我非常讨厌 CP... 我的意思是,为什么,为什么你不能包含一个命令行界面,让我可以 grep 一个 CSV 文件,其中有我请求的规则,正确格式化它们,然后将它们发送到防火墙???除非我错过了什么,否则没有办法根据文本文件向 CP FW 添加访问规则,对吗?
有什么方法可以自动化我的工作(或部分工作),这样我就不会浪费生命中无数的时间来成为请求者和防火墙之间的简单接口?
到目前为止,我唯一能想到的就是创建一个脚本:1)从 Remedy 系统获取 Excel 文件 2)将其转换为 CSV 3)检查源和目标 IP 地址并添加一列,指示我需要在哪个 FW 中进行更改。
答案1
Check Point 的安全策略基于多种类型的对象,因此简单的平面 CSV 几乎是不可能的。如果我们考虑 Check Point 直接提供的工具,则有三种可能性,但不幸的是,它们都不理想:
cp_合并
此工具允许导出和导入对象和策略。导出的策略可能被操纵。导入允许覆盖或附加。
数据库编辑
这是一个通用工具,允许操作对象和规则库。请参阅 CLI 指南及以下内容:
不幸的是,规则的操作没有记录,但你可以下载奥菲勒并研究生成的dbedit脚本。Ofiller 是一款很棒的工具,但不幸的是它已经很久没有更新了,我不确定它与 Check Point 软件的当前版本相比有多可靠。
Confwiz
这是一个官方工具,Confwiz 最初旨在允许在多个平台之间导入/导出/迁移安全策略。起初支持 Cisco 格式,但不幸的是 Check Point 的努力停止了。Confwiz 支持的最新版本的 Check Point 软件是 R71.x,Confwiz 的开发似乎完全停止了。
其他可能性
您可以直接编辑目录中的文件$FWDIR/conf,但必须非常小心,而且 Check Point 不支持此功能。
还有官方Web 可视化工具允许导出到 XML 但不允许导入。
可能有一些第三方工具,但据我所知,只有 Ofiller 是免费的。
答案2
在自动化方面,Check Point 确实有一个 API。除了这个或 DBEdit 之外,我不会做任何事情,但这是我个人的看法。我还推荐使用第三方工具,如 Algosec,但你可能没有预算。R80 应该有一个更好的 API,但它仍然无法接近我见过的 Palo 之类的东西。
在我看来,CSV 文件就像您习惯于管理 Cisco ASA 之类的东西,但在我看来,它要糟糕得多,而且非常过时。学习与 API 集成,并将注意力集中在那里,因为这是网络堆栈中世界的发展方向。