我相信每一个曾经合作过的人
最近发生了一个“奇迹”。 随着新版本的发布 盖亚R80 机会已被宣布 API使用,这为自动化设置、管理、监控等开辟了广泛的机会。 现在你可以:
- 创建对象;
- 添加或编辑访问列表;
- 启用/禁用刀片;
- 配置网络接口;
- 设置政策;
- 等等。
说实话,我不明白哈布尔是怎么传出这个消息的。 在本文中,我们将简要描述如何使用 API 并提供几个实际示例。 使用脚本进行 CheckPoint 设置.
我想立即预订该 API 仅用于管理服务器。 那些。 如果没有管理服务器,仍然无法管理网关。
原则上谁可以使用这个API?
- 希望简化或自动化日常 Check Point 配置任务的系统管理员;
- 想要将 Check Point 与其他解决方案(虚拟化系统、票务系统、配置管理系统等)集成的公司;
- 想要标准化设置或创建其他 Check Point 相关产品的系统集成商。
典型方案
那么,让我们想象一下 Check Point 的典型方案:
像往常一样,我们有一个网关(SG)、管理服务器(短信)和管理控制台(智能控制台)。 在这种情况下,通常的网关配置过程如下所示:
那些。 首先需要在管理员电脑上运行 智能控制台,我们用它连接到管理服务器(短信)。 安全设置是在 SMS 上进行的,然后才应用(安装策略)到网关(SG).
当使用 管理接口,我们基本上可以跳过第一点(启动SmartConsole)并使用 API命令 直接发送至管理服务器 (SMS)。
API使用方法
使用 API 编辑配置的主要方法有四种:
1) 使用 mgmt_cli 实用程序
例子 - # mgmt_cli 添加主机名 host1 ip 地址 192.168.2.100
此命令从管理服务器 (SMS) 命令行运行。 我认为该命令的语法很清楚 - host1 是使用地址 192.168.2.100 创建的。
2)通过clish输入API命令(专家模式)
基本上,您需要做的就是登录命令行(管理登录)位于通过 SmartConsole 连接时使用的帐户(或 root 帐户)下。 然后你可以输入 API命令 (在这种情况下,无需在每个命令之前使用该实用程序 管理工具)。 您可以创建成熟的 BASH 脚本。 主机创建的脚本示例:
脚本
#!/bin/bash
main() {
clear
#LOGIN (don't ask for username and password, user is already logged in to Management server as 'root' user)
mgmt_cli login --root true > id_add_host.txt
on_error_print_and_exit "Error: Failed to login, check that the server is up and running (run 'api status')"
#READ HOST NAME
printf "Enter host name:n"
read -e host_name
on_empty_input_print_and_exit "$host_name" "Error: The host's name cannot be empty."
#READ IP ADDRESS
printf "nEnter host IP address:n"
read -e ip
on_empty_input_print_and_exit "$ip" "Error: The host's IP address cannot be empty."
#CREATE HOST
printf "Creating new host: $host_name with IP address: $ipn"
new_host_response=$(mgmt_cli add host name $host_name ip-address $ip -s id_add_host.txt 2> /dev/null)
on_error_print_and_exit "Error: Failed to create host object. n$new_host_response"
#PUBLISH THE CHANGES
printf "nPublishing the changesn"
mgmt_cli publish --root true -s id_add_host.txt &> /dev/null
on_error_print_and_exit "Error: Failed to publish the changes."
#LOGOUT
logout
printf "Done.n"
}
logout(){
mgmt_cli logout --root true -s id_add_host.txt &> /dev/null
}
on_error_print_and_exit(){
if [ $? -ne 0 ]; then
handle_error "$1"
fi
}
handle_error(){
printf "n$1n" #print error message
mgmt_cli discard --root true -s id_add_host.txt &> /dev/null
logout
exit 1
}
on_empty_input_print_and_exit(){
if [ -z "$1" ]; then
printf "$2n" #print error message
logout
exit 0
fi
}
# Script starts here. Call function "main".
main
如果您有兴趣,可以观看相应的视频:
3) 通过 SmartConsole 打开 CLI 窗口
您所需要做的就是打开窗户 CLI 直接从 智能控制台,如下图所示。
在此窗口中,您可以立即开始输入 API 命令。
4) 网络服务。 使用 HTTPS Post 请求(REST API)
我们认为,这是最有前途的方法之一,因为允许您基于以下内容“构建”整个应用程序 管理服务器管理 (抱歉同义反复)。 下面我们将更详细地了解该方法。
总结一下:
- API + 命令行界面 比较适合习惯Cisco的人;
- API+外壳 用于应用脚本和执行日常任务;
- REST API 用于自动化。
启用API
默认情况下,该 API 在具有超过 4GB RAM 的管理服务器和具有超过 8GB RAM 的独立配置上启用。 您可以使用以下命令检查状态: API状态
如果发现该 api 被禁用,那么可以很容易地通过 SmartConsole 启用它: 管理与设置 > 刀片 > 管理 API > 高级设置
然后发布(发布) 更改并运行命令 接口重启.
网络请求+Python
要执行 API 命令,您可以使用 Web 请求 蟒蛇 和图书馆 要求, JSON。 一般来说,Web请求的结构由三部分组成:
1)地址
(https://<managemenet server>:<port>/web_api/<command>)
2) HTTP 标头
content-Type: application/json
x-chkp-sid: <session ID token as returned by the login command>
3) 请求负载
包含不同参数的 JSON 格式的文本
调用各种命令的示例:
def api_call(ip_addr, port, command, json_payload, sid):
url = 'https://' + ip_addr + ':' + str(port) + '/web_api/' + command
if sid == “”:
request_headers = {'Content-Type' : 'application/json'}
else:
request_headers = {'Content-Type' : 'application/json', 'X-chkp-sid' : sid}
r = requests.post(url,data=json.dumps(json_payload), headers=request_headers,verify=False)
return r.json()
'xxx.xxx.xxx.xxx' -> Ip address GAIA
以下是管理 Check Point 时最常遇到的一些典型任务。
1)授权和注销功能示例:
脚本
payload = {‘user’: ‘your_user’, ‘password’ : ‘your_password’}
response = api_call('xxx.xxx.xxx.xxx', 443, 'login',payload, '')
return response["sid"]
response = api_call('xxx.xxx.xxx.xxx', 443,'logout', {} ,sid)
return response["message"]
2) 打开刀片并设置网络:
脚本
new_gateway_data = {'name':'CPGleb','anti-bot':True,'anti-virus' : True,'application-control':True,'ips':True,'url-filtering':True,'interfaces':
[{'name':"eth0",'topology':'external','ipv4-address': 'xxx.xxx.xxx.xxx',"ipv4-network-mask": "255.255.255.0"},
{'name':"eth1",'topology':'internal','ipv4-address': 'xxx.xxx.xxx.xxx',"ipv4-network-mask": "255.255.255.0"}]}
new_gateway_result = api_call('xxx.xxx.xxx.xxx', 443,'set-simple-gateway', new_gateway_data ,sid)
print(json.dumps(new_gateway_result))
3)更改防火墙规则:
脚本
new_access_data={'name':'Cleanup rule','layer':'Network','action':'Accept'}
new_access_result = api_call('xxx.xxx.xxx.xxx', 443,'set-access-rule', new_access_data ,sid)
print(json.dumps(new_access_result))
4)添加应用层:
脚本
add_access_layer_application={ 'name' : 'application123',"applications-and-url-filtering" : True,"firewall" : False}
add_access_layer_application_result = api_call('xxx.xxx.xxx.xxx', 443,'add-access-layer', add_access_layer_application ,sid)
print(json.dumps(add_access_layer_application_result))
set_package_layer={"name" : "Standard","access":True,"access-layers" : {"add" : [ { "name" : "application123","position" :2}]} ,"installation-targets" : "CPGleb"}
set_package_layer_result = api_call('xxx.xxx.xxx.xxx', 443,'set-package', set_package_layer ,sid)
print(json.dumps(set_package_layer_result))
5)发布并设置策略,检查命令的执行情况(task-id):
脚本
publish_result = api_call('xxx.xxx.xxx.xxx', 443,"publish", {},sid)
print("publish result: " + json.dumps(publish_result))
new_policy = {'policy-package':'Standard','access':True,'targets':['CPGleb']}
new_policy_result = api_call('xxx.xxx.xxx.xxx', 443,'install-policy', new_policy ,sid)
print(json.dumps(new_policy_result)
task_id=(json.dumps(new_policy_result ["task-id"]))
len_str=len(task_id)
task_id=task_id[1:(len_str-1)]
show_task_id ={'task-id':(task_id)}
show_task=api_call('xxx.xxx.xxx.xxx',443,'show-task',show_task_id,sid)
print(json.dumps(show_task))
6)添加主机:
脚本
new_host_data = {'name':'JohnDoePc', 'ip-address': '192.168.0.10'}
new_host_result = api_call('xxx.xxx.xxx.xxx', 443,'add-host', new_host_data ,sid)
print(json.dumps(new_host_result))
7) 添加威胁防御字段:
脚本
set_package_layer={'name':'Standard','threat-prevention' :True,'installation-targets':'CPGleb'}
set_package_layer_result = api_call('xxx.xxx.xxx.xxx', 443,'set-package',set_package_layer,sid)
print(json.dumps(set_package_layer_result))
8)查看会话列表
脚本
new_session_data = {'limit':'50', 'offset':'0','details-level' : 'standard'}
new_session_result = api_call('xxx.xxx.xxx.xxx', 443,'show-sessions', new_session_data ,sid)
print(json.dumps(new_session_result))
9)创建一个新的配置文件:
脚本
add_threat_profile={'name':'Apeiron', "active-protections-performance-impact" : "low","active-protections-severity" : "low or above","confidence-level-medium" : "prevent",
"confidence-level-high" : "prevent", "threat-emulation" : True,"anti-virus" : True,"anti-bot" : True,"ips" : True,
"ips-settings" : { "newly-updated-protections" : "staging","exclude-protection-with-performance-impact" : True,"exclude-protection-with-performance-impact-mode" : "High or lower"},
"overrides" : [ {"protection" : "3Com Network Supervisor Directory Traversal","capture-packets" : True,"action" : "Prevent","track" : "Log"},
{"protection" : "7-Zip ARJ Archive Handling Buffer Overflow", "capture-packets" : True,"action" : "Prevent","track" : "Log"} ]}
add_threat_profile_result=api_call('xxx.xxx.xxx.xxx',443,'add-threat-profile',add_threat_profile,sid)
print(json.dumps(add_threat_profile_result))
10) 更改 IPS 签名的操作:
脚本
set_threat_protection={
"name" : "3Com Network Supervisor Directory Traversal",
"overrides" : [{ "profile" : "Apeiron","action" : "Detect","track" : "Log","capture-packets" : True},
{ "profile" : "Apeiron", "action" : "Detect", "track" : "Log", "capture-packets" : False} ]}
set_threat_protection_result=api_call('xxx.xxx.xxx.xxx',443,'set-threat-protection',set_threat_protection,sid)
print(json.dumps(set_threat_protection_result))
11) 添加您的服务:
脚本
add_service_udp={ "name" : "Dota2_udp", "port" : '27000-27030',
"keep-connections-open-after-policy-installation" : False,
"session-timeout" : 0, "match-for-any" : True,
"sync-connections-on-cluster" : True,
"aggressive-aging" : {"enable" : True, "timeout" : 360,"use-default-timeout" : False },
"accept-replies" : False}
add_service_udp_results=api_call('xxx.xxx.xxx.xxx',443,"add-service-udp",add_service_udp,sid)
print(json.dumps(add_service_udp_results))
12) 添加类别、站点或群组:
脚本
add_application_site_category={ "name" : "Valve","description" : "Valve Games"}
add_application_site_category_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site-category",add_application_site_category,sid)
print(json.dumps(add_application_site_category_results))
add_application_site={ "name" : "Dota2", "primary-category" : "Valve", "description" : "Dotka",
"url-list" : [ "www.dota2.ru" ], "urls-defined-as-regular-expression" : False}
add_application_site_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site " ,
add_application_site , sid)
print(json.dumps(add_application_site_results))
add_application_site_group={"name" : "Games","members" : [ "Dota2"]}
add_application_site_group_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site-group",add_application_site_group,sid)
print(json.dumps(add_application_site_group_results))
此外,在帮助下 网络API 您可以添加和删除网络、主机、访问角色等。 刀片可定制 防病毒、反僵尸、IPS、VPN。 甚至可以使用以下命令安装许可证 运行脚本。 所有 Check Point API 命令均可在此处找到
检查点 API + 邮递员
使用起来也方便 检查点 Web API 和这个结合
使用此实用程序,我们将能够生成对 Check Point API 的 Web 请求。 为了不记住所有 API 命令,可以导入所谓的集合(模板),其中已经包含所有必要的命令:
在我看来,这非常方便。 您可以使用 Check Point API 快速开始开发应用程序。
检查点 + Ansible
我还想指出的是,有 Ansible
结论
我们可能会在这里完成对 Check Point API 的简短回顾。 在我看来,这个功能是非常期待和必要的。 API 的出现为使用 Check Point 产品的系统管理员和系统集成商带来了非常广泛的机会。 编排、自动化、SIEM 反馈……现在一切皆有可能。
PS 更多关于
PSS 对于与设置 Check Point 相关的技术问题,您可以
只有注册用户才能参与调查。
您打算使用 API 吗?
-
70,6%是12
-
23,5%4号
-
5,9%已经在使用1
17 位用户投票。 3 名用户弃权。
来源: habr.com