Check Point 防火牆

Check Point 管理伺服器應接受來自收集器 IP 位址的 API 存取。

您可以設定 Check Point SmartConsole 應用程式的存取權。移至管理與設定 > 刀鋒型伺服器，然後在管理 API 設定視窗中，選取所有 IP 位址。

如果將 Check Point MDS 新增為資料來源，則 vRealize Network Insight 會從使用者定義的所有網域和全域網域擷取資料。

vRealize Network Insight 使用 Check Point 公用 Web API 從 Check Point 管理伺服器擷取資料。如果 VSX 閘道已連結至管理伺服器，我們會使用以 SSH 為基礎的 CLI 命令擷取 VSX 管理的虛擬系統 VS 路由表，以支援在虛擬機器-虛擬機器路徑中顯示 VS 閘道。

vRealize Network Insight 需要對 Web-API 存取的唯讀權限，以擷取大多數 Check Point 資料。以下是幾個例外狀況：

如果非 VSX 實體閘道已連結至管理伺服器，使用者應具有對 Web API 的讀寫存取權限。若要擷取閘道路由以將 run script Web API 用於虛擬機器-虛擬機器路徑計算，這一點是必要的。
如果 VSX 閘道已連結至管理伺服器，使用者應具有使用相同密碼的 SSH 存取權限。此外，使用者也應具有對 CLI 命令 vsx_util view_vs_conf 的存取權限。此指令可用於擷取虛擬機器-虛擬機器路徑計算的 VSX 閘道路由。
若要使 MDS 伺服器 IP 做為資料來源，使用者應具有對所有網域 (包括 MDS 網域和全域網域) 的 Web API 存取權限。需要從所有網域中擷取規則、原則套件和其他資料。

您可以對 vRealize Network Insight 支援的所有 Check Point 實體執行查詢。所有實體均以 Check Point 為前置詞。Check Point 的一些查詢如下所示：

表 1.
Check Point 中的實體	關鍵字	查詢
IPset	`Check Point Address Range` `Check Point Network`	`vm where Address Range = <>` `vm where Address Range = <>` `Check Point Address Range where Translated VM = <>`
群組	`Check Point Network Group`	`Check Point Network Group where Translated VM = <>` `vm where Network Group = <>`
服務/服務群組	`Check Point Service` `Check Point Service Group`	`Check point service where Port = <>` `Check point service where protocol = <>`
存取層	`Check Point Access Layer`	`Check Point Policy where Access Layer = <>`
網域	`Check Point Domain`	`check point domain where ip address = <>` `check point policy where domain = <>` `check point access layer where domain = <>`
閘道和閘道叢集	`Check Point Gateway` `Check Point Gateway Cluster`	`Check Point Gateway Cluster where Policy Package = <>`
原則套件	`Check Point Policy package`	`Check Point Policy where Policy Package = <>` `Check Point Policy Package where Rule = <>`
原則	`Check Point Policy`	`Check point policy where source ip = <> and Destination IP = <>` `Rule where source ip = <> and Destination IP = <> (will display other rules- nsx, redirect along with check point policies in the system)`

Check Point 管理程式儀表板的範例如下所示：

在虛擬機器-虛擬機器拓撲圖中，您可以查看主機上的 Check Point 服務虛擬機器，以表示特定流量上套用的檢查點規則。VSX 管理的虛擬系統 (VS) 閘道可在虛擬機器-虛擬機器路徑中視為實體閘道。按一下閘道圖示時，會顯示適當 Check Point 原則的清單。

備註：對於虛擬機器-虛擬機器路徑， vRealize Network Insight 不支援包含虛擬交換器和虛擬路由器的 VSX 叢集。

以下是針對 Check Point 產生系統警示的一些案例：

在 Check Point 閘道的 ESX 上找不到 NSX 網狀架構代理程式。
找不到 Check Point 服務虛擬機器。
Check Point 閘道 sic 狀態為未通訊。
Check Point 實體 (例如位址範圍、網路、原則、群組、原則套件、服務、服務群組等) 的探索與更新警示功能