Comments
Description
Transcript
SecurePlatform Pro NGX
SecurePlatform/ SecurePlatform Pro NGX(R60A) 本書に記載されていない技術的な情報については、以下の SecureKnowledge を参照してください。 https://secureknowledge.checkpoint.com 本書の最新版については、以下の Web サイトを参照してください。 http://www.checkpoint.com/support/technical/documents/docs_r60a.html Part No.: 701872 2006 年 4 月 © 2003-2006 Check Point Software Technologies Ltd. All rights reserved. 本製品および関連ドキュメントは著作権法によって保護され ており、その使用、複写、逆コンパイルを制限するライセンス契約に基づいて配 布されています。本製品または関連ドキュメントのいかなる部分も、チェック・ ポイントの書面による事前承諾を得ない限り、いかなる形態や方法によっても複 製することはできません。本マニュアルを製作するにあたっては細心の注意が払 われていますが、チェック・ポイントはいかなる誤りまたは欠落に対しても一切 責任を負いません。本マニュアルおよびその記述内容は、予告なく変更される場 合があります。 権利の制限 米国政府による本製品の使用、複写、または開示は、DFARS(連邦国防調達規定) 252.227 7013 および FAR(連邦調達規定)52.227-19 の技術データおよびコン ピュータ・ソフトウェアに関する権利条項(c)(1)(ii)により制限されます。 商標 © 2003-2006 Check Point Software Technologies Ltd. All rights reserved. Check Point、Application Intelligence、Check Point Express、Check Point の ロゴ、AlertAdvisor、ClusterXL、Cooperative Enforcement、ConnectControl、 Connectra、CoSa、Cooperative Security Alliance、Eventia、Eventia Analyzer、 FireWall-1、FireWall-1 GX、FireWall-1 SecureServer、FloodGate-1、Hacker ID、 IMsecure、INSPECT、INSPECT XL、Integrity、InterSpect、IQ Engine、Open Security Extension、OPSEC、Policy Lifecycle Management、Provider-1、 Safe@Home、Safe@Office、SecureClient、SecureKnowledge、 SecurePlatform、SecuRemote、SecureXL Turbocard、SecureServer、 SecureUpdate、SecureXL、SiteManager-1、SmartCenter、SmartCenter Pro、 Smarter Security、SmartDashboard、SmartDefense、SmartLSM、SmartMap、 SmartUpdate、SmartView、SmartView Monitor、SmartView Reporter、 SmartView Status、SmartViewTracker、SofaWare、SSL Network Extender、 Stateful Clustering、TrueVector、Turbocard、UAM、User-to-Address Mapping、 UserAuthority、VPN-1、VPN-1 Accelerator Card、VPN-1 Edge、VPN-1 Pro、 VPN-1 SecureClient、VPN-1 SecuRemote、VPN-1 SecureServer、VPN-1 VSX、 VPN-1 XL、Web Intelligence、ZoneAlarm、ZoneAlarm Pro、Zone Labs、および Zone Labs のロゴは、チェック・ポイント・ソフトウェア・テクノロジーズまた はその関連会社の商標または登録商標です。本書に記載されているその他の製品 名は、各所有者の商標または商標登録です。本書に記載された製品は、米国の特 許 No. 5,606,668、5,835,726、6,496,935 および 6,850,943 によって保護されてい ます。また、その他の米国における特許およびその他の国における特許で保護さ れているか、出願中の可能性があります。 サード・パーティ Entrust は、米国およびその他の国における Entrust Technologies, Inc. の登録 商標です。Entrust のロゴ、Entrust の製品およびサービスの名称も Entrust Technologies, Inc. の登録商標です。Entrust Technologies Limited は、Entrust Technologies, Inc. の完全所有子会社です。FireWall-1 および SecuRemote には、 Entrust の証明書管理技術が採用されています。 Verisign は Verisign Inc. の商標です。 下記は、ソフトウェアのうちミシガン大学が著作権を所有する部分に関する記述 です。Portions of the software copyright © 1992-1996 Regents of the University of Michigan. All rights reserved. この表記が削除されることなく、かつ Ann Arbor のミシガン大学に正当な帰属承認が与えられる限り、ソース形式およびバイナリ 形式での再配布および使用は認められています。あらかじめミシガン大学から書 面による特定の承諾を得ない限り、本ソフトウェアに基づく製品の保証または販 売促進に大学名を使用することはできません。本ソフトウェアは、明示もしくは 黙示の保証なく、 「そのままの状態」で供給されます。Copyright © Sax Software (端末エミュレーションのみ) 下記は、ソフトウェアのうちカーネギー・メロン大学が著作権を所有する部分に 関する記述です。 Copyright 1997 by Carnegie Mellon University. All Rights Reserved. 本ソフトウェアおよび関連するドキュメントを何らかの目的のために無償で使用、 複製、変更および配布することは認められています。ただし、上記著作権表記が すべての複製物に記載され、その著作権表記およびこの許可表記が全関連ドキュ メントに記載され、かつ書面による特定の事前承諾なく本ソフトウェアの配布に 関する広告または宣伝にカーネギー・メロン大学の名称が使用されることのない 場合に限ります。カーネギー・メロン大学は、市場性および適合性の黙示保証を 含め、本ソフトウェアに関するすべての保証を拒否します。契約行為、過失また は不法行為にかかわらず、本ソフトウェアの使用または性能から、またはそれら に関連して生じる特定の、間接的なもしくは派生的な損害、または使用能力、 データ、利益の損失によるいかなる損害に対しても、カーネギー・メロン大学は 一切責任を負いません。 下記は、ソフトウェアのうち The Open Group が著作権を所有する部分に関する 記述です。 ソフトウェアは、市場性、特定目的への適合性、および非侵害の保証等を含めた 明示または黙示の保証なく、「そのままの状態」で供給されます。The Open Group は、契約行為、不法行為その他にかかわらず、ソフトウェアもしくはソフ トウェアの使用や取り扱いから、またはそれらに関連して生じる補償請求、損害 その他の賠償に対して一切責任を負いません。 下記は、ソフトウェアのうち OpenSSL Project が著作権を所有する部分に関する 記述です。本製品には、OpenSSL Toolkit で使用するために OpenSSL Project が 開発したソフトウェアが含まれています(http://www.openssl.org/) 。 本ソフトウェアは OpenSSL Project により「そのままの状態」で供給されます。 OpenSSL Project は、市場性および特定目的への適合性の黙示保証等を含め、 明示または黙示の保証をすべていたしません。本ソフトウェアを使用した結果と して、直接的損害、間接的損害、付随的損害、特別損害、懲罰的損害、または派 生的損害(代替品もしくは代替サービスの調達、使用能力、データもしくは利益の 損失、または事業の中断を含みますが、それらに限定されません)が発生した場合 は、いかなる原因で生じたとしても、またいかなる責任論上においても、契約行 為、無過失責任または不法行為(怠慢その他を含め)によるものかを問わず、 たとえ当該損害が発生する可能性を事前に通知されていたとしても、OpenSSL Project またはそれに対する寄稿者は、いかなる場合も一切の責任を負いません。 下記は、ソフトウェアのうち Eric Young が著作権を所有する部分に関する記述 です。本ソフトウェアは Eric Young により「そのままの状態」で供給されます。 Eric Young は、市場性および特定目的への適合性の黙示保証等を含め、明示また は黙示の保証をすべていたしません。本ソフトウェアを使用した結果として、直 接的損害、間接的損害、付随的損害、特別損害、懲罰的損害、または派生的損害 (代替品もしくは代替サービスの調達、使用能力、データもしくは利益の損失、 または事業の中断を含みますが、それらに限定されません)が発生した場合は、 いかなる原因で生じたとしても、またいかなる責任論上においても、契約行為、 無過失責任または不法行為(怠慢その他を含め)によるものかを問わず、たとえ 当該損害が発生する可能性を事前に通知されていたとしても、著作者またはそれ に対する寄稿者は、いかなる場合も一切の責任を負いません。Copyright © 1998 The Open Group. 下記は、ソフトウェアのうち Jean-loup Gailly および Mark Adler が著作権を所有 する部分に関する記述です。Copyright (C) 1995-2002 Jean-loup Gailly and Mark Adler. 本ソフトウェアは、明示もしくは黙示の保証なく、「そのままの状態」で供 給されます。本ソフトウェアの使用から生じる損害に対して、著者は一切の責任 を負いません。本ソフトウェアを、商用アプリケーションを含め、何らかの目的 のために使用し、また自由に変更および再配布することは認められています。 ただし、その場合は以下の制限を条件とします。 1. 本ソフトウェアの出自について虚偽の表示をすることはできません。また、 自分がソフトウェアの原著作者であると主張することはできません。本ソフト ウェアを製品の一部として使用する場合、製品のドキュメントに謝辞を入れてい ただければ幸いですが、必須ではありません。 2. ソース・バージョンを変更した場合は、その旨を明示する必要があります。 また、オリジナルのソフトウェアであるという虚偽の表示をすることはできま せん。 3. この表示をソースの配布物から削除したり変更したりすることはできません。 下記は、ソフトウェアのうち Gnu Public License が著作権を所有する部分に関する 記述です。本プログラムはフリーソフトウェアです。Free Software Foundation が公表した GNU General Public License(GNU 一般公衆利用許諾契約書)のバー ジョン 2 または(任意で)それ以降のバージョンの条件に基づき、本ソフトウェア を再配布および / または変更することができます。本プログラムは実用に万全を期 して配布されていますが、市場性または特定目的への適合性の黙示保証を含め、 一切の保証を伴いません。詳細については、GNU General Public License をご参 照ください。本プログラムには、GNU General Public License のコピーが同梱さ れています。同梱されていない場合は、Free Software Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA. までお問い合わせください。 下記は、ソフトウェアのうち Thai Open Source Software Center Ltd および Clark Cooper が著作権を所有する部分に関する記述です。Copyright (c) 2001, 2002 Expat maintainers. 本使用条件に従い、本ソフトウェアおよび関連するド キュメント・ファイル(以下「ソフトウェア」といいます)のコピーを入手する 人物に対して無償で、ソフトウェアのコピーの使用、複製、変更、統合、公表、 配布、サブライセンス発行、および / または販売などを含め、制限なくソフト ウェアを取り扱い、またソフトウェアを提供された人物にこれらを行うことを許 可することが認められています。ただし、その場合は以下の条件に従うものとし ます。上記著作権表記およびこの許可表記がソフトウェアのすべての複製物また は実質的に同様な部分に記載される必要があります。ソフトウェアは、市場性、 特定目的への適合性、および非侵害の保証等を含めた明示もしくは黙示の保証なく、 「そのままの状態」で供給されます。契約行為、不法行為その他にかかわらず、 ソフトウェアもしくはソフトウェアの使用や取り扱いから、またはそれらに関連 して生じる補償請求、損害その他の賠償に対し、著作者または著作権所有者は 一切責任を負いません。GDChart はお客様のアプリケーションで、またチャート 作成のために自由に使用できます。ただし、コードを自分のものとして再配布 または表明することはできません。コードを再配布する場合は、著者を表記し、 Check Point Software Technologies Ltd. 米国本社: 800 Bridge Parkway, Redwood City, CA 94065、電話: (650) 628-2000 ファックス: (650) 654-4233 [email protected] イスラエル本社: 3A Jabotinsky Street, Ramat Gan, 52520, Israel、電話: 972-3-753 4555 ファックス: 972-3-575 9256 http://www.checkpoint.com すべてのオリジナル・ドキュメントを含める必要があります。Copyright. Bruce Verderaime.1998, 1999, 2000, 2001. 部分的著作権1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Cold Spring Harbor Laboratory. 米国国立衛生研究所に よる許可 P41-RR02188 に基づく資金供給を受けています。部分的著作権 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Boutell.Com, Inc. GD2 フォーマットに関 する部分的著作権 1999, 2000, 2001, 2002 Philip Warner.PNG に関する部分的著 作権 1999, 2000, 2001, 2002 Greg Roelofs.gdttf.c に関する部分的著作権 1999, 2000, 2001, 2002 John Ellson ([email protected]).gdft.c に関する部分的著作権 2001, 2002 John Ellson ([email protected]).JPEG および color quantization に 関する部分的著作権 2000, 2001, 2002, Doug Becker and copyright (C) 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002, Thomas G. Lane. 本ソフトウェ アの一部は Independent JPEG Group の著作物に基づいています。詳細について は、README-JPEG.TXT ファイルを参照してください。WBMP に関する部分的 著作権 2000, 2001, 2002 Maurice Szmurlo and Johan Van den Brande.gd を、商 用アプリケーションを含め、何らかの目的のために無償で複製、配布および変更 することは認められています。ただし、この表記がユーザのアクセスできる全関 連ドキュメントに記載されている場合に限ります。これはお客様の派生著作物自 体の所有権に影響を与えるものではありません。その目的はあくまでも gd の著者 の適切なクレジットを確保することであり、お客様による gd の生産的な利用を妨 げるためではありません。詳細についてはお問い合わせください。「派生著作物」 にはライブラリを利用したすべてのプログラムが含まれます。ユーザのアクセス できるドキュメントにはクレジットを表記する必要があります。本ソフトウェア は「そのままの状態」で供給されます。著作権所有者は、市場性および特定目的 への適合性の黙示保証等を含め、このコードおよび付属ドキュメントに関する明 示または黙示の保証をすべて行いません。gd 2.0.4 に記載されているコードはあ りませんが、著作者は David Koblas、David Rowley および Hutchison Avenue Software Corporation のこれまでの貢献に謝意を表します。 Apache License, Version 2.0(「本ライセンス」)に基づいてライセンスが許諾 されます。このファイルを使用するためには、本ライセンスに従う必要があり ます。本ライセンスのコピーは http://www.apache.org/licenses/LICENSE-2.0 から 入手できます。 curl license 著作権および許可表記 Copyright (c) 1996 - 2004, Daniel Stenberg, <[email protected]>. All rights reserved. 本ソフトウェアを、有償、無償にかかわらず、何らかの目的のために使用、複製、 変更および配布することは認められています。ただし、上記著作権表記および この許可表記がすべての複製物に記載される必要があります。 本ソフトウェアは、市場性、特定目的への適合性、およびサード・パーティの 権利の非侵害の保証等を含めた明示もしくは黙示の保証なく、「そのままの状態」 で供給されます。契約行為、不法行為その他にかかわらず、ソフトウェアもしくは ソフトウェアの使用や取り扱いから、またはそれらに関連して生じる補償請求、 損害その他の賠償に対し、著者または著作権所有者は一切責任を負いません。 この表記に含まれるものを除き、著作権所有者の書面による事前承諾なく、 本ソフトウェアの販売、使用、またはその他の取り引きを促進するための広告 その他のものに著作権所有者の名称を使用することはできません。 PHP License, version 3.0 Copyright (c) 1999 - 2004 The PHP Group. All rights reserved. ソース形式およびバイナリ形式での再配布および使用は、その改変の有無にかか わらず、認められています。ただし、その場合は以下の条件に従うものとします。 1. ソース・コードの再配布物には上記著作権表記、本条件一覧、および下記免責 条項を含める必要があります。 2. バイナリ形式で再配布する場合は、上記著作権表記、本条権一覧、および下記 免責条項を配布物と共に供給されるドキュメントおよび / またはその他の資料に 転載する必要があります。 3. 書面による事前許可を得ずに、本ソフトウェアから派生した製品の保証または 販売促進に「PHP」という名称を使用することはできません。書面による承諾に ついては、[email protected]. までお問い合わせください。 4. [email protected] からの書面による事前許可を得ずに、本ソフトウェアから派生 した製品を「PHP」と呼ぶことはできません。またそれらの名称に「PHP」と 記載することはできません。お客様のソフトウェアを「PHP Foo」または 「phpfoo」と呼ぶ代わりに「Foo for PHP」と記載することにより、そのソフト ウェアが PHP と連携して動作する旨を表すことができます。 5. PHP Group は随時、ライセンスの改訂バージョンおよび / または新しいバー ジョンを発行することがあります。各バージョンには、識別のためのバージョン 番号が割り当てられます。対象コードが特定のバージョンのライセンスに基づき 公開された後、お客様は常に当該バージョンの条件に従ってそれを引き続き使用 することができます。また、PHP Group が発行するそれ以降の任意のバージョンの ライセンスの条件に従って、当該対象コードを使用することもできます。本ライ センスに基づいて作成される対象コードに適用される条件を変更する権利は、 PHP Group のみが保持しています。 6. いかなる形式で再配布する場合も、次の文言を表示する必要があります。 「This product includes PHP, freely available from <http://www.php.net/>」 本ソフトウェアは PHP Development Team により「そのままの状態」で供給され ます。PHP Development Team は、市場性および特定目的への適合性の黙示保証 等を含め、明示または黙示の保証をすべて行いません。本ソフトウェアを使用し た結果として、直接的損害、間接的損害、付随的損害、特別損害、懲罰的損害、 または派生的損害(代替品もしくは代替サービスの調達、使用能力、データもし くは利益の損失、または事業の中断を含みますが、それらに限定されません)が 発生した場合は、いかなる原因で生じたとしても、またいかなる責任論上におい ても、契約行為、無過失責任または不法行為(怠慢その他を含め)によるものか を問わず、たとえ当該損害が発生する可能性を事前に通知されていたとしても、 PHP Development Team またはその寄稿者は、いかなる場合も一切の責任を負い ません。 本ソフトウェアは、多くのお客様による PHP Group のための自発的な貢献によっ て成り立っています。PHP Group へは電子メール([email protected])でお問い合 わせください。 PHP Group および PHP プロジェクトについての詳細は、http://www.php.net を 参照してください。本製品には Zend Engine が含まれています。Zend Engine は http://www.zend.com から自由に入手できます。 本製品には Tim Hudson([email protected])が作成したソフトウェアが含まれて います。 Copyright (c) 2003, Itai Tzur <[email protected]> All rights reserved. ソース形式およびバイナリ形式での再配布および使用は、その改変の有無にかか わらず、認められています。ただし、その場合は以下の条件に従うものとします。 ソース・コードの再配布物には上記著作権表記、本条件一覧、および下記免責条 項を含める必要があります。 書面による特定の事前許可を得ずに、本ソフトウェアから派生した製品の保証また は販売促進に Itai Tzur またはその他の寄稿者の名前を使用することはできません。 本ソフトウェアは著作権所有者および寄稿者により「そのままの状態」で供給さ れます。著作権所有者および寄稿者は、市場性および特定目的への適合性の黙示 保証等を含め、明示または黙示の保証をすべて行いません。本ソフトウェアを使 用した結果として、直接的損害、間接的損害、付随的損害、特別損害、懲罰的損 害、または派生的損害(代替品もしくは代替サービスの調達、使用能力、データ もしくは利益の損失、または事業の 中断を含みますが、それらに限定されません)が発生した場合は、いかなる原因 で生じたとしても、またいかなる責任論上においても、契約行為、無過失責任ま たは不法行為(怠慢その他を含め)によるものかを問わず、たとえ当該損害が発 生する可能性を事前に通知されていたとしても、著作権所有者または寄稿者は、 いかなる場合も一切の責任を負いません。 Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd 本使用条件に従い、本ソフトウェアおよび関連するドキュメント・ファイル (以下「ソフトウェア」といいます)のコピーを入手する人物に対して無償で、 ソフトウェアのコピーの使用、複製、変更、統合、公表、配布、サブライセンス 発行、および / または販売などを含め、制限なくソフトウェアを取り扱い、また ソフトウェアを提供された人物にこれらを行うことを許可することが認められて います。ただし、その場合は以下の条件に従うものとします。上記著作権表記お よびこの許可表記がソフトウェアのすべての複製物または実質的に同一の部分に 記載される必要があります。 ソフトウェアは、市場性、特定目的への適合性、および非侵害の保証等を含めた 明示もしくは黙示の保証なく、「そのままの状態」で供給されます。契約行為、 不法行為その他にかかわらず、ソフトウェアもしくはソフトウェアの使用や取り 扱いから、またはそれらに関連して生じる補償請求、損害その他の賠償に対し、 著者または著作権所有者は一切責任を負いません。 Copyright © 2003, 2004 NextHop Technologies, Inc. All rights reserved. 機密著作権表記 本文書に記載されている事項を除き、NextHop Technologies, Inc. の書面による 事前許可を得ずに、本ドキュメントの一部として供給される資料を、電子、機械、 写真複写、筆記その他による手段等を含め、いかなる形式または方法によっても、 複写、複製、配布、再発行、ダウンロード、表示、掲示、または送信することは できません。別段の記載がない限り、資料を改変しないこと、および著作権その 他の所有権の表記をすべて資料に含めることを条件として、個人的な非商業目的に 限り、本ドキュメントの資料を表示、複写、配布およびダウンロードすることは認 められています。NextHop の書面による事前許可を得ずに、本ドキュメントに含 まれている資料を別のサーバに「ミラーリングコピー」することはできません。 本ドキュメントに含まれている資料を許可なく使用した場合は、著作権法、商標 法、プライバシーおよびパブリシティーに関する法律、通信に関する規制および 法令に違反する可能性があります。以上の許可は、本条項または条件に違反した 場合には自動的に終了します。本許可が終了した場合、ダウンロードおよび印刷 した資料は直ちに破棄する必要があります。 商標表記 本ドキュメントに使用および記載されている商標、サービスマーク、およびロゴ (以下「商標」といいます)は米国および / またはその他の国における NextHop の 登録商標または商標です。ここに記載した会社および製品の名称は各所有者の商 標である場合があります。本ドキュメントのいかなる記載も、黙示、禁反言その 他によって、ドキュメントに記載されている商標を使用するライセンスまたは権 利を許諾するものとは解釈されないものとします。所有者は法律の認める最大の 範囲内で自己の知的所有権を積極的に行使します。商標は、書面による事前の許 可なく、使用を含め、本ドキュメントの資料の配布または資料へのアクセスに関 する宣伝広告を含むいかなる手段によっても、使用することはできません。ほか の Web サイトへの「ホット」リンクとして商標を使用することは、当該リンクの 構築が書面により事前に承認されない限り、禁じられています。これらの商標の 使用に関する質問については、米国の NextHop(+1 734 222 1600)までお問い 合わせください。 アメリカ合衆国政府の制限された権利 ドキュメントの資料は「制限付き権利」を付して提供されています。ソフトウェア および付随する文書は、制限付き権利を伴う連邦調達規則に準拠する取引に基 づき、米連邦政府(以下「政府」 )といいます)に提供されています。政府による 使用、変更、複製、公表、実行、表示または開示の権利は、 DFAR 252.227-7014(1995 年 6 月)の非商用コンピュータ・ソフトウェアおよび 非商用コンピュータ・ソフトウェアドキュメンテーションに関する権利条項(b) (3) 、ならびに FAR 52.227-14, Alternative III(1987 年 6 月)の一般データに関す る権利条項(g) (3) (i)および FAR 52.227-19(1987 年 6 月 ) の商用コンピュータ・ソフトウェアに関する制限 付き権利条項(c)(2)におけるその他の限定および条件により制限されます。 政府による本ドキュメントの資料の使用は、当該資料における NextHop または 原著作者の所有権の承認となります。請負業者 / 実施許諾者は、1911 Landings Drive, Mountain View, California 94043 にある NextHop です。政府による使用、 複製、または開示は適用法令に記載されている制限を受けます。 保証の放棄 本ドキュメントの資料は明示もしくは黙示の保証なく、「そのままの状態」で 供給されます。NextHop は、適用法に従って認められる最大の範囲で、市場性、 特定目的への適合性、権利の非侵害その他の黙示保証等を含め、明示または黙示の 保証をすべて行いません。NextHop または本ドキュメントに含まれている資料の 提供者もしくは開発者は、本ドキュメントの資料の使用、有効性、正確性もしくは 信頼性、またはその使用の結果その他の事項に関して、いかなる保証または表明 も行いません。 責任の制限 NextHop はいかなる場合においても、本ドキュメントの資料の使用もしくは使用 不能から生じるデータまたは利益の損失等を含めた直接的損害、間接的損害、 特別損害、付随的損害、または派生的損害に対して、たとえ NextHop または NextHop の正式な代表者が当該損害の発生する可能性を事前に通知していたとし ても、一切責任を負いません。本ドキュメントの資料を使用した結果、機器また はデータの付帯サービス、修理もしくは修正が必要になった場合、その費用はお 客様の負担となります。一部の州は付随的または派生的損害に対する免責または 制限を認めていないため、お客様によっては上記の制限または免責は適用されな い場合があります。 Copyright © ComponentOne, LLC 1991-2002. All Rights Reserved. BIND: ISC Bind (Copyright (c) 2004 by Internet Systems Consortium, Inc. ("ISC")) Copyright 1997-2001, Theo de Raadt: OpenBSD 2.9 リリース 目次 第1章 はじめに 概要 9 SecurePlatform のハードウェア要件 10 SecurePlatform Pro 10 第2章 SecurePlatform のインストールの準備 SecurePlatform コンピュータの準備 13 ハードウェア互換性テスト・ツール 14 はじめに 15 ハードウェア互換性テスト・ツールの使用 17 推奨される BIOS セキュリティの設定 18 第3章 インストール ネットワークを使用したインストール 20 起動フロッピー・ディスクを使用したネットワーク・インストール 20 フロッピー・ディスク・ドライブまたは CD-ROM ドライブの ないコンピュータでのインストール 26 SecurePlatform CD を使用したインストール 26 アップグレード 28 はじめに 28 アップグレードの計画 28 SecurePlatform のアップグレード 31 第4章 設定 コマンド・ラインの使用 35 コマンド・ラインを使用した初期設定 35 sysconfig の使用 36 チェック・ポイント製品の設定 38 Web インタフェースの使用 38 Web インタフェースを使用した初期設定 38 Web インタフェースのレイアウト 47 最初の再起動とログイン 59 第5章 管理 SecurePlatform システムの管理 62 Secure Shell を使用した SecurePlatform への接続 62 ユーザ管理 63 SecurePlatform 管理者 64 7 FIPS 140-2 に準拠するシステム 66 TFTP の使用 66 バックアップとリストア 67 SecurePlatform シェル 68 コマンド・シェル 68 管理コマンド 70 ドキュメント・コマンド 71 日時コマンド 71 システム・コマンド 74 スナップショット・イメージの管理 80 システム診断コマンド 82 チェック・ポイント・コマンド 84 ネットワーク診断コマンド 94 ネットワーク設定コマンド 99 ダイナミック・ルーティング・コマンド 107 ユーザ・コマンドと管理者コマンド 107 SNMP サポート 109 SNMP エージェントの設定 109 SNMP トラップの設定 110 チェック・ポイントのダイナミック・ルーティング 113 サポートされている機能 114 コマンドライン・インタフェース 116 SecurePlatform のブート・ローダ 117 メンテナンス・モードでの起動 118 ブート・プロセスのカスタマイズ 118 スナップショット・イメージの管理 118 第6章 SecurePlatform Pro - Advanced Routing Suite はじめに 119 チェック・ポイントの Advanced Routing Suite 119 サポートされている機能 120 コマンドライン・インタフェース 121 付録 A フロッピー・ドライブまたは CD-ROM ドライブの ないコンピュータへのインストール 一般的な手順 123 クライアントのセットアップ 124 サーバのセットアップ 124 必要なパッケージ 124 DHCP デーモンのセットアップ 126 TFTP デーモンと FTP デーモンのセットアップ 126 インストール・ファイルのホスティング 127 索引 8 第 1 章 はじめに この章の構成 概要 9 ページ SecurePlatform のハードウェア要件 10 ページ SecurePlatform Pro 10 ページ 概要 SecurePlatform NGX(R60A)をお使いいただきありがとうございます。本書では、 SecurePlatform NGX(R60A)をインストールして設定する方法を説明します。 SecurePlatform NGX(R60A)は、VPN-1 Pro、Check Point QoS、SmartView Monitor、Policy Server、および UserAuthority Server で構成されるチェックポイントの NGX(R60A)製品 スイートを含み、起動可能な CD-ROM に収録されて配布されます。 SecurePlatform NGX(R60A)CD-ROM は、Intel Pentium III/IV または AMD Athlon CPU を 搭載したすべての PC にインストールできます。SecurePlatform NGX(R60A)は、カスタ マイズおよび強化されたオペレーティング・システムを含み、セキュリティ上のリスク になるような不要コンポーネントを含んでいません。システムは、ネットワーク・セキュ リティ・デバイスとしてタスクを実行するように事前設定および最適化されており、ユー ザは IP アドレスやルートなどの最小限の基本的要素を設定するだけで済みます。 ほとんどのシステムでは、このインストールは 5 分未満で完了し、ネットワーク・セキュ リティ・デバイスが導入可能になります。 9 SecurePlatform のハードウェア要件 SecurePlatform を使用すると、コンピュータとネットワークを簡単に設定してチェック・ ポイント製品をインストールできます。便利なシェルが用意されており、ネットワーク 設定、バックアップおよびリストア・ユーティリティ、アップグレード・ユーティリティ、 システム・ログ閲覧機能、コントロールなど、セキュリティ・システムの設定や日常管 理を簡単に行うために必要なコマンド・セットが提供されます。Web GUI を使用すると、 使いやすいインタフェースにより、ほとんどの管理設定および最初のインストール時の 設定を実行できます。 SecurePlatform のハードウェア要件 SecurePlatform 上で VPN-1 Pro SmartCenter サーバ、実施モジュール、または SmartPortal を インストールするための最小ハードウェア要件は次のとおりです。 ■ ■ Intel Pentium III 300 MHz 以上のプロセッサ 4 GB の空きディスク・スペース ■ 256 MB(512 MB を推奨) ■ サポートされる 1 つ以上のネットワーク・アダプタ・カード ■ CD-ROM ドライブ(起動可能) ■ 1024 x 768 のビデオ・アダプタ・カード 特定のハードウェア・プラットフォーム上の SecurePlatform の詳細については、 http://www.checkpoint.com/products/supported_platforms/recommended.html を参照してくだ さい。 注: Check Point Performance Pack を実行する高性能システムの推奨構成については、 『Performance Pack Guide』を参照してください。 SecurePlatform Pro SecurePlatform Pro は、SecurePlatform の拡張バージョンです。SecurePlatform Pro は、次の ようなネットワーク機能と管理機能を SecurePlatform に追加します。 ■ ダイナミック・ルーティング ■ SecurePlatform 管理者の Radius 認証 SecurePlatform Pro をインストールするには、インストール中に[SecurePlatform Pro]オプ ションを選択します。 10 通常の SecurePlatform を SecurePlatform Pro に変換するには、エキスパート・モードのコマ ンド・ラインから「pro enable」コマンドを実行します。 注: SecurePlatform Pro を使用するには、SecurePlatform Pro 実施モジュールを管理する SmartCenter サーバに個別のライセンスをインストールする必要があります。 RADIUS サポートの詳細については、次のガイドを参照してください。64 ページの 「RADIUS による管理者の認証方法」を参照してください。 高度なルーティングの詳細については、 『SecurePlatform Pro & Advanced Routing Command Line Interface』ガイドを参照してください。 意図および目的に関係なく、SecurePlatform という名前を使用する場合は、SecurePlatform Pro が暗黙的に含まれます。 第1章 はじめに 11 SecurePlatform Pro 12 第 2 章 SecurePlatform の インストールの準備 この章の構成 SecurePlatform コンピュータの準備 13 ページ ハードウェア互換性テスト・ツール 14 ページ 推奨される BIOS セキュリティの設定 18 ページ SecurePlatform コンピュータの準備 SecurePlatform のインストールは、CD ドライブ、フロッピー・ディスク、またはネット ワーク・サーバから特別なブート・フロッピー・ディスクを使用して実行できます。 SecurePlatform のインストール処理を始める前に、次の要件が満たされていることを確認 してください。 対象のコンピュータに CD ドライブがある場合は、最初の起動オプションとしてこの ドライブから再起動するようにシステムの BIOS が設定されていることを確認してく ださい(この BIOS 設定機能は通常[Boot Sequence] という名前です) 。 ■ ■ 対象のコンピュータが CD ドライブから起動できない場合、またはリモート・ファイ ル・サーバを使用してインストールする場合は、20 ページの「起動フロッピー・ ディスクを使用したネットワーク・インストール」で、起動フロッピー・ディスク を作成する方法を参照してください。 警告: インストール手順によりすべてのハード・ディスクが消去されるので、以前のオペレーティ ング・システムは回復できません。 13 ハードウェア互換性テスト・ツール 注: SecurePlatform は、シリアル・ポートに接続されたシリアル・コンソールを使用して、キーボード または VGA ディスプレイが付いていないコンピュータにインストールできます。 ハードウェア互換性テスト・ツール このセクションの構成 はじめに 15 ページ ハードウェア互換性テスト・ツールの使用 17 ページ ハードウェア互換性テスト・ツールを使用して、SecurePlatform が特定のハードウェア・ プラットフォーム上でサポートされているかどうかを特定できます。 このユーティリティは、CD ISO イメージ(hw.iso)としてダウンロードできます。ISO イメージは、CD 書き込みツールを使用して、空の CD-R または CD-RW メディアに書き込 むことができます。ハードウェア互換性テスト・ツールは、そのハードウェア・プラッ 注: 単一のファイルではなく「CD イメージ」を書き込むことを指定する必要があります。 トフォームにSecurePlatformをインストールしたときと同じ方法で実行する必要があります (たとえば、CD から起動、フロッピー・ディスクから起動、ネットワーク経由でインス トールなど)。 このツールは、プラットフォーム上のすべてのハードウェア・コンポーネントを検出し、 それらがサポートされているかどうかを確認して、その結果を表示します。つまり、 SecurePlatform をコンピュータにインストールできるかどうか(サポートされる入出力デ バイスおよびサポートされる大容量ストレージ・デバイスが見つかったかどうか) 、および サポートされるイーサネット・コントローラの数とサポートされないイーサネット・コン トローラの数を表示します。 ユーザは、コンピュータ上で検出されたすべてのデバイスに関する詳細情報を表示でき ます。 14 はじめに ユーザは、詳細情報をフロッピー・ディスクまたは TFTP サーバに保存したり、シリアル・ ポート経由でダンプしたりできます。この情報は、サポートされていないデバイスにサ ポートを追加するために、チェック・ポイント・サポートに送ることができます。 注: SecurePlatform には次のハードウェアが必要です。 ■ 入出力デバイス(キーボードとモニタまたはシリアル・コンソール) ■ 大容量ストレージ・デバイス ■ 1 台以上のサポートされるイーサネット・コントローラ(SecurePlatform が VPN-1 Pro ゲートウェイ として設定される場合は複数のコントローラが必要です)。 このツールは、テスト対象のハードウェア・プラットフォームには変更を加えないので、 安全に使用できます。 はじめに このセクションの構成 CD からの起動 15 ページ フロッピー・ディスクから起動してローカルの CD にアクセス 15 ページ フロッピー・ディスクから起動してネットワーク経由で CD にアクセス 16 ページ ユーザは、ツールが収録された CD から起動するか、ディスクから起動してローカルの CD にアクセスするか、またはフロッピー・ディスクから起動してネットワーク経由で CD に アクセスすることができます。 ハードウェア・プラットフォームにキーボードとモニタが接続されていない場合は、シリ アル・コンソールを使用してハードウェアを検出できます。 CD からの起動 CD から起動するには、以下の手順に従います。 1 コンピュータの BIOS を、CD から起動するように設定します。 2 ドライブに CD を挿入します。 3 コンピュータを起動します。 フロッピー・ディスクから起動してローカルの CD にアクセス このオプションは、CD ドライブから起動するようにハードウェア・プラットフォームを 設定できない(ただしフロッピー・ディスクからは起動できる)場合で、かつ CD ドライ ブがある場合に使用する必要があります。 第2章 SecurePlatform のインストールの準備 15 ハードウェア互換性テスト・ツール フロッピー・ディスクから起動してローカルの CD にアクセスするには、以下の手順に従 います。 1 ドライブに CD を挿入します。 2 ドライブにフロッピー・ディスクを挿入します。 3 CD-ROM ドライブを参照し、SecurePlatform/images フォルダを選択します。 4 boot.img ファイルを cprawrite 実行可能ファイルの上にドロップします。 または、NT コマンド・シェル(cmd)を使用して、次のコマンドを実行します (D: は CD-ROM ドライブ文字です)。 D:¥SecurePlatform¥images¥cprawrite.exe D:¥SecurePlatform¥images¥boot.img 5 コンピュータを起動します。 フロッピー・ディスクから起動してネットワーク経由で CD にアクセス このオプションは、テスト対象のコンピュータに CD ドライブがない場合に使用する必要 があります。この場合は、次の 2 台のコンピュータを使用します。 ■ CD を挿入するコンピュータ ■ ツールを実行するコンピュータ フロッピー・ディスクから起動してネットワーク経由で CD にアクセスするには、以下の 手順に従います。 CD ドライブが搭載されたコンピュータでの操作 以下の手順に従います。 1 Microsoft Windows ベースのコンピュータのドライブに CD を挿入します。 2 フロッピー・ディスク・ドライブにフロッピー・ディスクを挿入します。 3 CD-ROM ドライブを参照し、SecurePlatform/images フォルダを選択します。 4 bootnet.img ファイルを cprawrite 実行可能ファイルの上にドロップします。 または、NT コマンド・シェル(cmd)を使用して、次のコマンドを実行します (D: は CD-ROM ドライブ文字です)。 D:¥SecurePlatform¥images¥cprawrite.exe D:¥SecurePlatform¥images¥bootnet.img この手順では、フロッピー・ディスクに書き込みます。このファイルを他のコン ピュータ(ツールを実行するコンピュータ)に転送します。 5 16 CD ドライブへのアクセスを許可するか、CD をハード・ディスクにコピーしてその ディスクへのアクセスを有効にすることによって、FTP、HTTP、NFS などを使用し てコンテンツをネットワーク上で利用できるようにします。 ハードウェア互換性テスト・ツールの使用 テスト対象のコンピュータでの操作 以下の手順に従います。 1 上記の手順 4 で作成したフロッピー・ディスクをテスト対象のコンピュータのフ ロッピー・ディスク・ドライブに挿入します。 2 コンピュータを起動します。 3 IP アドレス、ネットマスク、デフォルト・ゲートウェイ、DNS などのインタフェー スのプロパティを設定します。このインタフェースを使用してこのコンピュータが ネットワークに接続されます。 このインタフェースを動的 IP アドレス・インタフェースとして設定することもでき ます。 4 5 CD ドライブを搭載したコンピュータ上のファイルへのアクセスを有効にします (手順 5 を参照)。 他のコンピュータに対して次の設定を指定します。 ■ ■ ■ 6 IP アドレス、またはホスト名 パッケージ・ディレクトリ ユーザ / パスワード(必要な場合) キーボードとモニタの代わりにシリアル・コンソールを使用してインストールする 場合は、ターミナル・エミュレーション・ソフトウェアが次のように設定されてい ることを確認してください。 9600 bps ■ ■ ■ ■ 8 データ・ピット パリティなし フロー制御なし ハードウェア互換性テスト・ツールの使用 ハードウェア・ツールは、ハードウェアの互換性を自動的にテストします。 注: 単純な「純正の」検出ツールが起動フロッピー・ツールに含まれています。何らかの理由で完全な 検出ツールが使用できない場合(たとえば CDR ドライブがサポートされていない場合)でも、単純な ツールを使用してハードウェアに関する情報を取得できます。この単純なツールは、[Installation Method] 画面で、 [Probe Hardware] ボタンをクリックすることによって使用できます。 第2章 SecurePlatform のインストールの準備 17 推奨される BIOS セキュリティの設定 ツールは、実行が終了すると次の情報を含む概要ページを表示します。 ■ ■ ■ プラットフォームが SecurePlatform のインストールに適しているかどうかを示すテキ スト 検出されたサポートされている大容量ストレージ・デバイスおよびサポートされて いない大容量ストレージ・デバイスの数 検出されたサポートされているイーサネット・コントローラおよびサポートされて いないイーサネット・コントローラの数 [Devices] ボタンをクリックすることによって追加の情報を取得できます。デバイス情報 ウィンドウにコンピュータ上で検出されたすべてのデバイスが機能別にグループ化され て一覧表示されます。 矢印キーを使用してリスト内を移動します。 特定のデバイス上で Enter キーを押すと、そのデバイスに関する詳細情報が表示されます。 詳細情報は、フロッピー・ディスクまたは TFTP サーバーに保存したり、シリアル・コン ソールを使用してダンプしたりできます。この操作は、一部のデバイスがサポートされ ていない場合に必要になることがあります。 推奨される BIOS セキュリティの設定 次に、推奨される BIOS の設定を示します。 ■ ■ 18 不正なフロッピー・ディスクからの起動およびシステム設定の変更を防止するため に、システムの BIOS で「フロッピー・ディスクから起動する」オプションを無効に します。 BIOS の設定変更を防止するために、BIOS のパスワードを適用します。パスワードを 暗記するか安全な場所に保管します。 第 3 章 インストール この章の構成 ネットワークを使用したインストール 20 ページ フロッピー・ディスク・ドライブまたは CD-ROM ドライブのな いコンピュータでのインストール 26 ページ SecurePlatform CD を使用したインストール 26 ページ アップグレード 28 ページ SecurePlatform をインストールする場合は、CD、フロッピー・ディスク、またはネット ワークからインストールする方法を使用できます。これらの方法では、linux カーネルと ramdisk が最小限の環境と共にメモリにロードされ、その後で RAM ディスク上で検出され たインストーラが実行されます。CD インストーラは CD からパッケージを取得します。 19 ネットワークを使用したインストール ネットワークを使用したインストール このセクションの構成 起動フロッピー・ディスクを使用したネットワーク・ インストール 20 ページ フロッピー・ディスクからインストールする場合は、インストールするパッケージのソース (FTP、HTTP、または NFS イメージ)を指定するように要求されます。ネットワーク・イン ストールでは、カーネルと RAM ディスクをサーバからロードし、その後でフロッピー・ ディスクによるインストールと同じ方法で続行されます。 起動フロッピー・ディスクを使用したネットワーク・インストール このセクションの構成 ネットワーク・インストール・サーバの準備 20 ページ ネットワーク・インストール起動フロッピー・ディスクの準備 22 ページ インストール 23 ページ インストール対象のコンピュータからアクセス可能なリモート・ファイル・サーバ上で CD 配布ファイルを見つけることによって、ネットワークを使用して SecurePlatform をイ ンストールできます。次の 3 つのタイプのサーバおよびプロトコルを使用できます。 FTP ■ ■ ■ HTTP(Web) NFS ネットワーク・ベースのインストールを実行するには、以下の手順に従います。 1 ファイル・サーバを準備します。 2 インストール対象のコンピュータを SecurePlatform 起動フロッピー・ディスクから 起動します 3 インストール・プログラムでサーバを指定します。 ネットワーク・インストール・サーバの準備 サポートされているいずれかのリモート・ファイル・サーバ上で CD 配布ファイルを指定 することによって、ネットワーク・インストール・サーバを準備します。 注: Windows コンピュータは、インストール用の FTP または HTTP サーバとして使用できません。 20 起動フロッピー・ディスクを使用したネットワーク・インストール FTP FTP サーバをネットワーク・インストール・サーバとして準備するには、以下の手順に従 います。 1 ローカル・ネットワーク内のコンピュータに FTP サーバをインストールするか、 既存のサーバを使用します。 2 ユーザ・アカウントを作成します (FTP インストールでは匿名ユーザまたは認証さ れたユーザを使用できます)。 3 配布ファイルを格納する、FTP クライアントからアクセス可能なファイル・サー バ・ディレクトリを作成します。 4 SecurePlatform CD から SecurePlatform ディレクトリを、手順 3 で作成したファイル・ サーバ・ディレクトリにコピーします。 注: ユーザ・アカウントとパスを使用してファイルにアクセスします。 5 インストールを実行する前に、リモート・コンピュータからの FTP 接続性をテスト します。 HTTP HTTP サーバをネットワーク・インストール・サーバとして準備するには、以下の手順に 従います。 1 ローカル・ネットワーク内のコンピュータに HTTP サーバをインストールするか、 既存のサーバを使用します。 2 配布ファイルを格納する、HTTP クライアントからアクセス可能なディレクトリを 作成します。 3 SecurePlatform CD から SecurePlatform ディレクトリを手順 2 で作成したファイル・ サーバ・ディレクトリにコピーします。 注: URL を使用してファイルにアクセスします。 4 インストールを実行する前に、リモート・コンピュータから適切な URL へのアクセ スをテストします。 第3章 インストール 21 ネットワークを使用したインストール NFS NFS サーバをネットワーク・インストール・サーバとして準備するには、以下の手順に 従います。 1 ローカル・ネットワーク内のコンピュータに NFS サーバをインストールするか、 既存のサーバを使用します。 2 配布ファイルを格納する、NFS クライアントからアクセス可能な新しいディレクト リを共有サブディレクトリの下に作成します。 3 SecurePlatform CD から SecurePlatform ディレクトリを手順 2 で作成したファイル・ サーバ・ディレクトリにコピーします。または、CD 自体をエクスポートしてマウン トすることもできます。 注: パスを使用してファイルにアクセスします。 4 インストールを実行する前に、リモート・コンピュータから、マウントされたディ レクトリへのアクセスをテストします。 ネットワーク・インストール起動フロッピー・ディスクの準備 SecurePlatform は、FTP、HTTP、または NFS サーバを使用して、ネットワークからインス トールできます。そのためには、cpawrite ユーティリティを使用して、特別なネットワー ク・インストール起動フロッピー・ディスクを準備する必要があります。 以下のものを用意する必要があります。 ■ ■ ■ 空の(フォーマット済みの)1.44 インチ・フロッピー・ディスク SecurePlatform CD Windows PC 1 フロッピー・ディスクと CD を PC にインストールします。 2 CD の SecurePlatform/Images ディレクトリを参照します。 3 bootnet.img ファイルを cpawrite のアイコンにドラッグします。 これにより、ネットワーク・インストール起動フロッピー・ディスクを作成する プロセスが開始されます。 22 起動フロッピー・ディスクを使用したネットワーク・インストール インストール FTP、HTTP、または NFS サーバを使用して SecurePlatform をインストールするには、以下 の手順に従います。 1 作成した起動フロッピー・ディスクをフロッピー・ディスク・ドライブに挿入し、 そこから起動します。 [SecurePlatform with Application Intelligence Installation] 画面が表示され 再起動した後で、 ます。 2 Enter キーを押して、インストールすることを確認します。続行しないことを選択し た場合は、CD またはフロッピー・ディスクを取り出して再起動するように要求され ます。 確認したあとに、[Welcome] メニューが表示されます。 図 3-1 SecurePlatform インストールの[Welcome]メニュー 3 [OK] を選択し、Enter キーを押します。[Installation Method] メニューが表示され ます。 第3章 インストール 23 ネットワークを使用したインストール 図 3-2 [Installation Method]メニュー 4 次のいずれかのネットワーク・インストール方法を選択し、[OK] を選択して、Enter キーを押します。 ■ ■ ■ NFS イメージ FTP HTTP [Interface Selection] メニューが表示されます。 図 3-3 [Interface Selection]メニュー 24 起動フロッピー・ディスクを使用したネットワーク・インストール 5 ファイル・サーバが実行されているネットワークに接続されたネットワーク・インタ フェース・カードを選択し、 [OK] を選択して Enter キーを押します。 [Configure TCP/IP] メニューが表示されます。 図 3-4 [Configure TCP/IP]メニュー 6 このコンピュータの IP アドレス設定を指定し、[OK] を選択して Enter キーを押し ます。これらの IP アドレスの設定は、ファイル・サーバへの TCP セッションを 作成するために使用され、インストールの完了後も有効なままになります。 ネットワーク・インストール方法(FTP、HTTP、NFS)に応じて、セッション・ パラメータを要求する選択ウィンドウが表示されます。 7 セッションの詳細を入力し、[OK] を選択して Enter キーを押します。バスを要求さ れたら、SecurePlatform がインストールされているディレクトリのパスを入力しま す。匿名ではない FTP を使用している場合は、アカウントの詳細を尋ねられます。 インストール・プログラムがネットワークから配布ファイルを読み取り、[Welcome] メニュー(23 ページの図 3-1)が表示されます。 8 インストールを続行するには、「SecurePlatform CD を使用したインストール」の 26 ページの手順 3 を参照してください。 注: インストール対象のコンピュータを再起動するように要求されるまで、ネットワーク接続を切断し ないでください。 第3章 インストール 25 フロッピー・ディスク・ドライブまたは CD-ROM ドライブのないコンピュータでのインストール フロッピー・ディスク・ドライブまたは CD-ROM ドライブのない コンピュータでのインストール ネットワーク・インストール用のサーバを設定し、SecurePlatform がインストールされて いるホスト上でクライアントの設定を実行する必要があります。詳細については、 123 ページの「フロッピー・ドライブまたは CD-ROM ドライブのないコンピュータへの インストール」を参照してください。 SecurePlatform CD を使用したインストール SecurePlatformCD を使用して SecurePlatform をインストールするには、以下の手順に従い ます。 1 次のいずれかを選択します。 ■ ■ SecurePlatform CD を CD-ROM ドライブに挿入し、SecurePlatformNGX CD からコン ピュータを再起動します。 作成したフロッピー・ディスクをフロッピー・ディスク・ドライブに挿入し、 そこから起動します。 再起動したあとに、[SecurePlatform NGX] 画面が表示されます。 2 Enter キーを押してインストールを開始します。指定時間内に Enter キーを押さない と、コンピュータがハードディスク・ドライブから再起動されます。 確認したあとに、[Welcome] メニューが表示されます。 注: 使用可能なオプションを切り替えるには、Tab キーを使用します。 3 [Device List] を選択すると、[Hardware Scan Details] メニューが表示されます。項目 を選択すると、詳細情報を取得できます。 ハードウェア・デバイスのカテゴリには、[OTHER DEVICES]、[NETWORK DEVICES]、 および[AUDIO DEVICES] があります。ハードウェア・デバイスごとの情報には、 クラス、バス、ドライバ、デバイス、デタッチ、ベンダ ID、デバイス ID、サブ・ ベンダ ID、サブ・デバイス ID、および PCI タイプがあります。 [Back] を選択すると、 [Hardware Scan Details] メニューに戻ります。デバイス情報 [TFTP]、または[Serial] を選択できます。 の保存先として、[Floppy]、 4 [Add Driver] を選択すると、[Devices] メニューが表示されます。ドライバ・ディス クがあるかどうかを尋ねられます。 注: 更新されたハードウェアが、以前のバージョンのドライバと互換性がないことがあります。 このような場合は適切なドライバが検出されないので、インストール時にエラーが表示されることがあり ます。または、インストールは完了してもハードウェアが正しく機能しないことがあります。この問題に 対処するには、インストール時に[Add Driver]を選択し、不足しているドライバを追加します。 26 起動フロッピー・ディスクを使用したネットワーク・インストール 5 [Yes] を選択すると、デバイス・ドライバのディスクを挿入し、[OK] を選択して次 に進むように指示されます。 6 [OK] を選択すると、デバイス・ドライバがインストールされます。 7 [OK] を選択してインストールを進めます。中止する場合は[Cancel] を選択します。 [Keyboard Selection] メニューが表示されます。 8 キーボードの種類を選択し、[OK] を選択します。 9 [Networking Device] メニューで、最初のネットワーク・インタフェース(通常は eth0)を管理インタフェースとして選択し、[OK] を選択します。IP アドレス、 ネットマスク、およびデフォルト・ゲートウェイを指定して[OK] を選択します。 この IP アドレスは、インストールが完了し、コンピュータを再起動したあとで、 Web UI を使用して設定作業を行うための接続時に使用されます。また、インストー ルが完了した後でも、SecurePlatform コンピュータにアクセスするときにこのインタ フェースを使用できます。 10 [HTTPS Server Configuration] メニューで、HTTPS を使用して設定する SecurePlatform を有効にするかどうかを指定します。有効にする場合は、使用するポートを指定し ます。 [Confirmation] メニューが表示されます。 11 次に進むには[OK] を選択します。中止する場合は[Cancel] を選択します。 警告: インストール手順を実行すると、ハードディスク・ドライブの情報がすべて消去されます。 以下のインストール操作が実行されます。 ■ ■ ■ ハードディスク・ドライブのフォーマット パッケージのインストール インストールの後処理 この手順には数分かかります。手順が完了すると、 [Installation Complete]メニューが 表示されます。 12 [OK] を選択すると、インストールが完了します。 13 システムが再起動します。インストール中に使用した CD-ROM やフロッピー・ディ スクは必ず取り出してください。ほとんどのシステムでは、[Installation Complete] メニューで[OK] を選択すると、CD-ROM が自動的に取り出されます。 第3章 インストール 27 アップグレード アップグレード このセクションの構成 はじめに 28 ページ アップグレードの計画 28 ページ SecurePlatform のアップグレード 31 ページ はじめに SecurePlatform を使用すると、コンピュータとネットワークの各要素およびインストール 済みのチェック・ポイント製品を簡単に設定できます。便利なシェルが用意されており、 ネットワーク設定、バックアップおよびリストア・ユーティリティ、アップグレード・ ユーティリティ、システム・ログ閲覧機能、コントロールなど、セキュリティ・システ ムの設定や日常管理を簡単に行うために必要なコマンド・セットが提供されます。Web GUI を使用すると、ほとんどの管理設定と最初のインストール時の設定を使いやすい Web インタフェースから実行できます。 この章では、SecurePlatform NGX にアップグレードする方法を説明します。 アップグレードの計画 SecurePlatform とその上にインストールされたすべてのチェック・ポイント製品をアップ グレードするには、製品 CD に収録されたアップグレード・パッケージを使用する必要が あ りま す。こ の CD を 使 用す る と、コ マ ン ド・ラ イン ま た は SmartUpdate を 使 用 して SecurePlatform をアップグレードできます。 注: SecurePlatform をアップグレードすると、SecurePlatform サーバにインストールされているすべて のチェック・ポイント製品も自動的にアップグレードされます。 バックアップ・コマンド SecurePlatform のアップグレードでは、次の 2 つのバックアップ・シナリオが用意されて います。 ■ ■ 28 セーフ・アップグレードでは、システム全体の状態の自動スナップショットが取得 されるので、アップグレード中に問題が発生した場合にシステムを復元できます。 手動バックアップでは、次の 2 つのセクションで説明するバックアップ・コマンドを 使用します。 アップグレードの計画 NG with Application Intelligence 以前のバックアップ・コマンド NG with Application Intelligence 以前のバージョンをバックアップするには次の構文を使 用します。 構文 backup(system | cp | all) <name> [tftp <ip-address>] パラメータ 表 3-1 SecurePlatform のバックアップ用パラメータ パラメータ 説明 system システム設定のバックアップ cp チェック・ポイント製品設定のバックアップ all すべての設定のバックアップ name 復元先のバックアップ名 [tftp <ip-address>] 設定のバックアップ先 tftp サーバの IP アドレス NG with Application Intelligence R55 以降のバックアップ・コマンド NG with Application Intelligence R55 以降のバージョンをバックアップするには次の構文を 使用します。 構文 . backup [-h] [-d] [--purge DAYS] [--sched [on hh:mm <-m DayOfMonth> | <-w DaysOfWeek>] | off] [[--tftp <ServerIPList> [<Filename>]] |[--scp <ServerIPList> <Username> <Password> [<Filename>]] |[--file <Filename>]] 注: たとえば、次のようにバックアップ・ユーティリティで purge オプションを使用する場合、 “0” は有効なオプションではありません。backup --purge 0 第3章 インストール 29 アップグレード パラメータ 表 3-2 バックアップ・パラメータ パラメータ 説明 -h 使用状況を取得します。 -d デバッグ・フラグ --purge DAYS 以前のバックアップから古いバックアップを削除します。 [--sched [on hh:mm <-m DayOfMonth> | <-w DaysOfWeek>] | off] バックアップを実行する間隔をスケジュールします。 ■ On - 時間と曜日または日付を指定します。 ■ Off - スケジュールを無効にします。 --tftp <ServerIPList> [<Filename>] 設定のバックアップ先 TFTP サーバの IP アドレスおよび オプションのファイル名のリスト。ServerIPList は、 192.168.1.1,192.168.1.2 のようなカンマで区切られたサーバー 名のリストであり、スペースは含みません。このリストに含 まれる IP アドレスが 1 つだけの場合もあります。その場合 はカンマは必要ありません。 --scp <ServerIPList> <Username> <Password> [<Filename>] 設定のバックアップ先 SCP サーバの IP アドレス、SCP サー バにアクセスするために使用されるユーザ名とパスワード、 およびオプションのファイル名のリスト。 --file <Filename> バックアップをローカルで実行する場合に、オプションの ファイル名を指定します。 注: Filename を指定しない場合は、たとえば :\backup_13_11_2003_12_47.tgz のように backup_day of month_month_year_hour_minutes.tgz の形式でデフォルトの名前が指定されます。 Patch コマンド Patch コマンドを使用して、ソフトウェア製品、パッチなどを SecurePlatform オペレーティ ング・システムにインストールできます。 Patch コマンドは、次の場所にアクセスしてソフトウェア・パッケージを取得できます。 ■ TFTP サーバ ■ CD-ROM ドライブ ■ ローカル・ハード・ドライブ上の特定の場所 注: NGX R60A にアップグレードする場合は、 patch add CD のみを使用できます。 30 SecurePlatform のアップグレード 構文 patch patch patch patch add tftp <ip_address> <patch_name> add cd <patch_name> add <full_patch_path> log パラメータ 表 3-3 Patch パラメータ パラメータ 説明 シェル add 新しいパッチをインストールします。 エキスパート / 制限 log インストールされているすべてのパッチを 一覧表示します。 エキスパート / 制限 cd CD からインストールします。 エキスパート / 制限 tftp TFTP サーバからインストールします。 エキスパート / 制限 ip パッチが含まれている TFTP サーバの IP アドレス エキスパート / 制限 patch_name インストールするパッチの名前 エキスパート / 制限 password パスワード(エキスパート・モード) エキスパート / 制限 full_patch_path パッチ・ファイルの完全なパス(たとえば /var/tmp/mypatch.tgz) エキスパート SecurePlatform のアップグレード このセクションの構成 SecurePlatform R54、R55 以降のバージョンでの VPN-1 Pro ゲートウェイのアップグレード 32 ページ SecurePlatform NG FP2、FP3、FP3 Edition 2 上での VPN-1 Pro ゲートウェイのアップグレード 33 ページ このセクションでは、SecurePlatform NGX にアップグレードする方法を説明します。 SecurePlatform は、SecurePlatform NGX R60A CD-ROM を使用し、# patch add cd コマ ンドを実行してアップグレードできます。さまざまな Patch コマンドのオプションについ ては、30 ページの「Patch コマンド」を参照してください。 注: アップグレード・ファイルから SecurePlatform NGX R60A へのアップグレードはサポートされて いません。 第3章 インストール 31 アップグレード SecurePlatform R54、R55 以降のバージョンでの VPN-1 Pro ゲートウェイの アップグレード SecurePlatform オペレーティング・システム上で NGX(R60A)にアップグレードするに は、オペレーティング・システムとインストールされているソフトウェア製品の両方を 更新する必要があります。SecurePlatform のユーザは、正しい SecurePlatform のアップグ レード手順に従う必要があります。 このセクションで説明する手順を実行すると、1 回の手順ですべてのコンポーネント (オペレーティング・システムとソフトウェア・パッケージ)がアップグレードされます。 追加のアップグレードは必要ありません。 CD-ROM の使用 次の手順では、CD-ROM ドライブを使用して SecurePlatform R54 以降のバージョンをアッ プグレードする方法を説明します。 1 SecurePlatform にログインします(エキスパート・モードは必要ありません) 。 2 次のコマンドを使用して、SecurePlatform NGX(R60A)アップグレード・パッケー ジを適用します。 # patch add cd 3 MD5 チェックサムを確認します。 4 次の質問に答えます。 Do you want to create a backup image for automatic revert? Yes/No [Yes] を選択した場合は、セーフ・アップグレードが実行されます。 セーフ・アップグレードでは、システム全体のスナップショットが自動的に取得さ れるので、アップグレード中に問題(たとえば互換性のないハードウェア)が発生 した場合にシステムを復元できます。アップグレード・プロセスによって動作不良 が検出された場合は、セーフ・アップグレード・イメージが自動的に復元されます。 アップグレードが完了したあとで再起動するするときに、SecurePlatform オペレー ティング・システムを、アップグレード後のバージョンのイメージを使用して起動 するか、またはアップグレード前のイメージを使用して起動するかを手動で選択す るオプションが表示されます。 32 SecurePlatform のアップグレード SecurePlatform NG FP2、FP3、FP3 Edition 2 上での VPN-1 Pro ゲートウェイ のアップグレード SecurePlatform オペレーティング・システム上で NGX(R60A)にアップグレードするに は、オペレーティング・システムとインストールされているソフトウェア製品の両方を 更新する必要があります。SecurePlatform ユーザは、正しい SecurePlatform のアップグレー ド手順に従う必要があります。 このセクションで説明する手順を実行すると、1 回の手順ですべてのコンポーネント (オペレーティング・システムとソフトウェア・パッケージ)がアップグレードされます。 追加のアップグレードは必要ありません。 詳細については、 『SecurePlatform/SecurePlatform Pro NGX(R60A)』を参照してください。 R54 より前のバージョンをアップグレードするには、Patch コマンドをアップグレードす る必要があります。 1 SecurePlatform NGX(R60A)CD をドライブに挿入します。 2 [Expert] モードに切り替えます。# expert 3 次のオプションを選択して、patch コマンドをアップグレードします。 ■ CD-ROM ドライブを使用して Patch コマンドをアップグレードするには、以下の コマンドを実行します。 # mount /mnt/cdrom # patch add /mnt/cdrom/SecurePlatform/patch/CPpatch_command_*.tgz. 4 次のコマンドを使用し、CD-ROM ドライブを使用して SecurePlatform NGX(R60A) アップグレード・パッケージを適用します。 # patch add cd 5 MD5 チェックサムを確認します。 6 次の質問に答えます。 Do you want to create a backup image for automatic revert? Yes/No [Yes] を選択した場合は、セーフ・アップグレードが実行されます。 セーフ・アップグレードでは、システム全体のスナップショットが自動的に取得さ れるので、アップグレード中に問題(たとえば互換性のないハードウェア)が発生 した場合にシステムを復元できます。アップグレード・プロセスによって動作不良 が検出された場合は、セーフ・アップグレード・イメージが自動的に復元されます。 アップグレードが完了した後に再起動すると、アップグレードされたバージョンの イメージを使用して SecurePlatform オペレーティング・システムを起動するか、アッ プグレード前のイメージを使用するかを手動で選択するオプションが表示されます。 第3章 インストール 33 アップグレード 34 第 4 章 設定 この章の構成 コマンド・ラインの使用 35 ページ Web インタフェースの使用 38 ページ SecurePlatform を使用すると、コンピュータとネットワークを簡単に設定してチェック・ ポイント製品をインストールできます。 コマンド・ラインの使用 このセクションでは、すべての設定を行うための対話型のメニューを提供する sysconfig アプリケーションについて説明します。設定は、SecurePlatform シェルによって提供され るコマンド・ライン・ユーティリティを使用して行うこともできます。SecurePlatform シェ ルについては、68 ページの「SecurePlatform シェル」で説明します。 コマンド・ラインを使用した初期設定 CD-ROM からのインストールが完了し、コンピュータが再起動された後は、以下を実行 するために初期設定が必要になります。 ■ ネットワークの設定 ■ ライセンスの適用 ■ インストールする製品の選択 ■ SmartCenter の初期設定(選択した場合) 新規インストールの手順 1 コンソールから sysconfig コマンドを実行し、テキスト・インタフェースを使用し て SecurePlatform を設定します。 2 コマンドラインのセットアップ・ウィザードが開始されます。画面の指示に従って、 初回の設定を進めます。 35 コマンド・ラインの使用 3 次のメニューに進む場合は N キーを、ウィザードを終了する場合は Q キーを押して から Enter キーを押します。 4 N キーを押して Enter キーを押した場合は、以下の[Network Configuration]メニュー・ オプションが表示されます。 ■ 1)Host Name(ホスト名の設定と表示) ■ 2)Domain Name(ドメイン名の設定と表示) ■ 3)Domain Name Servers(DNS サーバの追加、削除、表示) ■ ■ 5 以下の項目を設定する必要があります。 ■ ■ ■ ■ 6 4)Network Connections(接続の追加、設定、削除、表示) 5)Routing(デフォルト・ゲートウェイの設定と表示) コンピュータ名 ドメイン名と最大 3 つの DNS サーバ コンピュータのネットワーク・インタフェース デフォルト・ゲートウェイ 必要なオプション番号を入力して Enter キーを押します。 [Choose an action] メニューの操作オプションが表示されます。 7 必要なオプション番号を入力して Enter キーを押します。前のメニューに戻るには、 E キーを押してから Enter キーを押します。 8 [Network Configuration] の完了後は、N キーを押してから Enter キーを押し、次の メニューである[Time and Date Configuration] に進みます。P キーを押してから Enter キーを押し、前のメニューに戻るか、Q キーを押してから Enter キーを押し、ウィ ザードを終了します。 [Time and Date Configuration] メニューで現在の日時を入力し、タイム・ゾーンを設 定できます。 注: これにより SecurePlatform オペレーティング・システムのインストールが完了します。特定の製品 の詳細なインストール手順については、その製品のマニュアルを参照してください。 sysconfig の使用 コマンド・ライン・セットアップ・ウィザードを使用して初期設定を実行した後に、 sysconfig を使用して設定を変更できます。 sysconfig を実行するには、SecurePlatform にログインし、プロンプトで sysconfig と入力し ます。 sysconfig メイン・メニューには、さまざまな設定項目が一覧表示されます(すべての設定 項目を定義する必要があります)。各メニュー項目を 1 つずつ順番に設定することをお勧めし ます。 36 sysconfig の使用 メニュー項目を設定するには、対応する番号を入力して Enter キーを押します。メイン・ メニューのオプションを選択すると、さまざまな設定項目を設定または表示するための 追加メニューが表示されます。メイン・メニューに戻るには、[Done] メニュー項目を選 択します。終了するには、メイン・メニューから[Exit] を選択します。 設定オプションを選択すると、sysconfig から、すべての関連する設定パラメータを入力 するように要求されます。すべてのパラメータの入力が完了すると、すぐに変更が適用 されます。 注: sysconfig の使用中に e を入力すると、1 つ上のレベルのメニューに移動します。 表 4-1 Sysconfig 設定オプション メニュー項目 各メニュー項目の内容 1 Host Name ホスト名の設定または表示 2 Domain Name ドメイン名の設定または表示 3 Domain Name Servers DNS サーバの追加または削除、あるいは設定済み DNS サーバの表示 4 Time & Date タイム・ゾーン、日付、およびローカル時刻の設定、または日付と 時刻の設定の表示 5 Network Connections 設定の追加または削除、ネットワーク接続の設定、またはネット ワーク接続の設定の表示 6 Routing ネットワークとルートの追加、新しいホストの追加、デフォルト・ ゲートウェイの設定、ルートの削除、またはルーティング設定の 表示 7 DHCP Server Configuration SecurePlatform DHCP サーバの設定 8 DHCP Relay Configuration DHCP リレーの設定 9 Export Setup チェック・ポイント環境のエクスポート 10 Products Installation チェック・ポイント製品のインストール(cpconfig)。詳細について は、製品のインストール手順を参照してください。 11 Products Configuration チェック・ポイント製品の設定(cpconfig)。詳細については、次の 「チェック・ポイント製品の設定」を参照してください。 第4章 設定 37 Web インタフェースの使用 チェック・ポイント製品の設定 チェック・ポイント製品を設定するには、sysconfig アプリケーションでこのオプションを 選択するか、SecurePlatform シェルから使用できる cpconfig アプリケーションを実行します。 チェック・ポイント製品の設定の詳細については、 『導入の手引き』を参照してください。 チェック・ポイント製品の設定手順が終了するとすぐにシステムを再起動するように 要求されます。再起動すると、システムが使用可能になります。 注: 製品を有効にするには、チェック・ポイント製品の設定手順(cpconfig)を実行する必要があります。 以下の手順に従います。 ■ ■ ■ 実施モジュールをインストールした場合は、新しいゲートウェイのセキュリティ、 VPN、および QoS ポリシーの設定方法について、 『導入の手引き』および 『SmartCenter Guide』を参照してください。 SmartCenter サーバをインストールした場合は、チェック・ポイント SmartConsole を 使用して新しい SmartCenter サーバを接続する方法について、 『導入の手引き』および 『SmartCenter Guide』を参照してください。 VPN-1 Pro をインストールした場合は、新しい製品を接続して設定する方法について、 『導入の手引き』を参照してください。 Web インタフェースの使用 この章では、SecurePlatform の Web インタフェースについて説明します。ほとんどの一般 的な操作は、Web インタフェースを使用して実行できます。他の設定オプションの詳細に ついては、35 ページの「コマンド・ラインの使用」を参照してください。 注: Web インタフェースは、FIPS 140-2 準拠モードではアクセスできません。 Web インタフェースを使用した初期設定 CD-ROM からのインストールが完了し、コンピュータが再起動された後は、以下を実行 するために初期設定が必要になります。 ネットワークの設定 ■ 38 ■ 時刻 / 日付 / タイム・ゾーンの設定 ■ 使用可能な SSH および管理 Web UI クライアントの IP アドレスの設定 ■ インストールする製品の選択 ■ インストールした製品の初期設定 Web インタフェースを使用した初期設定 初期設定を行うには、以下の手順に従います。 1 ネットワークの設定中に指定した IP アドレス(たとえば https://192.168.1.1)を使用 するようにブラウザを設定します。初めてインストールする場合は、[End User’s License Agreement ] ページが表示されます。ライセンス契約の条件に同意すると、 [Login] ページが表示されます。 または、コンソールから sysconfig コマンドを実行し、テキスト・インタフェース を使用して SecurePlatform を設定できます。 2 [Login]ページで、ユーザ名に admin、パスワードに admin を使用してログインします。 [Change Password]ページが表示され 初めてユーザ名とパスワードを入力した場合は、 ます。 3 [Change Password] ページで、以下の手順に従います。 ■ 使用可能なワンタイム・ログイン・キーを使用することをお勧めします。[Onetime Login Key] セクションで[Download] をクリックします。 [Login Key Challenge] ページが表示されます。[Question] と[Answer] に入力し、[OK] をクリックし ます。 ■ 管理者のユーザ名とパスワードを入力します。作業が終了したら[Save and Login ]を クリックします。 注: 定義したユーザ名とパスワードは Web インタフェースとコンソールの両方で使用されます。 [Welcome] ページが表示されます。セットアップ・ウィザードが開始されます。画面 の指示に従って初回の設定を進めます。次のページに進むには[Next] をクリックし、 前のページに戻るには[Back] をクリックします。 4 [Next] をクリックして[Network Configuration] ページに進みます。各インタフェー スの IP アドレスとネットワーク・マスクを設定できます。イーサネット・インタ フェースの MAC アドレスの変更、VLAN の追加などを行うことができます。 各インタフェースをプライマリ IP アドレスに関連付け、オプションで 1 つ以上の セカンダリ IP アドレスに関連付けることができます。 注: このページにはアプライアンス上のすべての物理 NIC のリストが表示されます。 プライマリ IP アドレスは、DHCP を使用して自動的に IP アドレスを取得するように 設定できます。ただし、実稼動環境の構成ではこのオプションはお勧めできません。 第4章 設定 39 Web インタフェースの使用 インタフェースのプライマリ IP アドレスを設定するには、以下の手順に従います。 a 特定のインタフェースをクリックします。[Connection Configuration] ページ が表示されます。 b [Use the following configuration] を有効にした場合は、IP アドレスとネット マスクを入力します。 c [Obtain IP address automatically (DHCP)] を有効にした場合は、プライマリ IP アドレスは DHCP を使用して自動的に取得されます。 d MTU 値を指定します。 e 物理アドレス(MAC アドレス)を指定します。 f リンク速度とデュプレックスの値をドロップダウン・ボックスから選択し ます。 g [Apply] をクリックします。 インタフェースに IP アドレスを追加するには、以下の手順に従います。 [Network Connections]ページで[New]をクリックします。 [Add Network Connections] ドロップダウン・ボックスが表示されます。以下のオプションがあります。 Secondary IP ■ ■ PPTP ■ PPPoE ■ ISDN ■ VLAN ■ Loopback インタフェースにセカンダリ IP アドレスを追加するには、以下の手順に従います。 [Add Secondary IP Connection] ページが表示 a [Secondary IP] を選択します。 されます。 b [Add Secondary IP Connection] ページで以下の手順に従います。 i) ドロップダウン・ボックスからインタフェースを選択します。 ii)IP アドレスを指定します。 iii)ネットワーク・マスクを指定します。 c [Apply] をクリックします。 40 Web インタフェースを使用した初期設定 インタフェースに PPTP 接続を追加するには、以下の手順に従います。 a [PPTP] を選択します。[Add PPTP Connection] ページが表示されます。 b [Add PPTP Connection] ページで以下の手順に従います。 i) リモート・サーバの IP アドレスを指定します。 ii)リモート・サーバ名を指定します。 注: このコンピュータからリモート・サーバにアクセスできることを確認します。 iii)ユーザ名とパスワードを指定します。 iv)デフォルト・ゲートウェイの自動取得を選択できます。 v)DNS の自動取得を選択できます。 vi)起動時の自動接続を選択できます。 c [Apply] をクリックします。 インタフェースに PPPoE 接続を追加するには、以下の手順に従います。 a [PPPoE] を選択します。[Add PPPoE Connection] ページが表示されます。 b [Add PPPoE Connection] ページで、以下の手順に従います。 i) ドロップダウン・ボックスからインタフェースを選択します。 ii)ユーザ名とパスワードを指定します。 iii)デフォルト・ゲートウェイの自動取得を選択できます。 iv)DNS の自動取得を選択できます。 v)起動時の自動接続を選択できます。 c [Apply] をクリックします。 インタフェースに ISDN 接続を追加するには、以下の手順に従います。 a [ISDN] を選択します。[Add ISDN Connection] ページが表示されます。 b [Add ISDN Connection] ページで、以下の手順に従います。 i) ドロップダウン・ボックスからチャネル・プロトコルを選択します。 ii)プロバイダ名を指定します。 iii)国コードを指定します。 iv) 市外局番を指定します。 v)電話番号を指定します。 vi)ユーザ名とパスワードを指定します。 vii)デフォルト・ゲートウェイの自動取得を選択できます。 viii) ダイヤル・オン・デマンドを選択できます。 ix)DNS の自動取得を選択できます。 x)起動時の自動接続を選択できます。 第4章 設定 41 Web インタフェースの使用 c [Apply] をクリックします。 インタフェースに VLAN 接続を追加するには、以下の手順に従います。 a [VLAN] を選択します。[Add VLAN Connection] ページが表示されます。 b [Add VLAN Connection] ページで以下の手順に従います。 i) ドロップダウン・ボックスからインタフェースを選択します。 ii)VLAN 番号を指定します。 iii) [Use the following configuration] を有効にした場合は、IP アドレスと ネットマスクを入力します。 iv) [Obtain IP address automatically (DHCP)] を有効にした場合は、プライマリ IP アドレスは DHCP を使用して自動的に取得されます。 c [Apply] をクリックします。 インタフェースにループバック接続を追加するには、以下の手順に従います。 a [Loopback] を選択します。[Add Loopback Connection] ページが表示され ます。 b [Add Loopback Connection] ページで、以下の手順に従います。 i) IP アドレスを指定します。 ii)ネットマスクを指定します。 c [Apply] をクリックします。 5 [Routing Table] ページで、静的ルートまたはデフォルト・ルートを追加したり、 それらを削除したりできます。 注: ■ ■ 既存のルートを編集することはできません。特定のルートを変更するには、ルートを削除してその代 わりに新しいルートを作成します。 デバイスに接続できるようにするルートを削除しないように注意してください。 ルートを削除するには、以下の手順に従います。 ■ 特定のルートのチェック・ボックスをオンにし、[Delete] をクリックします。 ルーティングを設定するには、以下の手順に従います。 ■ [Routing Table]ページで[New]をクリックします。 [Add Route]ドロップダウン・ ボックスが表示されます。 以下のオプションがあります。 Route ■ ■ 42 Default Route Web インタフェースを使用した初期設定 新しいルートを追加するには、以下の手順に従います。 a [Route] を選択します。[Add New Route] ページが表示されます。 b [Add New Route] ページで次の項目を指定します。 i) 接続先の IP アドレス ii)接続先のネットマスク iii)インタフェース(ドロップダウン・ボックスから選択します) iv)ゲートウェイ v)メトリック c [Apply] をクリックします。 デフォルト・ルートを追加するには、以下の手順に従います。 a [Default Route]を選択します。[Add Default Route]ページが表示されます。 b [Add Default Route] ページで次の項目を指定します。 i) ゲートウェイ ii)メトリック c [Apply] をクリックします。 6 [DNS Servers] ページで、最大 3 つの DNS サーバの IP アドレスを指定します。 7 [Host and Domain Name] ページで、以下の手順に従います。 ■ ■ ■ ホスト名を指定します。 ドメイン名を指定します。 ドロップダウン・ボックスからインタフェースを選択します。ホスト名は、この インタフェースの IP アドレスに関連付けられます。 8 [Date and Time Setup]ページで、現在の日付と時刻およびタイム・ゾーンの設定を入力 できます。日付は、dd-Mon-yyyy(たとえば 31-Dec-2003)の形式で指定する必要があり ます。時刻は HH:mm(たとえば 23:30)の形式で指定する必要があります。 NTP は、インターネット上でコンピュータのクロックを同期させるために使用され ます。 [Apply] をクリックして日付と時刻を適用します。 警告: 日付と時刻を変更しても[Apply] をクリックしないと変更は有効になりません。 第4章 設定 43 Web インタフェースの使用 9 [Web/SSH Clients] ページに、クライアントの設定済み IP アドレスのリストが表示さ れます。クライアントの設定済み IP アドレスのみが SecurePlatform と SSH サービス にアクセスを許可されます。Web/SSH クライアントを追加または削除できます。 Web/SSH クライアントを削除するには、以下の手順に従います。 ■ 特定の Web/SSH クライアントのチェック・ボックスをオンにし、[Delete] をク リックします。 Web/SSH クライアントを追加するには、以下の手順に従います。 a [Web/SSH Clients]ページで[New]をクリックします。[Add Web/SSH Client] ページが表示されます。 b IP アドレス、解決可能な名前、または Web クライアントのネットワークを 追加できます。 注: ホスト名にワイルドカードまたは「any」を含めることもできます。「any」を指定すると、すべて の Web/SSH クライアントからの接続が有効になります。 c [Apply] をクリックします。 10 [Installation options] ページで[Check Point Enterprise/Pro](本社と支社の場合)また は[Check Point Express](中規模企業の場合)を選択します。選択した項目に応じ て、ウィザードに表示される他のページが決まります。 11 [Products Selection] ページで、次の 1 つ以上のオプションを選択し、[Next] をク リックします(選択した項目に応じて、ウィザードに表示される他のページが決ま ります)。 ■ VPN-1 Pro:チェック・ポイント VPN ソリューションの基礎であり、リモート・ アクセス、イントラネット、およびエクストラネットの VPN 用の最も包括的な 製品とテクノロジのセットです。VPN-1 Pro はインターネット経由のビジネス・ コミュニケーションのプライバシを保護し、同時に重要なネットワーク・リソー スを不正なアクセスから保護します。 ■ ■ Advanced Routing Suite:ダイナミック・ルーティングとマルチキャスト・プロト コルのサポートを、SecurePlatform およびその上にインストールされるチェック・ ポイント製品の統合された一部として追加します。サポートされるプロトコルに は、RIP v.1 と v.2、OSPF、BGP、IGMP、PIM-SM、PIM-DM などがあります。 SmartCenter:チェック・ポイントの最も重要な管理ソリューションであり、使い やすいダッシュボードを備えています。管理者は、このダッシュボードを使用 して VPN、ファイアウォール、および QoS ポリシーを中央で定義できます。 ■ 44 Eventia Reporter:チェック・ポイントのログ・データから取得した詳細なネット ワーク・セキュリティの活動とイベントの情報を提供する、完全なレポート・ システムです。 Web インタフェースを使用した初期設定 VPN-1 Pro を選択した場合は、次の 1 つ以上のオプションを選択してください。 ■ Performance Pack:VPN-1 Pro ゲートウェイ用のソフトウェア・ベースのアクセラ レーション・モジュールです。アクセス制御、暗号化、NAT、アカウンティング などの主要なセキュリティ機能を強化することによって、ギガビット・ネット ワークでワイヤ・スピードによるファイアウォールと VPN のスループットを実 現します。 ■ SmartView Monitor:セキュリティおよび VPN のパフォーマンス分析ソリューショ ンであり、帯域幅、ラウンドトリップ・タイム、CPU 使用率などのメトリックを グラフィカルに表示します。組織は、SmartView Monitor によって提供される情報 を活用して、セキュリティに関する ROI の最大化、パフォーマンスの強化、ネッ トワークとセキュリティ・コストの管理を行うことができます。 ■ ■ SmartDefense:顧客は、SmartDefense を使用してすべてのネットワークおよびア プリケーションに対する攻撃の防御を設定、適用、および更新できます。 SmartDefense は、ステートフル・インスペクションと Application Intelligence のテ クノロジを使用して、既知および未知のすべての攻撃から組織を保護します。 SmartDefense はさらに、チェック・ポイント SMART 管理およびレポート・イン フラストラクチャと統合され、攻撃、攻撃検出、遮断、ロギング、監査、警告に 関するリアルタイム情報を表示する、集中管理された単一のコンソールを提供し ます。 Web Intelligence:Web Intelligence と Malicious Code Protector を併用して、Web コン テンツおよび埋め込みアプリケーション・コードを検査します。Web Intelligence は高速で正確であり、攻撃を事前に阻止します。チェック・ポイント・セキュリ ティ・ソリューションと統合することで、迅速な導入、簡単な管理、Web 環境全 体の最も強力な保護を実現できます。 ■ UserAuthority:e ビジネス・アプリケーションに対してユーザを認証するための、 統一された安全な通信レイヤを提供します。UserAuthority を使用すると、アプリ ケーションで VPN-1 Pro の認証およびセキュリティ情報を基にしてインテリジェ ントな認証判断を行うことができます。 [Gateway Type] ページが表示されます。必要な場合は 12 [VPN-1 Pro] を選択した場合は、 ゲートウェイのタイプを定義し、必要ない場合はこのオプションをスキップします。 a [Define the gateway type] を選択した場合は、次のいずれかを選択できます。 ■ This gateway is a member of a Cluster ■ This gateway uses dynamically assigned IP b [Next] をクリックします。 第4章 設定 45 Web インタフェースの使用 クラスタのメンバ ゲートウェイをクラスタのメンバとして設定する場合は、初めに[This gateway is a member of a Cluster] を選択し、次に SmartDashboard を使用して設定を実行する必要 があります。 動的に割り当てられた IP アドレスの使用 ゲートウェイで DAIP を使用する場合は、ゲートウェイで接続を開始する必要があ ります。ただし、[VPN Link Selection] タブで[DNS Resolution] 機能を有効にした場 合は、ピアも接続を開始できます。 13 [Secure Internal Communication (SIC) Setup] ページで、ゲートウェイと SmartCenter サーバの間の SIC(Secure Internal Communication)を確立できます。その後で、この ゲートウェイの証明書がこの接続を介して配信されます。証明書がこのゲートウェ イに到着すると、ゲートウェイは他のチェック・ポイント通信コンポーネントと通 信できます。 ウィザードを実行しているときに、アクティベーション・キーを入力して[Next] をク リックすることで SIC を確立します。または、アクティベーション・キーを入力して [Initialize] をクリックすることで SIC を確立することもできます。SIC は、SmartCenter サーバとゲートウェイの両方で初期化または再初期化する必要があります。この処理 を行うには、SmartDashboard または SmartLSM を使用し、ゲートウェイ・オブジェクト を編集して、このページで指定したと同じアクティベーション・キーを入力します。 [Next] をクリックします。 14 [SmartCenter] を選択した場合は、[Management Type] ページが表示されます。次の いずれかのオプションを選択し、[Next] をクリックします。 ■ Primary SmartCenter:最初にインストールする SmartCenter サーバは、チェック・ ポイント Management High Availability を使用するかどうかに関係なく、常にプラ イマリ SmartCenter として定義する必要があります。 ■ Secondary SmartCenter:チェック・ポイント Management High Availability で、次に 定義する SmartCenter サーバはセカンダリ SmartCenter として定義する必要があり ます。このサーバはプライマリ SmartCenter に障害が発生した場合にプライマリ SmartCenter から処理を引き継ぎます。 ■ Log Server:SmartCenter サーバの負荷を減らすために、管理者はログ・サーバを インストールし、ログをこれらのログ・サーバに転送するようにモジュールを設 定できます。この場合、SmartView Tracker を使用して、SmartCenter サーバ・コン ピュータではなくログ・サーバ・コンピュータにログを記録することでログが表 示されます。プライマリ SmartCenter またはセカンダリ SmartCenter を選択した場 合は、ログ・サーバが含まれます。 15 Eventia Reporter は、チェック・ポイント製品によって発行されたログを基にして [Eventia Reporter] を選択し、 [SmartCenter] を選択しない場 レポートを生成します。 合は、[Eventia Reporter Setup Type] ページが表示されます。[Local Eventia Reporter installation] または[Eventia Reporter SmartCenter Add-on] を選択して、 [Next] をク リックする必要があります。 46 Web インタフェースのレイアウト 16 [SmartCenter GUI Clients] ページでは、管理者が SmartCenter サーバに接続するときに 接続を許可されるリモート・コンピュータを指定します。GUI クライアントを追加ま たは削除することもできます。構成済みの GUI クライアントのタイプ、ホスト名、IP アドレス、およびネットマスクが表示されます。新しい GUI クライアントを追加する [Add] をクリックします。GUI クライアントを削除するには、特定の GUI クラ には、 イアントのチェック・ボックスをオンにして[Remove] をクリックします。 17 [Add a SmartCenter GUI Client] ページで、ホスト名またはネットワーク名を入力でき ます。ホスト名にワイルドカード、IP アドレスの範囲、または「any」を含めること もできます。「any」を指定すると、すべての GUI クライアントからの接続が有効に [Apply] をクリックし、 [Next] をクリックします。 なります。 18 [SmartCenter Administrators] ページに設定済みの管理者が一覧表示され、 SmartCenter 管理者を追加できます。管理者が設定されていない場合も、このページ で SmartCenter 管理者を追加できます。この SmartCenter 管理者は、SmartCenter に 対する読み取り / 書き込み権限を持ち、SmartCenter 管理者アカウントの管理を許可 されます。新しい管理者をリストに追加するには、[Add] をクリックします。 SmartCenter 管理者を削除するには、特定の SmartCenter 管理者のチェック・ボック スをオンにして[Remove] をクリックします。 19 [Add a SmartCenter Administrator] ページで、管理者名とパスワードを入力します。 [Apply] をクリックし、 [Next] をクリックします。 20 ウィザードの最後のページである[Summary] ページには、インストールすることを 選択したすべての製品が表示されます。 21 [Finish] をクリックすると、インストールが完了します。 Web インタフェースのレイアウト SecurePlatform の初期設定を実行するには、初期設定ウィザードを使用します。その後で、 SecurePlatform Web UI を使用して詳細な設定を行います。 Web UI のレイアウトは、次の 3 つの部分に分かれています。 ■ 左側のメイン・ナビゲーション・メニューでは、主なカテゴリを選択できます。 ■ 右上の[Page Title] ペインには、[Help] と[Logout] リンクが表示されます。 ■ 右下の[Page Contents] ペインには、ページのデータが表示されます。 Status [Status] カテゴリには、システムの機能の要約が示されます。 Device Status このページには、デバイスのステータスの要約、コンピュータのホスト名、バージョン とビルド、インストールのタイプなどの情報が表示されます。 第4章 設定 47 Web インタフェースの使用 Network このカテゴリには、物理ネットワーク・インタフェース、VLAN、ルーティング、DNS、 その他のデバイスなど、ネットワーク設定の管理パラメータを指定するためのツールが 含まれています。 Network Connections このページでは、既存のネットワーク接続(たとえば PPPoE や PPTP を使用した xDSL 接続) のプロパティを編集したり、イーサネット・インタフェースに VLAN を追加したりでき ます。 [Network Connections]の表には、使用可能なすべてのネットワーク接続が表示されます。 この表を使用するには、以下の手順に従います。 1 特定の接続のプロパティを編集するには、特定のインタフェースのリンクをクリック します。 2 選択した接続を削除するには、特定のインタフェースのチェック・ボックスをオンに して[Delete] をクリックします。 注: ■ ■ 特定のインタフェースのチェック・ボックスをオンにし、[Down] ボタンをクリックしてインタ フェースを無効にすることができます。 ループバックおよびイーサネット接続を削除することはできません。 3 接続を追加するには、[New] をクリックし、ドロップダウン・リストから接続の [Apply] をクリックします。 タイプを選択します。 4 このページを表示しているときに設定を変更した場合は、[Refresh] をクリックして 表を更新します。 Routing このページを使用して、デバイス上のルーティング・テーブルを管理できます。静的ルート またはデフォルト・ルートを追加したり、それらを削除したりできます。 注: ■ ■ 既存のルートを編集することはできません。特定のルートを変更するには、ルートを削除してその 代わりに新しいルートを作成します。 デバイスに接続できるようにするルートは削除しないように注意してください。 ルートを削除するには、以下の手順に従います。 ■ 特定のルートのチェック・ボックスをオンにし、[Delete] をクリックします。 ルーティングを設定するには、以下の手順に従います。 48 Web インタフェースのレイアウト [Routing Table] ページで[New] をクリックします。 [Add Route] ドロップダウン・ボッ クスが表示されます。 以下のオプションがあります。 Route ■ ■ Default Route 新しいルートを追加するには、以下の手順に従います。 1 [Route] を選択します。[Add New Route] ページが表示されます。 2 [Add New Route] ページで次の項目を指定します。 a 宛先 IP アドレス b 宛先ネットマスク c インタフェース(ドロップダウン・ボックスから選択します) d ゲートウェイ e メトリック f [Apply] をクリックします。 デフォルト・ルートを追加するには、以下の手順に従います。 1 [Default Route] を選択します。[Add Default Route] ページが表示されます。 2 [Add Default Route] ページで次の項目を指定します。 a ゲートウェイ b メトリック c [Apply] をクリックします。 DNS [DNS] ページで、最大 3 つの DNS サーバの IP アドレスを定義できます。 ドメイン [Host and Domain Name] ページで、以下の手順に従います。 ■ ホスト名を指定します。 ■ ドメイン名を指定します。 ■ ドロップダウン・ボックスからプライマリ・インタフェースを選択します。ホスト 名は、このインタフェースの IP アドレスに関連付けられます。 第4章 設定 49 Web インタフェースの使用 Hosts(ホスト) このページを使用してホストのローカル解決を設定できます。 [New] をクリックして新 しいホストを追加したり、特定のホスト名のチェック・ボックスをオンにして[Delete] を クリックすることで既存のエントリを削除したりできます。 ホストを追加するには、以下の手順に従います。 1 [Next] をクリックします。[Add Host] ページが表示されます。 2 [Add Host] ページで、以下の手順に従います。 ■ ■ ホスト名を指定します。 ホストの IP アドレスを指定します。 3 [Apply] をクリックします。 Device(デバイス) デバイス・カテゴリを使用してデバイス自体を制御できます。このカテゴリには次の トピックが含まれています。 Control ■ ■ Date and Time ■ Backup ■ Upgrade ■ Administration Web Server ■ Device Administrators ■ Authentication Servers ■ Web and SSH Clients ■ Administrator Security ■ SmartCenter Administrators ■ SmartCenter GUI Clients ■ Download SmartConsole Applications Control このページには、コンピュータ上で実行されているすべてのプロセスに関する診断情報 が表示されます。各プロセスについて、ユーザ、PID、親の PID、CPU 使用率、メモリ使 用率、およびコマンドが表示されます。[Device Control] ドロップダウン・リストを使用 して、任意のチェック・ポイント製品を開始、再開、または停止できます。さらに、デバイ スをシャットダウンまたは再起動したり、サポートに役立つ診断ファイル(cpinfo の出力)を ダウンロードしたりできます。 [Refresh] をクリックして、ページに表示される情報を更新できます。 現在表示されている診断情報をファイルに保存できます。 50 Web インタフェースのレイアウト Date and Time このページでは、SecurePlatform の日付と時刻を定義できます。オプションで NTP を使用 できます。 [Date and Time Setup]ページで、現在の日付と時刻およびタイム・ゾーンの設定を入力でき ます。日付は、dd-Mon-yyyy(たとえば 31-Dec-2003)の形式で指定する必要があります。 時刻は HH:mm(たとえば 23:30)の形式で指定する必要があります。 NTP は、インターネット上のコンピュータのクロックを同期するために使用されます。 [Apply] をクリックして日付と時刻を設定します。 警告: 日付と時刻を変更しても[Apply] をクリックしないと変更は有効になりません。 Backup このページを使用してバックアップを設定できます。バックアップのスケジュールを設 定することも、すぐにバックアップ操作を実行することもできます。バックアップ・デー タは、TFTP サーバ、SCP サーバ、またはローカルに保存できます。さらに、バックアッ プ・ログを表示できます。 注: Unix/Linux がインストールされた TFTP サーバを保存用に使用する場合は、バックアップを実行 する前に、指定したバックアップ・ファイルと同じ名前のどこからでも書き込み可能なファイルを作成 する必要があります。そのようにしないと、バックアップは成功しません。TFTP サーバのマニュアル または TFTP プロトコルを参照して、作業している環境と util に互換性があることを確認してください。 SecurePlatform のバックアップ・メカニズムを使用して、動的な構成全体のスナップショッ トをエクスポートできます。あとで障害が発生したときには、以前の状態を復元するた めにエクスポートした設定をインポートできます。このメカニズムは、ソフトウェアの シームレスなアップグレードでも使用されます。 情報のバックアップ バックアップされる情報には次のものが含まれます。 ■ 管理 GUI で実行されたすべての設定 ■ ネットワーク設定データ ■ ユーザ設定(お気に入り、クレデンシャル、クッキーなど)のデータベース 一般的に次の 2 つのケースでバックアップが使用されます。 ■ 現在の設定が機能しなくなった場合に、以前のシステム状態に戻すために以前に エクスポートした設定を使用できることがあります。 第4章 設定 51 Web インタフェースの使用 新しい SecurePlatform のバージョンへのアップグレード。以下の手順が含まれます。 ■ ■ ■ ■ 現在のバージョンの設定のバックアップ 新しいバージョンのインストール バックアップした設定のインポート 設定可能なスケジュールに従ってバックアップを実行できます。 [Backup]ページに、 [Current device date and time]が表示されます。このフィールドには、 デバイスの現在のローカル時刻が表示されます。この時刻はブラウザのコンピュータ時 刻とは異なる場合があります。 スケジュールのステータスの表示 スケジュールのステータスを表示するには、以下の手順に従います。 [Scheduling Status] ペインには、以下の情報が表示されます。 ■ ■ Enabled: バックアップが現在有効になっています。 Backup to: バックアップ先として、現在の SecurePlatform、TFTP サーバ、SCP サーバのいずれかを指定できます。 ■ Start at:バックアップの開始時刻。 ■ Recur every:繰り返しのパターン。 バックアップの復元 バックアップを復元するには、デバイスから restore shell コマンドを実行します。 構文は次のとおりです。 restore [-h] [-d][[--tftp <ServerIP> <Filename>] | [--scp <ServerIP> <Username> <Password> <Filename>] | [--file <Filename>]] パラメータ 52 パラメータ 説明 -h 使用方法を取得します。 -d デバッグ・フラグ --tftp <ServerIP> [<Filename>] 設定の復元元の TFTP サーバの IP アドレスとファイル名。 --scp <ServerIP> <Username> <Password> [<Filename>] 設定の復元元の SCP サーバの IP アドレス、SCP サーバに アクセスするために使用されるユーザ名とパスワード、 およびファイル名。 --file <Filename> ローカルで実行される復元操作のためのファイル名を指定 します。 Web インタフェースのレイアウト 追加のフラグを指定せずに restore コマンド自体を実行すると、オプションのメニューが 表示されます。メニュー内のオプションは、restore コマンドのコマンド・ライン・フラグ と同じ機能を提供します。 Choose one of the following: ----------------------------------------------------------------[L] Restore local backup package [T] Restore backup package from TFTP server [S] Restore backup package from SCP server [R] Remove local backup package [Q] Quit ----------------------------------------------------------------- 操作を選択します。 古いバージョンの SecurePlatform のバックアップの復元 FP2、FP3、NG AI など古いバージョンの SecurePlatform のバックアップを復元する場合は、 ルート、IP の設定、VLAN インタフェースの構成、ユーザ・アカウント、ホスト名とドメ イン名、WebUI ポートなどのシステム設定のみが復元されます。 新 し い バ ー ジ ョ ン の SecurePlatform で 保 存 し た バ ッ ク ア ッ プ を 古 い バ ー ジ ョ ン の SecurePlatform に復元することはできません。たとえば、R55 で保存したバックアップを NG AI に復元することはできません。 restore で、現在インストールされているチェック・ポイント製品のバージョンが、バッ クアップ・ファイルに保存されているバージョンと一致しないことが検出されると、次の 情報が表示されます。 SecurePlatform NG AI R55 以降のバックアップから復元する場合 The following information will be restored: system -----------------------------------------------------------------The following information will NOT be restored: cp_products -----------------------------------------------------------------Choose one of the following: -----------------------------------------------------------------[C] Continue. [M] Modify which information to restore. [Q] Quit. -----------------------------------------------------------------Your choice: 第4章 設定 53 Web インタフェースの使用 [Continue] を選択すると、システム設定のみが復元されます。 SecurePlatform NG AI 以前のバックアップから復元する場合は、次の情報が表示されます。 Restoring... Backup file was created MM-DD-YYYY-HH:MM. The MD5 checksum of the backup file is: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Do you wish to restore this file (Y/N)? 「N」を入力すると、復元が中止されます。 The restore operation will replace current configuration. After restore you have to reboot your system. Do you wish to proceed (Y/N)? 「N」を入力すると、復元が中止されます。 Restore completed successfully. You have to reboot your system now. Reboot now (Y/N)? バックアップのスケジュール バックアップをスケジュールするには、以下の手順に従います。 1 [Backup] ページで[Scheduled backup] をクリックします。[Scheduled backup] ページが表示されます。 2 [Enable backup recurrence] チェック・ボックスをオンにします。 3 4 バックアップ・スケジュールを設定します。 バックアップを格納するデバイスを選択します。オプションには、現在の SecurePlatform、TFTP サーバ(Trivial File Transfer Protocol:ディレクトリまたはパス ワード機能を持たない TCP/IP FTP プロトコルのバージョン)、または SCP サーバ (SCP は安全な FTP プロトコル)があります。 5 [Apply] をクリックします。 バックアップを実行するには、以下の手順に従います。 ■ [Backup now] をクリックします。 バックアップ・ログの表示 バックアップ・ログを表示するには、以下の手順に従います。 ■ [View backup log] をクリックします。 [Backup Log] ページが表示されます。デバイ スの日付と時刻、場所(バックアップの送信先のデバイス)、場所の IP アドレス、 バックアップのステータスと詳細が表示されます。 アップグレード デバイスをアップグレードするには、以下の手順に従います。 54 Web インタフェースのレイアウト 1 アップグレード・パッケージ・ファイルを選択します。 2 [Upload package to device] をクリックします。 3 [Safe Upgrade] または[Double-Safe Upgrade] を選択します。 [Double-Safe Upgrade] を選択した場合は、アップグレード直後の設定した時間内に、 最初のログインがブラウザによって自動的に試行されます。この機能を有効にする には、[Upgrade] ページを開いたままにし、他のページを参照しないようにする必 要があります。そのようにしない場合は、上記の時間が経過する前に手動でログイ ンする必要があります。上記の時間内に手動でログインしない場合は、システムが 接続性が失われたと解釈して、保存されている状態をリセットします。 4 パッケージのアップグレードが終了したら、[package information] リンクをクリック して、バージョン情報やパッケージの MD5 チェックサムなどのパッケージに関する 詳細情報を表示できます。このチェックサムを使用して、パッケージが正しいこと を検証できます。 5 [Start Upgrade] をクリックします。 [Upgrade Status]ペインには、 [Action]、 [Start Time]、 [Status]、 [Details]などの情報が 表示されます。 Administration Web Server(管理 Web サーバ) このページを使用して、管理 Web サーバが待機している IP アドレスとポートを設定でき ます。 1 ボートを指定します。 2 [All] を選択する代わりにドロップダウン・リストからアドレスを選択できます。 この場合、Web サーバはその IP アドレスでのみ待機します。 3 [Apply] をクリックします。 Device Administrators(デバイス管理者) このページには、デバイス管理者が一覧表示され、デバイス管理者を作成したり、ワン タイム・ログイン・キーをダウンロードしたりできます。 デバイス管理者を作成するには、以下の手順に従います。 1 [Administrator Configuration]ページで[New]をクリックします。 [Add New Administrator] ページが表示されます。 2 デバイス管理者の名前とパスワードを指定します。 3 ドロップダウン・ボックスから認証スキームを選択します。 4 [Apply] をクリックします。 ワンタイム・ログイン・キーをダウンロードするには、以下の手順に従います。 第4章 設定 55 Web インタフェースの使用 1 [Download] をクリックします。 注: ワンタイム・ログイン・キーはパスワードを忘れた場合に必要になります。このファイルは安全な 場所に保存してください。 [Login Key Challenge] ページが表示されます。 2 チャレンジの質問と答えを指定して、ログイン・キーを不正なアクセスから保護し ます。 3 [OK] をクリックします。 Authentication Servers(認証サーバ) このページには、設定済みの RADIUS 認証サーバと認証サーバ・グループが表示されます。 このページではまた、新しい RADIUS サーバや新しい認証サーバ・グループを追加したり、 それらを削除したりすることもできます。. 注: すべての管理者は、サポートされているいずれかの認証メソッドを使用して認証される必要があり ます。管理者は、内部データベースを使用して認証する以外に、RADIUS を使用して認証することもで きます。 新しい RADIUS サーバを追加するには、以下の手順に従います。 1 [Authentication Servers]セクションで[New]をクリックします。 [New RADIUS Server] ページが表示されます。 2 [New RADIUS Server] ページで、以下の手順に従います。 ■ ■ 名前を指定します。 IP アドレスを指定します。 注: ポートとタイムアウトの値は事前に定義されています。 ■ 共有の秘密鍵を追加します。 3 [Apply] をクリックします。 新しい認証サーバ・グループを追加するには、以下の手順に従います。 1 [Authentication Server Group ] セクションで[New] をクリックします。[New Authentication Server Group] ページが表示されます。 2 [New Authentication Server Group] ページで、グループ名を指定し、 [Apply] をクリッ クします。 56 Web インタフェースのレイアウト Web/SSH Clients(Web/SSH クライアント) [Web/SSH Clients] ページには設定済みのクライアントの IP アドレスのリストが表示され ます。設定済みのクライアントの IP アドレスのみが SecurePlatform と SSH サービスへのア クセスを許可されます。Web/SSH クライアントを追加または削除できます。 Web/SSH クライアントを削除するには、以下の手順に従います。 ■ 特定の Web/SSH クライアントのチェック・ボックスをオンにし、[Delete] をクリッ クします。 Web/SSH クライアントを追加するには、以下の手順に従います。 1 [Web/SSH Clients]ページで[Add]をクリックします。 [Add Web/SSH Client]ページが 表示されます。 2 IP アドレス、解決可能な名前、または Web クライアントのネットワークを追加でき ます。 注: ホスト名にワイルドカードまたは「any」を含めることもできます。any を指定すると、すべての Web/SSH クライアントからの接続が有効になります。 3 [Apply] をクリックします。 Administrator Security(管理者のセキュリティ) [Administrator Security]ウィンドウで、管理者のセキュリティ・パラメータを設定できます。 管理者のセキュリティ・パラメータを設定するには、以下の手順に従います。 1 [Administrator Session Timeout] の値を設定します。 2 [Administrator Login Restrictions] セクションで、[Lock Administrator’s account after <x> login failures] を有効にして設定します。 3 [Unlock Administrator’s account after <y> minutes] を設定します。 4 [Apply] をクリックします。 SmartCenter Administrators(SmartCenter 管理者) [SmartCenter Administrators]ページには、設定済みの管理者が一覧表示されます。管理者 が設定されていない場合は、このページで SmartCenter 管理者を追加できます。この SmartCenter 管理者は、SmartCenter に対する読み取り / 書き込み権限を持ち、SmartCenter 管理者アカウントの管理を許可されます。 このリストには 1 人の管理者のみを追加できます。複数の管理者を追加するには、 SmartDashboard を使用する必要があります。 SmartCenter 管理者を削除するには、特定の SmartCenter 管理者のチェック・ボックスをオン [Remove] をクリックします。 にし、 第4章 設定 57 Web インタフェースの使用 [Add a SmartCenter Administrator]ページで、管理者名とパスワードを入力します。 [Apply] をクリックします。 SmartCenter GUI Clients(SmartCenter GUI クライアント) [SmartCenter GUI Clients]ページには、設定済みの GUI クライアントのタイプ、ホスト名、 IP アドレス、およびネットマスクが表示され、GUI クライアントを追加または削除できます。 GUI クライアントを削除するには、特定の GUI クライアントのチェック・ボックスをオン [Remove] をクリックします。新しい GUI クライアントを追加するには、 [Add] を にし、 クリックします。[Add a GUI Client] ページで、ホスト名またはネットワーク名を入力で きます。ホスト名にワイルドカード、IP アドレスの範囲、または「any」を含めることも できます。any を指定すると、すべての GUI クライアントからの接続が有効になります。 [Apply] をクリックします。 製品設定 製品カテゴリを使用して、デバイスにインストールされている製品を定義し 。 ([Products] ページ)、これらの製品にライセンスを適用できます([Licenses] ページ) Products Installed(インストール済みの製品) このページを使用して、コンピュータにすでにインストールされている製品を表で確認 できます。 注: VPN-1 Pro は、常にインストールされている必要があります。 認証局 Internal Certificate Authority(内部認証局) 管理ステーション、モジュール、ユーザ、およびシステムで使用される OPSEC アプリケー ションなどの信頼されたエントリの証明書発行を行うエンティティ。 [Certificate Authority]ページ [Certificate Authority]ページには、SmartCenter 認証局の主要なパラメータが一覧表示され ます。次のパラメータが表示されます。 Certificate Authority Status ■ ■ SmartCenter DN ■ Fingerprint [Reset] をクリックすると、現在のパラメータの値が表示されます。 58 Web インタフェースのレイアウト Licenses [Licenses] ページを使用して、インストールした製品のライセンスを適用します。 ライセンスを適用するには、以下の手順に従います。 1 [Check Point User Center] リンクをクリックして、ユーザ・センターからライセンスを 取得できます。 2 [Next] をクリックします。 3 [IP Address]、[Expiration Date]、 [SKU/Features]、および[Signature Key] に値を入力 します。 4 ライセンス文字列をクリップボードにコピーし、[Paste License] をクリックしてす べての情報をフィールドにコピーできます。 5 作業が終了したら[Apply] をクリックします。 注: SmartUpdate を使用してライセンスを適用することもできます。 ログアウト システムからログアウトするには、 [Logout] をクリックします。 [Logon] ページが表示 されます。 最初の再起動とログイン インストール後にシステムを再起動するとすぐに[SecurePlatform NGX Boot Loader] 画面 が表示されます。 注: ブート・ローダはコンピュータに接続されたコンソールに表示されます。コンソールは、コン ピュータに接続されたモニタとキーボードの場合もあれば、最初のシリアル・ポート(com1)に接続 されたシリアル・コンソールの場合もあります。 ブート・ローダでは、起動オプションを選択できます。デフォルトでは、ユーザが介入 しない場合、数秒後に最初のオプションが選択されます。ここは、このオプションを実 行します。ブート・ローダの詳細については、117 ページの「SecurePlatform のブート・ ローダ」を参照してください。 再起動が完了すると、ログイン・プロンプトが表示されます。 第4章 設定 59 最初の再起動とログイン 60 第 5 章 管理 この章の構成 SecurePlatform システムの管理 62 ページ SecurePlatform シェル 68 ページ SNMP サポート 109 ページ チェック・ポイントのダイナミック・ルーティング 113 ページ SecurePlatform のブート・ローダ 117 ページ この章では、SecurePlatform システムの管理方法、SecurePlatform のシェル・コマンドの使 用方法、および SecurePlatform で使用するための SNMP の設定方法を説明します。また、 ダイナミック・ルーティング機能とブート・ローダ機能についても説明します。 61 SecurePlatform システムの管理 SecurePlatform システムの管理 このセクションの構成 Secure Shell を使用した SecurePlatform への接続 62 ページ ユーザ管理 63 ページ SecurePlatform 管理者 64 ページ FIPS 140-2 に準拠するシステム 66 ページ TFTP の使用 66 ページ バックアップとリストア 67 ページ このセクションでは、SecurePlatform コマンド・シェルを使用して SecurePlatform NGX シ ステムを管理する方法を説明します。 コマンド・シェルは、システムのさまざまな側面の設定、管理、および診断に必要なコ マンド・セットを提供します。セキュリティ、VPN、および QoS ポリシーを管理するには、 以下のいずれかを使用します。 ■ Enterprise 製品用の SmartConsole ■ VPN-1 SmallOffice 用の VPN-1 SmallOffice NG Web GUI SmartConsole の詳細については、 『SmartCenter』と該当する製品のリリース・ノートを参照 してください。 Secure Shell を使用した SecurePlatform への接続 SecurePlatform NGX は、SecurePlatform システムへの安全で、認証された暗号化アクセス を可能にする SSH サービスを提供します。 SSH(Secure SHell)は、2 つのシステム間に安全な接続を作成するプロトコルです。SSH プロトコルでは、クライアント・コンピュータがサーバ・コンピュータとの接続を開始 します。以下の保護機能が SSH によって提供されます。 ■ ■ ■ クライアントは、最初に接続したあと、以降のセッションで同じサーバに接続して いることを確認できます。 クライアントは、ユーザ名やパスワードなどの認証情報を暗号化形式でサーバに送 信できます。 接続中に送受信されるすべてのデータは、強力な暗号化を使用して転送されるので、 復号化と読み取りが非常に困難です。 SSH サービスはデフォルトで実行されます。また、SSH サービスへのアクセスは、Web UI へのアクセスが許可された IP に制限されます。SSH により SecurePlatform システムにアク セスが許可されるコンピュータの詳細制御は、VPN-1 Pro セキュリティ・ポリシーを使用 して設定できます。 62 ユーザ管理 SSH ログインは、標準モード・アカウントのユーザ名とパスワードのみを使用して許可さ れます。SCP サービスおよびクライアント・ファイルは、SCP クライアント・ソフトウェ アを使用して SecurePlatform 間でコピーできます。SCP へのアクセスは、/etc/scpusers を 編集して制御されます。 ユーザ管理 SecurePlatform シェルには、標準とエキスパートの 2 つのアクセス許可レベル(モード)が あります。 標準モード これは、SecurePlatform システムにログインする場合のデフォルト・モードです。標準 モードでは、SecurePlatform シェルは、SecurePlatform システムの設定や日常管理を簡単 に行うために必要なコマンド・セットを提供します。ほとんどのシステム・コマンドは、 このモードではサポートされていません。68 ページの「SecurePlatform シェル」に、 標準モードのコマンドを示します。 標準モードでは、[hostname]# というプロンプトが表示されます。hostname はコン ピュータのホスト名です。 エキスパート・モード エキスパート・モードでは、システム・ルートへのフル・アクセス許可とフル・シス テム・シェルがユーザに与えられます。標準モードからエキスパート・モードに切り 替えるにはパスワードが必要です。初めてエキスパート・モードに切り替えるときに、 パスワードを入力するよう要求されます。それまでは、標準モードで設定したパス ワードと同じです。 管理者ユーザとしてログイン時に使用したパスワードを、最初に置き換えるパスワー ドとして入力する必要があります。管理者パスワードを何回変更しても、初回のエキ スパート・ユーザ・パスワード変更時に入力する必要のあるエキスパート・パスワード は更新されません。エキスパート・モードを終了するには exit コマンドを実行します。 エキスパート・モードでは、[Expert@hostname]# というプロンプトが表示されます。 hostname はコンピュータのホスト名です。 警告: エキスパート・モードは注意して使用する必要があります。オープンなシェルで柔軟性があり、 ルート・アクセス許可を持っているので、システムで管理エラーが発生する可能性があります。 注: エキスパート・ユーザはまず標準ユーザとしてログインし、次に expert コマンドを入力してエキ スパート・モードにアクセスする必要があります。エキスパート・パスワードは、パスワードを変更する までは標準モードで設定したパスワードと同じです。つまり、管理者ユーザとしてログイン時に使用し たパスワードを、最初に置き換えるパスワードとして入力する必要があります。何回管理者パスワード を変更しても、初回のエキスパート・ユーザ・パスワード変更時に入力する必要のあるエキスパート・ パスワードは更新されません。 第5章 管理 63 SecurePlatform システムの管理 SecurePlatform 管理者 SecurePlatform NGX は、通常のシェルに対する複数の管理者アクセスをサポートしてい ます。これを使用して、管理者が行った設定変更を監査できます。このようなすべての 変更は、管理者のユーザ名をタグとして使用して、システムの syslog メカニズムに記録 されます。 cpshell から別の管理者を設定するには、以下のコマンドを使用します。 adduser [-x EXTERNAL_AUTH] <user name> 注: SecurePlatform Pro のみが SecurePlatform 管理者の RADIUS 認証をサポートしています。 管理者のパスワードを入力して確認するよう要求されます。パスワードは、以下の複雑 な要件に従って入力する必要があります。 ■ 長さは 6 文字以上にする。 ■ アルファベットと数字を混ぜる。 ■ 異なる文字を 4 つ以上使用する。 ■ 辞書に載っている簡単な単語や「qwerty」などの一般的な文字列を使用しない。 cpshell から管理者を削除するには、以下のコマンドを使用します。 deluser <name> Web GUI を使用して追加の管理者を定義することもできます。 RADIUS による管理者の認証方法 すべての管理者は、サポートされている認証方法のいずれかによって認証する必要があ ります。内部データベースを介した認証の場合と同様に、RADIUS を使用して管理者を認 証することもできます。SecurePlatform 管理者は、以下の 2 つ方法で RADIUS サービスを 使用して認証できます。 1) RADIUS サーバを介してローカル・ユーザ認証を設定する方法。この場合には、すべて の SecurePlatform コンピュータで、RADIUS サーバによって認証されるすべてのユー ザを定義する必要がありますが、RADIUS グループを定義する必要はありません。 2) RADIUS グループの一覧を定義する方法。SecurePlatform で定義された RADIUS グルー プに属するすべてのユーザは、認証してログインを実行できます。 64 SecurePlatform 管理者 RADIUS グループを利用するオプションは、各 SecurePlatform コンピュータですべての RADIUS ユーザを定義する必要がなくなるので、柔軟性が増します。 any と呼ばれる特別な RADIUS グループがあります。このグループがグループ・リストに 入っている場合は、RADIUS サーバで定義されたすべてのユーザは SecurePlatform コン ピュータにログインできます。 RADIUS を使用して管理者を認証するには、以下の手順に従います。 1 RADIUS サーバが設定されていることを確認します。RADIUS サーバが設定されて いない場合は、以下のコマンドを使用してサーバを追加します。 radius servers add <server[:port]> <secret> <timeout> <label> 2 少なくとも以下のいずれかに該当することを確認します。 a RADIUS サーバを使用して認証するユーザが、RADIUS 認証方法を使用すると して SecurePlatfrom で設定されている。RADIUS によって認証するローカル・ ユーザは、以下のコマンドを使用して定義できます。 radius users add <username> b 少なくとも 1 つの RADIUS グループが設定され、RADIUS サーバで定義された ユーザがそのグループに属している。RADIUS グループは、以下のコマンド・ ラインを使用して定義できます。 radius groups add <groupname> 3 以下のコマンドを使用して、管理者を RADIUS ユーザとして定義します。 radius users add <username> 以下のコマンドを使用して、RADIUS 設定を監視および変更できます。 RADIUS サーバを制御するには、以下のコマンドを使用します。 ■ ■ ■ radius servers show radius servers add <server[:port]> <secret> <timeout> radius servers del <server[:port]> RADIUS ユーザ・グループを制御するには、以下のコマンドを使用します。 ■ ■ ■ radius groups show radius groups add <groupname> radius groups del <groupname> ローカル RADIUS ユーザを制御するには、以下のコマンドを使用します。 ■ ■ ■ radius users radius users radius users show add <username> del <username> 第5章 管理 65 SecurePlatform システムの管理 FIPS 140-2 に準拠するシステム FIPS(Federal Information Processing Standard)140-2 は SecurePlatform の動作に一定の制約を 課します。FIPS 140-2 に準拠するシステムの管理者は、以下のようにシステムを設定する 必要があります。 cpshell から以下のコマンドを実行します。 fips on このコマンドは以下の処理を行います。 1 システムをネットワークに接続する前に、すべての実行可能プログラム、スクリプ ト、および設定ファイルの完全性を確認する完全性チェックを追加します。 2 失敗したログイン試行回数のしきい値を超えた管理者のアカウントをロックするポ リシーを実施します(下の「管理者アカウントのロック・アウト」を参照)。 3 Web GUI デーモンを削除して、Web GUI を無効にします。 4 Check Point Remote Installation デーモンを削除して、SmartUpdate を無効にします。 5 VPN-1 Pro のデフォルト・フィルタを設定して「すべての着信を破棄します」。 管理者アカウントのロック・アウト 1 分間に 3 回ログオン試行に失敗した管理者のアカウントは、60 分間ロックされます。 この機能は lockout コマンドを使用して設定できます。 TFTP の使用 TFTP(Trivial File Transfer Protocol)は、SecurePlatform システムとの間でインストール・ ファイルなどのファイルを簡単に転送する方法です。TFTP を利用できる SecurePlatform メカニズムは以下のとおりです。 ■ backup/restore ユーティリティ ■ patch ユーティリティ — ソフトウェアのアップデートに使用します。 ■ diag ユーティリティ — 各種の診断情報の取得に使用します。 注: インターネットからフリーウェアおよびシェアウェアの TFTP サーバを入手できます。 ベンダーの指示に従って TFTP サーバをセットアップし、ファイルの送受信を許可するよ うにサーバを設定します。 警告: TFTP は、暗号化も認証もされないプロトコルです。TFTP サーバは内部ネットワークのみで実 行してください。 66 バックアップとリストア バックアップとリストア SecurePlatform NGX は、システム設定と製品構成のバックアップを行うためのコマンド・ ライン機能または Web GUI 機能を提供します。 backup ユーティリティは、ローカルの SecurePlatform コンピュータのハード・ドライブ、ま たはリモートの TFTP サーバや SCP サーバにバックアップを保存できます。バックアップは 要求に応じて実行するか、設定した間隔で実行するようにスケジュール設定できます。 バックアップ・ファイルは tar gzipped 形式(.tgz)で保存されます。ローカルに保存され たバックアップ・ファイルは /var/CPbackup/backups に保持されます。 restore コマンド・ライン・ユーティリティは、バックアップ・ファイルから SecurePlatform の設定または製品構成を復元するのに使用されます。 注: エキスパート・アクセス許可を持つ管理者のみが、SecurePlatform NGX システムのディレクトリ に直接アクセスできます。restore コマンドを実行するにはエキスパート・パスワードが必要です。 backup と restore ユーティリティの詳細については、75 ページの「backup」と 77 ページの 「restore」を参照してください。 第5章 管理 67 SecurePlatform シェル SecurePlatform シェル このセクションの構成 コマンド・シェル 68 ページ 管理コマンド 70 ページ ドキュメント・コマンド 71 ページ 日時コマンド 71 ページ システム・コマンド 74 ページ スナップショット・イメージの管理 80 ページ システム診断コマンド 82 ページ チェック・ポイント・コマンド 84 ページ ネットワーク診断コマンド 94 ページ ネットワーク設定コマンド 99 ページ ダイナミック・ルーティング・コマンド 107 ページ ユーザ・コマンドと管理者コマンド 107 ページ このセクションでは、SecurePlatform のすべてのシェル・コマンドの一覧を示します。 これらのコマンドは、システムのさまざまな設定、管理、および診断に必要です。 注: すべてのコマンドで大文字と小文字が区別されます。 コマンド・シェル コマンド・セット 使用可能なコマンドの一覧を表示するには、コマンド・プロンプトで「?」または「help」 と入力します。多くのコマンドは、--help パラメータを付けるか、パラメータを付けず に実行すると、短い使用方法の説明が表示されます。 68 コマンド・シェル コマンド・ラインの編集 SecurePlatform コマンド・シェルはコマンド・ライン編集規約に従っています。上または 下方向キーを使用して、以前に入力したコマンドにスクロールできます。使用するコマン ドが表示されたら、編集したり、Enter キーを押して実行できます。コマンド・プロンプト で入力したコマンドの履歴を表示するには、audit コマンドを使用します(74 ページの 「audit」を参照)。 表 5-1 コマンド・ライン編集用キー キー コマンド 右方向キー /^f カーソルを右に移動します。 左方向キー /^b カーソルを左に移動します。 Home/^a カーソルを行の先頭に移動します。 End/^e カーソルを行末に移動します。 Backspace/^h 最後の文字を削除します。 ^d カーソル位置の文字を削除します。 ^u 行を削除します。 ^w カーソルの左側の 1 単語を削除します。 ^k カーソル位置から行末までを削除します。 上方向キー /^p 前のコマンドを表示します。 下方向キー /^n 次のコマンドを表示します。 コマンド出力 一部のコマンド出力は複数の画面に表示される場合があります。デフォルトでは、1 つの 画面と -More- プロンプトが表示されます。任意のキーを押すと、コマンド出力の残りが 続けて表示されます。 More 機能は、scroll コマンドを使用してオン / オフを切り替えできます。 第5章 管理 69 SecurePlatform シェル 管理コマンド このセクションの構成 exit 70 ページ エキスパート・モード 70 ページ passwd 70 ページ exit 現在のモードを終了します。 ■ 標準モードでは、シェルを終了します(SecurePlatform システムからログアウトします) 。 ■ エキスパート・モードでは、標準モードに戻ります。 構文 exit エキスパート・モード 標準モードからエキスパート・モードに切り替えます。 構文 expert 説明 expert コマンドを入力したあとに、エキスパート・パスワードを入力します。パスワード が確認されると、エキスパート・モードに切り替わります。 passwd パスワードの変更は、両方のモードで実行できます。標準モードでパスワードを変更する と、ログイン・パスワードが変更されます。エキスパート・モードでパスワードを変更す ると、エキスパート・モードのパスワードおよびブート・ローダのパスワードが変更され ます。エキスパート・モードに初めて切り替えるときは、標準モードのパスワードを入力 する必要があります。つまり、管理者ユーザとしてログイン時に使用したパスワードを、最 初に置き換えるパスワードとして入力する必要があります。何回管理者パスワードを変更 しても、初回のエキスパート・ユーザ・パスワード変更時に入力する必要のあるエキス パート・パスワードは更新されません。エキスパート・モードのパスワードを変更します。 エキスパート・モードのパスワードを変更したあとに、新しいパスワードを使用してエキ スパート・モードでのアクセスを行う必要があります。 70 ドキュメント・コマンド 構文 passwd ドキュメント・コマンド このセクションの構成 help 71 ページ help 使用可能なコマンドとその説明を一覧表示します。 構文 help または ? 日時コマンド このセクションの構成 date 71 ページ time 72 ページ timezone 72 ページ ntp 73 ページ ntpstop 73 ページ ntpstart 73 ページ date システムの日付を表示または設定します。日付や時刻を変更すると、ハードウェアのク ロックに影響します。 構文 date [MM-DD-YYYY] 第5章 管理 71 SecurePlatform シェル パラメータ 表 5-2 date コマンドのパラメータ パラメータ 意味 MM-DD-YYYY 設定する日付を指定します。最初の 2 桁(MM)は月(01 ~ 12) 、 次の 2 桁(DD)は日付(01 ~ 31) 、最後の 4 桁(YYYY)は年です。 time システムの時刻を表示または設定します。日付や時刻を変更すると、ハードウェアのク ロックに影響します。 構文 time [HH:MM] パラメータ 表 5-3 time コマンドのパラメータ パラメータ 意味 HH:MM 設定する時刻です。最初の 2 桁(HH)は時(00 ~ 23)、最後の 2 桁(HH) は分(00 ~ 59)を表します。 timezone システムのタイム・ゾーンを設定します。 構文 timezone [-show | --help] パラメータ 表 5-4 timezone コマンドのパラメータ パラメータ 意味 パラメータを入力しない場合は、対話型モードのタイム・ゾーンの選択が 表示されます。 72 -show 現在選択されているタイム・ゾーンを表示します。 --help ヘルプを表示します。 日時コマンド ntp Network Time Protocol ポーリング・クライアントを設定および起動します。 構文 ntp <MD5_secret> <interval> <server1> [<server2>[<server3>]] ntp -n <interval> <server1> [<server2>[<server3>]] パラメータ 表 5-5 ntp コマンドのパラメータ パラメータ 意味 MD5_secret NTP サーバに対する認証に使用するプリシェアード・シーク レットを指定します。認証が不要な場合は「-n」を使用します。 interval ポーリング間隔を分単位で指定します。 server[1,2,3] NTP サーバの IP アドレスまたは解決可能な名前を指定します。 ntpstop NTP サーバのポーリングを停止します。 構文 ntpstop ntpstart NTP サーバのポーリングを開始します。 構文 ntpstart 第5章 管理 73 SecurePlatform シェル システム・コマンド このセクションの構成 audit 74 ページ backup 75 ページ 例 76 ページ patch 77 ページ restore 77 ページ shutdown 80 ページ ver 80 ページ audit 特定のセッションでシェルに入力されたコマンドを表示または編集します。監査の設定 はセッション間で維持されません。 構文 audit setlines <number_of_lines> audit show <number_of_lines> audit clear <number_of_lines> パラメータ 表 5-6 74 audit コマンドのパラメータ パラメータ 意味 lines<number_of_lines> 表示できるコマンド履歴の長さを <number_of_lines> に制限します。 show <number_of_lines> 最近入力した <number_of_lines> 個のコマンドを 表示します。 clear コマンド履歴を消去します。 システム・コマンド backup システム設定のバックアップを作成します。バックアップの信頼性を向上させるために、 複数のSCPサーバやTFTPサーバにバックアップ・ファイルをコピーすることもできます。 追加のフラグなしに backup コマンドを単独で実行すると、デフォルトのバックアップ設 定に従ってローカル・バックアップが実行されます。 構文 backup [-h] [-d] [-l] [--purge DAYS] [--sched [on hh:mm <-m DayOfMonth> | <-w DaysOfWeek>] | off] [[--tftp <ServerIP> [-path <Path>] [<Filename>]] | [--scp <ServerIP> <Username> <Password> [-path <Path>][<Filename>]] | [--file [-path <Path>][<Filename>]] パラメータ 表 5-7 backup コマンドのパラメータ パラメータ 意味 -h ヘルプを表示します。 -d デバッグを実行します。 -l VPN-1 Pro のログをバックアップします(デフォルトでは、 VPN-1 Pro のログはバックアップされません)。 --purge DAYS 以前に作成したバックアップから古いバックアップを削除し ます。 [--sched [on hh:mm <-m DayOfMonth> | <-w DaysOfWeek>] | off] バックアップ実行間隔のスケジュールを設定します。 ■ on - 時刻と曜日または日付を指定します。 ■ off - スケジュールを無効にします。 --tftp <ServerIP> [-path <Path>][<Filename>] 設定のバックアップ先にする TFTP サーバの IP アドレス 一覧と、オプションでファイル名を指定します。 --scp <ServerIP> <Username> <Password>[path <Path>] [<Filename>] 設定のバックアップ先にする SCP サーバの IP アドレス 一覧、SCP サーバへのアクセスに必要なユーザ名とパス ワード、およびオプションでファイル名を指定します。 --file [-path <Path>]<Filename> バックアップをローカルで実行するときは、オプションで ファイル名を指定します。 注: ファイル名を指定しない場合は、¥backup_gateway1.mydomain.com_13_11_2003_12_47.tgzz とい う形式のデフォルトの名前が付けられます。 第5章 管理 75 SecurePlatform シェル 例 backup -file -path /tmp filename (バックアップ・ファイルはローカルの /tmp に 入れられ、filename の名前が付けられます ) backup -tftp <ip1> -path tmp -tftp <ip2> -path var file1 -scp <ip3> username1 password1 -path /bin file2 -file file3 --scp <ip4> username2 password2 file4 --scp <ip5> username3 password3 -path mybackup バックアップ・ファイルは以下の場所に保存されます。 1 ip1 の TFTP サーバの tmp ディレクトリ(TFTP サーバのデフォルト・ディレクトリ、 通常は /tftproot の下にあります)に、デフォルト・ファイル名 backup_SystemName_TimaStamp.tgz で。 2 ip2 の TFTP サーバの var ディレクトリ(TFTP サーバのデフォルト・ディレクトリ、 通常は /tftproot の下にあります)に、file1 として。 3 ip3 の SCP サーバの /bin ディレクトリに、file2 として。 4 ローカルのデフォルト・ディレクトリ(/var/CPbackup/backups)に、file3 として。 5 ip4 の SCP サーバで、username2 のホーム・ディレクトリに file4 として。 6 ip5 の SCP サーバで、~username3/mybackup/ ディレクトリにデフォルトのバック アップ・ファイル名を付けて。 reboot システムを再起動します。 構文 reboot 76 システム・コマンド patch アップグレード・ファイルや修正ファイルを適用します。 注: patch ユーティリティを最新バージョンに置き換える時期については、リリース・ノートを参照し てください。 構文 patch patch patch patch patch add add add add log scp <ip_address> <patch_name> [password (in expert mode)] tftp <ip_address> <patch_name> cd <patch_name> <full_patch_path> パラメータ 表 5-8 patch コマンドのパラメータ パラメータ 意味 add 新しいパッチをインストールします。 log インストールされているすべてのパッチを一覧表示します。 scp SCP サーバからインストールします。 cd CD からインストールします。 tftp TFTP サーバからインストールします。 ip パッチが存在する TFTP サーバの IP アドレスを指定します。 patch_name インストールするパッチの名前を指定します。 password エキスパート・モードのパスワードを指定します。 full_patch_path パッチ・ファイルの完全なパス(たとえば、 /var/tmp/mypatch.tgz)を指定します。 restore システム設定を復元します。 構文 restore [-h] [-d][[--tftp <ServerIP> <Filename>] | [--scp <ServerIP> <Username> <Password> <Filename>] | [--file <Filename>]] 第5章 管理 77 SecurePlatform シェル パラメータ パラメータ 意味 -h ヘルプを表示します。 -d デバッグを実行します。 --tftp <ServerIP> [<Filename>] 設定の復元元の TFTP サーバの IP アドレスとファイル名を 指定します。 --scp <ServerIP> <Username> <Password> [<Filename>] 設定の復元元の SCP サーバの IP アドレス、SCP サーバへの アクセスに必要なユーザ名とパスワード、およびファイル名 を指定します。 --file <Filename> 復元操作をローカルで実行する場合にファイル名を指定し ます。 追加のフラグなしに restore コマンドを単独で実行すると、以下に示すオプションのメ ニューが表示されます。メニュー内の各オプションは、コマンド・ラインのフラグと同 じ機能を restore コマンドに提供します。 Choose one of the following: ----------------------------------------------------------------[L] Restore local backup package [T] Restore backup package from TFTP server [S] Restore backup package from SCP server [R] Remove local backup package [Q] Quit --------------------------------------------------------------- 必要な操作を選択してください。 古いバージョンの SecurePlatform のバックアップの復元 FP2、FP3、NG AI などの古いバージョンの SecurePlatform のバックアップを復元した場合 は、ルート、IP 設定、VLAN インタフェース設定、ユーザ・アカウント、ホスト名とドメ イン名、WebUI ポートなどのシステム設定のみが復元されます。 新 し い バ ー ジ ョ ン の SecurePlatform で 保 存 さ れ た バ ッ ク ア ッ プ を 古 い バ ー ジ ョ ン の SecurePlatform で復元することはできません。たとえば、R55 で保存されたバックアップを NG AI で復元することはできません。 restore コマンドで、現在インストールされているチェック・ポイント製品のバージョンが バックアップ・ファイルに保存されているバージョンに一致しないことが検出されると、 以下の情報が表示されます。 78 システム・コマンド SecurePlatform NG AI R55 以降のバックアップから復元する場合 The following information will be restored: system -----------------------------------------------------------------The following information will NOT be restored: cp_products ------------------------------------------------------------------ Choose one of the following: -----------------------------------------------------------------[C] Continue. [M] Modify which information to restore. [Q] Quit. -----------------------------------------------------------------Your choice: 操作を続行すると、システム設定のみが復元されます。 SecurePlatform NG AI 以前のバックアップから復元する場合には、以下の情報が表示され ます。 Restoring... Backup file was created MM-DD-YYYY-HH:MM. The MD5 checksum of the backup file is: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Do you wish to restore this file (Y/N)? 「N」を選択すると、復元操作が中止されます。 The restore operation will replace current configuration. After restore you have to reboot your system. Do you wish to proceed (Y/N)? 「N」を選択すると、復元操作は中止されます。 Restore completed successfully. You have to reboot your system now. Reboot now (Y/N)? 第5章 管理 79 SecurePlatform シェル shutdown システムをシャット・ダウンします。 構文 shutdown ver SecurePlatform システムのバージョンを表示します。 構文 ver スナップショット・イメージの管理 このセクションの構成 revert 80 ページ snapshot 81 ページ システム全体のスナップショットを作成するコマンドと、スナップショットからシステ ムを復元するコマンドが用意されています。システムはいつでも復元でき、使用可能な 任意のスナップショットから起動するオプションが起動時に表示されます。これにより、 設定変更に伴うリスクを大幅に軽減できます。 snapshot コマンドと revert コマンドでは、 TFTPサーバやSCPサーバを使用してスナップ ショットを保存できます。スナップショットをローカルに保存することもできます。 コマンドの詳細は以下のとおりです。 revert スナップショット・ファイルからシステムを再起動します。追加のフラグなしに revert コ マンドを単独で実行すると、デフォルトのバックアップ設定に従って、システムがロー カル・スナップショットから再起動されます。 revert 80 [-h] [-d] [[--tftp <ServerIP> <Filename>] | [--scp <ServerIP> <Username> <Password> <Filename>] | [--file <Filename>]] スナップショット・イメージの管理 パラメータ 表 5-9 revert コマンドのパラメータ パラメータ 意味 -h ヘルプを表示します。 -d デバッグを実行します。 --tftp <ServerIP> <Filename> 再起動に使用するスナップショットが保存されている TFTP サーバの IP アドレスと、スナップショットのファイル名を 指定します。 --scp <ServerIP> <Username> <Password> <Filename> 再起動に使用するスナップショットが保存されている SCP サーバの IP アドレス、SCP サーバへのアクセスに必要な ユーザ名とパスワード、およびスナップショットのファイル 名を指定します。 --file <Filename> スナップショットをローカルに作成する場合のファイル名を 指定します。 revert コマンド機能は[Snapshot image management] 起動オプションからもアクセスでき ます。 snapshot このコマンドはスナップショット・ファイルを作成します。追加のフラグなしに snapshot コマンドを単独で実行すると、デフォルトのバックアップ設定に従ってローカル・スナッ プショットが作成されます。 構文 snapshot [-h] [-d] [[--tftp <ServerIP> <Filename>] | [--scp <ServerIP> <Username> <Password> <Filename>] | [--file <Filename>]] パラメータ 表 5-10 snapshot コマンドのパラメータ パラメータ 意味 -h ヘルプを表示します。 -d デバッグを実行します。 第5章 管理 81 SecurePlatform シェル 表 5-10 snapshot コマンドのパラメータ(続き) パラメータ 意味 --tftp <ServerIP> <Filename> スナップショットの作成先にする TFTP サーバの IP アドレス と、スナップショットのファイル名を指定します。 --scp <ServerIP> <Username> <Password> <Filename> スナップショットの作成先にする SCP サーバの IP アドレス、 SCP サーバへのアクセスに必要なユーザ名とパスワード、 およびスナップショットのファイル名を指定します。 --file <Filename> スナップショットをローカルに作成する場合のファイル名を 指定します。 システム診断コマンド このセクションの構成 diag 82 ページ log 83 ページ top 83 ページ diag システムの診断情報(diag ファイル)を表示または送信します。 構文 diag <log_file_name> tftp <tftp_host_ip_address> パラメータ 表 5-11 diag コマンドのパラメータ 82 パラメータ 意味 log_file_name 送信するログ・ファイルの名前を指定します。 tftp TFTP を使用して診断情報をアップロードします(将来、ほかの アップロード方式が追加される可能性があります)。 tftp_host_ip_address 診断情報を受け取るホストの IP アドレスを指定します。 システム診断コマンド log 使用可能なログ・ファイルの一覧表示、ログ・ローテーション・パラメータの適用、リス ト内のログ・ファイルのインデックス指定、および表示するログの行数指定を行います。 構文 log log log log log --help list limit <log-index><max-size><backlog-copies> unlimit <log-index> show <log-index> [<lines>] パラメータ 表 5-12 log コマンドのパラメータ パラメータ 意味 list 使用可能なログ・ファイルの一覧を表示します。 limit ログ・ローテーション・パラメータを適用します。 unlimit ログ・サイズの制限を除去します。 log-index リスト内のログ・ファイルのインデックスを指定します。 max-size ログ・ファイルのサイズをバイト単位で指定します。 backlog-copies ログ・ファイルのバックログ・コピー数を指定します。 lines 表示するログの行数を指定します。 top システムで実行している上位 15 のプロセスを表示し、その情報を定期的に更新します。 CPU 使用率に基づいてプロセスの順位を設定します。 構文 top 第5章 管理 83 SecurePlatform シェル チェック・ポイント・コマンド このセクションの構成 cpconfig 84 ページ cpstart 87 ページ cpstop 87 ページ fw 87 ページ cpinfo 88 ページ cpstat 89 ページ cplic 89 ページ cpshared_ver 90 ページ cphastart 90 ページ cphastop 90 ページ cphaprob 91 ページ fwm 92 ページ vpn 93 ページ LSMcli 94 ページ LSMcli 94 ページ LSMenabler 94 ページ cpconfig cpconfig は、設定オプションの画面を表示します。表示されるタブは、インストールされて いる設定と製品によって異なります。表 5-13 に、各タブとそれぞれのフィールドの概要を 示します。詳細については、 『導入の手引き』の第 5 章「Installing and Configuring VPN-1 Pro」 と『SmartCenter』の第 1 章「SmartCenter Overview」を参照してください。 構文 cpconfig 注: 以下のオプション(表 5-13)の一部はモジュールでのみ使用可能で、一部は管理サーバでのみ使用 可能です。ここでは、参照しやすいようにすべてのオプションを示します。 84 チェック・ポイント・コマンド 表 5-13 設定オプション Welcome to VPN-1 Pro Configuration Program. ============================================ This program will let you re-configure your VPN-1 Pro configuration. ---------------------(1) Licenses (2) Administrators (3) GUI clients (4) SNMP Extension (5) Groups (6) PKCS#11 Token (7) Random Pool (8) Certificate Authority (9) Secure Internal communication (10) CA Keys (11) Fingerprint (12) Enable ClusterXL (High Availability) (13) Automatic Start of Check Point Modules (14) Exit Enter your choice (1-14) : Thank You... 表 5-14 cpconfig 設定オプション オプション 説明 Licenses 関連項目 SecurePlatform のライセンスを更新します。 『SmartCenter』の 「コマンドライン・ インタフェース」 Administrators 管理者(チェック・ポイント SmartConsole から チェック・ポイント SmartCenter サーバに接続 する権限が与えられているユーザ)の一覧を 更新します。 『導入の手引き』の 「Installation and Configuration」 GUI clients チェック・ポイント SmartConsole からチェッ ク・ポイント SmartCenter サーバに接続する権 限が管理者に与えられている GUI クライアン トとコンピュータの一覧を更新します。 『導入の手引き』の 「Installation and Configuration」 SNMP Extension SNMP デーモンを設定します。SNMP デーモン 『SmartCenter 』の により、SecurePlatform のステータスを外部 「SNMP and Network ネットワーク管理ツールにエクスポートでき Management Tools」 ます。 Groups SecurePlatform を実行する権限が与えられている UNIX グループの一覧を更新します。 第5章 管理 85 SecurePlatform シェル 表 5-14 cpconfig 設定オプション 86 オプション 説明 PKCS #11 Token 関連項目 SecurePlatform 用の暗号化トークンを登録し、 トークンの詳細情報表示と機能テストを行い ます。 Random Pool RSA キーを SecurePlatform で使用できるように 『バーチャル・ 設定します。 プライベート・ネット ワーク』の「認証局」 Certificate Authority 認証局が発行するキーを SecurePlatform で使用 できるように設定します。 Secure Internal communication 『導入の手引き』の このコンピュータとチェック・ポイント 「First Time Setup」 SmartCenter サーバの間の信頼関係を設定する ために使用します。信頼関係が設定されると、 このコンピュータはほかのチェック・ポイン ト通信コンポートと交信できます。 Fingerprint チェック・ポイント SmartCenter サーバのフィ ンガープリント(指紋) 、つまりチェック・ ポイント SmartCenter サーバの証明書から取得 されたテキスト文字列を表示します。この 文字列を使用して、GUI クライアントから アクセスされるチェック・ポイント SmartCenter サーバの ID が確認されます。 『導入の手引き』の 「Installation and Configuration」 ClusterXL (High Availability) このゲートウェイが ClusterXL(高可用性) ゲートウェイ・クラスタかどうかを指定し ます。 『SmartCenter』の 「Check Point ClusterXL」 Automatic Start of Check Point Modules チェック・ポイント・モジュールが、システム の起動時に SecurePlatform を自動的に起動する かどうかを指定します。 『バーチャル・ プライベート・ネット ワーク』の「PKCS#11 Token」 『バーチャル・ プライベート・ネット ワーク』の「認証局」 チェック・ポイント・コマンド cpstart cpstart は、コンピュータ上のすべてのチェック・ポイント・アプリケーションを起動し ます(ただし、cprid を除きます。cprid は、システムの起動時に呼び出され、独立して 動作を継続します)。cpstart は、fwstart(または、etmstart、uagstart などの、イン ストールされているほかのチェック・ポイント製品)を自動的に呼び出します。 構文 cpstart cpstop cpstop は、コンピュータ上のすべてのチェック・ポイント・アプリケーションを停止し ます(ただし、cprid を除きます。cprid は、システムの起動時に呼び出され、独立して 動作を継続します)。cpstop は、fwstop(または、etmstop、uagstop などの、インス トールされているほかのチェック・ポイント製品)を自動的に呼び出します。 構文 cpstop fw SecurePlatform コマンドを実行します。 構文 表 5-15 fw の構文 fw fw fw fw fw fw fw fw fw fw fw fw fw fw fw ver [-k] kill [-t sig_no] procname putkey sam fetch targets tab [-h] monitor [-h] ctl [args] lichosts log [-h] logswitch [-h target] [+|-][oldlog] repairlog ... mergefiles lslogs fetchlogs 第5章 管理 87 SecurePlatform シェル パラメータ 表 5-16 fw コマンドの構文オプション コマンドの構文 意味 fw ver [-k] バージョンを表示します。 fw kill [-t sig_no] procname デーモンに信号を送ります。 fw putkey クライアント・サーバ・キーを作成します。 fw sam SAM サーバを制御します。 fw fetch targets 最後のポリシーを取得します。 fw tab [-h] カーネル・テーブルの内容を表示します。 fw monitor [-h] SecurePlatform トラフィックを監視します。 fw ctl [args] カーネルを制御します。 fw lichosts 保護されているホストを表示します。 fw log [-h] ログを表示します。 fw logswitch [-h target] [+|-][oldlog] 新しいログ・ファイルを作成し、古いログを移動 します。 fw repairlog ... ログ・インデックスを再作成します。 fw mergefiles ログ・ファイルをマージします。 fw lslogs リモート・コンピュータのログ・ファイルの一覧 を表示します。 fw fetchlogs リモート・ホストからログを取得します。 cpinfo チェック・ポイント診断情報を表示します。 構文 cpinfo [[-v] | [-o filename]] パラメータ 表 5-17 cpinfo コマンドのパラメータ 88 パラメータ 意味 v cpinfo のバージョンを表示します(エキスパート・モードの場合のみ)。 -o filename 出力を filename に保存します(エキスパート・モードの場合のみ)。 チェック・ポイント・コマンド cpstat cpstat は、ローカルまたはローカル以外のコンピュータ上のチェック・ポイント・アプ リケーションのステータスをさまざまな形式で表示します。 構文 cpstat [-h host][-p port][-f flavour][-d] application_flag パラメータ 表 5-18 cpstat コマンドのパラメータ パラメータ 意味 -h host 解決可能なホスト名またはドット表記のアドレス(192.168.33.23 など)を 指定します。デフォルトはローカル・ホストです。 -p port AMON サーバのポート番号を指定します。デフォルトは標準 AMON ポート (18192)です。 -f flavor 設定ファイルに表示される出力の形式を指定します。デフォルトでは、設定 ファイルで検索された最初の形式が使用されます。 entity 以下のいずれかを指定します。 fw FireWall vpn VPN fg Check Point QoS ha Cluster XL(高可用性) os SVN Foundation および OS のステータス mg 管理ステータス cplic チェック・ポイントのライセンスを表示、追加、または削除します。 構文 cplic [put | del | print | check ] 第5章 管理 89 SecurePlatform シェル パラメータ 表 5-19 cplic コマンドのパラメータ パラメータ 意味 put cplic put コマンド(格納場所:$CPDIR/bin)は、1 つ以上のローカル・ライ センスをインストールする際に使用します。このコマンドは、ライセンスを ローカル・コンピュータにインストールするだけです。リモートでは実行で きません。 del cplic del コマンド(格納場所: $CPDIR/bin)は、1 つのチェック・ポイン ト・ライセンスをホストから削除します。不必要な評価ライセンスや有効期 限が切れたライセンスなどを削除する際に使用します。 print cplic print コマンド(格納場所:CPDIR/bin)は、ローカル・コンピュータ 上のチェック・ポイント・ライセンスの詳細情報を出力します。 check cplic check コマンド(格納場所:$CPDIR/bin)は、コンピュータにインス トールされているライセンスで特定の機能を使用できるかどうかを確認する ために使用します。 cpshared_ver SVN Foundation のバージョンを表示します。 構文 cpshared_ver cphastart cphastart は、コンピュータ上で Cluster XL 機能を有効にします。 構文 cphastart start cphastop cphastop は、コンピュータ上の Cluster XL 機能を無効にします。 構文 cphastop 90 チェック・ポイント・コマンド cphaprob cphaprob は「クリティカル」 ・プロセスを定義します。クリティカル・プロセスが失敗し た場合は、コンピュータに障害が発生したと見なされます。 構文 cphaprob -d <device> -t <timeout(sec)> -s <ok|init|problem> register cphaprob -f <file> register cphaprob -d <device> unregisterc phaprob -a unregister cphaprob -d <device> -s <ok|init|problem> report cphaprob [-i[a]] [-e] list cphaprob state cphaprob [-a] if パラメータ 表 5-20 cphaprob コマンドのパラメータ パラメータ 意味 register <device> をクリティカル・プロセスとして登録します。 -d <device> cphaprob リストの出力に表示されるデバイスの名前 <device> を指定し ます。 -t <timeout> <device> が <timeout> 秒以内に CPHA モジュールとのコンタクトに失敗 した場合は、<device> に障害が発生したと見なされます。このパラメー タを無効にするには、タイムアウト値に「<0>」を入力します。別の状態が 明示的に報告されるまで、最後に報告された状態が継続します。 -s 報告する状態として以下のいずれかを指定します。 「ok」— <device> は動作中。 「init」— <device> は初期化中。 「problem」— <device> に障害が発生。 ■ ■ ■ -f <file> register このオプションを使用して、複数のデバイスを自動的に登録できます。 <file> フィールドに定義するファイルには、以下のパラメータを持つ デバイスの一覧を入れる必要があります。 デバイス名 タイムアウト 状態 ■ ■ ■ unregister <device> をクリティカル・プロセス登録から削除します。 -a unregister は、すべてのデバイスを登録から削除します。 report <device> の状態を VPN/FireWall モジュールに報告します。 第5章 管理 91 SecurePlatform シェル 表 5-20 cphaprob コマンドのパラメータ パラメータ 意味 list 以下のデバイスの状態を表示します。 -i — 内部(および外部)のデバイス(たとえば、Interface Active Check、 HA Initialization、Load Balancing Configuration)。 -e — 外部のデバイス、つまり、cphaprob によって制御可能で、ユーザ によって登録されたデバイス、またはシステムによって自動的に登録さ れたデバイス。たとえば、fwd、Synchronization、Filter などです。 -i[a]— 内部用に使用されるデバイスを含むすべてのデバイス(Note Inititialization、Load Balance Configuration など)。 ■ ■ ■ state ClusterXL( 高可用性)構成内のこの VPN-1 Pro モジュールとその他すべての VPN-1 Pro モジュールの状態を表示します。 if インタフェースの状態を表示します。-a は、インタフェースごとに追加の 情報(たとえば、secured、shared など)を表示します。 <device> で指定されたプロセスは -s ok パラメータを付けて cphaprob を実行し、 プロセ スが動作中であることを ClusterXL(高可用性)モジュールに通知する必要があります。 この通知が <timeout> 秒以内に受信されない場合は、プロセス(とコンピュータ)に障害 が発生したと見なされます。 fwm fwm は、SmartCenter サーバ・コマンドを実行します。 構文 fwm fwm fwm fwm fwm fwm fwm fwm fwm ver [-h] ... targets unload [opts] targets dbload [targets] logexport [-h] ... gen [-RouterType [-import]] rule-base dbexport [-h] ... ikecrypt <key> <password> ver [-h] ... load [opts] [filter-file|rule-base] targets パラメータ 表 5-21 fwm コマンドのパラメータ 92 パラメータ 意味 fwm ver [-h] ... バージョンを表示します。 fwm load [opts] [filterfile|rule-base] targets ポリシーをターゲットにインストールします。 fwm unload [opts] targets ターゲットをアンインストールします。 fwm dbload [targets] データベースをダウンロードします。 チェック・ポイント・コマンド 表 5-21 fwm コマンドのパラメータ(続き) パラメータ 意味 fwm logexport [-h] ... ログを ASCII ファイルにエクスポートします。 fwm gen [-RouterType [import]] rule-base 検査スクリプトまたはルータ・アクセス・リストを生成 します。 fwm dbexport [-h] ... データベースをエクスポートします。 fwm ikecrypt <key> <password> 鍵を使って秘密情報を暗号化します。 fwm dbimport [-h] ... データベースにインポートします(dbexport コマンド用)。 vpn このコマンドとサブコマンドは、VPN のさまざまな側面を操作するのに使用します。コ マンド・ラインで実行された vpn コマンドは、VPN プロセスに関するステータス情報を表 示します。また特定の VPN サービスを停止および開始するのに使用されます。すべての vpn コマンドは VPN-1 Pro モジュールで実行されます。vpn コマンドは、使用可能なコマ ンドの一覧を標準出力に送信します。 vpn ver は、VPN-1 Pro のメジャー・バージョン番号、ビルド番号、および著作権表記を 表示します。使用法とオプションは fw ver と同じです。 vpn debug は VPN デーモンに対して、デバッグ・メッセージを VPN ログ・ファイル $FWDIR/log/vpnd.elg に書き込むように指示します。 vpn debug ikeon | ikeoff は VPN デーモンに対して、デバッグ・メッセージを IKE ログ・ ファイル $FWDIR/log/IKE.elg に書き込むように指示します。 vpn drv は vpnk カーネルをインストールし、 対応するドライバをアタッチして fwk カーネ ルに接続します。 詳細については、『コマンドライン・インタフェース』を参照してください。 構文 vpn ver vpn debug on |off vpn debug ikeon | ikeoff vpn drv on|off 第5章 管理 93 SecurePlatform シェル パラメータ 表 5-22 vpn コマンドのパラメータ パラメータ 意味 ver VPN-1 Pro のメジャー・バージョン番号、ビルド番号、および著 作権表記を表示します。 debug on | off デバッグ・モードを開始または停止します。 debug ikeon | ikeoff ikeonはIKE.elgファイルへのIKEログ記録を開始し、ikeoffは 停止します。IKE ログは IKEView.exe(チェック・ポイントの サポートが使用するユーティリティ)によって分析されます。 drv on | off VPN-1 Pro カーネル・ドライバを起動または停止します。 LSMcli LSMcli はSmart LSMを設定します。 コマンドのパラメータの詳細については、 『SmartLSM』 を参照してください。 構文 LSMcli [-h | --help] LSMcli [-d] <Server> <User> <Pswd> <Action> LSMenabler LSMenabler は Smart LSM を有効または無効にします。コマンドのパラメータの詳細につ いては、 『SmartLSM』を参照してください。 構文 LSMenabler [-d] [-r] <off|on> ネットワーク診断コマンド このセクションの構成 94 Ping 95 ページ traceroute 96 ページ netstat 98 ページ ネットワーク診断コマンド Ping ICMP ECHO_REQUEST パケットをネットワーク・ホストに送信します。 構文 ping [-dfnqrvR] [-c count] [-i wait] [-l preload] [-p pattern] [-s packetsize] パラメータ 表 5-23 ping コマンドのパラメータ パラメータ 意味 -c count カウント ECHO_RESPONSE パケットの送信(および受信)後に停止します。 -d 使用中のソケットの SO_DEBUG オプションを設定します。 -f Ping 情報を出力します。パケットが戻るか、または 1 秒間に 100 回送信さ れるかのいずれか早い時点でパケットを出力します。ECHO_REQUEST が送 信されるたびにピリオド「.」が出力され、ECHO_REPLY が受信されるたび にバックスペースが出力されます。これにより、ドロップされているパ ケット数の迅速な表示が可能になります。このオプションは、スーパー ユーザだけが使用できます。この場合、ネットワークの負荷が非常に大き くなる可能性があるので注意して使用してください。 -i wait 待機: パケットを送信するたびに i 秒間待機します。デフォルトでは、 パケットごとに 1 秒間待機します。このオプションは、-f オプションと 併用できません。 -l プリロード:プリロードを指定すると、ping コマンドは、できるだけ多くの パケットを送信してから通常の動作モードに復帰します。このオプションは、 スーパーユーザだけが使用できます。 -n 数値出力のみを生成します。ホスト・アドレスのシンボリック名を検索し ません。 -p pattern 送信するパケットに書き込む「パッド」 ・バイトを最大 16 まで指定できます。 これは、データ依存のネットワーク障害を診断する際に役立ちます。たと えば、「-p ff」を指定すると、送信パケットに一連の数値「1」が書き込まれ ます。 -q 通常の出力を生成しません。起動時と終了時に要約行が表示されますが、 それ以外は何も表示されません。 -R ルートを記録します。ECHO_REQUEST パケットに RECORD_ROUTE オプショ ンを設定し、返送されたパケットのルート・バッファを表示します。IP ヘッ ダは 9 つのルート分の大きさしかないことに注意してください。このオプ ションは多くのホストで無視または破棄されます。 第5章 管理 95 SecurePlatform シェル 表 5-23 ping コマンドのパラメータ(続き) パラメータ 意味 -r 通常のルーティング・テーブルをバイパスし、接続ネットワーク上のホス トに直接送信します。ホストが直接接続されたネットワーク上に存在しな い場合は、エラーが返されます。このオプションを使用すると、ルート情 報を持たないインタフェースを通じてローカル・ホストへの Ping を実行で きます。 -s packetsize 送信するデータのバイト数を指定します。デフォルトは 56 で、ICMP ヘッ ダ・データの 8 バイトを加えて 64 バイトの ICMP データに変換されます。 -v 冗長(詳細)出力を生成します。ECHO_RESPONSE 以外の受信した ICMP パケットの一覧を表示します。 traceroute パケットがたどるルートの追跡や、パケットを破棄する問題のあるゲートウェイを見つ けることが困難な場合があります。traceroute は、IP プロトコルの「time to live」フィール ドを利用し、送信先ホストへのパスに沿った各ゲートウェイから ICMP TIME_EXCEEDED 応答を引き出します。 構文 traceroute [ -dFInrvx ] [ -f first_ttl ] [ -g gateway ] [ -i iface ] [ -m max_ttl ] [ -p port ] [ -q nqueries ] [ -s src_addr ] [ -t tos ] [ -w waittime ] host [ packetlen ] パラメータ 表 5-24 traceroute コマンドのパラメータ パラメータ 意味 -f first_ttl 最初の発信プローブ・パケットで使用される初期有効時間を設定します。 -F 分割禁止ビットを設定します。 -d ソケット・レベルのデバッグを有効にします。 -g 96 ゲートウェイ: ルース・ソース・ルート・ゲートウェイを指定します (最大 8 個)。 -i インタフェース: 発信プローブ・パケットの発信元 IP アドレスを取得する ネットワーク・インタフェースを指定します。通常、これはマルチホーム・ ホストでのみ使用できます。(これと別の方法については、「-s フラグ」を 参照してください)。 -I UDP データグラムの代わりに ICMP ECHO を使用します。 -m max_ttl 発信プローブ・パケットで使用される最大有効時間(ホップの最大数)を設 定します。デフォルトは 30 ホップです(TCP 接続で使用されるデフォルト と同じです)。 ネットワーク診断コマンド 表 5-24 traceroute コマンドのパラメータ(続き) パラメータ 意味 -n ホップ・アドレスを名前ではなく数字として出力します(パスで見つかった 各ゲートウェイについて、ネームサーバで名前からアドレスを割り出す処理 を省くことができます)。 -p port プローブで使用される UDP ベース・ポート番号を設定します(デフォルトは 33434 です)。traceroute では、宛先ホストの UDP ポート(ベースからベース +n ホップ -1 までのポート)が待機していない必要があります(待機してい る場合は ICMP PORT_UNREACHABLE メッセージが返されて、ルートのト レースが終了します)。デフォルトの範囲にあるポートが待機している場合 は、このオプションを使用すると未使用のポート範囲を選択できます。 -q nqueries 実行するクエリの数を指定します。 -r 通常のルーティング・テーブルをバイパスし、接続ネットワーク上のホスト に直接送信します。ホストが直接接続ネットワーク上に存在しない場合は、 エラーが返されます。このオプションを使用すると、ルート情報を持たない インタフェースを通じてローカル・ホストへの Ping を実行できます。 -s src_addr 発信プローブ・パケットの発信元アドレスとして後続の IP アドレスを使用し ます(IP アドレスは通常、ホスト名ではなく数字で指定します)。複数の IP アドレスを複数持つマルチホーム・ホストでは、このオプションを使用して、 発信元アドレスをプローブ・パケットが送信されるインタフェースの IP アド レス以外のアドレスにすることができます。IP アドレスがこのコンピュータ のインタフェース・アドレス以外の場合は、エラーが返されて何も送信され ません (これと別の方法については、「-i フラグ」を参照してください)。 -t tos プローブ・パケットでの TOS(サービスの種別)を後続の値に設定します (デフォルトは 0(ゼロ)です)。この値は、0 から 255 までの 10 進整数にす る必要があります。このオプションを使用すると、サービスの種類によって パスが異なるかどうかを確認できます (UNIX 4.4bsd を実行していない場合 は、telnet や ftp などの通常のネットワーク・サービスでは TOS を制御できな いので、このオプションは無効になる可能性があります。また、TOS のすべ ての値が適正または有意であるとは限りません。各値の定義については IP 仕 様を参照してください。有効な値として「-t 16」(ロー・ディレイ)と「-t 8」 (高スループット)が考えられます)。 -v 冗長(詳細)出力を生成します。TIME_EXCEEDED と UNREACHABLE 以外の 受信した ICMP パケットの一覧が表示されます。 -w waittime プローブへの応答待ち時間(秒)を設定します(デフォルトは 5 秒です)。 -x チェックサムを切り替えます。通常はこのオプションにより、traceroute は チェックサムを計算しませんが、オペレーティング・システムによっては、 発信パケットの一部を上書きすることはできても、チェックサムを再計算で きない場合があります。そのため、デフォルトの設定でチェックサムが計算 されない場合は、-x を指定することでチェックサムが計算されます。通常 チェックサムは、ICMP ECHO プローブの使用時(-I の使用時)の最終ホッ プで必要になります。 第5章 管理 97 SecurePlatform シェル netstat ネットワーク統計情報を表示します。 構文 netstat netstat netstat netstat [-veenNcCF] [<Af>] -r {-V|--version|-h|--help} [-vnNcaeol] [<Socket> ...] { [-veenNac] -i | [-cnNe] -M | -s } パラメータ 表 5-25 netstat コマンドのパラメータ パラメータ 意味 詳細 -r ルート ルーティング・テーブルを表示します。 -i インタフェース インタフェース・テーブルを表示します。 -g グループ マルチキャスト・グループのメンバシップを表示します。 -s 統計情報 ネットワーク統計情報(SNMP など)を表示します。 -M マスカレード マスカレード接続を表示します。 -v 冗長 冗長(詳細)にします。 -n 数値 名前を解決しません。 -N シンボリック ハードウェア名を解決します。 -e 拡張 ほかの情報や詳細情報を表示します。 -p プログラム ソケットの PID 名またはプログラム名を表示します。 -c 連続 連続表示します。 -l 待機 待機中のサーバ・ソケットを表示します。 -a すべて、待機 すべてのソケットを表示します(デフォルトは接続 ソケット)。 -o タイマ タイマを表示します。 -F 転送情報ベース 転送情報ベース(FIB)を表示します(デフォルト)。 -C キャッシュ FIB の代わりにルーティング・キャッシュを表示します。 ソケットの種類として次のいずれかを指定できます。 {-t|--tcp} {-u|--udp} {-w|--raw} {-x|--unix} --ax25 --ipx -netrom <Socket> -A <AF>, 98 af <AF> アドレス・ファミリです。次のいずれかを指定できます。 inet(DARPA Internet)、inet6(IPv6)、ax25(AMPR AX.25)、netrom(AMPR NET/ROM)、ipx(Novell IPX)、ddp(Appletalk DDP) ネットワーク設定コマンド ネットワーク設定コマンド このセクションの構成 arp 99 ページ addarp 99 ページ delarp 100 ページ hosts 101 ページ ifconfig 101 ページ vconfig 103 ページ route 104 ページ hostname 105 ページ domainname 105 ページ dns 106 ページ sysconfig 106 ページ webui 106 ページ arp arp は、 カーネルの ARP キャッシュをさまざまな方法で操作します。主要なオプションは、 アドレス・マップ・エントリのクリアおよび手動設定です。デバッグのために、ARP プ ログラムでは ARP キャッシュの完全ダンプも可能です。 構文 arp arp arp arp arp arp [-vn] [-H type] [-i if] -a [hostname] [-v] [-i if] -d hostname [pub] [-v] [-H type] [-i if] -s hostname hw_addr [temp] [-v] [-H type] [-i if] -s hostname hw_addr [netmask nm] pub [-v] [-H type] [-i if] -Ds hostname ifa [netmask nm] pub [-vnD] [-H type] [-i if] -f [filename] addarp addarp は、永続的な ARP エントリ(再起動後も存続するエントリ)を追加します。 構文 addarp <hostname> <MAC> 第5章 管理 99 SecurePlatform シェル delarp delarp は、addarp によって作成された ARP エントリを削除します。 構文 delarp <hostname> <MAC> パラメータ 表 5-26 arp コマンドのパラメータ 100 パラメータ 意味 詳細 -v 詳細 実行中の処理の詳細をユーザに伝えます。 -n 数値 シンボリックなホスト名、ポート名、またはユーザ名の解決 を試みずに、数値アドレスを表示します。 -H type, ハードウェ アの種類 このオプションのパラメータは、ARP キャッシュを設定また は読み取るときに、チェックするエントリのクラスを arp に 示します。このパラメータのデフォルト値は、ether(IEEE 802.3 10Mbps Ethernet に対応するハードウェア・コード 0x01) です。これ以外に、ARCnet(arcnet)、PROnet(pronet)、 AX.25(ax25)、NET/ROM(netrom)などのネットワーク技術 の値も指定できます。 -a [hostname] [hostname] の表示 指定したホストのエントリを表示します。hostname パラメー タを使用しない場合は、すべてのエントリが表示されます。 -d hostname hostname の 削除 指定したホストのエントリを削除します。指定したホストが 停止した場合などに使用できます。 -D 使用 デバイス インタフェース ifa のハードウェア・アドレスを使用します。 -i If デバイス・ インタ フェース インタフェースを選択します。ARP キャッシュをダンプした ときは、指定したインタフェースに一致するエントリだけが 出力されます。永続または一時 ARP エントリを設定すると、 このインタフェースは、いずれかのエントリに関連付けられ ます。このオプションを使用しない場合、カーネルはルー ティング・テーブルに基づいてエントリを推測します。パブ リック・エントリの場合は、指定したインタフェースが、 ARP 要求に応答するインタフェースになります。 -f filename ファイル filename -s オプションと同じで、この場合にのみ、設定されたファイ ル filename からアドレス情報が取得されます。データ・ファ イルの名前は、多くの場合 /etc/ethers です。filename を 指定しない場合は、/etc/ethers がデフォルトとして使用 されます。 ネットワーク設定コマンド hosts ホスト名と IP アドレスの関連付けを表示、設定、または削除します。 構文 hosts add <IP-ADDRESS> <host1> [<host2> ...] hosts remove <IP_ADDRESS> <host1> [<host2> ...] hosts パラメータ 表 5-27 hosts コマンドのパラメータ hosts パラメータ 意味 パラメータなしで hosts を実行すると、現在のホスト名と IP アドレスの関 連付けが表示されます。 add remove IP-ADDRESS ホストが追加される IP アドレスを指定します。 host1, host2... 追加するホストを指定します。 IP-ADDRESS ホストを削除する IP アドレスを指定します。 host1, host2... 削除するホストの名前を指定します。 ifconfig ネットワーク・インタフェースの設定を表示、設定、または保存します。 構文 ifconfig [-a] [-i] [-v] [-s] <interface> [[<AF>] <address>] [add <address>[/<prefixlen>]] [del <address>[/<prefixlen>]] [[-]broadcast [<address>]] [[-]pointopoint [<address>]] [netmask <address>] [dstaddr <address>] [tunnel <address>] [outfill <NN>] [keepalive <NN>] [hw <HW> <address>] [metric <NN>] [mtu <NN>] [[-]trailers] [[-]arp] [[-]allmulti] [multicast] [[-]promisc] [mem_start <NN>] [io_addr <NN>] [irq <NN>] [media <type>] [txqueuelen <NN>] [[-]dynamic] [up|down] [--save] 第5章 管理 101 SecurePlatform シェル 表 5-28 ifconfig コマンドのパラメータ パラメータ 意味 interface インタフェースの名前を指定します。これは通常、ドライバ名とユニット 番号の組み合わせ(たとえば、最初の Ethernet インタフェースの場合は eth0)です。 up インタフェースをアクティブにします。インタフェースにアドレスが割り 当てられている場合、このフラグは自動的に指定されます。 down このインタフェースのドライバを停止させます。 [-]arp このインタフェースで ARP プロトコルを有効または無効にします。 [-]promisc インタフェースの無差別モードを有効または無効にします。このオプ ションを選択すると、ネットワーク上のすべてのパケットがこのインタ フェースで受け取られます。 [-]allmulti オールマルチキャスト・モードを有効または無効にします。このオプ ションを選択すると、ネットワーク上のすべてのマルチキャスト・ パケットが、このインタフェースで受け取られます。 metric N インタフェース・メトリックを設定します。 mtu N インタフェースの最大転送単位(MTU)を設定します。 dstaddr addr PPP などのポイントツーポイント・リンクのリモート IP アドレスを設定し ます。このキーワードは廃止されたため、代わりにポイントツーポイント・ キーワードを使用してください。 netmask addr このインタフェースに IP ネットワーク・マスクを設定します。この値のデ フォルトは、インタフェース IP アドレスから取得された通常のクラス A、 B、または C のネットワーク・マスクですが、任意の値に設定できます。 irq addr このデバイスで使用される割り込みラインを設定します。デバイスによっ ては、IRQ 設定を動的に変更できないことがあります。 io_addr addr このデバイスの I/O 空間の開始アドレスを設定します。 mem_start addr このデバイスによって使用される共有メモリの開始アドレスを設定します。 このパラメータの設定が必要なデバイスはごくわずかです。 media type [-]broadcast [addr] 102 デバイスによって使用される物理ポートまたはメディアの種類を設定しま す。デバイスによってはこの設定を変更できず、サポートしている値も異 なる可能性があります。一般的な値は、10base2(thin Ethernet)、10baseT (ツイストペア 10Mbps Ethernet) 、AUI(外部トランシーバ)などです。特別 な medium type として auto を使用すると、メディアを自動感知するように ドライバに指示できます。ドライバによってはこの機能をサポートしてい ません。 アドレス引数を指定した場合は、このインタフェースのプロトコル・ブロー ドキャスト・アドレスを設定します。アドレス引数を指定しない場合は、 インタフェースの IFF_BROADCAST フラグを設定またはクリアします。 ネットワーク設定コマンド 表 5-28 ifconfig コマンドのパラメータ(続き) パラメータ 意味 []pointopoint [addr] インタフェースのポイントツーポイント・モードを有効にします。これに より、インタフェースは、他者が待機しない 2 台のコンピュータを直結す るリンクになります。同時にアドレス引数も指定した場合は、廃止された dstaddr キーワードと同様に、リンクの相手側のプロトコル・アドレスを 設定します。アドレス引数を指定しない場合は、インタフェースの IFF_POINTOPOINT フラグを設定またはクリアします。 hw class address このインタフェースのハードウェア・アドレスを設定します。ただし、この 操作がデバイス・ドライバによってサポートされている場合に限られます。 このキーワードのあとに、ハードウェア・クラスの名前、およびハード ウェア・アドレスと等価の出力可能な ASCII 文字列を配置する必要があり ます。現在サポートされているハードウェア・クラスは、ether(Ethernet)、 ax25(AMPR AX.25)、ARCnet、および netrom(AMPR NET/ROM)です。 multicast インタフェースにマルチキャスト・フラグを設定します。マルチキャスト・ フラグは、ドライバ自体によって正しく設定されるので、通常、このパラ メータを設定する必要はありません。 Address このインタフェースに割り当てる IP アドレスを指定します。 txqueuelen length デバイスの送信キューの長さを設定します。待ち時間の長い低速の デバイス(モデム・リンクや ISDN など)では、高速のバルク転送により、 TELNET などの対話型トラフィックが過度に妨げらないようにするために 小さい値に設定するのが有効です。 --save インタフェース IP 設定を保存します。VPN-1 Express がインストールされ ている場合は使用できません。 vconfig 仮想 LAN インタフェースを設定します。 構文 vconfig add [interface-name] [vlan_id] vconfig rem [vlan-name] パラメータ 表 5-29 vconfig コマンドのパラメータ パラメータ 意味 interface-name VLAN をホストするイーサネット・カードの名前を指定します。 vlan_id VLAN の識別子(0 ~ 4095)を指定します。 skb_priority ソケット・バッファ(sk_buff)内での優先順位を指定します。 vlan_qos VLAN ヘッダの 3 ビット優先順位フィールドを指定します。 第5章 管理 103 SecurePlatform シェル 表 5-29 vconfig コマンドのパラメータ(続き) パラメータ 意味 name-type 以下のいずれかを指定します。 VLAN_PLUS_VID(たとえば、vlan0005) VLAN_PLUS_VID_NO_PAD(たとえば、vlan5) DEV_PLUS_VID(たとえば、eth0.0005) DEV_PLUS_VID_NO_PAD(たとえば、eth0.5) ■ ■ ■ ■ bind-type 以下のいずれかを指定します。 PER_DEVICE # eth0 と eth1 の vlan 5 は一意にできます。 PER_KERNEL # すべてのデバイス全体で vlan 5 を一意にする必要があり ます。 ■ ■ flag-num 0 または 1(REORDER_HDR)を指定します。このパラメータを設定する と、VLAN デバイスは、実際のイーサネット・デバイスとまったく同じよ うに見えるようにイーサネット・ヘッダを移動します。 route ルーティング・エントリを表示、設定、または保存します。 構文 route route route route route [-nNvee] [-FC] [<AF>] List kernel routing tables [-v] [-FC] {add|del|flush} ... Modify routing table for AF. {-h|--help} [<AF>] Detailed usage syntax for specified AF. {-V|--version} Display version/author and exit. --save パラメータ 表 5-30 route コマンドのパラメータ 104 パラメータ 意味 詳細 -v 詳細 詳細にします。 -n 数値 名前を解決しません。 -N シンボリック ハードウェア名を解決します。 -e 拡張 ほかの情報や詳細情報を表示します。 -F 転送情報ベース 転送情報ベース(FIB)を表示します(デフォルト)。 -C キャッシュ FIB の代わりにルーティング・キャッシュを表示します。 ネットワーク設定コマンド 表 5-30 route コマンドのパラメータ(続き) パラメータ 意味 詳細 -A <AF> af <AF> アドレス・ファミリです。次のいずれかを指定できます。 inet(DARPA Internet)、inet6(IPv6)、ax25(AMPR AX.25) netrom (AMPR NET/ROM)、 ipx (Novell IPX)、 ddp (Appletalk DDP) ルーティング設定を保存します。 save hostname システムのホスト名を表示または設定します。 構文 hostname [--help] hostname <host> hostname <host> <external_ip_address> 表 5-31 hostname コマンドのパラメータ パラメータ 意味 ホスト名を表示します。 host 新しいホスト名を指定します。 external_ip_address インタフェースに割り当てる IP アドレスを指定します。 help ヘルプを表示します。 domainname システムのドメイン名を表示または設定します。 構文 domainname [<domain>] パラメータ 表 5-32 domainname コマンドのパラメータ パラメータ 意味 ドメイン名を表示します。 domain ドメインにドメイン名を設定します。 第5章 管理 105 SecurePlatform シェル dns ドメイン名を解決するサーバを追加、削除、または表示します。 構文 dns [add|del <ip_of_nameserver>] パラメータ 表 5-33 dns コマンドのパラメータ パラメータ 意味 設定されている DNS サーバを表示します。 add 新しいネームサーバを追加します。 del 既存のネームサーバを削除します。 <ip_of_nameserver> ネームサーバの IP アドレスを指定します。 sysconfig システムのネットワーク機能とセキュリティを設定する対話型スクリプトです。 構文 sysconfig webui webui は、SecurePlatform HTTPS Web サーバが管理インタフェースに使用するポートを設 定します。 構文 webui enable [https_port] webui disable パラメータ 表 5-34 webui コマンドのパラメータ 106 パラメータ 意味 enable [https_port] ポート https_port で Web GUI を有効にします。 disable Web GUI を無効にします。 ダイナミック・ルーティング・コマンド ダイナミック・ルーティング・コマンド このセクションの構成 router 107 ページ 注: SecurePlatform Pro のみがダイナミック・ルーティング・コマンドをサポートします。 router チェック・ポイントのダイナミック・ルーティングを設定します。 構文 router [enable | config | disable] パラメータ 表 5-35 router コマンドのパラメータ パラメータ 意味 enable ダイナミック・ルーティングを有効にします。 config ダイナミック・ルーティング CLI を起動します(詳細は 116 ページの「コマンドライン・インタフェース」を参照)。 disable ダイナミック・ルーティングを無効にします。 ユーザ・コマンドと管理者コマンド このセクションの構成 adduser 108 ページ deluser 108 ページ showusers 108 ページ lockout 108 ページ unlockuser 109 ページ checkuserlock 109 ページ 第5章 管理 107 SecurePlatform シェル adduser adduser は SecurePlatform 管理者を追加します(SecurePlatform Pro は SecurePlatform 管理者の RADIUS 認証をサポートします)。 構文 adduser [-x EXTERNAL_AUTH] <user name> deluser deluser は SecurePlatform 管理者を削除します。 構文 deluser <user name> showusers showusers はすべての SecurePlatform 管理者を表示します。 構文 showusers lockout SecurePlatform 管理者をロック・アウトします。 構文 lockout enable <attempts> <lock_period> lockout disable lockout show パラメータ 表 5-36 lockout コマンドのパラメータ 108 パラメータ 意味 enable attempts lock_period ログイン試行に指定回数失敗したあとにロック・アウト機能を 起動し、lock_period 分間にわたってアカウントをロックし ます。 disable ロック・アウト機能を無効にします。 show ロック・アウト機能の現在の設定を表示します。 SNMP エージェントの設定 unlockuser ロックされた管理者をロック解除します(108 ページの「lockout」を参照してください)。 構文 unlockuser <username> checkuserlock SecurePlatform 管理者のロック・アウト・ステータス(管理者がロックされているかどうか) を表示します。 構文 checkuserlock <username> SNMP サポート このセクションの構成 SNMP エージェントの設定 109 ページ SNMP トラップの設定 110 ページ SNMP サポートは、以下のように SecurePlatform に完全に組み込まれています。 ■ 完全な OS-MIB-II に対する Net-SNMP サポート ■ SNMP を介したチェック・ポイント・ステータス情報の監視(AMON) ■ SNMP V.2 および V.3 のサポート SNMP エージェントの設定 基本的な SNMP 設定では、以下のように snmp コマンドを制限付きシェルで使用します。 snmp service enable [<portnumber>] snmp service stat snmp service disable snmp user add noauthuser <username> [oidbase <OID>] snmp user add authuser <username> pass <passphrase> [priv <privacyphrase>] [oidbase <OID>] snmp user del [<username>] snmp user show [<username>] 第5章 管理 109 SNMP サポート パラメータ 表 5-37 snmp コマンドのパラメータ パラメータ 意味 snmp service enable UDP ポートで待機する SNMP エージェント・デーモンを起動 します。 snmp service disable SNMP エージェント・デーモンを停止します。 snmp service stat サービスの状態を表示します。 snmp user SNMP v3 ユーザをエージェントに追加します。ユーザの認証 パスワードと暗号化パスワードを指定できます。また、指定 した OID サブツリーのみにユーザのアクセスを制限できます。 snmp user del ユーザを削除します。このコマンドを使用して SNMP v1 と v2 のユーザを削除することもできます。 snmp user show 既存ユーザの一覧を表示します。 snmp user show [<username>] 指定したユーザ(またはすべてのユーザ)の詳細(アクセス・ レベル情報と OID サブツリー制限)を表示します。 SNMP トラップの設定 snmptrap コマンドを使用して SNMP トラップを送信できます(エキスパート・モードの 場合のみ)。 snmpd.conf ファイル また、SNMP トラップを /etc/snmp/snmpd.conf ファイルで設定できます。snmpd.conf は、 Net-SNMP SNMP- エージェントの動作方法を定義する設定ファイルです。エージェントが 動作して要求に応答するためには、このファイルは必要ありません。 重要な snmpd.conf のディレクティブについて以下で説明します。 authtrapenable NUMBER authtrapenable を 1 に設定すると、認証エラー・トラップの生成が有効になります。デ フォルト値は無効(2)です。通常、対応するオブジェクト(snmpEnableAuthenTraps.0) は読み書き可能ですが、値を設定してオブジェクトを読み取り専用にします。オブジェ クトの値をさらに設定しようとすると、notWritable エラー応答が発生します。 110 SNMP トラップの設定 trapcommunity STRING trapcommunity STRING は、トラップの送信時に使用されるデフォルトのコミュニティ・ ストリングを定義します。このコマンドは、コミュニティ・ストリングを使用する以下 の 3 つのコマンドよりも前に使用する必要があります。 ■ ■ ■ trapsink HOST [COMMUNITY [PORT]] trap2sink HOST [COMMUNITY [PORT]] informsink HOST [COMMUNITY [PORT]] これらのコマンドは、トラップ(または通知)を受け取るホストを指定します。デーモ ンは、起動時に Cold Start トラップを送信します。有効な場合は、認証エラーに対するト ラップも送信します。複数の trapsink、trap2sink、および informsink 回線を指定して、複数 の宛先を指定できます。trap2sink を使用して SNMPv2 トラップを送信し、informsink を 使用して通知を送信します。 COMMUNITY が指定されていない場合は、以前の trapcommunity ディレクティブのストリ ングが使用されます。 PORT が指定されていない場合は、既知の SNMP トラップ・ポート(162)が使用されます。 trapsess [SNMPCMD_ARGS] HOST trapsess [SNMPCMD_ARGS] HOST はより汎用的なトラップ設定トークンであり、任意の バージョンの SNMP で任意の種類のトラップ宛先を指定できるようにします。SNMPCMD ARGS として渡すことができる引数の詳細については、snmpcmd(1) マニュアル・ページを 参照してください。 そのページに表示されている引数のほかに特別な引数 -Ci が、未承認のトラップの代わり に情報の通知を使用するよう指示します。これには、バージョン番号 v2c または v3 を指 定する必要があります。 agentSecName NAME DISMAN-EVENT-MIB サポートでは、エージェントをスキャンする有効なユーザ名が必要 です。 有効なユーザ名は、agentSecName トークンを使用して指定するか、または -u スイッチを 使用して、以下で説明する「monitor」行に明示的に指定します。いずれの場合にも、同 じセキュリティ名を使用して「rouser」行(または同等のアクセス制御設定)を指定する 必要があります。 例 agentSecName internal rouser internal 第5章 管理 111 SNMP サポート monitor [OPTIONS] NAME EXPRESSION このディレクティブは、EXPRESSION に基づいて、エージェント自体の問題を監視するよう エージェントに指示します。EXPRESSION は、OID、比較演算子(!=、==、<、<=、>、>=)、 および整数値(以下の例を参照)を使用した簡単な式です。 NAME は、自由に選択できる任意の管理専用の名前です。 OPTIONS に含まれる可能性のあるパラメータは以下のとおりです。 パラメータ 意味 -r FREQUENCY 指定された式を FREQUENCY 秒ごとに監視します。 デフォルトは 600(10 分)です。 -u SECNAME ローカル・ホストをスキャンするために SECNAME セキュ リティ名を使用します。特に、この式を常に有効にする には、 「rouser」snmpd.conf トークンなどを使用してこの SECNAME にアクセス制御権を与える必要があります。指定 しない場合は、エージェントの ecname snmpd.conf トークンで指定されたデフォルトのセキュリティ名が 使用されます。-u フラグまたは有効な agentsecname トークンを指定する必要があります(また、「rouser」 トークンを使用して、その名前に適切なアクセス制御権を 与える必要があります)。 -o OID 通常のトラップ・オブジェクトのほかに、生成されるト ラップと一緒に渡される追加のオブジェクト値を指定し ます。詳細については下の例を参照してください。 以下の設定例は、10 MB を超えるメモリを消費しているプロセスがないかどうかについ て、 (実行中のプロセスを表示する)hrSWRunPerfTable をチェックします。このチェック は 600 秒(デフォルト値)ごとに実行されます。制限を超えるプロセスが見つかるたび に、通知が1つ送出されます。トラップで通常送信される hrSWRunPerfMem の OID と値の ほかに、hrSWRunName も送信されます。 hrSWRunName オブジェクトは実際には別のテーブルで発生しますが、2 つのテーブルのイン デックスは同じなので影響はありません。 rouser admin monitor -u me -o sysUpTime.0 -o hrSWRunName "high process memory" hrSWRunPerfMem > 10000 上の行は、以下のように snmptrapd によって書式化されたトラップを生成します。 2002-04-05 13:33:53 localhost.localdomain [udp:127.0.0.1:32931]: sysUpTimeInstance = Timeticks: (1629) 0:00:16.29 snmpTrapOID.0 = OID: mteTriggerFired mteHotTrigger = high process memory mteHotTargetName = mteHotContextName = mteHotOID = OID: hrSWRunPerfMem.1968 mteHotValue = 28564 hrSWRunName.1968 = "fw" 112 SNMP トラップの設定 これは、fw プロセスが常駐メモリを 28 MB 使用していることを示しています。 defaultMonitors yes デフォルトでは、エージェントと DISMAN-EVENT-MIB サポートは、設定されるまで何も 行いません。通常、ユーザは、問題を報告するために特別に設計された、UCD-SNMP-MIB 内のテーブルの数を監視する必要があります。 defaultMonitors yes 行が snmpd.conf ファイルにある場合は(適切な agentSecName 行と rouser 行があとに続いている必要があります)、以下の監視条件がインストールされます。 monitor -o prNames -o prErrMessage "process table" prErrorFlag != 0 monitor -o memErrorName -o memSwapErrorMsg "memory" memSwapError != 0 monitor -o extNames -o extOutput "extTable" extResult != 0 monitor -o dskPath -o dskErrorMsg "dskTable" dskErrorFlag != 0 monitor -o laNames -o laErrMessage "laTable" laErrorFlag != 0 monitor -o fileName -o fileErrorMsg "fileTable" fileErrorFlag != 0 チェック・ポイントのダイナミック・ルーティング このセクションの構成 サポートされている機能 114 ページ コマンドライン・インタフェース 116 ページ チェック・ポイントは、SecurePlatform の一部としてダイナミック・ルーティング(ユニ キ ャ ス ト お よ び マ ル チ キ ャ ス ト)・プ ロ ト コ ル を サ ポ ー ト し て い ま す。設 定 は、 SecurePlatform シェルに組み込まれた、 「業界標準」のコマンドライン・インタフェースを 使用して行います。ログ表示などの、その他の管理タスクは標準 SecurePlatform ツールを 使用して行います。この章では、SecurePlatform とダイナミック・ルーティングの統合に ついて説明します。 第5章 管理 113 チェック・ポイントのダイナミック・ルーティング サポートされている機能 このセクションの構成 : サポートされているプロトコル 114 ページ ダイナミック・ルーティング・サポートの有効化と無効化 114 ページ トレース・オプションとログ・オプション 115 ページ SNMP を使用したステータスの監視 115 ページ バックアップとリストア 116 ページ このセクションでは、チェック・ポイントのダイナミック・ルーティングによってサポー トされている重要な機能を説明します。 サポートされているプロトコル 以下のプロトコルがチェック・ポイントのダイナミック・ルーティングでサポートされ ています。 ■ ユニキャスト RIP-1 ■ ■ ■ RIP-2 ■ OSPF ■ BGP マルチキャスト PIM-DM ■ ■ PIM-SM ■ IGMP ダイナミック・ルーティング・サポートの有効化と無効化 チェック・ポイントのダイナミック・ルーティングを使用するには、以下の CLI コマンド が必要です。 ■ router: チェック・ポイントのダイナミック・ルーティングを設定します。 router コマンドの構文とパラメータの説明を以下に示します。 114 サポートされている機能 router チェック・ポイントのダイナミック・ルーティングを設定します。 構文 router [enable | config | disable] パラメータ 表 5-38 router コマンドのパラメータ パラメータ 意味 enable ダイナミック・ルーティングを有効にします。 config ダイナミック・ルーティング CLI を起動します(詳細について は、116 ページの「コマンドライン・インタフェース」を参照)。 disable ダイナミック・ルーティングを無効にします。 チェック・ポイントのダイナミック・ルーティング状態は、再起動処理中に維持されます。 たとえば、再起動前に Enabled であった場合には、再起動後も Enabled のままです。 注: ただし、ダイナミック・ルーティング設定は再起動処理中に維持されません。CLI を使用して保存 された最後の設定のみが再起動中に維持されます。 トレース・オプションとログ・オプション チェック・ポイントのダイナミック・ルーティングのトレース・オプションは多くのレ ベルで設定できます。トレース・オプションには、ファイル指定、グローバルなトレー ス・オプション、プロトコル固有のトレース・オプションなどがあります。トレース・ ファイルは、ログ・スイッチ・メカニズムを使用してあとで表示できます。 ダイナミック・ルーティングのログ・メッセージは「routing_messages」に保存され、標準 の SecurePlatform ログ・メカニズムを使用して表示できます。 詳細については、83 ページの「log」を参照してください。 SNMP を使用したステータスの監視 チェック・ポイントのダイナミック・ルーティングは、RFC 1227 SMUX インタフェースを 介して SNMP をサポートします。ダイナミック・ルーティングはデフォルトで有効です。 SNMP を介してダイナミック・ルーティングのステータス情報を取得するには、標準の SNMP クライアントを使用します。 SNMP バージョン 1 のみがサポートされ、すべての MIB 変数は読み取り専用です。詳細に ついては、109 ページの「SNMP サポート」を参照してください。 第5章 管理 115 チェック・ポイントのダイナミック・ルーティング バックアップとリストア SecurePlatform メカニズムは、ダイナミック・ルーティング設定の保存と復元も行います。 これは、snapshot コマンドと revert コマンドを使用した場合も同様です。 注: ダイナミック・ルーティング設定はシステム設定の一部として保存されます。詳細については、 67 ページの「バックアップとリストア」を参照してください。 コマンドライン・インタフェース このセクションの構成 : 概要 116 ページ コマンド・ラインの編集とオートコンプリート 116 ページ 状況依存のヘルプ 116 ページ コマンド履歴 117 ページ CLI トレースの無効化 / 有効化 117 ページ 概要 チェック・ポイントのダイナミック・ルーティングは、業界標準のコマンドを利用して 設定を行います。CLI の基本的な機能は以下のとおりです。 ■ コマンド・ラインの編集とオートコンプリート ■ 状況依存のヘルプ ■ コマンド履歴 ■ CLI トレースの無効化 / 有効化 コマンド・ラインの編集とオートコンプリート コマンド・ラインの入力途中で Tab キーを押して、入力中のコマンドを自動的に入力した り、入力候補のコマンドを一覧表示したりできます。 状況依存のヘルプ コマンドの直後に「?」と入力すると、直前に入力したコマンドに関する状況依存のヘル プが表示されます。コマンド・セットのあとに「?」と入力すると、コマンドで使用でき るオプションの一覧が表示されます。 116 コマンドライン・インタフェース コマンド履歴 CLI セッション中に入力したすべてのコマンドはコマンド履歴に保存されます。履歴の オン / オフを切り替えできます。 CLI トレースの無効化 / 有効化 CLI は柔軟なトレース・メカニズムを備えています。トレース対象のイベントは複数のク ラスに分けられ、各クラスは個別にトレースできます。クラスは、端末、ファイル、また は基になるシステムのトレース・システム(syslog)のいずれか、またはこれらのすべ てにいたるまでトレースできます。 SecurePlatform のブート・ローダ このセクションの構成 メンテナンス・モードでの起動 118 ページ ブート・プロセスのカスタマイズ 118 ページ スナップショット・イメージの管理 118 ページ SecurePlatform コンピュータを起動するたびに、ブート・ローダ画面が表示されます。ブー ト・ローダでは、ブート・オプションを選択し、スナップショット・イメージから起動 する方法を含め、ブート・プロセスをカスタマイズできます。 デフォルトでは、ユーザが操作を行わないと、最後に選択されたブート・オプション(オ プションが一度も選択されていない場合は、デフォルトのオプション)が選択されます。 メンテナンス・モードで起動したり、ブート・プロセスをカスタマイズするには、パス ワードが必要です。これはシステムのエキスパート・モードのパスワードです。 ヒント:初めてエキスパート・モードに切り替えるときに、パスワードを入力するよう要求されます。 それまでは、標準モードのパスワードと同じです。つまり、管理者ユーザとしてログイン時に使用した パスワードを、最初に置き換えるパスワードとして入力する必要があります。何回管理者パスワードを 変更しても、初回のエキスパート・ユーザ・パスワード変更時に入力する必要のあるエキスパート・ パスワードは更新されません。 警告: ブート・オプションを変更したり、ブート・プロセスをカスタマイズするには、システム管理と Linux に精通している必要があります。 第5章 管理 117 SecurePlatform のブート・ローダ メンテナンス・モードでの起動 メンテナンス・モードは、システムの再起動で問題が発生したり、標準管理者パスワー ドを忘れた場合など、システムの緊急時のみに使用してください。このモードで再起動 するには、セレクション・バーを[SecurePlatform with Application Intelligence [Maintenance Mode]] に置いて、Enter キーを押します。パスワードを入力するよう要求されます。 [Maintenance Mode]ブート・オプションを選択すると、SecurePlatform は、UNIX システム で「シングルユーザ・モード」と呼ばれる特別なモードで起動します。このモードでは、 コンピュータは runlevel 1 で起動します。ローカル・システム・ファイルはマウントされ ますが、ネットワークはアクティブになりません。システム・メンテナンス・シェルが 使用可能になります。 ブート・プロセスのカスタマイズ ブート・プロセスをカスタマイズするには、パスワードを入力して次の機能セットのロッ クを解除するために、p をクリックします。ここで入力するパスワードは、システムに設 定したエキスパート・パスワードです。以下のオプションが使用できます。 ■ ■ 任意のブート・オプションを編集するには、e をクリックします(該当するブート・ オプションにセレクション・バーを置きます)。 ルート・レベルのシステム処理を実行するには、c をクリックします。 スナップショット・イメージの管理 起動時に、使用可能な任意のスナップショットに切り替えるオプションが表示されます。 詳細については、80 ページの「スナップショット・イメージの管理」を参照してください。 118 第 6 章 SecurePlatform Pro Advanced Routing Suite この章の構成 はじめに 119 ページ チェック・ポイントの Advanced Routing Suite 119 ページ はじめに SecurePlatform Pro はダイナミック・ルーティングのサポートを統合しています。 SecurePlatform Pro の詳細については、10 ページの「SecurePlatform Pro」を参照してくだ さい。 注: Advanced Routing Suite ではスタティック・ルートの設定はできません。スタティック・ルートを 管理するには、標準の SecurePlatform ツールを使用してください。 チェック・ポイントの Advanced Routing Suite このセクションの構成 サポートされている機能 120 ページ コマンドライン・インタフェース 121 ページ 119 チェック・ポイントの Advanced Routing Suite チェック・ポイントは、SecurePlatform Pro の一部としてダイナミック・ルーティング(ユ ニ キ ャ ス ト お よ び マ ル チ キ ャ ス ト)・プ ロ ト コ ル を サ ポ ー ト し て い ま す。設 定 は、 SecurePlatform シェルに組み込まれた「業界標準」のコマンドライン・インタフェースを 使用して行います。ログ表示などの、その他の管理タスクは標準 SecurePlatform ツールを 使用して行います。この章では、SecurePlatform とダイナミック・ルーティングの統合に ついて説明します。 Advanced Routing Suite は ClusterXL でもサポートされています。 詳細については、 『ClusterXL』 を参照してください。 サポートされている機能 このセクションの構成 : サポートされているプロトコル 120 ページ ダイナミック・ルーティング・サポートの有効化と無効化 121 ページ ダイナミック・ルーティング・プロトコルの設定 121 ページ トレース・オプションとログ・オプション 121 ページ バックアップとリストア 121 ページ サポートされているプロトコル 以下のプロトコルがチェック・ポイントのダイナミック・ルーティングでサポートされ ています。 ■ ユニキャスト RIP-1 ■ ■ ■ RIP-2 ■ OSPF ■ BGP マルチキャスト PIM-DM ■ 120 ■ PIM-SM ■ IGMP コマンドライン・インタフェース ダイナミック・ルーティング・サポートの有効化と無効化 Advanced Routing Suite の有効化と無効化は、cpconfig を使用して、該当するオプションを 選択することによって行います。 ダイナミック・ルーティング・プロトコルの設定 チェック・ポイントのダイナミック・ルーティングを使用するには、以下の CLI コマンド が必要です。 ■ router: チェック・ポイントのダイナミック・ルーティングを設定します。 トレース・オプションとログ・オプション チェック・ポイントのダイナミック・ルーティングのトレース・オプションは多くのレ ベルで設定できます。トレース・オプションには、ファイル指定、グローバルなトレー ス・オプション、プロトコル固有のトレース・オプションなどがあります。トレース・ ファイルは、ログ・スイッチ・メカニズムを使用してあとで表示できます。 ダイナミック・ルーティングのログ・メッセージは「routing_messages」に保存され、標準 SecurePlatform ログ・メカニズムを使用して表示できます。 バックアップとリストア SecurePlatform メカニズムは、ダイナミック・ルーティング設定の保存と復元も行います。 注: ダイナミック・ルーティング設定は、システム設定の一部として保存されます。 コマンドライン・インタフェース このセクションの構成 : 概要 122 ページ コマンド・ラインの編集とオートコンプリート 122 ページ 状況依存のヘルプ 122 ページ コマンド履歴 122 ページ CLI トレースの無効化 / 有効化 122 ページ 第6章 SecurePlatform Pro - Advanced Routing Suite 121 チェック・ポイントの Advanced Routing Suite 概要 チェック・ポイントのダイナミック・ルーティングは、設定に業界標準のコマンドを利用 します。CLI の基本的な機能は以下のとおりです。 ■ コマンド・ラインの編集とオートコンプリート ■ 状況依存のヘルプ ■ コマンド履歴 ■ CLI トレースの無効化 / 有効化 コマンド・ラインの編集とオートコンプリート コマンド・ラインの入力途中で Tab キーを押して、入力中のコマンドを自動的に入力した り、入力候補コマンドの一覧を表示できます。 状況依存のヘルプ コマンドの直後に「?」と入力すると、直前に入力したコマンドに関する状況依存のヘルプ が表示されます。コマンド・セットのあとに「?」と入力すると、コマンドで使用できる オプションの一覧が表示されます。 コマンド履歴 CLI セッション中に入力したすべてのコマンドはコマンド履歴に保存されます。履歴の オン / オフを切り替えできます。 CLI トレースの無効化 / 有効化 CLI は柔軟なトレース・メカニズムを備えています。トレース対象のイベントは複数の クラスに分けられ、各クラスは個別にトレースできます。クラスは、端末、ファイル、また は基になるシステムのトレース・システム(つまり、syslog)のいずれか、または 3 つ すべてまでトレースできます。 122 付録 A フロッピー・ドライブまたは CD-ROM ドライブのないコン ピュータへのインストール この付録の構成 一般的な手順 123 ページ クライアントのセットアップ 124 ページ サーバのセットアップ 124 ページ ネットワーク・インストール用にサーバをセットアップし、SecurePlatform をインストール するホストでクライアント・セットアップを実行する必要があります。 注: このようにインストールしたシステムは、実稼動環境では使用しないでください。このシステムは、 SecurePlatform のインストール・サーバとしてのみ使用してください。 一般的な手順 ネットワーク・インストールは以下の手順に従って行います。 1 クライアントは、PXE ネットワーク・ローダを使用してネットワークから起動します。 2 クライアントは、BOOTP プロトコルを使用してブロードキャスト要求を送信します。 3 サーバは、クライアントに割り当てられた IP アドレスと、PXE ブート・ローダのダ ウンロード先となるファイル名(デフォルトでは pxelinux.0)を提供して、クライ アントに応答します。 4 クライアントは TFTP を使用して PXE ブート・ローダをダウンロードし、それを実行 します。 123 5 PXE ブート・ローダは、クライアントが必要とするカーネルと RAM ディスクの 名前が含まれた PXE 設定ファイルをサーバからダウンロードします。 6 PXE ブート・ローダはカーネルと RAM ディスクをダウンロードします。 7 カーネルは、RAM ディスクを環境として使用して実行されます。 8 インストーラが実行されます。 9 このとき、FTP サーバからファイルをロードするようにインストールを設定できます。 クライアントの要件は最小限で、必要なのは PXE だけです。 サーバは少し設定する必要があります。DHCP デーモン、TFTP デーモン、PXE ブート・ ローダ、カーネル、および RAM ディスクをインストールする必要があります。 クライアントのセットアップ クライアント・コンピュータで、BIOS セットアップ画面から、PXE を使用したネットワー ク・ブートを有効にします(DHCP として表示される場合もあります) 。手順はコンピュー タごとに異なります。必要に応じて、コンピュータのマニュアルを参照してください。 サーバのセットアップ このセクションの構成 必要なパッケージ 124 ページ DHCP デーモンのセットアップ 126 ページ TFTP デーモンと FTP デーモンのセットアップ 126 ページ インストール・ファイルのホスティング 127 ページ 以下のセットアップ詳細情報と手順は、オペレーティング・システムとして SecurePlatform を実行しているサーバに適用されます。別の OS を実行しているサーバでのセットアップ は、多少異なる場合があります。 必要なパッケージ サーバのセットアップには以下のパッケージが必要です。 ■ ■ DHCP デーモン(チェック・ポイント CD-ROM に入っており、デフォルトで SecurePlatform にインストールされます) xinetd(チェック・ポイント CD-ROM の /SecurePlatform/RPMS/xinetd-2.3.114cp.i386.rpm) 124 ■ TFTP デーモン(/SecurePlatform/RPMS/tftp-server-0.32-5cp.i386.rpm) ■ FTP サーバ(/SecurePlatform/RPMS/ftpd-0.3.3-118.4cp.i386.rpm) ■ TCP ラッパー・パッケージ (/SecurePlatform/RPMS/tcp_wrappers-7.6-34.4cp.i386.rpm) ■ ■ カーネル(SecurePlatform CD-ROM の /SecurePlatform/kernel にあります) RAM ディスク(SecurePlatform CD-ROM の /SecurePlatform/ramdisk-pxe にあり ます) 注: チェック・ポイント CD-ROM のファイルにアクセスするには、CD-ROM を CD-ROM ドライブに 挿入して、 # mount/mnt/cdrom コマンドを入力します。 PXELINUX 設定ファイル /SecurePlatform/RPMS/tftp-server-0.32-4cp.i386.rpm には、カーネルと RAM ディ スクを任意のホストに提供するデフォルトの設定ファイル(/tftpboot/pxelinux.cfg) が含まれています。同一のサーバから複数のシステムを起動する場合があるので、設定 ファイル名は、起動するコンピュータの IP アドレスによって異なります。 PXELINUX は、以下のようにしてブート・サーバ上で設定ファイルを検索します。 1 PXELINUX は、大文字の 16 進数で表記した独自の IP アドレス(たとえば、 192.0.2.91 なら C000025B)を使用して、設定ファイルを検索します。 2 そのファイルが見つからない場合、16 進数の最後の桁を 1 つ削除して、再び検索を 試みます。最後は、(小文字の)default というファイルの検索を試みます。 たとえば、192.0.2.91 の場合、PXELINUX は C000025B、C000025、C00002、C0000、 C000、C00、C0、C、default の順に検索を試みます。 カーネル・ファイルと RAM ディスク・ファイルの名前がそれぞれ kernel と ramdisk で あると仮定すると、すべてのクライアントにこれらを提供する default 設定ファイルは 以下のようになります。 default bootnet label bootnet kernel kernel append initrd=ramdisk lang= devfs=nomount \ ramdisk_size=24336 console=tty0 付録 A フロッピー・ドライブまたは CD-ROM ドライブのないコンピュータへのインストール 125 DHCP デーモンのセットアップ DHCP デーモンをセットアップするには、以下の手順に従います。 1 sysconfig ユーティリティを起動して、DHCP サーバを有効にします。 2 /etc/dhcpd.conf にあるデーモンの設定ファイルを編集します。この設定ファイル に、DHCP サーバの接続先となるサブネットごとに subnet 宣言を入力する必要があ ります。また、リモート・インストールでこのサーバを使用するホストごとに host 宣言を入力する必要があります。以下に設定ファイルの例を示します。 subnet 192.92.93.0 netmask 255.255.255.0 { }host foo { # The client’s MAC address hardware ethernet xx:xx:xx:xx:xx:xx; # The IP address that will be assigned to the # client by this server fixed-address 192.92.93.32; # The file to upload filename "/pxelinux.0"; } TFTP デーモンと FTP デーモンのセットアップ TFTP デーモンと FTP デーモンをセットアップするには、以下の手順に従います。 1 /SecurePlatform/RPMS/tcp_wrappers-7.6-34.4cp.i386.rpm(TCP ラッパー・ パッケージ)をインストールします。 2 3 /SecurePlatform/RPMS/xinetd-2.3.11-4cp.i386.rpm をインストールします 。 (xinetd パッケージは tftp サーバと ftpd の前提条件です) 以下のコマンドを実行して TFTP デーモン RPM をインストールします。 # rpm -i/SecurePlatform/RPMS/tftp-server-0.32-5cp.i386.rpm 4 以下のコマンドを実行して FTP デーモン RPM をインストールします。 # rpm -i/SecurePlatform/RPMS/ftpd-0.3.3-118.4cp.i386.rpm 5 以下のコマンドを実行して、xinted に設定を再読み取りさせます。 # service xinetd restart 126 インストール・ファイルのホスティング SecurePlatform にインストールされた FTP サーバを使用して、インストール・ファイルを ホストします。インストール・プロセス中に、インストール・サーバの IP、そのサーバに 対するクレデンシャル、およびインストール・パッケージへのパスを入力するよう要求さ れます。SecurePlatform インストール・サーバの IP、管理者のクレデンシャル、および SecurePlatform パッケージへのパスを入力してください。 別の FTP サーバまたは HTTP サーバを使用して、SecurePlatform インストール・ファイルを ホストすることもできます。 付録 A フロッピー・ドライブまたは CD-ROM ドライブのないコンピュータへのインストール 127 128 索引 A H T AMON 89 --help 68 HTTP 21 HTTPS Web サーバ ポートの設定 106 無効化 106, 107, 115 有効化 106 https_port 106 TFTP 66, 67, 80 B BIOS 18 C Cluster XL 90 ClusterXL 85, 86, 92 L LSM 94 F N FIPS 140-2 66, 38 fw コマンド fw ctl 87 fw fetch targets 87 fw fetchlogs 87 fw kill 87 fw lichosts 87 fw lslogs 87 fw monitor 87 fw putkey 87 fw repairlog 87 fw sam 87 fw tab 87 fw ver 87 NFS 22 NTP 51 V VGA ディスプレイ 14 vpn コマンド vpn ver 93 あ アクセス許可 エキスパート・モード 63 標準 63 アップグレード 54 い P Patch コマンド 33 インストール CD-ROM なし 13 始める前に 13 S え SCP 67 SecurePlatform 32 SmartUpdate 66 SNMP 109 sysconfig CP/SmartDashboard 38 CP 製品の設定 36, 38 設定オプション 36, 37 sysconfig の実行 36 syslog 64 エキスパート・モード 63 か 完全性チェック 66 管理者のロックアウト 108 管理者ロックアウト 108 129 き 起動時 スナップショットからの 復元 80, 118 起動フロッピー・ディスクを 使用したネットワーク・ インストール 20 く クリティカル・プロセス 91 こ 高可用性、「ClusterXL」を参照 コマンド ? 71 addarp 99 adduser 64, 108 arp 99 audit clear 74 audit setlines 74 audit show 74 checkuserlock 109 cpconfig 84 cphaprob 91 cphastart start 90 cphastop 90 cpinfo 88 cplic 89 cpshared_ver 90 cpstart 87 cpstat 89 cpstop 87 date 71 delarp 100 deluser 64, 108 diag 82 dns 106 domainname 105 exit 70 expert 70 130 fips on 66 fw ctl 87 fw fetch targets 87 fw fetchlogs 87 fw kill 87 fw lichosts 87 fw log 87 fw logswitch 87 fw lslogs 87 fw mergefiles 87 fw monitor 87 fw putkey 87 fw repairlog 87 fw sam 87 fw tab 87 fw ver 87 fwm 92 help 71 hostname 105, 106 hosts 101 ifconfig 101 lockout 66, 108 log 83 log limit 83 log list 83 log show 83 log unlimit 83 LSMcli 94, 107 LSMenabler 94 netstat 98 ntp 73 ntpstart 73 ntpstop 73 passwd 71 patch add 77 patch list 77 Ping 95 reboot 76 route 104 SDSUtill 94 showusers 108 shutdown 80 sysconfig 106 time 72 timezone 72 traceroute 96 unlockuser 109 vconfig 103 ver 80 vpn 93 コマンド・ライン編集用キー 69 さ 最初の再起動 59 し システム設定のバックアップ 67 シリアル・コンソール 14 す スナップショット 80, 28 せ セーフ・アップグレード 32, 33 設定変更 80 た ダイナミック・ルーティング CLI コマンド 116, 122 CLI トレースの無効化 / 有効化 117, 122 SNMP SMUX とのインタ フェース 115 コマンドライン・インタ フェース 116, 121 コマンド・ラインのオート コンプリート 116, 122 コマンド履歴 117, 122 再起動 116, 121 サポートされている プロトコル 114, 120 状況依存のヘルプ 116, 122 トレース・ オプション 115, 121 バックアップと リストア 116, 121 対話型シェル CP コマンド 84 システム・コマンド 74 システム診断コマンド 82 日時コマンド 71 ネットワーク診断 コマンド 94 ネットワーク設定 コマンド 99, 107 り リストア 67 ろ ログイン 59 ロック・アウト 管理者アカウント 66 ね ネットワーク設定コマンド 101 は パスワードの複雑さ 64 バックアップ 67 ふ ブート・プロセスの カスタマイズ 118 ブート・ローダ 117 プロセス クリティカル 91 め メンテナンス・モードでの 起動 118 131 132