2

Я ненавижу КП со страстью вне веры ... Я имею в виду, почему, ПОЧЕМУ вы не можете включить интерфейс командной строки, который позволяет мне найти файл CSV, в котором меня запрашивают правила, отформатировать их правильно и затем отправить их в брандмауэр ??? Если я что-то упустил, нет способа добавить правила доступа к CP FW на основе текстового файла, верно?

ЛЮБОЙ способ автоматизации моей работы (или ее части), чтобы я не тратил бесчисленные часы своей жизни на простой интерфейс между запросчиком и брандмауэром?

Пока что единственное, о чем я мог подумать, это создать скрипт, который:1) получает файл Excel из системы Remedy 2) преобразует его в CSV 3) проверяет IP-адреса источника и назначения и добавляет столбец, в котором указано, в каком FW I нужно сделать изменения.

2 ответа2

1

Политика безопасности Check Point основана на объектах многих типов, поэтому простой плоский CSV практически невозможен. Если мы примем во внимание инструменты, доступные непосредственно из Check Point, есть три возможности, но, к сожалению, ни одна из них не является идеальной:

cp_merge

Этот инструмент позволяет экспортировать и импортировать объекты и политики. Экспортируемой политикой можно манипулировать. Импорт позволяет перезаписать или добавить.

dbedit

Это универсальный инструмент, который позволяет манипулировать объектами и рулебазой. См. Руководство по CLI и следующее:

К сожалению, манипулирование правилами не задокументировано, но вы можете скачать Ofiller и изучить сгенерированные сценарии dbedit . Ofiller - отличный инструмент, но, к сожалению, он долгое время не обновлялся, и я не уверен, насколько он надежен с текущими версиями программного обеспечения Check Point.

Confwiz

Это официальный инструмент, и изначально предполагалось, что Confwiz разрешит импорт / экспорт / миграцию политики безопасности между несколькими платформами. Вначале были поддержаны форматы Cisco, но, к сожалению, усилия Check Point прекратились. Новейшие версии программного обеспечения Check Point, поддерживаемые Confwiz, - это R71.x, и кажется, что разработка Confwiz полностью остановлена.

Другие возможности

Вы можете редактировать файлы в $FWDIR/conf напрямую, но вы должны быть очень осторожны, и это не поддерживается Check Point.

Существует также официальный инструмент веб-визуализации, который позволяет экспортировать в XML, но не импортировать.

Вероятно, есть некоторые сторонние инструменты, но, насколько я знаю, только Ofiller является бесплатным.

0

У Check Point есть API, когда дело доходит до автоматизации. Я бы не стал ничего делать вне этого или DBEdit, но это я лично. Я также рекомендую сторонние инструменты, такие как Algosec, но у вас может не быть бюджета. Предполагается, что R80 имеет лучший API, но он все равно не приблизится к подобным Пало, которые я видел.

Файл CSV звучит для меня так, как будто вы привыкли управлять Cisco ASA, что намного хуже и очень архаично, если вы спросите меня. Научитесь интегрироваться с API-интерфейсами и сосредоточьтесь на этом, потому что именно в этом направлении весь мир движется в сетевом стеке.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .