セキュアファイアウォールREST APIの概要
概要
このドキュメントでは、Firewall Management Center(FMC)APIエクスプローラを使用したCisco Secure FirewallのREST API設定の概要について説明します。
追加情報
REST APIは、RESTfulの原則に基づいて通信できるアプリケーションプログラミングインターフェイス(API)です。REST APIはHTTP要求を介して通信し、リソース内で作成、読み取り、更新、および削除(CRUD)操作を実行します。REST APIを使用した設定により、セキュアファイアウォールデバイスの設定方法を自動化および合理化するための多くの可能性が実現します。
REST APIを使用する主な利点は次のとおりです。
- 拡張性:運用を複数のリソースに拡張できるため。
- 柔軟性:さまざまなソフトウェア開発環境で簡単に実装できます。ほとんどのAPIと同様に、XML、JSON、およびHTTPを使用します。
- 自動化:設定の変更を一括して実行することで、複数のデバイスの設定プロセスを一度に合理化し、時間のかかる繰り返し実行される設定タスクを削減できます。
REST APIはFMC/FDMと同じ認証に依存し、OAUTH2.0を使用します。 REST APIの各機能は、FMCとFDMで同じ権限にマッピングされます。
コンフィギュレーション
APIエクスプローラウォークスルー
FMCでは、REST APIはデフォルトで有効になっています。有効になっていることを確認するには、 System > Configuration > REST API Preferencesを参照。
Rest APIの有効化
FMCとFDMには、API Explorerと呼ばれる組み込みインターフェイスがあります。これは、REST APIの機能を確認するための便利なツールです。FMCでは、次のURLを使用してAPIエクスプローラにアクセスできます。 https://
を参照。
FMC GUIクレデンシャルを使用してログインします。
FMC GUIクレデンシャルを使用してサインインします
APIエクスプローラにアクセスすると、ホームページが表示されます。ここには、上部のリボン、ドメイン、および設定セクションがあります。右上隅には、バージョン情報と役立つリソースがあります。
上部リボン
次に、ドメインから始まるすべての設定セクションを見つけます。このドロップダウンを選択すると、既存のすべてのFMCドメインが表示されます。
ドメイン
次に、FMCでサポートされる機能を含む設定のセクションと機能を示します。
構成セクション
最後に、ページの下部に「スキーマ」セクションがあります。ここでは、JSONの設定の一部を参照して、これらの機能のHTTP要求を作成するための参照として使用できる追加のサポートされている機能を確認できます。
スキーマ
APIエクスプローラの使用
設定のセクションに戻り、Devicesに移動します。
デバイスの設定
FMC用のREST APIは、次のHTTPメソッドをサポートします。これらはそれぞれCRUD操作を実行することに注意してください。
-
GET – 読み取り
-
POST – 作成
-
PUT – 更新/置換
-
DELETE – 削除
Unified Resource Identifier(URI)は、これらの各メソッドに付随して、各オブジェクトへの対応するパスを示します。
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords
次のいずれかの方法を選択すると、GET HTTP要求に含まれるパラメータを展開して表示できます。
- フィルタ
- Offset
- 制限
- 拡張
- ドメインの汎用一意識別子(UUID)
デバイス/デバイス記録の取得
注:ドメインUUIDは、HTTP要求を生成する際に非常に重要です。これは、各オブジェクトに一意の識別子が割り当てられており、操作を実行するためにドメインUUIDが必要であるためです。
デバイスレコードドメインUUID
ドメインUUIDをコピーします。
e276abec-e0f2-11e3-8169-6d9ed49b625f
次に、「応答」セクションを参照します。このセクションには、このメソッドに対するデフォルトのサーバ応答と一部のサーバ応答の例とともに、Curlと要求URLがあります。
Responsesセクション
FMC APIエクスプローラのGETメソッドのテスト
次に、をクリックしてAPIエクスプローラの機能をテストします。 Try it out:を入力します。
[試用]を選択します
(デバイス、デバイスレコードの)この特定のHTTP GET要求では、他のUUIDまたは追加パラメータを含める必要はなく、Executeを選択できます。
Executeを選択します。
HTTP GET要求が成功し、応答の本文にFMCに登録されているすべてのデバイスのデバイス情報が含まれている場合、FMCはサーバ応答200を返します。
200 GET応答の出力。
この出力から、このFMCによって管理されているFTDがFTDv-703という名前で1つあることがわかります。
デバイスレコードドメインUUIDの取得
ID値は、このFTDに対するAPI要求に特にアクセスするために使用される値として書き留めることができます。IDをコピーします。
"name": "FTDv-703"
"id": "6bad6bbc-0b05-11ee-9a47-84ecf73b3ccf"
最後の例として、特定の管理対象デバイス(FTDv-703)のすべてのインターフェイス設定を取得するには、次の方法でデバイスのUUID(以前の応答から取得)を使用します。
"id": "6bad6bbc-0b05-11ee-9a47-84ecf73b3ccf"
移動先 GET - Devices > Device records > physicalinterfacesを参照。
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/physicalinterfaces
FMCが(Server Responseの出力を使用して)応答し、このデバイス(FTD)に2つのデータインターフェイスと、対応するUUIDと設定で設定された診断インターフェイスがあることが確認できます。
GET Device Records物理インターフェイスの応答。
From Response body:
"type": "PhysicalInterface",
"id": "005056B3-9582-0ed3-0000-004294967553",
"name": "GigabitEthernet0/0"
"type": "PhysicalInterface",
"id": "005056B3-9582-0ed3-0000-004294967554",
"name": "GigabitEthernet0/1"
"type": "PhysicalInterface",
"id": "005056B3-9582-0ed3-0000-004294967555",
"name": "Diagnostic0/0"
前のツリーのような構造とHTTPメソッドにアクセスするロジックは、すべてのオブジェクトに適用されます。一般から特定のUUIDに進むと、FMCおよび特定の管理対象デバイスの設定の変更を読み取り、変更、または追加できます。
URI構造。
FMC APIエクスプローラは、サポートされている機能や設定方法を表示するためのガイドやリファレンスとして非常に役立ちます。そのため、構成展開用にコードを設計およびカスタマイズできます。
また、Postmanなどの複数のAPIプラットフォームを使用したり、PythonまたはPerlスクリプトを使用してローカルホストからFMC APIと対話することもできます。
注:GithubのSecure-Firewall Repositoryにアクセスすると、大量のテンプレートと自動化リソースを表示できます。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
11-Oct-2023 |
初版 |
フィードバック