Checkpoint güvenlik duvarları kurallarının uygulanmasını nasıl otomatikleştirebilirim?

CP'nin inancını aşan tutkuyla nefret ediyorum ... Demek istediğim, neden, Niçin kuralları istediğim bir CSV dosyasını greplememe, düzgün bir şekilde biçimlendirmeme ve daha sonra göndermeme izin veren bir komut satırı arayüzü ekleyemediğinizi söylüyorsunuz. güvenlik duvarı ??? Bir şey kaçırmıyorsam, bir metin dosyasına dayalı bir CP FW'ye erişim kuralları eklemenin yolu yoktur, değil mi?

İşimi (veya işin bir kısmını) otomatikleştirmenin herhangi bir yolu var, bu yüzden hayatımın sayısız saatini bir istekte bulunan ile güvenlik duvarı arasında basit bir arayüz olarak harcamıyorum?

Şimdiye kadar düşünebildiğim tek şey bir senaryo oluşturmaktır: 1) Excel dosyasını Remedy sisteminden alır 2) CSV'ye dönüştürür 3) Kaynak ve hedef IP adreslerini kontrol edin ve hangi FW I’yi belirten bir sütun ekleyin. değişikliği yapmanız gerek.

Check Point'in güvenlik politikası birçok türde nesneye dayanmaktadır, bu nedenle basit CSV neredeyse imkansızdır. Doğrudan Check Point'ten temin edilebilecek araçları göz önünde bulundurursak, üç olasılık var ama ne yazık ki hiçbiri ideal değil:

cp_merge

Bu araç, nesnelerin ve ilkelerin dışa aktarılmasını ve alınmasını sağlar. İhraç edilen politika manipüle edilebilir. İçe Aktar, üzerine yazma veya ekleme yapmayı sağlar.

• sk59840: Güvenlik Politikalarını Yönetmek İçin cp_merge Nasıl Kullanılır

DBEdit

Bu, nesnelere ve rulebase manipülasyonuna izin veren evrensel bir araçtır. CLI kılavuzuna ve aşağıdakilere bakın:

• sk30383: Yeni ağ nesneleri ve ağ nesne grupları oluşturmak için bir dbedit betiği kullanma
• sk76040: Ana bilgisayar nesnesinde otomatik NAT oluşturmak için dbedit nasıl kullanılır

Ne yazık ki kuralların manipülasyonu belgelenmemiştir ancak Ofiller'ı indirebilir ve oluşturulan dbeditkomut dosyalarını inceleyebilirsiniz. Ofiller harika bir araçtır, ancak ne yazık ki uzun süredir güncellenmemiştir ve Check Point yazılımının güncel versiyonlarında ne kadar güvenilir olduğundan emin değilim.

Confwiz

Bu resmi bir araçtır ve başlangıçta Confwiz'in birden fazla platform arasında güvenlik politikasının ithalat / ihracat / göçüne izin vermesi amaçlanmıştır. Başlangıçta Cisco formatları desteklendi, ancak maalesef Check Point'in çabası durdu. Confwiz tarafından desteklenen Check Point yazılımının en yeni sürümleri R71.x ve Confwiz'in geliştirilmesinin tamamen durduğu görülüyor.

• Confwiz Yönetim Rehberi

Diğer olasılıklar

Dosyaları $FWDIR/confdoğrudan dizinde düzenleyebilirsiniz, ancak çok dikkatli olmalısınız ve bu, Check Point tarafından desteklenmemektedir.

XML'e dışa aktarmaya izin veren ancak içe aktarılmayan resmi Web Görselleştirme Aracı da vardır.

Muhtemelen bazı üçüncü parti araçlar var ama bildiğim kadarıyla sadece Ofiller bedava.

Otomasyon söz konusu olduğunda Check Point'in bir API'si var. Bunun dışında veya DBEdit dışında hiçbir şey yapmam, ama şahsen benim. Ayrıca Algosec gibi üçüncü taraflara ait araçları da öneririm, ancak bütçeniz olmayabilir. R80'in daha iyi bir API'ye sahip olması gerekiyor, ancak yine de gördüğüm Palo beğenilerine yaklaşmayacak.

CSV dosyası bana sorarsanız, bana sorarsanız çok daha kötü ve çok arkaik olan Cisco ASA'nın beğenilerini yönetmeye alışkın olduğunuz gibi geliyor. API'lerle entegrasyon yapmayı ve odak noktasını orada tutmayı, dünyanın ağ yığınındaki her yere yönelmesini sağlayın.