可以使用 UI 和 API 创建、更新和删除 DFW 规则。
安全管理员需要了解任何安全策略操作的实现时间。实现时间是在传输节点上实现安全策略/规则所用的时间。安全策略/规则上的任何创建/更新/删除操作都会在传输节点上根据规则的应用位置来实现。
UI 上的规则实现状态
您可以查看 DFW 和网关防火墙策略的规则实现状态,方法是导航到或安全网关防火墙,然后检查传输节点报告的规则实现状态。
- 成功
- 错误
- 正在进行中
- 未知
通过 API 的规则实现状态
如果在相关节点上创建和实施了规则,可以通过以下 Policy Manager API 检查实现状态。
- publish_time - 跟踪发布状态的更新时间。每当更新意向时,状态跟踪器会在将发布状态推送到传输节点后对其进行修改。由于此操作基于轮询机制,因此这不是在数据路径上发布意向的准确时间。值 -1 表示发布仍在进行中,或者运行时状态为“未知”且不可用。如果一个或多个主机已关闭,且无法将规则发送到这些主机,则运行时状态可能为“未知”。主机启动后,运行时状态将更改为“成功”,但 publish_time 将显示上次实现时间的值。如果此后进行了任何新的配置更改,则会开始反映 publish_time 的正确值。
- time_taken_for_realization - 实现数据路径意向的大致时间。实际花费的时间可能少于此处报告的时间。值 -1 表示发布仍在进行中,或者运行时状态为“未知”且因此不可用。如果一个或多个主机已关闭,且无法将规则发送到这些主机,则运行时状态可能为“未知”。主机启动时,运行时状态将更改为“成功”,但 time_taken_for_realization 将显示上次实现时间的值。如果此后进行了任何新的配置更改,则会开始反映 time_taken_for_realization 的正确值。
"publish_status": "REALIZED",
"publish_time": 1668599137109, <====================== Newly added
"time_taken_for_realization": 1563 <============ in milliseconds
"intent_version": "1"
要检查在 Policy Manager 中创建的所有实体的实现状态,请运行以下命令:GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entities。对象的实现状态应该为“REALIZED”,“runtime_status”应该为“SUCCESS”。
例如,在 Policy Manager 级别检查安全策略的 <e2d4c010-96c8-11e9-8c0a-f7581ab92530> 实现状态的查询为 GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530。
{
"results": [
{
"extended_attributes": [],
"entity_type": "RealizedFirewallRule",
"intent_paths": [
"/infra/domains/default/security-policies/1-communication-560"
],
"resource_type": "GenericPolicyRealizedResource",
"id": "default.1-communication-560.3-communication-110",
"display_name": "default.1-communication-560.3-communication-110",
"description": "default.1-communication-560.3-communication-110",
"path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110",
"relative_path": "default.1-communication-560.3-communication-110",
"parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560",
"intent_reference": [],
"realization_specific_identifier": "1028",
"state": "REALIZED",
"alarms": [],
"runtime_status": "IN_PROGRESS",
"_create_user": "system",
"_create_time": 1561673625030,
"_last_modified_user": "system",
"_last_modified_time": 1561674044534,
"_system_owned": false,
"_protection": "NOT_PROTECTED",
"_revision": 6
}
],
"result_count": 1
}
要在 Hypervisor 上检查每个规则的某个部分的总体实现状态,请运行以下命令:GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path>。
- 成功
- 错误
- 正在进行中
- 未知
| 传输节点 1 总体状态 | 传输节点 2 总体状态 | 合并状态 |
|---|---|---|
| ERROR | ERROR | ERROR |
| ERROR | IN_PROGRESS | ERROR |
| ERROR | UNKNOWN | ERROR |
| IN_PROGRESS | IN_PROGRESS | IN_PROGRESS |
| IN_PROGRESS | UNKNOWN | IN_PROGRESS |
| SUCCESS | SUCCESS | SUCCESS |
| SUCCESS | ERROR | ERROR |
| SUCCESS | IN_PROGRESS | IN_PROGRESS |
| SUCCESS | UNKNOWN | UNKNOWN |
| UNKNOWN | UNKNOWN | UNKNOWN |
