Le regole DFW possono essere create, aggiornate ed eliminate utilizzando sia l'interfaccia utente sia l'API.

Stato di realizzazione delle regole nell'interfaccia utente

È possibile visualizzare lo stato di realizzazione della regole per i criteri del firewall di DFW e del gateway passando a Sicurezza > Firewall distribuito o Sicurezza Firewall gateway e controllando lo stato di realizzazione delle regole segnalato dai nodi di trasporto.

Sono possibili quattro valori per lo stato di realizzazione delle regole:
  • Operazione eseguita
  • Errore
  • In corso
  • Sconosciuto

Stato di realizzazione delle regole tramite API

Se la regola è stata creata e applicata nei nodi pertinenti, lo stato di realizzazione può essere controllato dalle seguenti API di Policy Manager.

Per controllare lo stato di realizzazione per tutte le entità create in Policy Manager, eseguire il comando: GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entitiesLo stato realizzato dell'oggetto deve essere "REALIZZATO" e "runtime_status" deve essere "OPERAZIONE ESEGUITA"

Ad esempio, la query per verificare lo stato realizzato di <e2d4c010-96c8-11e9-8c0a-f7581ab92530> del criterio di protezione a livello di Policy Manager è <f96f27c0-92b8-11e9-96af-b5e746a259e7> is GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530

{
"results": [
{
"extended_attributes": [],
"entity_type": "RealizedFirewallRule",
"intent_paths": [
"/infra/domains/default/security-policies/1-communication-560"
],
"resource_type": "GenericPolicyRealizedResource",
"id": "default.1-communication-560.3-communication-110",
"display_name": "default.1-communication-560.3-communication-110",
"description": "default.1-communication-560.3-communication-110",
"path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110",
"relative_path": "default.1-communication-560.3-communication-110",
"parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560",
"intent_reference": [],
"realization_specific_identifier": "1028",
"state": "REALIZED",  
"alarms": [],
"runtime_status": "IN_PROGRESS",
"_create_user": "system",
"_create_time": 1561673625030,
"_last_modified_user": "system",
"_last_modified_time": 1561674044534,
"_system_owned": false,
"_protection": "NOT_PROTECTED",
"_revision": 6
}
],
"result_count": 1
}

Per controllare lo stato realizzato complessivo di ogni regola in una sezione nell'hypervisor, eseguire il comando:GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path>.

Per lo stato consolidato sono possibili quattro valori:
  • Operazione eseguita
  • Errore
  • In corso
  • Sconosciuto
Tabella 1. Stato consolidato
Stato complessivo nodo di trasporto 1 Stato complessivo nodo di trasporto 2 Stato consolidato
ERRORE ERRORE ERRORE
ERRORE IN CORSO ERRORE
ERRORE SCONOSCIUTO ERRORE
IN CORSO IN CORSO IN CORSO
IN CORSO SCONOSCIUTO IN CORSO
OPERAZIONE ESEGUITA OPERAZIONE ESEGUITA OPERAZIONE ESEGUITA
OPERAZIONE ESEGUITA ERRORE ERRORE
OPERAZIONE ESEGUITA IN CORSO IN CORSO
OPERAZIONE ESEGUITA SCONOSCIUTO SCONOSCIUTO
SCONOSCIUTO SCONOSCIUTO SCONOSCIUTO