チェックポイントファイアウォールルールの実装を自動化する方法

私は信念を超えた情熱でCPを嫌いです... つまり、ルールを要求されたCSVファイルをgrepし、それらを適切にフォーマットしてからファイアウォールに送信するためのコマンドラインインターフェイスを含めることができなかったのはなぜですか。 足りない場合を除き、テキストファイルに基づいてCP FWにアクセスルールを追加する方法はありません。

自分の仕事（またはその一部）を自動化するための方法であれば、要求側と要求側の間の単純なインターフェイスであるため、私の人生の無数の時間を無駄にすることはありません。ファイアウォール？

これまでのところ、私が考えられる唯一のことは、次のようなスクリプトを作成することです。 1）RemedyシステムからExcelファイルを入手します 2）それをCSVに変換する 3）ソースを確認してください。宛先IPアドレスを変更し、どのFWで変更を行う必要があるかを示す列を追加します。

Check Pointのセキュリティポリシーは多くの種類のオブジェクトに基づいているため、単純なフラットCSVはほとんど不可能です。 Check Pointから直接入手できるツールを考慮すると、3つの可能性がありますが、残念ながらどれも理想的ではありません。

cp_merge

このツールは、オブジェクトとポリシーのエクスポートとインポートを可能にします。エクスポートされたポリシーはおそらく操作可能です。インポートは上書きまたは追加を許可します。

• sk59840：cp_mergeを使用してセキュリティポリシーを操作する方法

dbedit

これはオブジェクトとルールベースの操作を可能にする普遍的なツールです。 CLIガイドおよび以下を参照してください。

• sk30383：dbeditスクリプトを使用して新しいネットワークオブジェクトとネットワークオブジェクトグループを作成する
• sk76040：dbeditを使用してホストオブジェクトに自動NATを作成する方法

残念ながら、ルールの操作は文書化されていませんが、ダウンロードすることができます Ofiller そして生成されたものを研究する dbedit スクリプトOfillerは素晴らしいツールですが、残念ながらそれは長い間アップデートされていません、そして私はそれがCheck Pointソフトウェアの現在のバージョンでどれほど信頼できるか確信がありません。

Confwiz

これは公式のツールで、元々Confwizが複数のプラットフォーム間でのセキュリティポリシーのインポート/エクスポート/移行を許可することを意図していました。当初はシスコのフォーマットがサポートされていましたが、残念ながらそこではCheck Pointの努力が止まりました。 ConfwizでサポートされているCheck Pointソフトウェアの最新バージョンはR71.xで、Confwizの開発は完全に停止したようです。

• Confwiz管理ガイド

その他の可能性

あなたがファイルを編集することができます $FWDIR/conf 直接ディレクトリを作成しますが、非常に注意する必要があり、これはCheck Pointではサポートされていません。

公式もあります Web可視化ツール これはXMLへのエクスポートを許可しますがインポートは許可しません。

おそらくサードパーティ製のツールがいくつかありますが、私の知る限りではOfillerだけが無料のものです。

自動化に関しては、Check PointにはAPIがありません。私はこれやDBEdit以外では何もしませんが、それは私個人的なことです。 Algosecのようなサードパーティ製ツールもお勧めしますが、予算がない可能性があります。 R80はもっと良いAPIを持っているはずですが、それでも私が見たPaloのようなものには近づきません。

CSVファイルは、あなたが私に尋ねるならばはるかに悪いそして非常に古風なCisco ASAのようなものを管理することに慣れているように私に聞こえます。 APIを統合し、そこに集中し続けることを学びましょう。それが世界がネットワークスタックのいたるところに向かっているところです。