Check Point 防火墙

Check Point 管理服务器应接受来自收集器 IP 地址的 API 访问。

您可以从 Check Point SmartConsole 应用程序设置访问权限。转到管理和设置 > 刀片，然后在管理 API 设置窗口中，选择所有 IP 地址。

如果将检查点 MDS 添加为数据源，则 vRealize Network Insight 将从用户定义的所有域和全局域中提取数据。

vRealize Network Insight 使用 Check Point 公共 Web API 从 Check Point 管理服务器提取数据。如果 VSX 网关连接到管理服务器，则我们使用基于 SSH 的 CLI 命令提取受 VSX 管理的虚拟系统 VS 路由表，以支持在虚拟机-虚拟机路径中显示 VS 网关。

vRealize Network Insight 需要对 Web-API 访问的只读特权，以便提取大多数 Check Point 数据。例外情况很少，如下所示：

如果非 VSX 物理网关连接到管理服务器，则用户应具有对 Web API 的读写访问特权。要获取网关路由以将 run script Web API 用于虚拟机-虚拟机路径计算，这一点是必需的。
如果 VSX 网关连接到管理服务器，则用户应具有使用相同密码的 SSH 访问权限。此外，用户还应具有对 CLI 命令 vsx_util view_vs_conf 的访问权限。此命令用于提取虚拟机-虚拟机路径计算的 VSX 网关路由。
为了使 MDS 服务器 IP 作为数据源，用户应具有对所有域（包括 MDS 域和全局域）的 Web API 访问权限。需要从所有域中提取规则、策略软件包和其他数据。

可以对 vRealize Network Insight 支持的所有 Check Point 实体执行查询。所有实体都以 Check Point 为前缀。Check Point 的一些查询如下所示：

表 1.
Check Point 中的实体	关键字	查询
IPset	`Check Point Address Range` `Check Point Network`	`vm where Address Range = <>` `vm where Address Range = <>` `Check Point Address Range where Translated VM = <>`
分组	`Check Point Network Group`	`Check Point Network Group where Translated VM = <>` `vm where Network Group = <>`
服务/服务组	`Check Point Service` `Check Point Service Group`	`Check point service where Port = <>` `Check point service where protocol = <>`
访问层	`Check Point Access Layer`	`Check Point Policy where Access Layer = <>`
域	`Check Point Domain`	`check point domain where ip address = <>` `check point policy where domain = <>` `check point access layer where domain = <>`
网关和网关集群	`Check Point Gateway` `Check Point Gateway Cluster`	`Check Point Gateway Cluster where Policy Package = <>`
策略软件包	`Check Point Policy package`	`Check Point Policy where Policy Package = <>` `Check Point Policy Package where Rule = <>`
策略	`Check Point Policy`	`Check point policy where source ip = <> and Destination IP = <>` `Rule where source ip = <> and Destination IP = <> (will display other rules- nsx, redirect along with check point policies in the system)`

Check Point 管理器仪表板的示例如下所示：

在虚拟机-虚拟机拓扑图中，可以查看主机上的 Check Point 服务虚拟机，以表示特定流量上应用的 Check Point 规则。VSX 管理的虚拟系统 (VS) 网关可以在虚拟机-虚拟机路径中视为物理网关。单击网关图标时，将显示适用的 Check Point 策略列表。

注：对于虚拟机-虚拟机路径， vRealize Network Insight 不支持包含虚拟交换机和虚拟路由器的 VSX 集群。

以下是为 Check Point 生成系统警示的一些情形：

在 Check Point 网关的 ESX 上未找到 NSX 结构层代理。
未找到 Check Point 服务虚拟机。
Check Point 网关 sic 状态为“未通信”。
Check Point 实体（如地址范围、网络、策略、组、策略软件包、服务、服务组等）的发现和更新警示功能