下のSmartDefenseオプションを設定します。

• 一部のP2Pアプリケーションもインスタント・メッセージ機能を備えています。

［Application Intelligence］>［Peer to Peer］のオプションを使用して、P2Pアプリケー

ションを遮断または許可してください。

323

第章11Microsoft Networking Services（CIFS）のセキュリティ

この章の構成

Microsoft Networking Services（CIFS）の保護 324 ページ

サーバと共有へのアクセス制限（CIFSリソース） 325 ページ

Microsoft Networking Services（CIFS）の保護

324

Microsoft Networking Services（CIFS）の保護CIFS（Common Internet File System）は、ネットワーク上のサーバ・システムにファイル共有と

印刷サービスを要求するために使用するプロトコルです。CIFSはSMB（Server Message Block）プロトコルの拡張です。 CIFSは、TCPポート139を使用するNETBIOSセッション（nbsession）サービスの基本となるトランスポート層として使用されます。 Windowsネットワーキングでは、

CIFSはMicrosoft-DSプロトコル（ポート445）でネットワーキングおよびファイル共有に使用され

ます。 CIFSの詳細については、http://samba.org/cifs/を参照してください。

Windowsサーバは、管理上の理由からデフォルトの共有（C$、ADMIN$、PRINT$）がオープンに

なっているので、ファイル・サーバに対するパスワード攻撃などの内部攻撃の格好の目標になり

ます。

VPN-1は、セキュリティ・サーバを使用せずに検査モジュールでMicrosoft Networking Servicesのセキュリティを確保します。これにより、LANセキュリティ（Fast EthernetとGigabit Ethernet）に

必要な高いパフォーマンス要件を満たしています。

CIFSリソースを使用して、CIFS接続に対して以下のセキュリティ・チェックを実行できます。

• プロトコルの正確性を確認する

• クライアントが発行したCIFSメッセージとNETBIOSメッセージがメッセージ境界を越えた

場所を示すのを防止する

• CIFSサーバとディスク共有のリストへのアクセスを制限する

• ディスク共有へのアクセスをログに記録する

http://samba.org/cifs/

サーバと共有へのアクセス制限（CIFS リソース）

第 11 章 Microsoft Networking Services（CIFS）のセキュリティ 325

サーバと共有へのアクセス制限（CIFS リソース）サーバと共有へのアクセスを制限するには、以下の手順に従います。

1. 新しいCIFSリソースを定義します。

2. CIFSリソースを設定します。［Allowed Disk¥Print Shares］は、許可されたCIFSサーバと

ディスク共有のリストです。ワイルドカードを使用できます。［Add］、［Edit］、または

［Delete］を選択してリストを変更します。

たとえば、CIFSサーバBEATLES上のディスク共有PAULへのアクセスを許可するには、以下


a. ［Add］ボタンをクリックして［Server Name］フィールドに「BEATLES」、［Share Name］フィールドに「IPC$」と入力します。 [OK] ボタンをクリックします。

b. 再び［Add］ボタンをクリックして［Server Name］フィールドに「BEATLES」、［Share Name］フィールドに「PAUL」と入力します。 [OK]ボタンをクリックします。

3. 新しいルールを追加します。［Service］の下に、設定したリソースと共にnbsessionまたは

Microsoft-DSを追加します。


警告：コンテンツ検査を行うサービス・オブジェクトのプロトコルは、削除または変更しな

いでください。サービスを変更すると保護機能が働かなくなります。

サーバと共有へのアクセス制限（CIFS リソース）

326

327

第章12FTP セキュリティ

この章の構成

FTPコンテンツ・セキュリティについて 328 ページ

VPN-1カーネルによるFTPの実施 328 ページ

FTPセキュリティ・サーバによるFTPの実施 329 ページ

特定ディレクトリへのアクセス制限の設定 331 ページ

FTP コンテンツ・セキュリティについて

328

FTP コンテンツ・セキュリティについてFTP接続のコンテンツ・セキュリティは、VPN-1カーネルとFTPセキュリティ・サーバの両方で提

供されます。 FTPトラフィックに対してCVPチェックを実行できます。 CVPチェックを行うには、

FTPトラフィックをCVPサーバにリダイレクトします。これはFTPリソース・オブジェクトで設

定します。

VPN-1 カーネルによる FTP の実施 VPN-1カーネルは、クライアントによって発行されたPORTコマンドがRFCに準拠して使用され

るようにして、任意の構文が送信されないようにします。VPN-1は、以下のような追加のセキュリ

ティ制限を実施します。

• PORTコマンドの IPフィールドの適切な使用。これにより、PORTコマンドで指定された IPアドレスがクライアントの発信元アドレスと同じであることを確認します。これによってFTPバウンス攻撃を防ぎます。この保護機能を監視専用に設定するには、SmartDefenseで

［Application Intelligence］>［FTP］>［FTP Bounce］を選択します。

• PORTコマンドでのポートの適切な使用。既知のポートへのデータ接続は許可されません。

• データ接続での単方向データ・フロー。これは、双方向データ・フローを必要とする非FTPデータに対してデータ接続を使用するのを防止する副次的な防衛手段です。

FTP セキュリティ・サーバによる FTP の実施

第 12 章 FTP セキュリティ 329

FTP セキュリティ・サーバによる FTP の実施以下のセクションで説明するように、FTPセキュリティ・サーバは多くの機能を提供します。

許可されたプロトコル・コマンドの制御

事前定義されたリスト内のFTPコマンドのみが許可され、FTPトラフィックの文字が完全に制御さ

れます。ほとんど使用されないFTPコマンドは、FTPアプリケーションのセキュリティと完全性を

損なう可能性があるため遮断できる場合があります。この中には、SITE、REST、MACB、および

MAILやMSNDなどのメール・コマンドが含まれます。 SITEコマンドは、一般的なFTPアプリケー

ションが正しく動作するように、ログイン時に一度だけ有効になります。許可されたFTPコマンド

は、SmartDefenseで［Application Intelligence］>［FTP］>［FTP Security Server］>［AllowedFTP Commands］を選択して制御します。

VPN-1では、クライアントがデータ接続を開始するパッシブFTPと、サーバがデータ接続を開始す

るアクティブFTPの両方について、望ましいFTPトラフィック・モードを制御できます。ファイア

ウォールは通常、保護されたドメインの外側で開始された接続を遮断する必要があります。

保護された他のサービスの完全性の維持

FTPセキュリティ・サーバは、PORTコマンドでFTPクライアントまたはFTPセキュリティ・サー

バが使用するランダム・ポートを検証します。これによって、定義されたサービスで使用されるポー

トがランダム選択されるのを防ぎます。これによって、保護されたドメイン内の他のアクティブ・

サービスと作業中のサービスに対してデータ接続が開始されるのを防止します。

FTP アプリケーションの脆弱性の回避

PORTコマンドの値に攻撃を仕組むことができます。 PORTコマンドは通常、セキュリティの危険

性がある文字列操作機能を使用して解釈されます。FTPセキュリティ・サーバは、PORTコマンド・

パラメータに問題がないかどうかをチェックします。

FTP セキュリティ・サーバによる FTP の実施

330

FTP リソースによるコンテンツ・セキュリティ

サード・パーティ製のOPSEC認定CVPおよびUFPアプリケーションとの統合によってFTP接続

にウイルスや悪意のあるコンテンツが含まれていないかどうかを検査できます。詳細については、

341ページの「FTP接続のウイルス・スキャンへのCVPの使用」を参照してください。

特定ディレクトリへのアクセス制限の設定

第 12 章 FTP セキュリティ 331

特定ディレクトリへのアクセス制限の設定FTPリソースで、ファイルのダウンロードのみ（許可メソッドとしてGETを指定）、アップロード

のみ（許可メソッドとしてPUTを指定）、またはその両方を許可することができます。

また、特定のパスおよびファイル名、またはそのいずれかへの接続を制限することもできます。これ

により、FTPサーバのファイル・システムを保護できます。

以下の手順では、内部ネットワークからファイルをアップロードするときに、FTPサーバの特定の

ディレクトリへのアクセスを制限し、しかもFTPサーバの任意の場所から内部ネットワークへの

ファイルのダウンロードを許可します。

2つのリソースを作成する必要があります。1つはアップロード用で、もう 1つはダウンロード用

です。

アクセスを制限するには、以下の手順に従います。

1. ファイルのダウンロードを許可するFTPリソースを作成します（［Manage］>［Resources］を

選択して、［New］>［FTP...］をクリックします）。

［General］タブで、リソースに名前（たとえば、「Download」）を入力し、［Tracking Option］（たとえば、「Log」）を選択します。

［Match］タブで、ワイルドカードを使用して、許可するディレクトリ・パスを入力します。たと

えば、「*」と入力するとすべてのディレクトリとファイル名が許可されます。［Methods］で、

［GET］を選択します。

2. ファイルのアップロードを許可するFTPリソースを作成します。

［General］タブで、リソースに名前（たとえば、「Upload」）を入力し、［Tracking Option］を

選択します。

［Match］タブで、ワイルドカードを使用して、許可するディレクトリ・パスとファイル名を

入力します。たとえば、「/uploads/*」と入力します。［Methods］で［PUT］を選択します。

特定ディレクトリへのアクセス制限の設定

332

ファイルのアップロードを許可するルールとダウンロードを許可するルールを定義します。 LANの

名前がAlaska_LANで、DMZ内のFTPサーバの名前がAlaska.DMZ.ftpの場合、ルールは表 12-1に

示すようになります。


表 12-1 FTP アップロードとダウンロード用ルールの例

SOURCE DESTINATION SERVICE ACTION TRACK INSTALL ON TIME COMMENT

Alaska_Lan

Alaska.DMZ.ftp ftp->Upload Accept Log *Policy Targets

Any ftp upload to /uploads/*

Alaska_Lan

Alaska.DMZ.ftp ftp->Download Accept Log *Policy Targets

Any ftp download from*

333

第章13コンテンツ・セキュリティ

この章の構成

コンテンツ・セキュリティの必要性 334 ページ

コンテンツ・セキュリティのためのチェック・ポイント・ソリューション 335 ページ

コンテンツ・セキュリティの設定 346 ページ

CVPの詳細設定： CVPのチェーン化と負荷共有 355 ページ

コンテンツ・セキュリティの必要性

334

コンテンツ・セキュリティの必要性企業のリソースを保護することは、ほとんどのビジネスにとって主要な課題です。以下のようなさ

まざまな理由から、不要なコンテンツをブロックすることは企業のセキュリティ・ポリシーの重要

な要件です。

• 悪意のあるコードを含むコンピュータ・ウイルス、トロイの木馬、およびActiveXコンポーネ

ントによって、ネットワーク全体がダウンすることがあります。

• 望ましくないWebコンテンツを閲覧すると、時間とリソースが無駄になります。

アクセス制御ファイアウォールは、許可されていないトラフィックがゲートウェイを通過するのを

防ぎます。しかしハッカーは、許可されたトラフィックとサービスの悪用も試みます。現在のイン

ターネット環境でも深刻な脅威の中には、アプリケーション層を悪用しようとする攻撃があり

ます。アクセス制御デバイスは、これらのサービスを標的とした悪意のある攻撃を簡単には検出で

きません。

コンテンツ・セキュリティのためのチェック・ポイント・ソリューション

第 13 章コンテンツ・セキュリティ 335



コンテンツ・セキュリティについて

VPN-1は、VPN-1のコンテンツ・セキュリティ機能を補完する適なOPSEC認定アプリケーショ

ンと統合して、コンテンツ・セキュリティを提供します。 OPSECアプリケーションにより、組織

はコンテンツ・セキュリティを集中管理しながら、自分のニーズに適なコンテンツ・スクリーニ

ング・アプリケーションを選択できます。これらのアプリケーションは以下の処理を行います。

• データとURLをスキャンして、ウイルス、悪意のあるJavaとActiveXコンポーネント、および

その他の悪意のあるコンテンツが組織内に侵入するのを防いで、ネットワーク・ウイルスから

組織を保護します。

• URLをフィルタリングして、望ましくないWebサイトをユーザが閲覧するのを防ぎます。

• 監査機能と詳細レポートを提供します。

OPSECコンテンツ・セキュリティ・ソリューションの一覧については、

http://www.opsec.com/solutions/sec_content_security.htmlを参照してください。

ウイルス検索プログラムなどのコンテンツ・セキュリティ・アプリケーションは、特定のサービス

に対して個別のパケットの内容を検査します。

コンテンツ・ベクトリング・プロトコル（CVP）はチェック・ポイントが開発したAPI仕様で、ア

ンチウイルス・サーバとの統合に使用されます。このAPIは、ファイル・コンテンツを検証する

サーバ・アプリケーションとの間の非同期インタフェースを定義します。CVPの重要な機能は、

ファイルがファイアウォールを通過する際に、ウイルスや悪意のあるアプレットが含まれていない

かどうかをスキャンすることです。CVPはクライアント /サーバ関係を定義して、異なるVPN-1ゲートウェイが共通のコンテンツ検証サーバを共有できるようにします。

コンテンツ・セキュリティについて 335 ページ

セキュリティ・サーバ 336 ページ

OPSECサーバの導入 337 ページ

ウイルス対策と悪意のあるコンテンツ保護用のCVPサーバ 339 ページ

URLフィルタリングを使用したWeb利用者の制限 342 ページ

TCPセキュリティ・サーバ 345 ページ

http://www.opsec.com/solutions/sec_content_security.html


336

URLフィルタリング・プロトコル（UFP）は、禁止されたWebサイトへのユーザ・アクセスを遮

断するので、管理者は望ましくないWebサイトや不適切なWebサイトを定義できます。クライア

ント・マシン側での設定は不要です。UFPは、社員の生産性が低下するのを避けたい場合に便利

です。

サービス・プロバイダ環境では、インターネット・サービスへのアドオンとして提供され、子供の

Webサーフィンを親が制限するために使用したり、インターネット・コンテンツを本質的に信頼で

きないビジネスのために使用できます。

セキュリティ・サーバ

セキュリティ・サーバは、VPN-1に統合されたチェック・ポイントのプロセスです。これは、以下

のプロトコルに対してコンテンツ・セキュリティを行うユーザ・モードのプロセスです。

• HTTP

• FTP

• SMTP

汎用のTCPセキュリティ・サーバもあります。セキュリティ・サーバは、いろいろな方法でコンテ

ンツ・セキュリティを実施します。HTTPではスクリプト・タグの削除、SMTPでは電子メール・

アドレスの変換、FTPではファイル名の照合などを行い、これらのプロトコルによる接続が正しく

行われているかどうかを検査します。

コンテンツ・セキュリティのほかに、セキュリティ・サーバは認証も行います。セキュリティ・サー

バの認証機能の詳細については、57ページの「認証」を参照してください。

セキュリティ・サーバが接続を仲介する方法

図 13-1に、セキュリティ・サーバがどのように接続を仲介するかを示します。HTTPセキュリティ・

サーバを例にしていますが、この方法はすべてのセキュリティ・サーバに共通です。

パケットがリソースを含むルールと一致すると、検査モジュールは接続をセキュリティ・サーバに

転向または「フォールド」します。セキュリティ・サーバはコンテンツ・セキュリティ・チェック

を行い、必要に応じて、コンテンツ・ベクトリング・プロトコル（CVP）サーバ・アプリケーショ

ンまたはURLフィルタリング（UFP）サーバ・アプリケーションに接続を転向します。セキュリ

ティ・サーバは接続を検査モジュールに戻します。検査モジュールは宛先HTTPサーバに送信する

2番目の接続を確立します。



図 13-1 セキュリティ・サーバが接続を仲介する方法

宛先サーバから見える発信元 IPアドレスは、初に接続を開始したクライアントの IPアドレスです。

接続はVPN-1ゲートウェイの発信元 IPアドレスを持ってセキュリティ・サーバから開始され、発信

カーネルがNATを行うので、発信元 IPアドレスは元のクライアントの IPアドレスです。

OPSEC サーバの導入

CVPサーバやUFPサーバなどのOPSECソリューションは、専用サーバに導入されます（図 13-2）。これらのサーバは通常、DMZに置かれるか、プライベート・ネットワーク・セグメントにあります。

これにより、CVPサーバとVPN-1ゲートウェイの間で高速かつ安全な接続が可能です。

ネットワーク境界でのスキャンの実行は、デスクトップまたはアプリケーション・サーバでのス

キャンの実行に比べて安全で効率的です。


338

図 13-2 VPN-1 と OPSEC サーバの統合



ウイルス対策と悪意のあるコンテンツ保護用の CVPサーバ


CVP と SMTP および HTTP トラフィックに対するウイルス対策保護

HTTPまたはSMTPセキュリティ・サーバは、ウイルス・スキャンを行うために、VPN-1ゲート

ウェイからOPSEC認定ウイルス・スキャナを実行している他のサーバにパケットを転送します。

この方法では、コンテンツ・ベクトリング・プロトコル（CVP）を使用してOPSECウイルス・ス

キャン・サーバ間でパケットを転送します。

ウィルス・スキャンCVPサーバは、ウィルスが存在するかどうかを検査します。ウイルスを検出す

ると、以下のいずれかを行います。

• 不法なコンテンツを削除してファイルをVPN-1ゲートウェイに返す（CVPサーバがコンテン

ツを変更するように設定されている場合）。

• ファイルを破棄する（CVPサーバがコンテンツを変更できない場合）。

CVPはデフォルトでTCPポート18181を使用します。

HTTP セキュリティ・サーバが接続を処理する方法

このセクションでは、HTTPセキュリティ・サーバが接続をどのように処理してCVP検査を行うかに

ついて説明します。HTTPセキュリティ・サーバを実行するVPN-1ゲートウェイはプロキシとして

動作し、接続には直接関与しません。

CVPサーバを使用しない接続要求 /応答プロセスは以下のように行われます。

1. HTTPクライアントからHTTPサーバ（要求）

2. HTTPサーバからHTTPクライアント（応答）

CVPとSMTPおよびHTTPトラフィックに対するウイルス対策保護 339 ページ

HTTPセキュリティ・サーバが接続を処理する方法 339 ページ

Webトラフィックに対するCVPパフォーマンスの改善 340 ページ

FTP接続のウイルス・スキャンへのCVPの使用 341 ページ


340

検査する必要のあるデータは、Webサーバからの応答に含まれています。したがって、CVPサーバを

使用すると応答が常に検査されます。その場合、接続要求 /応答プロセスは以下のように行われます。

1. HTTPクライアントからHTTPサーバ（要求）

2. HTTPサーバからCVPサーバ（応答）

3. CVPサーバからHTTPクライアント（応答）

通常、WebサーバからのHTTP応答のみが検査のためにCVPサーバに送信されます。しかし、たと

えばP2P接続を検査する場合など、HTTP要求内の不要なコンテンツも防御したい場合があります。

この場合、接続要求 /応答プロセスは以下のように行われます。

1. HTTPクライアントからCVPサーバ（要求）

2. CVPサーバからHTTPサーバ（要求）

3. HTTPサーバからCVPサーバ（応答）

4. CVPサーバからHTTPクライアント（応答）

HTTPセキュリティ・サーバは、HTTPメッセージ・データだけでなくHTTPヘッダもCVPサーバ

に送信するように設定できます。

Web トラフィックに対する CVP パフォーマンスの改善

HTTPセキュリティ・サーバのパフォーマンスは、安全なトラフィックをCVPサーバに送信しない

ようにすることによって大幅に改善できます。これによって、CVPサーバで開く接続の数を減らす

ことができます。ただし、CVP検査のためにすべてのコンテンツを送信すると保護機能が強化され

ます。

VPN-1は、ウイルスが通常含まれていない実行不能な画像ファイルやビデオ・ファイルを安全と見

なします。

HTTPセキュリティ・サーバは、実際にファイルの内容を検査してコンテンツの安全性を確認します。

サーバの応答内のURL（*.GIF などのファイル拡張子）の検査やMIMEタイプ（image/gifなど）の

チェックには頼りません。

設定の詳細については、350ページの「WebトラフィックのCVP検査の設定によるパフォーマンス

の改善」を参照してください。



FTP 接続のウイルス・スキャンへの CVP の使用 FTP接続のウイルス・スキャンは、CVPプロトコルを使用してファイルをサード・パーティのウイ

ルス対策アプリケーションに転送することで実行できます。

図 13-3に、VPN-1がCVPを導入してFTP接続のウイルス・スキャンを実施する様子を示します。

図 13-3 FTP 接続時の CVP 検査処理

接続に関連するルールは、ウイルス対策検査用のコンテンツ・ベクトリング・プロトコル（CVP）を含むリソースを指定します。

1. FTPクライアントは、ポート21を経由してFTPサーバとの接続を確立します。

2. 検査モジュールはポート21でGETコマンドとPUTコマンドを監視し、CVPサーバを起動する

必要があることを判断します。

3. クライアントがポート20上でデータ転送を開始すると、検査モジュールはその接続をFTPセ

キュリティ・サーバに転向します。

4. FTPセキュリティ・サーバは検査対象のファイルをCVPサーバに送信します。

5. CVPサーバはFTPファイルを検査し、検査結果をFTPセキュリティ・サーバに知らせるため

に検証結果メッセージを返信します。

6. CVPサーバは、不要なコンテンツを取り除いたファイルをFTPセキュリティ・サーバに送信

します。

7. 検証結果メッセージに基づいて、FTPセキュリティ・サーバはファイルを転送するかどうかを

決定し、リソースに定義されたアクションを実行し、ファイル転送を許可または禁止します。

8. 許可する場合は、FTPセキュリティ・サーバはFTPファイルをFTPサーバに送信します。


342

URL フィルタリングを使用した Web 利用者の制限


URL フィルタリングについて

セキュリティ管理者は、インターネット上の特定の宛先へのアクセスを防ぎ、適切なWebページへ

のアクセスのみを許可し、特定のWebサイトへのアクセスや特定のファイル・タイプのダウンロー

ドを禁止することができます。

これは、サード・パーティ製のOPSEC認定URLフィルタリング・アプリケーションを使用して行

います。セキュリティ管理者はURLスクリーニングを含む企業セキュリティ・ポリシーを定義し

て、不要なWebページを遮断し、内部での分析と報告のために、アクセスされたURLの種類を記

録できます。

URLフィルタリング・プロトコル（UFP）サーバはURLとそのカテゴリのリストを管理します。

ユーザがURLを要求すると、VPN-1はUFPサーバにそのURLを問い合わせ、UFPサーバはその

URLが属するカテゴリを返します。 SmartDashboardで、許可するカテゴリを選択できます。Webページへのアクセスは、そのURLが許可されたカテゴリに属していれば許可されます。

デフォルトでは、UFPはTCPポート18182を使用します。

VPN-1は、以下の2つの方法でOPSEC認定ソリューションに統合できます。

• Enhance UFP Performanceモード（URI ResourceではEnhance UFP Performanceと呼ば

れます）では、VPN-1カーネル検査を専用のUFPデーモン（aufpd）と共に使用します。

ただし、このモードでは同じ接続に対してCVP検査とUFP検査を使用できません。

• 通常のUFP検査モードでは、VPN-1 HTTPセキュリティ・サーバを使用してUFP接続を仲介

します。このため、Enhance UFP Performanceモードに比べて、Webサイトを閲覧するクライ

アントの応答時間が大幅に増えます。

設定の詳細については、350ページの「UFPサーバを使用したURLフィルタリングの設定」を参照


URLフィルタリングについて 342 ページ

HTTPセキュリティ・サーバを使用したURLフィルタリング 343 ページ

Enhance UFP Performanceモード 344 ページ

URLフィルタリング・モードの選択 345 ページ

注： VPN-1 には基本的な URL フィルタリング機能が組み込まれています。これを使用して、

UFP サーバを使用せずに URL の特定のリストをブロックできます。詳細については、374ページの「基本的 URL フィルタリング」を参照してください。



HTTP セキュリティ・サーバを使用した URL フィルタリング図 13-4に、VPN-1がHTTPセキュリティ・サーバとUFPサーバを使用してHTTP接続のURLフィ

ルタリングを行う様子を示します。

図 13-4 HTTP 接続の URL フィルタリング（UFP）プロセス

1. Webクライアントは、VPN-1検査モジュールを介して接続を開始します。

2. HTTPセキュリティ・サーバはUFPを使用して、分類するURLをサード・パーティ製のUFPサーバに送信します。

3. UFPサーバはファイルを検査し、検査結果をセキュリティ・サーバに知らせるために検証結果

メッセージを返信します。

4. 検査モジュールは、検証結果メッセージに基づいてそのWebページの表示を許可または禁止

します。


344

Enhance UFP Performance モード図 13-5に、HTTP接続のEnhanced UFP Performanceモードの仕組みを示します。

図 13-5 カーネル検査を使用した Enhanced UFP Performance プロセス

1. Webクライアントは、VPN-1検査モジュールを介して接続を開始します。

2. カーネル検査モジュールは、UFPサーバから確認を受信する前にWebクライアントがWebサーバから応答を受信するのを禁止するバリアを作成します。

3. Webサーバ宛てのHTTP要求は、中断されることなくVPN-1を通過します。

4. 検査モジュールは手順3と同時にURLを抽出し、AUFPDデーモンはURLを分類するために

UFPサーバとの間でUFPセッションを確立します。

5. AUFPDは検証結果メッセージに基づいて、URLをブロックするべきかどうかを検査モジュール

に知らせます。

6. URLが許可されるとバリアが取り除かれ、WebサーバからのHTTP応答はVPN-1を通過する

ことを許可されます。

7. URLがブロックされるとHTTP応答は拒否されます。



URL フィルタリング・モードの選択

「Enhance UFP Performanceモード」と「HTTPセキュリティ・サーバを使用したURLフィルタリ

ング」では、UFPフィルタリングの方法が異なります。使用する方法を決定するときに、パフォー

マンスとセキュリティのバランスをとる必要があります。

Enhance UFP Performanceモードを使用した場合は、VPN-1 HTTPセキュリティ・サーバを使用

したUFP検査モードに比べて、Webサイト閲覧時の応答時間が大幅に短縮されます。ただし、こ

のモード（URI ResourceではEnhance UFP Performanceと呼ばれます )では、同じ接続に対して

CVP検査とUFP検査の両方を使用することはできません。

TCP セキュリティ・サーバ

悪意のあるコンテンツは、SMTP、HTTP、FTPだけでなくTCPサービスで送られてくる可能性も

あります。

TCPセキュリティ・サーバは、任意のTCPサービスに対して、サード・パーティ製のOPSEC準

拠アプリケーションによってCVPまたはUFPコンテンツ・セキュリティを実施するために使用し

ます。

設定の詳細については、354ページの「任意のTCPサービスに対するCVPまたはUFP検査の実施」

を参照してください。

コンテンツ・セキュリティの設定

346



リソースの定義と使用方法

セキュリティ・ルール・ベースによってコンテンツ・セキュリティを実施するには、「リソース」と

呼ばれるオブジェクトをSmartDashboardで定義します（図 13-6）。リソースは、具体的なアプリ

ケーション層コンテンツの照合に使用されます。つまり検査するコンテンツを指定し、そのコンテ

ンツに対して何らかのアクションを行います。

図 13-6 URI Resource の［General］タブ

リソースの定義と使用方法 346 ページ

リソースの作成とルール・ベースでの使用 347 ページ

着信電子メールに対するウイルス対策検査の設定 348 ページ

WebトラフィックのCVP検査の設定によるパフォーマンスの改善 350 ページ

UFPサーバを使用したURLフィルタリングの設定 350 ページ

任意のTCPサービスに対するCVPまたはUFP検査の実施 354 ページ

CVPの詳細設定： CVPのチェーン化と負荷共有 355 ページ



リソースを使用すると、リソースの用途に応じてカーネル検査またはセキュリティ・サーバが有効

になります。

たとえば、FTP転送内にGETまたはPUTがある場合、または指定した名前のファイルが転送に含

まれている場合は、接続を破棄して警報を出力するルールを作成できます。別のルールでは、電子

メールのアドレスや添付ファイルを破棄し、残りのコンテンツを許可することもできます。

目的のコンテンツを指定するために、リソース内で正規表現とワイルド・カードを使用できます。

リソースは、リソースを含むルールに一致するパケットが検出されるとトリガされます。リソース

はサービスごとに適用されます。接続がルールの発信元と宛先、およびリソースの照合パラメータ

に一致した場合は、ルールのアクションとリソースのアクションの両方が適用されます。

リソースの作成とルール・ベースでの使用1. リソースを作成するには、オブジェクト・ツリーの［Resources］タブを選択します。リソー

ス・タイプを選択し、右クリックして［New URI...］や［New SMTP...］などのリソース・タ

イプを選択します。

2. ［General］タブおよび（必要に応じて）その他のタブでリソース・パラメータを定義します。

3. ルールでサービスにリソースを使用するには、ルールの［Service］カラムを右クリックして

［Add with Resource...］を選択します。［Service with Resource］ウィンドウでサービスを

選択し、サービスに影響するリソースを選択します。［OK］をクリックします。

接続がルールの発信元と宛先、およびリソースの照合パラメータに一致した場合は、ルールのアク

ションとリソースのアクションの両方が適用されます。


348

着信電子メールに対するウイルス対策検査の設定

本機能の目的は、図 13-7に示すように着信メール内のウイルスを検査することです。 SMTPメールは、

インターネットからDMZセグメント内のメール・リレー・サーバ（Mail_relay）に送信されます。

メールは、内部メール・サーバ（Mail_server）に転送される前に、アンチウイルス・サーバ

（Anti_virus_server）でウイルス検査を受けます。送信メールは、メール・サーバからインターネッ

トに送信されます。

図 13-7 着信電子メールに対するウイルス対策検査を示す設定の例

着信電子メールに対するウイルス対策検査を設定するには、以下の手順に従います。

1. サード・パーティ製のOPSECサーバ・アプリケーションがインストールされているコン

ピュータのホスト・オブジェクトを作成します。

2. OPSECアプリケーション・サーバを表すOPSECアプリケーション・オブジェクトを作成し、

手順1で作成したホスト・オブジェクトに関連付けます。

3. OPSECアプリケーション・オブジェクトを使用するSMTPリソースを定義し、手順2で作成

したOPSECアプリケーション・オブジェクトに関連付けます。実施する照合とコンテンツ検

査を指定します。

4. リソースを使用するルールを定義します。

着信電子メールに対するウイルス対策検査を実装するには、以下の手順に従います。


ピュータのホスト・オブジェクト（たとえば、Anti_virus_server）を作成します。

2. OPSECアプリケーション・サーバを表すOPSECアプリケーション・オブジェクトを作成し、

手順1で作成したホスト・オブジェクトに関連付けます。OPSECアプリケーションと

SmartCenterサーバの間で安全な内部通信（Secure Internal Communication）を開始します。

［CVP Options］タブでFW1_cvpが選択されていることを確認して、［OK］ボタンをクリッ

クします。



3. OPSECオブジェクトを使用するSMTPリソースを定義し、手順2で作成したOPSECアプリ

ケーション・オブジェクトに関連付けます。実施する照合とコンテンツ検査を指定します。

a. ［General］タブで、リソースに名前（virus_check など）を付けます。［Mail Delivery］オプション、［Error Mail Delivery］オプション、および［Exception Tracking］を選択します。

b. ［Match］タブで、［Sender］に「*」、［Recipient］に「*@your_domain」（your_domainは *@company.comのように自分の会社名などで置換）と入力します。

c. ［Action1］タブで、［Rewriting Rules］（書き換えルール）があれば定義します。

d. ［Action2］タブで、［Attachment handling］（添付処理）があれば定義します。許可する

大の電子メール添付ファイルを定義します。

4. ［CVP］タブで［Use CVP (Content Vectoring Protocol)］をオンにし、手順1で定義した

CVPサーバを選択し、［CVP Server Options］と［Reply Order］を定義します。

［OK］をクリックします。「message/partial」タイプのMIMEの削除に関するメッセージが表

示される場合があります。「message/partial」タイプのMIMEの削除を受け入れると、［Action2］タブの設定が変更されます。［Strip MIME of Type］フィールドには「message/partial」が表示

されます。 Multipurpose Internet Mail Extension（MIME）タイプのmessage/partialを削除すると、

マルチ・パート・メッセージはスキャン対象として受け取られません。

5. 着信メールのウイルス検査を行うルールと発信メールを許可するルールを定義します。

表 13-1にこれらのルールの例を示します。


表 13-1

SOURCE DESTINATION SERVICE ACTION TRACK INSTALL ON COMMENT

Any mail_relay smtp Accept Log Corporate_gw Incoming emailto mail relay

mail_relay mail_server smtp->virus_check

Accept Log Corporate_gw Incoming emailvirus scan

mail_server Any smtp Accept Log Corporate_gw Outgoing email


350

Web トラフィックの CVP 検査の設定によるパフォーマンスの改善

HTTP接続を検査する際のCVPサーバのパフォーマンスは、安全でないファイル・タイプのみを

CVPサーバでの検査に送信することによって改善できます。基本的な情報については、340ページ

の「Webトラフィックに対するCVPパフォーマンスの改善」を参照してください。

Webトラフィックに対するCVP検査を設定するには、以下の手順に従います。

1. CVPサーバ・アプリケーションがインストールされているコンピュータのホスト・オブジェ

クトを作成します。

2. CVPサーバを表すOPSECアプリケーション・オブジェクトを作成し、手順1で作成したホス

ト・オブジェクトに関連付けます。

3. OPSECアプリケーション・オブジェクトを使用するURIリソースを定義し、手順2で作成した

OPSECアプリケーション・オブジェクトに関連付けます。名前（Internal.HTTP.CVPなど）を

付けて、実施する照合とコンテンツ検査を指定します。

4. ［CVP］タブで、［Send only unsafe file types to the CVP server］とその他の必要なCVPオプションを選択します。

5. リソースをHTTPサービスに関連付け、セキュリティ・ルール・ベース内のルールに設定し

ます。ルールの例は、表 13-2を参照してください。

UFP サーバを使用した URL フィルタリングの設定

VPN-1は、URLフィルタリング・プロトコル（UFP）サーバを使用してWeb接続試行を検査します。

UFPサーバは、URLとその該当カテゴリ（許可または拒否）のリストを管理しています。

URLデータベースを更新して、ブロックするサイトの新リストを提供できます。 VPN-1とURLフィルタリング・サーバの間のすべての通信にはUFPが使用されます。

表 13-2 ルール・ベース内の URI リソースの例


Internal_LAN Any http->Internal.HTTP.CVP Accept



UFP モードでのルールの照合

UFPルールの照合の動作は、Enforce URI Capabilitiesモード（HTTPセキュリティ・サーバを使用）

とEnhance UFP Performanceモード（カーネルを使用）で異なります。これら2つのモードの詳

細については、342ページの「URLフィルタリングを使用したWeb利用者の制限」を参照してくだ

さい。

• Enforce URI Capabilitiesモードでは、接続はルールのSource、Destination、Service、および

リソースのUFPカテゴリと照合されます。

接続がこれらのすべてと一致しない場合は、一致するルールが見つかるまで接続はルール・

ベースのそれ以降のルールと照合されます。

• Enhance UFP Performanceモードでは、接続はルールのSource、Destination、および

Serviceのみと照合されます。UFPカテゴリとの照合は行われません。接続がルールの

Source、Destination、Serviceのすべてに一致した場合は、ルール・ベースのそれ以降のルー

ルとは照合されません。

このモードでは、接続がUFPカテゴリに一致した場合に、ルールのActionで指定されたアク

ションが実行されます。接続がUFPカテゴリに一致しない場合は、ルールのActionで指定された

アクションと逆のアクションが実行されます。

つまり、所定のSource/Destination/Serviceに対して、Enhance UFP Performanceモードのリソー

スのルールが1つあればよいことになります。リソースの［Match］タブで、すべてのUFPカテゴ

リを含める必要があります。ルールのActionで指定されたアクションは、選択したカテゴリのいず

れかが接続に一致した場合に実行されます。

UFPリソースでEnforce URI Capabilitiesモードを使用する場合は、所定のSource、Destination、Serviceに対してこのモードのリソースのルールを複数持つことができます。ただし、ルール・ベー

スをシンプルでエラーの発生しにくくするには、Enhance UFP Performanceモードではリソース

のルールを1つだけ使用することをお勧めします。

例として以下のルールを見てみましょう。

接続が「Alcohol」というUFPカテゴリに一致した場合は、以下のようになります。

• Enhance UFP Performanceモードでは、接続がルール1に一致し、アクションがAcceptとなります。これは望ましい動作ではありません。

• Enforce URI Capabilitiesモードでは、接続はルール2に一致し、アクションがDropとなり

ます。

表 13-3

NO. SOURCE DESTINATION SERVICE ACTION

1 Any Any 「Drugs」UFPカテゴリのリソース Drop

2 Any Any 「Alcohol」UFPカテゴリのリソース Drop


352

ルールがモードを問わず機能し、シンプルなものになるようにするには、以下のように設定します。

表 13-4


1 Any Any 「Drugs」と「Alcohol」UFPカテゴリの

リソース Drop



URL フィルタリングの設定ここでは、VPN-1カーネルまたはセキュリティ・サーバを使用してURLフィルタリングを設定す

る方法について説明します。基本的な情報については、342ページの「URLフィルタリングを使用

したWeb利用者の制限」を参照してください。


ピュータのホスト・オブジェクトを作成します。

2. OPSECアプリケーション・サーバを表すOPSECアプリケーション・オブジェクト

（Alaska_HTTP_UFP）を作成し、手順1で作成したホスト・オブジェクトに関連付けます。

3. OPSECアプリケーション・オブジェクトを使用するURIリソースを作成し、手順2で作成した

OPSECアプリケーション・オブジェクトに関連付けます。

4. VPN-1カーネルを使用してURLフィルタリングを行うには、［Enhance UFP Performance］を

選択します。

セキュリティ・サーバを使用してURLフィルタリングを行うには、［Enforce URI capabilities］を選択して［URI Match Specification Type］で［UFP］を選択します。

［Match］タブで、手順2で作成したUFPサーバ・オブジェクトを選択します。適切なCategoriesをオンにします。 UFPサーバに応じて、BlockedとNot Blockedの2つのカテゴリしか表示さ

れないものと、多数のカテゴリが表示されるものがあります。

図 13-8に、多数のカテゴリのうちの1つに一致する、制限されたリソースを示します。

図 13-8 UFP の URI Resource の［Match］タブ


354



ルール1のACTIONは、リソースがBlockedカテゴリと一致するのでDropです。リソースが

Not Blockedカテゴリと一致する場合は、ルール1と2のACTIONが入れ替わり、ルール1が

Accept、ルール2がDropとなります。

ルール2は、Enforce URI Capabilitiesモードに必要です。Enhance UFP Performanceモー

ドでは、ルール・ベースに複数のURIリソースが使用されている場合の問題を回避することを

お勧めします。

任意の TCP サービスに対する CVP または UFP 検査の実施

任意のTCPサービスに対するCVPまたはUFP検査を設定するには、以下の手順に従います。

1. ［TCP Service Properties］ウィンドウの［Advanced］タブで、［Enable for TCP Resource］をオンにします。

2. TCPリソースを作成します。[General]タブで、[CVP]または [UFP]と [Exception Track]メソッドを選択します。

3. ［CVP］タブまたは［UFP］タブで設定を行います。

4. ルールをルール・ベースに追加し、［Service］カラムで［Add with Resource］を選択し

ます。

5. ［Service with Resource］ウィンドウで、手順1で設定したTCPサービスを選択し、

［Resource］の下で手順2で作成したリソースを選択します。


詳細については、345ページの「TCPセキュリティ・サーバ」を参照してください。

電子メールに対するCVP検査を設定するには、348ページの「着信電子メールに対するウイルス対

策検査の設定」を参照してください。

Webトラフィックに対するCVPおよびUFP検査を設定するには、384ページの「Webコンテンツ

保護の設定」を参照してください。

表 13-5 UFP ルール・ベース・ポリシーの例


1 Any Any http->Alaska_HTTP_UFP Drop

2 Any Any http Accept

CVP の詳細設定： CVP のチェーン化と負荷共有




CVP のチェーン化と負荷共有について

VPN-1ゲートウェイを通過するトラフィックは、CVPサーバを使用して検査できます。 Web、メー

ル、FTP、およびTCPトラフィックに対してCVP検査が可能です。詳細については、以下のセク

ションを参照してください。

• 339ページの「CVPとSMTPおよびHTTPトラフィックに対するウイルス対策保護」

• 341ページの「FTP接続のウイルス・スキャンへのCVPの使用」

機能を組み合わせる場合、CVPサーバ間で負荷共有を行う場合、またCVP検査を高速化する場合

に有効です。

CVP のチェーン化

機能を組み合わせるためにCVPサーバをチェーン化できます。チェーン化は、ウイルスのスキャン

や大きな電子メール添付ファイルのブロックなど、各CVPサーバが異なる機能を実行している場合

に便利です。図 13-9に示す構成では、VPN-1セキュリティ・サーバが第1、第2、第3のCVPサー

バを順番に起動します。

CVPのチェーン化と負荷共有について 355 ページ

CVPのチェーン化 355 ページ

CVP負荷共有 357 ページ

CVPのチェーン化と負荷共有の組み合わせ 358 ページ

CVPのチェーン化と負荷共有の設定 358 ページ


356

図 13-9 CVP サーバのチェーン

チェーン化されたCVPサーバは、CVPグループ・オブジェクトで管理者が設定した順に起動され

ます。チェーン化の順番を決定するときには、セキュリティや接続性の問題がないかどうかを検討

してください。たとえば、図 13-9ではウイルス・スキャンを初に行う必要があります。

チェーン化されたサーバが呼び出される順番は、サーバの「応答」に関連します。これは、サーバ

がVPN-1ゲートウェイの保護されていない（外部インタフェース）側にあるか、保護されている

（内部インタフェース）側にあるかによって決まります。

たとえば図 13-9で、外部FTPサーバからファイルをダウンロードしている内部FTPクライアント

のユーザを考えてみましょう。CVP検査は、CVPグループ・オブジェクトで定義された順に、FTPサーバからの応答（つまり、ダウンロードされたファイル）に対して行われます。

この順番には例外が1つあります。HTTPセキュリティ・サーバでは、HTTP要求に対してCVP検

査を実行できます。 HTTP要求のCVP検査は、CVPグループ・オブジェクトで指定された順と逆の

順にCVPサーバによって行われます。

CVPのチェーン化は、チェーン内のすべてのサーバが使用可能な場合にのみ機能します。 1つまた

は複数のサーバが使用できない場合は、CVPセッション全体が廃棄されます。これは、1つのサー

バをスキップするのはセキュリティ・ポリシーに矛盾する可能性があるからです。たとえば、セ

キュリティ・ポリシーで、ウイルス・スキャンと大きな添付ファイルのブロックの両方が必須とし

て指定されている場合があります。



CVP 負荷共有

機能が類似したCVPサーバは、サーバ間で負荷を共有するように設定できます。負荷共有により、

複数のCVPサーバ上で多数のCVPセッションを同時に実行できるようにして、CVP検査を高速化

できます。

以下の2つの負荷共有方法が使用できます。

• ラウンド・ロビン： VPN-1セキュリティ・サーバは、新しい各CVPセッションを異なるCVPサーバに順に送信します。

• ランダム： VPN-1セキュリティ・サーバは新しい各CVPセッションを、ランダムに選択され

たCVPサーバに送信します。

応答しないCVPサーバに対しては、負荷共有を中断する期間を設定できます。その期間中、その

CVPサーバは負荷共有グループに参加しません。

CVP負荷共有は、CVPサーバのグループを起動するリソースを定義して実施されます。ラウンド・

ロビン・モードでの順番は、CVPグループ・オブジェクトで設定されます。

図 13-10に、負荷共有を行っている2つのCVPサーバを示します。

図 13-10 CVP サーバ間での負荷共有


358

CVP のチェーン化と負荷共有の組み合わせ

CVPのチェーン化と負荷共有を組み合わせることができます。図 13-11は3つのCVPサーバを示し

ています。2つはその間で負荷共有を行い、負荷共有グループは3番目のCVPサーバにチェーン化

されています。

負荷共有グループをCVPチェーンに入れることはできますが、チェーン化されたCVPグループ間

で負荷共有を行うことはできません。

図 13-11 負荷共有 CVP サーバ・グループのチェーン化

CVP のチェーン化と負荷共有の設定1. 各CVPサーバに対してCVPサーバ・オブジェクトを定義します。

CVPサーバ・オブジェクトを定義するには、［Servers and OPSEC Application］ツリーを右

クリックして、［New］>［OPSEC Application...］を選択します。［OPSEC ApplicationProperties］ウィンドウの［General］タブで、選択した［Server Entities］にCVPが含まれ

ていることを確認します。

2. CVPグループ・オブジェクトを定義します。 CVPグループ・オブジェクトにはCVPサーバ・

オブジェクトが含まれていて、CVPサーバのOPSECアプリケーション・オブジェクトと

同じように使用されます。CVPグループ・オブジェクトを定義するには、［Servers and OPSEC Application］ツリーを右クリックして［New］>［CVP Group］を選択します。

3. ［CVP Group Properties］ウィンドウで、CVPサーバをグループに追加します。

4. ［Work distribution method］として［Load sharing］または［Chaining］を選択します。

5. ［Load sharing］を選択した場合は、［Load sharing method］と［Load sharing suspend timeout］を定義します。



6. リソース・オブジェクトを作成します。［Resources］ツリーで、右クリックして［New］>［URI...］、［New］>［SMTP...］、［New］>［FTP...］、［New］>［TCP...］のいずれかを選択し

ます。コンテンツ・セキュリティ機能を定義します。

7. リソース・オブジェクトの［CVP］タブの［CVP Server］フィールドで、手順2で定義した

CVPグループを選択します。

8. セキュリティ・ルール・ベースで、リソースを使用するルールを定義します。



360

361

第章14Application Intelligenceによるサービス

この章の構成

DCE-RPC 362 ページ

SSLv3サービス 363 ページ

SSHv2サービス 363 ページ

FTP_BASICプロトコル・タイプ 363 ページ

Domain_UDPサービス 364 ページ

ポイント・ツー・ポイント・トンネリング・プロトコル（PPTP） 365 ページ

ビジター・モード（TCPT）のブロッキング 367 ページ

Application Intelligence によるサービスについて

362

Application Intelligence によるサービスについて

ポート番号だけではなく、VPN-1がコンテンツを検査できるTCPサービスがたくさんあります。

コンテンツ検査をサポートしているサービスは、［TCP Service Properties］>［Advanced］ウィ

ンドウでプロトコル・タイプが定義されているサービスです。また、リソースを指定したnbsessionまたはMicrosoft-DSも含まれます。

DCE-RPCDCE-RPC（Distributed Computing Environment- Remote Procedure Call）は、リモート・マシン

上のプロシージャを呼び出す技術です。 DCE-RPCは、特定のTCPポートまたはUDPポートに関連

付けられた他のサービスと異なり、エンドポイント・マッパーによって動的に割り当てられたポー

ト番号を使用します。

DCE-RPCは、特定のアプリケーションに動的にポート番号を割り当てるためにエンドポイント・

マッパー・メカニズムを使用します。 DCE-RPCアプリケーションに接続したいクライアントは、通

常、TCPポート135（デフォルトのRPCエンドポイント・マッパー・ポート）に接続して、エンド

ポイント・マッパーにUUID番号インタフェースを提供します。するとエンドポイント・マッパー

は、クライアントが接続できるポートをクライアントに提供します。

SmartView TrackerはUUIDインタフェースを記録しているので、一般的でないUUIDインタフェー

スを特定できます。そのため、UUIDインタフェースを使用してセキュリティ・ルールを実施でき

ます。

警告：コンテンツ検査を行うサービス・オブジェクトのプロトコルは、削除または変更しな

いでください。サービスを変更すると、コンテンツ検査が動作しなくなる場合があります。

SSLv3 サービス

第 14 章 Application Intelligence によるサービス 363

SSLv3 サービスSSLの従来のバージョンで発生するセキュリティの問題を回避するために、SSLクライアント接続

がSSL プロトコルのバージョン3 以上を使用していることを検査できます。 SSLv3 の検査は、

ssl_v3サービスを使用して実施できます。

ルールでssl_v3サービスが使用されていてSSLv2接続が試みられた場合は、接続が拒否されます。

多くのインターネット・ブラウザはSSLv2を使用しています。これらの接続がVPN-1を通過する

ことを許可するには、ルール・ベースでHTTPSサービスを使用します。

SSHv2 サービスSSHの従来のバージョンで発生するセキュリティの問題を回避するために、SSH接続がプロトコ

ルのバージョン2以上を使用していることを検査できます。 SSHv2の検査は、ssh_version_2サー

ビスを使用して実施できます。

ルールでSSHv2サービスが使用されている場合は、SSHv1接続が破棄されます。

FTP_BASIC プロトコル・タイプFTP_BASICは新しいプロトコル・タイプです。このプロトコル・タイプは、通常のFTPプロトコル・

タイプが行うよりも緩やかなFTPセキュリティ・チェックを行います。 FTP_BASICを使用すると、

完全にRFC互換ではないFTP接続性の既知の問題を排除できます。以下の検査はFTP_BASICでは

実施されず、FTPプロトコル・タイプで実施されます。

• すべてのパケットが改行文字で終わる必要があるので、PORTコマンドはパケット間にまた

がりません。これによってFTPバウンス攻撃を防ぎます。

• 既知のポートで送受信されるデータ接続を禁止して、FTPデータ接続を使用して他のサービス

にアクセスされるのを防ぎます。

• データ通信上の双方向トラフィックは、不正に使用される可能性があるため許可しません。

Domain_UDP サービス

364

Domain_UDP サービスDomain_UDPサービスはDNSのアクセス制御を行います。

• 本サービスを使用したときのDNSパフォーマンスが改善されました。 DNS接続の多くは、1つの要求パケットと1つの応答パケットで構成されます。通常、VPN-1はUDPタイムアウトまで

の間、仮想DNS接続を維持します。DNS検証速度は、応答パケットを受信したらすぐに接続を

削除するようVPN-1に指示することによって改善できます。これを行うには、データベース・

ツールを使用してdelete_on_reply (false)プロパティをtrueに変更します。

• DNSログにはより多くの情報が含まれるようになりました。たとえば、［Information］カラム

にはDNS照会を行っている装置のドメインが表示されるようになりました。

• EDNS照会のDNS検証がサポートされています。これによりBINDの使用が可能です。 EDNSヘッダは、パケット長（大ペイロード・サイズ）を制御するフィールドを除いて、すべて

ゼロを含む場合は許可されます。

ポイント・ツー・ポイント・トンネリング・プロトコル（PPTP）



ポイント・ツー・ポイント・トンネリング・プロトコル（PPTP）は、インターネット経由のバー

チャル・プライベート・ネットワーク（VPN）を作成するためのネットワーク・プロトコルです。

このプロトコルは、Microsoft Corporationと複数のリモート・アクセス・ベンダーによって共同開

発されました。

PPTPは、PPTPサーバを介して安全なクライアント・ツー・クライアント接続を確立します。接続

はTCP/PPTPコントロール接続とGREデータ接続で構成され、GREが実際のVPNトンネルです。

VPN-1は、PPTP接続に対してHide NATおよびスタティックNATを許可しながら、PPTPをセキュ

リティで保護します。VPN-1は、PPTPプロトコルに準拠するように実施することもできます。実施がオンになっている場合は、PPTPパケットは、メッセージ・タイプやパケット長を含めRFC2637に準拠しているかどうか検査されます。また、PPTPコントロール接続が終了するとGREトン

ネルも終了します。

PPTP の設定

PPTPを設定するには、以下の手順に従います。

1. 接続を開始するPPTPクライアントのオブジェクトと、（宛先クライアントではない）PPTPサーバのオブジェクトを定義します。

2. VPN-1ゲートウェイを経由するPPTP接続を許可するには、pptp_tcpサービスを使用して、

セキュリティ・ルール・ベースでPPTPルールを定義する必要があります。［Service］カラム

でpptp_tcpまたはAnyを設定します（デフォルトでは、pptp_tcpサービス・オブジェクトは

［Advanced Service Properties］ウィンドウで［Match for Any］に設定されています）。

3. PPTPプロトコルに準拠させHide NATを許可するには、SmartDefenseで［Application Intelligence］>［VPN Protocols］>［PPTP Enforcement］をオンにします。［PPTP Enforcement］がオフになっていてもスタティックNATはサポートされます。 SmartDefenseの実施は、新規インストールに対してデフォルトでオンになっています。アップグレードの

場合にはオフになっています。

表 14-1


pptp_client pptp_server TCP： pptp_tcp Accept


366

4. NG with Application Intelligence（R55）とそれ以前のバージョンのゲートウェイを使用する

場合、または実施がオフになっている場合は、GREトンネルを可能にするために以下のよう

に追加ルールが必要です。

高度な設定

pptp_strict_enforcementデータベース・プロパティを使用してPPTPプロトコルの厳密な実施を

設定できます。しかし、多くのPPTPアプリケーションはRFC 2637に厳密に準拠していないので、

接続の問題が発生する可能性があります。

GUIdbeditデータベース・ツールを使用して、［Table］>［Managed Objects］>［asm］>［AdvancedSecurityObject］を選択します。このオブジェクトを開いて、［value］カラムに

pptp_strict_enforcementが含まれている行を検索し、値を false（デフォルト設定）から trueに

変更します。

表 14-2


pptp_clientpptp_server

pptp_clientpptp_server

gre Accept

ビジター・モード（TCPT）のブロッキング



TCPT について

ビジター・モードとTCPトンネル・プロトコル（TCPT）は、発信が制限されているセキュリティ・

ポリシーを持つ任意のゲートウェイ装置の背後からSecureClient接続を許可するために、チェッ

ク・ポイントが開発しました。このようなセキュリティ・ポリシーの例として、HTTPとHTTPS（SSL）発信トラフィックのみを許可し、安全な接続に必要な各種のプロトコル（IKEなど）を抑制

するものがあります。

ビジター・モードと発信 TCPT を遮断する理由

VPN-1管理者は、通常のHTTPS接続を許可し同じポートを通るTCPT接続を禁止する、非常に制

限された発信セキュリティ・ポリシーを実施して、ビジター・モードを遮断できます。

ビジター・モードと着信TCPTは、ゲートウェイ・オブジェクトによって許可されます。詳細につ

いては、『VPN-1』の「高度な設定」の章を参照してください。

VPN-1 が TCPT を識別する方法

VPN-1は、コンテンツ検査を行ってTCPTパケットを識別し、必要に応じて遮断します。ポートだ

けを検査するわけではありません。

TCPTが使用するデフォルトのポートは443で、SSLが使用するポートと同じです。ポートは変更

できます（368ページの「発信TCPTを遮断するために使用するポートの変更」を参照）。

発信 TCPT を遮断するタイミング

TCPTが使用するポート（たとえばポート443）を許可するルールがある場合にのみ、TCPTを遮断

してください。 TCPTが使用するポートを許可するルールがない場合は暗黙的に遮断されるため、

明示的に遮断する必要はありません。

ポート番号だけを検査するのではなく、コンテンツを検査するサービスがたくさんあります。発信

TCPTを遮断する場合に、TCPTと同じポートを使用するサービスを許可するルールが存在し、そ

のサービスがコンテンツを検査するときは、TCPTとそのサービスの両方が遮断されます。 SSLv3サービスは例外です。 SSLv3を許可するルールは、SSLv3接続のみを許可し、TCPTは遮断します。

コンテンツ検査を行うサービスは、［TCP Service Properties］>［Advanced］ウィンドウでプロ

トコル・タイプが定義されています。


368

ビジター・モードのブロッキングの設定

ビジター・モードの遮断（発信 TCPT の遮断）

発信TCPTを遮断するには、SmartCenterサーバでデータベース・ツールを使用して、発信TCPTを遮断するすべてのVPN-1 ゲートウェイの以下のプロパティを変更します。

disable_outgoing_tcpt (false)

プロパティの値をtrueに変更します。

発信 TCPT を遮断するために使用するポートの変更 TCPTを遮断するためのポートを変更するには、データベース・ツールを使用して、SmartCenterサーバで以下のグローバル・プロパティを検索します。

tcpt_outgoing_port (443)

プロパティの値を必要なポート番号に変更します。

Web セキュリティこのセクションでは、VPN-1 の Web コンテンツの機能、および Web サーバとアプリケーションに対して高性能な攻撃防御を提供する VPN-1 の Web Intelligence 機能について説明します。

371

第章15Web コンテンツの保護

この章の構成

Webコンテンツの保護について 372 ページ

セキュリティ・ルール・ベースを使用したWebコンテンツ・セキュリティ 373 ページ

XML Webサービス（SOAP）のセキュリティ 376 ページ

HTTPセッション、接続、およびURLについて 377 ページ

Web利用者に対する接続性とセキュリティについての考慮事項 380 ページ

HTTPセキュリティ・サーバのパフォーマンスに影響を与える要因 382 ページ

Webコンテンツ保護の設定 384 ページ

Web コンテンツの保護について

372

Web コンテンツの保護についてこの章では、以下のVPN-1 Webセキュリティ機能について説明します。

• セキュリティ・ルール・ベースを使用して設定する統合Webセキュリティ機能。この機能には、

多くのURLベースの保護機能が含まれます。

• Webサーバ上のXML Webサービス（SOAP）を保護する機能。

Web Intelligenceは、WebサーバとWebアプリケーションに対する高パフォーマンスの攻撃保護機

能を提供するVPN-1機能です。このアドオンは、悪意を持つコードを探し、プロトコルとセキュリ

ティの推奨手順を確実に実行することで、能動的に攻撃防御を行います。Web Intelligenceの詳細

については、192ページの「Web Intelligence」を参照してください。

OPSECパートナーを介したWebコンテンツ・セキュリティでは、チェック・ポイントのベスト・

パートナーのアプリケーションを使用してネットワーク・ウイルス保護とURLフィルタリングを実

現できます。詳細については、333ページの「コンテンツ・セキュリティ」を参照してください。

セキュリティ・ルール・ベースを使用した Web コンテンツ・セキュリティ

第 15 章 Web コンテンツの保護 373

セキュリティ・ルール・ベースを使用したWeb コンテンツ・セキュリティ


VPN-1の特定のWeb セキュリティ機能は、Web Intelligence ではなく、セキュリティ・ルール・

ベースを使用して設定します。これには、多くのURLベースの保護機能が含まれます。

URI リソースとは

セキュリティ・ルール・ベースによるWebセキュリティは、URIリソースと呼ばれるSmartDashboardオブジェクトを定義し、セキュリティ・ルール・ベースで使用することによって実施します。リ

ソース・オブジェクトの詳細については、346ページの「リソースの定義と使用方法」を参照して

ください。

URIはUniform Resource Identifierの頭文字です。URIは、よく使用されているURL（Uniform ResourceLocator）とほぼ同じです。

発信元と宛先別の URL、方式、およびメソッドのフィルタリング

Code RedやNimdaなどのURLベースの攻撃は、URIリソースを使用して遮断できます。指定した

発信元と宛先の間の攻撃を遮断できます。 HTTPメソッド（GETやPOSTなど）とスキーム（http、ftp、mailtoなど）も遮断できます。

URLパターンは正規表現を使用して指定します。［Match］タブで指定したHost、Path、および

Queryパラメータを使用して、URLをフィルタリング可能なコンポーネントに分解できます。

設定の詳細については、384ページの「URIリソースの使用によるURLベース攻撃の遮断」を参照


URIリソースとは 373 ページ

発信元と宛先別のURL、方式、およびメソッドのフィルタリング 373 ページ

基本的URLフィルタリング 374 ページ

URLのロギング 374 ページ

JavaとActiveXセキュリティ 375 ページ


374

基本的 URL フィルタリング基本的なURLフィルタリング機能はVPN-1に組み込まれています。この機能を使用すると、各URLに別のリソースを定義しなくても、50ものURLへのユーザ・アクセスを制限できます。

この方法は、それ以上大きなURLリストには使用しないでください。これは、禁止サイトのリスト

はファイルに定義して手動で編集および管理する必要があり、大量の禁止サイトのリストを維持す

るのは困難だからです。

設定の詳細については、386ページの「基本的URLフィルタリングの設定」を参照してください。

さらに包括的なURLフィルタリングは、サード・パーティ製のOPSEC認定アプリケーション（342ページの「URLフィルタリングを使用したWeb利用者の制限」を参照）を使用して実行できます。

URL のロギング

通常、ログに記録した接続は、発信元または宛先Webサーバとドメイン（たとえば、http://foo.bar.com）

を示します。

URIリソースを使用する代わりにHTTP接続のカーネル検査を行うことにより、より詳細な追加のURLログ情報を生成できます。これにより、単にWebサーバの名前のみでなく、要求したURL内の完全なパス

とクエリもログに示されます（たとえば、http://foo.bar.com/products/servlet/Satellite?pagename=1234）。このためには、URIリソースを定義し、［Optimize URL Logging］を選択します。

HTTP接続のカーネル検査の実行またはURIリソースの使用によるURLロギングの設定の詳細に

ついては、385ページの「URLロギングの設定」を参照してください。



Java と ActiveX セキュリティ VPN-1は、ホスト、URL、認証済みユーザ名などの具体的な条件に応じて着信 JavaおよびActiveXコードを制御することによって、Web利用者を保護できます。

JAVAおよびActiveXスクリーニング機能は以下のとおりです。

• HTMLページからのActiveXタグの削除

• HTMLページからの Javaアプレット・タグの削除

• 疑わしいバック・コネクションの遮断による Java攻撃の遮断

Java、ActiveX、およびその他の実行可能プログラムのより総合的なスキャンは、OPSEC認定ベン

ダーが提供するコンテンツ・セキュリティ・アプリケーションで実行できます。

JavaとActiveXをスクリーニングするには、URIリソースを定義してセキュリティ・ルール・ベース

のルールに追加する必要があります。347ページの「リソースの作成とルール・ベースでの使用」を


XML Web サービス（SOAP）のセキュリティ

376

XML Web サービス（SOAP）のセキュリティ VPN-1の特定のWeb セキュリティ機能は、Web Intelligence ではなく、セキュリティ・ルール・

ベースを使用して設定可能です。これらには、SOAPベースのXML Webサービスを保護する機能

が含まれます。

XML Webサービス（XML SchemaとSOAPを使用）はプログラム間の通信を可能にします。これ

は、インターネット・プロトコルと標準を使用する、新しい重要な通信プロトコルです。これに対

して、Web ページ（HTMLやDHTMLを使用）は個人とプログラムの間の通信を対象にしており、

電子メールやインスタント・メッセージ（SMTPやMIMEなどのプロトコルを使用）は個人間の通

信を対象にしています。

SOAP（Simple Object Access Protocol）は、アプリケーションがプラットフォームに関わらずイ

ンターネットを通じて互いに通信できる方法です。 SOAPはXMLを利用して情報のフォーマットを

定義し、必要なHTTPヘッダを付加して送信します。XMLは、宛先のコンピュータで実行される、

メソッドと呼ばれるコマンドを使用して情報を送受信します。

VPN-1は、セキュリティ・サーバを使用してSOAP要求内のHTTP、XML、メソッドがRFCに準拠

することを確認し、予想される攻撃を防ぎます。 VPN-1は、認められたメソッドにおけるあらかじ

め定義されたホワイト・リスト内のメソッドのみがSOAPパケットで許可されるようにします。

VPN-1によるSOAPパケットの処理方法は、ゲートウェイを通過するSOAPパケットを常に許可す

るか、ホワイト・リストで指定されたメソッドのみに制限するかを指定するURIリソースで定義さ

れます。

URIリソースで定義されたSOAPの処理は、SOAPメッセージを転送するHTTP接続が、URIリソー

スが使用されるルールで許可済みの場合にのみ実行されます。つまり、接続がルールに一致し、ルー

ルのActionがRejectまたはDropでないことが必要です。

設定の詳細については、［URI Resource Properties］ウィンドウの［SOAP］タブでオンライン・

ヘルプを参照してください。



HTTP セッション、接続、および URL についてVPN-1のWebセキュリティとWeb Intelligenceの保護機能を充分に活用するには、HTTPセッション、

HTTP接続、およびURLに関する基本用語と概念について理解する必要があります。

HTTPセッションは、HTTP要求とHTTP応答で構成されます。つまり、以下のように表すことがで

きます。

HTTPセッション=HTTP要求+HTTP応答

HTTP要求とHTTP応答のどちらにも、ヘッダ・セクションとボディ・セクションがあります。

HTTP 要求の例

ヘッダ・セクション URLは、分かりやすいように太字で示されます。

GET http://www.site.com/path/file.html?param1=val1&param2=value2 HTTP/1.1Host: www.site.comRange: 1000-2000Cookie: cookiename=A172653987651987361BDEF


378


HTTP 応答の例



HTTP 接続

HTTP/1.1では、単一のTCP接続で複数の要求を送受信できます。ただし、各要求は1つの連続し

たメッセージで送信する必要があります。また、サーバは要求を受信した順序で、所定の接続を介

して応答を送信する必要があります。

以下にHTTP要求の接続の例を示します。

<コンテンツ（通常は送信される記入済みフォーム）>

HTTP 200 OKContent-Encoding: gzipContent-Type: text/htmlTransfer-encoding: chunkedContent-Disposition: http://alternative.url.com

<コンテンツ（通常は HTMLページまたはバイナリ・ファイル）>


Post /Hello/ HTTP/1.1Host: www.walla.co.ilUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT5.0)

Pragma: no-cacheContent-length: 20Connection: Keep-alive

要求 #1- ボディ This my example body


Get /scripts/ HTTP/1.1Host: www.walla.co.il

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT5.0)Pragma: no-cache

Content-length: 0Connection: Keep-alive



URL について

URLは、ホスト、パス、およびクエリの各パラメータで構成されます。図 15-1のURLの場合、

ホストはhttp://www.elvis.com、パスは /alive/qc.html、残りはすべてクエリです。VPN-1 とWebIntelligenceでは、これらのパラメータでURLをフィルタリングし、特定のURLを含むHTTP要求

を許可するかどうかを決定できます。

図 15-1 URL のホスト、パス、およびクエリ・コンポーネントの例

http://www.elvis.com

Web 利用者に対する接続性とセキュリティについての考慮事項

380


Web利用者に対する接続性とセキュリティをチューニングするには、特定のデータベース・プロパ

ティを調整する必要があります。

コンテンツの許可または制限

Content-Disposition ヘッダ

HTTP応答ヘッダのContent-Dispositionヘッダは、HTTP応答で送信されるコンテンツ（ファイル

など）の保存場所を指定します。このヘッダで指定される場所は、クライアント内の重要なOSファ

イルを指している可能性があります。一部のクライアントはこの提案を無条件に受け入れ、その場

所にコンテンツを保存します。

デフォルトでは、Content-Dispositionヘッダは許可されていません。許可するには、

SmartDashboardのメイン・メニューから［Policy］>［Global Properties］を選択して、

［SmartDashboard Customization］>［Configure］を選択します。［Advanced Configuration］ウィンドウで、［FireWall-1］>［Web Security］>［Security］を選択します。

Content-Dispositionヘッダを許可するには、http_allow_content_dispositionをオンにします。

Partial range 要求

Partial range要求は、HTTP応答内のコンテンツを複数の応答に分割できるようにします。ただし、

コンテンツ・セキュリティ検査は、応答が分割されていない場合にのみ完全な効力を発揮します。

Adobe AcrobatはHTTP rangeを使用して、Acrobat PDFファイルのダウンロードを開始したあと

すぐにページを表示できるようにしています。 rangeを許可しないと、ファイル全体をダウンロー

ドするまでファイルを表示できません。一部のダウンロード・マネージャもHTTP rangeを使用し

ています。

HTTP要求内の range要求とHTTP応答内の range応答は、デフォルトでは許可されていません。 rangeを許可するには、SmartDashboardのメイン・メニューから［Policy］>［Global Properties］を選択して、［SmartDashboard Customization］>［Configure］を選択します。［Advanced Configuration］ウィンドウで、［FireWall-1］>［Web Security］>［Security］>［Content Security］を選択します。range要求を許可するには、http_allow_rangesをオンにし

ます。



コンテンツ圧縮

HTTP応答のコンテンツを圧縮すると、接続速度を上げることができます。ただし、HTML除去や

CVP検査などのコンテンツ・セキュリティ検査は、圧縮したコンテンツに対して行うことはできま

せん。

HTTP応答内のContent-EncodingヘッダとContent-Typeヘッダは、コンテンツが圧縮されているか

どうかを示します（たとえば、Content-Encoding: gzip, Content-Type: application/gzip）。

http_disable_content_encとhttp_disable_content_typeデータベース・プロパティは、HTTP応答

内のデータの圧縮を許可するかどうかを制御します。これらのプロパティがFALSE（デフォルト値）

の場合は、HTTP応答内のコンテンツを圧縮できません。それぞれのプロパティをTRUEまたは

FALSEに設定できます。 1つをTRUEにして、もう1つをFALSEにすることもできます。プロパティ

はそれぞれ独自のヘッダに影響します。

これらのプロパティは、HTML 除去、Java コードのブロック、CVP、SOAPの1つまたは複数のコン

テンツ・セキュリティ検査が行われるコンテンツに対してのみ影響します。

このプロパティの値を変更するには、SmartDashboardの［Global Properties］で、

［SmartDashboard Customization］>［Advanced Configuration］ページの［Web Security］の

下にあるオプションを編集します。

HTTP セキュリティ・サーバのパフォーマンスに影響を与える要因

382


マルチCPUのコンピュータでHTTPセキュリティ・サーバの複数のインスタンスを実行すると、

ユーザが実感するパフォーマンスが向上します。これは、各セキュリティ・サーバが異なるCPUを

使用するからです。各CPUで少なくとも1つのセキュリティ・サーバ・インスタンスを実行してく

ださい（383ページの「HTTPセキュリティ・サーバの複数インスタンスを実行する方法」を参照）。

同時接続数を増やすために、CPUが1つのコンピュータでも複数のセキュリティ・サーバを実行す

る価値があります。ただしメモリの使用量は増えます。

同時セキュリティ・サーバ接続の数

各セキュリティ・サーバでは大1024のファイル・デスクリプタが可能で、これにより同時接続

数が制限されます。通常の接続では、パケットは以下のようにVPN-1ゲートウェイを両方向に通過

します。

1. WebクライアントからVPN-1を介してWebサーバに送信されます（要求）。

2. WebサーバからVPN-1を介してWebクライアントに送信されます（応答）。

各方向に512のデスクリプタを使用できるので、合計512の同時接続が可能です。

CVPまたはUFPサーバを使用している場合は、各接続のパケットは以下のように3回VPN-1を通過

します。

1. WebクライアントからVPN-1を介してWebサーバに送信されます（要求）。

2. WebサーバからVPN-1を介してCVP/UFPサーバに送信されます（応答）。

3. CVP/UFPサーバからVPN-1を介してWebクライアントに送信されます（応答）。

したがって、使用できるファイル・デスクリプタは3分割され、合計341の同時接続が可能になり

ます。



HTTP セキュリティ・サーバの複数インスタンスを実行する方法

HTTPセキュリティ・サーバの複数インスタンスを実行するには、以下の手順に従います。

1. $FWDIR/conf/fwauthd.confを編集して、以下の行を挿入します。

80 in.ahttpd wait -2

後の桁は、セキュリティ・サーバのインスタンスの数です。この例では、HTTPセキュリ

ティ・サーバに2つのインスタンスがあります。

2. VPN-1を再起動します（cpstart）。

Web コンテンツ保護の設定

384



URI リソースの使用による URL ベース攻撃の遮断

Code RedやNimdaなど、すべてのURLベースの攻撃は、SmartDashboardのURIリソースを使用

して遮断できます。各リソースは1つの攻撃を遮断できます。詳細については、376ページの「XMLWebサービス（SOAP）のセキュリティ」を参照してください。

URLベースの攻撃を遮断するには、以下の手順に従います。

1. 新しいURIリソースを作成して名前を付けます（Alaska.Web.Protectionなど）。

2. ［General］タブで以下を選択します。

• Use this resource to:［Enforce URI capabilities］

• Connection Methods: 通常、［Transparent］と［Proxy］を選択します。

• URI Match Specification Type:［Wild Cards］

3. ［Match］タブで、正規表現を使用してURLパターンを指定します。たとえば、Code Redを

ブロックするには以下の値を使用します。

• Host: *

• Path: ¥.ida¥?

• Query: *

4. （オプション）パターンが見つかったときに接続をリダイレクトする代替URLを指定するには、

［Action］タブで［Replacement URI］を指定します。

URIリソースの使用によるURLベース攻撃の遮断 384 ページ

URLロギングの設定 385 ページ

基本的URLフィルタリングの設定 386 ページ





ルール2のActionはルール1のActionの反対です。ルール2は、Enforce URI Capabilitiesモード

に必要です。 Enhance UFP Performanceモードでは、ルール・ベースに複数のURIリソースが

使用されている場合の問題を回避することをお勧めします。

URL ロギングの設定1. URIリソースを作成します。

2. 以下のいずれかの方法で接続内のURLをログに記録します。

• カーネル検査を実行してURLパスとクエリを含むURLをログに記録するには、［URI Resource Properties］ウィンドウの［General］タブで［Optimize URL Logging］を

選択します。

• セキュリティ・サーバを使用して基本的な URL ロギングを行うには、［URI Resource Properties］ウィンドウの［General］タブで［Enforce URI Capabilities］を選択し

ます。

［Exception Track］オプションは、このルールに一致したが、コンテンツ・セキュリティ

検査に失敗した接続のトラッキング方法を指定します。この例外として、サポートされて

いない方式またはメソッドを使用した接続があります。

3. ［Action］にAcceptを設定し、URIリソースをルールに入れます。

4. ［Track］カラムでLogを選択します。これで、このルールに一致するすべての接続のURLが

ログに記録されます。

詳細については、374ページの「URLのロギング」を参照してください。

表 15-1 ルール・ベース内の URI リソースの例


1 Any Any http->Alaska.Web.Protection Drop

2 Any Any http Accept


386

基本的 URL フィルタリングの設定

選択した禁止Webサイトへのアクセスを制限するには、以下の手順に従います。

1. サイトのURIを一覧表示するファイル内に、禁止サイトのリストを指定します。 URI指定ファイ

ルは、一連の行からなるASCIIファイルです。各行の書式は以下のとおりです。

ip-address /path category

• ip-addressは、照合するWebサーバの IPアドレスです。ホスト名を使用できますが、

VPN-1ゲートウェイでDNSを有効にしておく必要があります。

• /pathはオプションです。サイト内の特定のディレクトリを制限するために使用します。

• categoryは、任意の16進数を指定できるオプション・パラメータです。現在使用されて

いません。

categoryの後ろに空白を入れないように注意してください。ファイル内の後の行は空白にして

ください。以下に例を示します。

192.168.56.78 /games

192.168.25.58

ファイルに記述できるのは1,000レコードまでです。

2. このファイルを使用するリソースを定義します。

3. すべてのHTTPトラフィックのルールでこのリソースを使用します。

4. ［Action］をRejectと定義します。

詳細については、374ページの「基本的URLフィルタリング」を参照してください。

付録このセクションでは、VPN-1 コンピュータがアクティブになったときに自身とその背後にあるネットワークを保護する方法、およびコマンドライン・インタフェースについて説明します。

389

付録 AVPN-1 を有効にする前のセキュリティ

この付録の構成

VPN-1を有効にする前のセキュリティの確保 390 ページ

ブート・セキュリティ 390 ページ

初期ポリシー 393 ページ

デフォルト・フィルタと初期ポリシーの設定 396 ページ

VPN-1 を有効にする前のセキュリティの確保

390

VPN-1 を有効にする前のセキュリティの確保VPN-1のセキュリティ・ポリシーがインストールされる前に、コンピュータが危険にさらされる

ケースがいくつかあります。このようなケースでは、次の2つの機能によってセキュリティを確保

できます。ブート・セキュリティは、起動時に安全な通信を確保します。初期ポリシーは、セキュ

リティ・ポリシーを初めてインストールする前にセキュリティを提供します。したがって、コン

ピュータが無防備な状態である期間はありません。

ブート・セキュリティ起動処理時には、コンピュータが通信可能となった（攻撃される可能性がある）時点から、セキュ

リティ・ポリシーがロードされて実施されるまでの間に、短い期間（数秒間）があります。この間、

VPN-1のブート・セキュリティ機能は、VPN-1ゲートウェイの背後にある内部ネットワークとコン

ピュータ自体を保護します。ブート・セキュリティは以下の2つの要素によって提供されます。

• 起動時の IP転送の制御

• デフォルト・フィルタ

デフォルト・フィルタは、メンテナンスのためにVPN-1プロセスを停止する場合にも、コンピュー

タを保護します。

起動時の IP 転送の制御

VPN-1ゲートウェイで保護されているネットワークでは、OSカーネルで IP転送を無効にすること

によって起動時の保護を実現できます。これにより、IP転送が有効なときには常にセキュリティ・

ポリシーが実施されます。したがって、ゲートウェイの背後にあるネットワークの安全が確保され

ます。

IP転送を無効にすることによって、VPN-1コンピュータの背後にあるネットワークを保護していま

すが、VPN-1コンピュータ自体を保護しているわけではありません。このため、VPN-1は脆弱期間

にはデフォルト・フィルタを実施します。

ブート・セキュリティ

付録 A VPN-1 を有効にする前のセキュリティ 391

デフォルト・フィルタ図A-1に、デフォルト・フィルタで起動する際のVPN-1ゲートウェイの一連の動作を示します。

• コンピュータの起動

• ブート・セキュリティの起動（デフォルト・フィルタがロードされ、IP転送が無効になる）

• インタフェースの設定

• VPN-1サービスの起動

コンピュータは、デフォルト・フィルタがロードされた直後から保護されます。

図 A-1 デフォルト・フィルタによる VPN-1 ゲートウェイ・コンピュータの保護

以下の5つのデフォルト・フィルタがあります。

• 一般フィルタは着信通信を受け付けません（デフォルトのオプション）。

• ドロップ・フィルタは着信および発信通信を受け付けません。このフィルタは、脆弱期間に

ゲートウェイでの発信 /着信通信を破棄します。ただし、起動時にゲートウェイが他のホスト

と通信する必要がある場合には、ドロップ・フィルタを使用しないでください。

• リモート管理をサポートするためのSSH着信通信を許可する IPSO用デフォルト・フィルタ。

• リモート管理をサポートするためのHTTPS着信通信を許可する IPSO用デフォルト・フィ

ルタ。

• リモート管理をサポートするためのSSHおよびHTTPS着信通信を許可する IPSO用デフォル

ト・フィルタ。

ブート・セキュリティ

392

プラットフォームと通信の要件に合わせて、適切なデフォルト・フィルタを選択します。デフォル

トでは一般フィルタが選択されます。

デフォルト・フィルタには、VPN-1ゲートウェイに対するアンチ・スプーフィング保護も含まれ

ます。これは、発信元がVPN-1ゲートウェイ・コンピュータ自体であるパケットが、そのいずれの

インタフェースからも着信していないということを確認します。

メンテナンス時のデフォルト・フィルタの使用

メンテナンスのためにVPN-1プロセスを停止した状態で、VPN-1ゲートウェイと内部ネットワークを

保護できます。

デフォルト・フィルタではメンテナンス時に、ゲートウェイで開いている接続を破棄せずに開いた

ままにしておくことができます。

初期ポリシー


初期ポリシーVPN-1管理者がゲートウェイにセキュリティ・ポリシーを初めてインストールするまでは、セキュ

リティは初期ポリシーによって実施されます。初期ポリシーは、デフォルト・フィルタに「暗黙

ルール」を追加します。これらのルールはほとんどの通信を禁止しますが、セキュリティ・ポリシー

のインストールに必要な通信は許可します。初期ポリシーは、チェック・ポイント製品をアップグ

レードするとき、ゲートウェイでSIC証明書をリセットするとき、またはチェック・ポイント製品

のライセンスが失効したときにもゲートウェイを保護します。

図A-2に、VPN-1ゲートウェイ・コンピュータの起動時から、セキュリティ・ポリシーが初めて

ロードされるまでの間の一連の動作を示します。

• コンピュータの起動

• デフォルト・フィルタのロードと IP転送の無効化

• インタフェースの設定

• VPN-1サービスの起動

• ローカル・ゲートウェイからの初期ポリシーの取得

• SmartConsoleクライアントの接続または信頼関係の確立、セキュリティ・ポリシーのインス

トール

注：初期ポリシーは、アップグレードするとき、SIC 証明書をリセットするとき、または

ライセンスが失効したときにユーザ定義ポリシーを上書きします。

初期ポリシー

394

図 A-2 初期ポリシー - 初のポリシーのインストールまで

初期ポリシーは、初のポリシーがインストールされるまで実施され、その後は再びロードされる

ことはありません。これ以降の起動では、デフォルト・フィルタの直後に通常のポリシーがロード

されます。

スタンドアロン構成と分散構成にはそれぞれ異なる初期ポリシーがあります。SmartCenterサーバ

とVPN-1ゲートウェイが同一のコンピュータに導入されているスタンドアロン構成では、初期ポリ

シーはCPMI通信のみ許可します。これは、SmartConsoleクライアントがSmartCenterサーバに接

続することを許可します。

初期ポリシー


プライマリSmartCenterサーバが1台のコンピュータに導入され、VPN-1 ゲートウェイが別のコン

ピュータに導入されている分散構成では、初期ポリシーは次の通信を許可します。

• プライマリSmartCenterサーバ ― SmartConsoleクライアントにCPMI通信を許可します。

• VPN-1ゲートウェイ ― SIC通信（信頼関係を確立するため）とポリシーのインストールに

cpdとfwd通信を許可します。

分散構成では、VPN-1ゲートウェイの初期ポリシーはCPMI接続を許可しません。SmartConsoleが、初期ポリシーを実行しているゲートウェイを介してSmartCenterサーバにアクセスする必要が

ある場合は、SmartConsoleはSmartCenterサーバに接続できません。

セカンダリSmartCenterサーバ（管理高可用性）用の初期ポリシーもあります。この初期ポリシー

は、SmartConsoleクライアントにCPMI通信を許可し、SIC通信（信頼関係を確立するため）とポ

リシーのインストールにcpdとfwd通信を許可します。

デフォルト・フィルタと初期ポリシーの設定

396



デフォルト・フィルタまたは初期ポリシーがロードされていることの確認

デフォルト・フィルタと初期ポリシーの両方またはそのいずれかがロードされていることを確認で

きます。

デフォルト・フィルタまたは初期ポリシーがロードされていることを確認するには、以下の手順に

従います。

1. システムを起動します。

2. 他のセキュリティ・ポリシーをインストールする前に、以下のコマンドを入力します。

コマンドの出力は、デフォルト・フィルタが使用されている場合、ステータスにdefaultfilter

と表示されます。初期ポリシーが使用されている場合、ステータスにInitialPolicyが表示され

ます。

デフォルト・フィルタまたは初期ポリシーがロードされていることの確認 396 ページ

デフォルト・フィルタのドロップ・フィルタへの変更 397 ページ

ユーザ定義のデフォルト・フィルタ 397 ページ

メンテナンス時のデフォルト・フィルタの使用 398 ページ

デフォルト・フィルタまたは初期ポリシーをアンロードするには 398 ページ

インストール後に再起動できない場合 398 ページ

デフォルト・フィルタと初期ポリシーのコマンド・ライン参照 399 ページ

$FWDIR/bin/fw stat



デフォルト・フィルタのドロップ・フィルタへの変更

基本的な設定にはdefaultfilter.bootとdefaultfilter.dropの2つのデフォルト・フィルタがあり

ます。これらは$FWDIR/libにあります。

デフォルト・フィルタを変更するには、以下の手順に従います。

1. 関連する必要なデフォルト・フィルタ検査ファイル（defaultfilter.bootまたは

defaultfilter.drop）を$FWDIR/conf/defaultfilter.pfにコピーして名前を変更します。

2. 以下のコマンドを実行してデフォルト・フィルタをコンパイルします。

fw defaultgen

出力は$FWDIR/state/default.binになります。

3. fwboot bootconf get_defを実行し、デフォルト・フィルタ・ファイルへのパスを表示します。

4. default.binをデフォルト・フィルタ・ファイルへのパスにコピーします。

5. セキュリティ・ポリシーをまだインストールしていない場合は、cpconfigを実行して初期ポ

リシーを再生成します。

ユーザ定義のデフォルト・フィルタ

INSPECTの知識を持つ管理者は、独自のデフォルト・フィルタを定義できます。

デフォルト・フィルタを定義するには、以下の手順に従います。

1. defaultfilter.pfという名前の INSPECTスクリプトを$FWDIR/confに作成します。:

2. 397ページの「デフォルト・フィルタのドロップ・フィルタへの変更」の手順2から処理を続

けます。

セキュリティ・ポリシーが起動プロセスを妨害しないことを確認してください。

警告：このスクリプトは以下のいずれの機能も実行しないことを確認します。

• ログの記録

• 認証

• 暗号化

• コンテンツ・セキュリティ


398

メンテナンス時のデフォルト・フィルタの使用

メンテナンスのためにVPN-1プロセスを停止する必要がある場合があります。しかし、たとえばコ

ンピュータがリモート・ロケーションにある場合は、VPN-1ゲートウェイ・コンピュータをネット

ワークから切断できません。cpstop -fwflag -defaultコマンドとcpstop -fwflag -procコマンドを

使用すると、コンピュータを攻撃の危険にさらすことなく、リモート・メンテナンスのためにVPN-1プロセスを一時的に停止できます。

デフォルト・フィルタまたは初期ポリシーをアンロードするには

デフォルト・フィルタまたは初期ポリシーをカーネルからアンロードするには、通常のポリシーの

アンロードと同じコマンドを使用します。アンロードは、デフォルト・フィルタまたは初期ポリシー

によるセキュリティが不要であることが確実な場合にのみ行ってください。

• デフォルト・フィルタをローカルでアンロードするには、fw unloadlocalコマンドを実行し

ます。

• 初期ポリシーをリモートのモジュールからアンロードするには、SmartCenterサーバで以下の

コマンドを実行します。

fwm unload <hostname>

hostnameはゲートウェイのSIC_nameです。

インストール後に再起動できない場合

構成によっては、デフォルト・フィルタのためにVPN-1ゲートウェイ・コンピュータがインストー

ルしたあとで再起動できないことがあります。

まず、デフォルト・フィルタを調べ、デフォルト・フィルタがコンピュータの再起動に必要なトラ

フィックを許可していることを確認します。

起動処理を終了できない場合は、以下の手順に従ってデフォルト・フィルタを削除します。

1. single userモード（UNIX）またはSafe Mode With No Networking（Windows 2000）で再起

動します。

2. 以下のコマンドを使用して、以降の起動時にデフォルト・フィルタがロードされないように

します。

fwbootconf bootconf Set_def

3. 再起動します。



デフォルト・フィルタと初期ポリシーのコマンド・ライン参照

control_bootsecブート・セキュリティを有効または無効にします。このコマンドは、デフォルト・フィルタと初期

ポリシーの両方に影響します。

使用方法

fwboot bootconf fwboot bootconfコマンドを使用して起動セキュリティ・オプションを設定します。このコマンドは

$FWDIR/bootにあります。

使用方法

$FWDIR/bin/control_bootsec [-r] [-g]

表 A-1 control_bootsec のオプション

オプション意味

-r ブート・セキュリティを無効にします。

-g ブート・セキュリティを有効にします。

$FWDIR/bin/fwboot bootconf <command> [value]

表 A-2 fwboot bootconf のオプション


Get_ipf VPN-1が IP転送を制御するかどうかを通知します。 • 起動時に IP転送を制御する場合は「1」を返します。 • 起動時に IP転送を制御しない場合は「0」を返します。

Set_ipf 0/1 次回の起動時に IP転送の制御を無効 /有効にします。 0 - 無効にします。

1 - 有効にします。

Get_def 起動時に使用するデフォルト・フィルタの完全なパスを返し

ます。

Set_def <filename> 次回の起動時に、デフォルト・フィルタとして<filename>を

ロードします。default.binファイルを安全に格納できる

唯一の場所として、$FWDIR/bootをお勧めします

（default.binファイル名がデフォルトの名前です）。

注：これらのファイルは移動しないでください。


400

comp_init_policycomp_init_policyコマンドを使用して初期ポリシーの生成とロード、または削除を行います。

このコマンドは初期ポリシーを生成します。コンピュータの次回起動時、または次にポリシーを取

得した際（cpstart実行時またはfw fetch localhostコマンドによる取得時）に、初期ポリシーが

ロードされるようにします。このコマンドを実行したあとは、それまでポリシーがインストールさ

れていなかった場合、cpconfigによって初期ポリシーが追加されます。

使用方法

comp_init_policy -gコマンドは、それまでポリシーがない場合にのみ使用できます。ポリシーがあ

る場合には、ポリシーを削除したあとで$FWDIR/state/local/FW1/フォルダを削除してください。

$FWDIR/state/local/FW1フォルダには、fw fetch localhostを実行して取得されるポリシーが入って

います。

fw fetch localhostコマンドは、ローカル・ポリシーをインストールするコマンドです。 comp_init_policyコマンドは初期ポリシーを生成しますが、（初期ポリシーは新規インストールま

たはアップグレードのみに使用されるので）初期ポリシーが通常のユーザ・ポリシーを上書きし

ないようになっています。このため、前のポリシーがある場合は$FWDIR/state/local/FW1/フォル

ダを削除する必要があります。削除しない場合は、comp_init_policyはその既存のユーザ・ポリ

シーを検出しますが、それを上書きしません。

前のポリシーを削除しない場合は、以下のコマンドを実行してください。

元のポリシーもロードされます。

$FWDIR/bin/comp_init_policy [-u | -g]

表 A-3 comp_init_policy のオプション


-u 現在の初期ポリシーを削除し、以後のcpconfigの実行時に再

生成されないようにします。

-g 初期ポリシーを生成し、次にポリシーを取得した際（cpstart

実行時、次回起動時、またはfw fetch localhostコマンドに

よる取得時）に、初期ポリシーがロードされるようにします。

このコマンドを実行したあとは、必要に応じてcpconfigに

よって初期ポリシーを追加します。

comp_init_policy -g + fw fetch localhost

comp_init_policy -g + cpstart

comp_init_policy -g + reboot



cpstop -fwflag -default と cpstop -fwflag -procすべてのVPN-1プロセスを停止し、デフォルト・フィルタを実行したままにするには、

cpstop -fwflag -defaultを使用します。すべてのVPN-1プロセスを停止し、セキュリティ・

ポリシーを実行したままにするには、cpstop -fwflag -procを使用します。

すべてのチェック・ポイント・プロセスを開始または停止させるには、cpstopとcpstartを使用し

ます。これらのコマンドは注意して使用する必要があります。

Win32プラットフォームでは、チェック・ポイント・サービスの停止と開始にはコントロール・

パネルのサービスを使用してください

使用方法 cpstop -fwflag [-default | -proc]

表 A-4 fwflag のオプション


-default VPN-1プロセスを停止します（fwd、fwm、vpnd、snmpdなど）。ログ、

カーネル・トラップ、リソース、およびセキュリティ・サーバの

すべての接続が停止します。

カーネルのセキュリティ・ポリシーは、デフォルト・フィルタに置

き換えられます。

-proc VPN-1プロセスを停止します（fwd、fwm、vpndなど）。ログ、カーネ

ル・トラップ、リソース、およびセキュリティ・サーバのすべての

接続が停止します。

セキュリティ・ポリシーは、カーネルにロードされたまま維持され

ます。したがって、リソースを使用せずにサービスのみを使用する

許可 /拒否 /破棄ルールは維持されます。


402

403

付録 Bコマンドライン・インタフェース

以下のコマンドライン・コマンドはVPN-1のファイアウォール・コンポーネントに関連するコマン

ドで、『Command Line Interface』で説明されています。

表 B-1 ファイアウォール関連のコマンドライン・インタフェース

コマンド説明

comp_init_policy 初期ポリシーの生成とロード（または削除）を行います。

fw fwコマンドは、さまざまな状況でVPN-1を操作するために使用

します。すべてのfwコマンドはVPN-1ゲートウェイで実行され

ます。

fw isp_link 冗長構成の ISPリンクの1つを切断（また再開）します。

fw monitor ファイアウォール・チェーン内の複数のキャプチャ・ポイントで

ネットワーク・パケットをキャプチャするタスクを簡略化する

ための、強力な組み込みツールです。 fw tab カーネル・テーブルの内容を表示し、動的テーブルの内容を変更

できます。静的テーブルは変更できません。 fw stat ターゲット・ホスト上の状態テーブルの内容をさまざまな形式で

表示します。各ホストについて、デフォルト形式ではホスト名、

およびすべてのテーブルとその要素の一覧が表示されます。

404

fw ver VPN-1のメジャー・バージョン番号、マイナー・バージョン

番号、およびビルド番号を表示します。

sam_alert 標準入力を介して受け取った情報に従って、VPN-1 SAM（Suspicious Activity Monitoring）アクションを実行します。これ

は、ユーザ定義警告メカニズムを使用してSAMアクションを実

行するためのツールです。このコマンドは通常、SmartCenterサーバ上で実行されます。

svr_webupload_config このユーティリティを使用してEventia ReporterのWebアップ

ロード・スクリプトを設定します。

表 B-1 ファイアウォール関連のコマンドライン・インタフェース（続き）

コマンド説明

405

サード・パーティの商標および著作権

Entrust は、米国およびその他の国における Entrust Technologies, Inc. の登録商標です。 Entrust のロゴ、Entrust の製品およびサービスの

名称も Entrust Technologies, Inc. の登録商標です。Entrust Technologies Limited は、Entrust Technologies, Inc. の完全所有子会社です。

FireWall-1 および SecuRemote には、Entrust の証明書管理技術が採用されています。

Verisign は Verisign Inc. の商標です。

下記は、ソフトウェアのうちミシガン大学が著作権を所有する部分に関する記述です。 Portions of the software copyright 1992-1996 Regents of the University of Michigan. All rights reserved. Redistribution and use in source and binary forms are permitted provided that this notice is preserved and that due credit is given to the University of Michigan at Ann Arbor. The name of the University may not be used to endorse or promote products derived from this software without specific prior written permission. This software is provided “as is” without express or implied warranty. Copyright Sax Software (terminal emulation only).

下記は、ソフトウェアのうちカーネギー・メロン大学が著作権を所有する部分に関する記述です。

Copyright 1997 by Carnegie Mellon University. All Rights Reserved.

Permission to use, copy, modify, and distribute this software and its documentation for any purpose and without fee is hereby granted, provided that the above copyright notice appear in all copies and that both that copyright notice and this permission notice appear in supporting documentation, and that the name of CMU not be used in advertising or publicity pertaining to distribution of the software without specific, written prior permission.CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE, INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS, IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.

下記は、ソフトウェアのうち The Open Group が著作権を所有する部分に関する記述です。

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE OPEN GROUP BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

下記は、ソフトウェアのうち OpenSSL Project が著作権を所有する部分に関する記述です。 This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/).

THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

下記は、ソフトウェアのうち Eric Young が著作権を所有する部分に関する記述です。 THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Copyright © 1998 The Open Group.

406

下記は、ソフトウェアのうち Jean-loup Gailly および Mark Adler が著作権を所有する部分に関する記述です。Copyright (C) 1995-2002 Jean-loup Gailly and Mark Adler. This software is provided 'as-is', without any express or implied warranty. In no event will the authors be held liable for any damages arising from the use of this software. Permission is granted to anyone to use this software for any purpose, including commercial applications, and to alter it and redistribute it freely, subject to the following restrictions:

1. The origin of this software must not be misrepresented; you must not claim that you wrote the original software. If you use this software in a product, an acknowledgment in the product documentation would be appreciated but is not required.

2. Altered source versions must be plainly marked as such, and must not be misrepresented as being the original software.

3. This notice may not be removed or altered from any source distribution.

下記は、ソフトウェアのうち Gnu Public License が著作権を所有する部分に関する記述です。 This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.

下記は、ソフトウェアのうち Thai Open Source Software Center Ltd および Clark Cooper が著作権を所有する部分に関する記述です。Copyright (c) 2001, 2002 Expat maintainers. Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.GDChart is free for use in your applications and for chart generation. YOU MAY NOT re-distribute or represent the code as your own. Any re-distributions of the code MUST reference the author, and include any and all original documentation. Copyright. Bruce Verderaime. 1998, 1999, 2000, 2001. Portions copyright 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Cold Spring Harbor Laboratory. Funded under Grant P41-RR02188 by the National Institutes of Health. Portions copyright 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Boutell.Com, Inc. Portions relating to GD2 format copyright 1999, 2000, 2001, 2002 Philip Warner. Portions relating to PNG copyright 1999, 2000, 2001, 2002 Greg Roelofs. Portions relating to gdttf.c copyright 1999, 2000, 2001, 2002 John Ellson ([email protected]). Portions relating to gdft.c copyright 2001, 2002 John Ellson ([email protected]). Portions relating to JPEG and to color quantization copyright 2000, 2001, 2002, Doug Becker and copyright (C) 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002, Thomas G. Lane. This software is based in part on the work of the Independent JPEG Group. See the file README-JPEG.TXT for more information. Portions relating to WBMP copyright 2000, 2001, 2002 Maurice Szmurlo and Johan Van den Brande. Permission has been granted to copy, distribute and modify gd in any context without fee, including a commercial application, provided that this notice is present in user-accessible supporting documentation. This does not affect your ownership of the derived work itself, and the intent is to assure proper credit for the authors of gd, not to interfere with your productive use of gd. If you have questions, ask. "Derived works" includes all programs that utilize the library. Credit must be given in user-accessible documentation. This software is provided "AS IS." The copyright holders disclaim all warranties, either express or implied, including but not limited to implied warranties of merchantability and fitness for a particular purpose, with respect to this code and accompanying documentation. Although their code does not appear in gd 2.0.4, the authors wish to thank David Koblas, David Rowley, and Hutchison Avenue Software Corporation for their prior contributions.

Licensed under the Apache License, Version 2.0 (the "License"); you may not use this file except in compliance with the License. You may obtain a copy of the License at http://www.apache.org/licenses/LICENSE-2.0

The curl license

COPYRIGHT AND PERMISSION NOTICE

Copyright (c) 1996 - 2004, Daniel Stenberg, <[email protected]>.All rights reserved.

Permission to use, copy, modify, and distribute this software for any purpose

with or without fee is hereby granted, provided that the above copyright

notice and this permission notice appear in all copies.

407

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

Except as contained in this notice, the name of a copyright holder shall not be used in advertising or otherwise to promote the sale, use or other dealings in this Software without prior written authorization of the copyright holder.

The PHP License, version 3.0

Copyright (c) 1999 - 2004 The PHP Group. All rights reserved.

Redistribution and use in source and binary forms, with or without modification, is permitted provided that the following conditions are met:

1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

3. The name "PHP" must not be used to endorse or promote products derived from this software without prior written permission. For written permission, please contact [email protected].

4. Products derived from this software may not be called "PHP", nor may "PHP" appear in their name, without prior written permission from [email protected]. You may indicate that your software works in conjunction with PHP by saying "Foo for PHP" instead of calling it "PHP Foo" or "phpfoo"

5. The PHP Group may publish revised and/or new versions of the license from time to time. Each version will be given a distinguishing version number. Once covered code has been published under a particular version of the license, you may always continue to use it under the terms of that version. You may also choose to use such covered code under the terms of any subsequent version of the license published by the PHP Group. No one other than the PHP Group has the right to modify the terms applicable to covered code created under this License.

6. Redistributions of any form whatsoever must retain the following acknowledgment:

"This product includes PHP, freely available from <http://www.php.net/>".

THIS SOFTWARE IS PROVIDED BY THE PHP DEVELOPMENT TEAM ``AS IS'' AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE PHP DEVELOPMENT TEAM OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

This software consists of voluntary contributions made by many individuals on behalf of the PHP Group. The PHP Group can be contacted via Email at [email protected].

For more information on the PHP Group and the PHP project, please see <http://www.php.net>. This product includes the Zend Engine, freely available at <http://www.zend.com>.

This product includes software written by Tim Hudson ([email protected]).

THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS

INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd

408

Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions:The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software.

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

Copyright © 2003, 2004 NextHop Technologies, Inc. All rights reserved.

Confidential Copyright Notice

Except as stated herein, none of the material provided as a part of this document may be copied, reproduced, distrib-uted, republished, downloaded, displayed, posted or transmitted in any form or by any means, including, but not lim-ited to, electronic, mechanical, photocopying, recording, or otherwise, without the prior written permission of NextHop Technologies, Inc. Permission is granted to display, copy, distribute and download the materials in this doc-ument for personal, non-commercial use only, provided you do not modify the materials and that you retain all copy-right and other proprietary notices contained in the materials unless otherwise stated. No material contained in this document may be "mirrored" on any server without written permission of NextHop. Any unauthorized use of any material contained in this document may violate copyright laws, trademark laws, the laws of privacy and publicity, and communications regulations and statutes. Permission terminates automatically if any of these terms or condi-tions are breached. Upon termination, any downloaded and printed materials must be immediately destroyed.

Trademark Notice

The trademarks, service marks, and logos (the "Trademarks") used and displayed in this document are registered and unregistered Trademarks of NextHop in the US and/or other countries. The names of actual companies and products mentioned herein may be Trademarks of their respective owners. Nothing in this document should be construed as granting, by implication, estoppel, or otherwise, any license or right to use any Trademark displayed in the document. The owners aggressively enforce their intellectual property rights to the fullest extent of the law. The Trademarks may not be used in any way, including in advertising or publicity pertaining to distribution of, or access to, materials in

this document, including use, without prior, written permission. Use of Trademarks as a "hot" link to any website is prohibited unless establishment of such a link is approved in advance in writing. Any questions concerning the use of these Trademarks should be referred to NextHop at U.S. +1 734 222 1600.

U.S. Government Restricted Rights

The material in document is provided with "RESTRICTED RIGHTS." Software and accompanying documentation are provided to the U.S. government ("Government") in a transaction subject to the Federal Acquisition Regulations with Restricted Rights. The Government's rights to use, modify, reproduce, release, perform, display or disclose are

restricted by paragraph (b)(3) of the Rights in Noncommercial Computer Software and Noncommercial Computer Soft-ware Documentation clause at DFAR 252.227-7014 (Jun 1995), and the other restrictions and terms in paragraph (g)(3)(i) of Rights in Data-General clause at FAR 52.227-14, Alternative III (Jun 87) and paragraph (c)(2) of the Commer-cial

Computer Software-Restricted Rights clause at FAR 52.227-19 (Jun 1987).

Use of the material in this document by the Government constitutes acknowledgment of NextHop's proprietary rights in them, or that of the original creator. The Contractor/Licensor is NextHop located at 1911 Landings Drive, Mountain View, California 94043. Use, duplication, or disclosure by the Government is subject to restrictions as set forth in applicable laws and regulations.

Disclaimer Warranty Disclaimer Warranty Disclaimer Warranty Disclaimer Warranty

THE MATERIAL IN THIS DOCUMENT IS PROVIDED "AS IS" WITHOUT WARRANTIES OF ANY KIND EITHER EXPRESS OR IMPLIED. TO THE FULLEST EXTENT POSSIBLE PURSUANT TO THE APPLICABLE LAW, NEXTHOP DISCLAIMS ALL WARRANTIES,

EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, IMPLIED WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, NON INFRINGEMENT OR OTHER VIOLATION OF RIGHTS. NEITHER NEXTHOP NOR ANY OTHER PROVIDER OR DEVELOPER OF MATERIAL CONTAINED IN THIS DOCUMENT WARRANTS OR MAKES ANY REPRESEN-TATIONS REGARDING THE USE, VALIDITY, ACCURACY, OR RELIABILITY OF, OR THE RESULTS OF THE USE OF, OR OTHERWISE RESPECTING, THE MATERIAL IN THIS DOCUMENT.

Limitation of Liability

409

UNDER NO CIRCUMSTANCES SHALL NEXTHOP BE LIABLE FOR ANY DIRECT, INDIRECT, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES, INCLUDING, BUT NOT LIMITED TO, LOSS OF DATA OR PROFIT, ARISING OUT OF THE USE, OR THE INABILITY TO USE, THE MATERIAL IN THIS DOCUMENT, EVEN IF NEXTHOP OR A NEXTHOP AUTHORIZED REPRESENTATIVE HAS ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. IF YOUR USE OF MATERIAL FROM THIS DOCUMENT RESULTS IN THE NEED FOR SERVICING, REPAIR OR CORRECTION OF EQUIPMENT OR DATA, YOU ASSUME ANY COSTS THEREOF. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF INCIDENTAL OR CONSEQUENTIAL DAMAGES, SO THE ABOVE LIMITATION OR EXCLUSION MAY NOT FULLY APPLY TO YOU.

Copyright © ComponentOne, LLC 1991-2002. All Rights Reserved.

BIND: ISC Bind (Copyright (c) 2004 by Internet Systems Consortium, Inc. ("ISC"))

Copyright 1997-2001, Theo de Raadt: the OpenBSD 2.9 Release

PCRE LICENCE

PCRE is a library of functions to support regular expressions whose syntax and semantics are as close as possible to those of the Perl 5 language. Release 5 of PCRE is distributed under the terms of the "BSD" licence, as specified below. The documentation for PCRE, supplied in the "doc" directory, is distributed under the same terms as the software itself.

Written by: Philip Hazel <[email protected]>

University of Cambridge Computing Service, Cambridge, England. Phone:

+44 1223 334714.

Copyright (c) 1997-2004 University of Cambridge All rights reserved.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

* Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.

* Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

* Neither the name of the University of Cambridge nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.

THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

Eventia Reporter には、MySQL AB が著作権を所有している、またはライセンスを許諾しているソフトウェアが含まれています。

2007 年 3 月 411

索引

AActiveX 375Application Intelligence 193

CCIFS

検査 323, 324保護機能の設定 325

Code Red 373CVP

HTTP 339SMTP

設定 348チェーン化 354任意の TCP サービス 354パフォーマンスの改善 350負荷共有 354

DDVMRP (Distance Vector

Multicast Routing Protocol) 37

Eenable_propfind_method 380End Point Quarantine（EPQ） 42

設定 51

FFingerprint scrambling 187FTP コマンド

リソース使用の制限 329FW1_clntauth 81fwauthd.conf 81fw isp_link 139

HH.323 243

IP 電話端末 273NAT サポート 274SmartDefense 278VoIP ドメイン 281ゲートウェイ 273ゲートキーパ 273サービス 280設定 281トポロジ 274プロトコル 279ルーティング・モード 279

Hide NAT 100HTTP

セッション 201同時接続 198

http_allow_content_disposition 380

http_allow_ranges 380http_disable_content_enc 381http_disable_content_type 381

IIGMP 38IP アドレス、プライベート

およびパブリック 97

IP 転送 390ISP の冗長性

ClusterXL サポート 142DNS の設定 148NAT、Hide 137, 150NAT、Static 137, 150SmartView Monitor 137概要 135仕組み 137スクリプト 139設定 147ダイヤルアップ・

サポート 141着信接続 137導入 140導入方法、選択 146発信接続 137必要性 134モード、選択 146モード、理解 136リンクの監視 137リンクのステータス 139

JJava 375

MMalicious Activity Detection（MAD） 187

Malicious Code Protector 193MGCP 243

NAT サポート 301SmartDefense 299セキュリティ 297設定 303

412

Monitor-only 182Web サーバごと 182考慮事項 196すべてのアクティブな

保護機能 182MSN メッセンジャー

MSNMS ベースの NATサポート 318

MSNMS ベース、設定 321SIP ベースの NAT

サポート 317SIP ベース、設定 319セキュリティ 315

NNAT

arp コマンド 109H.323 274Hide NAT 100Hide、計画 110IP プール 127SIP 257, 302Static NAT 99Static、計画 110VPN での無効化 109アンチ・

スプーフィング 107隠匿アドレス 111自動および手動 101自動について 105スタティック・ルート 107すべての内部ネットワーク

用の Hide NAT 102双方向 104定義 98プライベートおよびパブ

リック・アドレス 97ポート変換

理解 107ルールの照合 103ルール・ベース 103

Nimda 373

OOSPF 37

PPIM (Protocol-Independent

Multicast) 37

QQuickUFP、「UFP」を参照

パフォーマンスの改善

RRFC 1918 97RTP/RTCP 244

SSCCP 243

SmartDefense 306セキュリティ保護 305設定 307

SIP 243NAT サポート 256, 257, 302RFC 255SmartDefense 259構成要素 254サービス 261端末（IP 電話端末） 254トポロジ 256, 301トラブル

シューティング 272プロキシ 254リダイレクト・サーバ 254,

261, 302レジストラ 254ログ記録 251

SmartDefenseDoS 攻撃に対する防御 185H.323 278Malicious Activity Detection（MAD） 187

MGCP 299SCCP 306SIP 259アーキテクチャ 178更新 204シーケンス・

ベリファイア 175SmartDefense プロファイル

設定 208SOAP 376Static NAT 99

UUFP

任意の TCP サービス 354パフォーマンス改善の

概念 342パフォーマンス改善の

設定 350ルールの照合の動作 351

URL フィルタリング

UFP の使用 342基本的 374

VVoIP

DoS からの保護 249ハンドオーバー 245ログ記録 251

VoIP ドメイン

ハンドオーバー 248VPN-1 のアーキテクチャ 31VPN-1 のバージョン番号

表示 404VPN-1 を有効にする前の

セキュリティ 390

413

WWeb Intelligence

ClusterXL との互換性 193技術 193接続に与える影響 196パフォーマンスへの

影響 198ライセンス 200

XX11 サービス、ルール・

ベースの使用 45

あアクセス制御

定義 31アドレス変換ルール・

ベース 103アンチ・スプーフィング

NAT 107理解 35

暗黙ルール定義 34編集するタイミング 45

いインスタント・

メッセンジャ 313インターネット・サービス・プ

ロバイダ、「ISP の冗長性」を

参照

うウイルス対策 221ウイルス対策保護

CVP について 339HTTP 339SMTP 348

えエラー・ページ 194

き協調施行 40

設定 51

こコンテンツ・セキュリティ

FTP の設定 331サービスによる実行 367接続性とセキュリティ 380

さサービス

DNS 364H.323 280PPTP 365SIP 261SSHv2 363SSLv3 363TCPT 367X11 45

しシーケンス・ベリファイア 175

すステートフル・

インスペクション 193, 31

せセキュリティ・サーバ 336

FTP 329HTTP

CVP 339CVP

パフォーマンス 340動作方法 336

セキュリティ・ポリシー 32

てデフォルトのセキュリティ・

ポリシーロードされていることの

確認 396デフォルト・フィルタ 390電話通信

脅威 242

ねネットワークの 31

414

はバージョン番号

表示 404ハンドオーバー 245

VoIP ドメイン 248実施する場合 246

ひビジター・モード 367

ふブート・セキュリティ 390

IP 転送 390, 399デフォルト・フィルタ 390

負荷測定エージェントのポートのプロパティ 162

ほポート・スキャン 188

まマルチキャスト

アドレス指定 38セキュリティ保護 37設定 49プロトコル 37

らライセンス

Web Intelligence 200

りリソース

URI リソースの定義 373作成 347定義 346

るルール・ベース

X11 の使用 45基本ルール 44要素 33

ファイアウォールと smartdefense · secure wireless router、zone labs、およびzone labs...

Documents