Les règles DFW peuvent être créées, mises à jour et supprimées à l'aide de l'interface utilisateur et de l'API.
Les administrateurs de sécurité doivent déterminer le temps de réalisation de toute opération de stratégie de sécurité. Le temps de réalisation est le temps nécessaire à la réalisation de la stratégie/règle de sécurité sur les nœuds de transport. Toute opération de création/mise à jour/suppression sur la stratégie/règle de sécurité est réalisée sur les nœuds de transport en fonction de l'endroit où les règles sont appliquées.
État de réalisation de la règle sur l'interface utilisateur
Vous pouvez voir l'état de réalisation de la règle pour les stratégies de pare-feu DFW et de passerelle en accédant à SécuritéPare-feu de passerelle et en vérifiant l'état de réalisation de la règle signalée par les nœuds de transport.
ou- Réussite
- Erreur
- En cours d'exécution
- Inconnu
État de réalisation de la règle via les API
Si la règle a été créée et appliquée aux nœuds appropriés, l'état de réalisation peut être vérifié par les API de gestionnaire de stratégies suivantes.
- publish_time : effectue le suivi de l'heure à laquelle l'état de publication est mis à jour. Chaque fois qu'une intention est mise à jour, le dispositif de suivi de l'état modifie l'état de publication une fois le transfert effectué vers les nœuds de transport. Cette opération étant basée sur un mécanisme d'interrogation, il ne s'agit pas de l'heure exacte à laquelle l'intention a été publiée sur le chemin d'accès aux données. La valeur -1 indique que la publication est toujours en cours ou que l'état d'exécution est INCONNU et indisponible. L'état d'exécution peut être INCONNU lorsqu'un ou plusieurs hôtes sont inactifs et que les règles n'ont pas pu être envoyées à ces hôtes. Une fois l'hôte actif, l'état d'exécution passe à RÉUSSITE, mais publish_time affiche la valeur du dernier temps de réalisation. Après cela, toute nouvelle modification de la configuration reflète la valeur appropriée de publish_time.
- time_taken_for_realization : temps approximatif nécessaire pour la réalisation de l'intention vers le chemin d'accès aux données. Le temps réel nécessaire peut être inférieur à ce qui est rapporté ici. La valeur -1 indique que la publication est toujours en cours ou que l'état d'exécution est INCONNU et donc indisponible. L'état d'exécution peut être INCONNU lorsqu'un ou plusieurs hôtes sont inactifs et que les règles n'ont pas pu être envoyées à ces hôtes. Une fois l'hôte actif, l'état d'exécution passe à RÉUSSITE, mais le temps nécessaire à la réalisation affiche la valeur du dernier temps de réalisation. Après cela, toute nouvelle modification de la configuration reflétera la valeur appropriée de time_taken_for_realization.
"publish_status": "REALIZED", "publish_time": 1668599137109, <====================== Newly added "time_taken_for_realization": 1563 <============ in milliseconds "intent_version": "1"
Pour vérifier l'état de réalisation de toutes les entités créées dans le gestionnaire de stratégie, exécutez la commande : GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entities
L'état réalisé de l'objet doit être « RÉALISÉ » et « runtime_status » doit être « RÉUSSI »
Par exemple, la requête pour vérifier l'état réalisé de <e2d4c010-96c8-11e9-8c0a-f7581ab92530>
de la stratégie de sécurité au niveau du gestionnaire de stratégie est GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530
.
{ "results": [ { "extended_attributes": [], "entity_type": "RealizedFirewallRule", "intent_paths": [ "/infra/domains/default/security-policies/1-communication-560" ], "resource_type": "GenericPolicyRealizedResource", "id": "default.1-communication-560.3-communication-110", "display_name": "default.1-communication-560.3-communication-110", "description": "default.1-communication-560.3-communication-110", "path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110", "relative_path": "default.1-communication-560.3-communication-110", "parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560", "intent_reference": [], "realization_specific_identifier": "1028", "state": "REALIZED", "alarms": [], "runtime_status": "IN_PROGRESS", "_create_user": "system", "_create_time": 1561673625030, "_last_modified_user": "system", "_last_modified_time": 1561674044534, "_system_owned": false, "_protection": "NOT_PROTECTED", "_revision": 6 } ], "result_count": 1 }
Pour vérifier l'état général réalisé de la section de chaque règle dans une section de l'hyperviseur, exécutez la commande : GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path>
.
- Réussite
- Erreur
- En cours d'exécution
- Inconnu
État global du nœud de transport 1 | État global du nœud de transport 2 | État consolidé |
---|---|---|
ERREUR | ERREUR | ERREUR |
ERREUR | EN_COURS | ERREUR |
ERREUR | INCONNU | ERREUR |
EN_COURS | EN_COURS | EN_COURS |
EN_COURS | INCONNU | EN_COURS |
RÉUSSITE | RÉUSSITE | RÉUSSITE |
RÉUSSITE | ERREUR | ERREUR |
RÉUSSITE | EN_COURS | EN_COURS |
RÉUSSITE | INCONNU | INCONNU |
INCONNU | INCONNU | INCONNU |