Python SDK로 Check Point API 단순화

API 상호작용의 진정한 힘은 프로그램 코드와 함께 사용될 때, API 요청을 동적으로 생성하고 API 응답을 분석하는 도구를 사용할 때 드러납니다. 하지만 여전히 주목받지 못하고 있습니다. 파이썬 소프트웨어 개발 키트 (이하 Python SDK라 함) 체크포인트 관리 API하지만 헛수고였습니다. 개발자와 자동화 애호가들의 삶을 훨씬 더 편리하게 만들어 줍니다. Python은 최근 엄청난 인기를 얻었고, 저는 그 공백을 메우기 위해 주요 기능들을 살펴보기로 했습니다. 체크포인트 API 파이썬 개발 키트. 이 기사는 Habr에 관한 다른 기사를 훌륭하게 보완합니다. 체크 포인트 R80.10 API. CLI, 스크립트 등을 통한 제어Python SDK를 사용하여 스크립트를 작성하는 방법을 살펴보고, R1.6부터 지원되는 80.40 버전의 Management API의 새로운 기능에 대해 자세히 살펴보겠습니다. 이 글을 이해하려면 API 및 Python 사용에 대한 기본 지식이 필요합니다.

Check Point는 적극적으로 API를 개발하고 있으며 현재 다음이 공개되었습니다.

• Check Point 관리 API(현재 버전 1.6) — API를 통해 관리 서버와 작업하고(관리 서버의 제어 하에 게이트웨이에서 스크립트를 실행하는 기능 포함)
• Check Point GAIA API(현재 버전 1.4) - 보안 게이트웨이 작업
• 위협 예방 API 1.0 — Check Point 클라우드에서 샌드박스 작업
• 신원 인식 API — 게이트웨이에서 Identity Awareness 블레이드 작업
• 보안 관리 포털 API — SMB 게이트웨이 관리 포털을 사용하여 작업(SMB 게이트웨이에 대한 추가 정보)
• 사물인터넷 API — IoT 컨트롤러와의 상호 작용
• CloudGuard Connect API - 함께 일하다 클라우드가드 커넥트 (SD-WAN 보안 솔루션)
• 돔9 API - 함께 일하다 돔9

Python SDK는 현재 관리 API와의 상호 작용만 지원합니다. 가이아 API이 모듈에서는 가장 중요한 클래스, 메서드, 변수에 대해 살펴보겠습니다.

모듈 설치

기준 치수 cpapi 빠르고 쉽게 설치 가능 Check Point 공식 github 저장소 를 통해 삐악 삐악 울다. 자세한 설치 지침은 다음에서 제공됩니다. README.md이 모듈은 Python 2.7 및 3.7 버전에서 작동하도록 설계되었습니다. 이 문서에서는 Python 3.7을 사용한 예제를 제공합니다. Python SDK는 Check Point 관리 서버(Smart Management)에서 직접 실행할 수 있지만, 해당 서버에서는 Python 2.7만 지원되므로 2.7 버전 코드는 마지막 섹션에서 제공합니다. 모듈을 설치한 직후에는 해당 디렉토리의 예제를 살펴보시기 바랍니다. 예제_파이썬2 и 예제_파이썬3.

시작하기

cpapi 모듈의 구성 요소를 사용하려면 모듈에서 가져와야 합니다. cpapi 최소 2개의 필수 수업:

API클라이언트 и API클라이언트 인수

from cpapi import APIClient, APIClientArgs

클래스 API클라이언트 인수 API 서버와의 연결 매개변수와 클래스를 담당합니다. API클라이언트 API와의 상호작용을 담당합니다.

연결 매개변수를 정의합니다

API에 다양한 연결 매개변수를 정의하려면 클래스 인스턴스를 생성해야 합니다. API클라이언트 인수원칙적으로 매개변수는 미리 정의되어 있으며 관리 서버에서 스크립트를 실행할 때는 지정할 필요가 없습니다.

client_args = APIClientArgs()

하지만 타사 호스트에서 실행하는 경우 최소한 API 서버(관리 서버)의 IP 주소 또는 호스트 이름을 지정해야 합니다. 아래 예시에서는 서버 연결 매개변수를 정의하고 관리 서버의 IP 주소를 문자열로 할당합니다.

client_args = APIClientArgs(server='192.168.47.241')

API 서버에 연결할 때 사용할 수 있는 모든 매개변수와 기본값을 살펴보겠습니다.

APIClientArgs 클래스의 __init__ 메서드 인수

class APIClientArgs:
    """
    This class provides arguments for APIClient configuration.
    All the arguments are configured with their default values.
    """

    # port is set to None by default, but it gets replaced with 443 if not specified
    # context possible values - web_api (default) or gaia_api
    def __init__(self, port=None, fingerprint=None, sid=None, server="127.0.0.1", http_debug_level=0,
                 api_calls=None, debug_file="", proxy_host=None, proxy_port=8080,
                 api_version=None, unsafe=False, unsafe_auto_accept=False, context="web_api"):
        self.port = port
        # management server fingerprint
        self.fingerprint = fingerprint
        # session-id.
        self.sid = sid
        # management server name or IP-address
        self.server = server
        # debug level
        self.http_debug_level = http_debug_level
        # an array with all the api calls (for debug purposes)
        self.api_calls = api_calls if api_calls else []
        # name of debug file. If left empty, debug data will not be saved to disk.
        self.debug_file = debug_file
        # HTTP proxy server address (without "http://")
        self.proxy_host = proxy_host
        # HTTP proxy port
        self.proxy_port = proxy_port
        # Management server's API version
        self.api_version = api_version
        # Indicates that the client should not check the server's certificate
        self.unsafe = unsafe
        # Indicates that the client should automatically accept and save the server's certificate
        self.unsafe_auto_accept = unsafe_auto_accept
        # The context of using the client - defaults to web_api
        self.context = context

APIClientArgs 클래스의 인스턴스에서 사용할 수 있는 인수는 Check Point 관리자가 직관적으로 이해할 수 있으며 추가 설명이 필요하지 않다고 생각합니다.

APIClient 및 컨텍스트 관리자를 통한 연결

클래스 API클라이언트 컨텍스트 관리자를 통해 사용하는 것이 가장 편리합니다. APIClient 클래스 인스턴스에 전달해야 하는 것은 이전 단계에서 정의한 연결 매개변수뿐입니다.

with APIClient(client_args) as client:

컨텍스트 관리자는 API 서버에 자동으로 로그인 호출을 수행하지 않지만, 종료 시 로그아웃 호출을 수행합니다. API 호출 작업을 마친 후 어떤 이유로든 로그아웃이 필요하지 않은 경우, 컨텍스트 관리자를 사용하지 않고 작업을 시작해야 합니다.

client = APIClient(clieng_args)

연결 확인

연결이 지정된 매개변수에 따라 진행되는지 확인하는 가장 쉬운 방법은 다음 메서드를 사용하는 것입니다. 지문 확인API 서버 인증서 지문에 대한 sha1 해시 검사가 실패한 경우(메서드가 반환됨) 거짓), 이는 일반적으로 연결 문제로 인해 발생하며 프로그램 실행을 중지할 수 있습니다(또는 사용자에게 연결 데이터를 수정할 수 있는 기회를 제공).

    if client.check_fingerprint() is False:
        print("Could not get the server's fingerprint - Check connectivity with the server.")
        exit(1)

앞으로 수업은 다음과 같이 진행되오니 참고하시기 바랍니다. API클라이언트 모든 API 호출(메서드)을 확인합니다. api_call и API 쿼리(이에 대해서는 나중에 좀 더 자세히 설명하겠습니다) API 서버 인증서의 sha1 지문을 확인하는 방법입니다. 하지만 API 서버 인증서의 sha1 지문을 확인하는 중 오류가 감지되면(인증서를 알 수 없거나 변경된 경우), 이 방법은 지문 확인 로컬 컴퓨터에서 해당 정보를 자동으로 추가/변경하는 기능을 제공합니다. 이 확인 기능은 APIClientArgs 인수를 사용하여 완전히 비활성화할 수 있습니다(단, 127.0.0.1에 연결할 때 API 서버 자체에서 스크립트를 실행하는 경우에만 권장). 안전하지 않은 자동 수락 (APIClientArgs에 대한 자세한 내용은 앞부분의 "연결 매개변수 정의"를 참조하세요.)

client_args = APIClientArgs(unsafe_auto_accept=True)

API 서버에 로그인

У API클라이언트 API 서버에 로그인하는 방법은 최대 3가지가 있으며 각 방법은 값을 기억합니다. 시드(세션 ID)는 헤더의 각 후속 API 호출에서 자동으로 사용됩니다(이 매개변수에 대한 헤더의 이름은 다음과 같습니다. X-chkp-sid), 따라서 이 매개변수를 추가로 처리할 필요가 없습니다.

로그인 방법

로그인과 비밀번호를 사용하는 옵션(예시에서 사용자 이름 admin과 비밀번호 1q2w3e는 위치 인수로 전달됨):

     login = client.login('admin', '1q2w3e')  

로그인 방법에는 사용 가능한 추가 선택적 매개변수도 있습니다. 매개변수의 이름과 기본값은 다음과 같습니다.

continue_last_session=False, domain=None, read_only=False, payload=None

메서드 login_with_api_key

API 키를 사용하는 옵션(관리 버전 R80.40/Management API v1.6부터 지원됨) "3TsbPJ8ZKjaJGvFyoFqHFA==" 이는 API 키 인증 방법을 사용하는 관리 서버의 사용자 중 한 명에 대한 API 키 값입니다.)

     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==') 

방법에서 API 키로 로그인 메서드에서와 동일한 선택적 매개변수를 사용할 수 있습니다. 로그인.

login_as_root 메서드

API 서버를 사용하여 로컬 머신에 로그인하기 위한 옵션:

     login = client.login_as_root()

이 방법에는 두 가지 선택적 매개변수만 사용할 수 있습니다.

domain=None, payload=None

마지막으로 API는 자신을 호출합니다.

API 호출을 메서드를 통해 수행하는 데는 두 가지 옵션이 있습니다. api_call и API 쿼리. 둘의 차이점은 무엇인지 알아보겠습니다.

api_call

이 방법은 모든 호출에 적용할 수 있습니다. 필요한 경우 API 호출의 마지막 부분과 페이로드를 요청 본문에 전달해야 합니다. 페이로드가 비어 있는 경우 완전히 생략할 수 있습니다.

api_versions = client.api_call('show-api-versions') 

이 요청에 대한 출력은 아래와 같습니다.

In [23]: api_versions                                                           
Out[23]: 
APIResponse({
    "data": {
        "current-version": "1.6",
        "supported-versions": [
            "1",
            "1.1",
            "1.2",
            "1.3",
            "1.4",
            "1.5",
            "1.6"
        ]
    },
    "res_obj": {
        "data": {
            "current-version": "1.6",
            "supported-versions": [
                "1",
                "1.1",
                "1.2",
                "1.3",
                "1.4",
                "1.5",
                "1.6"
            ]
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

show_host = client.api_call('show-host', {'name' : 'h_8.8.8.8'})

이 요청에 대한 출력은 아래와 같습니다.

In [25]: show_host                                                              
Out[25]: 
APIResponse({
    "data": {
        "color": "black",
        "comments": "",
        "domain": {
            "domain-type": "domain",
            "name": "SMC User",
            "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
        },
        "groups": [],
        "icon": "Objects/host",
        "interfaces": [],
        "ipv4-address": "8.8.8.8",
        "meta-info": {
            "creation-time": {
                "iso-8601": "2020-05-01T21:49+0300",
                "posix": 1588358973517
            },
            "creator": "admin",
            "last-modifier": "admin",
            "last-modify-time": {
                "iso-8601": "2020-05-01T21:49+0300",
                "posix": 1588358973517
            },
            "lock": "unlocked",
            "validation-state": "ok"
        },
        "name": "h_8.8.8.8",
        "nat-settings": {
            "auto-rule": false
        },
        "read-only": false,
        "tags": [],
        "type": "host",
        "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
    },
    "res_obj": {
        "data": {
            "color": "black",
            "comments": "",
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "groups": [],
            "icon": "Objects/host",
            "interfaces": [],
            "ipv4-address": "8.8.8.8",
            "meta-info": {
                "creation-time": {
                    "iso-8601": "2020-05-01T21:49+0300",
                    "posix": 1588358973517
                },
                "creator": "admin",
                "last-modifier": "admin",
                "last-modify-time": {
                    "iso-8601": "2020-05-01T21:49+0300",
                    "posix": 1588358973517
                },
                "lock": "unlocked",
                "validation-state": "ok"
            },
            "name": "h_8.8.8.8",
            "nat-settings": {
                "auto-rule": false
            },
            "read-only": false,
            "tags": [],
            "type": "host",
            "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

API 쿼리

이 메서드는 출력에 오프셋이 가정되는 호출에만 적용 가능하다는 점을 미리 알려드립니다. 이러한 출력은 많은 양의 정보를 포함하거나 포함할 수 있는 경우에 발생합니다. 예를 들어, 관리 서버에 생성된 모든 호스트 유형 객체 목록을 요청하는 경우입니다. 이러한 요청의 경우 API는 기본적으로 50개의 객체 목록을 반환합니다(응답에서 객체 제한을 500개로 늘릴 수 있습니다). API 요청에서 오프셋 매개변수를 변경하여 정보를 여러 번 가져오지 않도록, 이 작업을 자동으로 수행하는 api_query 메서드가 있습니다. 이 메서드가 필요한 호출의 예는 다음과 같습니다. show-sessions, show-hosts, show-networks, show-wildcards, show-groups, show-address-ranges, show-simple-gateways, show-simple-clusters, show-access-roles, show-trusted-clients, show-packages실제로 이러한 API 호출의 이름에는 복수형 단어가 있으므로 이러한 호출은 다음을 통해 처리하기가 더 쉽습니다. API 쿼리

show_hosts = client.api_query('show-hosts') 

이 요청에 대한 출력은 아래와 같습니다.

In [21]: show_hosts                                                             
Out[21]: 
APIResponse({
    "data": [
        {
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "ipv4-address": "192.168.47.1",
            "name": "h_192.168.47.1",
            "type": "host",
            "uid": "5d7d7086-d70b-4995-971a-0583b15a2bfc"
        },
        {
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "ipv4-address": "8.8.8.8",
            "name": "h_8.8.8.8",
            "type": "host",
            "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
        }
    ],
    "res_obj": {
        "data": {
            "from": 1,
            "objects": [
                {
                    "domain": {
                        "domain-type": "domain",
                        "name": "SMC User",
                        "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
                    },
                    "ipv4-address": "192.168.47.1",
                    "name": "h_192.168.47.1",
                    "type": "host",
                    "uid": "5d7d7086-d70b-4995-971a-0583b15a2bfc"
                },
                {
                    "domain": {
                        "domain-type": "domain",
                        "name": "SMC User",
                        "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
                    },
                    "ipv4-address": "8.8.8.8",
                    "name": "h_8.8.8.8",
                    "type": "host",
                    "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
                }
            ],
            "to": 2,
            "total": 2
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

API 호출 결과 처리

이후에는 클래스의 변수와 메서드를 사용할 수 있습니다. API 응답(컨텍스트 관리자 내부 및 외부 모두). 클래스 API 응답 미리 정의된 메서드는 4개, 변수는 5개가 있는데, 가장 중요한 메서드부터 자세히 살펴보겠습니다.

성공

먼저, API 호출이 성공적으로 완료되어 결과를 반환했는지 확인하는 것이 좋습니다. 이를 위한 메서드가 있습니다. 성공:

In [49]: api_versions.success                                                   
Out[49]: True

API 호출이 성공하면 True(응답 코드 - 200)를 반환하고, 실패하면 False(다른 응답 코드)를 반환합니다. API 호출 직후에 응답 코드에 따라 다른 정보를 표시하는 데 사용하면 편리합니다.

if api_ver.success: 
    print(api_versions.data) 
else: 
    print(api_versions.err_message) 

상태 코드

API 호출을 실행한 후 응답 코드를 반환합니다.

In [62]: api_versions.status_code                                               
Out[62]: 400

가능한 응답 코드: 200,400,401,403,404,409,500,501.

성공_상태_설정

이 경우 성공 상태 값을 변경해야 할 수 있습니다. 기술적으로는 일반 문자열을 포함하여 무엇이든 입력할 수 있습니다. 하지만 실제 예시로는 특정 조건에서 이 매개변수를 False로 재설정하는 것이 있습니다. 아래에서 관리 서버에서 작업이 실행 중이지만 이 요청이 실패한 것으로 간주하는 예시를 살펴보겠습니다(success 변수를 거짓API 호출이 성공했고 코드 200을 반환했다는 사실에도 불구하고.

for task in task_result.data["tasks"]:
    if task["status"] == "failed" or task["status"] == "partially succeeded":
        task_result.set_success_status(False)
        break

응답()

응답 방법을 사용하면 응답 코드(status_code)와 응답 본문(body)이 포함된 사전을 볼 수 있습니다.

In [94]: api_versions.response()                                                
Out[94]: 
{'status_code': 200,
 'data': {'current-version': '1.6',
  'supported-versions': ['1', '1.1', '1.2', '1.3', '1.4', '1.5', '1.6']}}

데이터

불필요한 정보 없이 응답 본문만 볼 수 있습니다.

In [93]: api_versions.data                                                      
Out[93]: 
{'current-version': '1.6',
 'supported-versions': ['1', '1.1', '1.2', '1.3', '1.4', '1.5', '1.6']}

에러 메시지

이 정보는 API 요청(응답 코드)을 처리하는 동안 오류가 발생한 경우에만 사용할 수 있습니다. 아니 200) 출력 예

In [107]: api_versions.error_message                                            
Out[107]: 'code: generic_err_invalid_parameter_namenmessage: Unrecognized parameter [1]n'

유용한 예

다음 예제에서는 Management API 버전 1.6에 추가된 API 호출을 사용합니다.

먼저 통화가 어떻게 작동하는지 살펴보겠습니다. 호스트 추가 и 주소 범위 추가192.168.0.0/24 서브넷의 모든 IP 주소(마지막 옥텟이 5)를 호스트 유형 객체로 생성하고, 다른 모든 IP 주소는 주소 범위 유형 객체로 작성해야 한다고 가정해 보겠습니다. 이 경우 서브넷 주소와 브로드캐스트 주소는 제외합니다.

아래는 이 문제를 해결하고 호스트 유형 객체 50개와 주소 범위 유형 객체 51개를 생성하는 스크립트입니다. 이 문제를 해결하려면 최종 게시 호출을 제외하고 101번의 API 호출이 필요합니다. 또한 timeit 모듈을 사용하여 변경 사항이 게시될 때까지 스크립트 실행에 걸리는 시간을 계산합니다.

add-host 및 add-address-range를 사용하는 스크립트

import timeit
from cpapi import APIClient, APIClientArgs

start = timeit.default_timer()

first_ip = 1
last_ip = 4

client_args = APIClientArgs(server="192.168.47.240")

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     for ip in range(5,255,5):
         add_host = client.api_call("add-host", {"name" : f"h_192.168.0.{ip}", "ip-address": f'192.168.0.{ip}'})
     while last_ip < 255:
         add_range = client.api_call("add-address-range", {"name": f"r_192.168.0.{first_ip}-{last_ip}", "ip-address-first": f"192.168.0.{first_ip}", "ip-address-last": f"192.168.0.{last_ip}"})
         first_ip+=5
         last_ip+=5
     stop = timeit.default_timer() 
     publish = client.api_call("publish")
     
print(f'Time to execute batch request: {stop - start} seconds')

제 연구실 환경에서는 관리 서버의 부하에 따라 이 스크립트를 실행하는 데 30~50초가 걸립니다.

이제 API 호출을 사용하여 동일한 문제를 해결하는 방법을 살펴보겠습니다. 객체 추가 배치API 버전 1.6에서 지원이 추가되었습니다. 이 호출을 통해 하나의 API 요청에서 여러 객체를 동시에 생성할 수 있습니다. 또한, 이러한 객체는 서로 다른 유형(예: 호스트, 서브넷, 주소 범위)의 객체일 수 있습니다. 따라서 하나의 API 호출 프레임워크 내에서 작업을 해결할 수 있습니다.

add-objects-batch를 사용하는 스크립트

import timeit
from cpapi import APIClient, APIClientArgs

start = timeit.default_timer()

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip = []
objects_list_range = []

for ip in range(5,255,5):
    data = {"name": f'h_192.168.0.{ip}', "ip-address": f'192.168.0.{ip}'}
    objects_list_ip.append(data)
    
first_ip = 1
last_ip = 4


while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "ip-address-first": f"192.168.0.{first_ip}", "ip-address-last": f"192.168.0.{last_ip}"}
    objects_list_range.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip
}, {
    "type" : "address-range",
    "list" : objects_list_range
  }]
}


with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     add_objects_batch = client.api_call("add-objects-batch", data_for_batch)
     stop = timeit.default_timer() 
     publish = client.api_call("publish")
     
print(f'Time to execute batch request: {stop - start} seconds')

제 랩 환경에서 이 스크립트를 실행하는 데는 관리 서버 부하에 따라 3초에서 7초가 걸립니다. 즉, 평균적으로 101개의 객체에서 배치 유형의 API 호출이 10배 더 빠르게 처리됩니다. 더 많은 객체에서는 그 차이가 더욱 두드러질 것입니다.

이제 작업 방법을 살펴보겠습니다. set-objects-batch이 API 호출을 사용하면 모든 매개변수를 대량으로 변경할 수 있습니다. 이전 예제에서 사용된 주소의 전반부(최대 .124 호스트 및 범위 포함)를 시에나 색상으로 설정하고, 후반부 주소는 카키색으로 지정해 보겠습니다.

이전 예제에서 생성된 객체의 색상 변경

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip_first = []
objects_list_range_first = []
objects_list_ip_second = []
objects_list_range_second = []

for ip in range(5,125,5):
    data = {"name": f'h_192.168.0.{ip}', "color": "sienna"}
    objects_list_ip_first.append(data)
    
for ip in range(125,255,5):
    data = {"name": f'h_192.168.0.{ip}', "color": "khaki"}
    objects_list_ip_second.append(data)
    
first_ip = 1
last_ip = 4
while last_ip < 125:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "color": "sienna"}
    objects_list_range_first.append(data)
    first_ip+=5
    last_ip+=5
    
while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "color": "khaki"}
    objects_list_range_second.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch_first  = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip_first
}, {
    "type" : "address-range",
    "list" : objects_list_range_first
  }]
}

data_for_batch_second  = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip_second
}, {
    "type" : "address-range",
    "list" : objects_list_range_second
  }]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==') 
     set_objects_batch_first = client.api_call("set-objects-batch", data_for_batch_first)
     set_objects_batch_second = client.api_call("set-objects-batch", data_for_batch_second)
     publish = client.api_call("publish")

API 호출 하나로 여러 객체를 삭제할 수 있습니다. 삭제-객체-배치이제 이전에 생성된 모든 호스트를 삭제하는 코드의 예를 살펴보겠습니다. 객체 추가 배치.

delete-objects-batch를 사용하여 객체 삭제

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip = []
objects_list_range = []

for ip in range(5,255,5):
    data = {"name": f'h_192.168.0.{ip}'}
    objects_list_ip.append(data)

first_ip = 1
last_ip = 4
while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}"}
    objects_list_range.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip
}, {
    "type" : "address-range",
    "list" : objects_list_range
  }]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     delete_objects_batch = client.api_call("delete-objects-batch", data_for_batch)
     publish = client.api_call("publish")

print(delete_objects_batch.data)

새로운 Check Point 소프트웨어 릴리스에 포함된 모든 기능은 API 호출을 즉시 받습니다. 따라서 R80.40에는 수정 버전으로 되돌리기 및 스마트 작업과 같은 "기능"이 추가되었고, 해당 API 호출이 즉시 준비되었습니다. 또한, 레거시 콘솔에서 통합 정책 모드로 전환할 때 발생하는 모든 기능도 API 지원을 받습니다. 예를 들어, R80.40 소프트웨어 버전에서 오랫동안 기다려온 업데이트 중 하나는 HTTPS 검사 정책을 레거시 모드에서 통합 정책 모드로 전환하는 것이었으며, 이 기능은 즉시 API 호출을 받았습니다. 다음은 HTTPS 검사 정책의 최상위에 규칙을 추가하여 여러 국가의 법률에 따라 검사가 금지된 3가지 범주(의료, 금융, 정부 서비스)를 검사에서 제외하는 코드의 예입니다.

HTTPS 검사 정책에 규칙 추가

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

data = {
  "layer" : "Default Layer",
  "position" : "top",
  "name" : "Legal Requirements",
  "action": "bypass",
  "site-category": ["Health", "Government / Military", "Financial Services"]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     add_https_rule = client.api_call("add-https-rule", data)
     publish = client.api_call("publish")

Check Point 관리 서버에서 Python 스크립트 실행

모든 것이 똑같다 README.md 제어 서버에서 Python 스크립트를 직접 실행하는 방법에 대한 정보가 포함되어 있습니다. 다른 컴퓨터에서 API 서버에 연결할 수 없을 때 유용할 수 있습니다. 모듈 설치 방법을 설명하는 6분 분량의 영상을 녹화했습니다. cpapi 관리 서버에서 Python 스크립트를 실행하는 기능. 예를 들어, 네트워크 감사와 같은 작업을 위해 새 게이트웨이 구성을 자동화하는 스크립트가 실행됩니다. 보안 점검. 내가 처리해야 했던 기능 중 하나: Python 2.7에서는 함수가 아직 나타나지 않았습니다. 입력따라서 이 함수는 사용자가 입력한 정보를 처리하는 데 사용됩니다. 원시 입력. 그렇지 않으면 코드는 다른 컴퓨터에서 시작하는 것과 동일하며 함수를 사용하는 것이 더 편리합니다. 루트로 로그인, 다시 제어 서버의 사용자 이름, 비밀번호, IP 주소를 지정하지 않도록 하세요.

Security CheckUp의 빠른 설정을 위한 스크립트

from __future__ import print_function
import getpass
import sys, os
sys.path.append(os.path.abspath(os.path.join(os.path.dirname(__file__), '..')))
from cpapi import APIClient, APIClientArgs

def main():
    with APIClient() as client:
       # if client.check_fingerprint() is False:
       #     print("Could not get the server's fingerprint - Check connectivity with the server.")
       #     exit(1)
        login_res = client.login_as_root()

        if login_res.success is False:
            print("Login failed:n{}".format(login_res.error_message))
            exit(1)

        gw_name = raw_input("Enter the gateway name:")
        gw_ip = raw_input("Enter the gateway IP address:")
        if sys.stdin.isatty():
            sic = getpass.getpass("Enter one-time password for the gateway(SIC): ")
        else:
            print("Attention! Your password will be shown on the screen!")
            sic = raw_input("Enter one-time password for the gateway(SIC): ")
        version = raw_input("Enter the gateway version(like RXX.YY):")
        add_gw = client.api_call("add-simple-gateway", {'name' : gw_name, 'ipv4-address' : gw_ip, 'one-time-password' : sic, 'version': version.capitalize(), 'application-control' : 'true', 'url-filtering' : 'true', 'ips' : 'true', 'anti-bot' : 'true', 'anti-virus' : 'true', 'threat-emulation' : 'true'})
        if add_gw.success and add_gw.data['sic-state'] != "communicating":
            print("Secure connection with the gateway hasn't established!")
            exit(1)
        elif add_gw.success:
            print("The gateway was added successfully.")
            gw_uid = add_gw.data['uid']
            gw_name = add_gw.data['name']
        else:
            print("Failed to add the gateway - {}".format(add_gw.error_message))
            exit(1)

        change_policy = client.api_call("set-access-layer", {"name" : "Network", "applications-and-url-filtering": "true", "content-awareness": "true"})
        if change_policy.success:
            print("The policy has been changed successfully")
        else:
            print("Failed to change the policy- {}".format(change_policy.error_message))
        change_rule = client.api_call("set-access-rule", {"name" : "Cleanup rule", "layer" : "Network", "action": "Accept", "track": {"type": "Detailed Log", "accounting": "true"}})
        if change_rule.success:
            print("The cleanup rule has been changed successfully")
        else:
            print("Failed to change the cleanup rule- {}".format(change_rule.error_message))

        # publish the result
        publish_res = client.api_call("publish", {})
        if publish_res.success:
            print("The changes were published successfully.")
        else:
                print("Failed to publish the changes - {}".format(install_tp_policy.error_message))

        install_access_policy = client.api_call("install-policy", {"policy-package" : "Standard", "access" : 'true',  "threat-prevention" : 'false', "targets" : gw_uid})
        if install_access_policy.success:
            print("The access policy has been installed")
        else:
                print("Failed to install access policy - {}".format(install_tp_policy.error_message))

        install_tp_policy = client.api_call("install-policy", {"policy-package" : "Standard", "access" : 'false',  "threat-prevention" : 'true', "targets" : gw_uid})
        if install_tp_policy.success:
            print("The threat prevention policy has been installed")
        else:
            print("Failed to install threat prevention policy - {}".format(install_tp_policy.error_message))
        
        # add passwords and passphrases to dictionary
        with open('additional_pass.conf') as f:
            line_num = 0
            for line in f:
                line_num += 1
                add_password_dictionary = client.api_call("run-script", {"script-name" : "Add passwords and passphrases", "script" : "printf "{}" >> $FWDIR/conf/additional_pass.conf".format(line), "targets" : gw_name})
                if add_password_dictionary.success:
                    print("The password dictionary line {} was added successfully".format(line_num))
                else:
                    print("Failed to add the dictionary - {}".format(add_password_dictionary.error_message))

main()

비밀번호 사전 additional_pass.conf가 포함된 파일의 예
{
"passwords" : ["malware","malicious","infected","Infected"],
"phrases" : ["password","Password","Pass","pass","codigo","key","pwd","пароль","Пароль","Ключ","ключ","шифр","Шифр"]
}

결론

이 기사에서는 작업의 기본적인 가능성만 다룹니다. 파이썬 SDK 그리고 모듈 cpapi(짐작하셨겠지만, 이것들은 실제로 동의어입니다.) 이 모듈의 코드를 살펴보면 더 많은 작업 가능성을 발견하게 될 것입니다. 자신만의 클래스, 함수, 메서드, 변수를 추가하여 코드를 보완하고 싶을 수도 있습니다. 언제든지 개발 과정을 공유하고 Check Point의 다른 스크립트는 해당 섹션에서 확인할 수 있습니다. 코드허브 커뮤니티에서 체크메이트제품 개발자와 사용자를 하나로 모으는 것입니다.

즐거운 코딩 되시길 바랍니다. 끝까지 읽어주셔서 감사합니다!

출처 : habr.com