ポリシーの作成と適用
プロパティの設定を変更することによって、暗黙のルールがすべて無効になりましたが、このままポリシーを適用してしまうと、GUIでリモートからFireWall-1の管理ができなくなります。その状況を避けるためにも、最小限の管理用のルールを追加する必要があります。ファイアウォールのオブジェクトを作成したのと同じ手順で、画面11・12で示すオブジェクトを作成します。
画面11で示されるオブジェクトは、GUIをインストールしたマシンで、イントラネット側に接続されています。画面12で示されるオブジェクトでは、ファイアウォールのイントラネット側のIPアドレスを指定しています。画面3の場合とは異なり、Typeが「Host」になっていることに気をつけてください。これらのオブジェクトを使ったルールを、画面13のように作成します。
ルールを追加するときは、ルールの順番に気をつけてください。FireWall-1は上から順番にルールのマッチングを行い、ルールにマッチするとそれ以上マッチングを行いません。そのため、画面13で示すように、どのルールにもマッチしなかった場合には、最後のルールが適用され、パケットはすべて破棄されます。
新規にルールを追加した後は、各項目にマウスカーソルを合わせて右クリックで表示されるメニューから「Add...」を選択。表示される一覧から適当なものを選びます。例えば、Destinationには、画面12で作成したオブジェクトを選択します。また、Actionには「Accept」を、Trackには「Long」を設定します。さらに、最後のルールのTrackも「Long」にしておきましょう。
「Long」は「Short」に比べて、詳細なログを記録するという意味です。非常に多くのアクセスが発生する「Accept」ルールに対しては、ログを取らないようにしたほうがパフォーマンスに優れますが、時々しか発生しないものに関しては、「Long」でログを記録しておきましょう。また、最後のルールに関しても「Long」でログを取るようにしておくと、不正アクセスの試みなどを、詳細にログに記録することができます。
ここまで設定したら、ポリシーを保存しましょう。「File」→「Save」を実行すると、デフォルトで「Standard.W」というファイルにポリシーが保存されます*3。これはテキスト形式のファイルで、FireWall-1がインストールされたマシンの「FWDIR/conf/Standard.W」に保存されます(「FWDIR」はプログラムのインストール先)。また「FWDIR/conf/objects.C」には、オブジェクトの設定が保存されるため、この2つのファイルを保存しておけば、ポリシーのバックアップとなります。
*3特にダイアログは現れませんが、保存に成功するとウィンドウ下部のステータス表示領域に“Save completed successfully!”と表示されます
次にポリシーを適用します。「Policy」→「Install...」を実行すると、画面14のようなダイアログボックスが表示されますが、これはポリシーをインストールする対象のオブジェクトを表しています。ここで、複数のオブジェクトが表示されることがあります。これは、片方がダウンしたらもう片方が動き出すような、冗長構成のファイアウォールとなっている場合に、それぞれのファイアウォールにまったく同じ内容のポリシーを簡単に適用できるようになっています。
ポリシーのインストールに成功すると、画面15のようなメッセージが表示されます。しかし、内容がバッティングしてしまうような矛盾するルールがあったりすると、画面16のようなエラーが表示されます。この場合、ポリシーのインストールは完了していないので、矛盾するルールを探して修正した後、あらためてポリシーの適用を行います。
Check Point、Check Pointのロゴ、FireWall-1、VPN-1および、その他関連製品は、Check Point Software Technologies Ltd. の商標もしくは登録商標です。また、記載された製品は米国の特許番号5,606,668および5,835,726によって保護されています。またその他の米国における特許や他の国における特許で保護されているか、出願中の可能性があります。
Copyright © ITmedia, Inc. All Rights Reserved.