Der Check Point-Verwaltungsserver sollte den API-Zugriff über die Collector-IP-Adresse akzeptieren.

Sie können den Zugriff auf die Anwendung Check Point SmartConsole einrichten. Wechseln Sie zu Verwalten und Einstellungen > Blades und wählen Sie im Fenster Verwaltungs-API-Einstellung die Option Alle IP-Adressen aus.

Wenn Check Point MDS als Datenquelle hinzugefügt wird, ruft vRealize Network Insight Daten aus allen benutzerdefinierten Domänen und der globalen Domäne ab.

vRealize Network Insight verwendet die öffentliche Web-API-Schnittstelle von Check Point zum Abrufen der Daten vom Check Point-Verwaltungsserver. Wenn das VSX-Gateway mit dem Verwaltungsserver verknüpft ist, verwenden wir SSH-basierte CLI-Befehle zum Abrufen der von VSX verwalteten virtuellen System-VS-Routing-Tabelle, um die Anzeige des VS-Gateways im VM-VM-Pfad zu unterstützen.

vRealize Network Insight benötigt nur Leserechte für den Zugriff auf die Web-API-Schnittstelle, um die meisten Check Point-Daten abzurufen. Die wenigen Ausnahmen sind wie folgt:
  • Wenn ein nicht-physisches VSX-Gateway mit dem Verwaltungsserver verbunden ist, sollte der Benutzer über Rechte für Lese- und Schreibzugriff für die Web-API verfügen. Dies ist erforderlich, um die Gateway-Routen für die Verwendung der run script-Web-API für die VM-VM-Pfadberechnung abzurufen.
  • Wenn ein VSX-Gateway mit dem Verwaltungsserver verknüpft ist, sollte der Benutzer über SSH-Zugriff mit demselben Kennwort verfügen. Darüber hinaus sollte der Benutzer Zugriff auf den CLI-Befehl vsx_util view_vs_conf haben. Mit diesem Befehl werden die VSX-Gateway-Routen für die VM-VM-Pfadberechnung abgerufen.
  • Für die MDS-Server-IP-Adresse als Datenquelle sollte der Benutzer über den Web-API-Zugriff auf alle Domänen einschließlich der MDS-Domäne und der globalen Domäne verfügen. Dies ist erforderlich, um Regeln, Richtlinienpakete und andere Daten aus allen Domänen abzurufen.
Sie können eine Abfrage für alle Check Point-Einheiten durchführen, die von vRealize Network Insight unterstützt werden. Allen Einheiten wird das Präfix Check Point vorangestellt. Einige der Abfragen für den Check Point lauten wie folgt:
Tabelle 1.
Einheiten in Check Point Suchbegriffe Abfragen
IPset

Check Point Address Range

Check Point Network

vm where Address Range = <>

vm where Address Range = <>

Check Point Address Range where Translated VM = <>

Gruppierung Check Point Network Group

Check Point Network Group where Translated VM = <>

vm where Network Group = <>

Dienst/Dienstgruppe

Check Point Service

Check Point Service Group

Check point service where Port = <>

Check point service where protocol = <>

Zugriffsebene Check Point Access Layer Check Point Policy where Access Layer = <>
Domäne Check Point Domain

check point domain where ip address = <>

check point policy where domain = <>

check point access layer where domain = <>

Gateways und Gateway-Cluster

Check Point Gateway

Check Point Gateway Cluster

Check Point Gateway Cluster where Policy Package = <>
Richtlinienpaket Check Point Policy package

Check Point Policy where Policy Package = <>

Check Point Policy Package where Rule = <>

Richtlinie Check Point Policy

Check point policy where source ip = <> and Destination IP = <>

Rule where source ip = <> and Destination IP = <> (will display other rules- nsx, redirect along with check point policies in the system)

Ein Beispiel für ein Check Point Manager-Dashboard wird wie folgt angezeigt:
In einem VM-VM-Topologie-Diagramm können Sie die Check Point-Dienst-VMs auf einem Host anzeigen, um die auf den jeweiligen Datenverkehr angewendeten Check Point-Regeln zu kennzeichnen. Das durch das VSX verwaltete virtuelle System-Gateway (Virtual System, VS) kann im VM-VM-Pfad als physisches Gateway angezeigt werden. Die Liste der anwendbaren Check Point-Richtlinien wird angezeigt, wenn Sie auf das Gateway-Symbol klicken.
Hinweis: Für den VM-VM-Pfad unterstützt vRealize Network Insight nicht den VSX-Cluster mit virtuellem Switch und virtuellem Router.
Im Folgenden finden Sie einige Szenarien, für die die Systemereignisse für den Check Point generiert werden:
  • Der NSX Fabric Agent wurde auf dem ESX für das Check Point-Gateway nicht gefunden.
  • Die Check Point-Dienst-VM wurde nicht gefunden.
  • Der Status des Check Point-Gateways sic wird nicht kommuniziert.
  • Die Funktionen für Ermittlungs- und Aktualisierungsereignisse für die Check Point-Einheiten wie Adressbereich, Netzwerke, Richtlinien, Gruppen, Richtlinienpaket, Dienst, Dienstgruppe usw.