DFW-Regeln können sowohl über die Benutzeroberfläche als auch über die API erstellt, aktualisiert und gelöscht werden.
Regelrealisierungsstatus auf der Benutzeroberfläche
Sie können den Regelrealisierungsstatus für DFW- und Gateway-Firewall-Richtlinien sehen, indem Sie zu oder Sicherheit Gateway-Firewall navigieren und den von den Transportknoten gemeldeten Regelrealisierungsstatus überprüfen.
- Erfolgreich
- Fehler
- Wird durchgeführt
- Unbekannt
Regelrealisierungsstatus über APIs
Wenn die Regel an den entsprechenden Knoten erstellt und erzwungen wurde, kann der Realisierungsstatus mit den folgenden Richtlinienmanager-APIs überprüft werden.
Um den Realisierungsstatus für alle im Richtlinienmanager erstellten Entitäten zu prüfen, führen Sie den Befehl aus: GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entitiesDer realisierte Zustand des Objekts sollte „REALISIERT“ sein und 'runtime_status' sollte „ERFOLGREICH“ sein.
Die Abfrage zur Überprüfung des realisierten Status von <e2d4c010-96c8-11e9-8c0a-f7581ab92530> der Sicherheitsrichtlinie auf der Ebene des Richtlinienmanagers lautet beispielsweise <f96f27c0-92b8-11e9-96af-b5e746a259e7> is GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530
{
"results": [
{
"extended_attributes": [],
"entity_type": "RealizedFirewallRule",
"intent_paths": [
"/infra/domains/default/security-policies/1-communication-560"
],
"resource_type": "GenericPolicyRealizedResource",
"id": "default.1-communication-560.3-communication-110",
"display_name": "default.1-communication-560.3-communication-110",
"description": "default.1-communication-560.3-communication-110",
"path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110",
"relative_path": "default.1-communication-560.3-communication-110",
"parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560",
"intent_reference": [],
"realization_specific_identifier": "1028",
"state": "REALIZED",
"alarms": [],
"runtime_status": "IN_PROGRESS",
"_create_user": "system",
"_create_time": 1561673625030,
"_last_modified_user": "system",
"_last_modified_time": 1561674044534,
"_system_owned": false,
"_protection": "NOT_PROTECTED",
"_revision": 6
}
],
"result_count": 1
}
Um den gesamten realisierten Status des Abschnitts jeder Regel in einem Abschnitt auf dem Hypervisor zu prüfen, führen Sie den Befehl aus: GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path>.
- Erfolgreich
- Fehler
- Wird durchgeführt
- Unbekannt
| Transportknoten 1 Gesamtstatus | Transportknoten 2 Gesamtstatus | Konsolidierter Status |
|---|---|---|
| FEHLER | FEHLER | FEHLER |
| FEHLER | IN_PROGRESS | FEHLER |
| FEHLER | UNBEKANNT | FEHLER |
| IN_PROGRESS | IN_PROGRESS | IN_PROGRESS |
| IN_PROGRESS | UNBEKANNT | IN_PROGRESS |
| ERFOLGREICH | ERFOLGREICH | ERFOLGREICH |
| ERFOLGREICH | FEHLER | FEHLER |
| ERFOLGREICH | IN_PROGRESS | IN_PROGRESS |
| ERFOLGREICH | UNBEKANNT | UNBEKANNT |
| UNBEKANNT | UNBEKANNT | UNBEKANNT |
