【Check Point R81】ポリシーパッケージの情報を確認用に出力する方法【Show Package Tool】

ファイアウォール(UTM)

作業環境

  • Check Point R81 Security Management
    • VMware Workstation Player 上に構築した仮想マシン

ポリシーパッケージの情報を確認用に出力する

Check Point のファイアウォールではポリシー情報は Gaia OS 上のソフトウェアで管理されるため、一般的なファイアウォール製品のコンフィグのように CLI 上でログとしてポリシー設定情報を出力するといったことができません。ポリシー設定情報を確認するためには、基本的には SmartConsole を使用して GUI で確認するしかなく、非常に面倒です。

ですが、実は公式から show Package Tool という java ツールが提供されていて、これを使用することでポリシーパッケージ情報を確認しやすい形で出力することができます。

Show Package Tool 詳細

出力される内容

Check Point 管理サーバ上で Show Package Tool を使用すると、セキュリティポリシー、NAT、脅威対策、オブジェクトなどの情報を含む html ファイル及び json ファイルを出力できます。これらの情報はブラウザ上で表示して確認することができます。

具体的な内容を以下に記載します。

Show Package Tool を実行すると、以下の名前の圧縮ファイルが出力されます。

  • show_package-YYYY-MM-DD_hh-mm-ss.tar.gz
    • 日付時刻はツール実行時の日付になります

この圧縮ファイルを解凍すると、以下のように html と json 形式のファイルが含まれています。

# ls -l
total 196
-rw-r--r-- 1 admin root 32355 Apr  7 23:59 Network-Management server.html
-rw-r--r-- 1 admin root  5307 Apr  7 23:59 Network-Management server.json
-rw-r--r-- 1 admin root 31919 Apr  7 23:59 Standard NAT-Management server.html
-rw-r--r-- 1 admin root  4527 Apr  7 23:59 Standard NAT-Management server.json
-rw-r--r-- 1 admin root 28653 Apr  7 23:59 Standard Threat Prevention-Management server.html
-rw-r--r-- 1 admin root  1070 Apr  7 23:59 Standard Threat Prevention-Management server.json
-rw-r--r-- 1 admin root 32021 Apr  7 23:59 Standard_objects.html
-rw-r--r-- 1 admin root 23489 Apr  7 23:59 Standard_objects.json
-rw-r--r-- 1 admin root  9849 Apr  7 23:59 index.html
-rw-r--r-- 1 admin root  1295 Apr  7 23:59 index.json
-rw-r--r-- 1 admin root  8722 Apr  7 23:59 show_package-2022-04-07_23-58-01.elg

これらのファイルの内、index.html がスタートページになっているため、index.html を開きます。すると以下の画面が表示されます。

例えば、Acccess Policy LayersNetwork をクリックすると以下のようにセキュリティポリシーを表示できます。

また NAT であれば以下のように表示されます。

※NATルールを2つしか設定していない状態のため良くわからないかもしれませんが

さらに Objectsnetwork をクリックすると、以下のように各オブジェクトの詳細を表示できます。

Show Package Tool のダウンロード

Show Package Tool はデフォルトで管理サーバの中に含まれていますが、公式によって当該ツールの新しいバージョンが継続してリリースされています。

最新バージョンのファイルは以下の GitHub のページで公開されています。

現時点(記事作成時点)では、V2.0.6 が最新バージョンです。[web_api_show_package-jar-with-dependencies.jar] をクリックすると Show Package Tool のファイルをダウンロードできます。

Show Package Tool ファイルを管理サーバに格納

ダウンロードした Show Package Tool のファイルを管理サーバに格納します。

管理サーバの CLI のエキスパートモードで、tftp コマンドで TFTP サーバから get するのが最も簡単だと思います。

# ls -l
total 0
#
# tftp 192.168.159.1
tftp> bin
tftp> get web_api_show_package-jar-with-dependencies.jar
tftp>
tftp> quit
#
# ls -l
total 748
-rw-rw---- 1 admin root 764901 Apr  7 17:16 web_api_show_package-jar-with-dependencies.jar

TFTP の GET はバイナリモードで実行してください。

Show Package Tool のバージョン確認

Show Package Tool のバージョン確認は以下コマンドでできます。

  • java -jar web_api_show_package-jar-with-dependencies.jar --version
# java -jar web_api_show_package-jar-with-dependencies.jar --version
v2.0.6

Show Package Tool の実行方法

Show Package Tool 実行は以下コマンドでできます。

  • java -jar web_api_show_package-jar-with-dependencies.jar -k <対象パッケージ名>
# java -jar web_api_show_package-jar-with-dependencies.jar -k standard
Script finished running successfully!
Result file location: show_package-2022-04-07_23-58-01.tar.gz

-k オプションで対象パッケージ名を指定しなかった場合は、ゲートウェイにインストールされているパッケージが対象になります。

ツールの実行が成功すると以下のように show_package-YYYY-MM-DD_hh-mm-ss.tar.gz が出力されます。フィンガープリントも一緒に出力されます。

# ls -l
total 776
-rw-rw---- 1 admin root     60 Apr  7 17:24 fingerprints.txt
-rw-rw---- 1 admin root  23857 Apr  7 17:24 show_package-2022-04-07_23-58-01.tar.gz
-rw-rw---- 1 admin root 764901 Apr  7 17:16 web_api_show_package-jar-with-dependencies.jar

この後は、TFTP で TFTP サーバに show_package-YYYY-MM-DD_hh-mm-ss.tar.gz を転送します。

TFTP の PUT はバイナリモードで実行してください。

Show Package Tool に関する注意点

  • NAT ルールの Translated Source に関する設定項目として、NAT Method という項目がありますが、Show Package Tool の出力にはこの項目の設定値は含まれません。NAT Method の設定値は SmartConsole 上でのみ確認可能です

参考資料

GitHub - CheckPointSW/ShowPolicyPackage: Check Point ShowPolicyPackage tool shows the content of a policy package (layers, rulebase, objects) over HTML pages.
Check Point ShowPolicyPackage tool shows the content of a policy package (layers, rulebase, objects) over HTML pages. - ...
Releases · CheckPointSW/ShowPolicyPackage
Check Point ShowPolicyPackage tool shows the content of a policy package (layers, rulebase, objects) over HTML pages. - ...


タイトルとURLをコピーしました