UTM-1 130 アプライアンスを使用するには、基本設定、セキュリティポリシー設定の2つのステップを踏襲する必要がある。

最初に、基本設定を行う必要がある。基本設定はWeb GUIを使用してネットワーク設定、ホスト名の設定、およびセキュリティ管理を行うクライアントの登録などを行う。基本設定を行うためには、UTM-1 130 アプライアンスのINTポートとPCをネットワークケーブルで接続した後、ブラウザでアクセスを行えばよい。

認証をパスすると、基本設定ウィザードが開始される。ウィザードに対して設定値を入力していけば、ものの数分で設定は終了する。基本設定ウィザードは英語表記だが、PCをインターネットへ接続する程度の知識があれば十分だ。

工場出荷設定状態ではINTポートにのみIPアドレス(192.168.1.1/24)が割り当てられている。そのため初期設定時にはPCをINTポートへ接続しなければならない。

基本設定を行う際に使用するWeb GUIの認証画面。ブラウザでhttp://192.168.1.1:4434へアクセスすると本画面を表示できる。工場出荷設定の状態では認証後、初期設定ウィザードが自動的に起動する。

初期設定ウィザードによるネットワーク設定画面。各インタフェースに任意のIPアドレスを割り当てできる。画面上部の[Back]ボタン、[Next]ボタンで前後のステップへ移動できる。

基本設定ウィザードを進めて行く過程で、セキュリティ設定を行う際に使用するSmartConsole(Windows ネイティブアプリケーション)をダウンロードできる。UTM-1 130で動作するCheck Point Software Blade R70.1の設定には、SmartConsoleが不可欠だ。基本設定が終了したら、管理用PCへインストールしておきたい。

工場出荷設定の状態のUTM-1 130アプライアンスは、SmartConsoleがインストールされたすべてのPCからの接続要求を受け入れる設定([Any])になっているため、使用するPCのアドレスを登録するなどして対策を行おう。

[Start Download]ボタンをクリックすることによりSmartCenterのダウンロードが開始される。ダウンロードしたソフトウェアは管理用PCにインストールする。

工場出荷設定では、管理用PCのIPアドレスを登録し、Host-Anyの設定を削除すればUTM-1 130アプライアンスに接続できるPCを絞り込むことができる。

セキュリティ管理を行うには、WindowsネイティブアプリケーションのSmartConsoleを使用する。SmartConsoleは、Check Point Software Blade R70.1を管理するために使用するコンポーネント群の総称で、セキュリティポリシーの設定にはSmartDashboardを使用する。スタートメニューより[スタート]-[すべてのプログラム]-[Check Point SmartConsole R70.1]-[SmartDashboard]を選択することで起動する。

セキュリティポリシーの作成は、オブジェクトの定義後、タブを切り替えながら各セキュリティ機能の設定を行う。オブジェクトにはIPアドレスを持つホスト、サブネット、リソースなどが登録でき、詳細に登録するほど細かなセキュリティポリシーを記述できる。

たとえば、ファイアウォールの設定を行うのであれば、SmartDashboardのFirewallタブに切り替え、登録したオブジェクトを使用してルールを記述することになる。

オブジェクトをルールに配置する際、ドラッグアンドドロップなどが使用でき非常に使い勝手が良い。

SmartDashboardのログイン画面。管理者名、パスワード、およびサーバのIPアドレスを入力することでUTM-1 130アプライアンスへ接続できる。

UTM-1 130 オブジェクト・プロパティ・ウィンドウ。画面下部のチェックボックスでセキュリティ機能の有効化、無効化を設定できる(図中ではファイアウォールと、IPSが有効化されている)。

SmartDashboardのファイアウォール設定タブ。「どこから」、「どこへ」、「どの通信を」、「どうする」、といったようにオブジェクトをルールに配置することで設定を行う。

次にSmartDashboardのタブをIPSに切り替えると、不正侵入防御の設定が行える。最も簡単に設定を行うのであれば事前定義プロファイルを使用するのが良い。事前定義プロファイルにはパフォーマンス重視のDefaultProtectionと、セキュリティ重視のRecommendProtectionがある。プロファイルには実施すべきセキュリティ検査の要件(重要度、パフォーマンスに与える影響、信頼性)が登録されており、この要件に適合したIPS検査項目が実際の通信の検査において機能するといった具合だ。

セキュリティポリシー設定の中でも、特にIPSは専門性を要求され難しいとされているが、UTM-1 130アプライアンスに関してのイメージは全く反対である。

こうして設定されたセキュリティポリシーがUTM-1 130アプライアンスにインストールされるとセキュリティ機器としての動作を始める。

SmartDashboardのIPSタブ。OverView画面では登録されているプロファイルの一覧、検出され、対策が実施された通信のグラフなどが一望できるようになっている。

IPS検査項目を実行するための条件をプロファイルの中にポリシーとして設定しておくことで、将来的に追加されるIPS検査項目も自動的にこれらの条件に従って実行される。