Check Point 管理服务器应接受来自收集器 IP 地址的 API 访问。

可以从管理与设置 > 刀片 > 管理 API > 高级设置中设置访问权限。

如果将检查点 MDS 添加为数据源,则 vRealize Network Insight 将从用户定义的所有域和全局域中提取数据。

vRealize Network Insight 使用 Check Point 公共 Web API 从 Check Point 管理服务器提取数据。如果 VSX 网关连接到管理服务器,则我们使用基于 SSH 的 CLI 命令提取受 VSX 管理的虚拟系统 VS 路由表,以支持在虚拟机-虚拟机路径中显示 VS 网关。

vRealize Network Insight 需要对 Web-API 访问的只读特权,以便提取大多数 Check Point 数据。例外情况很少,如下所示:
  • 如果非 VSX 物理网关连接到管理服务器,则用户应具有对 Web API 的读写访问特权。要获取网关路由以将 run script Web API 用于虚拟机-虚拟机路径计算,这一点是必需的。
  • 如果 VSX 网关连接到管理服务器,则用户应具有使用相同密码的 SSH 访问权限。此外,用户还应具有对 CLI 命令 vsx_util view_vs_conf 的访问权限。此命令用于提取虚拟机-虚拟机路径计算的 VSX 网关路由。
  • 为了使 MDS 服务器 IP 作为数据源,用户应具有对所有域(包括 MDS 域和全局域)的 Web API 访问权限。需要从所有域中提取规则、策略软件包和其他数据。
可以对 vRealize Network Insight 支持的所有 Check Point 实体执行查询。所有实体都以 Check Point 为前缀。Check Point 的一些查询如下所示:
表 1.
Check Point 中的实体 关键字 查询
IPset

Check Point Address Range

Check Point Network

vm where Address Range = <>

vm where Address Range = <>

Check Point Address Range where Translated VM = <>

分组 Check Point Network Group

Check Point Network Group where Translated VM = <>

vm where Network Group = <>

服务/服务组

Check Point Service

Check Point Service Group

Check point service where Port = <>

Check point service where protocol = <>

访问层 Check Point Access Layer Check Point Policy where Access Layer = <>
Check Point Domain

check point domain where ip address = <>

check point policy where domain = <>

check point access layer where domain = <>

网关和网关群集

Check Point Gateway

Check Point Gateway Cluster

Check Point Gateway Cluster where Policy Package = <>
策略软件包 Check Point Policy package

Check Point Policy where Policy Package = <>

Check Point Policy Package where Rule = <>

策略 Check Point Policy

Check point policy where source ip = <> and Destination IP = <>

Rule where source ip = <> and Destination IP = <> (will display other rules- nsx, redirect along with check point policies in the system)

Check Point 管理器仪表板的示例如下所示:
在虚拟机-虚拟机拓扑图中,可以查看主机上的 Check Point 服务虚拟机,以表示特定流量上应用的 Check Point 规则。VSX 管理的虚拟系统 (VS) 网关可以在虚拟机-虚拟机路径中视为物理网关。单击网关图标时,将显示适用的 Check Point 策略列表。
注: 对于虚拟机-虚拟机路径, vRealize Network Insight 不支持包含虚拟交换机和虚拟路由器的 VSX 群集。
以下是为 Check Point 生成系统事件的一些方案:
  • 在 Check Point 网关的 ESX 上未找到 NSX 结构层代理。
  • 未找到 Check Point 服务虚拟机。
  • Check Point 网关 sic 状态为“未通信”。
  • Check Point 实体(如地址范围、网络、策略、组、策略软件包、服务、服务组等)的发现和更新事件功能