aws r77.10 セットアップガイド - checkpoint.co.jp · amazon vpc アマゾン vpc...

©2014 Check Point Software Technologies Ltd. 1 ©2014 Check Point Software Technologies Ltd

AWS R77.10 セットアップガイド

[Restricted] ONLY for designated groups and individuals

©2014 Check Point Software Technologies Ltd. 2

もくじ


• AWS 対応製品概要

• セットアップガイド

–想定構成

– VPC 環境設定

– SG インスタンス設定

– SG 初期設定

– Web サーバ設定

–内部セグメント設定

–セキュリティ設定

• 付録１：Connect Control で Web サーバを負荷分散


チェック・ポイントの Software Blade が

Amazon Public Cloud 上で展開可能となりました

Amazon パブリック・クラウド用

仮想アプライアンス

Public Cloud

Amazon Web Services 向け先進のセキュリティ！

3


Amazon VPCトポロジーと構成要素

Internet

1

2

3

プライベート・サブネットの

AWS EC2インスタンス

インターネット接続

（直結または VPN）

Check Point VPC 用

仮想アプライアンス

Amazon

VPC

アマゾン VPC

インターネットゲートウェイ

1

4 4

3

2


クラウドのためのフルレンジ防御

貴社のセキュリティ要件に応じた Software Blade をご選択ください

Public Cloud


クラウド上でのネットワーク攻撃から防御

攻撃パターンの

検知

SQL

インジェクション

攻撃

攻撃者

Firewall & IPS Software Blades

チェック・ポイント

バーチャル・アプライアンス

お客様向けサーバ

Firewall と IPS

Software Blades

すべてのDBの内容を

閲覧しよう・・・


Amazon Web Services上でチェック・ポイント

バーチャル・アプライアンスを有効化

先端のセキュリティを手軽に導入

Public Cloud


迅速に先進のセキュリティを利用可能

Amazon Web Services上でチェック・ポイント

バーチャル・アプライアンス

を有効化

必要な Software Blade を

選択するだけ

Public Cloud

Application Control

Identify and control usage of

thousands of applications based

on user and machine identity.


Virtual Appliance for

Amazon Public Cloud

Public Cloud

ADVANCED SECURITY for Amazon Public Cloud

統合管理完全な防御簡単な導入

9


VPC 環境の Web サーバを保護

想定構成



想定構成


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101

EIP1 ・・・ SG 用

EIP2 ・・・ Web サーバ用

SG : Security Gateway

IG

外部セグメント

内部セグメント


環境概要

• VPC としては 10.0.0.0/16 の空間を利用

• 外部セグメントとして 10.0.0.0/24 を利用

• 内部セグメントとして 10.0.1.0/24 を利用

–このセグメント内の Web サーバを保護

• SG には自身の IP アドレスと Web サーバ用の IP アドレスの 2 つを割り当てる

• EIP も同様に SG 用と Web サーバ用の 2 つを割り当てる

– EIP1 ←→ 10.0.0.100

– EIP2 ←→ 10.0.0.101

• SG は Static NAT を行い、Web サーバへの通信を行う


VPC 環境設定



VPC 作成


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG




VPC 環境作成


VPC

Your VPCs でVPC 環境(Demo VPC)を作成します。VPC 環境では 10.0.0.0/16 のネットワーク空間を利用します。


VPC 環境作成


VPC

VPC 環境(Demo VPC)が作成されました。


外部セグメント作成


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG



VPC




VPC

VPC 環境内に外部セグメント(Ext-Net)を作成します。外部サブネットを作成する VPC

(Demo VPC) と、割り当てるサブネット(10.0.0.0/24) を指定します。




VPC

外部セグメント (Ext-Net) が作成されました。


内部セグメント作成


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG



VPC




VPC

VPC 環境内に内部セグメント(Int-Net)を作成します。内部サブネットを作成する VPC

(Demo VPC) と、割り当てるサブネット(10.0.0.0/24) を指定します。




VPC

内部セグメント (Int-Net) が作成されました。


Internet Gateway 作成


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG



VPC




VPC

インターネットに接続する Internet

Gateway (Internet GW for Demo VPC) を作成します。


Internet Gateway 作成 - VPC の紐付け


VPC

Internet Gateway と VPC を紐付けます。

紐付ける VPC (Demo VPC) を指定します。




VPC

Internet Gateway が作成され、VPC

(Demo VPC) に紐付きました。


外部セグメント用ルーティング設定


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG



VPC


ルート・テーブル作成


VPC

外部セグメントで使用するルート・

テーブル(Route for SG)を作成します。

ルート・テーブルを作成する VPC (Demo

VPC)を選択します。




VPC

作成されたルート・テーブルにルーティング情報を追加します。




VPC

デフォルトルート(0.0.0.0/0)が Internet

Gateway (Internet GW for Demo VPC) に向くように設定します。




VPC

このルート・テーブルを使用するサブネットを指定します。




VPC

外部セグメント(Ext-Net : 10.0.0.0/24)を選択します。




VPC

ルート・テーブルの設定が完了しました。


Security Group (AWS 標準セキュリティ)設定


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG



VPC


Security Group 作成


VPC

各インスタンスが使用する Security

Group を作成します。

デフォルトの Security Group は限られた通信しか許可されません(SG に通信が到達しない)。そのため、特別な Security

Group を作成します。

Security Group の名前

(PermissiveSecGrp) と、Security

Group を作成する VPC を指定します。




VPC

作成された Security Group

(PermissiveSecGrp) にインバウンド(内向き)のルールを作成します。




VPC

すべての通信を許可します。

Type: ALL Traffic

Source: 0.0.0.0/0




VPC

Security Group (PermissiveSecGrp) が作成されました。この Security Group を使用すると、すべての通信が許可されます。


SG インスタンス設定



SG インスタンス作成


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG






EC2

SG インスタンスを作成します。




AWS Marketplace で “Check Point” で検索します。Pay-As-You-Go ではないイメージを選択します。

EC2

ヒント：Pay-As-You-Go はライセンス込みのインスタンスになります。利用時間に応じてAmazon

経由で R77.10 使用料が課金されます。どちらのモデルも 15 日間の評価機期間があります。




インスタンス・タイプを選択します。

ここでは、c3.large を選択しています。

EC2

ヒント：選択可能なタイプはリリースノートを参照してください。未対応のタイプでの動作は保障されません。




SG インスタンスを設置する VPC (Demo

VPC) とサブネット(外部セグメント Ext-

Net :10.0.0.0/24)を指定します。

【次ページに続く】

EC2




1. SG インスタンスに割り当てる外部セグメント側の IP アドレス(10.0.0.100)を指定します。

EC2

2. 内部セグメント用にインタフェース(eth1)を追加します。




SG インスタンスに割り当てる内部セグメント側のサブネット(Int-Net : 10.0.1.0/24)

と IP アドレス(10.0.1.100)を指定します。

EC2




EC2




インスタンスに適用するセキュリティ・グループ(PermissiveSecGrp)を指定します。

EC2




EC2




ssh でアクセスするための証明書キーを選択します(事前作成済み)。または新規に作成することもできます。

EC2




EC2




EC2

SG インスタンスが作成されました。インスタンスのタイプにより running 状態になるまで時間がかかることがあります。


インタフェースにタグ付け


SG インスタンスのインタフェースにタグを付けておくと、インタフェースを参照する際に便利です。まず、10.0.0.100 の付いたインタフェースを探します。

EC2




EC2




Name の Key に適当な名前を付けます。ここでは、SG Ext Interface を指定しています。

EC2




SG の内部側インタフェース(10.0.1.100)も同様の手順でタグ付けを行います。

EC2


Source/Dest Check 無効化


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG



EC2




Security Gateway 宛(発)以外の通信も

送受信できるようにします。

EC2

ヒント：デフォルトだと、自身宛(発)以外の通信しか送受信しません(パケットが到達しません)。




EC2

Source/Destination Check を無効化します。


内部インタフェース Source/Dest Check 無効化


内部インタフェース(SG Int Interface) においても Security Gateway 宛(発)以外の通信も送受信できるようにします。

EC2

Source/Destination Check を無効化します。


SG への EIP 割り当て


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG




SG 用 EIP 取得


SG 用の EIP を取得します。SG の管理に利用します。

EC2

EIP は VPC で使用できるようにします。




EC2

取得した EIP を SG に割り当てます。

EIP を割り当てる SG インスタンス (Demo

Security Gateway) と対応する IP アドレス(10.0.0.100) を指定します。




EC2

EIP が SG に割り当てられました。


SG への EIP 割り当て(Webサーバ用)


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG




SG への Secondary IP 割り当て(Webサーバ用)


内部の Web サーバに対応する IP アドレスを SG に割り当てます。

EC2

ヒント：インターネットからは、EIP→10.0.0.101→10.0.1.200 と2段階にNAT

されて Web サーバにアクセスされます。




eth0 (外部) インタフェースにセカンダリ IP

アドレスを割り当てます。

EC2




EC2

セカンダリ IP アドレス(10.0.0.101)を指定します。




ヒント：セカンダリ IP アドレスは SG 側では特に設定を行う必要はありません。セカンダリ IP 宛ての通信は IG が SG の外部インタフェースにルーティングしてくれます。

EC2


SG Secondary IP 用 EIP 取得(Webサーバ用)


Web サーバ用のセカンダリ IP に対応する

EIP を取得します。

EC2

EIP は VPC で使用できるようにします。


SG Secondary IP に EIP 割り当て(Webサーバ用)


Web サーバ用 EIP を SG の Secondary IP

に割り当てます。

EC2

EIP を割り当てる SG インスタンス(Demo Security Gateway)と対応する IP

アドレス(10.0.0.101)を指定します。


SG Secondary IP に EIP 割り当て(Webサーバ用)


EC2

Web サーバ用 EIP が SG の Secondary IP

に割り当てられました。


SG 初期設定



SG GAiA 管理者パスワード設定


ssh で SG 用 EIP にアクセスします。証明書を利用し「admin」ユーザでログインします。

デフォルトでは admin ユーザにパスワードが設定されていないため、パスワードを設定し、設定を保存します。

GAiA


SG First Time Configuration Wizard(参考)


ブラウザで SG の EIP に https でアクセスします。

GAiA




通常の製品と同様に First Time Configuration

Wizard が起動しますので、手順に従います。

ここではシングル構成でセットアップします。

詳細の手順は各種セットアップガイドを参照してください。

GAiA




GAiA

eth0 にはインスタンス作成時に指定した IP

アドレス(10.0.0.100)が設定されています。

この IP アドレスを変更することはできません。


GAiA ポータル


GAiA

GAiA ポータルで AWS が認識されています。

First Time Configuration Wiuzard 終了後、

GAiA ポータルにログインします。


SG 内部インタフェース設定


追加した内部インタフェース(eth1)は自動では設定されないため、手動で設定します。

GAiA




SG の内部側インタフェースを有効化し、 IP

アドレス(10.0.1.100)とサブネットマスク(255.255.255.0)を指定します。

GAiA




GAiA

SG の内部側インタフェースが有効化されました。


Web サーバ設定



Web サーバ設定


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG




Web サーバ環境


• Web サーバは VPC(Demo VPC) の内部セグメント(Int-Net) 上に構成します。

• Web サーバへのアクセスは後半手順のセキュリティ・ポリシー、NAT ポリシー等の設定が完了するまでアクセスすることはできません。


Web サーバ環境 (参考)


EC2




Web サーバを VPC (Demo VPC) 内の内部セグメント(Int-Net : 10.0.1.0)に構成します。

【次ページに続く】

EC2




EC2

内部セグメントの IP アドレス(10.0.1.200)を指定します。




Web サーバへのアクセス制御は SG で行うため、SG と同様に PermissiveSecGrp を使用します。

EC2




EC2

Web サーバ・インスタンスが作成されました。


Web サーバ設定(参考)


Web

Web サーバへは SG の NAT 設定、セキュリティ・ポリシーが適用されるまでこの手順は実行できません。

Web サーバ用 EIP に証明書認証を利用してログインします。

Web サーバをインストール

Web サーバの実行


内部セグメント設定



内部セグメント用ルーティング設定


SG

Web サーバ

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG




Web サーバ用ルートテーブル作成


Web サーバ(内部セグメント/Int-Net)で使用するルート・テーブルを作成します。

VPC

ルート・テーブルは VPC (Demo VPC) で

使用します。




作成したルート・テーブル(Web Route)にルーティング情報を追加します。

VPC




デフォルト・ルート(0.0.0.0/0)が SG の内部インタフェース(SG Int Interface) に向かうようにします。

VPC




ルート・テーブルを使用するサブネットを指定します。

VPC




ルート・テーブルを内部セグメント

(Int-Net:10.0.1.0/24)で使用します。

VPC


セキュリティ設定


©2014 Check Point Software Technologies Ltd. 120 [Restricted] ONLY for designated groups and individuals

SmartDashboard で SG 用 EIP にアクセスします。

GUI


GW プロパティ


利用するソフトウェア・ブレードを指定します。

GUI


SG トポロジー設定


トポロジーを正しく設定します。

eth0 (10.0.0.100): External

eth1 (10.0.1.100): Internal (This Network)

GUI


Web サーバ・オブジェクト(外部)


Web サーバの外部側での IP アドレス(10.0.0.101) のオブジェクトを作成します。NAT および FireWall ルールで使用します。

GUI


Web サーバ・オブジェクト(内部)


Web サーバの内部側での IP アドレス(10.0.1.200) のオブジェクトを作成します。NAT および FireWall ルールで使用します。

GUI


NAT ルール


Web サーバを NAT する Manual NAT ルールを追加します。

GUI


NAT ルールの説明


1. デフォルトで入っている Office Mode 用 NAT ルール(削除可)


3. インターネットから Web サーバ(10.0.0.101) 宛ての通信を 10.0.1.200 宛てに変換

4. Web サーバ(10.0.1.200)からの通信を 10.0.0.101 からの通信に変換

GUI


FW ルールの例


適切なセキュリティ・ポリシーを指定します。

GUI


ルール説明


1. インターネットから SG への ssh 通信を許可

2. インターネットから Web サーバへの ssh/http 通信を許可

3. Web サーバからインターネットへの http/dns 通信を許可 (Web インスタンスから Web 機能のインストールに必要)

4. 上記以外はドロップ

GUI


ポリシー・インストール


GUI

©2014 Check Point Software Technologies Ltd. 130 [Restricted] ONLY for designated groups and individuals

以上で設定は完了です！！！

正しく設定できていれば内部の Web サーバに通信を行うことができるはずです。

ブラウザで Web サーバにアクセスする前に Web インスタンス上で、Web

サーバ機能のインストール、起動をしておきます。


Web サーバへアクセス


Web サーバの EIP にアクセスしてみましょう。


ログの例


GUI

Web サーバ(10.0.0.101)への通信が見えます。


ログ詳細


GUI

ログを詳しく見ると、10.0.1.200 へ NAT されていることが分かります。


付録１：Connect Control で Web サーバを負荷分散



Connect Control による負荷分散


SG

Web サーバ1

10.0.0.0/24

10.0.1.0/24

100

100

VPC: 10.0.0.0/16

200

仮想IP: 101




IG



Web サーバ2

201


Web サーバ１・オブジェクト(内部)


Web サーバ１の内部側での IP アドレス(10.0.1.200)のオブジェクトを作成します。NAT および FireWall ルールで使用します。

GUI

これまでの手順で作成済みです。


Web サーバ２・オブジェクト(内部)


Web サーバ２の内部側での IP アドレス(10.0.1.201)のオブジェクトを作成します。NAT および FireWall ルールで使用します。

GUI


Web サーバ・グループ


負荷分散対象の Web サーバ群をグループ(Web_Group)として登録します。ロジカル・サーバで利用します。

GUI


ロジカル・サーバ


Web サーバへの負荷分散を提供するロジカル・サーバを作成します。

GUI


ロジカル・サーバ


ロジカル・サーバでは、指定の IP アドレス(10.0.0.101) 宛ての通信が、指定のサーバ群(Web_Group)に負荷分散されます。

GUI


サービス・オブジェクト


各Web サーバへアクセス用に EIP を割り当てるのは無駄なため、NAT＋ポート変換を利用して各 Web サーバへアクセスします。ここでは、ポート 10001 と 10002 を利用します。

EIP:10001 → Web サーバ1:22

EIP:10002 → Web サーバ2:22

GUI


FireWall ルールの例


GUI


ルールの説明


1. インターネットから SG への ssh 通信を許可

2. インターネットから Web サーバへの ssh 通信を許可(NAT)

3. インターネットから Web サーバへ http 通信を許可(負荷分散)

4. 各 Web サーバからインターネットへの http/dns 通信を許可 (Web インスタンスから Web 機能のインストールに必要)

5. 上記以外はドロップ

GUI


NAT ルールの例


GUI


NAT ルールの説明




3. インターネットから Web サーバ代表アドレス(10.0.0.101) 宛ての10001 ポート通信を Web サーバ１(10.0.1.200) 宛て ssh に変換

4. インターネットから Web サーバ代表アドレス(10.0.0.101) 宛ての 10002 ポート通信を Web サーバ２(10.0.1.201) 宛て ssh に変換

5. Web サーバ群(10.0.1.200/10.0.1.201)からの通信を 10.0.0.101 からの通信に変換(Hide NAT)

GUI


各 Web サーバへの ssh アクセス


今回の設定では Web サーバ１へは Web

サーバ EIP の 10001 ポート、Web サーバ2

へは Web サーバ EIP の 10002 ポートを利用して ssh アクセスします。

GUI


ログの例


GUI


Web サーバへのアクセス


Web サーバ１とWeb サーバ２に NAT されて通信が行われます。

GUI


各 Web サーバへの ssh アクセス


Web サーバ EIP の 10001 ポートへの通信がWeb サーバ１の 22 ポートへ変換されていることが分かります。

GUI


Thank You


aws r77.10 セットアップガイド - checkpoint.co.jp · amazon vpc アマゾン vpc...

Documents