check_point.mgmt.cp_mgmt_set_https_advanced_settings 模块 – 配置 HTTPS 检查的高级设置。

注意

此模块是 check_point.mgmt 集合 (版本 6.2.1) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install check_point.mgmt

要在 playbook 中使用它,请指定: check_point.mgmt.cp_mgmt_set_https_advanced_settings

check_point.mgmt 6.1.0 中的新增功能

概要

  • 配置 HTTPS 检查的高级设置。

  • 所有操作都是通过 Web 服务 API 执行的。

参数

参数

注释

auto_publish_session

布尔值

如果任务完成后已执行更改,则发布当前会话。

选项

  • false ← (默认)

  • true

blocked_certificate_tracking

字符串

控制是否记录和发送已丢弃流量的通知。

  • 无 - 不记录事件。
  • 日志 - 在 SmartView 中记录事件详细信息。
  • 警报 - 记录事件并执行命令。
  • 邮件 - 向管理员发送电子邮件。
  • SNMP 陷阱 - 向 SNMP GU 发送 SNMP 警报。
  • 用户定义的警报 - 发送自定义警报。
.

选项

  • "none"

  • "log"

  • "popup alert"

  • "mail alert"

  • "snmp trap alert"

  • "user defined alert no.1"

  • "user defined alert no.2"

  • "user defined alert no.3"

blocked_certificates

列表 / 元素=字典

由序列号标识的证书对象的集合。
丢弃使用被阻止证书的服务器的流量。

cert_serial_number

字符串

证书序列号(唯一),采用十六进制格式 HH,HH。

comments

字符串

默认情况下描述证书,可以使用任何文本覆盖。

name

字符串

描述名称,不能被覆盖。

bypass_on_client_failure

布尔值

如果出现客户端错误(客户端由于握手期间的身份验证问题而关闭连接),是否应绕过或阻止所有请求。

  • true - 故障转移(绕过所有请求)。
  • false - 故障关闭(阻止所有请求)。

默认值为 true。

选项

  • false

  • true

bypass_on_failure

布尔值

如果出现服务器错误(例如 GW-服务器身份验证期间的验证错误),是否应绕过或阻止所有请求。

  • true - 故障转移(绕过所有请求)。
  • false - 故障关闭(阻止所有请求)。

默认值为 true。

选项

  • false

  • true

bypass_under_load

字典

暂时绕过 HTTPS 检查以在安全网关负载过重时提高连接性。一旦负载降低,HTTPS 检查将恢复。

track

字符串

是否记录和发送负载下绕过的通知,

  • 无 - 不记录事件。
  • 日志 - 记录事件详细信息。使用 SmartConsole 或 SmartView 查看日志。
  • 警报 - 记录事件并执行您配置的命令。
  • 邮件 - 向管理员发送电子邮件。
  • SNMP 陷阱 - 向配置的 SNMP 管理服务器发送 SNMP 警报。
  • 用户定义的警报 - 发送自定义警报。
.

选项

  • "none"

  • "log"

  • "popup alert"

  • "mail alert"

  • "snmp trap alert"

  • "user defined alert no.1"

  • "user defined alert no.2"

  • "user defined alert no.3"

bypass_update_services

布尔值

配置值为“true”以绕过对知名软件更新服务的流量。
默认值为 true。

选项

  • false

  • true

certificate_pinned_apps_action

字符串

配置值为“bypass”以绕过来自 Check Point 批准的证书固定应用程序的流量。
HTTPS 检查无法检查由证书固定应用程序启动的连接。
配置值为“detect”以发送来自 Check Point 批准的证书固定应用程序的流量日志。
默认值为 bypass。

选项

  • "bypass"

  • "detect"

  • "none"

details_level

字符串

响应中某些字段的详细程度可以从仅显示对象的 UID 值到对象的完整详细表示形式不等。

选项

  • "uid"

  • "standard"

  • "full"

domains_to_process

列表 / 元素=字符串

指示在哪些域上处理命令。它不能与 details-level full 一起使用,必须仅从系统域运行并且 ignore-warnings 为 true。有效值为 CURRENT_DOMAIN、ALL_DOMAINS_ON_THIS_SERVER。

ignore_errors

布尔值

忽略错误应用更改。您将无法发布此类更改。如果忽略 ignore-warnings 标志,则警告也将被忽略。

选项

  • false

  • true

ignore_warnings

布尔值

忽略警告应用更改。

选项

  • false

  • true

log_sessions

布尔值

值为“true”配置安全网关以发送 HTTPS 检查会话日志。
默认值为 true。

选项

  • false

  • true

retrieve_intermediate_ca_certificates

布尔值

配置值为“true”以使用“证书颁发机构信息访问”扩展来检索证书链中缺少的证书。
默认值为 true。

选项

  • false

  • true

server_certificate_validation_actions

字典

当安全网关从网站服务器接收不受信任的证书时,定义何时丢弃连接以及如何跟踪它。

block_expired

布尔值

设置为 true 以丢弃来自服务器证书已过期的服务器的流量。

选项

  • false

  • true

block_revoked

布尔值

设置为 true 以丢弃来自具有已吊销服务器证书(验证 CRL)的服务器的流量。

选项

  • false

  • true

block_untrusted

布尔值

设置为 true 以丢弃来自具有不受信任的服务器证书的服务器的流量。

选项

  • false

  • true

track_errors

字符串

是否记录并发送服务器验证错误的通知,
<ul style=”list-style-type,square”><li>无 - 不记录事件。</li><li>日志 - 在 SmartView 中记录事件详细信息。</li><li>警报 - 记录事件并执行命令。</li><li>邮件 - 向管理员发送电子邮件。</li><li>SNMP 陷阱 - 向 SNMP GU 发送 SNMP 警报。</li><li>用户自定义警报 - 发送自定义警报。</li></ul>。

选项

  • "none"

  • "log"

  • "popup alert"

  • "mail alert"

  • "snmp trap alert"

  • "user defined alert no.1"

  • "user defined alert no.2"

  • "user defined alert no.3"

site_categorization_allow_mode

字符串

在分类完成之前,是否应允许或阻止所有请求。
<ul style=”list-style-type,square”><li>后台 - 在分类完成之前允许请求。</li><li>保持 - 在分类完成之前阻止请求。</li></ul><br>默认值为保持。

选项

  • "background"

  • "hold"

version

字符串

Checkpoint 版本。如果未指定,则使用最新版本。

wait_for_task

布尔值

等待任务结束。例如发布任务。

选项

  • false

  • true ← (默认)

wait_for_task_timeout

整数

在抛出超时错误之前等待多少分钟。

默认值: 30

示例

- name: set-https-advanced-settings
  cp_mgmt_set_https_advanced_settings:
    blocked_certificate_tracking: popup alert
    bypass_on_client_failure: 'false'
    bypass_on_failure: 'false'
    bypass_under_load:
      track: log
    bypass_update_services: 'true'
    certificate_pinned_apps_action: bypass
    log_sessions: 'true'
    retrieve_intermediate_ca_certificates: 'true'
    server_certificate_validation_actions:
      block_expired: 'true'
      block_revoked: 'false'
      block_untrusted: 'true'
      track_errors: snmp trap alert
    site_categorization_allow_mode: background

返回值

常用返回值已在 此处 记录,以下是此模块特有的字段

描述

cp_mgmt_set_https_advanced_settings

字典

Checkpoint set-https-advanced-settings 输出。

返回:始终。

作者

  • Eden Brillant (@chkp-edenbr)