VPN-1/Firewall-1 設定&管理 Bible

[表紙]VPN-1/Firewall-1 設定&管理 Bible

B5変形判/608ページ

定価(本体4,880円+税)

ISBN 4-7741-2228-9

ただいま弊社在庫はございません。

→学校・法人一括購入ご検討の皆様へ

書籍の概要

この本の概要

商用ファイアウォールでシェアNo.1を誇るチェック・ポイント社の「VPN-1/FireWall-1」の設定や管理に役立つポイントを網羅しています。この製品を導入または検討している企業のネットワーク管理者にとっては必携の1冊です。

こんな方におすすめ

  • VPN-1/FireWall-1を利用している企業の管理者
  • VPN-1/FireWall-1の導入を検討している企業の管理者

目次

第1章 VPN-1/FireWall-1の概要

  • 1.1 ファイアウォールの存在意義と歴史
    • 1.1.1 ファイアウォールという存在
    • 1.1.2 ファイアウォールの誕生
  • 1.2 ファイアウォールの技術
    • 1.2.1 パケットフィルタリング型ファイアウォール
    • 1.2.2 アプリケーションゲートウェイ型ファイアウォール
    • 1.2.3 ステートフル・インスペクション型ファイアウォール
  • 1.3 VPN-1/FireWall-1の構成
    • 1.3.1 VPN-1/FireWall-1が持つ強み
    • 1.3.2 チェック・ポイント製品のアーキテクチャ
    •     SVN(Secure Virtual Network)
    • 1.3.3 VPN-1/FireWall-1コンポーネント
    •     VPN-1/FireWall-1ゲートウェイ(VPN-1/FireWall-1 Enforcement Module)
    •     VPN-1/FireWall-1のステートフル・インスペクション
    •     マネジメントサーバ(SmartCenter)
    •     管理GUIクライアント(SmartConsole)
    • 1.3.4 VPN-1/FireWall-1 NGの特徴
    •     SVN Foundation
    •     CPShared
    •     SIC(Secure Internal Communication)
    • 1.3.5 VPN-1/FireWall-1におけるバージョンアップ

第2章 VPN-1/FireWall-1のインストール

  • 2.1 インストールの準備
    • 2.1.1 インストール要件
    •     VPN-1/FireWall-1ゲートウェイ及びマネジメントサーバの導入要件
    •     管理GUIクライアント(SmartConsole)の導入要件
    • 2.1.2 ライセンス体系について
    • 2.1.3 OSの要塞化
    •     不要なサービスの停止
    •     OSのユーザ設定
    •     パッチの適用
  • 2.2 Windowsプラットフォームにおけるインストール
  • 2.3 Linuxプラットフォームにおけるインストール
    • 2.3.1 インストール前の確認事項
    • 2.3.2 VPN-1/Firewall-1のインストール(Linux/Solaris)
  • 2.4 Solarisプラットフォームにおけるインストール
    • 2.4.1 インストール前の確認事項
    •     パッチの適用
  • 2.5 Nokiaプラットフォームにおけるインストール
    • 2.5.1 NOKIAアプライアンスとは
    • 2.5.2 インストール前の確認事項
    •     IPSOのアップグレード
    •     追加インストールによるアップグレード
    •     Voyager経由によるIPSOアップグレード
    • 2.5.3 NOKIAアプライアンスの初期設定
    • 2.5.4 VPN-1/FireWall-1のインストール(Nokia)
  • 2.6 セキュアプラットフォームにおけるインストール
  • 2.7 プラットフォームごとのアンインストール
    •     Windowsプラットフォームにおけるアンインストール
    •     Linux/セキュアプラットフォームにおけるアンインストール
    •     Solarisプラットフォームにおけるインストール
    •     Nokiaプラットフォームにおけるアンインストール

第3章 セキュリティポリシー

  • 3.1 セキュリティポリシーの概要
    • 3.1.1 セキュリティポリシーとは
    • 3.1.2 VPN-1/FireWall-1におけるセキュリティポリシー
  • 3.2 SmartConsole
    • 3.2.1 SmartConsole
    • 3.2.2 Check Point Configuration Tool
    •     Check Point Configuration Toolの起動
    •     Administrators
    •     GUI Clients
    •     Fingerprint
  • 3.3 SmartDashboard
    • 3.3.1 マネジメントサーバとの接続
    •     SmartDashboardの起動
    •     Fingerprintの確認
    •     Demo Mode
    • 3.3.2 SmartDashboardの画面
  • 3.4 セキュリティポリシーの作成
    • 3.4.1 Securityオブジェクト
    •     Networkオブジェクト
    •     Servicesオブジェクト
    • 3.4.2 Securityオブジェクトの作成
    •     Check Point Gatewayオブジェクトの作成
    •     Hosts Nodesオブジェクトの作成
    •     Networksオブジェクトの作成
    •     Servicesオブジェクトの作成
    •     Securityオブジェクト作成のポイント
    • 3.4.3 IPスプーフィングの対策(アンチスプーフィング)
    •     Topologyの設定
    • 3.4.4 Securityルール
    •     SOURCE/DESTINATION/VPN/SOURCE
    •     ACTION
    •     TRACK
    •     INSTALL ON
    •     TIME
    • 3.4.5 Securityルールの作成
    •     Securityルールの追加
    •     各カラムの設定
    • 3.4.6 Implied Rules
    •     Implied Rulesの表示
    •     Implied Rulesの設定
  • 3.5 セキュリティポリシーの適用と管理
    • 3.5.1 ポリシーのインストール
    •     セキュリティポリシーのチェック
    •     セキュリティポリシーのインストール
    • 3.5.2 Revision Control
    •     Revision Controlの有効化
    •     セキュリティポリシーのリストア

第4章 NAT

  • 4.1 NATとは
    • 4.1.1 NATの誕生
    • 4.1.2 NATとセキュリティ
  • 4.2 VPN-1/FireWall-1におけるNAT
    • 4.2.1 Static NAT
    • 4.2.2 Hide NAT
    • 4.2.3 NATとARP
  • 4.3 NATの設定
    • 4.3.1 Address Translationルール
    • 4.3.2 Automatic NATによるNAT設定
    •     Securityオブジェクトの設定
    •     Address Rangeオブジェクト
    •     Securityルールの作成
    • 4.3.3 Manual NATによるNAT設定
    •     Global Propertiesの設定
    •     Securityオブジェクトの作成
    •     Address Translationルールの作成
    •     Securityルールの作成
  • 4.4 IP Pool NAT
    • 4.4.1 IP Pool NATの設定
    •     Securityオブジェクトの作成

第5章 ログ管理

  • 5.1 ログ管理の概要
    • 5.1.1 ログ管理の必要性
    • 5.1.2 VPN-1/Firewall-1でのロギングアーキテクチャ
  • 5.2 SmartView Tracker
    • 5.2.1 SmartView Trackerの起動
    • 5.2.2 SmartView Trackerの画面
    • 5.2.3 SmartView Trackerのモード
    •     Logモード
    •     Activeモード
    •     Auditモード
  • 5.3 ログファイルの検索・フィルタリング・クエリ
    • 5.3.1 ログ情報の検索
    • 5.3.2 ログ情報のフィルタリング
    • 5.3.3 ログ情報のクエリ
  • 5.4 ログファイル管理の設定
    • 5.4.1 ログファイル管理の設定と操作
    •     Log and Masters
    •     Additional Logging Configuration
    •     Masters
    •     Log Servers
    • 5.4.2 ローカルログ記録
    • 5.4.3 ログファイルロケーションの変更
    •     Windowsの場合
    •     Unix系OSの場合
    • 5.4.4 ログスイッチ
    • 5.4.5 ログエントリの保存
    • 5.4.6 ログファイルのエキスポート
    • 5.4.7 ログファイルのパージ
  • 5.5 ブロッキング機能
    • 5.5.1 ブロッキング機能とは
    • 5.5.2 ブロッキング機能の使用方法
    • 5.5.3 ブロッキング機能の使用における注意点

第6章 認証

  • 6.1 認証
    • 6.1.1 認証とは
    • 6.1.2 認証の重要性
  • 6.2 VPN-1/FireWall-1の認証
    • 6.2.1 認証スキームとユーザデータベース
    •     認証スキーム
    •     ユーザデータベース
    •     VPN-1/FireWall-1 Password
    •     OS Password
    •     RADIUS
    • 6.2.2 ユーザ関連のオブジェクト
  • 6.3 認証の設定
    • 6.3.1 認証スキームの設定
    • 6.3.2 ユーザデータベースの設定
    •     Userオブジェクトの作成
    •     Groupオブジェクトの作成
    •     ユーザデータベースのインストール
    • 6.3.3 認証ルールの作成
  • 6.4 ユーザ認証
    • 6.4.1 ユーザ認証の仕組み
    • 6.4.2 ユーザ認証ルールの設定
    • 6.4.3 ユーザ認証ルールのその他の設定
    •     バナー情報のカスタマイズ
    •     認証回数の設定
    •     セッションタイムアウトの設定
    • 6.4.4 ユーザ認証の接続手順
    •     HTTPにおけるユーザ認証
    •     FTPにおけるユーザ認証
    •     TELNET/RLOGINでのユーザ認証
  • 6.5 クライアント認証
    • 6.5.1 クライアント認証の仕組み
    • 6.5.2 クライアント認証ルールの設定
    • 6.5.3 クライアントルールのその他の設定
    •     認証回数の設定
    •     Wait Modeの設定
    • 6.5.4 クライアント認証の接続手順
    •     TELNETを使用する場合
    •     HTTPを使用する場合
  • 6.6 セッション認証
    • 6.6.1 セッション認証の仕組み
    • 6.6.2 セッション認証ルールの設定
    • 6.6.3 セッション認証ルールのその他の設定
    •     認証回数の設定
    • 6.6.4 セッション認証の接続手順
    •     セッション認証エージェントのインストール
  • 6.7 LDAPとVPN-1/FireWall-1認証
    • 6.7.1 LDAPとは
    • 6.7.2 LDAP認証の設定
    •     Global Propertiesの設定
    •     LDAPアカウントユニットの設定
    •     ユーザデータベースの設定

第7章 VPN

  • 7.1 VPNの基本
    • 7.1.1 VPNとは
    • 7.1.2 VPNの仕組み
    • 7.1.3 VPNにおける暗号化
    •     暗号化とは
    •     共通鍵暗号方式(対称アルゴリズム)
    •     公開鍵暗号方式(非対称アルゴリズム)
    • 7.1.4 IKEとIPSec
    •     IKEとは
    •     IKE phase ?
    •     IKE phase ?
    •     IPSecとは
  • 7.2 VPN-1の基本
    • 7.2.1 VPN-1でのVPNトポロジ
    •     メッシュ型(Meshed)
    •     スター型(Star)
    • 7.2.2 TraditionalモードとSimplifiedモード
    • 7.2.3 VPN-1 ProとVPN-1 Net
    • 7.2.4 内部管理ゲートウェイと外部管理ゲートウェイ
  • 7.3 VPN-1の設定
    • 7.3.1 VPN-1ゲートウェイオブジェクトの設定
    •     VPN Advancedの設定
    •     TopologyにおけるVPNドメイン設定
    • 7.3.2 VPNコミュニティの設定
    •     メッシュVPNコミュニティの設定
    •     スターVPNコミュニティの設定
    • 7.3.3 Global PropertiesにおけるVPN設定
    •     VPN-1 Pro
    •     Early Version Compatibility(VPN-1 Pro)
    •     Advanced(VPN-1 Pro)
    •     VPN-1 Net
    • 7.3.4 Securityルールの作成
  • 7.4 VPNルーティング
    • 7.4.1 VPNルーティングとは
    • 7.4.2 VPNルーティングとVPN-1 Net
    • 7.4.3 VPNルーティングとリモートアクセスクライアント
    • 7.4.4 VPNルーティングの設定方法
    • 7.4.5 Site-to-SiteのVPNでのVPNルーティング設定
    • 7.4.6 Site-to-ClientのVPNでのVPNルーティング設定
    • 7.4.7 VPNルーティングとアクセス制御
  • 7.5 MEP
    • 7.5.1 MEPとは
    • 7.5.2 MEPの構成
    •     「最初に応答」構成
    •     負荷分散構成
    • 7.5.3 MEP環境のルーティングセキュリティポリシー
    •     IPプールNAT
    •     RIM
    • 7.5.4 MEPとクラスタリングの違い

第8章 VPN-1 SecuRemote

  • 8.1 SecuRemote
    • 8.1.1 SecuRemoteとは
    • 8.1.2 SecuRemoteの通信
    • 8.1.3 リモートアクセスの接続性
    • 8.1.4 IKE over TCPとUDP encapsulation
    •     IKE over TCP
    •     UDP encapsulation(NAT Traversal)
  • 8.2 SecuRemoteのインストール
  • 8.3 リモートアクセスの設定
    • 8.3.1 リモートアクセスユーザ・グループの作成
    • 8.3.2 リモートアクセス用VPNコミュニティの作成
    • 8.3.3 リモートアクセスを受け入れるGatewayオブジェクトの設定
    • 8.3.4 リモートアクセス接続に関するGlobal Propertiesの設定
    • 8.3.5 リモートアクセス用ルールの作成
  • 8.4 SecuRemoteを用いたリモートアクセス
    • 8.4.1 SecuRemoteを用いたリモートアクセスの開始
    • 8.4.2 リモートアクセスの接続性に関わる設定

第9章 VPN-1 SecureClient

  • 9.1 SecureClient
    • 9.1.1 SecureClientとは
    • 9.1.2 SecureClientの通信
    • 9.1.3 リモートアクセスの接続性
  • 9.2 SecureClientのインストール
  • 9.3 リモートアクセスの設定
    • 9.3.1 リモートアクセスを受け入れるGatewayオブジェクトの設定
    • 9.3.2 リモートアクセスに関するGlobal Propertiesの設定
  • 9.4 SecureClientを用いたリモートアクセス
    • 9.4.1 SecureClientを用いたリモートアクセスの開始
    • 9.4.2 Connect Modeを用いたリモートアクセスの開始
    • 9.4.3 リモートアクセスの接続性に関わる設定
    • 9.4.4 SecureClient Diagnostics
  • 9.5 Policy Server
    • 9.5.1 Policy Serverとは
    • 9.5.2 Policy Serverのライセンス体系
    • 9.5.3 Policy Serverの設定
    • 9.5.4 Desktopポリシーの設定
    • 9.5.5 Policy Serverの仕組み
  • 9.6 Secure Configuration Verification(SCV)
    • 9.6.1 Secure Configuration Verification(SCV)とは
    •     SCVの仕組み
    •     SCVのチェック項目とは
    •     SCVの設定
  • 9.7 SecureClient Packageing Tool
    • 9.7.1 SecureClient Packaging Toolとは
    • 9.7.2 SecureClient Packaging Toolの設定と使用方法
    •     ASDServerの設定
    •     Package Profileの作成
    •     パッケージの作成と配布
    •     クライアント側の設定
  • 9.8 Clientless VPN
    • 9.8.1 Clientless VPNとは
    • 9.8.2 Clientless VPNの仕組み
    •     Secure Channelの確立
    •     Communicationフェーズ
    • 9.8.3 Clientless VPNの設定
    •     ゲートウェイで使用される証明書の設定
    •     Clientless VPNの設定
    •     セキュリティポリシーの設定
    •     クライアントの設定

第10章 負荷分散(ConnectControl)

  • 10.1 VPN-1/Firewall-1における負荷分散
    • 10.1.1 負荷分散とは
    • 10.1.2 ConnectControlによる負荷分散
  • 10.2 負荷分散の方法と種類
    • 10.2.1 負荷分散の方法
    •     HTTP Method
    •     Other Method
    • 10.2.2 負荷分散アルゴリズム
    •     Server Load
    •     Round Trip
    •     Round Robin
    •     Random
    •     Domain
    • 10.2.3 Load Balancing Table
  • 10.3 負荷分散の設定
    • 10.3.1 Host Nodeオブジェクトの作成
    • 10.3.2 Groupオブジェクトの作成
    • 10.3.3 Logical Serverオブジェクトの作成
    • 10.3.4 Global Propertiesにおける負荷分散設定
    • 10.3.5 ICMPの設定
    • 10.3.6 セキュリティルールの作成
    •     HTTP Methodの場合
    •     Other Methodの場合

第11章 可用性対策

  • 11.1 VPN-1/FireWall-1ゲートウェイにおける可用性対策
    • 11.1.1 ハイアベイラビリティとは
    • 11.1.2 負荷共有とは
  • 11.2 ステート同期
    • 11.2.1 ステート同期とは
    • 11.2.2 同期ネットワーク
    • 11.2.3 同期する接続情報(サービス情報)
    • 11.2.4 ステート同期と非対称接続
    • 11.2.5 ステート同期とクラスタメンバの制限
    • 11.2.6 ステート同期の設定
  • 11.3 ClusterXL
    • 11.3.1 ClusterXLとは
    • 11.3.2 ClusterXLのモード
    •     負荷共有マルチキャストモード
    •     負荷共有ユニキャストモード
    •     ハイアベイラビリティNewモード
    •     ハイアベイラビリティLegacyモード
    • 11.3.3 ClusetXLの設定
  • 11.4 ゲートウェイクラスタの状態監視
    • 11.4.1 状態監視の重要性
    • 11.4.2 状態監視に利用するツール
    •     SmartView Tracker
    •     SmartView Status
    • 11.4.3 状態監視に利用するコマンド
    •     cphaprob state
    •     cphaprob -a if
    •     cphaprob list
  • 11.5 マネジメントサーバにおける可用性対策
    • 11.5.1 セカンダリマネジメントサーバ
    • 11.5.2 同期状態の監視
    • 11.5.3 マネジメントサーバの可用性設定
  • 11.6 Nokia IPシリーズにおける可用性対策
    • 11.6.1 Nokia用SmartDashboardの設定
    • 11.6.2 Nokiaにおけるステート同期用ルールの設定

第12章 コンテンツセキュリティ

  • 12.1 コンテンツセキュリティの概要
    • 12.1.1 コンテンツセキュリティ機能とは
    •     CVPサーバ
    •     UFPサーバ
    • 12.1.2 セキュリティサーバとは
    •     HTTPセキュリティサーバ
    •     SMTPセキュリティサーバ
    •     FTPセキュリティサーバ
    • 12.1.3 コンテンツセキュリティの設定
    •     OPSECアプリケーションの定義
    •     リソースオブジェクトの設定
    •     Global Propertiesの設定
    •     ルールベースの設定
    •     ポリシーのインストール
  • 12.2 HTTPコンテンツセキュリティ
    • 12.2.1 URIリソースオブジェクト
    •     URIリソースの概念
    •     URIリソースオブジェクトの設定
    •     Actionタブにおける設定項目
    •     SOAPタブにおける設定項目
    • 12.2.2 HTTPセキュリティサーバの設定(CVP/UFPサーバを使用しない構成)
    •     Wildcardsを利用したコンテンツセキュリティ
    •     Fileを利用したURLセキュリティ
    • 12.2.3 HTTPセキュリティサーバの設定(CVPサーバを使用する構成)
    •     ノードオブジェクトの作成
    •     OPSECアプリケーションの設定
    •     CVPオプションの設定
    •     CVPタブにおける設定項目
    • 12.2.4 HTTPセキュリティサーバの設定(UFPサーバを使用する構成)
    •     Enforce URI Capabilitiesモード
    •     Enhanced UFP Perfomanceモード
    •     UFPサーバオブジェクトの作成
  • 12.3 SMTPコンテンツセキュリティ
    • 12.3.1 SMTPセキュリティサーバ
    • 12.3.2 ゲートウェイプロパティにおけるSMTPセキュリティサーバの設定
    • 12.3.3 SMTPセキュリティサーバの設定(CVPサーバを利用しない構成)
    • 12.3.4 SMTPセキュリティサーバの設定(CVPサーバを利用する構成)
    • 12.3.5 SMTPリソースオブジェクトのルールベースへの反映
  • 12.4 FTPコンテンツセキュリティ
    • 12.4.1 FTPリソース
    • 12.4.2 FTPセキュリティサーバがブロックするFTPコマンド
    • 12.4.3 FTPセキュリティサーバの設定(CVPサーバを利用しない構成)
    • 12.4.4 FTPセキュリティサーバの設定(CVPサーバを利用する構成)
    • 12.4.5 FTPリソースオブジェクトのルールベースへの反映

第13章 SmartDefense

  • 13.1 SmartDefenseの概要
    • 13.1.1 SmartDefenseの構成
    • 13.1.2 SmartDefense Update
    • 13.1.3 SmartDefenseのログ
  • 13.2 アンチスプーフィング
    • 13.2.1 アンチスプーフィングの概要
    • 13.2.2 アンチスプーフィングの設定
  • 13.3 ネットワークセキュリティ
    • 13.3.1 Denial of Service(サービス不能攻撃)
    •     Dos攻撃防御の設定
    • 13.3.2 IP and ICMP
    •     IP/ICMP防御項目のパラメータ設定
    • 13.3.3 TCP
    • 13.3.4 SYN Defender
    •     SYN Gateway
    •     SYN Relay
    •     Passive SYN Gateway
    •     SYN Defenderの設定
    • 13.3.5 Fingerprint Screaming
    • 13.3.6 Successive Events
    • 13.3.7 Dynamic Ports
  • 13.4 アプリケーションインテリジェンス
    • 13.4.1 Webに関する設定
    •     HTTPワームキャッチャー
    •     クロスサイトスプリクティング
    •     HTTPプロトコル検査
    • 13.4.2 SMTPに関する設定
    •     SMTP Content
    •     Mail and Recipient Content
    • 13.4.3 FTPに関する設定
    •     Allowed FTP Commands
    •     Prevent Known Ports Checkingオプション
    • 13.4.4 Microsoft Networksに関する設定
    • 13.4.5 DNSに関する設定
    • 13.4.6 VoIPに関する設定

Appendix

  • A.1 VPN-1/FireWall-1のライセンス
    • A.1.1 ライセンスの構造
    • A.1.2 ゲートウェイのライセンスサイズの算出
    • A.1.3 例外的なケースとライセンスポリシー
    • A.1.4 現実的なゲートウェイのライセンスサイズ算出手法
  • A.2 VPN-1/FireWall-1製品リスト
  • A.3 VPN-1/FireWall-1関連用語集

索引