チェック・ポイントのファイアウォールルールの実装を自動化する方法は?
私は信じられないほどの情熱を持ってCPを嫌っています...つまり、なぜ、ルールを要求されたCSVファイルをgrepし、適切にフォーマットしてからに送信できるコマンドラインインターフェイスを含めることができなかったのですか?ファイアウォール???何かが足りない場合を除いて、テキストファイルに基づいてCPFWにアクセスルールを追加する方法はありません。
私の仕事(またはその一部)を自動化する方法はありますか?それで、リクエスターとファイアウォールの間の単純なインターフェースである私の人生の数え切れないほどの時間を無駄にしませんか?
これまでのところ、私が考えることができる唯一のことは、次のようなスクリプトを作成することです。1)RemedyシステムからExcelファイルを取得します。2)それをCSVに変換します。3)送信元と宛先のIPアドレスを確認し、どのFWIに列を追加します。変更を行う必要があります。
チェックポイントのセキュリティポリシーは多くの種類のオブジェクトに基づいているため、単純なフラットCSVはほとんど不可能です。チェック・ポイントから直接入手できるツールを考慮に入れると、3つの可能性がありますが、残念ながら、どれも理想的ではありません。
cp_merge
このツールを使用すると、オブジェクトとポリシーをエクスポートおよびインポートできます。エクスポートされたポリシーは操作できる可能性があります。インポートにより、上書きまたは追加が可能になります。
dbedit
これは、オブジェクトとルールベースの操作を可能にするユニバーサルツールです。 CLIガイドと以下を参照してください。
- sk30383:dbeditスクリプトを使用して新しいネットワークオブジェクトとネットワークオブジェクトグループを作成する
- sk76040:dbeditを使用して自動を作成する方法NATホストオブジェクト上
残念ながら、ルールの操作は文書化されていませんが、 Ofiller をダウンロードして、生成されたdbeditスクリプトを調べることができます。 Ofillerは優れたツールですが、残念ながら長い間更新されておらず、現在のバージョンのCheckPointソフトウェアでどれほど信頼できるかわかりません。
Confwiz
これは公式ツールであり、当初はConfwizが複数のプラットフォーム間でセキュリティポリシーのインポート/エクスポート/移行を許可することを目的としていました。当初はCisco形式がサポートされていましたが、残念ながらそこでCheckPointの作業は停止しました。 ConfwizがサポートするCheckPointソフトウェアの最新バージョンはR71.xであり、Confwizの開発は完全に停止したようです。
その他の可能性
$FWDIR/confディレクトリ内のファイルを直接編集できますが、非常に注意する必要があり、これはCheckPointではサポートされていません。
公式 Web Visualization Tool もあります。これはXMLへのエクスポートを許可しますが、インポートは許可しません。
おそらくいくつかのサードパーティツールがありますが、私が知る限り、Ofillerだけが無料のものです。
自動化に関しては、CheckPointにはAPIがあります。これやDBEdit以外は何もしませんが、個人的にはそれです。 Algosecのようなサードパーティのツールもお勧めしますが、予算がない場合があります。 R80はより優れたAPIを備えているはずですが、それでも私が見たPaloのようなものに近づくことはできません。
CSVファイルは、Cisco ASAのようなものを管理することに慣れているように思えますが、私に言わせれば、それははるかに悪く、非常に古風です。 APIと統合する方法を学び、ネットワークスタックのいたるところに世界が向かっている場所に焦点を合わせ続けます。