Поедноставување на Check Point API со Python SDK

Целосната моќ на интеракција со API се открива кога се користи заедно со програмскиот код, кога станува возможно динамичко да се генерираат API барања и алатки за анализа на одговорите на API. Сепак, сè уште останува незабележливо Комплет за развој на софтвер Python (во натамошниот текст како Python SDK) за Check Point Management API, но залудно. Тоа значително го поедноставува животот на програмерите и ентузијастите за автоматизација. Python во последно време се здоби со огромна популарност и решив да ја пополнам празнината и да ги прегледам главните карактеристики. Комплет за развој на Python за Check Point API. Оваа статија служи како одличен додаток на друга статија за Хабре Check Point R80.10 API. Управување преку CLI, скрипти и повеќе. Ќе погледнеме како да пишуваме скрипти со користење на Python SDK и ќе ја разгледаме подетално новата функционалност за управување со API во верзијата 1.6 (поддржана почнувајќи од R80.40). За да ја разберете статијата, ќе ви треба основно знаење за работа со API и Python.

Check Point активно го развива API и во моментот се објавени следниве:

• Check Point Management API (тековна верзија 1.6) — работа со контролниот сервер преку API (и можност за извршување скрипти на порти контролирани од контролниот сервер)
• Check Point GAIA API (тековна верзија 1.4) — работа со безбедносни порти
• API 1.0 за спречување закани — работа со песок во облакот Check Point
• Identity Awareness API — работа со Identity Awareness blade на портите
• API на порталот за управување со безбедноста — работа со порталот за управување со портата SMB (Повеќе за порталите за SMB)
• IoT API — интеракција со IoT контролери
• CloudGuard Connect API - работи со CloudGuard Connect (SD-WAN безбедносно решение)
• Dome9 API - работи со Купола9

Python SDK моментално поддржува интеракција само со управување со API и Gaia API. Ќе ги разгледаме најважните класи, методи и променливи во овој модул.

Инсталирање на модулот

Модул cpapi брзо и лесно се инсталира од официјално складиште за Check Point на github со помош на пипка. Детални упатства за инсталација се достапни во README.md. Овој модул е ​​прилагоден да работи со Python верзии 2.7 и 3.7. Во оваа статија, ќе бидат дадени примери со користење на Python 3.7. Сепак, Python SDK може да се извршува директно од серверот за управување со контролни точки (Паметно управување), но тие поддржуваат само Python 2.7, така што последниот дел ќе обезбеди код за верзијата 2.7. Веднаш по инсталирањето на модулот, препорачувам да ги погледнете примерите во директориумите примери_пајтон2 и примери_пајтон3.

Getting Started

За да можеме да работиме со компонентите на модулот cpapi, треба да увеземе од модулот cpapi најмалку две потребни класи:

APIClient и APIClientArgs

from cpapi import APIClient, APIClientArgs

Класа APIClientArgs е одговорен за параметрите за поврзување со серверот API и класата APIClient е одговорен за интеракцијата со API.

Одредување на параметрите за поврзување

За да дефинирате различни параметри за поврзување со API, треба да креирате примерок од класата APIClientArgs. Во принцип, неговите параметри се предефинирани и при извршување на скриптата на контролниот сервер, тие не треба да се специфицираат.

client_args = APIClientArgs()

Но, кога работи на хост од трета страна, треба да ја наведете барем IP адресата или името на домаќинот на серверот API (исто така познат како сервер за управување). Во примерот подолу, го дефинираме параметарот за поврзување на серверот и му ја доделуваме IP адресата на серверот за управување како низа.

client_args = APIClientArgs(server='192.168.47.241')

Ајде да ги погледнеме сите параметри и нивните стандардни вредности што може да се користат при поврзување со серверот API:

Аргументи на методот __init__ од класата APIClientArgs

class APIClientArgs:
    """
    This class provides arguments for APIClient configuration.
    All the arguments are configured with their default values.
    """

    # port is set to None by default, but it gets replaced with 443 if not specified
    # context possible values - web_api (default) or gaia_api
    def __init__(self, port=None, fingerprint=None, sid=None, server="127.0.0.1", http_debug_level=0,
                 api_calls=None, debug_file="", proxy_host=None, proxy_port=8080,
                 api_version=None, unsafe=False, unsafe_auto_accept=False, context="web_api"):
        self.port = port
        # management server fingerprint
        self.fingerprint = fingerprint
        # session-id.
        self.sid = sid
        # management server name or IP-address
        self.server = server
        # debug level
        self.http_debug_level = http_debug_level
        # an array with all the api calls (for debug purposes)
        self.api_calls = api_calls if api_calls else []
        # name of debug file. If left empty, debug data will not be saved to disk.
        self.debug_file = debug_file
        # HTTP proxy server address (without "http://")
        self.proxy_host = proxy_host
        # HTTP proxy port
        self.proxy_port = proxy_port
        # Management server's API version
        self.api_version = api_version
        # Indicates that the client should not check the server's certificate
        self.unsafe = unsafe
        # Indicates that the client should automatically accept and save the server's certificate
        self.unsafe_auto_accept = unsafe_auto_accept
        # The context of using the client - defaults to web_api
        self.context = context

Верувам дека аргументите што можат да се користат во примероци од класата APIClientArgs се интуитивни за администраторите на Check Point и не бараат дополнителни коментари.

Поврзување преку APIClient и контекстуален менаџер

Класа APIClient Најзгодниот начин да се користи е преку контекстуален менаџер. Сè што треба да се пренесе на пример од класата APIClient се параметрите за поврзување што беа дефинирани во претходниот чекор.

with APIClient(client_args) as client:

Управувачот со контекст нема автоматски да упати повик за најавување до серверот API, но ќе направи повик за одјавување кога ќе излезете од него. Ако поради некоја причина не е потребно одјавување по завршувањето на работата со повиците на API, треба да започнете да работите без да го користите контекстуалниот менаџер:

client = APIClient(clieng_args)

Тест за поврзување

Најлесен начин да проверите дали врската ги исполнува наведените параметри е користење на методот проверка_отпечаток од прст. Ако потврдата на sha1 хаш збирот за отпечатокот на сертификатот API на серверот не успее (методот се врати Лажни), тогаш ова обично е предизвикано од проблеми со поврзувањето и можеме да го запреме извршувањето на програмата (или да му дадеме можност на корисникот да ги поправи податоците за врската):

    if client.check_fingerprint() is False:
        print("Could not get the server's fingerprint - Check connectivity with the server.")
        exit(1)

Ве молиме имајте предвид дека во иднина класата APIClient ќе го провери секој повик API (методи api_call и api_query, ќе зборуваме за нив малку понатаму) sha1 сертификат за отпечаток од прст на серверот API. Но, ако, при проверка на отпечатокот sha1 на сертификатот на серверот API, се открие грешка (сертификатот е непознат или е променет), методот проверка_отпечаток од прст ќе обезбеди можност автоматски да додавате/промените информации за тоа на локалната машина. Оваа проверка може целосно да се оневозможи (но ова може да се препорача само ако скриптите се извршуваат на самиот API-сервер, кога се поврзувате со 127.0.0.1), користејќи го аргументот APIClientArgs - unsafe_auto_accept (видете повеќе за APIClientArgs порано во „Дефинирање параметри за поврзување“).

client_args = APIClientArgs(unsafe_auto_accept=True)

Најавете се на серверот API

У APIClient има дури 3 методи за најавување на серверот API и секој од нив го разбира значењето Сид(sesion-id), кој автоматски се користи во секој следен повик API во заглавието (името во заглавието на овој параметар е Х-чкп-сид), така што нема потреба дополнително да се обработува овој параметар.

метод за најава

Опција со користење на најава и лозинка (во примерот, корисничкото име администратор и лозинката 1q2w3e се пренесени како позициони аргументи):

     login = client.login('admin', '1q2w3e')  

Дополнителни опционални параметри се исто така достапни во методот за најавување, тука се нивните имиња и стандардните вредности:

continue_last_session=False, domain=None, read_only=False, payload=None

Најава_со_апи_клуч метод

Опција со користење на API клуч (поддржана почнувајќи од верзијата за управување R80.40/Management API v1.6, "3TsbPJ8ZKjaJGvFyoFqHFA==" ова е вредноста на клучот API за еден од корисниците на серверот за управување со методот за авторизација на клучот API):

     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==') 

Во методот login_with_api_key достапни се истите опционални параметри како во методот Логирај Се.

login_as_root метод

Опција за најавување на локална машина со сервер API:

     login = client.login_as_root()

Постојат само два изборни параметри достапни за овој метод:

domain=None, payload=None

И конечно API се нарекува себеси

Имаме две опции да правиме повици API преку методи api_call и api_query. Ајде да откриеме која е разликата меѓу нив.

api_call

Овој метод е применлив за сите повици. Треба да го поминеме последниот дел за повикот на api и носивоста во телото на барањето доколку е потребно. Ако товарот е празен, тогаш воопшто не може да се пренесе:

api_versions = client.api_call('show-api-versions') 

Излез за ова барање под сечењето:

In [23]: api_versions                                                           
Out[23]: 
APIResponse({
    "data": {
        "current-version": "1.6",
        "supported-versions": [
            "1",
            "1.1",
            "1.2",
            "1.3",
            "1.4",
            "1.5",
            "1.6"
        ]
    },
    "res_obj": {
        "data": {
            "current-version": "1.6",
            "supported-versions": [
                "1",
                "1.1",
                "1.2",
                "1.3",
                "1.4",
                "1.5",
                "1.6"
            ]
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

show_host = client.api_call('show-host', {'name' : 'h_8.8.8.8'})

Излез за ова барање под сечењето:

In [25]: show_host                                                              
Out[25]: 
APIResponse({
    "data": {
        "color": "black",
        "comments": "",
        "domain": {
            "domain-type": "domain",
            "name": "SMC User",
            "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
        },
        "groups": [],
        "icon": "Objects/host",
        "interfaces": [],
        "ipv4-address": "8.8.8.8",
        "meta-info": {
            "creation-time": {
                "iso-8601": "2020-05-01T21:49+0300",
                "posix": 1588358973517
            },
            "creator": "admin",
            "last-modifier": "admin",
            "last-modify-time": {
                "iso-8601": "2020-05-01T21:49+0300",
                "posix": 1588358973517
            },
            "lock": "unlocked",
            "validation-state": "ok"
        },
        "name": "h_8.8.8.8",
        "nat-settings": {
            "auto-rule": false
        },
        "read-only": false,
        "tags": [],
        "type": "host",
        "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
    },
    "res_obj": {
        "data": {
            "color": "black",
            "comments": "",
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "groups": [],
            "icon": "Objects/host",
            "interfaces": [],
            "ipv4-address": "8.8.8.8",
            "meta-info": {
                "creation-time": {
                    "iso-8601": "2020-05-01T21:49+0300",
                    "posix": 1588358973517
                },
                "creator": "admin",
                "last-modifier": "admin",
                "last-modify-time": {
                    "iso-8601": "2020-05-01T21:49+0300",
                    "posix": 1588358973517
                },
                "lock": "unlocked",
                "validation-state": "ok"
            },
            "name": "h_8.8.8.8",
            "nat-settings": {
                "auto-rule": false
            },
            "read-only": false,
            "tags": [],
            "type": "host",
            "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

api_query

Дозволете ми веднаш да направам резервација дека овој метод е применлив само за повици чиј излез вклучува офсет. Таков заклучок се случува кога содржи или може да содржи голема количина на информации. На пример, ова може да биде барање за листа на сите создадени објекти на домаќинот на серверот за управување. За такви барања, API стандардно враќа листа од 50 објекти (можете да ја зголемите границата на 500 објекти во одговорот). И за да не се извлекуваат информации неколку пати со менување на параметарот за офсет во барањето API, постои метод api_query што ја врши оваа работа автоматски. Примери на повици каде што е потребен овој метод: шоу-сесии, шоу-водители, шоу-мрежи, прикажување-маски, шоу-групи, прикажувај-адреси-опсези, шоу-едноставни-порти, шоу-едноставни-групи, прикажување-пристап-улоги, прикажување-доверливи-клиенти, шоу-пакети. Всушност, гледаме множина зборови во името на овие API повици, така што овие повици ќе бидат полесни за ракување преку api_query

show_hosts = client.api_query('show-hosts') 

Излез за ова барање под сечењето:

In [21]: show_hosts                                                             
Out[21]: 
APIResponse({
    "data": [
        {
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "ipv4-address": "192.168.47.1",
            "name": "h_192.168.47.1",
            "type": "host",
            "uid": "5d7d7086-d70b-4995-971a-0583b15a2bfc"
        },
        {
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "ipv4-address": "8.8.8.8",
            "name": "h_8.8.8.8",
            "type": "host",
            "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
        }
    ],
    "res_obj": {
        "data": {
            "from": 1,
            "objects": [
                {
                    "domain": {
                        "domain-type": "domain",
                        "name": "SMC User",
                        "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
                    },
                    "ipv4-address": "192.168.47.1",
                    "name": "h_192.168.47.1",
                    "type": "host",
                    "uid": "5d7d7086-d70b-4995-971a-0583b15a2bfc"
                },
                {
                    "domain": {
                        "domain-type": "domain",
                        "name": "SMC User",
                        "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
                    },
                    "ipv4-address": "8.8.8.8",
                    "name": "h_8.8.8.8",
                    "type": "host",
                    "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
                }
            ],
            "to": 2,
            "total": 2
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

Обработка на резултатите од повиците на API

По ова можете да ги користите променливите и методите на класата APIresponse(и внатре во контекстуалниот менаџер и надвор). На часот APIresponse 4 методи и 5 променливи се предефинирани, ќе се задржиме на најважните подетално.

успех

За почеток, би било добра идеја да се уверите дека повикот на API е успешен и дека вратил резултат. Постои метод за ова успех:

In [49]: api_versions.success                                                   
Out[49]: True

Враќа True ако повикот на API бил успешен (шифра за одговор - 200) и False ако не е успешен (кој било друг код за одговор). Удобно е да се користи веднаш по повикот на API за прикажување различни информации во зависност од кодот за одговор.

if api_ver.success: 
    print(api_versions.data) 
else: 
    print(api_versions.err_message) 

статусен код

Го враќа кодот за одговор откако ќе се направи повик API.

In [62]: api_versions.status_code                                               
Out[62]: 400

Можни кодови за одговор: 200,400,401,403,404,409,500,501.

постави_статус_успех

Во овој случај, може да биде неопходно да се промени вредноста на статусот на успех. Технички, можете да ставите што било, дури и обична низа. Но, вистински пример би бил ресетирањето на овој параметар на Неточно под одредени придружни услови. Подолу, обрнете внимание на примерот кога има задачи што се извршуваат на серверот за управување, но ова барање ќе го сметаме за неуспешно (променливата за успех ќе ја поставиме на Лажни, и покрај фактот што повикот на API беше успешен и го врати кодот 200).

for task in task_result.data["tasks"]:
    if task["status"] == "failed" or task["status"] == "partially succeeded":
        task_result.set_success_status(False)
        break

одговор ()

Методот на одговор ви овозможува да го прегледате речникот со кодот за одговор (status_code) и телото за одговор (тело).

In [94]: api_versions.response()                                                
Out[94]: 
{'status_code': 200,
 'data': {'current-version': '1.6',
  'supported-versions': ['1', '1.1', '1.2', '1.3', '1.4', '1.5', '1.6']}}

податоци

Ви овозможува да го видите само телото на одговорот (телото) без непотребни информации.

In [93]: api_versions.data                                                      
Out[93]: 
{'current-version': '1.6',
 'supported-versions': ['1', '1.1', '1.2', '1.3', '1.4', '1.5', '1.6']}

грешка порака

Оваа информација е достапна само кога се појавила грешка при обработката на барањето API (код за одговор Нема 200). Пример излез

In [107]: api_versions.error_message                                            
Out[107]: 'code: generic_err_invalid_parameter_namenmessage: Unrecognized parameter [1]n'

Корисни примери

Следниве се примери кои ги користат повиците на API кои беа додадени во Management API 1.6.

Прво, да погледнеме како функционираат повиците додадете-домаќин и додадете-адреса-опсег. Да речеме дека треба да ги креираме сите IP адреси на подмрежата 192.168.0.0/24, од кои последниот октет е 5, како објекти од типот на домаќинот, и да ги напишеме сите други IP адреси како објекти од типот на опсегот на адреси. Во овој случај, исклучете ја адресата на подмрежата и адресата за емитување.

Значи, подолу е скрипта што го решава овој проблем и создава 50 објекти од типот на домаќинот и 51 објект од типот на опсегот на адреси. За да се реши проблемот, потребни се 101 API повици (не сметајќи го последниот повик за објавување). Исто така, користејќи го модулот timeit, го пресметуваме времето потребно за извршување на скриптата додека не се објават промените.

Скрипта користејќи add-host и add-address-range

import timeit
from cpapi import APIClient, APIClientArgs

start = timeit.default_timer()

first_ip = 1
last_ip = 4

client_args = APIClientArgs(server="192.168.47.240")

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     for ip in range(5,255,5):
         add_host = client.api_call("add-host", {"name" : f"h_192.168.0.{ip}", "ip-address": f'192.168.0.{ip}'})
     while last_ip < 255:
         add_range = client.api_call("add-address-range", {"name": f"r_192.168.0.{first_ip}-{last_ip}", "ip-address-first": f"192.168.0.{first_ip}", "ip-address-last": f"192.168.0.{last_ip}"})
         first_ip+=5
         last_ip+=5
     stop = timeit.default_timer() 
     publish = client.api_call("publish")
     
print(f'Time to execute batch request: {stop - start} seconds')

Во мојата лабораторија, оваа скрипта трае помеѓу 30 и 50 секунди за да се изврши, во зависност од оптоварувањето на серверот за управување.

Сега да видиме како да го решиме истиот проблем користејќи повик API додадете-објекти-серија, чија поддршка беше додадена во верзијата 1.6 на API. Овој повик ви овозможува да креирате многу објекти одеднаш во едно барање API. Покрај тоа, тие можат да бидат објекти од различни типови (на пример, хостови, подмрежи и опсег на адреси). Така, нашата задача може да се реши во рамките на еден повик API.

Скрипта користејќи add-objects-batch

import timeit
from cpapi import APIClient, APIClientArgs

start = timeit.default_timer()

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip = []
objects_list_range = []

for ip in range(5,255,5):
    data = {"name": f'h_192.168.0.{ip}', "ip-address": f'192.168.0.{ip}'}
    objects_list_ip.append(data)
    
first_ip = 1
last_ip = 4


while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "ip-address-first": f"192.168.0.{first_ip}", "ip-address-last": f"192.168.0.{last_ip}"}
    objects_list_range.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip
}, {
    "type" : "address-range",
    "list" : objects_list_range
  }]
}


with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     add_objects_batch = client.api_call("add-objects-batch", data_for_batch)
     stop = timeit.default_timer() 
     publish = client.api_call("publish")
     
print(f'Time to execute batch request: {stop - start} seconds')

И извршувањето на оваа скрипта во мојата лабораториска средина трае од 3 до 7 секунди, во зависност од оптоварувањето на серверот за управување. Тоа е, во просек, на 101 API објект, повикот од типот на серија работи 10 пати побрзо. На поголем број предмети разликата ќе биде уште поимпресивна.

Сега да видиме како да работиме со збир-објекти-серија. Користејќи го овој повик API, можеме наголемо да го промениме секој параметар. Ајде да ја поставиме првата половина од адресите од претходниот пример (до 124 хостови и опсези исто така) на бојата сиена и да ја доделиме бојата каки на втората половина од адресите.

Промена на бојата на објектите создадени во претходниот пример

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip_first = []
objects_list_range_first = []
objects_list_ip_second = []
objects_list_range_second = []

for ip in range(5,125,5):
    data = {"name": f'h_192.168.0.{ip}', "color": "sienna"}
    objects_list_ip_first.append(data)
    
for ip in range(125,255,5):
    data = {"name": f'h_192.168.0.{ip}', "color": "khaki"}
    objects_list_ip_second.append(data)
    
first_ip = 1
last_ip = 4
while last_ip < 125:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "color": "sienna"}
    objects_list_range_first.append(data)
    first_ip+=5
    last_ip+=5
    
while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "color": "khaki"}
    objects_list_range_second.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch_first  = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip_first
}, {
    "type" : "address-range",
    "list" : objects_list_range_first
  }]
}

data_for_batch_second  = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip_second
}, {
    "type" : "address-range",
    "list" : objects_list_range_second
  }]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==') 
     set_objects_batch_first = client.api_call("set-objects-batch", data_for_batch_first)
     set_objects_batch_second = client.api_call("set-objects-batch", data_for_batch_second)
     publish = client.api_call("publish")

Можете да избришете повеќе објекти во еден повик API користејќи бришење-објекти-серија. Сега да погледнеме пример за код кој ги брише сите хостови создадени претходно преку додадете-објекти-серија.

Бришење објекти со користење на delete-objects-batch

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip = []
objects_list_range = []

for ip in range(5,255,5):
    data = {"name": f'h_192.168.0.{ip}'}
    objects_list_ip.append(data)

first_ip = 1
last_ip = 4
while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}"}
    objects_list_range.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip
}, {
    "type" : "address-range",
    "list" : objects_list_range
  }]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     delete_objects_batch = client.api_call("delete-objects-batch", data_for_batch)
     publish = client.api_call("publish")

print(delete_objects_batch.data)

Сите функции што се појавуваат во новите изданија на софтверот Check Point веднаш добиваат повици на API. Така, во R80.40 се појавија такви „функции“ како Враќање на ревизија и Паметна задача, и за нив веднаш беа подготвени соодветни повици на API. Покрај тоа, целата функционалност кога се префрлате од наследните конзоли во режимот на унифицирана политика, добива и поддршка за API. На пример, долгоочекуваното ажурирање во верзијата на софтверот R80.40 беше преместување на политиката за проверка на HTTPS од Наследен режим во режим на Унифицирана политика и оваа функционалност веднаш прими повици на API. Еве еден пример на код кој додава правило на врвната позиција на политиката за инспекција на HTTPS што исклучува 3 категории од инспекција (Здравство, финансии, владини услуги), на кои им е забрането да се проверуваат во согласност со законите на голем број земји.

Додајте правило во политиката за проверка на HTTPS

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

data = {
  "layer" : "Default Layer",
  "position" : "top",
  "name" : "Legal Requirements",
  "action": "bypass",
  "site-category": ["Health", "Government / Military", "Financial Services"]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     add_https_rule = client.api_call("add-https-rule", data)
     publish = client.api_call("publish")

Вклучување на Python скрипти на серверот за управување со Check Point

Се е исто README.md содржи информации за тоа како да се извршуваат Python скриптите директно од контролниот сервер. Ова може да биде погодно кога не можете да се поврзете со серверот API од друга машина. Снимив шестминутно видео во кое гледам како го инсталирам модулот cpapi и карактеристики на извршување на Python скрипти на контролниот сервер. Како пример, се извршува скрипта што ја автоматизира конфигурацијата на нова порта за задача како што е мрежна ревизија Безбедносна проверка. Меѓу карактеристиките со кои морав да се справам: функцијата сè уште не се појавила во Python 2.7 влез, така што за обработка на информациите што корисникот ги внесува, се користи функција суров_влез. Инаку, кодот е ист како и за лансирање од други машини, само што е поудобно да се користи функцијата login_as_root, за да не наведете повторно сопствено корисничко име, лозинка и IP адреса на серверот за управување.

Скрипта за брзо поставување на проверка на безбедноста

from __future__ import print_function
import getpass
import sys, os
sys.path.append(os.path.abspath(os.path.join(os.path.dirname(__file__), '..')))
from cpapi import APIClient, APIClientArgs

def main():
    with APIClient() as client:
       # if client.check_fingerprint() is False:
       #     print("Could not get the server's fingerprint - Check connectivity with the server.")
       #     exit(1)
        login_res = client.login_as_root()

        if login_res.success is False:
            print("Login failed:n{}".format(login_res.error_message))
            exit(1)

        gw_name = raw_input("Enter the gateway name:")
        gw_ip = raw_input("Enter the gateway IP address:")
        if sys.stdin.isatty():
            sic = getpass.getpass("Enter one-time password for the gateway(SIC): ")
        else:
            print("Attention! Your password will be shown on the screen!")
            sic = raw_input("Enter one-time password for the gateway(SIC): ")
        version = raw_input("Enter the gateway version(like RXX.YY):")
        add_gw = client.api_call("add-simple-gateway", {'name' : gw_name, 'ipv4-address' : gw_ip, 'one-time-password' : sic, 'version': version.capitalize(), 'application-control' : 'true', 'url-filtering' : 'true', 'ips' : 'true', 'anti-bot' : 'true', 'anti-virus' : 'true', 'threat-emulation' : 'true'})
        if add_gw.success and add_gw.data['sic-state'] != "communicating":
            print("Secure connection with the gateway hasn't established!")
            exit(1)
        elif add_gw.success:
            print("The gateway was added successfully.")
            gw_uid = add_gw.data['uid']
            gw_name = add_gw.data['name']
        else:
            print("Failed to add the gateway - {}".format(add_gw.error_message))
            exit(1)

        change_policy = client.api_call("set-access-layer", {"name" : "Network", "applications-and-url-filtering": "true", "content-awareness": "true"})
        if change_policy.success:
            print("The policy has been changed successfully")
        else:
            print("Failed to change the policy- {}".format(change_policy.error_message))
        change_rule = client.api_call("set-access-rule", {"name" : "Cleanup rule", "layer" : "Network", "action": "Accept", "track": {"type": "Detailed Log", "accounting": "true"}})
        if change_rule.success:
            print("The cleanup rule has been changed successfully")
        else:
            print("Failed to change the cleanup rule- {}".format(change_rule.error_message))

        # publish the result
        publish_res = client.api_call("publish", {})
        if publish_res.success:
            print("The changes were published successfully.")
        else:
                print("Failed to publish the changes - {}".format(install_tp_policy.error_message))

        install_access_policy = client.api_call("install-policy", {"policy-package" : "Standard", "access" : 'true',  "threat-prevention" : 'false', "targets" : gw_uid})
        if install_access_policy.success:
            print("The access policy has been installed")
        else:
                print("Failed to install access policy - {}".format(install_tp_policy.error_message))

        install_tp_policy = client.api_call("install-policy", {"policy-package" : "Standard", "access" : 'false',  "threat-prevention" : 'true', "targets" : gw_uid})
        if install_tp_policy.success:
            print("The threat prevention policy has been installed")
        else:
            print("Failed to install threat prevention policy - {}".format(install_tp_policy.error_message))
        
        # add passwords and passphrases to dictionary
        with open('additional_pass.conf') as f:
            line_num = 0
            for line in f:
                line_num += 1
                add_password_dictionary = client.api_call("run-script", {"script-name" : "Add passwords and passphrases", "script" : "printf "{}" >> $FWDIR/conf/additional_pass.conf".format(line), "targets" : gw_name})
                if add_password_dictionary.success:
                    print("The password dictionary line {} was added successfully".format(line_num))
                else:
                    print("Failed to add the dictionary - {}".format(add_password_dictionary.error_message))

main()

Пример датотека со речник за лозинки дополнителни_pass.conf
{
"passwords" : ["malware","malicious","infected","Infected"],
"phrases" : ["password","Password","Pass","pass","codigo","key","pwd","пароль","Пароль","Ключ","ключ","шифр","Шифр"]
}

Заклучок

Оваа статија ги разгледува само основните можности за работа Пајтон СДК и модул cpapi(како што можеби претпоставувате, ова се всушност синоними), а со проучување на кодот во овој модул ќе откриете уште повеќе можности за работа со него. Можно е да сакате да го дополните со свои класи, функции, методи и променливи. Секогаш можете да ја споделите вашата работа и да гледате други скрипти за Check Point во делот CodeHub во заедницата CheckMates, кој ги обединува и развивачите на производи и корисниците.

Среќно кодирање и благодарам што прочитавте до крај!

Извор: www.habr.com