安全防火牆REST API簡介

已更新: 2023 年 10 月 11 日
文件 ID:221075

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹使用Firewall Management Center API explorer的Cisco Secure Firewall的REST API配置。

    其他資訊

    REST API是一個應用程式程式設計介面,可以基於RESTful原理進行通訊。REST API通過HTTP請求進行通訊,並在資源內執行建立、讀取、更新和刪除(CRUD)操作。通過REST API進行配置使多種可能效能夠自動化和簡化您配置Secure Firewall裝置的方式。


    使用REST API的主要優勢包括:

    • 可擴充性 — 因為可以將操作擴展到多個資源。
    • 靈活性 — 易於在不同軟體開發環境中實施;與大多數API一樣,它使用XML、JSON和HTTP。
    • 自動化 — 您可以通過批次執行配置更改來簡化多個裝置的配置流程,從而減少耗時的重複配置任務。

    REST API依賴與FMC/FDM相同的身份驗證並使用OAUTH2.0。 REST API中的每個函式對映到FMC和FDM中的相同許可權。

    組態

    API Explorer瀏覽

    FMC內預設啟用REST API。您可以通過導航至 System > Configuration > REST API Preferences.

    Enable Rest API啟用Rest API

    FMC和FDM具有名為API Explorer的內建介面,該介面是檢視REST API功能和功能的有用工具。對於FMC,可以使用此URL訪問API資源管理器; https:// /api/api-explorer .

    使用FMC GUI憑證登入:

    Sign in Using your FMC GUI Credentials使用FMC GUI憑據登入

    訪問API資源管理器後,將顯示首頁。您可以在此處找到頂部功能區、域和配置部分。在右上角,您可以找到版本資訊以及有用的資源:

    Top Ribbon頂部功能區

    接下來,從域開始查詢所有配置部分。選擇此下拉選單將顯示所有現有的FMC域。

    Domains

    下面顯示了配置部分和功能,包括FMC支援的功能:

    Configuration Sections配置部分

    最後,您可以在此頁底部找到「方案」分。在這裡,您可以檢視JSON中的某些配置,瞭解其他支援的功能,您可以將這些功能用作構建HTTP請求時的參考:

    Schemas架構

    使用API資源管理器

    現在,返回配置部分,導航到Devices:

    Devices Configuration裝置配置

    適用於FMC的REST API支援下一個HTTP方法。請注意,其中每個節點都執行CRUD操作:

    • GET — 讀取

    • POST — 建立

    • PUT — 更新/替換

    • DELETE — 刪除

    統一資源識別符號(URI)與下列每種方法一起使用到每個對象的相應路徑:

    /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords

    通過選擇以下方法之一,您可以展開並檢視GET HTTP請求中包含的引數:

    • 篩選條件
    • Offset
    • 限制
    • 已展開
    • 域通用唯一識別符號(UUID)

    GET devices/devicerecordsGET裝置/裝置記錄

    note-icon

    注意:在生成HTTP請求時,域UUID至關重要,因為每個對象都分配有唯一的識別符號,這是執行操作所必需的。

    Device Records Domain UUID裝置記錄域UUID

    複製域UUID:

    e276abec-e0f2-11e3-8169-6d9ed49b625f

    接下來,可以檢視「響應」部分,在該部分中可以找到循環和請求URL,以及此方法的預設伺服器響應和一些伺服器響應示例。

    Responses SectionResponses部分。

    測試FMC API Explorer GET方法

    現在,您可以通過按一下 Try it out:

    Choose Try it out選擇試用

    對於此特定HTTP GET請求(針對裝置、裝置記錄),不需要包括任何其他UUID或其他引數,您可以選擇Execute:

    Choose Execute選擇執行

    如果HTTP GET請求成功,並且Response正文包含您的FMC中所有已註冊裝置的裝置資訊,則FMC返回伺服器響應200。

    200 GET Response Output200 GET響應輸出。

    從此輸出中,請注意,此FMC管理了一個FTD,名稱為FTDv-703。


    GET Device Records Domain UUIDGET裝置記錄域UUID

    您可以撇減ID值,因為該ID值是用來存取尤其是針對此FTD的API要求。複製ID: 

    "name": "FTDv-703"
    "id": "6bad6bbc-0b05-11ee-9a47-84ecf73b3ccf"

    作為最後一個示例,可以在此方法中使用裝置UUID(從早期響應獲得)來檢索特定受管裝置(FTDv-703)的所有介面配置:

    "id": "6bad6bbc-0b05-11ee-9a47-84ecf73b3ccf"

    導航至 GET - Devices > Device records > physicalinterfaces.

    /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/physicalinterfaces

    FMC應答(使用伺服器響應輸出),並且您可以看到此裝置(FTD)有兩個資料介面和一個診斷介面,該介面已使用它們對應的UUID和配置進行了配置。

    GET Device Records Physical Interfaces Response.GET Device Records物理介面響應。

    From Response body:

    "type": "PhysicalInterface",
    "id": "005056B3-9582-0ed3-0000-004294967553",
    "name": "GigabitEthernet0/0"

    "type": "PhysicalInterface",
    "id": "005056B3-9582-0ed3-0000-004294967554",
    "name": "GigabitEthernet0/1"

    "type": "PhysicalInterface",
    "id": "005056B3-9582-0ed3-0000-004294967555",
    "name": "Diagnostic0/0"

    以前的樹形結構和訪問HTTP方法的邏輯適用於所有對象。從常規到特定UUID,可以讀取、修改或新增對FMC和特定受管裝置的配置更改。

    URI StructureURI結構。

    FMC API資源管理器可用作檢視支援的功能和配置方法的指南或參考,以便您可以為配置部署設計和自定義代碼。

    您還可以使用多個API平台(如Postman)或通過Python或Perl指令碼從本地主機與FMC API互動。

    note-icon

    注意:您可以訪問Github中的Secure-Firewall儲存庫,以檢視大量模板和自動化資源。

    修訂記錄

    修訂 發佈日期 意見
    1.0
    11-Oct-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • 熱蘇斯·卡布雷拉·梅迪納
      Cisco TAC工程師

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品