CheckPointファイアウォール

CheckPointファイアウォールを使ってみる

【対象機器】

CheckPoint 4000 シリーズ

機能面について

FW機能はもちろんですが、以下のような機能があります（機種によって有償/無償）

他には管理サーバと連携することができます
この管理サーバでログやライセンスなどの管理をします
ただ、管理サーバは必ずしも必須ではないです
あくまでも、複数台あるとき中央管理しやすくなるような役割と考えます
（他のFW製品でも似たような機能があったりします）

CiscoやNetScreen、Fortigateなどを使っていると、このCheckPoint製品は少し癖のあるように感じますが、すぐ慣れます
FW機能としては他社製品と大体同じ認識です
細かいスペックは製品サイトを調べてください

運用

他のFWと違うなと思ったのは「SmartDashboard」「GAIA」と呼ばれる2つの管理メニューがあること

「SmartDashboard」は通常のFWと同じでポリシー制御などを実施するコンソール、またグラフィカルなログもこちらから確認できます

SmartDashboardはGAIAよりダウンロードすることができます

「GAIA」はFW管理サーバが必須じゃないような気がしますが、以下を管理できます

つまり、FWポリシーやログの確認などの定常運用は「SmartDashboard」から行い
バックアップリストアや構成変更などの非定常運用系は「GAIA」から行っていました

下記はGAIAの画面になります

＜インターフェース画面＞

＜ルーティングテーブル画面＞

＜ルーティングモニター画面＞

＜アカウント管理画面＞

＜バックアップリストア画面＞

R71以降からの機能として「Web Visualization Tool」使用すると
ポリシー、NAT、オブジェクトなどの設定値をhtmlやxmlで出力することができますが
それ以外の方法でポシリー、NAT、オブジェクトを出力する方法はありません

このツールは管理サーバで実行します
もしFWの管理表を別途作るのであれば、このツールは必須といえます

以下からダウンロードできます

Support, Support Requests, Training, Documentation, and Knowledge base for Check Point products and services

supportcenter.checkpoint.com

①上記サイトで「Web Visualization Tool」で検索します

②検索結果でDownloadsをクリック

コマンド

ほとんどGUI（WebUI）から行えるので覚える必要もありませんが、コマンドでしかできないこともあるので、知っていると便利です

他のネットワーク機器と同じように管理者モード（Expert）があります
expertコマンドで切り替えられます
またプロンプトは「>」「#」と表示が違うので区別することができます

fw01> expert
Enter expert password:
　
[Expert@fw01:0]

■機種型番
fw01> show asset system
Platform: T-***-**
Model: Check Point 4*00
Serial Number: **********
CPU Frequency: 2392.464

■OSバージョン
fw01> version
Product version Check Point Gaia R**.**
OS build ***
OS kernel version 2.6.**-****
OS edition 32-bit

■設定値表示
fw01> show configuration
#
# Configuration of fw01
# Language version: 12.1v1
#
# Exported by hogehoge on Mon Feb 3 16:19:15 2020
#
set web table-refresh-rate 15
set web session-timeout 10
set web ssl-port 443
set web daemon-enable on
～省略～

■クラスタ情報
fw02> cphaprob stat
　
Cluster Mode: Sync only (OPSEC) with IGMP Membership
　
Number Unique Address Firewall State (*)
　
1 192.168.10.1 Active
2 (local) 192.168.10.2 Active

■証明書情報（管理サーバで実施）
[root@manage-sv hogehoge]# cpca_client lscert
Operation succeeded. rc=0.
33 certs found.
Subject = CN=fw01,O=manage-sv..******
Status = Expired Kind = SIC Serial = **** DP = 0
Not_Before: Sun Jul 17 10:20:05 2016 Not_After: Sat Jul 17 10:20:05 2021

■調査に必要な情報（障害時サポートに取得依頼される）
fw01> cpinfo
The output of cpinfo will be written to /var/log/cpinfo.info
For additional cpinfo options please run it from Expert mode
This might take a while…
Finished creating cpinfo.

■セッション数
fw01# fw tab -t connections -s
HOST NAME ID 　 #VALS #PEAK #SLINKS
localhost connections 3233 35 20 29
↑#VALSの値が現在のセッション数（つまり3233）

インターフェース情報
fw01# ifconfig
Mgmt Link encap:Ethernet HWaddr 00:1C:7F:XX:XX:XX
inet addr:192.168.20.1 Bcast:192.168.20.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:199 Memory:feae0000-feb00000
　
eth1 Link encap:Ethernet HWaddr 00:1C:7F:XX:XX:XX
inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.XXX Mask:255.255.255.XXX
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:179033393 errors:9 dropped:1229 overruns:0 frame:3
TX packets:14377000 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:315060928 (323.0 MiB) TX bytes:102568918 (98.6 MiB)
Interrupt:172 Memory:fe4e0000-fe500000
　
eth2 Link encap:Ethernet HWaddr 00:1C:7F:XX:XX:XX
inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.XXX Mask:255.255.255.XXX
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:135513686 errors:4 dropped:0 overruns:0 frame:4
TX packets:1244875 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:325060928 (333.0 MiB) TX bytes:103668918 (98.8 MiB)
Interrupt:211 Memory:fe6e0000-fe700000

■機器情報・モニター（方向キーで操作）
fw01# cpview -t [日付] [時刻]
|——————————————————————————|
| CPVIEW.Overview 31Dec2019 0:00:00 |
|——————————————————————————|
| [31Dec2019 0:00:00] HISTORY. Use [-],[+] to change timestamp |
|——————————————————————————|
| Overview SysInfo Network CPU I/O Software-blades Advanced |
|- More info available by scrolling up —————————————-|
| Swap 8,189 22 8,166 |
| —————————————————————————- |
| Network: |
| |
| Bits/sec 3,192 |
| Packets/sec 1 |
| Connections/sec 0 |
| Concurrent connections 18 |
| —————————————————————————- |
| Disk space (top 3 used partitions): |
| |
| Partition Total MB Used MB Free MB |
| /var/log 9,868 3,432 9,200 |
| /boot 310 45 211 |
| / 45,555 3,222 39,921 |
|- More info available by scrolling down ————————-|

■稼働プロセス表示
fw01# cpwd_admin list
APP PID STAT #START START_TIME MON COMMAND
HISTORYD 32584 E 1 [10:55:32] 16/7/2021 N cpview_historyd
CPD 32486 E 1 [10:55:32] 16/7/2021 Y cpd
CI_CLEANUP 23844 E 1 [10:55:37] 16/7/2021 N avi_del_tmp_files
FWD 32842 E 1 [10:55:38] 16/7/2021 N fwd
CPVIEWD 23342 E 1 [10:55:53] 16/7/2021 N cpviewd
DASERVICE 23554 E 1 [10:55:50] 16/7/2021 N DAService_script
CPHAMCSET 38224 E 1 [10:58:50] 16/7/2021 N cphamcset -d

■ClusterXLプロセス表示
fw01# cphaprob -l list
　
Registered Devices:
　
Device Name: Synchronization
Registration number: 0
Timeout: none
Current state: OK
Time since last report: 244170 sec
　
Device Name: Filter
Registration number: 1
Timeout: none
Current state: OK
Time since last report: 244089 sec
　
Device Name: cphad
Registration number: 2
Timeout: none
Current state: OK
Time since last report: 4.22281e+06 sec
　
Device Name: routed
Registration number: 3
Timeout: none
Current state: OK
Time since last report: 4.2228e+06 sec
　
Device Name: fwd
Registration number: 4
Timeout: none
Current state: OK
Time since last report: 4.22281e+06 sec
　
 

まとめ

ポリシーを作成するなど定型的な運用の手順は他のFW製品もほとんど同じなので載せませんでした

FWは2種類以上触り倒しておけば、新しいFWに触れる機会があっても困らないと思います
※私の感想です。またマニアックなものや癖が強いものは除く（笑）

最後に、初めての機種に触れる場合の注意点や学習ポイントを挙げます
 
・以下の設定するときの「別機種での手順の理解」と「現行と別機種の差異を意識する」

※他にも設定項目はありますが、頻繁に更新しないようなら後回しでも問題ない認識です
 
 
・「スペックの違い」を理解する

・「設定や動作の影響度」を理解する

・
・
・
まぁ、自分は全く実行できてませんね（泣）