Sikkerhet orkestrering metoder og selvfølgelig SDN driver behovet for programmerbare grensesnitt i sikkerhetsprodukter. Cisco ASA brannmur lagt et REST API tilbake i desember med 9,3 (2) utgivelsen. Jeg har spurt Mason Harris, fra Cisco, å skrive opp en rask how-to grunning på ASA API evner. Takk Mason for god informasjon
Forfatter:. Mason Harris CCIE # 5916
Solutions Architect, Global Enterprise
I løpet av de årene jeg har sett mange forskjellige tilpassede metoder brukt å administrere ASA brannmurer. De fleste av dem involverer noen versjon av kommandolinje-grensesnitt (CLI) scripting siden nesten all ASA egenskaper og funksjoner er tilgjengelig på denne måten. Perl og forventer scripts er de vanligste skriptspråk i bruk i dag for å administrere ASAs.
Historisk ASA har vært en lukket plattform i den forstand syslog har vært det eneste valget for event management. I fjor en fullt funksjonell virtualisert ASA (ASAv) ble introdusert med ASA 9.2.1 utgivelsen. Kombinert med dette virtualisert offeret og økning i Software Defined Networking (SDN) og Network Function Virtualization (NFV) det neste logiske skritt var for Cisco å utvikle et API for å programmattically administrere et ASA brannmur. Dette gir kundene en meget fleksibel plattform der felles elementer kunne opprettes og igjen tatt i bruk for å organisere og automat distribusjoner.
ASA 9,3 (2) slipper innført en RepresentationalState Transfer (REST) API som tilbyr en standardbasert tilnærming til å håndtere ASA. Ved hjelp av HTTPS som sin transport, gir REST og enkel måte å sende og motta data fra en enhet. Denne informasjonen kan være konfigurasjonsendringer, overvåking eller andre spørsmål og bruker JSON (Javascript Object Notation) som grensesnitt
Det er fem forespørsel metoder støttes:.
Krav
Bruk av REST API krever en ASA kjører 9.3 (2) eller 9,4 (1) kode og den nyeste REST API plugin fra cisco.com. Legg merke til at eldre, første-generasjons ASAs ikke støtter utgivelser over 9,1. La oss legge til en fjerde nettverk objekt på ASA heter "SANDBOX_NET". Merk at nettverksobjekter ikke er pålagt å være i store bokstaver, dette er bare for lesbarhet i ASA-konfigurasjon. Deretter bruker din favoritt REST klienten du skal legge det nye nettverket objektet til /api /objekter /networkobjects med riktig REST syntaks. Hva om du er er ny på REST og JSON? API dokumentside gir eksempler på forespørsler om vanlige oppgaver. Den som vises her er funnet i nettverket objekt sider. Har du ikke en REST klient plugin for nettleseren din? Bruk den hendige konsollen verktøyet innebygd i API-doc sider: Og til slutt for å kontrollere at den nye "SANDBOX_NET" objekt ble faktisk opprettet Utgangs resultater bekrefte tillegg av nettverket objektet.. Feilsøking ASA gir en sofistikert debugging anlegg for REST API som sett her: I dette eksemplet etableringen av et nytt nettverk objekt er sviktende og feilsøking er aktivert for å finne årsaken. ( Merk: Vennligst vær forsiktig slik at debug kommandoer på grunn av økt risiko for CPU forbruk Som kan sees fra utgang, nettverks objektet "SANDBOX_NET" allerede eksisterer og blir avvist som en duplikat oppføring. avskjedstanker En REST API på ASA muliggjør en annen standarder basert metode for å gjøre konfigurasjonen tillegg, flytting eller endringer i brannmuren. Det er også en buld redigeringsfunksjon samt en catch-all CLI gjenstand for metoder som ikke eksplisitt er støttet via API. API er støttet på både virtualiserte ASA (ASAv) og den fysiske apparatet som åpner for en konsekvent klargjøring tilnærming. Bruke API med ASAv gir en verdi i miljøer der orkestrering verktøy kan spinne opp brannmurer dynamisk til møte etterspørselen eller skalerbarhet utnytte SDN og NFV konsepter for både fysiske og virtuelle brannmurer. Det gir et verdifullt alternativ for bedrifter som ikke lenger kan stole på CLI eller eksisterende styringselementer for klargjøring og drift av sine produksjonsenheter. Til slutt, for de som ønsker å få mer erfaring med API Jeg foreslår at du laster ned en ASAv image og API binære. Det er en flott måte å få litt erfaring med API samt lære mer om JSON og hvordan den kan brukes til å automat oppdateringer konfigurasjons For mer informasjon om REST. Http://en.wikipedia.org/wiki /Representational_state_transfer. Anmeldelser
). Se avlusningsinformasjon nedenfor.