Firewall de Check Point

El servidor de administración de Check Point debe aceptar el acceso a la API desde la dirección IP del recopilador.

Puede configurar el acceso desde la aplicación Check Point SmartConsole. Vaya a Administración y configuración > Blades y, en la ventana API de administración, seleccione Todas las direcciones IP.

Si se agrega Check Point MDS como origen de datos, vRealize Network Insight recupera datos de todos los dominios definidos por el usuario y del dominio global.

vRealize Network Insight utiliza la API web pública de Check Point para obtener los datos del servidor de administración de Check Point. Si se conecta la puerta de enlace de VSX al servidor de administración, se deben utilizar comandos de CLI basados en SSH para recuperar la tabla de enrutamiento del sistema virtual (Virtual System, VS) administrado por VSX para admitir la visualización de la puerta de enlace de VS en la ruta de máquina virtual a máquina virtual.

vRealize Network Insight requiere privilegios de solo lectura para acceder a la API web y obtener la mayoría de los datos de Check Point. Existen algunas excepciones como las siguientes:

Si se asocia una puerta de enlace física que no es de VSX al servidor de administración, el usuario debe tener privilegios de acceso de lectura y escritura en la API web. Esto es necesario para recuperar las rutas de puerta de enlace y usar la API web run script para el cálculo de rutas de máquina virtual a máquina virtual.
Si se conecta la puerta de enlace de VSX al servidor de administración, el usuario debe tener acceso SSH con la misma contraseña. Además, el usuario debe tener acceso al comando de CLI vsx_util view_vs_conf. Este comando se utiliza para recuperar las rutas de puerta de enlace de VSX para el cálculo de rutas de máquina virtual a máquina virtual.
Si se utiliza una IP de servidor MDS como origen de datos, el usuario debe tener acceso de la API web a todos los dominios, incluido el dominio de MDS y el dominio global. Es necesario recuperar reglas, paquetes de directivas y otros datos de todos los dominios.

Es posible realizar una consulta para todas las entidades de Check Point que son compatibles con vRealize Network Insight. Todas las entidades llevan el prefijo Check Point. Algunas de las consultas de Check Point son las siguientes:

Tabla 1.
Entidades en Check Point	Palabras clave	Consultas
Conjunto de IP	`Check Point Address Range` `Check Point Network`	`vm where Address Range = <>` `vm where Address Range = <>` `Check Point Address Range where Translated VM = <>`
Agrupación	`Check Point Network Group`	`Check Point Network Group where Translated VM = <>` `vm where Network Group = <>`
Servicio/Grupo de servicio	`Check Point Service` `Check Point Service Group`	`Check point service where Port = <>` `Check point service where protocol = <>`
Capa de acceso	`Check Point Access Layer`	`Check Point Policy where Access Layer = <>`
Dominio	`Check Point Domain`	`check point domain where ip address = <>` `check point policy where domain = <>` `check point access layer where domain = <>`
Puertas de enlace y clúster de puertas de enlace	`Check Point Gateway` `Check Point Gateway Cluster`	`Check Point Gateway Cluster where Policy Package = <>`
Paquete de directivas	`Check Point Policy package`	`Check Point Policy where Policy Package = <>` `Check Point Policy Package where Rule = <>`
Directiva	`Check Point Policy`	`Check point policy where source ip = <> and Destination IP = <>` `Rule where source ip = <> and Destination IP = <> (will display other rules- nsx, redirect along with check point policies in the system)`

A continuación se muestra un panel de control de Check Point Manager de ejemplo:

En un diagrama de topología de máquina virtual a máquina virtual, se pueden ver las máquinas virtuales del servicio de Check Point en un host para indicar las reglas de Check Point que se aplican al tráfico específico. La puerta de enlace del sistema virtual (Virtual System, VS) administrado por VSX se puede ver en la ruta de máquina virtual a máquina virtual como una puerta de enlace física. La lista de directivas aplicables de Check Point se muestra al hacer clic en el icono de puerta de enlace.

Nota: Para la ruta de máquina virtual a máquina virtual, vRealize Network Insight no admite el clúster de VSX que contiene el conmutador virtual y el enrutador virtual.

A continuación, se muestran algunos escenarios en los que se generan alertas del sistema para Check Point:

No se encuentra el agente de tejido de NSX en la instancia de ESX para la puerta de enlace de Check Point.
No se encuentra la máquina virtual de servicio de Check Point.
El estado de la puerta de enlace de Check Point sic no se está comunicando.
Las funciones de detección y actualización de alertas para las entidades de Check Point, como el rango de direcciones, las redes, las directivas, los grupos, el paquete de directivas, el servicio, el grupo de servicios, etc.