aws r77.10 セットアップガイド - checkpoint.co.jp · amazon vpc アマゾン vpc...
TRANSCRIPT
©2014 Check Point Software Technologies Ltd. 1 ©2014 Check Point Software Technologies Ltd
AWS R77.10 セットアップガイド
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 2
もくじ
[Restricted] ONLY for designated groups and individuals
• AWS 対応製品概要
• セットアップガイド
–想定構成
– VPC 環境設定
– SG インスタンス設定
– SG 初期設定
– Web サーバ設定
–内部セグメント設定
–セキュリティ設定
• 付録1:Connect Control で Web サーバを負荷分散
©2014 Check Point Software Technologies Ltd. 3
チェック・ポイントの Software Blade が
Amazon Public Cloud 上で展開可能となりました
Amazon パブリック・クラウド用
仮想アプライアンス
Public Cloud
Amazon Web Services 向け 先進のセキュリティ!
3
©2014 Check Point Software Technologies Ltd. 4
Amazon VPCトポロジーと構成要素
Internet
1
2
3
プライベート・サブネットの
AWS EC2インスタンス
インターネット接続
(直結または VPN)
Check Point VPC 用
仮想アプライアンス
Amazon
VPC
アマゾン VPC
インターネットゲートウェイ
1
4 4
3
2
©2014 Check Point Software Technologies Ltd. 5
クラウドのためのフルレンジ防御
貴社のセキュリティ要件に応じた Software Blade をご選択ください
Public Cloud
©2014 Check Point Software Technologies Ltd. 6
クラウド上でのネットワーク攻撃から防御
攻撃パターンの
検知
SQL
インジェクション
攻撃
攻撃者
Firewall & IPS Software Blades
チェック・ポイント
バーチャル・アプライアンス
お客様向けサーバ
Firewall と IPS
Software Blades
すべてのDBの内容を
閲覧しよう・・・
©2014 Check Point Software Technologies Ltd. 7
Amazon Web Services上でチェック・ポイント
バーチャル・アプライアンスを有効化
先端のセキュリティを手軽に導入
Public Cloud
©2014 Check Point Software Technologies Ltd. 8
迅速に先進のセキュリティを利用可能
Amazon Web Services上でチェック・ポイント
バーチャル・アプライアンス
を有効化
必要な Software Blade を
選択するだけ
Public Cloud
Application Control
Identify and control usage of
thousands of applications based
on user and machine identity.
©2014 Check Point Software Technologies Ltd. 9
Virtual Appliance for
Amazon Public Cloud
Public Cloud
ADVANCED SECURITY for Amazon Public Cloud
統合管理 完全な防御 簡単な導入
9
©2014 Check Point Software Technologies Ltd. 10 ©2014 Check Point Software Technologies Ltd
VPC 環境の Web サーバを保護
想定構成
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 11
想定構成
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
©2014 Check Point Software Technologies Ltd. 12
環境概要
• VPC としては 10.0.0.0/16 の空間を利用
• 外部セグメントとして 10.0.0.0/24 を利用
• 内部セグメントとして 10.0.1.0/24 を利用
–このセグメント内の Web サーバを保護
• SG には自身の IP アドレスと Web サーバ用の IP アドレスの 2 つを割り当てる
• EIP も同様に SG 用と Web サーバ用の 2 つを割り当てる
– EIP1 ←→ 10.0.0.100
– EIP2 ←→ 10.0.0.101
• SG は Static NAT を行い、Web サーバへの通信を行う
©2014 Check Point Software Technologies Ltd. 13 ©2014 Check Point Software Technologies Ltd
VPC 環境設定
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 14
VPC 作成
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
©2014 Check Point Software Technologies Ltd. 15
VPC 環境作成
[Restricted] ONLY for designated groups and individuals
VPC
Your VPCs でVPC 環境(Demo VPC)を作成します。VPC 環境では 10.0.0.0/16 のネットワーク空間を利用します。
©2014 Check Point Software Technologies Ltd. 16
VPC 環境作成
[Restricted] ONLY for designated groups and individuals
VPC
VPC 環境(Demo VPC)が作成されました。
©2014 Check Point Software Technologies Ltd. 17
外部セグメント作成
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
VPC
©2014 Check Point Software Technologies Ltd. 18
外部セグメント作成
[Restricted] ONLY for designated groups and individuals
VPC
VPC 環境内に外部セグメント(Ext-Net)を作成します。外部サブネットを作成する VPC
(Demo VPC) と、割り当てるサブネット(10.0.0.0/24) を指定します。
©2014 Check Point Software Technologies Ltd. 19
外部セグメント作成
[Restricted] ONLY for designated groups and individuals
VPC
外部セグメント (Ext-Net) が作成されました。
©2014 Check Point Software Technologies Ltd. 20
内部セグメント作成
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
VPC
©2014 Check Point Software Technologies Ltd. 21
内部セグメント作成
[Restricted] ONLY for designated groups and individuals
VPC
VPC 環境内に内部セグメント(Int-Net)を作成します。内部サブネットを作成する VPC
(Demo VPC) と、割り当てるサブネット(10.0.0.0/24) を指定します。
©2014 Check Point Software Technologies Ltd. 22
内部セグメント作成
[Restricted] ONLY for designated groups and individuals
VPC
内部セグメント (Int-Net) が作成されました。
©2014 Check Point Software Technologies Ltd. 23
Internet Gateway 作成
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
VPC
©2014 Check Point Software Technologies Ltd. 24
Internet Gateway 作成
[Restricted] ONLY for designated groups and individuals
VPC
インターネットに接続する Internet
Gateway (Internet GW for Demo VPC) を作成します。
©2014 Check Point Software Technologies Ltd. 25
Internet Gateway 作成 - VPC の紐付け
[Restricted] ONLY for designated groups and individuals
VPC
Internet Gateway と VPC を紐付けます。
紐付ける VPC (Demo VPC) を指定します。
©2014 Check Point Software Technologies Ltd. 26
Internet Gateway 作成
[Restricted] ONLY for designated groups and individuals
VPC
Internet Gateway が作成され、VPC
(Demo VPC) に紐付きました。
©2014 Check Point Software Technologies Ltd. 27
外部セグメント用ルーティング設定
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
VPC
©2014 Check Point Software Technologies Ltd. 28
ルート・テーブル作成
[Restricted] ONLY for designated groups and individuals
VPC
外部セグメントで使用するルート・
テーブル(Route for SG)を作成します。
ルート・テーブルを作成する VPC (Demo
VPC)を選択します。
©2014 Check Point Software Technologies Ltd. 29
ルート・テーブル作成
[Restricted] ONLY for designated groups and individuals
VPC
作成されたルート・テーブルにルーティング情報を追加します。
©2014 Check Point Software Technologies Ltd. 30
ルート・テーブル作成
[Restricted] ONLY for designated groups and individuals
VPC
デフォルトルート(0.0.0.0/0)が Internet
Gateway (Internet GW for Demo VPC) に向くように設定します。
©2014 Check Point Software Technologies Ltd. 31
ルート・テーブル作成
[Restricted] ONLY for designated groups and individuals
VPC
このルート・テーブルを使用するサブネットを指定します。
©2014 Check Point Software Technologies Ltd. 32
ルート・テーブル作成
[Restricted] ONLY for designated groups and individuals
VPC
外部セグメント(Ext-Net : 10.0.0.0/24)を選択します。
©2014 Check Point Software Technologies Ltd. 33
ルート・テーブル作成
[Restricted] ONLY for designated groups and individuals
VPC
ルート・テーブルの設定が完了しました。
©2014 Check Point Software Technologies Ltd. 34
Security Group (AWS 標準セキュリティ)設定
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
VPC
©2014 Check Point Software Technologies Ltd. 35
Security Group 作成
[Restricted] ONLY for designated groups and individuals
VPC
各インスタンスが使用する Security
Group を作成します。
デフォルトの Security Group は限られた通信しか許可されません(SG に通信が到達しない)。そのため、特別な Security
Group を作成します。
Security Group の名前
(PermissiveSecGrp) と、Security
Group を作成する VPC を指定します。
©2014 Check Point Software Technologies Ltd. 36
Security Group 作成
[Restricted] ONLY for designated groups and individuals
VPC
作成された Security Group
(PermissiveSecGrp) にインバウンド(内向き)のルールを作成します。
©2014 Check Point Software Technologies Ltd. 37
Security Group 作成
[Restricted] ONLY for designated groups and individuals
VPC
すべての通信を許可します。
Type: ALL Traffic
Source: 0.0.0.0/0
©2014 Check Point Software Technologies Ltd. 38
Security Group 作成
[Restricted] ONLY for designated groups and individuals
VPC
Security Group (PermissiveSecGrp) が作成されました。この Security Group を使用すると、すべての通信が許可されます。
©2014 Check Point Software Technologies Ltd. 39 ©2014 Check Point Software Technologies Ltd
SG インスタンス設定
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 40
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
©2014 Check Point Software Technologies Ltd. 41
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
EC2
SG インスタンスを作成します。
©2014 Check Point Software Technologies Ltd. 42
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
AWS Marketplace で “Check Point” で検索します。Pay-As-You-Go ではないイメージを選択します。
EC2
ヒント:Pay-As-You-Go はライセンス込みのインスタンスになります。利用時間に応じてAmazon
経由で R77.10 使用料が課金されます。どちらのモデルも 15 日間の評価機期間があります。
©2014 Check Point Software Technologies Ltd. 43
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
インスタンス・タイプを選択します。
ここでは、c3.large を選択しています。
EC2
ヒント:選択可能なタイプはリリースノートを参照してください。未対応のタイプでの動作は保障されません。
©2014 Check Point Software Technologies Ltd. 44
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
SG インスタンスを設置する VPC (Demo
VPC) とサブネット(外部セグメント Ext-
Net :10.0.0.0/24)を指定します。
【次ページに続く】
EC2
©2014 Check Point Software Technologies Ltd. 45
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
1. SG インスタンスに割り当てる外部セグメント側の IP アドレス(10.0.0.100)を指定します。
EC2
2. 内部セグメント用にインタフェース(eth1)を追加します。
©2014 Check Point Software Technologies Ltd. 46
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
SG インスタンスに割り当てる内部セグメント側のサブネット(Int-Net : 10.0.1.0/24)
と IP アドレス(10.0.1.100)を指定します。
EC2
©2014 Check Point Software Technologies Ltd. 47
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 48
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 49
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
インスタンスに適用するセキュリティ・グループ(PermissiveSecGrp)を指定します。
EC2
©2014 Check Point Software Technologies Ltd. 50
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 51
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
ssh でアクセスするための証明書キーを選択します(事前作成済み)。または新規に作成することもできます。
EC2
©2014 Check Point Software Technologies Ltd. 52
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 53
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 54
SG インスタンス作成
[Restricted] ONLY for designated groups and individuals
EC2
SG インスタンスが作成されました。インスタンスのタイプにより running 状態になるまで時間がかかることがあります。
©2014 Check Point Software Technologies Ltd. 55
インタフェースにタグ付け
[Restricted] ONLY for designated groups and individuals
SG インスタンスのインタフェースにタグを付けておくと、インタフェースを参照する際に便利です。まず、10.0.0.100 の付いたインタフェースを探します。
EC2
©2014 Check Point Software Technologies Ltd. 56
インタフェースにタグ付け
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 57
インタフェースにタグ付け
[Restricted] ONLY for designated groups and individuals
Name の Key に適当な名前を付けます。ここでは、SG Ext Interface を指定しています。
EC2
©2014 Check Point Software Technologies Ltd. 58
インタフェースにタグ付け
[Restricted] ONLY for designated groups and individuals
SG の内部側インタフェース(10.0.1.100)も同様の手順でタグ付けを行います。
EC2
©2014 Check Point Software Technologies Ltd. 59
Source/Dest Check 無効化
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
EC2
©2014 Check Point Software Technologies Ltd. 60
Source/Dest Check 無効化
[Restricted] ONLY for designated groups and individuals
Security Gateway 宛(発)以外の通信も
送受信できるようにします。
EC2
ヒント:デフォルトだと、自身宛(発)以外の通信しか送受信しません(パケットが到達しません)。
©2014 Check Point Software Technologies Ltd. 61
Source/Dest Check 無効化
[Restricted] ONLY for designated groups and individuals
EC2
Source/Destination Check を無効化します。
©2014 Check Point Software Technologies Ltd. 62
内部インタフェース Source/Dest Check 無効化
[Restricted] ONLY for designated groups and individuals
内部インタフェース(SG Int Interface) においても Security Gateway 宛(発)以外の通信も送受信できるようにします。
EC2
Source/Destination Check を無効化します。
©2014 Check Point Software Technologies Ltd. 63
SG への EIP 割り当て
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
©2014 Check Point Software Technologies Ltd. 64
SG 用 EIP 取得
[Restricted] ONLY for designated groups and individuals
SG 用の EIP を取得します。SG の管理に利用します。
EC2
EIP は VPC で使用できるようにします。
©2014 Check Point Software Technologies Ltd. 65
SG への EIP 割り当て
[Restricted] ONLY for designated groups and individuals
EC2
取得した EIP を SG に割り当てます。
EIP を割り当てる SG インスタンス (Demo
Security Gateway) と対応する IP アドレス(10.0.0.100) を指定します。
©2014 Check Point Software Technologies Ltd. 66
SG への EIP 割り当て
[Restricted] ONLY for designated groups and individuals
EC2
EIP が SG に割り当てられました。
©2014 Check Point Software Technologies Ltd. 67
SG への EIP 割り当て(Webサーバ用)
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
©2014 Check Point Software Technologies Ltd. 68
SG への Secondary IP 割り当て(Webサーバ用)
[Restricted] ONLY for designated groups and individuals
内部の Web サーバに対応する IP アドレスを SG に割り当てます。
EC2
ヒント:インターネットからは、EIP→10.0.0.101→10.0.1.200 と2段階にNAT
されて Web サーバにアクセスされます。
©2014 Check Point Software Technologies Ltd. 69
SG への Secondary IP 割り当て(Webサーバ用)
[Restricted] ONLY for designated groups and individuals
eth0 (外部) インタフェースにセカンダリ IP
アドレスを割り当てます。
EC2
©2014 Check Point Software Technologies Ltd. 70
SG への Secondary IP 割り当て(Webサーバ用)
[Restricted] ONLY for designated groups and individuals
EC2
セカンダリ IP アドレス(10.0.0.101)を指定します。
©2014 Check Point Software Technologies Ltd. 71
SG への Secondary IP 割り当て(Webサーバ用)
[Restricted] ONLY for designated groups and individuals
ヒント:セカンダリ IP アドレスは SG 側では特に設定を行う必要はありません。セカンダリ IP 宛ての通信は IG が SG の外部インタフェースにルーティングしてくれます。
EC2
©2014 Check Point Software Technologies Ltd. 72
SG Secondary IP 用 EIP 取得(Webサーバ用)
[Restricted] ONLY for designated groups and individuals
Web サーバ用のセカンダリ IP に対応する
EIP を取得します。
EC2
EIP は VPC で使用できるようにします。
©2014 Check Point Software Technologies Ltd. 73
SG Secondary IP に EIP 割り当て(Webサーバ用)
[Restricted] ONLY for designated groups and individuals
Web サーバ用 EIP を SG の Secondary IP
に割り当てます。
EC2
EIP を割り当てる SG インスタンス(Demo Security Gateway)と対応する IP
アドレス(10.0.0.101)を指定します。
©2014 Check Point Software Technologies Ltd. 74
SG Secondary IP に EIP 割り当て(Webサーバ用)
[Restricted] ONLY for designated groups and individuals
EC2
Web サーバ用 EIP が SG の Secondary IP
に割り当てられました。
©2014 Check Point Software Technologies Ltd. 75 ©2014 Check Point Software Technologies Ltd
SG 初期設定
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 76
SG GAiA 管理者パスワード設定
[Restricted] ONLY for designated groups and individuals
ssh で SG 用 EIP にアクセスします。証明書を利用し「admin」ユーザでログインします。
デフォルトでは admin ユーザにパスワードが設定されていないため、パスワードを設定し、設定を保存します。
GAiA
©2014 Check Point Software Technologies Ltd. 77
SG First Time Configuration Wizard(参考)
[Restricted] ONLY for designated groups and individuals
ブラウザで SG の EIP に https でアクセスします。
GAiA
©2014 Check Point Software Technologies Ltd. 78
SG First Time Configuration Wizard(参考)
[Restricted] ONLY for designated groups and individuals
通常の製品と同様に First Time Configuration
Wizard が起動しますので、手順に従います。
ここではシングル構成でセットアップします。
詳細の手順は各種セットアップガイドを参照してください。
GAiA
©2014 Check Point Software Technologies Ltd. 80
SG First Time Configuration Wizard(参考)
[Restricted] ONLY for designated groups and individuals
GAiA
eth0 にはインスタンス作成時に指定した IP
アドレス(10.0.0.100)が設定されています。
この IP アドレスを変更することはできません。
©2014 Check Point Software Technologies Ltd. 93
GAiA ポータル
[Restricted] ONLY for designated groups and individuals
GAiA
GAiA ポータルで AWS が認識されています。
First Time Configuration Wiuzard 終了後、
GAiA ポータルにログインします。
©2014 Check Point Software Technologies Ltd. 94
SG 内部インタフェース設定
[Restricted] ONLY for designated groups and individuals
追加した内部インタフェース(eth1)は自動では設定されないため、手動で設定します。
GAiA
©2014 Check Point Software Technologies Ltd. 95
SG 内部インタフェース設定
[Restricted] ONLY for designated groups and individuals
SG の内部側インタフェースを有効化し、 IP
アドレス(10.0.1.100)とサブネットマスク(255.255.255.0)を指定します。
GAiA
©2014 Check Point Software Technologies Ltd. 96
SG 内部インタフェース設定
[Restricted] ONLY for designated groups and individuals
GAiA
SG の内部側インタフェースが有効化されました。
©2014 Check Point Software Technologies Ltd. 97 ©2014 Check Point Software Technologies Ltd
Web サーバ設定
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 98
Web サーバ設定
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
©2014 Check Point Software Technologies Ltd. 99
Web サーバ環境
[Restricted] ONLY for designated groups and individuals
• Web サーバは VPC(Demo VPC) の内部セグメント(Int-Net) 上に構成します。
• Web サーバへのアクセスは後半手順のセキュリティ・ポリシー、NAT ポリシー等の設定が完了するまでアクセスすることはできません。
©2014 Check Point Software Technologies Ltd. 100
Web サーバ環境 (参考)
[Restricted] ONLY for designated groups and individuals
EC2
©2014 Check Point Software Technologies Ltd. 102
Web サーバ環境 (参考)
[Restricted] ONLY for designated groups and individuals
Web サーバを VPC (Demo VPC) 内の内部セグメント(Int-Net : 10.0.1.0)に構成します。
【次ページに続く】
EC2
©2014 Check Point Software Technologies Ltd. 103
Web サーバ環境 (参考)
[Restricted] ONLY for designated groups and individuals
EC2
内部セグメントの IP アドレス(10.0.1.200)を指定します。
©2014 Check Point Software Technologies Ltd. 106
Web サーバ環境 (参考)
[Restricted] ONLY for designated groups and individuals
Web サーバへのアクセス制御は SG で行うため、SG と同様に PermissiveSecGrp を使用します。
EC2
©2014 Check Point Software Technologies Ltd. 110
Web サーバ環境 (参考)
[Restricted] ONLY for designated groups and individuals
EC2
Web サーバ・インスタンスが作成されました。
©2014 Check Point Software Technologies Ltd. 111
Web サーバ設定(参考)
[Restricted] ONLY for designated groups and individuals
Web
Web サーバへは SG の NAT 設定、セキュリティ・ポリシーが適用されるまでこの手順は実行できません。
Web サーバ用 EIP に証明書認証を利用してログインします。
Web サーバをインストール
Web サーバの実行
©2014 Check Point Software Technologies Ltd. 112 ©2014 Check Point Software Technologies Ltd
内部セグメント設定
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 113
内部セグメント用ルーティング設定
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
©2014 Check Point Software Technologies Ltd. 114
Web サーバ用ルートテーブル作成
[Restricted] ONLY for designated groups and individuals
Web サーバ(内部セグメント/Int-Net)で使用するルート・テーブルを作成します。
VPC
ルート・テーブルは VPC (Demo VPC) で
使用します。
©2014 Check Point Software Technologies Ltd. 115
Web サーバ用ルートテーブル作成
[Restricted] ONLY for designated groups and individuals
作成したルート・テーブル(Web Route)にルーティング情報を追加します。
VPC
©2014 Check Point Software Technologies Ltd. 116
Web サーバ用ルートテーブル作成
[Restricted] ONLY for designated groups and individuals
デフォルト・ルート(0.0.0.0/0)が SG の内部インタフェース(SG Int Interface) に向かうようにします。
VPC
©2014 Check Point Software Technologies Ltd. 117
Web サーバ用ルートテーブル作成
[Restricted] ONLY for designated groups and individuals
ルート・テーブルを使用するサブネットを指定します。
VPC
©2014 Check Point Software Technologies Ltd. 118
Web サーバ用ルートテーブル作成
[Restricted] ONLY for designated groups and individuals
ルート・テーブルを内部セグメント
(Int-Net:10.0.1.0/24)で使用します。
VPC
©2014 Check Point Software Technologies Ltd. 119 ©2014 Check Point Software Technologies Ltd
セキュリティ設定
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 120 [Restricted] ONLY for designated groups and individuals
SmartDashboard で SG 用 EIP にアクセスします。
GUI
©2014 Check Point Software Technologies Ltd. 121
GW プロパティ
[Restricted] ONLY for designated groups and individuals
利用するソフトウェア・ブレードを指定します。
GUI
©2014 Check Point Software Technologies Ltd. 122
SG トポロジー設定
[Restricted] ONLY for designated groups and individuals
トポロジーを正しく設定します。
eth0 (10.0.0.100): External
eth1 (10.0.1.100): Internal (This Network)
GUI
©2014 Check Point Software Technologies Ltd. 123
Web サーバ・オブジェクト(外部)
[Restricted] ONLY for designated groups and individuals
Web サーバの外部側での IP アドレス(10.0.0.101) のオブジェクトを作成します。NAT および FireWall ルールで使用します。
GUI
©2014 Check Point Software Technologies Ltd. 124
Web サーバ・オブジェクト(内部)
[Restricted] ONLY for designated groups and individuals
Web サーバの内部側での IP アドレス(10.0.1.200) のオブジェクトを作成します。NAT および FireWall ルールで使用します。
GUI
©2014 Check Point Software Technologies Ltd. 125
NAT ルール
[Restricted] ONLY for designated groups and individuals
Web サーバを NAT する Manual NAT ルールを追加します。
GUI
©2014 Check Point Software Technologies Ltd. 126
NAT ルールの説明
[Restricted] ONLY for designated groups and individuals
1. デフォルトで入っている Office Mode 用 NAT ルール(削除可)
2. デフォルトで入っている Office Mode 用 NAT ルール(削除可)
3. インターネットから Web サーバ(10.0.0.101) 宛ての通信を 10.0.1.200 宛てに変換
4. Web サーバ(10.0.1.200)からの通信を 10.0.0.101 からの通信に変換
GUI
©2014 Check Point Software Technologies Ltd. 127
FW ルールの例
[Restricted] ONLY for designated groups and individuals
適切なセキュリティ・ポリシーを指定します。
GUI
©2014 Check Point Software Technologies Ltd. 128
ルール説明
[Restricted] ONLY for designated groups and individuals
1. インターネットから SG への ssh 通信を許可
2. インターネットから Web サーバへの ssh/http 通信を許可
3. Web サーバからインターネットへの http/dns 通信を許可 (Web インスタンスから Web 機能のインストールに必要)
4. 上記以外はドロップ
GUI
©2014 Check Point Software Technologies Ltd. 129
ポリシー・インストール
[Restricted] ONLY for designated groups and individuals
GUI
©2014 Check Point Software Technologies Ltd. 130 [Restricted] ONLY for designated groups and individuals
以上で設定は完了です!!!
正しく設定できていれば内部の Web サーバに通信を行うことができるはずです。
ブラウザで Web サーバにアクセスする前に Web インスタンス上で、Web
サーバ機能のインストール、起動をしておきます。
©2014 Check Point Software Technologies Ltd. 131
Web サーバへアクセス
[Restricted] ONLY for designated groups and individuals
Web サーバの EIP にアクセスしてみましょう。
©2014 Check Point Software Technologies Ltd. 132
ログの例
[Restricted] ONLY for designated groups and individuals
GUI
Web サーバ(10.0.0.101)への通信が見えます。
©2014 Check Point Software Technologies Ltd. 133
ログ詳細
[Restricted] ONLY for designated groups and individuals
GUI
ログを詳しく見ると、10.0.1.200 へ NAT されていることが分かります。
©2014 Check Point Software Technologies Ltd. 134 ©2014 Check Point Software Technologies Ltd
付録1:Connect Control で Web サーバを負荷分散
[Restricted] ONLY for designated groups and individuals
©2014 Check Point Software Technologies Ltd. 135
Connect Control による負荷分散
[Restricted] ONLY for designated groups and individuals
SG
Web サーバ1
10.0.0.0/24
10.0.1.0/24
100
100
VPC: 10.0.0.0/16
200
仮想IP: 101
EIP1 ・・・ SG 用
EIP2 ・・・ Web サーバ用
SG : Security Gateway
IG
外部セグメント
内部セグメント
Web サーバ2
201
©2014 Check Point Software Technologies Ltd. 136
Web サーバ1・オブジェクト(内部)
[Restricted] ONLY for designated groups and individuals
Web サーバ1の内部側での IP アドレス(10.0.1.200)のオブジェクトを作成します。NAT および FireWall ルールで使用します。
GUI
これまでの手順で作成済みです。
©2014 Check Point Software Technologies Ltd. 137
Web サーバ2・オブジェクト(内部)
[Restricted] ONLY for designated groups and individuals
Web サーバ2の内部側での IP アドレス(10.0.1.201)のオブジェクトを作成します。NAT および FireWall ルールで使用します。
GUI
©2014 Check Point Software Technologies Ltd. 138
Web サーバ・グループ
[Restricted] ONLY for designated groups and individuals
負荷分散対象の Web サーバ群をグループ(Web_Group)として登録します。ロジカル・サーバで利用します。
GUI
©2014 Check Point Software Technologies Ltd. 139
ロジカル・サーバ
[Restricted] ONLY for designated groups and individuals
Web サーバへの負荷分散を提供するロジカル・サーバを作成します。
GUI
©2014 Check Point Software Technologies Ltd. 140
ロジカル・サーバ
[Restricted] ONLY for designated groups and individuals
ロジカル・サーバでは、指定の IP アドレス(10.0.0.101) 宛ての通信が、指定のサーバ群(Web_Group)に負荷分散されます。
GUI
©2014 Check Point Software Technologies Ltd. 141
サービス・オブジェクト
[Restricted] ONLY for designated groups and individuals
各Web サーバへアクセス用に EIP を割り当てるのは無駄なため、NAT+ポート変換を利用して各 Web サーバへアクセスします。ここでは、ポート 10001 と 10002 を利用します。
EIP:10001 → Web サーバ1:22
EIP:10002 → Web サーバ2:22
GUI
©2014 Check Point Software Technologies Ltd. 142
FireWall ルールの例
[Restricted] ONLY for designated groups and individuals
GUI
©2014 Check Point Software Technologies Ltd. 143
ルールの説明
[Restricted] ONLY for designated groups and individuals
1. インターネットから SG への ssh 通信を許可
2. インターネットから Web サーバへの ssh 通信を許可(NAT)
3. インターネットから Web サーバへ http 通信を許可(負荷分散)
4. 各 Web サーバからインターネットへの http/dns 通信を許可 (Web インスタンスから Web 機能のインストールに必要)
5. 上記以外はドロップ
GUI
©2014 Check Point Software Technologies Ltd. 144
NAT ルールの例
[Restricted] ONLY for designated groups and individuals
GUI
©2014 Check Point Software Technologies Ltd. 145
NAT ルールの説明
[Restricted] ONLY for designated groups and individuals
1. デフォルトで入っている Office Mode 用 NAT ルール(削除可)
2. デフォルトで入っている Office Mode 用 NAT ルール(削除可)
3. インターネットから Web サーバ代表アドレス(10.0.0.101) 宛ての10001 ポート通信を Web サーバ1(10.0.1.200) 宛て ssh に変換
4. インターネットから Web サーバ代表アドレス(10.0.0.101) 宛ての 10002 ポート通信を Web サーバ2(10.0.1.201) 宛て ssh に変換
5. Web サーバ群(10.0.1.200/10.0.1.201)からの通信を 10.0.0.101 からの通信に変換(Hide NAT)
GUI
©2014 Check Point Software Technologies Ltd. 146
各 Web サーバへの ssh アクセス
[Restricted] ONLY for designated groups and individuals
今回の設定では Web サーバ1へは Web
サーバ EIP の 10001 ポート、Web サーバ2
へは Web サーバ EIP の 10002 ポートを利用して ssh アクセスします。
GUI
©2014 Check Point Software Technologies Ltd. 147
ログの例
[Restricted] ONLY for designated groups and individuals
GUI
©2014 Check Point Software Technologies Ltd. 148
Web サーバへのアクセス
[Restricted] ONLY for designated groups and individuals
Web サーバ1とWeb サーバ2に NAT されて通信が行われます。
GUI
©2014 Check Point Software Technologies Ltd. 149
各 Web サーバへの ssh アクセス
[Restricted] ONLY for designated groups and individuals
Web サーバ EIP の 10001 ポートへの通信がWeb サーバ1の 22 ポートへ変換されていることが分かります。
GUI
©2014 Check Point Software Technologies Ltd. 165 ©2014 Check Point Software Technologies Ltd
Thank You
[Restricted] ONLY for designated groups and individuals