セキュアファイアウォールREST APIの概要
はじめに
このドキュメントでは、Firewall Management Center(FMC)APIエクスプローラを使用したCisco Secure FirewallのREST API設定の概要について説明します。
追加情報
REST APIは、RESTfulの原則に基づいて通信できるアプリケーションプログラミングインターフェイス(API)です。REST APIはHTTP要求を介して通信し、リソース内で作成、読み取り、更新、および削除(CRUD)操作を実行します。REST APIを使用した設定により、セキュアファイアウォールデバイスの設定方法の自動化と合理化が可能になります。
REST APIを使用する主な利点は次のとおりです。
- 拡張性:運用を複数のリソースに拡張できるため。
- 柔軟性:さまざまなソフトウェア開発環境で簡単に実装できます。ほとんどのAPIと同様に、XML、JSON、およびHTTPを使用します。
- 自動化:設定変更を一括で実行することで、複数のデバイスの設定プロセスを一度に合理化でき、時間のかかる繰り返し実行される設定タスクを削減できます。
REST APIは、FMC/FDMと同じ認証に依存し、OAUTH2.0を使用します。 REST APIの各機能は、FMCとFDMで同じ権限にマッピングされます。
コンフィギュレーション
APIエクスプローラウォークスルー
FMCでは、REST APIはデフォルトで有効になっています。有効化されていることを確認するには、System > Configuration > REST API Preferencesに移動します。
Rest APIの有効化
FMCとFDMには、API Explorerと呼ばれる組み込みインターフェイスがあります。これは、REST APIの機能を確認するための便利なツールです。FMCでは、https://のURLを使用してAPIエクスプローラにアクセスできます。
FMC GUIクレデンシャルを使用してログインします。
FMC GUIクレデンシャルを使用してサインインします。
APIエクスプローラにアクセスすると、ホームページが表示されます。ここには、上部のリボン、ドメイン、および構成のセクションがあります。右上隅には、バージョン情報と役立つリソースがあります。
上部リボン
次に、ドメインから始まるすべての設定セクションを見つけます。このドロップダウンを選択すると、既存のすべてのFMCドメインが表示されます。
ドメイン
次に、FMCでサポートされる機能を含む設定のセクションと機能を示します。
構成セクション
最後に、ページの下部に「スキーマ」セクションがあります。ここでは、JSONの設定の一部を参照して、これらの機能のHTTPリクエストを作成するためのリファレンスとして使用できる追加のサポートされている機能を確認できます。
スキーマ
APIエクスプローラの使用
設定のセクションに戻り、Devicesに移動します。
デバイスの設定
FMC用のREST APIは、次のHTTPメソッドをサポートします。これらはそれぞれCRUD操作を実行することに注意してください。
-
GET – 読み取り
-
POST – 作成
-
PUT – 更新/置換
-
DELETE – 削除
Unified Resource Identifier(URI)は、これらの各メソッドに各オブジェクトへの対応するパスを付加します。
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords
次のいずれかの方法を選択すると、展開してGET HTTP要求に含まれるパラメータを表示できます。
- フィルタ
- Offset
- 制限
- 拡張
- ドメインの汎用一意識別子(UUID)
デバイス/デバイス記録の取得
注:ドメインUUIDは、HTTP要求を生成する際に非常に重要です。これは、各オブジェクトに一意の識別子が割り当てられており、操作を実行するために必要であるためです。
デバイスレコードドメインUUID
ドメインUUIDをコピーします。
e276abec-e0f2-11e3-8169-6d9ed49b625f
次に、「応答」セクションが表示されます。このセクションには、Curlおよび要求URLのほか、このメソッドに対するデフォルトのサーバ応答、およびいくつかのサーバ応答の例があります。
Responsesセクション
Test FMC API Explorer GETメソッド
これで、Try it outをクリックしてAPIエクスプローラの機能をテストする準備が整いました。
[試す]を選択します
(デバイス、デバイスレコードの)この特定のHTTP GET要求に対して、他のUUIDまたは追加パラメータを含める必要はなく、Executeを選択できます。
「実行」を選択します。
HTTP GET要求が成功し、応答の本文にFMCのすべての登録済みデバイスのデバイス情報が含まれている場合、FMCはサーバ応答200を返します。
200 GET Responseの出力。
この出力から、このFMCによって管理されているFTDが1つ(FTDv-703)であることがわかります。
デバイスレコードドメインUUIDの取得
特にこのFTDを対象とするAPI要求にアクセスするために使用されるID値を書き留めておくことができます。IDをコピーします。
"name": "FTDv-703"
"id": "6bad6bbc-0b05-11ee-9a47-84ecf73b3ccf"
最後の例として、特定の管理対象デバイス(FTDv-703)のすべてのインターフェイス設定を取得するには、次の方法でデバイスのUUID(前述の応答から取得)を使用します。
"id": "6bad6bbc-0b05-11ee-9a47-84ecf73b3ccf"
GETDevices > Device records > physicalinterfaces に移動します。
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/physicalinterfacesFMCが(Server Responseの出力を使用して)応答し、このデバイス(FTD)に2つのデータインターフェイス(DI)と、対応するUUIDと設定で設定された診断インターフェイスがあることが確認できます。
GET Device Records物理インターフェイスの応答。
From Response body:
"type": "PhysicalInterface",
"id": "005056B3-9582-0ed3-0000-004294967553",
"name": "GigabitEthernet0/0"
"type": "PhysicalInterface",
"id": "005056B3-9582-0ed3-0000-004294967554",
"name": "GigabitEthernet0/1"
"type": "PhysicalInterface",
"id": "005056B3-9582-0ed3-0000-004294967555",
"name": "Diagnostic0/0"
以前のツリー状の構造とHTTPメソッドにアクセスするロジックは、すべてのオブジェクトに適用できます。一般的なUUIDから特定のUUIDに進んで、FMCおよび特定の管理対象デバイスの設定を読み取り、変更し、変更を追加することができます。
URI構造。
FMC APIエクスプローラは、サポートされている機能と設定方法を表示するためのガイドまたはリファレンスとして非常に役立つ場合があるため、設定導入用にコードを設計およびカスタマイズできます。
また、Postmanなどの複数のAPIプラットフォームを使用するか、PythonまたはPerlスクリプトを使用してローカルホストからFMC APIと対話することもできます。
注:GithubのSecure-Firewall Repositoryにアクセスすると、多数のテンプレートと自動化リソースを表示できます。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
11-Oct-2023
|
初版 |
フィードバック