Check Point ファイアウォール

Check Point 管理サーバは、コレクタ IP アドレスからの API アクセスを受け入れる必要があります。

Check Point SmartConsole アプリケーションからのアクセスを設定できます。[管理と設定] > [ブレード] の順に移動し、[管理 API の設定] ウィンドウで [すべての IP アドレス] を選択します。

Check Point MDS がデータソースとして追加されている場合、vRealize Network Insight はすべてのユーザー定義ドメインおよびグローバルドメインからデータを取得します。

vRealize Network Insight は Check Point 管理サーバからデータを取得するために、Check Point のパブリック Web API を使用します。VSX ゲートウェイが管理サーバに接続されている場合は、SSH ベースの CLI コマンドを使用して VSX 管理対象仮想システム VS ルーティングテーブルを取得し、仮想マシン間パスでの VS ゲートウェイの表示をサポートします。

vRealize Network Insight でサポートされているすべての Check Point エンティティに対してクエリを実行できます。すべてのエンティティの先頭に Check Point が付けられます。

表 1. Check Point のサンプルクエリ
Check Point のエンティティ	キーワード	クエリ
IPset	`Check Point Address Range` `Check Point Network`	`vm where Address Range = <>` `vm where Address Range = <>` `Check Point Address Range where Translated VM = <>`
グループ化	`Check Point Network Group`	`Check Point Network Group where Translated VM = <>` `vm where Network Group = <>`
サービス/サービスグループ	`Check Point Service` `Check Point Service Group`	`Check point service where Port = <>` `Check point service where protocol = <>`
アクセスレイヤー	`Check Point Access Layer`	`Check Point Policy where Access Layer = <>`
ドメイン	`Check Point Domain`	`check point domain where ip address = <>` `check point policy where domain = <>` `check point access layer where domain = <>`
ゲートウェイとゲートウェイクラスタ	`Check Point Gateway` `Check Point Gateway Cluster`	`Check Point Gateway Cluster where Policy Package = <>`
ポリシーパッケージ	`Check Point Policy package`	`Check Point Policy where Policy Package = <>` `Check Point Policy Package where Rule = <>`
ポリシー	`Check Point Policy`	`Check point policy where source ip = <> and Destination IP = <>` `Rule where source ip = <> and Destination IP = <> (will display other rules- nsx, redirect along with check point policies in the system)`

Check Point デバイスが仮想マシン間パスに存在する場合は、仮想マシントポロジにデバイスの物理ゲートウェイと仮想システムが表示されます。デバイスのアイコンをクリックすると、インターフェイス、ルート、適用可能な Check Point ファイアウォールルールなどの基本情報を確認できます。

vRealize Network Insight は、Check Point と NSX-V の統合をサービス挿入によってサポートします。Check Point サービス仮想マシンが仮想マシン間パスのホストに存在する場合、該当する Check Point ファイアウォールルールがホストに表示されます。

注：仮想マシン間パスでは、 vRealize Network Insight は仮想スイッチと仮想ルーターを含む VSX クラスタをサポートしません。

次に、Check Point 用のシステムアラートが生成されるシナリオをいくつか示します。

NSX ファブリックエージェントが Check Point ゲートウェイの ESX で見つからない。
Check Point サービス仮想マシンが見つからない。
Check Point ゲートウェイの sic 状態が通信していない。
アドレス範囲、ネットワーク、ポリシー、グループ、ポリシーパッケージ、サービス、サービスグループなどの、Check Point エンティティの検出アラートおよび更新アラートがある。