🥇Python SDK로 Check Point API로 작업하기 쉽게 만들기

API 응답 분석을 위한 API 요청 및 도구를 동적으로 생성할 수 있게 되면 프로그램 코드와 함께 사용할 때 API와 상호 작용하는 모든 기능이 드러납니다. 그러나 여전히 관찰되지 않은 상태로 남아 있습니다. Python 소프트웨어 개발 키트 (이하 - Python SDK) 체크포인트 관리 API,하지만 헛된. 개발자와 자동화 애호가의 삶을 크게 단순화합니다. Python은 최근 몇 년 동안 엄청난 인기를 얻었고 저는 격차를 좁히고 주요 기능을 검토하기로 결정했습니다. Check Point API Python 개발 키트. 이 기사는 Habré에 대한 다른 기사에 훌륭한 추가 기능을 제공합니다. 체크 포인트 R80.10 API. CLI, 스크립트 등을 통한 제어. Python SDK를 사용하여 스크립트를 작성하는 방법을 살펴보고 버전 1.6(R80.40부터 지원됨)의 관리 API의 새로운 기능에 대해 자세히 살펴보겠습니다. 이 기사를 이해하려면 API 및 Python 작업에 대한 기본 지식이 필요합니다.

Check Point는 API를 적극적으로 개발하고 있으며 현재 다음과 같이 탄생했습니다.

Check Point Management API(현재 버전 1.6) - API를 통해 관리 서버와 작업(및 관리 서버가 제어하는 게이트웨이에서 스크립트를 실행하는 기능)
Check Point GAIA API(현재 버전 1.4) - 보안 게이트웨이 작업
위협 방지 API 1.0 - Check Point 클라우드에서 샌드박스 작업
신원 인식 API - 게이트웨이에서 신원 인식 블레이드와 함께 작동
보안 관리 포털 API - SMB 게이트웨이 관리를 위한 포털 작업(SMB 게이트웨이에 대한 추가 정보)
IoT API — IoT 컨트롤러와의 상호 작용
CloudGuard 연결 API - 작업 클라우드가드 커넥트 (SD-WAN 보안 솔루션)
돔9 API - 작업 돔 9

Python SDK는 현재 관리 API와의 상호 작용만 지원하고 가이아 API. 이 모듈에서 가장 중요한 클래스, 메서드 및 변수를 다룰 것입니다.

모듈 설치

기준 치수 CPAPI 에서 빠르고 쉽게 설치 github의 Check Point 공식 저장소 를 통해 삐악 삐악 울다. 자세한 설치 지침은 README.md. 이 모듈은 Python 버전 2.7 및 3.7에서 작동하도록 조정되었습니다. 이 기사에서는 Python 3.7을 사용하여 예제를 제공합니다. 단, Python SDK는 Check Point 관리 서버(Smart Management)에서 직접 실행할 수 있지만 Python 2.7만 지원하므로 버전 2.7에 대한 코드는 마지막 섹션에서 제공됩니다. 모듈을 설치한 직후 디렉토리의 예제를 살펴보는 것이 좋습니다. example_python2 и example_python3.

시작하기

cpapi 모듈의 구성 요소를 사용하려면 모듈에서 가져와야 합니다. CPAPI 최소 두 개의 필수 클래스:

API클라이언트 и APIClientArgs

from cpapi import APIClient, APIClientArgs

클래스 APIClientArgs API 서버에 대한 연결 매개변수 및 클래스를 담당합니다. API클라이언트 API와의 상호 작용을 담당합니다.

연결 매개변수 정의

API에 연결하기 위한 다양한 매개 변수를 정의하려면 클래스의 인스턴스를 생성해야 합니다. APIClientArgs. 원칙적으로 해당 매개변수는 미리 정의되어 있으며 제어 서버에서 스크립트를 실행할 때 생략할 수 있습니다.

client_args = APIClientArgs()

그러나 타사 호스트에서 실행하는 경우 최소한 API 서버(관리 서버라고도 함)의 IP 주소 또는 호스트 이름을 지정해야 합니다. 아래 예에서는 연결 매개변수 서버를 정의하고 이를 관리 서버의 IP 주소 문자열로 지정합니다.

client_args = APIClientArgs(server='192.168.47.241')

API 서버에 연결할 때 사용할 수 있는 모든 매개변수와 해당 기본값을 살펴보겠습니다.

APIClientArgs 클래스의 __init__ 메서드에 대한 인수

class APIClientArgs:
    """
    This class provides arguments for APIClient configuration.
    All the arguments are configured with their default values.
    """

    # port is set to None by default, but it gets replaced with 443 if not specified
    # context possible values - web_api (default) or gaia_api
    def __init__(self, port=None, fingerprint=None, sid=None, server="127.0.0.1", http_debug_level=0,
                 api_calls=None, debug_file="", proxy_host=None, proxy_port=8080,
                 api_version=None, unsafe=False, unsafe_auto_accept=False, context="web_api"):
        self.port = port
        # management server fingerprint
        self.fingerprint = fingerprint
        # session-id.
        self.sid = sid
        # management server name or IP-address
        self.server = server
        # debug level
        self.http_debug_level = http_debug_level
        # an array with all the api calls (for debug purposes)
        self.api_calls = api_calls if api_calls else []
        # name of debug file. If left empty, debug data will not be saved to disk.
        self.debug_file = debug_file
        # HTTP proxy server address (without "http://")
        self.proxy_host = proxy_host
        # HTTP proxy port
        self.proxy_port = proxy_port
        # Management server's API version
        self.api_version = api_version
        # Indicates that the client should not check the server's certificate
        self.unsafe = unsafe
        # Indicates that the client should automatically accept and save the server's certificate
        self.unsafe_auto_accept = unsafe_auto_accept
        # The context of using the client - defaults to web_api
        self.context = context

APIClientArgs 클래스의 인스턴스에서 사용할 수 있는 인수는 Check Point 관리자에게 직관적이며 추가 설명이 필요하지 않다고 생각합니다.

APIClient 및 컨텍스트 관리자를 통해 연결

클래스 API클라이언트 컨텍스트 매니저를 통해 사용하는 것이 가장 편리합니다. APIClient 클래스의 인스턴스에 전달해야 하는 모든 것은 마지막 단계에서 정의된 연결 매개변수입니다.

with APIClient(client_args) as client:

컨텍스트 관리자는 API 서버에 자동으로 로그인 호출을 하지 않지만 종료할 때 로그아웃 호출을 합니다. 어떤 이유로 API 호출 작업을 마쳤을 때 로그아웃할 필요가 없다면 컨텍스트 관리자를 사용하지 않고 작업을 시작해야 합니다.

client = APIClient(clieng_args)

연결 테스트

방법을 사용하여 지정된 매개 변수에 따라 연결이 통과하는지 확인하는 것이 가장 쉽습니다. 수표_지문. 서버 API 인증서의 지문에 대한 sha1 해시 합계 확인에 실패한 경우(메서드가 반환됨) 거짓), 이는 일반적으로 연결 문제로 인해 발생하며 프로그램 실행을 중지할 수 있습니다(또는 사용자에게 연결 데이터를 수정할 기회를 제공).

    if client.check_fingerprint() is False:
        print("Could not get the server's fingerprint - Check connectivity with the server.")
        exit(1)

앞으로 수업은 참고해주세요 API클라이언트 모든 API 호출을 확인합니다(메소드 api_call и api_query, 조금 더 이야기하겠습니다) API 서버에 있는 인증서의 sha1 지문. 단, 서버 API 인증서의 sha1 지문 확인 시 오류가 감지된 경우(인증서를 알 수 없거나 변경된 경우), 해당 방법은 수표_지문 자동 모드에서 로컬 시스템에 대한 정보를 추가/변경할 수 있는 기회를 제공합니다. 이 검사는 APIClientArgs 인수를 사용하여 모두 비활성화할 수 있습니다(그러나 이것은 127.0.0.1에 연결할 때 스크립트가 API 서버 자체에서 실행되는 경우에만 권장됨). unsafe_auto_accept (앞부분의 "연결 매개변수 정의"에서 APIClientArgs에 대해 자세히 참조하십시오.)

client_args = APIClientArgs(unsafe_auto_accept=True)

API 서버에 로그인

У API클라이언트 API 서버에는 최대 3개의 로그인 방법이 있으며 각각의 값을 기억합니다. 시드(session-id), 헤더의 각 후속 API 호출에서 자동으로 사용됩니다(이 매개변수의 헤더에 있는 이름은 X-chkp-sid), 따라서 이 매개변수를 더 이상 처리할 필요가 없습니다.

로그인 방법

로그인 및 비밀번호를 사용하는 옵션(예제에서 사용자 이름 admin 및 비밀번호 1q2w3e가 위치 인수로 전달됨):

     login = client.login('admin', '1q2w3e')

추가 선택적 매개변수는 로그인 방법에서도 사용할 수 있습니다. 이름과 기본값은 다음과 같습니다.

continue_last_session=False, domain=None, read_only=False, payload=None

login_with_api_key 메소드

API 키를 사용하는 옵션(관리 버전 R80.40/관리 API v1.6부터 지원, "3TsbPJ8ZKjaJGvFyoFqHFA==" 이는 API 키 인증 방법을 사용하는 관리 서버의 사용자 중 한 명에 대한 API 키 값입니다.

     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')

방법에서 login_with_api_key 메서드에서와 동일한 선택적 매개 변수를 사용할 수 있습니다. 로그인.

login_as_root 방법

API 서버를 사용하여 로컬 시스템에 로그인하는 옵션:

     login = client.login_as_root()

이 방법에는 두 개의 선택적 매개변수만 사용할 수 있습니다.

domain=None, payload=None

그리고 마지막으로 API는 자신을 호출합니다.

메서드를 통해 API를 호출하는 두 가지 옵션이 있습니다. api_call и api_query. 그들 사이의 차이점이 무엇인지 봅시다.

api_call

이 방법은 모든 통화에 적용할 수 있습니다. 필요한 경우 API 호출의 마지막 부분과 요청 본문의 페이로드를 전달해야 합니다. 페이로드가 비어 있으면 전혀 전송할 수 없습니다.

api_versions = client.api_call('show-api-versions')

이 요청에 대한 출력은 다음과 같습니다.

In [23]: api_versions                                                           
Out[23]: 
APIResponse({
    "data": {
        "current-version": "1.6",
        "supported-versions": [
            "1",
            "1.1",
            "1.2",
            "1.3",
            "1.4",
            "1.5",
            "1.6"
        ]
    },
    "res_obj": {
        "data": {
            "current-version": "1.6",
            "supported-versions": [
                "1",
                "1.1",
                "1.2",
                "1.3",
                "1.4",
                "1.5",
                "1.6"
            ]
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

show_host = client.api_call('show-host', {'name' : 'h_8.8.8.8'})

이 요청에 대한 출력은 다음과 같습니다.

In [25]: show_host                                                              
Out[25]: 
APIResponse({
    "data": {
        "color": "black",
        "comments": "",
        "domain": {
            "domain-type": "domain",
            "name": "SMC User",
            "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
        },
        "groups": [],
        "icon": "Objects/host",
        "interfaces": [],
        "ipv4-address": "8.8.8.8",
        "meta-info": {
            "creation-time": {
                "iso-8601": "2020-05-01T21:49+0300",
                "posix": 1588358973517
            },
            "creator": "admin",
            "last-modifier": "admin",
            "last-modify-time": {
                "iso-8601": "2020-05-01T21:49+0300",
                "posix": 1588358973517
            },
            "lock": "unlocked",
            "validation-state": "ok"
        },
        "name": "h_8.8.8.8",
        "nat-settings": {
            "auto-rule": false
        },
        "read-only": false,
        "tags": [],
        "type": "host",
        "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
    },
    "res_obj": {
        "data": {
            "color": "black",
            "comments": "",
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "groups": [],
            "icon": "Objects/host",
            "interfaces": [],
            "ipv4-address": "8.8.8.8",
            "meta-info": {
                "creation-time": {
                    "iso-8601": "2020-05-01T21:49+0300",
                    "posix": 1588358973517
                },
                "creator": "admin",
                "last-modifier": "admin",
                "last-modify-time": {
                    "iso-8601": "2020-05-01T21:49+0300",
                    "posix": 1588358973517
                },
                "lock": "unlocked",
                "validation-state": "ok"
            },
            "name": "h_8.8.8.8",
            "nat-settings": {
                "auto-rule": false
            },
            "read-only": false,
            "tags": [],
            "type": "host",
            "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

api_query

이 방법은 출력이 오프셋(시프트)을 암시하는 호출에만 적용할 수 있음을 즉시 예약하겠습니다. 이러한 결론은 많은 양의 정보를 포함하거나 포함할 수 있을 때 발생합니다. 예를 들어 관리 서버에서 호스트 유형의 생성된 모든 개체 목록에 대한 요청일 수 있습니다. 이러한 요청의 경우 API는 기본적으로 50개의 객체 목록을 반환합니다(응답에서 제한을 500개 객체로 늘릴 수 있음). 그리고 정보를 여러 번 가져오지 않기 위해 API 요청에서 오프셋 매개변수를 변경하면 자동으로 이 작업을 수행하는 api_query 메서드가 있습니다. 이 메서드가 필요한 호출의 예: show-sessions, show-hosts, show-networks, show-wildcards, show-groups, show-address-ranges, show-simple-gateways, show-simple-clusters, show-access-roles, show-trusted-clients, 패키지 표시. 실제로 이러한 API 호출의 이름에서 복수형 단어를 볼 수 있으므로 이러한 호출을 통해 처리하기가 더 쉬울 것입니다. api_query

show_hosts = client.api_query('show-hosts')

이 요청에 대한 출력은 다음과 같습니다.

In [21]: show_hosts                                                             
Out[21]: 
APIResponse({
    "data": [
        {
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "ipv4-address": "192.168.47.1",
            "name": "h_192.168.47.1",
            "type": "host",
            "uid": "5d7d7086-d70b-4995-971a-0583b15a2bfc"
        },
        {
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "ipv4-address": "8.8.8.8",
            "name": "h_8.8.8.8",
            "type": "host",
            "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
        }
    ],
    "res_obj": {
        "data": {
            "from": 1,
            "objects": [
                {
                    "domain": {
                        "domain-type": "domain",
                        "name": "SMC User",
                        "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
                    },
                    "ipv4-address": "192.168.47.1",
                    "name": "h_192.168.47.1",
                    "type": "host",
                    "uid": "5d7d7086-d70b-4995-971a-0583b15a2bfc"
                },
                {
                    "domain": {
                        "domain-type": "domain",
                        "name": "SMC User",
                        "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
                    },
                    "ipv4-address": "8.8.8.8",
                    "name": "h_8.8.8.8",
                    "type": "host",
                    "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
                }
            ],
            "to": 2,
            "total": 2
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

API 호출 결과 처리

그런 다음 클래스의 변수와 메서드를 사용할 수 있습니다. API 응답(컨텍스트 관리자 내부와 외부 모두). 수업에서 API 응답 4가지 방법과 5가지 변수가 미리 정의되어 있으며 가장 중요한 방법에 대해 자세히 살펴보겠습니다.

성공

우선 API 호출이 성공했고 결과가 반환되었는지 확인하는 것이 좋을 것입니다. 이에 대한 방법이 있습니다 성공:

In [49]: api_versions.success                                                   
Out[49]: True

API 호출이 성공하면 True를 반환하고(응답 코드 - 200) 실패하면 False를 반환합니다(다른 응답 코드). 응답 코드에 따라 다른 정보를 표시하여 API 호출 직후에 사용하면 편리합니다.

if api_ver.success: 
    print(api_versions.data) 
else: 
    print(api_versions.err_message)

상태 코드

API 호출 후 응답 코드를 반환합니다.

In [62]: api_versions.status_code                                               
Out[62]: 400

가능한 응답 코드: 200,400,401,403,404,409,500,501.

set_success_status

이 경우 성공 상태 값을 변경해야 할 수 있습니다. 기술적으로는 일반 문자열을 포함하여 무엇이든 넣을 수 있습니다. 그러나 실제 예는 수반되는 특정 조건에서 주어진 매개변수를 False로 재설정하는 것입니다. 아래에서 관리 서버에서 실행 중인 작업이 있는 경우의 예에 주의를 기울이십시오. 하지만 이 요청을 실패한 것으로 간주합니다(성공 변수를 다음으로 설정합니다). 거짓, API 호출이 성공하고 200 코드를 반환했음에도 불구하고).

for task in task_result.data["tasks"]:
    if task["status"] == "failed" or task["status"] == "partially succeeded":
        task_result.set_success_status(False)
        break

응답()

응답 메서드를 사용하면 응답 코드(status_code)와 응답 본문(body)으로 사전을 볼 수 있습니다.

In [94]: api_versions.response()                                                
Out[94]: 
{'status_code': 200,
 'data': {'current-version': '1.6',
  'supported-versions': ['1', '1.1', '1.2', '1.3', '1.4', '1.5', '1.6']}}

데이터

불필요한 정보 없이 응답의 본문(본문)만 볼 수 있도록 합니다.

In [93]: api_versions.data                                                      
Out[93]: 
{'current-version': '1.6',
 'supported-versions': ['1', '1.1', '1.2', '1.3', '1.4', '1.5', '1.6']}

에러 메시지

이 정보는 API 요청(응답 코드) 처리 중 오류가 발생한 경우에만 사용할 수 있습니다. 아니 200). 출력 예

In [107]: api_versions.error_message                                            
Out[107]: 'code: generic_err_invalid_parameter_namenmessage: Unrecognized parameter [1]n'

유용한 예

다음은 Management API 1.6 버전에서 추가된 API 호출을 사용하는 예입니다.

먼저 통화가 어떻게 작동하는지 살펴보겠습니다. 호스트 추가 и 추가 주소 범위. 서브넷 192.168.0.0/24의 모든 IP 주소를 마지막 옥텟이 5인 호스트 유형의 개체로 생성하고 나머지 모든 IP 주소를 주소 범위 유형의 개체로 작성해야 한다고 가정합니다. 이 경우 서브넷 주소와 브로드캐스트 주소는 제외하십시오.

따라서 아래는 이 문제를 해결하고 호스트 유형의 개체 50개와 주소 범위 유형의 개체 51개를 생성하는 스크립트입니다. 문제를 해결하려면 101개의 API 호출이 필요합니다(최종 게시 호출 제외). 또한 timeit 모듈을 사용하여 변경 사항이 게시될 때까지 스크립트를 실행하는 시간을 계산합니다.

add-host 및 add-address-range를 사용하는 스크립트

import timeit
from cpapi import APIClient, APIClientArgs

start = timeit.default_timer()

first_ip = 1
last_ip = 4

client_args = APIClientArgs(server="192.168.47.240")

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     for ip in range(5,255,5):
         add_host = client.api_call("add-host", {"name" : f"h_192.168.0.{ip}", "ip-address": f'192.168.0.{ip}'})
     while last_ip < 255:
         add_range = client.api_call("add-address-range", {"name": f"r_192.168.0.{first_ip}-{last_ip}", "ip-address-first": f"192.168.0.{first_ip}", "ip-address-last": f"192.168.0.{last_ip}"})
         first_ip+=5
         last_ip+=5
     stop = timeit.default_timer() 
     publish = client.api_call("publish")
     
print(f'Time to execute batch request: {stop - start} seconds')

내 랩 환경에서 이 스크립트는 관리 서버의 로드에 따라 완료하는 데 30~50초가 걸립니다.

이제 API 호출을 사용하여 동일한 문제를 해결하는 방법을 살펴보겠습니다. 개체 추가 배치, API 버전 1.6에 추가된 지원입니다. 이 호출을 사용하면 하나의 API 요청에서 한 번에 많은 객체를 생성할 수 있습니다. 또한 이들은 다른 유형의 개체(예: 호스트, 서브넷 및 주소 범위)일 수 있습니다. 따라서 단일 API 호출 내에서 작업을 해결할 수 있습니다.

add-objects-batch를 사용한 스크립트

import timeit
from cpapi import APIClient, APIClientArgs

start = timeit.default_timer()

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip = []
objects_list_range = []

for ip in range(5,255,5):
    data = {"name": f'h_192.168.0.{ip}', "ip-address": f'192.168.0.{ip}'}
    objects_list_ip.append(data)
    
first_ip = 1
last_ip = 4


while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "ip-address-first": f"192.168.0.{first_ip}", "ip-address-last": f"192.168.0.{last_ip}"}
    objects_list_range.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip
}, {
    "type" : "address-range",
    "list" : objects_list_range
  }]
}


with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     add_objects_batch = client.api_call("add-objects-batch", data_for_batch)
     stop = timeit.default_timer() 
     publish = client.api_call("publish")
     
print(f'Time to execute batch request: {stop - start} seconds')

그리고 내 랩 환경에서 이 스크립트를 실행하는 데 관리 서버의 로드에 따라 3~7초가 걸립니다. 즉, 평균적으로 101개의 API 개체에서 배치 유형의 호출이 10배 빠르게 실행됩니다. 더 많은 물체에서 그 차이는 훨씬 더 인상적일 것입니다.

이제 작업 방법을 살펴 보겠습니다. 객체 집합 배치. 이 API 호출을 통해 모든 매개변수를 일괄 변경할 수 있습니다. 이전 예제에서 주소의 전반부(최대 .124 호스트 및 범위도 포함)를 sienna로 설정하고 후반부 주소를 khaki로 설정해 보겠습니다.

이전 예제에서 만든 객체의 색상 변경

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip_first = []
objects_list_range_first = []
objects_list_ip_second = []
objects_list_range_second = []

for ip in range(5,125,5):
    data = {"name": f'h_192.168.0.{ip}', "color": "sienna"}
    objects_list_ip_first.append(data)
    
for ip in range(125,255,5):
    data = {"name": f'h_192.168.0.{ip}', "color": "khaki"}
    objects_list_ip_second.append(data)
    
first_ip = 1
last_ip = 4
while last_ip < 125:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "color": "sienna"}
    objects_list_range_first.append(data)
    first_ip+=5
    last_ip+=5
    
while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "color": "khaki"}
    objects_list_range_second.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch_first  = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip_first
}, {
    "type" : "address-range",
    "list" : objects_list_range_first
  }]
}

data_for_batch_second  = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip_second
}, {
    "type" : "address-range",
    "list" : objects_list_range_second
  }]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==') 
     set_objects_batch_first = client.api_call("set-objects-batch", data_for_batch_first)
     set_objects_batch_second = client.api_call("set-objects-batch", data_for_batch_second)
     publish = client.api_call("publish")

다음을 사용하여 한 번의 API 호출로 여러 개체를 삭제할 수 있습니다. 삭제-개체-배치. 이제 다음을 통해 이전에 생성된 모든 호스트를 제거하는 코드 예제를 살펴보겠습니다. 개체 추가 배치.

delete-objects-batch로 객체 삭제

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip = []
objects_list_range = []

for ip in range(5,255,5):
    data = {"name": f'h_192.168.0.{ip}'}
    objects_list_ip.append(data)

first_ip = 1
last_ip = 4
while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}"}
    objects_list_range.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip
}, {
    "type" : "address-range",
    "list" : objects_list_range
  }]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     delete_objects_batch = client.api_call("delete-objects-batch", data_for_batch)
     publish = client.api_call("publish")

print(delete_objects_batch.data)

Check Point 소프트웨어의 새 릴리스에 나타나는 모든 기능은 API 호출을 즉시 획득합니다. 그래서 R80.40에서는 리비전으로 되돌리기, 스마트 태스크와 같은 "기능"이 등장했고 이에 대한 API 호출이 즉시 준비되었습니다. 또한 레거시 콘솔에서 통합 정책 모드로 전환할 때의 모든 기능도 API 지원을 얻습니다. 예를 들어 오랫동안 기다려온 소프트웨어 버전 R80.40의 업데이트는 HTTPS 검사 정책을 레거시 모드에서 통합 정책 모드로 이동하는 것이었고 이 기능은 즉시 API 호출을 받았습니다. 다음은 여러 국가의 법률에 따라 검사가 금지된 3개 범주(Health, Finance, Public Services)를 검사에서 제외하는 HTTPS 검사 정책의 최상위 위치에 규칙을 추가한 코드의 예입니다.

HTTPS 검사 정책에 규칙 추가

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

data = {
  "layer" : "Default Layer",
  "position" : "top",
  "name" : "Legal Requirements",
  "action": "bypass",
  "site-category": ["Health", "Government / Military", "Financial Services"]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     add_https_rule = client.api_call("add-https-rule", data)
     publish = client.api_call("publish")

Check Point Management Server에서 Python 스크립트 실행

모두 같은 README.md 관리 서버에서 직접 Python 스크립트를 실행하는 방법에 대한 정보가 포함되어 있습니다. 이것은 다른 컴퓨터에서 API 서버에 연결할 수 없을 때 유용할 수 있습니다. 모듈 설치를 고려한 XNUMX분짜리 비디오를 녹화했습니다. CPAPI 제어 서버에서 Python 스크립트를 실행하는 기능. 예를 들어, 네트워크 감사와 같은 작업을 위해 새 게이트웨이 구성을 자동화하는 스크립트가 실행됩니다. 보안 점검. 내가 다루어야 할 기능 중 : Python 2.7 버전에서는 아직 기능이 나타나지 않았습니다. 입력, 사용자가 입력한 정보를 처리하기 위해 함수를 사용합니다. raw_input. 그렇지 않으면 코드는 다른 컴퓨터에서 실행하는 것과 동일하며 기능을 사용하는 것이 더 편리합니다. login_as_root, 관리 서버의 사용자 이름, 비밀번호 및 IP 주소를 다시 지정하지 않도록 합니다.

Security CheckUp의 빠른 구성을 위한 스크립트

from __future__ import print_function
import getpass
import sys, os
sys.path.append(os.path.abspath(os.path.join(os.path.dirname(__file__), '..')))
from cpapi import APIClient, APIClientArgs

def main():
    with APIClient() as client:
       # if client.check_fingerprint() is False:
       #     print("Could not get the server's fingerprint - Check connectivity with the server.")
       #     exit(1)
        login_res = client.login_as_root()

        if login_res.success is False:
            print("Login failed:n{}".format(login_res.error_message))
            exit(1)

        gw_name = raw_input("Enter the gateway name:")
        gw_ip = raw_input("Enter the gateway IP address:")
        if sys.stdin.isatty():
            sic = getpass.getpass("Enter one-time password for the gateway(SIC): ")
        else:
            print("Attention! Your password will be shown on the screen!")
            sic = raw_input("Enter one-time password for the gateway(SIC): ")
        version = raw_input("Enter the gateway version(like RXX.YY):")
        add_gw = client.api_call("add-simple-gateway", {'name' : gw_name, 'ipv4-address' : gw_ip, 'one-time-password' : sic, 'version': version.capitalize(), 'application-control' : 'true', 'url-filtering' : 'true', 'ips' : 'true', 'anti-bot' : 'true', 'anti-virus' : 'true', 'threat-emulation' : 'true'})
        if add_gw.success and add_gw.data['sic-state'] != "communicating":
            print("Secure connection with the gateway hasn't established!")
            exit(1)
        elif add_gw.success:
            print("The gateway was added successfully.")
            gw_uid = add_gw.data['uid']
            gw_name = add_gw.data['name']
        else:
            print("Failed to add the gateway - {}".format(add_gw.error_message))
            exit(1)

        change_policy = client.api_call("set-access-layer", {"name" : "Network", "applications-and-url-filtering": "true", "content-awareness": "true"})
        if change_policy.success:
            print("The policy has been changed successfully")
        else:
            print("Failed to change the policy- {}".format(change_policy.error_message))
        change_rule = client.api_call("set-access-rule", {"name" : "Cleanup rule", "layer" : "Network", "action": "Accept", "track": {"type": "Detailed Log", "accounting": "true"}})
        if change_rule.success:
            print("The cleanup rule has been changed successfully")
        else:
            print("Failed to change the cleanup rule- {}".format(change_rule.error_message))

        # publish the result
        publish_res = client.api_call("publish", {})
        if publish_res.success:
            print("The changes were published successfully.")
        else:
                print("Failed to publish the changes - {}".format(install_tp_policy.error_message))

        install_access_policy = client.api_call("install-policy", {"policy-package" : "Standard", "access" : 'true',  "threat-prevention" : 'false', "targets" : gw_uid})
        if install_access_policy.success:
            print("The access policy has been installed")
        else:
                print("Failed to install access policy - {}".format(install_tp_policy.error_message))

        install_tp_policy = client.api_call("install-policy", {"policy-package" : "Standard", "access" : 'false',  "threat-prevention" : 'true', "targets" : gw_uid})
        if install_tp_policy.success:
            print("The threat prevention policy has been installed")
        else:
            print("Failed to install threat prevention policy - {}".format(install_tp_policy.error_message))
        
        # add passwords and passphrases to dictionary
        with open('additional_pass.conf') as f:
            line_num = 0
            for line in f:
                line_num += 1
                add_password_dictionary = client.api_call("run-script", {"script-name" : "Add passwords and passphrases", "script" : "printf "{}" >> $FWDIR/conf/additional_pass.conf".format(line), "targets" : gw_name})
                if add_password_dictionary.success:
                    print("The password dictionary line {} was added successfully".format(line_num))
                else:
                    print("Failed to add the dictionary - {}".format(add_password_dictionary.error_message))

main()

암호 사전 additional_pass.conf가 있는 파일의 예
{ "passwords" : ["malware","malicious","infected","Infected"], "phrases" : ["password","Password","Pass","pass","codigo","key","pwd","пароль","Пароль","Ключ","ключ","шифр","Шифр"] }

결론

이 기사는 작업의 주요 기능만 다룹니다. 파이썬 SDK 및 모듈 CPAPI(추측할 수 있겠지만 실제로는 동의어입니다.) 이 모듈의 코드를 학습하면 더 많은 작업 가능성을 발견할 수 있습니다. 자신의 클래스, 함수, 메서드 및 변수로 이를 보완하고 싶을 수도 있습니다. 섹션에서 언제든지 작업을 공유하고 Check Point에 대한 다른 스크립트를 볼 수 있습니다. 코드허브 커뮤니티에서 체크메이트, 제품 개발자와 사용자를 결합합니다.

끝까지 읽어 주셔서 감사합니다!

출처 : habr.com

Python SDK로 Check Point API 단순화

모듈 설치

시작하기

연결 매개변수 정의

APIClient 및 컨텍스트 관리자를 통해 연결

연결 테스트

API 서버에 로그인

로그인 방법

login_with_api_key 메소드

login_as_root 방법

그리고 마지막으로 API는 자신을 호출합니다.

api_call

api_query

API 호출 결과 처리

성공

상태 코드

set_success_status

응답()

데이터

에러 메시지

유용한 예

Check Point Management Server에서 Python 스크립트 실행

결론

코멘트를 추가 답장을 취소