Le regole DFW possono essere create, aggiornate ed eliminate utilizzando sia l'interfaccia utente sia l'API.
Stato di realizzazione delle regole nell'interfaccia utente
È possibile visualizzare lo stato di realizzazione della regole per i criteri del firewall di DFW e del gateway passando a o Sicurezza Firewall gateway e controllando lo stato di realizzazione delle regole segnalato dai nodi di trasporto.
- Operazione eseguita
- Errore
- In corso
- Sconosciuto
Stato di realizzazione delle regole tramite API
Se la regola è stata creata e applicata nei nodi pertinenti, lo stato di realizzazione può essere controllato dalle seguenti API di Policy Manager.
Per controllare lo stato di realizzazione per tutte le entità create in Policy Manager, eseguire il comando: GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entitiesLo stato realizzato dell'oggetto deve essere "REALIZZATO" e "runtime_status" deve essere "OPERAZIONE ESEGUITA"
Ad esempio, la query per verificare lo stato realizzato di <e2d4c010-96c8-11e9-8c0a-f7581ab92530> del criterio di protezione a livello di Policy Manager è <f96f27c0-92b8-11e9-96af-b5e746a259e7> is GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530
{
"results": [
{
"extended_attributes": [],
"entity_type": "RealizedFirewallRule",
"intent_paths": [
"/infra/domains/default/security-policies/1-communication-560"
],
"resource_type": "GenericPolicyRealizedResource",
"id": "default.1-communication-560.3-communication-110",
"display_name": "default.1-communication-560.3-communication-110",
"description": "default.1-communication-560.3-communication-110",
"path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110",
"relative_path": "default.1-communication-560.3-communication-110",
"parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560",
"intent_reference": [],
"realization_specific_identifier": "1028",
"state": "REALIZED",
"alarms": [],
"runtime_status": "IN_PROGRESS",
"_create_user": "system",
"_create_time": 1561673625030,
"_last_modified_user": "system",
"_last_modified_time": 1561674044534,
"_system_owned": false,
"_protection": "NOT_PROTECTED",
"_revision": 6
}
],
"result_count": 1
}
Per controllare lo stato realizzato complessivo di ogni regola in una sezione nell'hypervisor, eseguire il comando:GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path>.
- Operazione eseguita
- Errore
- In corso
- Sconosciuto
| Stato complessivo nodo di trasporto 1 | Stato complessivo nodo di trasporto 2 | Stato consolidato |
|---|---|---|
| ERRORE | ERRORE | ERRORE |
| ERRORE | IN CORSO | ERRORE |
| ERRORE | SCONOSCIUTO | ERRORE |
| IN CORSO | IN CORSO | IN CORSO |
| IN CORSO | SCONOSCIUTO | IN CORSO |
| OPERAZIONE ESEGUITA | OPERAZIONE ESEGUITA | OPERAZIONE ESEGUITA |
| OPERAZIONE ESEGUITA | ERRORE | ERRORE |
| OPERAZIONE ESEGUITA | IN CORSO | IN CORSO |
| OPERAZIONE ESEGUITA | SCONOSCIUTO | SCONOSCIUTO |
| SCONOSCIUTO | SCONOSCIUTO | SCONOSCIUTO |
