Gaia API プロキシ

Check Point製品はAPIコマンドをサポートしています。 Check Point API リファレンス を参照してください。

管理サーバのGaia API プロキシ機能を使用すると、管理対象セキュリティゲートウェイとクラスタメンバで Gaia API コマンドを実行します。

  1. 管理者は、APIクライアントを使用して管理サーバに接続します。

  2. 管理サーバから、管理者は管理対象セキュリティーゲートウェイとクラスタメンバに対してGaia APIコマンドを実行します。

R81.10 Management Serverの Gaia API プロキシ機能は、Gaia API をサポートするすべてのマネージドセキュリティゲートウェイとクラスタメンバと連携します。

ダイアグラムの例

項目

説明

1

API クライアント

2

Gaia APIプロキシ機能を持つ管理サーバ

3

マネージドセキュリティゲートウェイ

4

管理対象ClusterXL

A

管理 API 通信

B

Gaia API コミュニケーション

重要-スケーラブルなプラットフォーム(MaestroとChassis)はこの機能をサポートしていません。 (既知の制限事項 MBS-10832)

ワークフロー:

  1. API クライアントを使用する場合は、Check Point API "login" コマンドを実行してManagement Serverにログインします( Check Point Management API リファレンス を参照)。

    重要 - ログインする管理者は、割り当てられた権限プロファイルでRun One Time Script権限が有効になっている必要があります。

    1. SmartConsoleで管理サーバに接続します。

    2. 左側のナビゲーションパネルからManage & Settingsをクリックします。

    3. 上部のセクションで、Permissions & Administrators > Permission Profiles をクリックします。

    4. 該当する権限プロファイルを開きます。

    5. 左のツリーでOverviewをクリックします。

      • Read/Write Allを選択した場合は、Cancelをクリックします。

        必要な権限はすでに有効になっています。

      • Customizedを選択した場合:

        1. 左のツリーでGateways をクリックします。

        2. Scriptsセクションで、Run One Time Scriptを選択します。

        3. OKをクリックします。。

        4. SmartConsoleセッションを公開する

  2. 管理 API "login" コマンドは、セッション一意識別子 (SID) トークンを返します。

    同じ API クライアントで、管理対象セキュリティゲートウェイとクラスタメンバで実行する Gaia API コマンドの "X-chkp-sid" フィールドでこの SID トークンを使用します。

    Gaia API 構文:

    POST https://<IP Address of Management Server>/web_api/gaia-api/<Gaia API Version>/<Gaia API Command>

    Check Point Gaia API リファレンス を参照してください。

    Gaia API コマンドの本文は、以下のパラメータのいずれかによって、管理対象セキュリティゲートウェイまたはクラスタメンバを識別する必要があります。

    • オブジェクト名

    • オブジェクトプライマリ IP アドレス

    • オブジェクト UID

  3. 管理サーバ上の Gaia API プロキシは Gaia API コマンドを解釈し、指定されたセキュリティゲートウェイまたはクラスタメンバにログインします。

    1. このログインは、セキュリティゲートウェイまたはクラスタメンバのSIDを返します。

    2. Gaia API プロキシはこの SID を使用して Gaia API コマンドを実行します。

    3. Gaia API プロキシは、この SID をデータベースに保存します。

      • 管理サーバの SID タイムアウトは 580 秒です。

      • セキュリティゲートウェイまたはクラスタメンバの SID タイムアウトは 10 分です。

    • パフォーマンスを向上させるために、Gaia API プロキシはレスポンスを管理サーバの Gaia API プロキシキャッシュに保存します。

    • Gaia API プロキシがキャッシュタイムアウト中に同じ Gaia API リクエストを受け取った場合、キャッシュから Gaia API レスポンスを返し、キャッシュを更新します。

    • 管理者は、管理サーバ上の$FWDIR/api/conf/cache.confファイルで次のキャッシュパラメータを構成できます。

      - $FWDIR/api/conf/cache.confファイルを変更したら、エキスパートモードで "api reconf" コマンドを使用して API サーバ設定を再読み込みする必要があります。

      パラメータ

      許可される値

      説明

      timeout

      0またはそれ以上

      次の Gaia API コマンドがその Gaia API コマンドのキャッシュ更新をトリガするまでの時間を指定します。

      • 0 - Gaia API プロキシはキャッシュを使用しません

      • <integer> - Gaia API プロキシは Gaia API レスポンスを指定した秒数だけキャッシュに保存します (デフォルト:60秒)

      total_gateways

      整数

      Gaia API レスポンスを保存する一意のセキュリティゲートウェイとクラスタメンバの数を指定します。

      maximum_entries

      整数

      セキュリティゲートウェイとクラスタメンバごとに保存する一意のGaia API コマンドの数を指定します。

重要 - Gaia API プロキシは Gaia API コマンドを HTTPS 経由で送信します。セキュリティゲートウェイまたはClusterXLのアクセスコントロールポリシーは、管理サーバからセキュリティゲートウェイまたはクラスタメンバへの HTTPS トラフィックを明示的に許可する必要があります。

この例では、管理対象のセキュリティゲートウェイをオブジェクトのプライマリ IP アドレスで識別します。

リクエスト

POST https://<IP Address of Management Server>/gaia-api/show-hostname
Content-Type: application/json
X-chkp-sid: <Session ID>
{
  "target" : "192.168.1.1"
}

レスポンス

{
  "command-name" : "show-hostname",
  "response-message" : {
    "name" : "gw-832546"
  }
}

この例では、管理対象 Security Gateway をオブジェクト名で識別します。

リクエスト

POST https://<IP Address of Management Server>/gaia-api/v1.4/show-interfaces
Content-Type: application/json
X-chkp-sid: <Session ID>
{
  "target" : "gw-832546",
  "name" : "eth0"
}

レスポンス

{
  "command-name" : "v1.4/show-interfaces",
  "response-message" : {
    "ipv6-local-link-address": "Not Configured",
    "type": "physical",
    "name": "eth0",
    "ipv6-mask-length": "Not-Configured",
    "ipv6-address": "Not-Configured",
    "ipv6-autoconfig": "Not configured",
    "ipv4-address": "192.168.1.1",
    "enabled": true,
    "comments": "",
    "ipv4-mask-length": "24"
  }
}

この例では、管理対象のセキュリティゲートウェイをオブジェクト UID で識別します。

リクエスト

POST https://<IP Address of Management Server>/gaia-api/v1.4/show-diagnostics
Content-Type: application/json
X-chkp-sid: <Session ID>
{
  "target" : "52048978-c507-8243-9d84-074d11154616",
  "category" : "os",
  "topic" : "disk"
}

レスポンス

{
  "command-name" : "v1.4/show-diagnostics",
  "response-message" : {
    "to": 3,
    "total": 3,
    "from": 1,
    "objects": [
      {
      "total": "34342961152",
      "partition": "/",
      "used": "5718065152",
      "free": "28624896000"
      },
      {
      "total": "304624640",
      "partition": "/boot",
      "used": "26991616",
      "free": "277633024"
      },
      {
      "total": "34342961152",
      "partition": "/var/log",
      "used": "455684096",
      "free": "33887277056"
      }
    ]
  }
}