Check Point 管理伺服器應接受來自收集器 IP 位址的 API 存取。

可以從管理與設定 > 刀鋒型伺服器 > 管理 API > 進階設定設定存取權。

如果將 Check Point MDS 新增為資料來源,則 vRealize Network Insight 會從使用者定義的所有網域和全域網域擷取資料。

vRealize Network Insight 使用 Check Point 公用 Web API 從 Check Point 管理伺服器擷取資料。如果 VSX 閘道已連結至管理伺服器,我們會使用以 SSH 為基礎的 CLI 命令擷取 VSX 管理的虛擬系統 VS 路由表,以支援在虛擬機器-虛擬機器路徑中顯示 VS 閘道。

vRealize Network Insight 需要對 Web-API 存取的唯讀權限,以擷取大多數 Check Point 資料。以下是幾個例外狀況:
  • 如果非 VSX 實體閘道已連結至管理伺服器,使用者應具有對 Web API 的讀寫存取權限。若要擷取閘道路由以將 run script Web API 用於虛擬機器-虛擬機器路徑計算,這一點是必要的。
  • 如果 VSX 閘道已連結至管理伺服器,使用者應具有使用相同密碼的 SSH 存取權限。此外,使用者也應具有對 CLI 命令 vsx_util view_vs_conf 的存取權限。此指令可用於擷取虛擬機器-虛擬機器路徑計算的 VSX 閘道路由。
  • 若要使 MDS 伺服器 IP 做為資料來源,使用者應具有對所有網域 (包括 MDS 網域和全域網域) 的 Web API 存取權限。需要從所有網域中擷取規則、原則套件和其他資料。
您可以對 vRealize Network Insight 支援的所有 Check Point 實體執行查詢。所有實體均以 Check Point 為前置詞。Check Point 的一些查詢如下所示:
表 1.
Check Point 中的實體 關鍵字 查詢
IPset

Check Point Address Range

Check Point Network

vm where Address Range = <>

vm where Address Range = <>

Check Point Address Range where Translated VM = <>

群組 Check Point Network Group

Check Point Network Group where Translated VM = <>

vm where Network Group = <>

服務/服務群組

Check Point Service

Check Point Service Group

Check point service where Port = <>

Check point service where protocol = <>

存取層 Check Point Access Layer Check Point Policy where Access Layer = <>
網域 Check Point Domain

check point domain where ip address = <>

check point policy where domain = <>

check point access layer where domain = <>

閘道和閘道叢集

Check Point Gateway

Check Point Gateway Cluster

Check Point Gateway Cluster where Policy Package = <>
原則套件 Check Point Policy package

Check Point Policy where Policy Package = <>

Check Point Policy Package where Rule = <>

原則 Check Point Policy

Check point policy where source ip = <> and Destination IP = <>

Rule where source ip = <> and Destination IP = <> (will display other rules- nsx, redirect along with check point policies in the system)

Check Point 管理程式儀表板的範例如下所示:
在虛擬機器-虛擬機器拓撲圖中,您可以查看主機上的 Check Point 服務虛擬機器,以表示特定流量上套用的檢查點規則。VSX 管理的虛擬系統 (VS) 閘道可在虛擬機器-虛擬機器路徑中視為實體閘道。按一下閘道圖示時,會顯示適當 Check Point 原則的清單。
備註: 對於虛擬機器-虛擬機器路徑, vRealize Network Insight 不支援包含虛擬交換器和虛擬路由器的 VSX 叢集。
以下是針對 Check Point 產生系統事件的一些案例:
  • 在 Check Point 閘道的 ESX 上找不到 NSX 網狀架構代理程式。
  • 找不到 Check Point 服務虛擬機器。
  • Check Point 閘道 sic 狀態為未通訊。
  • Check Point 實體 (例如位址範圍、網路、原則、群組、原則套件、服務、服務群組等) 的探索與更新事件功能