Check Point ファイアウォール

Check Point 管理サーバは、コレクタ IP アドレスからの API アクセスを受け入れる必要があります。

Check Point SmartConsole アプリケーションからのアクセスを設定できます。[管理と設定] > [ブレード] の順に移動し、[管理 API の設定] ウィンドウで [すべての IP アドレス] を選択します。

Check Point MDS がデータソースとして追加されている場合、vRealize Network Insight はすべてのユーザー定義ドメインおよびグローバルドメインからデータを取得します。

vRealize Network Insight は Check Point 管理サーバからデータを取得するために、Check Point のパブリック Web API を使用します。VSX ゲートウェイが管理サーバに接続されている場合は、SSH ベースの CLI コマンドを使用して VSX 管理対象仮想システム VS ルーティングテーブルを取得し、仮想マシン間パスでの VS ゲートウェイの表示をサポートします。

vRealize Network Insight には、ほとんどの Check Point データを取得するために、Web-API アクセスに対する読み取り専用権限が必要です。例外は次のとおりです。

管理サーバに VSX 以外の物理ゲートウェイが接続されている場合、ユーザーは Web API に対する読み取り/書き込みアクセス権限を持っている必要があります。これは、仮想マシン間パス計算で run script Web API を使用するためのゲートウェイルートの取得に必要です。
VSX ゲートウェイが管理サーバに接続されている場合、ユーザーには、同じパスワードを使用する SSH アクセス権限が必要です。さらに、CLI コマンド vsx_util view_vs_conf へのアクセス権限がユーザーに付与されている必要があります。このコマンドは、仮想マシン間パス計算の VSX ゲートウェイルートの取得に使用されます。
MDS サーバの IP アドレスをデータソースとして使用する場合、ユーザーには、MDS ドメインとグローバルドメインを含むすべてのドメインへの Web API アクセス権限が必要です。これは、すべてのドメインからルール、ポリシーパッケージ、およびその他のデータを取得するために必要です。

vRealize Network Insight でサポートされているすべての Check Point エンティティに対してクエリを実行できます。すべてのエンティティの先頭に Check Point が付けられます。Check Point のクエリには、次のようなものがあります。

表 1.
Check Point のエンティティ	キーワード	クエリ
IPset	`Check Point Address Range` `Check Point Network`	`vm where Address Range = <>` `vm where Address Range = <>` `Check Point Address Range where Translated VM = <>`
グループ化	`Check Point Network Group`	`Check Point Network Group where Translated VM = <>` `vm where Network Group = <>`
サービス/サービスグループ	`Check Point Service` `Check Point Service Group`	`Check point service where Port = <>` `Check point service where protocol = <>`
アクセスレイヤー	`Check Point Access Layer`	`Check Point Policy where Access Layer = <>`
ドメイン	`Check Point Domain`	`check point domain where ip address = <>` `check point policy where domain = <>` `check point access layer where domain = <>`
ゲートウェイとゲートウェイクラスタ	`Check Point Gateway` `Check Point Gateway Cluster`	`Check Point Gateway Cluster where Policy Package = <>`
ポリシーパッケージ	`Check Point Policy package`	`Check Point Policy where Policy Package = <>` `Check Point Policy Package where Rule = <>`
ポリシー	`Check Point Policy`	`Check point policy where source ip = <> and Destination IP = <>` `Rule where source ip = <> and Destination IP = <> (will display other rules- nsx, redirect along with check point policies in the system)`

サンプルの Check Point マネージャダッシュボードは次のように表示されます。

仮想マシン間トポロジ図では、ホスト上の Check Point サービス仮想マシンを表示して、特定のトラフィックに適用された Check Point ルールを示すことができます。VSX 管理対象仮想システム (VS) ゲートウェイは、仮想マシン間パス内で物理ゲートウェイとして表示されます。ゲートウェイアイコンをクリックすると、該当する Check Point ポリシーのリストが表示されます。

注：仮想マシン間パスでは、 vRealize Network Insight は仮想スイッチと仮想ルーターを含む VSX クラスタをサポートしません。

次に、Check Point 用のシステムアラートが生成されるシナリオをいくつか示します。

NSX ファブリックエージェントが Check Point ゲートウェイの ESX で見つからない。
Check Point サービス仮想マシンが見つからない。
Check Point ゲートウェイの sic 状態が通信していない。
アドレス範囲、ネットワーク、ポリシー、グループ、ポリシーパッケージ、サービス、サービスグループなどの、Check Point エンティティの検出アラートおよび更新アラートがある。