作業環境
- Check Point R81 Security Management
- VMware Workstation Player 上に構築した仮想マシン
ポリシーパッケージの情報を確認用に出力する
Check Point のファイアウォールではポリシー情報は Gaia OS 上のソフトウェアで管理されるため、一般的なファイアウォール製品のコンフィグのように CLI 上でログとしてポリシー設定情報を出力するといったことができません。ポリシー設定情報を確認するためには、基本的には SmartConsole を使用して GUI で確認するしかなく、非常に面倒です。
ですが、実は公式から show Package Tool
という java ツールが提供されていて、これを使用することでポリシーパッケージ情報を確認しやすい形で出力することができます。
Show Package Tool 詳細
出力される内容
Check Point 管理サーバ上で Show Package Tool を使用すると、セキュリティポリシー、NAT、脅威対策、オブジェクトなどの情報を含む html ファイル及び json ファイルを出力できます。これらの情報はブラウザ上で表示して確認することができます。
具体的な内容を以下に記載します。
Show Package Tool を実行すると、以下の名前の圧縮ファイルが出力されます。
- show_package-YYYY-MM-DD_hh-mm-ss.tar.gz
- 日付・時刻はツール実行時の日付になります
この圧縮ファイルを解凍すると、以下のように html と json 形式のファイルが含まれています。
# ls -l
total 196
-rw-r--r-- 1 admin root 32355 Apr 7 23:59 Network-Management server.html
-rw-r--r-- 1 admin root 5307 Apr 7 23:59 Network-Management server.json
-rw-r--r-- 1 admin root 31919 Apr 7 23:59 Standard NAT-Management server.html
-rw-r--r-- 1 admin root 4527 Apr 7 23:59 Standard NAT-Management server.json
-rw-r--r-- 1 admin root 28653 Apr 7 23:59 Standard Threat Prevention-Management server.html
-rw-r--r-- 1 admin root 1070 Apr 7 23:59 Standard Threat Prevention-Management server.json
-rw-r--r-- 1 admin root 32021 Apr 7 23:59 Standard_objects.html
-rw-r--r-- 1 admin root 23489 Apr 7 23:59 Standard_objects.json
-rw-r--r-- 1 admin root 9849 Apr 7 23:59 index.html
-rw-r--r-- 1 admin root 1295 Apr 7 23:59 index.json
-rw-r--r-- 1 admin root 8722 Apr 7 23:59 show_package-2022-04-07_23-58-01.elg
これらのファイルの内、index.html
がスタートページになっているため、index.html を開きます。すると以下の画面が表示されます。

例えば、Acccess Policy Layers の Network をクリックすると以下のようにセキュリティポリシーを表示できます。

また NAT であれば以下のように表示されます。

※NATルールを2つしか設定していない状態のため良くわからないかもしれませんが
さらに Objects の network をクリックすると、以下のように各オブジェクトの詳細を表示できます。

Show Package Tool のダウンロード
Show Package Tool はデフォルトで管理サーバの中に含まれていますが、公式によって当該ツールの新しいバージョンが継続してリリースされています。
最新バージョンのファイルは以下の GitHub のページで公開されています。
現時点(記事作成時点)では、V2.0.6 が最新バージョンです。[web_api_show_package-jar-with-dependencies.jar] をクリックすると Show Package Tool のファイルをダウンロードできます。

Show Package Tool ファイルを管理サーバに格納
ダウンロードした Show Package Tool のファイルを管理サーバに格納します。
管理サーバの CLI のエキスパートモードで、tftp コマンドで TFTP サーバから get するのが最も簡単だと思います。
# ls -l
total 0
#
# tftp 192.168.159.1
tftp> bin
tftp> get web_api_show_package-jar-with-dependencies.jar
tftp>
tftp> quit
#
# ls -l
total 748
-rw-rw---- 1 admin root 764901 Apr 7 17:16 web_api_show_package-jar-with-dependencies.jar
Show Package Tool のバージョン確認
Show Package Tool のバージョン確認は以下コマンドでできます。
java -jar web_api_show_package-jar-with-dependencies.jar --version
# java -jar web_api_show_package-jar-with-dependencies.jar --version
v2.0.6
Show Package Tool の実行方法
Show Package Tool 実行は以下コマンドでできます。
java -jar web_api_show_package-jar-with-dependencies.jar -k <対象パッケージ名>
# java -jar web_api_show_package-jar-with-dependencies.jar -k standard
Script finished running successfully!
Result file location: show_package-2022-04-07_23-58-01.tar.gz
ツールの実行が成功すると以下のように show_package-YYYY-MM-DD_hh-mm-ss.tar.gz が出力されます。フィンガープリントも一緒に出力されます。
# ls -l
total 776
-rw-rw---- 1 admin root 60 Apr 7 17:24 fingerprints.txt
-rw-rw---- 1 admin root 23857 Apr 7 17:24 show_package-2022-04-07_23-58-01.tar.gz
-rw-rw---- 1 admin root 764901 Apr 7 17:16 web_api_show_package-jar-with-dependencies.jar
この後は、TFTP で TFTP サーバに show_package-YYYY-MM-DD_hh-mm-ss.tar.gz を転送します。
Show Package Tool に関する注意点
- NAT ルールの Translated Source に関する設定項目として、
NAT Method
という項目がありますが、Show Package Tool の出力にはこの項目の設定値は含まれません。NAT Method の設定値は SmartConsole 上でのみ確認可能です