APIによるセキュリティ管理

ここでは、管理サーバ上のAPIサーバと、適用可能なAPIツールについて説明します。

API

Management Server Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。上で動作するAPI Serverに送信するAPI Requestを通じて、Management Serverの設定や制御を行うことができます。

API サーバは、日々の作業を自動化するスクリプトを実行し、チェック・ポイントのソリューションを、仮想化サーバ、チケット・システム、変更管理システムなどのサードパーティ・システムと統合するものです。

管理APIについての詳細、コードサンプルの参照、ユーザフォーラムの活用については、こちらをご覧ください。

• API ドキュメントです。

  • オンライン Check Point Management API Reference

  • ローカル - https://<Server IP Address>/api_docs

    デフォルトでは、ローカル API ドキュメントへのアクセスは無効になっています。sk174606の説明に従ってください。

    注 - スタンドアロン Security Gateway とセキュリティマネジメントサーバ製品が同じサーバにインストールされ、設定される構成。サーバ(Security Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。とセキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。の両方を実行するサーバ)では、SmartView Webアプリケーション(https://<Server IP Address>/smartview)を開くとWeb Portal(https://<Server IP Address>/api_docs)が機能しなくなります。

• Check Point CheckMates CommunityのDevelopers Networkセクション。

APIツール

これらのツールを使って、Management Server上のAPI Serverを操作することができます。

• スタンドアロン管理ツール、Gaiaオペレーティングシステムに含まれる。

  mgmt_cli

• SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。に含まれるスタンドアロン管理ツール。

  mgmt_cli.exe

  このツールは、SmartConsoleのインストールフォルダから、Windowsオペレーティングシステムが動作する他のコンピュータにコピーすることができます。

• クライアントと管理サーバ間で、HTTPプロトコルによる通信とデータ交換を可能にするWebサービスAPI。

  また、これらの API を使用して、チェック・ポイントの他のプロセスが HTTPS プロトコルを介して管理サーバと通信することもできます。

  https://<IP Address of Management Server>/web_api/<command>

APIサーバの設定

APIサーバを設定する。

1. SmartConsoleでSecurity Management Serverまたは該当するDomain Management Serverへ接続します。

2. 左側のナビゲーションパネルでManage & Settingsします。

3. 左上のセクションで、Blades をクリックします。

4. Management APIセクションで、Advanced Settingsをクリックします。

   Management API Settingsウィンドウが開きます。

5. Startup Settings とAccess Settings を設定する。

   スタートアップの設定

   Automatic start を選択すると、Management Server を起動または再起動したときに API サーバが自動的に起動します。

   注: 管理サーバに4GB以上のRAMがインストールされている場合、管理サーバのインストール時にAutomatic start オプションがデフォルトで有効化されます。 管理サーバの RAM が 4GB 未満の場合、Automatic Start オプションは無効となります。

   アクセス設定の構成

   APIサーバに接続できるクライアントを設定するには、以下のオプションのいずれかを選択します。

   • Management server only - APIサーバに接続できるのは、管理サーバ自身のみです。このオプションは、APIリクエストを送信するために、管理サーバ上でmgmt_cli ユーティリティを使用することのみを可能にします。SmartConsoleやWebサービスを使用して、APIリクエストを送信することはできません。

   • All IP addresses that can be used for GUI clients - SmartConsoleでTrusted Clients として定義されているすべてのIPアドレスから、APIリクエストを送信することができます。これには、SmartConsole、Webサービス、および管理サーバ上のmgmt_cli ユーティリティからの要求が含まれます。

   • All IP addresses - すべてのIPアドレスからAPIリクエストを送信することができます。これには、SmartConsole、Webサービス、および管理サーバ上のmgmt_cli ユーティリティからの要求が含まれます。

6. SmartConsoleセッションを公開する。

7. このコマンドで、Management Server上のAPI Serverを再起動します。

   api restart

   注 - マルチドメインサーバでは、該当するドメイン管理サーバのコンテキストでこのコマンドを実行する必要があります。