第1章　VPN-1/FireWall-1の概要

• 1.1　ファイアウォールの存在意義と歴史
  • 1.1.1　ファイアウォールという存在
  • 1.1.2　ファイアウォールの誕生
• 1.2　ファイアウォールの技術
  • 1.2.1　パケットフィルタリング型ファイアウォール
  • 1.2.2　アプリケーションゲートウェイ型ファイアウォール
  • 1.2.3　ステートフル・インスペクション型ファイアウォール
• 1.3　VPN-1/FireWall-1の構成
  • 1.3.1　VPN-1/FireWall-1が持つ強み
  • 1.3.2　チェック・ポイント製品のアーキテクチャ
  • 　　　　SVN(Secure Virtual Network)
  • 1.3.3　VPN-1/FireWall-1コンポーネント
  • 　　　　VPN-1/FireWall-1ゲートウェイ(VPN-1/FireWall-1 Enforcement Module)
  • 　　　　VPN-1/FireWall-1のステートフル・インスペクション
  • 　　　　マネジメントサーバ(SmartCenter)
  • 　　　　管理GUIクライアント(SmartConsole)
  • 1.3.4　VPN-1/FireWall-1 NGの特徴
  • 　　　　SVN Foundation
  • 　　　　CPShared
  • 　　　　SIC(Secure Internal Communication)
  • 1.3.5　VPN-1/FireWall-1におけるバージョンアップ

第2章　VPN-1/FireWall-1のインストール

• 2.1　インストールの準備
  • 2.1.1　インストール要件
  • 　　　　VPN-1/FireWall-1ゲートウェイ及びマネジメントサーバの導入要件
  • 　　　　管理GUIクライアント(SmartConsole)の導入要件
  • 2.1.2　ライセンス体系について
  • 2.1.3　OSの要塞化
  • 　　　　不要なサービスの停止
  • 　　　　OSのユーザ設定
  • 　　　　パッチの適用
• 2.2　Windowsプラットフォームにおけるインストール
• 2.3　Linuxプラットフォームにおけるインストール
  • 2.3.1　インストール前の確認事項
  • 2.3.2　VPN-1/Firewall-1のインストール(Linux/Solaris)
• 2.4　Solarisプラットフォームにおけるインストール
  • 2.4.1　インストール前の確認事項
  • 　　　　パッチの適用
• 2.5　Nokiaプラットフォームにおけるインストール
  • 2.5.1　NOKIAアプライアンスとは
  • 2.5.2　インストール前の確認事項
  • 　　　　IPSOのアップグレード
  • 　　　　追加インストールによるアップグレード
  • 　　　　Voyager経由によるIPSOアップグレード
  • 2.5.3　NOKIAアプライアンスの初期設定
  • 2.5.4　VPN-1/FireWall-1のインストール(Nokia)
• 2.6　セキュアプラットフォームにおけるインストール
• 2.7　プラットフォームごとのアンインストール
  • 　　　　Windowsプラットフォームにおけるアンインストール
  • 　　　　Linux/セキュアプラットフォームにおけるアンインストール
  • 　　　　Solarisプラットフォームにおけるインストール
  • 　　　　Nokiaプラットフォームにおけるアンインストール

第3章　セキュリティポリシー

• 3.1　セキュリティポリシーの概要
  • 3.1.1　セキュリティポリシーとは
  • 3.1.2　VPN-1/FireWall-1におけるセキュリティポリシー
• 3.2　SmartConsole
  • 3.2.1　SmartConsole
  • 3.2.2　Check Point Configuration Tool
  • 　　　　Check Point Configuration Toolの起動
  • 　　　　Administrators
  • 　　　　GUI Clients
  • 　　　　Fingerprint
• 3.3　SmartDashboard
  • 3.3.1　マネジメントサーバとの接続
  • 　　　　SmartDashboardの起動
  • 　　　　Fingerprintの確認
  • 　　　　Demo Mode
  • 3.3.2　SmartDashboardの画面
• 3.4　セキュリティポリシーの作成
  • 3.4.1　Securityオブジェクト
  • 　　　　Networkオブジェクト
  • 　　　　Servicesオブジェクト
  • 3.4.2　Securityオブジェクトの作成
  • 　　　　Check Point Gatewayオブジェクトの作成
  • 　　　　Hosts Nodesオブジェクトの作成
  • 　　　　Networksオブジェクトの作成
  • 　　　　Servicesオブジェクトの作成
  • 　　　　Securityオブジェクト作成のポイント
  • 3.4.3　IPスプーフィングの対策(アンチスプーフィング)
  • 　　　　Topologyの設定
  • 3.4.4　Securityルール
  • 　　　　SOURCE/DESTINATION/VPN/SOURCE
  • 　　　　ACTION
  • 　　　　TRACK
  • 　　　　INSTALL ON
  • 　　　　TIME
  • 3.4.5　Securityルールの作成
  • 　　　　Securityルールの追加
  • 　　　　各カラムの設定
  • 3.4.6　Implied Rules
  • 　　　　Implied Rulesの表示
  • 　　　　Implied Rulesの設定
• 3.5　セキュリティポリシーの適用と管理
  • 3.5.1　ポリシーのインストール
  • 　　　　セキュリティポリシーのチェック
  • 　　　　セキュリティポリシーのインストール
  • 3.5.2　Revision Control
  • 　　　　Revision Controlの有効化
  • 　　　　セキュリティポリシーのリストア

第4章　NAT

• 4.1　NATとは
  • 4.1.1　NATの誕生
  • 4.1.2　NATとセキュリティ
• 4.2　VPN-1/FireWall-1におけるNAT
  • 4.2.1　Static NAT
  • 4.2.2　Hide NAT
  • 4.2.3　NATとARP
• 4.3　NATの設定
  • 4.3.1　Address Translationルール
  • 4.3.2　Automatic NATによるNAT設定
  • 　　　　Securityオブジェクトの設定
  • 　　　　Address Rangeオブジェクト
  • 　　　　Securityルールの作成
  • 4.3.3　Manual NATによるNAT設定
  • 　　　　Global Propertiesの設定
  • 　　　　Securityオブジェクトの作成
  • 　　　　Address Translationルールの作成
  • 　　　　Securityルールの作成
• 4.4　IP Pool NAT
  • 4.4.1　IP Pool NATの設定
  • 　　　　Securityオブジェクトの作成

第5章　ログ管理

• 5.1　ログ管理の概要
  • 5.1.1　ログ管理の必要性
  • 5.1.2　VPN-1/Firewall-1でのロギングアーキテクチャ
• 5.2　SmartView Tracker
  • 5.2.1　SmartView Trackerの起動
  • 5.2.2　SmartView Trackerの画面
  • 5.2.3　SmartView Trackerのモード
  • 　　　　Logモード
  • 　　　　Activeモード
  • 　　　　Auditモード
• 5.3　ログファイルの検索・フィルタリング・クエリ
  • 5.3.1　ログ情報の検索
  • 5.3.2　ログ情報のフィルタリング
  • 5.3.3　ログ情報のクエリ
• 5.4　ログファイル管理の設定
  • 5.4.1　ログファイル管理の設定と操作
  • 　　　　Log and Masters
  • 　　　　Additional Logging Configuration
  • 　　　　Masters
  • 　　　　Log Servers
  • 5.4.2　ローカルログ記録
  • 5.4.3　ログファイルロケーションの変更
  • 　　　　Windowsの場合
  • 　　　　Unix系OSの場合
  • 5.4.4　ログスイッチ
  • 5.4.5　ログエントリの保存
  • 5.4.6　ログファイルのエキスポート
  • 5.4.7　ログファイルのパージ
• 5.5　ブロッキング機能
  • 5.5.1　ブロッキング機能とは
  • 5.5.2　ブロッキング機能の使用方法
  • 5.5.3　ブロッキング機能の使用における注意点

第6章　認証

• 6.1　認証
  • 6.1.1　認証とは
  • 6.1.2　認証の重要性
• 6.2　VPN-1/FireWall-1の認証
  • 6.2.1　認証スキームとユーザデータベース
  • 　　　　認証スキーム
  • 　　　　ユーザデータベース
  • 　　　　VPN-1/FireWall-1 Password
  • 　　　　OS Password
  • 　　　　RADIUS
  • 6.2.2　ユーザ関連のオブジェクト
• 6.3　認証の設定
  • 6.3.1　認証スキームの設定
  • 6.3.2　ユーザデータベースの設定
  • 　　　　Userオブジェクトの作成
  • 　　　　Groupオブジェクトの作成
  • 　　　　ユーザデータベースのインストール
  • 6.3.3　認証ルールの作成
• 6.4　ユーザ認証
  • 6.4.1　ユーザ認証の仕組み
  • 6.4.2　ユーザ認証ルールの設定
  • 6.4.3　ユーザ認証ルールのその他の設定
  • 　　　　バナー情報のカスタマイズ
  • 　　　　認証回数の設定
  • 　　　　セッションタイムアウトの設定
  • 6.4.4　ユーザ認証の接続手順
  • 　　　　HTTPにおけるユーザ認証
  • 　　　　FTPにおけるユーザ認証
  • 　　　　TELNET/RLOGINでのユーザ認証
• 6.5　クライアント認証
  • 6.5.1　クライアント認証の仕組み
  • 6.5.2　クライアント認証ルールの設定
  • 6.5.3　クライアントルールのその他の設定
  • 　　　　認証回数の設定
  • 　　　　Wait Modeの設定
  • 6.5.4　クライアント認証の接続手順
  • 　　　　TELNETを使用する場合
  • 　　　　HTTPを使用する場合
• 6.6　セッション認証
  • 6.6.1　セッション認証の仕組み
  • 6.6.2　セッション認証ルールの設定
  • 6.6.3　セッション認証ルールのその他の設定
  • 　　　　認証回数の設定
  • 6.6.4　セッション認証の接続手順
  • 　　　　セッション認証エージェントのインストール
• 6.7　LDAPとVPN-1/FireWall-1認証
  • 6.7.1　LDAPとは
  • 6.7.2　LDAP認証の設定
  • 　　　　Global Propertiesの設定
  • 　　　　LDAPアカウントユニットの設定
  • 　　　　ユーザデータベースの設定

第7章　VPN

• 7.1　VPNの基本
  • 7.1.1　VPNとは
  • 7.1.2　VPNの仕組み
  • 7.1.3　VPNにおける暗号化
  • 　　　　暗号化とは
  • 　　　　共通鍵暗号方式(対称アルゴリズム)
  • 　　　　公開鍵暗号方式(非対称アルゴリズム)
  • 7.1.4　IKEとIPSec
  • 　　　　IKEとは
  • 　　　　IKE phase ?
  • 　　　　IKE phase ?
  • 　　　　IPSecとは
• 7.2　VPN-1の基本
  • 7.2.1　VPN-1でのVPNトポロジ
  • 　　　　メッシュ型(Meshed)
  • 　　　　スター型(Star)
  • 7.2.2　TraditionalモードとSimplifiedモード
  • 7.2.3　VPN-1 ProとVPN-1 Net
  • 7.2.4　内部管理ゲートウェイと外部管理ゲートウェイ
• 7.3　VPN-1の設定
  • 7.3.1　VPN-1ゲートウェイオブジェクトの設定
  • 　　　　VPN Advancedの設定
  • 　　　　TopologyにおけるVPNドメイン設定
  • 7.3.2　VPNコミュニティの設定
  • 　　　　メッシュVPNコミュニティの設定
  • 　　　　スターVPNコミュニティの設定
  • 7.3.3　Global PropertiesにおけるVPN設定
  • 　　　　VPN-1 Pro
  • 　　　　Early Version Compatibility(VPN-1 Pro)
  • 　　　　Advanced(VPN-1 Pro)
  • 　　　　VPN-1 Net
  • 7.3.4　Securityルールの作成
• 7.4　VPNルーティング
  • 7.4.1　VPNルーティングとは
  • 7.4.2　VPNルーティングとVPN-1 Net
  • 7.4.3　VPNルーティングとリモートアクセスクライアント
  • 7.4.4　VPNルーティングの設定方法
  • 7.4.5　Site-to-SiteのVPNでのVPNルーティング設定
  • 7.4.6　Site-to-ClientのVPNでのVPNルーティング設定
  • 7.4.7　VPNルーティングとアクセス制御
• 7.5　MEP
  • 7.5.1　MEPとは
  • 7.5.2　MEPの構成
  • 　　　　「最初に応答」構成
  • 　　　　負荷分散構成
  • 7.5.3　MEP環境のルーティングセキュリティポリシー
  • 　　　　IPプールNAT
  • 　　　　RIM
  • 7.5.4　MEPとクラスタリングの違い

第8章　VPN-1 SecuRemote

• 8.1　SecuRemote
  • 8.1.1　SecuRemoteとは
  • 8.1.2　SecuRemoteの通信
  • 8.1.3　リモートアクセスの接続性
  • 8.1.4　IKE over TCPとUDP encapsulation
  • 　　　　IKE over TCP
  • 　　　　UDP encapsulation(NAT Traversal)
• 8.2　SecuRemoteのインストール
• 8.3　リモートアクセスの設定
  • 8.3.1　リモートアクセスユーザ・グループの作成
  • 8.3.2　リモートアクセス用VPNコミュニティの作成
  • 8.3.3　リモートアクセスを受け入れるGatewayオブジェクトの設定
  • 8.3.4　リモートアクセス接続に関するGlobal Propertiesの設定
  • 8.3.5　リモートアクセス用ルールの作成
• 8.4　SecuRemoteを用いたリモートアクセス
  • 8.4.1　SecuRemoteを用いたリモートアクセスの開始
  • 8.4.2　リモートアクセスの接続性に関わる設定

第9章　VPN-1 SecureClient

• 9.1　SecureClient
  • 9.1.1　SecureClientとは
  • 9.1.2　SecureClientの通信
  • 9.1.3　リモートアクセスの接続性
• 9.2　SecureClientのインストール
• 9.3　リモートアクセスの設定
  • 9.3.1　リモートアクセスを受け入れるGatewayオブジェクトの設定
  • 9.3.2　リモートアクセスに関するGlobal Propertiesの設定
• 9.4　SecureClientを用いたリモートアクセス
  • 9.4.1　SecureClientを用いたリモートアクセスの開始
  • 9.4.2　Connect Modeを用いたリモートアクセスの開始
  • 9.4.3　リモートアクセスの接続性に関わる設定
  • 9.4.4　SecureClient Diagnostics
• 9.5　Policy Server
  • 9.5.1　Policy Serverとは
  • 9.5.2　Policy Serverのライセンス体系
  • 9.5.3　Policy Serverの設定
  • 9.5.4　Desktopポリシーの設定
  • 9.5.5　Policy Serverの仕組み
• 9.6　Secure Configuration Verification(SCV)
  • 9.6.1　Secure Configuration Verification(SCV)とは
  • 　　　　SCVの仕組み
  • 　　　　SCVのチェック項目とは
  • 　　　　SCVの設定
• 9.7　SecureClient Packageing Tool
  • 9.7.1　SecureClient Packaging Toolとは
  • 9.7.2　SecureClient Packaging Toolの設定と使用方法
  • 　　　　ASDServerの設定
  • 　　　　Package Profileの作成
  • 　　　　パッケージの作成と配布
  • 　　　　クライアント側の設定
• 9.8　Clientless VPN
  • 9.8.1　Clientless VPNとは
  • 9.8.2　Clientless VPNの仕組み
  • 　　　　Secure Channelの確立
  • 　　　　Communicationフェーズ
  • 9.8.3　Clientless VPNの設定
  • 　　　　ゲートウェイで使用される証明書の設定
  • 　　　　Clientless VPNの設定
  • 　　　　セキュリティポリシーの設定
  • 　　　　クライアントの設定

第10章　負荷分散(ConnectControl)

• 10.1　VPN-1/Firewall-1における負荷分散
  • 10.1.1　負荷分散とは
  • 10.1.2　ConnectControlによる負荷分散
• 10.2　負荷分散の方法と種類
  • 10.2.1　負荷分散の方法
  • 　　　　HTTP Method
  • 　　　　Other Method
  • 10.2.2　負荷分散アルゴリズム
  • 　　　　Server Load
  • 　　　　Round Trip
  • 　　　　Round Robin
  • 　　　　Random
  • 　　　　Domain
  • 10.2.3　Load Balancing Table
• 10.3　負荷分散の設定
  • 10.3.1　Host Nodeオブジェクトの作成
  • 10.3.2　Groupオブジェクトの作成
  • 10.3.3　Logical Serverオブジェクトの作成
  • 10.3.4　Global Propertiesにおける負荷分散設定
  • 10.3.5　ICMPの設定
  • 10.3.6　セキュリティルールの作成
  • 　　　　HTTP Methodの場合
  • 　　　　Other Methodの場合

第11章　可用性対策

• 11.1　VPN-1/FireWall-1ゲートウェイにおける可用性対策
  • 11.1.1　ハイアベイラビリティとは
  • 11.1.2　負荷共有とは
• 11.2　ステート同期
  • 11.2.1　ステート同期とは
  • 11.2.2　同期ネットワーク
  • 11.2.3　同期する接続情報(サービス情報)
  • 11.2.4　ステート同期と非対称接続
  • 11.2.5　ステート同期とクラスタメンバの制限
  • 11.2.6　ステート同期の設定
• 11.3　ClusterXL
  • 11.3.1　ClusterXLとは
  • 11.3.2　ClusterXLのモード
  • 　　　　負荷共有マルチキャストモード
  • 　　　　負荷共有ユニキャストモード
  • 　　　　ハイアベイラビリティNewモード
  • 　　　　ハイアベイラビリティLegacyモード
  • 11.3.3　ClusetXLの設定
• 11.4　ゲートウェイクラスタの状態監視
  • 11.4.1　状態監視の重要性
  • 11.4.2　状態監視に利用するツール
  • 　　　　SmartView Tracker
  • 　　　　SmartView Status
  • 11.4.3　状態監視に利用するコマンド
  • 　　　　cphaprob state
  • 　　　　cphaprob -a if
  • 　　　　cphaprob list
• 11.5　マネジメントサーバにおける可用性対策
  • 11.5.1　セカンダリマネジメントサーバ
  • 11.5.2　同期状態の監視
  • 11.5.3　マネジメントサーバの可用性設定
• 11.6　Nokia IPシリーズにおける可用性対策
  • 11.6.1　Nokia用SmartDashboardの設定
  • 11.6.2　Nokiaにおけるステート同期用ルールの設定

第12章　コンテンツセキュリティ

• 12.1　コンテンツセキュリティの概要
  • 12.1.1　コンテンツセキュリティ機能とは
  • 　　　　CVPサーバ
  • 　　　　UFPサーバ
  • 12.1.2　セキュリティサーバとは
  • 　　　　HTTPセキュリティサーバ
  • 　　　　SMTPセキュリティサーバ
  • 　　　　FTPセキュリティサーバ
  • 12.1.3　コンテンツセキュリティの設定
  • 　　　　OPSECアプリケーションの定義
  • 　　　　リソースオブジェクトの設定
  • 　　　　Global Propertiesの設定
  • 　　　　ルールベースの設定
  • 　　　　ポリシーのインストール
• 12.2　HTTPコンテンツセキュリティ
  • 12.2.1　URIリソースオブジェクト
  • 　　　　URIリソースの概念
  • 　　　　URIリソースオブジェクトの設定
  • 　　　　Actionタブにおける設定項目
  • 　　　　SOAPタブにおける設定項目
  • 12.2.2　HTTPセキュリティサーバの設定(CVP/UFPサーバを使用しない構成)
  • 　　　　Wildcardsを利用したコンテンツセキュリティ
  • 　　　　Fileを利用したURLセキュリティ
  • 12.2.3　HTTPセキュリティサーバの設定(CVPサーバを使用する構成)
  • 　　　　ノードオブジェクトの作成
  • 　　　　OPSECアプリケーションの設定
  • 　　　　CVPオプションの設定
  • 　　　　CVPタブにおける設定項目
  • 12.2.4　HTTPセキュリティサーバの設定(UFPサーバを使用する構成)
  • 　　　　Enforce URI Capabilitiesモード
  • 　　　　Enhanced UFP Perfomanceモード
  • 　　　　UFPサーバオブジェクトの作成
• 12.3　SMTPコンテンツセキュリティ
  • 12.3.1　SMTPセキュリティサーバ
  • 12.3.2　ゲートウェイプロパティにおけるSMTPセキュリティサーバの設定
  • 12.3.3　SMTPセキュリティサーバの設定(CVPサーバを利用しない構成)
  • 12.3.4　SMTPセキュリティサーバの設定(CVPサーバを利用する構成)
  • 12.3.5　SMTPリソースオブジェクトのルールベースへの反映
• 12.4　FTPコンテンツセキュリティ
  • 12.4.1　FTPリソース
  • 12.4.2　FTPセキュリティサーバがブロックするFTPコマンド
  • 12.4.3　FTPセキュリティサーバの設定(CVPサーバを利用しない構成)
  • 12.4.4　FTPセキュリティサーバの設定(CVPサーバを利用する構成)
  • 12.4.5　FTPリソースオブジェクトのルールベースへの反映

第13章　SmartDefense

• 13.1　SmartDefenseの概要
  • 13.1.1　SmartDefenseの構成
  • 13.1.2　SmartDefense Update
  • 13.1.3　SmartDefenseのログ
• 13.2　アンチスプーフィング
  • 13.2.1　アンチスプーフィングの概要
  • 13.2.2　アンチスプーフィングの設定
• 13.3　ネットワークセキュリティ
  • 13.3.1　Denial of Service(サービス不能攻撃)
  • 　　　　Dos攻撃防御の設定
  • 13.3.2　IP and ICMP
  • 　　　　IP/ICMP防御項目のパラメータ設定
  • 13.3.3　TCP
  • 13.3.4　SYN Defender
  • 　　　　SYN Gateway
  • 　　　　SYN Relay
  • 　　　　Passive SYN Gateway
  • 　　　　SYN Defenderの設定
  • 13.3.5　Fingerprint Screaming
  • 13.3.6　Successive Events
  • 13.3.7　Dynamic Ports
• 13.4　アプリケーションインテリジェンス
  • 13.4.1　Webに関する設定
  • 　　　　HTTPワームキャッチャー
  • 　　　　クロスサイトスプリクティング
  • 　　　　HTTPプロトコル検査
  • 13.4.2　SMTPに関する設定
  • 　　　　SMTP Content
  • 　　　　Mail and Recipient Content
  • 13.4.3　FTPに関する設定
  • 　　　　Allowed FTP Commands
  • 　　　　Prevent Known Ports Checkingオプション
  • 13.4.4　Microsoft Networksに関する設定
  • 13.4.5　DNSに関する設定
  • 13.4.6　VoIPに関する設定

Appendix

• A.1　VPN-1/FireWall-1のライセンス
  • A.1.1　ライセンスの構造
  • A.1.2　ゲートウェイのライセンスサイズの算出
  • A.1.3　例外的なケースとライセンスポリシー
  • A.1.4　現実的なゲートウェイのライセンスサイズ算出手法
• A.2　VPN-1/FireWall-1製品リスト
• A.3　VPN-1/FireWall-1関連用語集

索引