Устройство кпп: Конструкция коробки передач: схема устройства механической КПП

Содержание

Механическая коробка передач: устройство, неисправности, эксплуатация

Сегодня мы рассмотрим устройство механической коробки передач, её положительные и отрицательные стороны, а также наиболее часто встречаемые неисправности. Несмотря на весьма широкий выбор автомобилей снабжённых автоматической трансмиссией, транспортные средства с МКПП всё также актуальны. Это связано с тем, что надёжность и запас ресурса механики ощутимо выше, чем у автоматических аналогов.Кроме того, автомобили с механикой гораздо более резвые, а их управление требует от водителя больше активности при езде.

На фото — ручка 7-ступенчатой КПП

Трансмиссия предназначена для изменения частоты крутящего момента, передаваемого от ДВС. В ручном агрегате водитель сам принимает решение, какое передаточное число нужно включить в конкретной ситуации.

Современные легковые автомобили обычно снабжаются пятью ступенчатыми трансмиссиями: четыре базовые, и одна повышающая. Это, пожалуй, наиболее оптимальный вариант для большинства водителей.

К подобным моделям относятся отечественные Lada Vesta и множество импортных транспортных средств, таких как Volkswagen Polo. Однако есть модели и с большим количеством ступеней. МКПП с шестью или семью передачами имеют обычно пять базовых ступеней и две либо одну повышающие.

Овердрайв, или повышающая передача, имеет передаточное число меньше единицы. Другими словами, при включённой повышающей передаче ведомый вал вращается быстрее ведущего.

Шестью или семью ступенчатой механикой укомплектованы более дорогие транспортные средства. Например, КПП Opel Insignia или Skoda Superb имеет шесть передаточных положений, а Porsche 911 последнего поколения оснащён семи ступенчатой механической коробкой.

Стоит отметить, что уже и бюджетные модели, например, Kia Rio или Hyundai Solaris 2016-2017 годов выпуска оснащаются 6-ступенчатой кпп.

Достоинства шести ступенчатой трансмиссии

Естественно, шести или семи ступенчатая КПП выгодно отличается от пяти ступенчатых агрегатов.

В первую очередь стоит отметить, что процесс переключения значительно меньше исчерпывает ресурс ДВС, так как, переход от одного скоростного режима к другому более плавный. Кроме того, расход топлива на шести ступенчатых МКПП несколько ниже, особенно в загородном цикле движения. Динамика разгона гораздо выше благодаря тому, что передачи короткие.

Ручка КПП Hyundai i40

В каждом современном автомобиле, укомплектованном шести ступенчатой механикой, имеется электронное оснащение, которое оповещает водителя о необходимости переключения. Подобное есть и в машинах с пяти ступенчатой коробкой, но далеко не всегда.

Устройство механической КПП

Трансмиссия автомобиля представляет собой многоступенчатый редуктор, принцип работы которого заключается в поочерёдном зацеплении отдельных зубчатых пар.

На фото МКПП Audi 100

Сцепление

Плавность переключения с одной передачи на другую в механике происходит благодаря наличию узла сцепления. Он позволяет на время переключения прервать связь трансмиссии с силовым агрегатом.

Его механизм представляет собой промежуточное звено между двигателем автомобиля и коробкой передач. Помимо обеспечения плавности переключения, узел сцепления снижает колебания передаваемые от ДВС.

Сцепление делится по типу конструкции и три вида: фрикционный, гидравлический, и электромагнитный.

Фрикционный вид наиболее популярный и может быть однодисковым, двухдисковым, многодисковым.

Сегодняшние транспортные средства обычно оборудованы именно однодисковыми моделями.

Принцип работы узла довольно прост. Маховик, устанавливаемый на коленвале ДВС, работает в качестве ведущего диска. К нему придавливается ведомый диск с помощью нажимного диска, а нажатие на сцепление ослабляет эту связь. Диафрагменная пружина обеспечивает оптимальное сжатие ведомого диска с маховиком.

Как работает сцепление

Нажимной диск с диафрагмой представляют собой цельную конструкцию – корзину сцепления. Корзины бывают как нажимные, так и вытяжные, но наиболее часто встречается именно первый тип.

С помощью шлицов ведомый диск стыкуется с первичной осью МКПП. Плавность включения передачи происходит благодаря демпферным пружинам, расположенным на ступице диска. Кроме того, ведомый оснащён фрикционными накладками, которые способны кратковременно, при включении сцепления, выдерживать высокие температуры.

Переключение передач

В каждой КПП параллельно расположены валы, на которых находятся зубчатые колёса. Существуют трёхвальные и двухвальные трансмиссии. Валы именуются ведущий (первичный), ведомый (вторичный), также в трёхвальном типе есть ещё промежуточный.

Устройство

Трёхвальный тип

Первичный вал принимает крутящий момент от ДВС, а с его оси при помощи жёсткого зацепления с шестерней ведущего вала, вращение передаётся на промежуточный вал. Вторичная и первичная ось находятся в одной плоскости и стыкуются между собой подшипником. Благодаря этому их вращение происходит или абсолютно независимо или через промежуточный вал. Зубчатые колёса на вторичном валу не имеют жёсткой фиксации, и разграничены между собой синхронизаторами, которые плотно сидят на валу, но могут ходить по его оси с помощью шлицов. Торец синхронизатора имеет зубчатые венцы, позволяющие ему войти в зацепление с аналогичными венцами на зубчатом колесе.

В нейтральном положении колёса вращаются на валу беспрепятственно, а синхронизаторы разомкнуты. Когда включается передача, вилка смещает муфту и ставит её в зацепление с определённым зубчатым колесом.

Со вторичной оси вращение переходит к карданному валу, или редуктору и ШРУСам в переднеприводных машинах. Для включения заднего хода в КПП установлено промежуточное колесо, которое меняет вращение от промежуточной оси на обратное.

Трёхосные агрегаты наиболее популярны и устанавливаются в практически каждом современном автомобиле.

Двухвальный тип

Первичный вал двухосного агрегата имеет множество шестерёнок, а не одну. Поскольку промежуточная ось отсутствует, её место занимает ведомая с установленными на ней муфтами-синхронизаторами и шестернями. По большому счёту разница заключается наличием лишь одной пары зацеплений между осями для каждой ступени, а не двух.

Переключение производится аналогичным методом – вилка, управляемая ручкой переключения с помощью штока, смещает муфту по вторичному валу в соответствующее положение.

Двухвальный тип отличается большим КПД, но ограничен в повышении передаточного числа, отчего данный тип конструкции используется крайне редко. Благодаря возможности объединения КПП, узла сцепления, и самого ДВС в единый агрегат, почти все малолитражки комплектуются именно этим типом трансмиссии. Примером использования двухосной механики в автомобиле с передним расположением силового агрегата можно считать Citroen C3.

Важно помнить!

В связи с тем, что промежуточная шестерня, обеспечивающая обратное вращение выходного вала для заднего хода не имеет синхронизатора, включение задней передачи должно происходить только после полной остановки транспортного средства. В противном случае КПП выйдет из строя после такого переключения.

Муфта синхронизатора

Каждая современная трансмиссия имеет муфты-синхронизаторы.

Их наличие важно для упрощения режима переключения. Без синхронизаторов для переключения пришлось бы делать двойной выжим сцепления, чтобы сравнять частоту вращения осей. На некоторых видах спецтехники, где КПП имеют большое количество ступеней, муфты не применяются, поскольку это невозможно.

На внутренней окружности ступицы расположены шлицевые пазы, которые позволяют синхронизатору перемещаться вдоль собственной оси. При переключении вилка смещает синхронизатор по шлицам, до стыкования со своей парой на конце определённой шестерне. При переключении ступени на одно из блокировочных колец подаётся значительное усилие. В конечном счёте, блокировочное кольцо проворачивается до упора.

На фото — снятие муфты синхранизатора

Дальнейшее смещение муфты-синхронизатора без переключения ступени невозможно. При вхождении синхронизатора в зацепление с венцом шестерни происходит надёжная фиксация элементов.

Плюсы и минусы механики

Ручной агрегат обладает как своими достоинствами, так и недостатками.

Плюсы:

• Менее затратное обслуживание трансмиссии.

• Высокий КПД.

• Не требуют отдельного охлаждения.

• Машины с МКПП менее прожорливы и отличаются лучшей динамикой.

• Простота механики значительно повышает надёжность агрегата.

• Более широкий диапазон выбора режима вождения.

• Транспортное средство разрешается буксировать.

Минусы:

• Плавность начала движения и переключения передач требуют водительских навыков, которые приходят только со временем.

• Небольшой ресурс узла сцепления.

• При длительных поездках водитель транспортного средства с механикой значительно сильнее утомляется, нежели водитель машины с АКПП.

• Ограниченность ступеней не позволяет плавно изменять передаточное число.

Возможные неполадки

Несмотря на простоту конструкции агрегат может поломаться. При выявлении ненормальной работы КПП рекомендуется как можно скорее обратиться в автосервис. Проблему можно попытаться решить и самостоятельно, но это потребует как соответствующих инструментов, так и определённых навыков.

Первое на чём стоит остановиться, это возникновение постороннего шума при включении нейтральной передачи. Такое может происходить, если масло в коробке давно исчерпало свой ресурс или его вовсе не осталось. Обычно водители меняют его крайне редко, но при некорректной работе трансмиссии первое, на что стоит обратить внимание, это состояние масла.

МКПП Opel Astra со снятым поддоном

Оно также может подтекать из-за плохого состояния сальников и уплотнительных прокладок. В таком случае при замене масла следует поменять и другие дефектные элементы. Однако, виною данной неполадки могут быть и износившиеся подшипники, зубчатые колёса, смещение осей валов. При этом коробку стоит демонтировать и полностью перебрать, заменив износившиеся элементы конструкции.

Возникают ситуации, когда водителю приходится прикладывать больше усилий для переключения передачи, чем обычно. Это может быть связано с выходом из строя самого механизма переключения либо неполноценного отключения сцепления. Однако, возможно, причиной проблемы стало повреждение рычага штока. Для устранения необходимо отрегулировать механизм переключения или сцепления, а также, возможно, придётся заменить повреждённые элементы.

Некоторые водители сталкивались с проблемой «вылета» передачи. Это зачастую связано с износом зубчатых колёс, вилок, штоков, подшипников ведомого или промежуточного валов, а также ослабление их фиксации. Поскольку причин может быть достаточно много, чтобы избавиться от неисправности МКПП требуется полностью перебрать с заменой всех дефектных элементов конструкции.

Неполное выжимание педали сцепления или движение автомобиля при частично выжатом сцеплении чревато поломкой деталей узла. Происходит стремительный износ диска сцепления, а также лепестки диафрагменной пружины могут попросту отломаться. Кроме того, неполноценное отключение сцепления при переключении вскоре обязательно приведёт к зализыванию зубчатых колёс.

Также стоит упомянуть, что сильная вибрация трансмиссии при заведённом ДВС свидетельствует о том, что стыкование двух агрегатов ненадёжно. Вероятнее всего в таком случае виною ослабление болтовых соединений; в таком случае их достаточно будет лишь сильнее подтянуть. Однако возможно вибрация связана с разрушением опор и тогда уже потребуется весьма трудоёмкий ремонт.

Возникновение некорректного шума при включении передач наиболее часто связано с неисправностью сцепления. Также виною может стать и подшипник вторичного вала.

Рекомендации по эксплуатации механической трансмиссии

Бережное пользование любым механизмом, залог его долговечности. Неприхотливость механического агрегата привлекает автовладельцев. И всё же, есть некоторые рекомендации относительно пользования МКПП.

Первое, что следует запомнить, это важность полного выжима педали сцепления перед переключением передачи. Это, пожалуй, важнейший момент в пользовании механикой. Также включенная передача должна соответствовать режиму езды. Кроме того, стоит помнить, что перед переключением на пониженную передачу, скорость должна быть обязательно снижена.

Несмотря на то, что в отличие от автомата, механика может работать вообще без масла, это довольно сильно отражается на её общем состоянии. Рекомендуется проводить проверку уровня и состояния смазывающей жидкости после прохождения 20 000 км. Несмотря на то, что большинство даже опытных автовладельцев вообще никогда не меняют масло в механике, это всё же совершенно не правильно. Менять его желательно не реже чем после каждых 70 000 км пробега.

Механизм переключения передач.


Механизм переключения передач




Механизм переключения передач обычно монтируется в крышках коробок передач и предназначен для выбора, включения и выключения передач. Кроме того, в механизме переключения передач устанавливаются устройства, исключающие включение двух передач одновременно и предотвращающие самопроизвольное выключение передач.

Основные требования, предъявляемые к этому механизму – легкость и простота управления коробкой передач, бесшумность и плавность переключения передач, надежная фиксация включенной передачи, предотвращение одновременного включения двух или нескольких передач, а также предохранение от включения на ходу передачи, противоположной движению автомобиля.
Кроме того, механизм включения должен быть надежным, долговечным, не требовательным к сложным регулировкам и прост в техническом уходе. Сбои в работе механизма переключения передач могут привести к повреждению деталей и выходу из строя такого дорогостоящего агрегата, как коробка передач.

***

Механизм переключения коробки передач грузового автомобиля (рис. 1, а) состоит из трех штоков, трех вилок, трех фиксаторов с шариками, предохранителя включения первой передачи и заднего хода и замкового устройства.
Штоки 8, 9, 11 размещены в отверстиях внутренних приливов крышки картера 1. На них закреплены вилки 5, 7, 10, соединенные с каретками синхронизаторов и с подвижным зубчатым колесом включения первой передачи и заднего хода.

Фиксаторы 4 удерживают штоки в нейтральном или включенном положении, что исключает самопроизвольное выключение передач. Каждый фиксатор представляет собой шарик с пружиной, установленные над штоками в специальных гнездах крышки картера. На штоках для шариков фиксаторов выполнены специальные канавки (лунки).
Перемещение штока с вилкой, а следовательно, синхронизатора, возможно только при приложении усилия со стороны водителя, в результате которого шарик утопится в свое гнездо.




Замковое устройство предотвращает включение одновременно двух передач. Оно состоит из штифта 12 и двух пар шариков 6, расположенных между штоками в специальном горизонтальном канале крышки картера. При перемещении какого-либо штока два других запираются шариками, которые входят в соответствующие канавки на ползунах.

С целью предотвращения случайного включения передач заднего хода или первой передачи при движении автомобиля в стенке крышки коробки передач смонтирован предохранитель, состоящий из втулки, кольца с пружиной 3 и упора.
Чтобы включить первую передачу или передачу заднего хода, необходимо отжать пружину предохранителя до упора, для чего к рычагу управления водителем прикладывается некоторое усилие.

***

Механизм переключения передач легкового автомобиля (рис. 1, б) устроен следующим образом.
Шток 14 вилки выключения третьей и четвертой передач установлен в отверстиях передней и задней стенок картера, а штоки 13 и 16 в отверстия задней стенки и прилива картера.

На каждом штоке закреплены болтом вилки 15, 21, 23 включения передач. Для удержания штоков в нейтральном положении и в одном из крайних положений, когда включена передача, в них выполнены по три гнезда, к которым поджимается пружиной 19 шарик 20 фиксатора. Фиксаторы располагаются во втулках и закрываются крышкой 18. В головке каждого штока имеется паз, в который входит нижний конец рычага переключения передач.

Замковое устройство состоит из трех блокировочных сухарей 17. Два крайних сухаря установлены в отверстиях задней стенки картера, а средний сухарь в отверстии штока 14.
При перемещении штока 13 или 16 он выдавливает сухарь, который входит в гнездо среднего штока и одновременно через средний сухарь прижимает другой сухарь к гнезду противоположного штока. Таким образом, эти штоки будут зафиксированы в нейтральном положении.
При перемещении среднего штока 14 выдавливаются сразу два сухаря и фиксируют крайние штоки 13 и 16.

***

Синхронизаторы коробки передач


Главная страница


Дистанционное образование

Специальности

Учебные дисциплины

Олимпиады и тесты

Устройство КПП Ваз 2109

Коробка переключения передач Ваз 2109 — вид справа:

1 — кронштейн троса привода сцепления, 2 — указатель (щуп) уровня масла, 3 — картер сцепления, 4 — вилка выключения сцепления, 5 — первичный вал КПП Ваз 2109, 6 — подшипник выключения сцепления, 7 — сальник вала привода колес, 8 — защитный чехол штока механизма переключения передач, 9 — задняя опора силового агрегата, 10 — привод спидометра

Коробка переключения передач Ваз 2109 — вид слева:

1 — левая опора силового агрегата, 2 — задняя крышка картера коробки передач, 3 — сливная пробка, 4 — пробки фиксаторов передач, 5 — пробка фиксатора передачи заднего хода, 6 — выключатель света заднего хода, 7 — картер коробки передач

Детали пятой передачи Ваз 2109 коробки переключения передач:

1 — задняя крышка картера коробки передач, 2 — шток вилки включения пятой передачи, 3 — вилка включения пятой передачи, 4 — вторичный вал КПП Ваз 2109, 5 — ведущая шестерня пятой передачи, 6 — ведомая шестерня пятой передачи, 7 — картер коробки передач, 8 — синхронизатор пятой передачи, 9 — первичный вал

Основные узлы и детали коробки передач и дифференциала Ваз 2109:

1 — первичный вал, 2 — вторичный вал, 3 — шток вилки переключения третьей и четвертой передач, 4 — вилка переключения третьей и четвертой передач, 5 — дифференциал, 6 — вилка переключения первой и второй передач, 7 — шток вилки переключения первой и второй передач, 8 — шток переключения передач, 9 — шток вилки переключения пятой передачи, 10 — механизм переключения передач, 11 — промежуточная шестерня заднего хода, 12 — картер сцепления

КПП Ваз 2109 — вид снизу:

1 — коробка передач, 2 — задняя опора силового агрегата, 3 — маслосливная пробка, 4 — тяга привода переключения передач, 5 — двигатель, 6 — внутренние ШРУСы, 7 — выключатель света заднего хода, 8 — левая опора силового агрегата, 9 — растяжка

КПП: устройство, характеристики, принцип работы.

Модели коробок переключения передач (КПП) устанавливаемых на автомобили МАЗ Подготовка к монтажу

На автомобилях МАЗ-64227, МАЗ-54322 устанавливается восьмиступенчатая двухдиапазонная коробка передач ЯМЗ-238А с синхронизаторами на всех передачах, кроме заднего хода

Коробка передач состоит из основной двухступенчатой коробки и двухступенчатой дополнительной коробки (понижающей передачи).

Устройство коробки передач показано на рис. 1. Монтаж всех деталей коробки передач производится в картерах основной и дополнительной коробок, которые соединяются между собой, а затем в сборе присоединяются к картеру сцепления: образуется единый силовой агрегат в составе двигателя, сцепления и коробки передач.

Первичный вал 1 основной коробки установлен на двух шариковых подшипниках; на переднем шлицевом конце установлены ведомые диски сцепления, а задний конец выполнен в виде зубчатого венца шестерни постоянного зацепления основной коробки.

Вторичный вал 5 основной коробки спереди опирается на цилиндрический роликоподшипник, установленный в расточке зубчатого венца ведущего вала, а сзади на шарикоподшипник, установленный в передней стенке картера дополнительной коробки.

Задний конец вторичного вала выполнен в виде зубчатого венца, являющегося шестерней постоянного зацепления дополнительной коробки.

Шестерни второй и четвертой передач вторичного вала основной коробки установлены на подшипниках скольжения, выполненных в виде стальных втулок, имеющих специальное покрытие и пропитку, а шестерни первой передачи и заднего хода — на роликовых подшипниках.

Промежуточный вал 26 основной коробки спереди опирается на роликоподшипник, смонтированный в передней стенке картера основной коробки, а сзади — на двухрядный сферический подшипник, размещенный в стакане, установленном в задней стенке картера основной коробки.

В приливах картера основной коробки установлена дополнительная ось для промежуточной шестерни заднего хода.

Включение заднего хода осуществляется перемещением каретки 24 заднего хода вперед до соединения ее с зубчатым венцом шестерни 25 заднего хода, которая находится в постоянном зацеплении с промежуточной шестерней заднего хода.

Вторичный вал 15 дополнительной коробки спереди опирается на цилиндрический роликоподшипник, размещенный в расточке зубчатого венца вторичного вала основной коробки, сзади на два подшипника: цилиндрический роликоподшипник и шариковый подшипник, установленные соответственно в задней стенке картера дополнительной коробки и крышке подшипника вторичного вала.

На шлицах средней части вторичного вала дополнительной коробки установлены синхронизаторы переключения передач, а на заднем шлицевом конце — фланец крепления карданного вала.

На средней цилиндрической части вала на роликовых цилиндрических подшипниках установлена шестерня 11 дополнительной коробки.

Промежуточный вал 19 дополнительной коробки спереди опирается на цилиндрический роликоподшипник, установленный в передней стенке картера дополнительной коробки, а сзади на двухрядный сферический подшипник, размещенный в стакане, смонтированном в задней стенке картера дополнительной коробки. На переднем шлицевом конце промежуточного вала дополнительной коробки установлена шестерня 22 понижающей передачи.

В задней части промежуточного вала сделан зубчатый венец, сопряженный с шестерней понижающей передачи вторичного вала дополнительной коробки.

Для включения передач в основной коробке применены инерционные синхронизаторы с конусными фрикционными кольцами, а в дополнительной — с фрикционными дисками.

Переключение передач в основной коробке производится с помощью механического дистанционного привода, а дополнительная коробка управляется с помощью пневмопривода.

В этой статье мы расскажем, какие функции выполняет КПП в двигателе МАЗ, сделаем несколько рекомендаций по ремонту и также будет обозначена схема переключения передач МАЗ с делителем, которую вы сможете подробно рассмотреть и изучить.

[ Скрыть ]

Назначение КПП

В КПП находиться такой элемент, как шестерёнка, обычно их несколько, они соединены с рычагом управления передачами и именно за счёт их происходят переключения передач. С переключением передач регулируется скорость автомобиля.

То есть, иными словами, шестерёнки и есть передачи. У них разные размеры и разная скорость вращения. В процессе работы, одна цепляет другую. Система такой работы обусловлена тем, что большая шестерёнка цепляет меньшую по размеру, вращение увеличивается, а заодно и скорость автомобиля МАЗ. В случаях, когда малая шестерёнка цепляет большую, скорость, наоборот, падает. Коробка состоит из 4 скоростей плюс задняя. Первая считается самой низкой и с прибавлением каждой передачи автомобиль начинает двигаться быстрее.

Расположена коробка в автомобиле МАЗ между коленчатым валом и карданным. Первый напрямую идёт от двигателя. Второй напрямую связан с колёсами и приводит их работу в действие. Перечень работ, которые приводят к регулировки скоростей:

  1. Мотор задаёт движение приводному и коленчатому валу.
  2. Шестерёнки КПП получают сигнал и приходят в движение.
  3. Используя рычаг переключения передач, водитель выбирают необходимую скорость.
  4. Выбранная водителем скорость передаётся на карданный вал, который приводит колёса в действие.
  5. Автомобиль продолжает своё движение на выбранной скорости.

Схема устройства

Схема устройства переключения передач КПП с делителем на МАЗе непростая, но она очень поможет вам при совершении ремонтных работ. Ступенчатая коробка переключения передач на МАЗе состоит из таких элементов, как картер, валы, ступка, синхронизаторы, шестерёнки и другие не менее важные элементы.

9 ступенчатая

Такой агрегат устанавливают, в большинстве случаев, на грузовики или автомобили, которые будут подвергаться высокой проходимости.

8 ступенчатая

Этот агрегат, как и его предшественник, пользуется популярность среди машин с высокой грузоподъёмностью.


5 ступенчатая

Наиболее популярная, среди легковых автомобилей.


Хотите, чтобы ваша коробка с делителем сохранялась в хорошем состоянии долгие годы? Тогда за ней нужен уход и элементарные проверки. Необходимо следить за работой таких элементов, как шестерёнки, ступка, сам рычаг управления и так далее. Случилось так, что поломки уже не избежать? Мы дадим вам следующие рекомендации для самостоятельного ремонта:

  • подробно ознакомиться со схемой и инструкцией вашего механизма;
  • для того чтобы провести ремонт, в первую очередь необходимо снять коробку полностью и только после можно приступать к ремонту;
  • после того как вы вытащите её наружу, не спешите разбирать её полностью, иногда проблема находится на поверхности, обращайте особое внимание на все детали, если увидите подозрительное «поведение», то скорее всего проблема именно в этом элементе;
  • если же вам всё-таки придётся разбирать коробку полностью, складывайте все детали в порядке разбора, для того, чтобы не запутаться в момент, когда вы будете собирать её обратно.

Если вы не уверены в своих силах, не имеете определённых навыков и знаний, обратитесь в сервисный центр. Нет такой возможности? Что же, никогда не поздно научиться новым и полезным вещам. Задавайте вопросы в комментариях, дадим вам раскрытые и подробные ответы.

В этой статье была рассмотрена схема переключения передач для МАЗ всех видов. Надеемся, что информация вам пригодилась в ремонте. Пускай ваша коробка служит вам долгие годы!

Видео «Работа КПП»

Вы сможете увидеть принцип работы механической коробки в данном видео.

Одним из знаменитых брендов Беларуси является «МАЗ». Производимая техника от Минского автомобильного завода (МАЗ), к которой относятся тягачи, лесовозы, большегрузные автомобили известна всему миру.

Составляющие части КПП МАЗ

КПП транспортного средства (МАЗ) включает несколько шестеренок, которые соединены с рычагом управления передачами. Каждая из имеющихся шестеренок выполняет свою функцию, вращается с определенной скоростью, обеспечивая эффективное управление машиной.

Производитель расположил коробку в автомобиле МАЗ между коленчатым и карданным валом. Коленчатый вал представляет собой комплектующую деталь, характеризующуюся сложной формой исполнения. К производству данного элемента предъявлялись высокие требования. Карданный вал является не менее надежным рабочим механизмом, функция которого заключается в передаче момента силы между валами.

Привод коробки передач

Помимо валов, ступенчатая коробка передач на МАЗе включает картер, ступку, синхронизаторы. Регулировка скоростей на машине осуществляется путем смены передач. Взаимодействуя между собой шестеренки способны как увеличивать, так и уменьшать скорость МАЗа. Эффективно срабатывает рычаг с делителем передач.

Схема КПП МАЗ

Воздухораспределитель КПП МАЗ предназначен для переключения воздушных потоков. Устройство размещено в верхней крышке картера.

Раздаточная коробка МАЗ представляет собой сложный механизм, который обеспечивает блокировку колес, влияет на изменение передач.

Учитывая это, раздаточная коробка МАЗ устанавливается на большегрузные машины, которые отлично подходят для эксплуатации по грунтовой дороге, плохо обустроенным трассам.

КПП МАЗ с демультипликатором включает приводную шестерню промежуточного вала, который оснащен демпфером. Демпфер способствует уменьшению колебаний. Подушка МАЗ способствует подавлению шумов со стороны КПП во время езды.

Схема демультипликатора

Варианты КПП для большегрузных авто

8-ми ступенчатая КПП МАЗ характерна для транспорта, который имеет высокую грузоподъемность.

9-ти ступенчатые версии устанавливаются не только на мощные грузовики, но и на обычные автомобили.

5-ти ступенчатые КПП присутствуют на автомобиле МАЗ-500 с дизелем ЯМЗ-236.

5 ступенчатая КПП

16-ти ступенчатые версии встречаются на самосвалах, автомобилях КамАЗ. Масса коробки при этом превышает 250 кг. КПП ЗФ16S имеет переходную плиту, которая сообщается с двигателем, коробкой передач.

Перечисленные версии отличаются большой надежностью, продолжительной рабочей способностью.

Автомобиль МАЗ с КПП ZF решают приобрести те, кто хочет насладиться полноценной ездой как в городских условиях, так и по пересеченной местности. Нередко данный тип КПП встречается на снегоуборочной технике.

Необходимость ухода за КПП

Способствует продлению ресурса скоростной коробки – своевременное ее обслуживание. В частности, автовладелец должен следить за эффективностью работы шестеренок, рычага управления, контролировать уровень залитого в автомобильную систему МАЗ масла.

В случае необходимости ремонта коробки передач на МАЗ, необходимо демонтировать из штатного места коробку передач. Устройство должно быть визуально осмотрено на предмет внешних деформаций. Велика вероятность того, что именно это является причиной того, что КПП «не слушается» команд водителя. Если деформаций нет, можно приступать к разбору на составляющие КПП.

Если схема КПП МАЗ дала сбой, то станут проявляться следующие признаки:

  • не срабатывают некоторые передачи, например, 4 и 5;
  • отмечается затруднение ручного переключения.

Для промывки КПП требуется около 3-х литров специального масла. Ремонт КПП МАЗ может заключаться в восстановлении мостов, мойке, дефектации коробки. Также, ремонту подлежат картер и крышка.

Зависит от типа коробки передач установленной на различные модели автомобилей марки МАЗ. Если у Вас автомобили МАЗ 64229, МАЗ 54323, то на них установлена КПП ЯМЗ 238А. Она представляет из себя сочетание 4 –ех ступенчатой коробки и двухступенчатого демультипликатора. То есть фактически данная коробка передач восемиступенчатая.

Схема переключения передач Маз моделей MA3 555I, MA3 53371, МАЗ 5337, МАЗ 5433, MA3 54331 иная. Ведь коробка передач ЯМЗ 236П установленная на эти машины пятиступенчатая. Кроме всего прочего на некоторые модели МАЗ ставятся импортные КПП, которые адаптированы под двигатели установленные на МАЗах. Таким примером является ZF 16S-1650, которая имеет 16 ступеней, ZF «Ecomid» 9S 1310 имеет 9 ступеней. Эти коробки отличает высочайшее качество исполнения, большую надежность, но в то же самое время качественного технического обслуживания.

Такие различные коробки передач, в зависимости от модификаций автомобилей, делаются не просто так. Это дает возможность более легкого управления, повышения экономичности и увеличения срока службы механизмов двигателя и коробки передач.

Чтобы коробка передач служила долго мало соблюдать схему переключения передач МАЗ. Необходимо еще и правильно обслуживать. Своевременно проводить все необходимые регламентные работы по поддержанию коробки передач в исправном состоянии. Масло необходимо менять в соответствии с инструкциями. Слив проводить в нагретом состоянии через оба отверстия в поддоне. Для промывания коробки передач МАЗа необходимо использовать веретенное масло. После этого запускаем двигатель и «гоняем» его 10 минут. После этого веретенку сливаем и наполняем новым согласно карте. Категорически запрещается промывать КПП керосином или соляркой, если не хотим, чтобы сломался масляный насос.

КПП МАЗ — это механизм переключения передач, который входит в устройство трансмиссии вместе с делителем.

Устройство и схема переключения

Устройство и схема переключения передач МАЗа зависит от модели коробки передач. Выделяют 5-ти ступенчатую, 8-ми ступенчатую и 9-ти ступенчатую коробку.

5 ступенчатая

Конструкция коробки передач с пятью ступенями в МАЗе включает в себя такие элементы, как:

  • первичный, вторичный и промежуточный вал;
  • вращающийся подшипник;
  • шестерни;
  • картер, переключатель и задняя крышка;
  • крепежные элементы;
  • емкость для масляной жидкости.

Механизм, который переключает передачи, находится в салоне транспортного средства. Когда рычаг переключательного устройства меняет свое положение, происходит сцепление шарнирного соединения с выемкой, которая расположена на одной из осей. В этот момент конец шарнира находится в жестком зацеплении с вилочным устройством. Вилки входят в отверстие на ведущей шестерне переднего хода (передачи №1, 2, 3, 4) или в положении пятой передачи (задний ход). Начинается замыкание в цепи вращающего момента, из-за чего вторичная ось начинает свое движение.


8 ступенчатая

Устройство восьмиступенчататой коробки (КПП-202) включает в себя:

  • картер;
  • подвижные шестерни;
  • вал промежуточного типа;
  • шестерни постоянного зацепления;
  • ведущий вал;
  • шлицы;
  • венец зубчатого типа;
  • крышку;
  • ведомый вал;
  • блок шестерен заднего хода;
  • осевой механизм реверса.


После того как транспорт двинется с места, наберет необходимую скорость, можно переключать передачи в следующем порядке: 4H-4B-5H. Для того чтобы активировать вторую скорость, нужно дождаться момента, когда частота вращения коленчатого вала увеличится до 2000 оборотов в минуту. Этот показатель можно отслеживать при помощи тахометра.

Для того чтобы включить задний ход, следует установить рычаг переключателя в нижнее положение.

9 ступенчатая

В конструкцию 9-ти ступенчатой коробки 238 с демультипликатором входят следующие детали и механизмы:

  • картер сцепного устройства;
  • прокладка;
  • вилка переключения скоростей;
  • правый вал;
  • шайба шестерни реверса;
  • ленивая шестерня заднего хода;
  • роликовый подшипник вала промежуточного типа;
  • крепежные болты и гайки;
  • пружинная шайба;
  • уплотнительное кольцо;
  • стопорное кольцо;
  • игольчатый подшипник;
  • втулка вилки механизма сцепления.


Перед началом движения необходимо отключить сцепление. Перед тем как трогаться с места, необходимо проверить расположение рычага, он должен быть опущен. Переключение скоростных режимов осуществляется в несколько этапов. На первом этапе рекомендуется использовать следующую схему переключения: 1B-2B-3B. Во время дальнейшего движения можно перейти на схему: 4H-5B-5H.

Замена масла

Для того чтобы заменить масло в КПП МАЗа, необходимо:

  1. Проехать около 5-10 км на транспорте, чтобы прогреть старое масло в коробке. При повышенной температуре оно становится жидким и его легко слить.
  2. Через 10-15 минут после остановки мотора установить транспортное средство на подъемник или смотровую яму.
  3. Снять защитную крышку картера.
  4. Открутить пробку и проверить объем масляной жидкости в МКПП.
  5. Проверить прокладку на износ, при необходимости заменить ее на новую.
  6. Заменить износившиеся фильтрующие элементы.
  7. Открыть сливное отверстие и слить масло в подготовленную емкость.
  8. Залить новую масляную жидкость.
  9. Закрутить крышку сливного отверстия.
  10. Установить на место защитный кожух сцепления.
  11. Завести двигатель, проверить уровень масла при различных скоростных режимах.


Устройство кпп ВАЗ 2110 — фото, описание на VAZ-2110.net

ваз 2110 схема коробка передач Мир схем.

Схема коробки передач ВАЗ 2110: 1 — задняя крышка картера коробки передач; . ..

100%Изображение целиком. перейти в раздел запчастей ВАЗ 2110.

Замена подушки рычага переключения кп ваз 2110.

Схема вторичного вала ваз 2108.

Трансмиссия Ваз 2109 Лада Самара.

Категория: Ремонт.

Преимущества КПП 12JS160TA.

устройство двухвальной механической коробки передач. двухвальная коробка пе…

Когда ремонт КПП ВАЗ 2110 будет завершен, нужно стоит ремонт кпп ваз устано…

Третья, модернизированная КПП ВАЗ 2110, собрана вместе с дифференциалом.

Коробка передач ВАЗ-2108.

Re: Течь Масла В Кпп.

Схема дифференциала ваз 2110.

Разборка коробки передач Ваз 2110 Лада.

Какие неисправности могут быть у КПП ВАЗ 2110.

Рис 104168 — произвожу ремонт кпп автомобилей ваз. замену сцеплений, подшип…

Куплю коробку передач на Ваз 2108 в идеальном состоянии!

Фото коробки передач ВАЗ 2110, novosel. ru.

Схема сборки коробки передач уаз 469.

Особенности конструкции коробки передач ВАЗ 2170 Лада Приора.

Опора кулисы ваз 2110.

Схема переключения коробки передачь ваз 2110.

Схема подбора толщины регулировочного кольца подшипников дифференциала: 1 -…

Чертежи на ура — Скачать чертеж Реконструкция коробки передач ВАЗ 2110 Бесп. ..

ведущая главной передачи; 4 — роликовый подшипник вторичного вала; 5 — масл…

Чертеж 4-х ступенчатой коробки передач ВАЗ-2109.

ВАЗ 2110 Шестерни коробки передач.

Цветное справочно-информационное издание Пособие по ремонту ВАЗ 2110, 2111 …

схема коробки передач калины Мир схем.

1 — задняя крышка картера коробки передач 2 — ведущая шестерня V передачи 3. ..

5+. Коробка передач ВАЗ_2110 в разрезе.

КПП.jpg Не добавлены.

Трансмиссия автомобиля состоит из сцепления, коробки передач, карданного ва. ..

механизм переключения КПП ВАЗ.

Кпп ваз в разрезе фото.

Продам кробку на ваз 2110 с маховиком,сцеплением и стартером 3500 без торга. ..

Кпп ваз 2110, 2112, 2111.

Валы коробки передач ВАЗ-2110.

Устройство и основной принцип работы коробки передач.

Ремонт кпп ваз 2110.

Валы коробки передач ВАЗ-2110.

Продам КПП на ваз 14 модели в хорошем состоянии. не разу не перебиралась (ск…

Ваз 2110 коробка передач схема.

Механизм выбора и переключения передач ВАЗ-2110(2004) .

PE lurking: устройство привода переключения передач ваз 2108.

Газ, ВАЗ разбор, Новосибирск.

Ваз 2112: почему коробка передач шумит.

корпоративных устройств Check Point | CheckFirewalls.

com

Предприятия развертывают систему безопасности вдоль четко определенных границ по периметру и внутри программно-определяемых центров обработки данных. Check Point предлагает межсетевые экраны нового поколения для защиты трафика как север-юг, так и восток-запад.

Выберите модель

Модель 5000 Квант 6000 Квант 7000

 

Модель 5000 Бытовая техника:

Устройство Check Point 5100

  • Пропускная способность брандмауэра 12 Гбит/с
  • 2.Пропускная способность NGFW 2 Гбит/с
  • Пропускная способность предотвращения угроз 1,34 Гбит/с
  • 1 Гбит/с (RJ45/SFP)

Устройство Check Point 5200

  • Пропускная способность брандмауэра 12 Гбит/с
  • Пропускная способность NGFW 2,7 Гбит/с
  • Пропускная способность предотвращения угроз 1,65 Гбит/с
  • 1 Гбит/с (RJ45/SFP)

Устройство Check Point 5400

  • Пропускная способность брандмауэра 16 Гбит/с
  • 3. Пропускная способность NGFW 4 Гбит/с
  • Пропускная способность предотвращения угроз 1,74 Гбит/с
  • 1 Гбит/с (RJ45/SFP)

Устройство Check Point 5600

  • Пропускная способность брандмауэра 25 Гбит/с
  • Пропускная способность NGFW 5,8 Гбит/с
  • Пропускная способность предотвращения угроз 3,39 Гбит/с
  • 1 Гбит/с (RJ45/SFP), 10 Гбит/с

Устройство Check Point 5800

  • Пропускная способность брандмауэра 35 Гбит/с
  • 8.Пропускная способность NGFW 1 Гбит/с
  • Пропускная способность предотвращения угроз 4,20 Гбит/с
  • 1 Гбит/с (RJ45/SFP), 10 Гбит/с, 40 Гбит/с

Устройство Check Point 5900

  • Пропускная способность брандмауэра 52 Гбит/с
  • Пропускная способность NGFW 11,4 Гбит/с
  • Пропускная способность предотвращения угроз 6,70 Гбит/с
  • 1 Гбит/с (RJ45/SFP), 10 Гбит/с, 40 Гбит/с

Межсетевой экран CheckPoint v2 | Cortex XSOAR

Эта интеграция является частью пакета Check Point Firewall
. #

Обзор#


Обзор интеграции Управление брандмауэром Check Point. Чтение информации и отправка команд на сервер Check Point Firewall. Эта интеграция была интегрирована и протестирована с версией R80.30 CheckPoint SmartConsole.

Название продукта: Брандмауэр Check Point
Тип продукта: Сетевая безопасность
Версия продукта: R80.30

Как настроить интеграцию:#

В Smart Console включите веб-API: Управление и настройка Блейды Management API, дополнительные настройки Все IP-адреса

Включите sftp на вашем сервере. Руководство Check Point поможет вам: https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk82281

  1. Перейдите к Настройки > Интеграции > Серверы и службы .
  2. Поиск CheckPoint_FW.
  3. Нажмите Добавить экземпляр , чтобы создать и настроить новый экземпляр интеграции.
Доверьтесь любой сертификат (не безопасно)
Описание Требуется
Server URL-адрес сервера (E.грамм. example.net или 8.8.8.8) True True
Порт Server Port (например, 4434) True
Домен Домен (используется в Multi Domail Server) False
Имя пользователя Имя пользователя True
False
Proxy
Proxy Использовать настройки прокси системы False
  1. Нажмите Test для проверки URL-адреса, токен и подключение.

Commands#

Вы можете выполнять эти команды из Cortex XSOAR CLI, как часть автоматизации или в playbook. После успешного выполнения команды в War Room появится сообщение DBot с подробностями команды.

Checkpoint-phost-list-pist —


Показать все объекты Host

Base Command #

CheckPoint-Pist-Pist -

5 9016 9
Тип
Имя аргумента Описание Required
limit Максимальное количество возвращаемых результатов. Необязательный
смещение Количество результатов, которые нужно сначала пропустить. Дополнительные
Security_id Выполнить команду с определенным сеансом ID Дополнительно
Путь Описание
CheckPoint. Host.name Строка имя объекта
Контрольная точка.Host.uid String объект UID
String.Type String Type
CheckPoint.host.ipv4 Строка IP-V4 Address Address Scesific Host
CheckPoint.host.ipv6 String Адрес IP-V4 Адрес Secesific Host
Пример команды #

! Лимит CheckPoint-Phock-Profect-list = 5

Пример #
Выходные данные #

Данные контрольно-пропускных пунктов для всех хозяев: #

1 18.88.8.8 92.192.10.10

Имя UID тип IPv4-адрес IPv6-адрес
18.88.8.7 F083D3CE-8E95-460F-A386-0BC4ECA1214A Host 18.88.8.7 18.88.8.7 2001: 0DB8: 85A3: 0000: 0000: 8A2E: 0370: 7334
18. 88.8.8 B032C0A7 096C-4B27-9A09-8D12135 Host 18.88.8.8 2001: 0000: 8A2E: 0370: 7334
192.168.30.2 5BD98C85-F848-45AB-AA4C-C729FB8B1723 хост 192.168.30.2 2001:0db8:85a3:0000:0000:8a2e:0370:7334
200.200.200.112 23C4B2CF-0ADC-4282-8F15-262CFEC7F5F5 Most 200.200.200.112 2001: 0DB8: 85A3: 0000: 0000: 8A2E: 0370: 7334
Demisto — 2096 CDED0C90- 3402-4766-AD1B-AdaF972B254F Host 192.192.10.10 192.192.10.10 2001: 0db8: 85A3: 0000: 0000: 8A2E: 0370: 7334

CheckPoint-Host-Get #


Получить все данные Данного хозяина

Base Command #

CheckPoint-Post-Get

Название аргументов Требуется
Идентификатор уникальный идентификатор (uid) или имя объекта Обязательно
session_id Выполнить команду с определенным идентификатором сеанса Необязательно
Context Output#
9
9 Путь Тип Описание Контрольная точка. Host.name Неизвестен Имя хоста String CheckPoint.host.type Неизвестный Тип объекта Checkpoint.host. Доменное имя Строка Доменное имя 9 String Домен UID CheckPoint.host.ipv4-адрес String IP-адрес Пропускной пункт.Host.ipv6-адрес string IP-адрес Checkpoint.host.read — всего Boolean Указывает, что объект читается только CheckPoint.host.Creator String Указывает на создатель объекта CheckPoint.Host.last-modifier String указывает, что последний пользователь изменил объект хост-объект. CheckPoint. Host.groups-uid Неизвестно uid группового объекта, связанного с текущим хост-объектом.
Пример команды #

! ! Идентификатор CheckPoint-Project-Get = Host_Test

Контекстный пример #
Человеческий читаемый вывод #

Checkpoint Данные хоста объекта Host_test: #

2
Имя UID Type IPv4-адрес Domain-uid Read-To- UID Creator создатель
Host_Test 11C194C4-DB5F-46DE-A9E2- 95b8e858b98f хост 1.1.1.1 SMC User 41E821A0-3720-11E3-AA6E-0800200C9FDE False Adminsh AdminSh

CheckPoint-Post-Add #


Добавить новый хост

Base Command #

CheckPoint-Post-Add

Требуется
Название Имя New Host Требуется
ip_address ip-адрес Обязательно
группы идентификатор группы. Необязательно
session_id Выполнить команду с определенным идентификатором сеанса Обязательно
ignore_warnings Следует ли игнорировать предупреждения при добавлении узла. Необязательный
ignore_errors Следует ли игнорировать ошибки при добавлении хоста. Дополнительные
Вывод контекста #
тип Описание .Host.name string Имя объекта String объект UID CheckPoint.host.type String Type Checkpoint.host. Доменное имя string Доменное имя 9 Строка Домен UID CheckPoint. host.domain-Type String Домен Тип Пропускной пункт.Host.creator String Указывает создатель объекта CheckPoint.host.last-модификатор String Указывает последний пользователь MODECTION TORD Checkpoint.host.ipv4-адрес Строка IP-адрес CheckPoint.host.ipv6-адрес IP-адрес IP-адрес Checkpoint.host.read - всего String Указывает, что объект читается только Пропускной пункт.Host.groups String Сборник групповых идентификаторов

! CheckPoint-Post-Добавить имя = test_host_1 ip_address = 18.18.18.18 session_id = gfcjq9n-zv8eg33qc4wq7d4zmdsnvk_l3gcnouqo8ew

Человеческий читаемый выход #

Данные контрольной точки для добавления хоста: #

9015
Имя UID тип Domain-name Domain-uid Creator Last-Modifier IPv4-адрес Читатель только
Test_Host_1 7290F66A-FDD4-40FB-A639-774E3F387113 Host 41E821A0-3720-11-11E3-AA6E-0800200C9FDE AdminSh Adminshysh 18. 18.18.18 TRUE

CheckPoint-Post-Update #


Обновление изменений хоста

Base Command #

CheckPoint-Post-Update

вход #
Имя аргумента Описание Требуется
Идентификатор Уникальный идентификатор объекта или название Требуется
IP_Address IPv4 или IPv6. Дополнительно
new_name Новое имя объекта. Дополнительно
комментарии Строка комментариев. Необязательно
ignore_warnings Применить изменения, игнорируя предупреждения. Необязательный
ignore_errors Применить изменения, игнорируя ошибки. Вы не сможете опубликовать такие изменения.
Если флаг ignore-warnings был опущен - предупреждения также будут игнорироваться.
Дополнительно
группы Коллекция идентификаторов групп. Необязательно
session_id Выполнить команду с определенным идентификатором сеанса Обязательно
ignore_warnings Следует ли игнорировать предупреждения при добавлении узла. Необязательный
ignore_errors Следует ли игнорировать ошибки при добавлении хоста. Дополнительные
Вывод контекста #
тип Описание .Host.name string Имя объекта String объект UID CheckPoint. host.type String Type Checkpoint.host. Доменное имя string Доменное имя 9 Строка Домен UID CheckPoint.host.domain-Type String Домен Тип Пропускной пункт.Host.creator String Указывает на создатель объекта CheckPoint.host.last-модификатор String Указывает последний пользователь измененный объект CheckPoint.host.ipv4-адрес String IP-адрес CheckPoint.Host.только для чтения Boolean IP-адрес CheckPoint.Host.group-name String связан с именем хоста CheckPoint.host. group-uid Строка Название объекта
Пример команды #

! Identifier CheckPoint-Phost_Id = GFCJQ9N-ZV8EG33QC4WQ7D4ZMDSNVK_L3GCNOUQO8EW

Контекстный пример #
Человек для чтения человека #

Адрес Последний модификатор Read-To- 11C194C4-DB5F-46DE-A9E2-95B8E858B98F Host Host 41E821A0-3720-11E3-AA6E-0800200C9FDE Adminsh 1.1.1.1 Adminsh False


Удалить хост

Base Command #

CheckPoint-Post-Host-Delete

вход #
Аргумент Имя Описание Обязательный
идентификатор uid или имя. Необходимое
session_id Выполнение команды с конкретным идентификатором сеанса Обязательный
Контекст Выходной #
Путь Тип Описание
КПП.Host.message String Строка работы
Пример команды #

! CheckPoint-Phower-delete Идентификатор = host_test session_id = gfcjq9n-zv8eg33qc4wq7do8ew

Контекстный пример #
. Данные контрольной точки для удаления Host_test: #

Checkpoint-prog Prog точка-группа #


Показать список всех групп

Base Command #

CheckPoint-Progropp-Piret-Piret

вход #
5 9016 9
Тип
Аргумент Имя Описание Обязательное
limit Максимальное количество возвращаемых результатов. Необязательный
смещение Количество результатов, которые нужно сначала пропустить. Дополнительные
Security_id Выполнить команду с определенным сеансом ID Дополнительно
Путь Описание
CheckPoint.Group.name String имя объекта
CheckPoint.Group.uid String объект UID
String Тип объекта
Пример команды #

!

Контекстный пример #
Человеческий читаемый вывод #

группа group10 cf069504-5ea5-4eb2-9b97-ccdc500db118 группа group9 c4635886-15c9-4416-8160-5c70d68462cd группа group_test 35a46b01- 47f5-496f-9329-d55c7d2ab083 группа Group_test_for_demisto 1deaead0-136c-4791-8d58-9229c143b8c5 68 Группа

Checkpoint-prog точка-get #


Получить все данные данной группы

Базовая команда #

CheckPoint-Project-Group-Get

вход #
Имя аргумента Описание Требуется Идентификатор EID или имя Требуется Security_ID Выполнить команду с определенным сеансом ID Дополнительные
Контекст Выход №
Путь Тип Описание
1 9point. Group.name Строка Имя объекта.
CheckPoint.Group.uid Строка UID объекта.
CheckPoint.Group.type String Тип объекта.
CheckPoint.Group.domain-name String Имя домена.
CheckPoint.Group.domain-uid Строка UID домена.
CheckPoint.Group.domain-type String Тип домена.
CheckPoint.Group.creator String Создатель объекта.
CheckPoint.Group.last-modifier Строка Пользователь, который последним изменил объект.
CheckPoint.Group.только для чтения Булево значение Указывает, доступен ли объект только для чтения.
CheckPoint.Group.ipv4-адрес строка Групповые IPv4-адреса.
КПП.Group. ipv6-address строка Групповые адреса IPv6.
CheckPoint.Group.groups Unknown Сбор идентификаторов групп.
CheckPoint.Group.members.member-ipv4-address строка IPv4-адреса членов группы.
CheckPoint.Group.members.member-ipv6-address строка IPv6-адреса членов группы.
CheckPoint.Group.Members.member-domain-name string Доменное имя членов группы.
CheckPoint.Group.members.member-domain-uid строка UID домена членов группы.
CheckPoint.Group.members.member-domain-type строка Тип домена членов группы.
CheckPoint.Group.members.member-name string Имя члена группы.
КПП.Group.members.member-uid string UID члена группы.
CheckPoint. Group.members.member-type строка Тип члена группы.
Пример команды #

! ! CheckPoint-Project Group-Get Identifier = group_test

Контекстный пример #
Человек для читаемого человека #

Checkpoint для Group_test Группа: #

Имя UID Тип Доменное имя Domain-UID Creat-Soit Creator
GROUP_TEST 35A46B01-47F5-496F-9329-D55C7D2AB083 Group SMC Пользователь 41E821A0-3720-11-11-AA6E-0800200C9FDE Adversh Adminsh Adminsh

Checkpoint-prog точка-группа-Добавить #


Добавить группу

Базовая команда #

CheckPoint-product -add

Ввод #
Имя аргумента Описание Обязательно
имя Имя объекта. Должен быть уникальным в домене. Необходимое
session_id Выполнение команды с конкретным идентификатором сеанса Обязательный
Контекст Выходной #
4 CheckPoint.Group.type99 Доменное имя CheckPoint.Group.domain-type
Путь Тип Описание
CheckPoint.Group.name String имя объекта
CheckPoint.Group.uid String uid объекта Неизвестный Type
String
String Домен UID
String domain type
CheckPoint.Group.creator String Указывает создателя объекта CheckPoint. Group.last-модификатор String Указывает на последний пользователь изменен объект
CheckPoint.group.read - всего Boolean Указывает, является ли объект чтения
Checkpoint.group.groups -Нам Неизвестный Группы Название
Пример команды #
! CheckPoint-proug - Добавить имя = Test_Group_1 Session_ID = GFCJQ9N-ZV8EG33QC4WQ7DO8ew

Контекстный пример #
Человек для чтения человека #

Данные для добавления Группы: #

Создатель Domain-name Домен-модификатор Имя Имя
UID
Adminsh SMC User 41E821A0 -3720-11e3-aa6e-0800200c9fde adminsh test_group_1 группа 11e751 DA-A0E7-499A-BCDE-5BC638C73FB5

CheckPoint-Prog точка-группа-обновление #


Обновление группы Объект

Base Command

CheckPoint-Project-update

вход #
Имя аргумента Описание Обязательный
идентификатор идентификатор пользователя или имя. Обязательный
new_name Новое имя группового объекта Необязательный
комментарии Комментарии строка. Необязательно
ignore_warnings Применить изменения, игнорируя предупреждения. Необязательный
ignore_errors Применить изменения, игнорируя ошибки. Необязательно
session_id Выполнить команду с определенным идентификатором сеанса Обязательно
Члены Набор сетевых объектов, идентифицированных по имени или UID. Дополнительные
Checkpoint.group.name String Название объекта CheckPoint. Group.uid String uid объекта CheckPoint.Group.type String тип объекта1 9int.Group.domain-name string Доменное имя Checkpoint.group.domain-uid String Домен UID CheckPoint.group.domain типа Строка Домен Checkpoint.group.creator String Указывает создатель объекта CheckPoint.group.last-модификатор String Указывает, что пользователь LASR Modificed объект.Group.read - всего Boolean Указывает, что объект читается только
Пример команды #

! CheckPoint-Project Identifield Identifier = GROUP_TEST SESSIC_ID = GFCJQ9N-ZV8EG33QC4WQ7D4ZMDSNVK_L3GCNOUQ76EW

Человеческий читаемый выход #

Checkpoint Данные для обновления Группы: #

ложные
UID Type Domain-name Domain-uid Creator Last-Modifier
group_test 35a46b01-47f5-496f-9329-d55c7d2ab083 группа SMC пользователя 41e821a0-3720-11e3-aa6e-0800200c9fde adminsh adminsh

checkpoint-group-delete#


удалить групповой объект

Базовая команда#

проверить Point-Group-Delete

Идентификатор Требуется
Session_Id Execute Command с определенной сессией ID Требуется
Описание Checkpoint. Group.message String Работа MASSEGE
Пример команды #

! Данные контрольно-проточных пунктов для удаления Group_test: #

Checkpoint-Address-And - список #


список всех диапазонов адресов Объекты

Base Command #

CheckPoint-Address-And - Liste

вход #
5 9016 9
Тип
Имя аргумента Описание Обязательный
limit Максимальное количество возвращаемых результатов. Необязательный
смещение Количество результатов, которые нужно сначала пропустить. Дополнительные
Security_id Выполнить команду с определенным сеансом ID Дополнительно
Путь Описание
CheckPoint. AddressRange.name Строка Имя объекта
Контрольная точка.AddressRange.uid String Uid объекта
CheckPoint.AddressRange.type String Тип объекта.
Пример команды #

!

! 5

Контекстный пример #
Человеческий читаемый выход #

Данные контрольной точки для всех диапазонов адресов: #

1 имя UID тип address_range_1 d4543195-8744-4592-906e-1cdcd534a564 адрес диапазона address_range_test 26887214-d639-4acd-ab48-508d900cdfc2 адресно диапазон address_range_test_1 46800cfe-e3ff-4101-867c-27772ade9d72 адрес диапазона All_Internet f90e0a2b-f166-427a-b47f-a107b6fe43b9 адрес диапазона LocalMachine_Loopback 5d3b2752-4072-41e1-9aa0-488813b02a40 диапазон адресов

адрес контрольной точки SS-Range-Добавить #


Добавить адресный диапазон объекта

Базовая команда #

CheckPoint-Address-range-Добавить

вход #
Имя аргумента Описание Обязательно
имя имя объекта Обязательно
ip_address_first Первый IP-адрес в диапазоне. Обязательно
ip_address_last Последний IP-адрес в диапазоне. Обязательно
set_if_exists Если другой объект с таким же идентификатором уже существует, он будет обновлен. Необязательно
ignore_warnings Применить изменения, игнорируя предупреждения. Необязательный
ignore_errors Применить изменения, игнорируя ошибки. Необязательно
session_id Выполнить команду с определенным идентификатором сеанса Обязательно
groups Коллекция идентификаторов групп. Дополнительный
Checkpoint.addressrange. name String Название объекта CheckPoint.AddressRange.uid String uid объекта CheckPoint.AddressRange.type String тип объекта164164164164164164164CreateRange.domain-name string Доменное имя Checkpoint.addressrange.domain-uid Строка Домен UID CheckPoint.addressrange.domain типа Строка Домен Тип CheckPoint.AddressRange.IPV4-адрес - сначала String IPv4 адрес в диапазоне Checkpoint.addressrange.ipv4-адрес - 20169 String Последний IPv4 адрес в диапазоне Пропускной пункт.CDREDRANGE. IPV6-ADRADE-FORRARD String Первый IPv4 Адрес в диапазоне CheckPoint.addressRange.ipv6-Address-Address-Last String Последний IPv6 Адрес в диапазоне CheckPoint.addresrange. только для чтения Логическое значение Указывает, доступен ли объект только для чтения. CheckPoint.AddressRange.creator String Указывает создателя объекта CheckPoint.Addredrange.last-модификатор String Указывает последний пользователь измененный объект CheckPoint.addressrange.Группы String Имя группы объекта
Пример #

! Адрес-диапазон - Добавить имя = address_range_test_2 ip_address_first = 8.8.8.8 ip_address_last = 9.9.9.9 session_id = gfcjq9n-zv8eg33qcc4wq7do8ew

Имя UID UID Тип Доменное имя Domain-uid Creator IPv4-Address-First IPv4-Address-Address-Last Last-Modifier READ-TOME адрес_диапазон_тест_2 4fb8174d-89db-42f8-88b8-525c8fe818be адрес-диапазон S Пользователь MC 41e821a0-3720-11e3-aa6e-0800200c9fde adminsh 8. 8.8.8 9.9.9.9 9.9.9.9 Adminsh TRUEST

CheckPoint-Address-Angine-Update #


Обновление адресов Ассортимент объекта

Базовая команда #

Обновление

5 9016 9 9016
Требуется
Идентификатор UID или имя. Обязательно
ip_address_first Первый IP-адрес в диапазоне. IPv4 или IPv6 адрес. Дополнительно
ip_address_last Последний IP-адрес в диапазоне. IPv4 или IPv6 адрес. Дополнительно
new_name Новое имя объекта. Дополнительно
комментарии Строка комментариев. Необязательно
ignore_warnings Применить изменения, игнорируя предупреждения. Необязательный
ignore_errors Применить изменения, игнорируя ошибки. Дополнительно
группы Коллекция идентификаторов групп. Дополнительные
Security_id Security Command Требуется
Путь Описание
КПП.CreateRange.name String Имя объекта
CheckPoint.addressrange.UID EID
CheckPoint.addressrange.type String Тип объекта
Checkpoint.addresrange. domain-name String domain name
CheckPoint.AddressRange.domain-uid String uid домена
CheckPoint. ChangeRange.domain типа string Домен Тип домена
CheckPoint.addressrange.ipv4-адрес - первая String Первый IPv4 Адрес в диапазоне
CheckPoint.addressRange.ipv4-адрес - последние String Последний IPv4-адрес в диапазоне
CheckPoint.AddressRange.ipv6-address-first String Первый IPv4-адрес в диапазоне
CheckPoint.68AddressRange.ipv6-address-last String Последний IPv6-адрес в диапазоне
CheckPoint.AddressRange.read-only Boolean Указывает, доступен ли объект только для чтения.
Checkpoint.addressrange.Groups Строка Список всех групп Адрес Адрес связан на
Пример команды #

! Идентификатор CheckPoint-Address-And Update = Address_Range_test Layer = Network Session_ID = GFCJQ9N-ZV8EG33QC4WQ7D4ZMDSNVK_L3GCNOUQO8EW

9010EW

.

.
Creator Последний модификатор-4ACD-AB48-508D900CDFC2 Address-range SMC User 41E821A0-3720-11E3-AA6E 0800200c9fde adminsh adminsh false

КПП Диапазон-удаление #


Удалить данный диапазон адресов

Базовая команда #

Checkpoint-Address-range-Delete

вход #
Имя аргумента Описание Требуется
Идентификатор Имена объекта или UID Требуется
Security_id Execute Command с определенным сеансом ID
Вывод контекста #
Путь Тип Описание
Контрольная точка. CDDREDRANGE.Message String Строительный статус
Удаление команды #

! CheckPoint-address-range-delete Identifier = address_range_test session_id = gfcjq4n-zv8eg33qccnouq7d4zmdsnvk_l3gcnouqo8ew

Например #

Данные контрольной точки для удаления диапазона адресов: #

Checkpoint-Prange-indector-list #


Список всех показателей угроз

Base Command #

CheckPoint-resign-index-list

вход #
Имя аргумента Описание Требуемый Максимальное количество возвращаемых результатов Дополнительно смещение Пропустить такое количество результатов, прежде чем начать их возвращать. Дополнительные Security_id Выполнить команду с определенным сеансом ID Дополнительно5 9016 9
Путь Тип Описание CheckPoint. ThreatIndicator.Название string Название объекта CheckPoint.ru String String5
Пример команды #

! Лимит контрольно-пропускных пунктов-точек-индикатор-индикатор-листик = 5

Контекстный пример #
Человеческий читаемый вывод #

Данные контрольной точки для всех индикаторов угроз: #

1 9016
Имя UID типа
Мой_Индикатор! a40ec97c-e286-474b-bff7-b922e3b3294d угроза индикатор
test_indicator 3e6a22c0-0416-4a2d-b7c0-f81df12916e1 угроза индикатор
threat_test_1 88e502f1-2bd5-4ad4- ba6b-dbbb2fef8260 угроза индикатор
threat_test_2 f34c89f1-b18f-4cf2-b2bb-672462178b9d угроза индикатор
threat_test_3 ee17772c-94aa-4e42-93e4-f0ba49de339b угроза индикатор

Checkpoint-Presuck-inductor-Get #


Получить данные для данного списка индикатор

Base Command #

CheckPoint-resign-indughtator-Get

вход #
901 68 объекта UID или название
Аргумент Имя Описание Обязательный
идентификатор Требуется
Security_id
Security Command с определенным сеансом ID дополнительно
9015
Строка 9069
Путь тип
КПП. PumpingIndicator.name String Имя объекта
String
String Type
CheckPoint.ThicleationIndicator. domain-name String Доменное имя
CheckPoint.ThreatIndicator.domain-uid String uid объекта
CheckPointDegingindicator.domain-type Неизвестный Домен Тип
Creator
CheckPoint.ru
String Указывает последний пользователь измененный объект
CheckPoint.ThreatIndicator.только для чтения Логическое значение Указывает, доступен ли объект только для чтения.
Пример команды #

! CheckPoint-Presuck-inductor-Get Identifier = respeat_test_1

Пример контекста #
Человеческий читаемый вывод #
Название
UID Тип Тип Домен-имя Domain-uid Creat-To- Creator Mode-Modifier Номер наблюдается
Repact_Test_1 88E502F1-2BD5 4AD4-BA6B-DBBB2FEF8260 SMC-индикатор 41E821A0-3720-11E3-AA6E-0800200C9FDE False Adminshysh 1

Checkpoint-Project #


Добавить индикатор угрозы

Базовая команда#

Checkpoint-threat-indicator-add

901 06 ввода #
9
Имя Требуется
Наблюдаемые наблюдаемые Индикатор наблюдается или содержимое файла, содержащего наблюдаемые индикатора. Необходимое
session_id Выполнение команды с конкретным идентификатором сеанса Обязательный
Контекст Выходной #
Путь Тип Описание
CheckPoint.ThreatIndicator.task-id Строка Уникальный идентификатор асинхронной задачи.
Пример команды #

! ! Обновление #


Обновление данного индикатора

базовая команда #

CheckPoint-resign-inductor-update

Имя аргумента Описание Требуется идентификатор uid или имя. Обязательный действие устанавливаемое действие. Дополнительно new_name Новое имя объекта. Дополнительно комментарии Строка комментариев. Дополнительные Security_id Security Command Требуется5 9016 9 9016
Путь Описание КПП.PumpingIndicator.name String Имя объекта String String Type CheckPoint.ThicleationIndicator. action String Действие индикатора. CheckPoint.ThreatIndicator.domain-name Строка доменное имя CheckPoint. PumpingIndicator.Domain-UID String Домен UID Строка Тип домена CheckPoint.THRAEATIDIDICATOR.CREATOR String Указывает создатель объекта CheckPoint.ThreatIndicator.last-modifier Строка Указывает, что последний пользователь изменил объект CheckPoint.ThreatIndicator.только для чтения Логическое значение Указывает, доступен ли объект только для чтения.
Пример команды #
! Идентификатор CheckPoint - resiture-indevice_id = GFCJQ9N-ZV8EG33QC4WQ7D4ZMDSNVK_L3GNOUQO8EW

Например #

.

Имя UID типа Domain Domain Domain-uid Creator Read-Modifier
88E502F1-2BD5-4AD4- ba6b-dbbbb2fef8260 Угроз-индикатор SMC User 41E821A0-3720-11E3-AA6E-0800200C9FDE AdminSh Adminsh Adminsh FALSE

CheckPoint-Address-And - Get #


вся дата данного объекта диапазона адресов

Base Command#

checkpoint-addre SS-Range-Get

вход #
9
Требуется
Идентификатор UID или имя объекта Требуется
Session_id Выполнить команду с определенной сессией ID Дополнительные
Путь Описание Checkpoint. CreateRange.name String Имя объекта CheckPoint.addressrange.UID EID CheckPoint.addressrange.type String Тип объекта Checkpoint.addresrange. domain-name String domain name CheckPoint.AddressRange.domain-uid String uid домена CheckPoint.CreateRange.domain-type string Домен Домен Тип The CheckPoint.addressrange.groups-name Строка Название группы Объект группы CheckPoint.addressrange.groups-uid Строка Групповой объект UID связан с текущим хостом объектом

15

! CheckPoint-Adder-And - Get Identifier = address_range_test

Контекстный пример #
Человеческий читаемый вывод #

данные контрольной точки для Address_Range_test Адрес Адрес: #

Имя UID Type Domain-uid READ-TOME создатель
Address_range_test 26887214 -d639-4acd-ab48-508d900cdfc2 диапазон адресов Пользователь SMC 41E821A0-3720-11-3-AA6E-0800200C9FDE False Adminshysh AdminSh

Удалить индикатор угроз

базовая команда #

Индикатор-удаление

вход #
Идентификатор Требуется Security_id Выполните команду с определенной сессией ID Требуется 9016 9
Путь Описание Checkpoint. PumpingIndicator.message String Операция Статус
Пример команды #

! CheckPoint-resign-indextator-delete Идентификатор = GFCJQ9N-ZV8EG33QC4WQ7D4ZMDSNVK_L3GCNOUQO8EW

Например #

Статус CheckPoint для удаления индикатора Threat_Test_1:#

checkpoint-access-rule-list#


Показывает весь уровень правил доступа.Этот слой разделен на секции. Правило доступа может находиться внутри раздела или быть независимым от раздела.

Base Command #

CheckPoint-Poject-Access-правил

Описание Идентификатор Название объекта или uid Required limit Максимальное количество возвращаемых результатов. Необязательный смещение Количество результатов, которые нужно сначала пропустить. Дополнительные Security_id Выполнить команду с определенным сеансом ID Дополнительно5 9016 9
Путь Тип Описание CheckPoint.AccessRule.name Строка Имя объекта. CheckPoint.AccessRule.uid Строка UID объекта. CheckPoint.AccessRule.type Строка Тип объекта. CheckPoint.AccessRule.ipv4-address String IPv4-адрес указанного объекта. CheckPoint.AccessRule.ipv6-address String IPv6-адрес указанного объекта. КПП.AccessRule.domain-name String Имя домена. CheckPoint.AccessRule.domain-uid Строка UID домена. CheckPoint.AccessRule.creator Строка Создатель объекта. CheckPoint.AccessRule.last-modifier Строка Пользователь, который последним изменил объект. CheckPoint.AccessRule.только для чтения Булево значение Указывает, доступен ли объект только для чтения. CheckPoint.AccessRule.groups Неизвестно Коллекция идентификаторов групп.
Пример команды#

!checkpoint-access-rule-list идентификатор=Ограничение сети=5

60DD10 править
Имя UID типа
6521B7B9-D340-44EC-A104-17D5EA669BC0 Access-Paure
BB6016E3-36E8-4214-B17F-8
test_access_rule_8 0c71cc44-a5ad-43cd-9af0-79e5f153f62f доступа правило
Отсутствует c44add02-0f02-4b29-8ab3-d5ac687d31f7 доступа правило
est_access_rule e5bc5918-7155-493e-89ce-5562586d3acc правило доступа

checkpoint-access-rule-add#


Создать новое правило доступа E

Base Command #

Checkpoint-poact-accity-add

Требуется 5 9016 9 9016
слой слой что правило принадлежит идентифицируемому по имени или UID. Обязательный
Позиция Позиция в базе правил. Обязательно
имя Имя правила. Дополнительно
действие Настройки действия. допустимые значения: Accept, Drop, Apply Layer, Ask и Info. значение по умолчанию — Отбросить. Дополнительно
vpn Сообщества или направления. Допустимые значения: Any, All_GwToGw. Необязательный
пункт назначения Коллекция сетевых объектов, идентифицируемых по имени или UID. Дополнительно
служба Коллекция сетевых объектов, идентифицируемых по имени или UID. Необязательный
источник Коллекция сетевых объектов, идентифицируемых по имени или UID. Дополнительные
Security_id Security Command Требуется
Путь Описание
КПП. AccessRule.name Строка Имя объекта
String объект UID
String Тип объекта
Checkpoint.accessrule. domain-name String domain name
CheckPoint.AccessRule.domain-uid String domain uid
CheckPoint.AccessRule.domain-type String domain type
CheckPoint.AccessRule.enabled Boolean Включить/выключить правило.
CheckPoint.AccessRule.layer Строка Слой, которому принадлежит правило, определяется по имени или UID.
CheckPoint.AccessRule.creator Строка Указан создатель объекта
CheckPoint.AccessRule.Last-Modifier String Указывает последний пользователь Modofied Object
Пример команды #
! CheckPoint-Access-Access-Image Добавить имя = Test_access_Rule Layer = Сетевое положение = Top Session_ID = GFCJQ9N-ZV8EG33QC4WQ7DO8EW

Контекстный пример #
Человек для читаемого человека #
создатель последний модификатор test_access_rule a9f00b65-bb3b-4548-b06a-6c5672df6c8b доступа правило SMC пользователя 41e821a0-3720-11e3-aa6e-0800200c9fde верно c0264a80-1832-4fce-8a90-d0849dc4ba33 adminsh adminsh

проверить point-access-rule-update#


Редактировать существующее правило доступа, используя имя объекта или uid.

Base Command #

CheckPoint-access-accept-update

Требуется
Имя аргумента Описание Требуется
Идентификатор Название объекта или uid, ИЛИ номер правила Обязательный
слой Слой, которому принадлежит правило, определяется по имени или UID. Обязательно
действие действие, которое необходимо выполнить для правила Необязательно
включено Включить/отключить правило. Дополнительно
new_name Новое имя объекта. Необязательный
new_position Новая позиция в базе правил. Значение может быть int для установки конкретной позиции, а не str- 'top' или 'bottom' Необязательный
ignore_warnings Применить изменения, игнорируя предупреждения. Дополнительные
Применить изменения, игнорируя ошибки Дополнительные
Security_id Security Command с определенным сеансом ID
Вывод контекста #
685
Путь Тип Описание
Контрольная точка.AccessRule.name Строка Имя объекта
String объект UID
String Тип объекта
Checkpoint.accessrule. action-name String action name
CheckPoint.AccessRule.action-uid String action uid
CheckPoint.AccessRule.action-Type Неизвестный Действие
CheckPoint. Accessrule.action-Domain Name String Действие Доменное имя
CheckPoint.accessrule.Content-Direction String в каком направлении применяется обработка типов файлов.
CheckPoint.AccessRule.domain-name Строка доменное имя
CheckPoint.AccessRule.Domain-uid String Домен UID
Строка Домен Тип
CheckPoint.accessrule.enabled Boolean Включить / отключить правило.
CheckPoint.AccessRule.layer Строка Слой, которому принадлежит правило, определяется по имени или UID.
CheckPoint.AccessRule.creator String Указывает создателя объекта
CheckPoint.AccessRule.last-modifier String Указывает, что последний пользователь изменил объект session_id = gfcjq9n-zv8eg33qc4wq7d4zmdsnvk_l3gcnouqo8ew

4

UID
Действие Action-UID Action-Type Diage-Tire Содержание Создатель Включен Последний модификатор
None 7867E584-0E68-42B4-BA18-2DD16CDBD436 правило доступа Пользователь SMC 41e821a0-3720-11e3-aa6e-0800200c9fde Удаление 6c488338-8eec-4103- Ad21-CD461AC2C473 любой AdminSh TRUEST TRUEST

CheckPoint-Process-Electret-Delete #


Удалить Access Правило

Base Command #

Правила-Удаление

вход #
Требуется Идентификатор UID, имя или номер правила. Обязательный Слой Слой, которому принадлежит правило, определяется по имени или UID. Необходимое session_id Выполнение команды с конкретным идентификатором сеанса Обязательный
Контекст Выходной #
Путь Тип Описание
Контрольная точка.AccessRule.Сообщение Строка Строка Статус работы
Пример команды #
! CheckPoint-pair.02-0e68-42B4-BA18-0E68-42B4-BA18-0E6CDBD436 Слой = сеть SESSE_ID = GFCJQ9N-ZV8EG33QC4WQ7D4ZMDSNVK_L3GCNOUQO8EW

Example#
Человекочитаемый вывод#

Данные контрольной точки для удаления диапазона правил доступа: 7867e584-0e68-42b4-ba18-2dd16cdbd436#

checkpoint-application-site-list#

Базовая команда #

Checkpoint-Priente-сайт-сайт

Требуется предел Максимальный количество возвращаемых результатов. Дополнительный смещение Количество результатов на начальном этапе пропускать Дополнительный session_id Выполнить команду с конкретным идентификатором сеанса Дополнительный
Контекст Выходной #
Путь Тип Описание
Контрольная точка.Приложения. Имя Строка Имя объектов
String
STRING Объекты Тип
Пример команды

! CheckPoint-Private-сайт-сайт Лимит = 5

Контекстный пример #
Человеческий читаемый вывод #

Данные контрольной точки для всех баз правил доступа: #

0test_application_site_10
Имя UID
#hashtags 00fa9e3C-36EF-0F65-E053-089 Application-сайт
050 Plus 00fa9e44-4035-0F65-E053-08241DC22DA2
446cff2c-7e1f-4dbc-a943-66740e890d67 сайт приложения
1000keyboards 00fa9e3d-a077-0f65-e053-08241dc22da2 приложений на сайте
1000memories 00fa9e43-56d7-0f65-e053-08241dc22da2 приложений на сайте

контрольно-пропускной пункт приложения сайта -Дады #


Добавить приложение сайт

Base Command #

CheckPoint-Priente-сайт-Добавить

9061 : URL-адреса, которые определяют это конкретное приложение.
application-signature(str): Подпись приложения, созданная инструментом подписи.
CheckPoint.ApplicationSite.application-id
Имя аргумента Описание Требуется
имя Имя объекта. Должно быть уникальным в домене Required
primary_category Каждое приложение относится к одной первичной категории на основе его наиболее определяющего аспекта Required
идентификатор Обязательно
session_id Выполнить команду с определенным идентификатором сеанса Обязательно
groups Коллекция идентификаторов групп. Дополнительный
Строка Название объекта
CheckPoint.ApplicationSite.uid String uid объекта
CheckPoint. ApplicationSite.type String тип объекта Number ID приложения
CheckPoint.ApplicationSite.description String Описание приложения.
CheckPoint.applationsite.Domain Name Строка Доменное имя
String Домен UID
Checkpoint.Applicationsite.domain типа доменное имя
CheckPoint.ApplicationSite.url-list String URL-адреса, определяющие это конкретное приложение.
CheckPoint.applationsite.Creator String Указывает создатель объекта
String Указывает последний пользователь Модифицированный этот объект
Checkpoint.Applicationsite . groups Unknown Коллекция идентификаторов групп
Пример команды#

Co "session_id =" teak9kwnz9dhql9hyp5ir4azew1mrkdpjw3lrnxvp88 "

"

«Человеческий читаемый выход #

Данные контрольной точки #

Данные контрольной точки для добавления приложений сайта: #

Application-ID Creator Domain-name Domain-uid Последний модификатор Имя типа UID
9
0
9 41E821A0-3720-11E3-AA6E-0800200C9FDE AdminShysh Test_aplication_site_1 сайт приложений 452f6cff-e7fb-47b8-abfe-53c668dc0038 qmasters.co

checkpoint-application-site-update#


Редактировать существующее приложение, используя имя объекта или идентификатор пользователя. Невозможно установить «подпись приложения», когда приложение было инициализировано с помощью «списка URL-адресов» и наоборот.

Base Command #

Checkpoint-Priente-сайт-Обновление

Имя аргумента Описание Требуется Идентификатор UID или имя. Обязательно описание Описание приложения. Необязательный primary_category Каждому приложению назначается одна первичная категория на основе его наиболее определяющего аспекта. Дополнительно application_signature Подпись приложения, созданная с помощью Signature Tool. Дополнительно new_name Новое имя объекта. Необязательный urls_defined_as_regular_expression Указывает, определен ли URL как регулярное выражение или нет. Дополнительно url_list URL-адреса, которые определяют это конкретное приложение. Это заменит текущую коллекцию URL-адресов. Необязательный url_list_to_add Добавляет в набор значений. Необязательный url_list_to_remove Удаляет из набора значений. Дополнительно группы Коллекция идентификаторов групп. Может быть отдельной группой или списком групп. Дополнительные Security_id Security Command Требуется5 9016 9 9016
Путь Описание КПП.Prikementite.name String Название объекта String объект UID CheckPoint. Applicationsite.type String Объект TY [E Checkpoint. ApplicationSite.application-id Number ID приложения CheckPoint.ApplicationSite.description String Описание приложения. CheckPoint.applationsite.Domain Name Строка Доменное имя String Домен UID Checkpoint.Applicationsite.domain типа тип домена CheckPoint.ApplicationSite.url-list String URL-адреса, определяющие это конкретное приложение. КПП.ApplicationSite.groups String Коллекция идентификаторов групп CheckPoint.ApplicationSite.primary-category String Объекты первичной категории. 9069
Пример команды #

!

! CheckPoint - Application-Site-Update Identifier = Test_Application_site Session_qCC4WQ7D4ZMDSNVK_L3GNOUQO8EW

Пример контекста #
.
#
Имя UID Тип Application-ID ID URL-ID URL-List Domain Domain Domain-uid
Test_Application_site CCC788D1-B798 -4e5c-8530-a6c375853730 сайт приложения 1073741861 Категория теста qmasters.co Пользователь SMC 41e821a0-3720-11e3-aa6e-0800200c9fde

checkpoint-application-site-delete#


90

Базовая команда #

Checkpoint-Prient - сайт-удаление

0 Имя аргумента Описание Требуется Идентификатор UID или Name Object Требуется Security_ID Security Command с определенным сеансом ID требуется15 9016 9 9016
Путь тип Описание КПП. ApplicationSite.message Строка Статус операции.
Пример команды #

!

! Test_applying_site Session_ID = GFCJQ9N-ZV8EG33QC4WQ7D4ZMDSNVK_L3GNOUQ7D4ZMDSNVK_L3GNOUQ7D4ZMDSNVK_L3GCNOUQ7EW

Например #

Данные контрольной точки #

Данные контрольной точки для удаления приложений Сайт: test_application_site #

Checkpoint-publish #


Опубликовать изменения

Базовая команда #

Checkpoint-publish

Имя аргумента Описание Требуется session_id Выполнить команду с конкретным идентификатором сеанса Необходимое
Контекст Выходной #
Путь 901 51 9069
Тип Описание
КПП. Publish.task-id String Идентификатор задачи команды публикации.
Пример команды #

! CheckPoint-publics Session_id = GFCJQ9N-ZV8EG33QC4WQ7D4ZMDSNVK_L3GCNOUQO8ew

Например #

. ID

01234567-89AB-CDEF-9338-E44DF5384AC3

Checkpoint-Policy Policy #


Intsalling Policy

Базовая команда #

CheckPoint-Policy

Вход
5 9016 9 9016
Имя аргумента Описание Требуется
Policy_package Название пакета политики для установки. Обязательно
цели На каких целях выполнять эту команду. Цели могут быть идентифицированы по их имени или уникальному идентификатору объекта. Обязательно
access Установите значение true, чтобы установить политику контроля доступа. Дополнительные
Security_id Security Command Требуется
Путь Описание
КПП.InstallPolicy.task-id Строка Идентификатор задачи операции.
Пример команды #
: #
6733233323

Task-ID
D461078B-CC1E-41B6-869B-0

CheckPoint-Progify-Policy #


проверяют политику выбранного пакета.

Базовая команда #

Checkpoint-Progify-Policy

Требуется Policy_Package Пакет политик, который необходимо установить. Необходимое session_id Выполнение команды с конкретным идентификатором сеанса Обязательный
Контекст Выходной #
Путь Тип Описание
КПП.VerifyPolicy.task-id Строка Идентификатор задачи операции.
Пример команды #

!

!

Base Command #

CheckPoint-Phow-Paid -

Требуется Task_id Уникальный идентификатор одного или несколько задач. Необходимое session_id Выполнение команды с конкретным идентификатором сеанса Дополнительный
Контекст Выходной #
Контрольная точка999Showtask.status
Путь Тип Описание
CheckPoint. ShowTask.task-id Строка Идентификатор задачи
CheckPoint.ShowTask.task-name Строка
String Строка задач
CheckPoint.showtask.progress-процент Неизвестный Неизвестен
CheckPoint.showtask.supНажмите Boolean Указывает, что задача подавлена
Пример команды #

! ! Checkpoint-phow-task task_id = 01234567-89AB-CDEF-997F-2E3E3B4B2541

Контекстный пример #
Человеческий читаемый вывод #

данные контрольной точки для задач: #

Task-name Task-ID STATED STATED Прогресс-процент
Операция публикации 01234567-89AB-CDEF-997F-2E3E3B4B2541 SUCEED FALSE 100

checkpoint-login-and-get-session-id#


Войти в CheckP oint и получить сессию ID

Base Command #

CheckPoint-Project-Progert-Project-Progert-Project-ID

ID

Имя аргумента Описание Требуется session_timeout Время истечения срока действия сеанса в секундах. По умолчанию 600 секунд. Диапазон времени ожидания сеанса составляет от 600 до 3600 секунд. Дополнительно домен Имя домена для входа в систему для использования с MDS. Дополнительно
Checkpoint.login.session-ID Строка ID
Пример команды #
Контекст Пример #
Человеческий читаемый вывод #

CheckPoint данные сеанса: #

идентификатор сеанса
LoUhF29pRkJsBiIWlMdBFy1LhHWXzE0VJT_lWpz4v0k

контрольная точка-выход из системы #


Выход из данной сессии

Base Command #

контрольно-пропускной пункт выхода из системы

Input #
90 168 Идентификатор сеанса для выхода из системы
Довод Имя Описание Необходимое
session_id Требуется
Вывод контекста#

Для этой команды нет вывода контекста.

Пример команды #

! Checkpoint-logout Session_id = gfcjq9n-zv8eg33qc4wq7d4zmdsnvk_l3gcnouqo8ew

Например #

OK

OK

CheckPoint-Packages-Список #


Список всех пакетов.

базовая команда #

Checkpoint-packages-list

Требуется предел Максимальное количество Возвращенные результаты Дополнительные Offet Количество результатов Дополнительные Security_ID Выполнить команду с определенным сеансом ID Дополнительные
Выход контекста #
99Packages.domain типа
Путь Тип Описание
Контрольная точка. Packages.name string Название пакета
CheckPoint.packages.uid String UID пакета
CheckPoint.packages.type String Тип пакета
CheckPoint.Packages.domain-name String Доменное имя
CheckPoint.Packages.domain-uid String CheckPoint uid 69
string Домен Домен Тип

! CheckPoint-Packages-List Session_ID = GFCJQ9N-ZV8EG33QC4WQNOUQ7WZMDSNVK_L3GNOUQO8EW

Например #

Checkpoint Данные для всех пакетов: #

Имя UID типа
Benlayer 9DAAC370-AD2D-4A21-A503-A312755Aceaf Package
Standard CA4E32A8-Bee0- 423C-84F0-19BAB6751D5E пакет

Checkpoint-Pointways-list #


извлекают все шлюзы и серверы

базовая команда #

Checkpoint-Gateways-list

вход #
5
Имя аргумента Описание Обязательный 90 108
Limit Максимальное количество возвращенных результатов Дополнительные
Offset Количество результатов на первоначально Skip Дополнительные
Security_ID Security Command с определенным идентификатором сеанса Дополнительные
Вывод контекста #
тип Описание . Gateways.name String Имя шлюза String String CheckPoint.gateways.type String Gateway Type Checkpoint.gateways. версия String Версия шлюза CheckPoint.Gateways.network-security-blades String Блейды сетевой безопасности шлюза CheckPoint.68Gateways.management-blades String Лопасти управления шлюзом String Доменное имя Checkpoint.gateways.domain-UID Строка Домен UID Checkpoint.gateways.domain типа Строка
Пример команды #

! CheckPoint-Gateways-list Session_ID = GFCJQ9N-ZV8EG33QC4WQ7D4ZMDSNVK_L3GCNOUQO8ew

Пример #

Данные контрольно-пропускных пунктов для всех шлюзов: #

1 UID тип версии Management-Blades
GW-88A290 98Bee60F -23ab-bf41-ba29-4c574b9d6f7c CpmiHostCkp R80. 30 Network-Policy-Management: True
Logging-And-Status: True
Test-GW 3B83B6CB-D3CB-4596-8D90-BA9735D7D53C Simple-Gateway R80.30 Брандмауэр : true

checkpoint-application-site-category-list#


Получить все категории сайтов приложений.

Base Command #

Checkpoint-Prient - сайт-категория -

Имя аргумента Требуется
предел Максимальное количество возвращенных результатов Дополнительный
Количество результатов на первоначально пропустить Дополнительные
Security_id Security Command с определенным сеансом ID Дополнительные
Вывод контекста #
1 90. Контрольная точкаApplicationItecategory.name
Путь Тип Описание
String Название пакета
String
Checkpoint.ApplicationsitecuteCategory.type String Тип пакета
CheckPoint.ApplicationSiteCategory.domain-name String Доменное имя
CheckPoint.ApplicationSiteCategory.Domain-uid String Домен UID
Checkpoint.ApplicationsitecuteCategory.Domain-Type Строка Type
Пример команды #

! = 5

Контекстный пример #
Человеческий читаемый вывод #
-48d5-9412-2306dc8e5219
приложений сайт-категория 0new_category_1 13e91cb3-1025-41a5-8203-89e28102f82f приложений сайт-категория 0new_category_2 f49849de-9132-479d-b73a -566c235 категория сайта приложения 0new_category_3 51ebf347-290 F-4D8C-B99D-7ABA73A5698C Application-сайт-категория 0new_Category_4 6B9-099C-41FA-A4C6-1733FF895BAC Application-сайт-сайт

CheckPoint-Private-сайт-категория -Add #


Добавить новое приложение сайта категории

Checkpoint-Priente-сайт-категория-Добавить

вход #
5 9016 9 9016
доменное имя 9016
Пример команды #

! CheckPoint-Application-сайт-категория - Добавить идентификатор = Application_site_Category_0101 Session_l3gwq7d4zmdsnvk_l3gnouqo8ew

Пример #
Читаемый вывод #

Данные контрольной точки для добавления приложений Категория Категория Application_site_category_0101: #

1
Название аргументов Описание Обязательно
идентификатор Имя объекта или uid. Должен быть уникальным в домене. Обязательно
группы Коллекция идентификаторов групп. Дополнительные
Security_id Security Command Требуется
Путь Описание
CheckPoint.ApplicationSiteCategory.Название String Название объекта
CheckPoint.UID.ApplicationsitecuteCategory.UID Строка
String Тип объекта
CheckPoint. Строка Описание приложения.
CheckPoint.ApplicationSiteCategory.domain-name Строка доменное имя
CheckPoint. Применение EdecteCategory.Domain-UID String Домен UID
String
Checkpoint.ApplicationsitecuteCategory.Crator String Указывает создатель объекта
CheckPoint.ApplicationSiteCategory.last-modifier String Указывает, что последний пользователь изменил этот объект
CheckPoint.ApplicationEcategory.Groups Неизвестный Коллекция групповых идентификаторов
Имя UID типа Доменное имя Domain-uid Creator
application_site_category_0101 5fb2e946-7e9c-42dB-8b0a-cf5056f427d8 приложений сайт-категория SMC пользователя 41e821a0-3720-11e3-aa6e-0800200c9fde adminsh adminsh

checkpoint- приложение-сайт -category-get#


Получить объект категории сайта приложения, используя имя объекта или идентификатор пользователя.

Базовая команда #

CheckPoint-Priente-сайт-категория-GET

Требуется
Идентификатор имя объекта категории сайта приложения или UID. Необходимое
session_id Выполнение команды с конкретным идентификатором сеанса Дополнительный
Контекст Выходной #
9016ApplicationitEcategory.read — всего Указывает создатель объекта
Путь Тип Описание
КПП.ApplicationItecategory.name Неизвестный Имя хоста
String
CheckPoint.ApplicationsitecuteCategory.Type Неизвестен Тип объекта
CheckPoint. domain-name String domain name
CheckPoint.ApplicationSiteCategory.domain-uid String uid домена
Boolean Указывает, что объект читается только
CheckPoint.ApplicationsitecuteCategory.Creator String
Checkpoint. String Указывает последний пользователь изменен объект
Пример команды #
! CheckPoint-Priente-сайт-категория - Get Identifier = Алкоголь

Контекстный пример #
Человек для чтения человека #

Данные для добавления приложений Категория сайта: #

5
Имя UID типа Domain-name Domain-uid Read-To- Creator Mode-Modifier
00fa9e44-409e-0f65-e053-08241dc22da2 приложение-сайт- Категория Appi Data 8BF4AC51-2DF7-40E1-9AC51-2DF7-40E1-9BCE-Beedbedbedbedbed System System

Checkpoint-Show-объекты #


извлекают данные о объектах.

Base Command #

CheckPoint-Show-объекты

9015
Описание Требуется
предел Максимальное количество вернул результаты. Необязательный
смещение Количество результатов, которые нужно сначала пропустить. Дополнительно
filter_search Поисковое выражение для фильтрации объектов.Предоставленный текст должен быть точно таким же, как в Smart Console. Логические операторы в выражении («И», «ИЛИ») должны быть указаны заглавными буквами. По умолчанию поиск включает как текстовый поиск, так и поиск по IP-адресу. Чтобы использовать только IP-поиск, установите для параметра «ip-only» значение true. Необязательный
ip_only При использовании «фильтра» используйте это поле для поиска объектов только по их IP-адресу, без использования текстового поиска. Дополнительно
object_type тип объектов, т.е.г.: хост, служба-tcp, сеть, диапазон адресов. Значение по умолчанию объект дополнительно
Security_id Security Command дополнительно
Путь тип Описание CheckPoint.Objects.name Строка Имя объекта. КПП.Objects.uid Строка UID объекта. CheckPoint.Objects.type Строка Тип объекта. CheckPoint.Objects.ipv4-address String IPv4-адрес указанного объекта. CheckPoint.Objects.ipv6-address String IPv6-адрес указанного объекта. CheckPoint. Objects.domain-name String Имя домена. CheckPoint.Objects.domain-uid Строка UID домена. CheckPoint.Objects.creator String Создатель объекта. CheckPoint.Objects.last-modifier Строка Пользователь, который последним изменил объект. CheckPoint.Objects.read-only Boolean Указывает, доступен ли объект только для чтения. КПП.Objects.groups Unknown Коллекция идентификаторов групп.
Пример команды #

! ! CheckPoint-pown-объекты ограничения = 3 filter_search = 1.2.3.4 ip_only = true

Пример контекста #
Человеческий читаемый вывод #
9016B6FE43B9
Имя UID
F90E0A2B-F166-427A-B47F-A107B6FE43B9

5

CheckPoint-Package-Package #

2

сведения о пакетах контрольно-пропускных пунктов.

Базовая команда #

CheckPoint-Package-Package-list

Название аргументов Требуется Идентификатор Объект Уникальный идентификатор или имя. Обязательно session_id Выполнить команду с определенным идентификатором сеанса. Дополнительные
Вывод контекста #
тип Описание .Package.name String Имя пакета. CheckPoint.Package.target-name String Имя цели. CheckPoint.Package.target-uid Строка UID цели. CheckPoint.Package.revision.domain.domain-type String Тип домена. CheckPoint.Package.revision.domain.name String Имя домена. CheckPoint.Package.revision.domain.uid Строка UID домена. CheckPoint.Package.revision.type String Тип ревизии. CheckPoint.Package.revision.uid Строка UID версии.
пример команды #

! Target Name Имя Target-UID Revision Host1 Standard 41E821A0-3720-11-3-AA6E-0800200C9FDE «Домен»: {
"Имя": "Тест ",
"тип домена": "домен",
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
},
"тип": "сеанс",
"uid", "41e821a0-3720 -11e3-aa6e-0800200c9fde"

Облако SIEM для межсетевых экранов Check Point

В этом документе вы узнаете, как настроить Check Point, чтобы позволить клиенту LEA подключаться с использованием аутентифицированного соединения SSL CA или использовать новое решение системного журнала log_exporter, добавленное с R77. 30/R80.10 JH 56.

Если ваш Check Point выше R80.10 с Jumbo Hotfix 56, вы можете использовать новый упрощенный Syslog Exporter вместо установки приложения LEA. Настройка LEA по-прежнему работает ниже для вашей новой Check Point, поэтому вы можете использовать ее, если хотите, однако она требует гораздо большей настройки.

В интерфейсе командной строки Check Point Management Server выполните следующую команду после замены на IP-адрес датчика Blumira, который вы установили.

 cp_log_export добавить имя Целевой сервер Blumira    целевой порт 514 протокол tcp формат cef 

Будет считаны файлы из файлов журналов на сервере управления, фильтрация отправляемых журналов не требуется.

Ссылки:
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk122323#How%20does%20it%20Work
https://community.checkpoint.com/t5/Logging-and-Reporting/ R80-10-Syslog-Exporter/mp/37042
https://сообщество. checkpoint.com/t5/Logging-and-Reporting/Exporting-Check-Point-logs-over-syslog-LogExporter-with-Log/td-p/38410

Необходимая настройка Check Point

Подробный процесс:

  1. Войдите в интерфейс командной строки управления брандмауэром (доступен из веб-интерфейса управления брандмауэром) как пользователь admin и введите следующие команды:
    1. эксперт     (будет запрошен пароль эксперта.)
    2. grep auth_type $FWDIR/conf/fwopsec.конф
    3. , если вывод grep показывает «lea_server auth_type sslca», вы можете перейти к шагам SmartConsole.
    4. echo 'lea_server auth_type sslca' >> $FWDIR/conf/fwopsec.conf
    5. cpstop; cpstart     (Это приведет к простою, и ваша консоль может быть отключена.)
  2. Запустите SmartConsole и выполните следующие действия. (Загрузите его из веб-интерфейса управления брандмауэром, если вы еще этого не сделали.)
    1. В раскрывающемся меню «Объекты» выберите Дополнительные типы объектов → Сервер → Приложение OPSEC → Новое приложение. ..
    2. Выберите имя для объекта LEA (только буквы, цифры, символы подчеркивания и дефисы).
    3. В раскрывающемся меню хоста выберите хост, на котором работает датчик. Если его там нет, нажмите «Создать» рядом с полем «Хост», чтобы создать новый хост. Предупреждение об ошибке: после создания нового хоста, если он не отображается в раскрывающемся меню хоста, вам может потребоваться выйти из диалогового окна приложения и начать заново с шага 2а.
    4. В разделе сущностей сервера не проверяйте все.
    5. В клиентских объектах отметьте LEA и оставьте все остальные неотмеченными.
    6. Нажмите кнопку  Связь...  . Выберите одноразовый пароль и введите его (дважды). Поле Состояние доверия оставьте без изменений. Нажмите «Инициализировать», затем «Закрыть».
    7. Нажмите OK, чтобы создать объект LEA.
    8. Нажмите «Установить политику» и щелкайте по диалоговым окнам, пока политика не будет успешно установлена.

Настройка модуля контрольной точки Blumira

При добавлении сенсорного модуля Blumira вам потребуется предоставить следующую информацию:

  • IP-адрес сервера управления Check Point
  • Имя объекта LEA, которое вы выбрали выше.
  • Одноразовый пароль, который вы выбрали выше.

1. Если датчик уже создан, выберите крайнюю правую кнопку редактирования и нажмите  View Detail .


2. Когда откроется всплывающее окно для вашего датчика, нажмите Добавить модуль , после чего откроется экран выбора модуля. Выберите модуль Check Point из раскрывающегося списка, на момент написания этой статьи последняя версия — 1.0.0. Если в вашем датчике еще нет модуля Logger, добавьте этот модуль, используя его последнюю версию, 1.1.0 на момент написания этого.

3. Взяв одноразовый пароль, который вы установили ранее, имя объекта LEA, которое вы выбрали во время установки, адрес сервера управления Check Point и порт LEA, если он отличается от значения по умолчанию, введите их в форму после выбора модуль. После завершения нажмите «Создать», и Blumira установит модуль Check Point на выбранный вами датчик.

4. Blumira поместит модуль Check Point с указанной вами информацией на платформу Sensor и завершит обмен сертификатами, чтобы начать извлечение журналов через LEA. Журналы должны начать поступать в течение следующих 5–15 минут в зависимости от использования устройства и его настройки.

Создать CSR для Checkpoint VPN Appliance

Добавить корневой сертификат и подчиненный (промежуточный сертификат) и создать CSR

Если вы уже добавили корневой и промежуточный сертификаты, и у вас есть сертификат SSL, и вам просто нужно его установить, см. раздел Установка SSL на устройство Checkpoint VPN.

Как создать CSR для VPN-устройства Checkpoint

    Добавить корневой сертификат
  1. Откройте SmartDashboard, чтобы увидеть все ваши сетевые устройства.

  2. Щелкните правой кнопкой мыши Trusted CAs и выберите New CA > Trusted .

  3. В окне Свойства центра сертификации на вкладке Общие в поле Имя введите имя корневого сертификата (например, DigiCert_Root ).

  4. На вкладке OPSEC PKI отметьте HTTP-серверы .

  5. Затем нажмите Получить , найдите и откройте файл TrustedRoot.crt , отправленный вам DigiCert, а затем нажмите OK .

  6. В окне Certificate Authority Certificate View щелкните Ok , чтобы доверять этому корневому сертификату центра сертификации.

  7. Добавить промежуточный сертификат
  8. В SmartDashboard щелкните правой кнопкой мыши Trusted CAs и выберите New CA > Subordinate .

  9. В окне Свойства центра сертификации на вкладке Общие в поле Имя введите имя промежуточного сертификата (например, DigiCert_Intermediate ).

  10. На вкладке OPSEC PKI щелкните Получить , найдите и откройте файл DigiCertCA.crt , отправленный вам компанией DigiCert, а затем щелкните OK .

  11. В окне Certificate Authority Certificate View нажмите Ok , чтобы доверять этому промежуточному сертификату Certificate Authority.

  12. Создайте свой CSR
  13. В SmartDashboard откройте свойства устройства для устройства, с которого вы хотите отправить сертификат SSL, нажмите Добавить , чтобы создать CSR.

    ;>

    Например, перейдите к кластеру шлюзов > IPSec VPN > Добавить > Псевдоним сертификата (например,грамм. полное доменное имя) .

  14. В окне свойств сертификата введите следующую информацию:

    Псевдоним сертификата: Введите псевдоним для сертификата (например, DigiCert или yourdomain.com).
     
    CA для регистрации: В раскрывающемся списке выберите добавленный вами промежуточный сертификат (например,грамм. DigiCert_Intermediate) .

  15. Когда вы закончите, нажмите Generate .

  16. В окне Check Point SmartDashboard нажмите Да , чтобы сгенерировать сертификат для этого узла.

  17. В окне Generate Certificate Request в поле DN введите CN=vpn.yourdomain.com , а затем нажмите OK .

    Примечание:     Если вы получаете сертификат SAN, нажмите Определить альтернативные имена и при появлении запроса укажите эти имена.

  18. Затем нажмите View , чтобы просмотреть CSR.

  19. В окне Certificate Request View выполните следующие действия, а затем нажмите OK :

    Щелкните Копировать в буфер обмена . Копирует содержимое сертификата в буфер обмена.
    Если вы используете этот параметр, мы рекомендуем вам вставить CSR в такой инструмент, как Блокнот.
    Если вы забудете и скопируете какой-то другой элемент, у вас останется доступ к CSR, и вам не придется возвращаться и создавать его заново.
     
    Нажмите Сохранить в файл . Сохраняет CSR на устройстве Checkpoint VPN.Мы рекомендуем вам использовать эту опцию.

  20. Используйте текстовый редактор, чтобы открыть файл. Затем скопируйте текст, включая теги -----BEGIN CERTIFICATE REQUEST----- и -----END CERTIFICATE REQUEST----- , и вставьте его в форму заказа DigiCert. .

    Примечание:     В процессе заказа SSL-сертификата DigiCert убедитесь, что вы выбрали Другое при появлении запроса Выбрать серверное программное обеспечение .Этот параметр гарантирует, что вы получите все необходимые сертификаты. Установка SSL-сертификата Checkpoint.

  21. После того, как вы получите сертификат SSL от DigiCert, вы можете установить его.

    См. раздел Установка SSL на устройство Checkpoint VPN.

Integrations-Core/Checkpoint-Firewall.yaml на главном · DataDog/integrations-core · GitHub

# Профиль для устройств Checkpoint Firewall
#
# Пример sysDescr:
# - 1. 3.6.1.4.1.2620.1.6.123.1.49 Linux gw-af4bd9 3.10.0-957.21.3cpx86_64 #1 SMP Вт, 28 января 17:26:12 IST 2020 x86_64
# - 1.3.6.1.4.1.2620.1.6.123.1.56 Linux plnp-corp-vsx-fwa1 2.6.18-92cpx86_64 #1 SMP Вт, 16 мая, 12:09:46 IDT 2017 x86_64"
# - 1.3.6.1.4.1.2620.1.6.123.1.56 Linux labp-corp-vsx-fwa2_21800 2.6.18-92cpx86_64 #1 SMP Вт, 16 мая, 12:09:46 IDT 2017 x86_64"
удлиняет:
— _база.ямл
— _generic-if.yaml
— _generic-tcp.yaml
— _generic-udp.yaml
— _generic-ip. yaml
устройство:
поставщик: "КПП"
sysobjectid: 1.3.6.1.4.1.2620.1.*
метаданные:
устройство:
полей:
поставщик:
значение: "контрольная точка"
серийный_номер:
символ:
MIB: КОНТРОЛЬ-MIB
OID: 1. 3.6.1.4.1.2620.1.6.16.3.0
имя: svnApplianceSerialNumber # Серийный номер устройства
# Пример: 1711BA4008
версия:
символ:
OID: 1.3.6.1.4.1.2620.1.6.4.1.0
имя: svnVersion # версия SVN
# Пример: R80.10
# Ссылка на R80.10 здесь https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk111841
имя_продукта:
символ:
OID: 1. 3.6.1.4.1.2620.1.6.1.0
имя: svnProdName # Название продукта
# Пример: Фонд SVN
модель:
символ:
OID: 1.3.6.1.4.1.2620.1.6.16.7.0
имя: svnApplianceProductName # Название продукта устройства
# Пример: Check Point 3200
имя_ОС:
символ:
OID: 1.3.6.1.4.1.2620.1.6.5.1.0
имя: osName # Имя ОС
версия_ОС:
символ:
OID: 1. 3.6.1.2.1.1.1.0
имя: sysDescr
extract_value: 'Linux\s+\S+\s+(\d+(?:\.\d+)*)'
# Пример: `3.10.0` в `Linux gw-af4bd9 3.10.0-957.21.3cpx86_64`
#
# Примечание. Версия ОС также хранится в двух отдельных OID для основного и дополнительного.Пример:
# .1.3.6.1.4.1.2620.1.6.5.2.0 (osMajorVer) = 2
#.1.3.6.1.4.1.2620.1.6.5.3.0 (osMinorVer) = 6
# В этом примере версия ОС 2.6, на данный момент невозможно добавить метаданные на основе 2-х OID
метрик:
# ЦП
- MIB: КОНТРОЛЬ-MIB
metric_tags:
- столбец:
OID: 1. 3.6.1.4.1.2620.1.6.7.5.1.1
имя: мультипрокиндекс
тег: cpu_core
символов:
— OID: 1.3.6.1.4.1.2620.1.6.7.5.1.2
имя: мультипрокусертиме
— OID: 1.3.6.1.4.1.2620.1.6.7.5.1.3
имя: мультипроксистемтиме
— OID: 1.3.6.1.4.1.2620.1.6.7.5.1.4
имя: мультипроцидлетиме
— OID: 1.3.6.1.4.1.2620.1.6.7.5.1.5
имя: мультипрокусаже
стол:
OID: 1. 3.6.1.4.1.2620.1.6.7.5
имя: multiProcTable
- MIB: КОНТРОЛЬ-MIB
символ:
OID: 1.3.6.1.4.1.2620.1.6.7.2.7.0
имя: procNum
# Память
- MIB: КОНТРОЛЬ-MIB
принудительный_тип: датчик
символ:
OID: 1.3.6.1.4.1.2620.1.6.7.4.3.0
имя: memTotalReal64
- MIB: КОНТРОЛЬ-MIB
принудительный_тип: датчик
символ:
OID: 1. 3.6.1.4.1.2620.1.6.7.4.4.0
имя: memActiveReal64
- MIB: КОНТРОЛЬ-MIB
принудительный_тип: датчик
символ:
OID: 1.3.6.1.4.1.2620.1.6.7.4.5.0
имя: memFreeReal64
- MIB: КОНТРОЛЬ-MIB
принудительный_тип: датчик
символ:
OID: 1.3.6.1.4.1.2620.1.6.7.4.1.0
имя: memTotalVirtual64
- MIB: КОНТРОЛЬ-MIB
принудительный_тип: датчик
символ:
OID: 1. 3.6.1.4.1.2620.1.6.7.4.2.0
имя: memActiveVirtual64
# Диск
- MIB: КОНТРОЛЬ-MIB
принудительный_тип: датчик
metric_tags:
- столбец:
OID: 1.3.6.1.4.1.2620.1.6.7.6.1.1
имя: мультидискиндекс
тег: disk_index
- столбец:
OID: 1.3. 6.1.4.1.2620.1.6.7.6.1.2
имя: multiDiskName
тег: имя_диска
символов:
— OID: 1.3.6.1.4.1.2620.1.6.7.6.1.3
имя: мультидисксизе
— OID: 1.3.6.1.4.1.2620.1.6.7.6.1.4
имя: мультидискусед
— OID: 1.3.6.1.4.1.2620.1.6.7.6.1.5
имя: мультидискфритоталбайтес
— OID: 1.3.6.1.4.1.2620.1.6.7.6.1.7
имя: мультидискфриаваилаблебайтес
— OID: 1. 3.6.1.4.1.2620.1.6.7.6.1.6
имя: мультидискфритоталперцент
— OID: 1.3.6.1.4.1.2620.1.6.7.6.1.8
имя: мультидискфриаваилаблеперцент
стол:
OID: 1.3.6.1.4.1.2620.1.6.7.6
имя: мультидисктабле
# Бытовая техника
- MIB: КОНТРОЛЬ-MIB
metric_tags:
- столбец:
OID: 1. 3.6.1.4.1.2620.1.6.7.8.2.1.1
имя: fanSpeedSensorIndex
тег: sensor_index
- столбец:
OID: 1.3.6.1.4.1.2620.1.6.7.8.2.1.2
имя: fanSpeedSensorName
тег: имя_датчика
символов:
— OID: 1.3.6.1.4.1.2620.1.6.7.8.2.1.3
имя: fanSpeedSensorValue
— OID: 1.3.6.1.4.1.2620.1.6.7.8.2.1.6
имя: fanSpeedSensorStatus
стол:
OID: 1. 3.6.1.4.1.2620.1.6.7.8.2
имя: fanSpeedSensorTable
- MIB: КОНТРОЛЬ-MIB
metric_tags:
- столбец:
OID: 1.3.6.1.4.1.2620.1.6.7.8.1.1.1
имя: TemptureSensorIndex
тег: sensor_index
- столбец:
OID: 1.3.6.1.4.1.2620.1.6.7.8.1.1.2
имя: TemptureSensorName
тег: имя_датчика
символов:
— OID: 1. 3.6.1.4.1.2620.1.6.7.8.1.1.3
имя: TemperatureSensorValue
— OID: 1.3.6.1.4.1.2620.1.6.7.8.1.1.6
имя: TemptureSensorStatus
стол:
OID: 1.3.6.1.4.1.2620.1.6.7.8.1
имя: TemperatureSensorTable
# Сеть
- MIB: КОНТРОЛЬ-MIB
принудительный_тип: monotonic_count
символ:
OID: 1. 3.6.1.4.1.2620.1.1.4.0
имя: fwAccepted
- MIB: КОНТРОЛЬ-MIB
принудительный_тип: monotonic_count
символ:
OID: 1.3.6.1.4.1.2620.1.1.6.0
имя: fwDropped
- MIB: КОНТРОЛЬ-MIB
принудительный_тип: monotonic_count
символ:
OID: 1.3.6.1.4.1.2620.1.1.5.0
имя: fwRejected
- MIB: КОНТРОЛЬ-MIB
символ:
OID: 1. 3.6.1.4.1.2620.1.1.25.3.0
имя: фвнумконн
- MIB: КОНТРОЛЬ-MIB
символ:
OID: 1.3.6.1.4.1.2620.1.1.25.4.0
имя: фвпикнумконн

Acronis Cyber ​​Protect Cloud, Acronis Cyber ​​Backup: резервное копирование завершается с предупреждением «Средству отслеживания томов не удалось заморозить контрольную точку. Устройство, подключенное к системе, не работает»

Симптомы

1. Вы создаете резервную копию компьютера с Windows,
2. Резервное копирование завершается с предупреждением " Volume Tracker не удалось заморозить контрольную точку. Устройство, подключенное к системе, не работает "

Пример полного журнала ошибок: нажмите, чтобы развернуть

 

| Ошибка 0x10c476: Volume Tracker не удалось заморозить контрольную точку «01A604CC-5BC8-4FC7-9D9C-04A628AA5A48» в сеансе «A03B4099-E2D0-0B4B-2B51-FA5DB1D09E00\Device\HarddiskVolume1».
| уровень трассировки: предупреждение
| строка: 0xb1cecb03fb1d76f9
| файл: e:\83\core\fdisk\volume_tracker_win_impl.cpp:135
| функция: VolumeTrackerWin::SessionImpl::FreezeCheckpoint
| $модуль: disk_bundle_vsa64_8850
|
| ошибка 0x1f5000a
| строка: 0x75e6ece58e
| файл: e:\83\ext\volume_tracker_msi_dll\include\client\low_level\api.h:225
| функция: Kernel::VolumeTracker::Api::LowLevel::FreezeCheckpoint
| $модуль: disk_bundle_vsa64_8850
|
| ошибка 0xfff0: Устройство, подключенное к системе, не работает
| строка: 0x75e6ece58e
| файл: e:\83\ext\volume_tracker_msi_dll\include\client\low_level\api.ч:225
| функция: Kernel::VolumeTracker::Api::LowLevel::FreezeCheckpoint
| код: 0x8007001f
| $модуль: disk_bundle_vsa64_8850

Причина

Volume Tracker — это драйвер отслеживания блоков изменений, который ускоряет процесс резервного копирования: изменения на диске или в содержимом базы данных постоянно отслеживаются на уровне блоков. Эта ошибка возникает, когда Volume Tracker не может получить необходимые данные от Microsoft Shadow Copy Provider.

Если Volume Tracker не смог обработать изменения, вы получите предупреждение, а изменения с момента последней резервной копии будут рассчитаны агентом.

Существуют различные возможные основные причины, см. раздел Решение ниже.

Решение

Начиная с Acronis Cyber ​​Backup 12.5, обновление 4 (сборка 12730) и Acronis Cyber ​​Cloud 8 (сборка 12960), в программное обеспечение внедряются новые механизмы повышения производительности для улучшения обработки запросов VSS. Пожалуйста, обновитесь до последней доступной сборки и проверьте, правильно ли работает резервное копирование.

Если проблема повторяется в последней сборке программного обеспечения Acronis, проверьте другие возможные причины:

1) На машине установлен StorageCraft ShadowProtect

StorageCraft ShadowProtect устанавливает собственный поставщик VSS, который не поддерживается модулем Volume Tracker.

Чтобы обойти эту проблему, перейдите к Параметры резервного копирования -> Поставщик VSS и измените параметр на Использовать поставщика теневого копирования программного обеспечения Microsoft.

2) Операционная система Windows 8

Это известная проблема. Соберите системную информацию Acronis с зараженного компьютера агента (Acronis Cyber ​​Backup 12.5 — нажмите здесь, чтобы получить инструкции, Acronis Cyber ​​Protect Cloud — нажмите здесь) и обратитесь в службу поддержки Acronis со ссылкой на эту статью.

3) Проверьте журнал событий Windows на наличие ошибок, связанных с VSS, и устраните их.

Откройте средство просмотра событий Windows (нажмите Win+R  -> введите eventvwr.msc ) и проверьте журналы Windows, Приложение и Система . Ищите записи, относящиеся к тому времени, когда возникла проблема, или незадолго до этого.

Как проверить журнал событий Windows на наличие ошибок VSS: нажмите, чтобы развернуть
  1. В средстве просмотра событий перейдите к Журналы Windows — Система
  2. Щелкните Фильтр текущего журнала... на правой панели
  3. Отметьте галочками Critical, Error и Warning в верхней части окна. Разверните список Источники событий и выберите следующие источники событий: Диск, диск, NTFS, VSS, VolSnap (если поиск с этими источниками событий не дает результатов, проверьте все источники событий)
  4. Нажмите OK и просмотрите предупреждения и ошибки, записанные в журнале системных событий, и найдите любую информацию, связанную с проблемой, обнаруженной в программном обеспечении Acronis.Обратите внимание на события, зарегистрированные в момент возникновения проблемы или непосредственно перед ней.

  5. Повторите поиск в Журналы Windows — Приложение.

В некоторых случаях событие будет содержать инструкции по устранению конкретной ошибки (например, служба недоступна). Для других событий используйте идентификатор события и источник в поиске, чтобы найти дополнительную информацию в Интернете.

См. также Проверка журнала событий Windows на наличие проблем с компьютерной средой

Если предложенные действия не помогли решить проблему, соберите системную информацию Acronis с зараженного компьютера с агентом и обратитесь в службу поддержки Acronis:

.
  • Acronis Cyber ​​Protect 15, Acronis Cyber ​​Backup 12.5 – нажмите здесь для получения инструкций
  • Acronis Cyber ​​Protect Cloud — нажмите здесь, чтобы получить инструкции

Кластеризация CheckPoint/брандмауэра Nokia — ошибка конструкции — EtherealMind

Я просматривал сеть, в которой есть несколько брандмауэров CheckPoint, которые были нестабильны, и хотя это неудивительно (по моему опыту, брандмауэры Checkpoint часто быть нестабильным по той или иной причине), на этот раз я столкнулся с кластеризацией контрольных точек. Несколько лет назад я пытался заставить это работать, но сдался, когда CheckPoint тоже не смог заставить его работать.Несколько лет спустя я нахожу кого-то достаточно смелого, чтобы попытаться это сделать. На этот раз все по-другому, я тот, кто должен обосновать, почему это плохая идея.

Вот так.

Идея кластеризации CheckPoint заключается в том, что наличие двух брандмауэров в активном/резервном режимах — плохая идея. Это верно для CheckPoint, потому что они настолько дороги, что вы не можете позволить себе покупать новые устройства, так зачем тратить половину своих денег на то, что второй брандмауэр ничего не делает. Таким образом, владение двумя устройствами и использование их в режиме Active/Active воспринимается как способ сэкономить.Что еще хуже, сама эта идея настолько «клева», что инженеры CheckPoint, как известно, предлагают эту практику как «конкурентное преимущество».

Есть одна полезная функция: вы можете объединить до четырех юнитов в «один кластер». Однако эксплуатационный эффект от этого очень слабый. Невозможно определить, какой брандмауэр обрабатывает данный поток, что делает устранение неполадок очень трудным или невозможным. Любой, кто думает, что инструмент Tracker можно использовать для устранения неполадок, нуждается в хорошей порке — это хороший инструмент для ведения журнала, но не идеальный инструмент для устранения неполадок.

На самом деле Checkpoint не выполняет кластеризацию, в отличие от программного обеспечения Nokia IPSO, хотя кажется, что руководство не упоминает об этом. Вы можете обратиться к Руководству администратора Cluster XL за этой значительно улучшенной (с 2007 года, когда я в последний раз не мог получить руководства из-за платного доступа), но в основном бесполезной частью документации.

Стоит отметить, что CheckPoint на самом деле является частью программного обеспечения, которое работает на многих платформах. В прошлом CheckPoint использовался на маршрутизаторах Solaris, Windows и BayRS. Сегодня он работает на Nokia IPSO, SPLAT (специальный дистрибутив Linux) и Crossbeam. В результате программное обеспечение CheckPoint не тесно связано с сетевыми функциями базовой платформы. Возможно, это объясняет, почему в руководствах отсутствуют сетевые аспекты функций брандмауэра.

Итак, давайте установим нормальную работу брандмауэра.

При нормальной работе межсетевой экран работает следующим образом:

  1. клиент отправляет пакет
  2. межсетевой экран получит ARP от маршрутизатора,
  3. отвечает с MAC-адресом, который совместно используется брандмауэрами (и передается между активным и резервным устройством при переключении на другой ресурс).
  4. Брандмауэр получит пакет и перенаправит его во внутреннюю сеть. Обратный поток идентичен.

Все это соответствует стандартам, ожидаемо и легко обслуживается и устраняет неполадки.

Очевидно, что для обеспечения кластеризации должно произойти что-то необычное, потому что один или оба брандмауэра должны получать каждый пакет, который необходимо переслать. Цель кластеризации — позволить двум или более (до четырех ??) брандмауэрам пропускать потоки полностью сбалансированным/разделяемым образом нагрузки.Зачем вам это делать? Я считаю, что межсетевые экраны CheckPoint/Nokia относительно очень дороги по сравнению с аналогами Cisco/Juniper, поэтому клиенты хотят получить максимальную отдачу от «инвестиций». Такой ярлык выглядит привлекательно, так как позволяет удвоить пропускную способность системы.

Из Руководства

Из руководства:

ClusterXL использует уникальные физические IP- и MAC-адреса для членов кластера и виртуальные IP-адреса для представления самого кластера.Виртуальные IP-адреса не принадлежат реальному интерфейсу машины (за исключением режима High Availability Legacy, который будет описан ниже). ClusterXL предоставляет инфраструктуру, которая гарантирует, что данные не будут потеряны из-за сбоя, гарантируя, что каждый элемент кластера знает о соединениях, проходящих через другие элементы. Передача информации о соединениях и других состояниях шлюза безопасности между членами кластера называется синхронизацией состояний.

IP- и MAC-адреса

Нет, правда, если вы этого не понимаете, вам не следует это читать.Вернитесь в школу, не собирайте 200 долларов и т. д.

Состояние синхронизации

Это достаточно просто. Каждый поток, проходящий через брандмауэр, создает запись в базе данных состояний на брандмауэре, и эта база данных состояний должна/должна/зависит/по вашему выбору реплицироваться на другие брандмауэры, чтобы в случае сбоя другое устройство знало, какой поток трафика вы пересылали и можете продолжать.

Синхронизация состояния

означает, что для каждого потока на одном брандмауэре его данные реплицируются на другие брандмауэры.Это наиболее полезно для длительных потоков данных, таких как SQL, и не так много для HTTP (YMMV).

Протокол управления кластером

Стандартного протокола для синхронизации таких устройств не существует, поэтому CheckPoint создал нечто с образным названием:

Протокол управления кластером (CCP) является связующим звеном между машинами в кластере Check Point Gateway. Трафик CCP отличается от обычного сетевого трафика и может быть просмотрен с помощью любого анализатора сети. CCP работает на порту UDP 8116 и имеет следующие роли: – Он позволяет участникам кластера сообщать о своих состояниях и узнавать о состояниях других участников, отправляя пакеты подтверждения активности (это относится только к кластерам ClusterXL).– Государственная синхронизация.

Отлично. Основы сделаны.

ClusterXL имеет четыре режима работы:

  • Многоадресный режим распределения нагрузки
  • Одноадресный режим распределения нагрузки
  • Новый режим высокой доступности
  • Устаревший режим высокой доступности

Итак, есть четыре возможных режима высокой доступности. Два из которых на самом деле «кластеризуются», а два НЕ являются активными/резервными. Так что мы будем игнорировать их.

Контрольная точка/многоадресная кластеризация Nokia

Все, что содержит слово «многоадресная передача», автоматически означает проблемы. И, вы были бы правы. За исключением того, что Checkpoint делает непослушный мультикаст. Ну, это не IP Multicast, это Ethernet Multicast. Давайте пройдемся по нему:

Для CheckPoint/Nokia поток пакетов работает примерно так:

  1. клиент отправляет пакет
  2. Маршрутизатор
  3. будет использовать ARP для MAC-адреса следующего перехода, все брандмауэры ответят многоадресным MAC-адресом.
  4. Маршрутизатор отправляет кадр Ethernet с многоадресным MAC-адресом, который коммутатор должен рассматривать как широковещательный для всех устройств в сети VLAN
  5. Протокол кластера уведомит один из брандмауэров о пересылке потока, и он достигнет сервера.

Рассмотрим обратное направление:

  1. Сервер отправляет запрос ARP.
  2. Межсетевые экраны отвечают многоадресным MAC-адресом и передают кадр Ethernet.
  3. Сервер отправляет кадр Ethernet с многоадресным MAC-адресом, который коммутатор должен рассматривать как широковещательный для всех устройств в VLAN
  4. Протокол кластера уведомит один из брандмауэров о пересылке потока, и он достигнет сервера.

и на клиент уходит.

Многоадресный Ethernet, ненаправленные широковещательные рассылки и отказ в обслуживании

Теперь CheckPoint переключился на использование многоадресной рассылки Ethernet без использования многоадресной рассылки IP . По умолчанию коммутаторы Ethernet настроены с включенным протоколом IGMP. Поэтому по истечении времени запроса IGMP (около трех минут) порт начнет блокировать кадры и, таким образом, отключит функцию кластеризации.

Checkpoint рекомендует три варианта «исправить» это:

  1. отключить IGMP на коммутаторах
  2. настроить статические сопоставления MAC-адресов для многоадресного MAC-адреса на всех портах
  3. установить агент IGMP на брандмауэр

Отключить IGMP на коммутаторах

Это основная рекомендация инженеров CheckPoint и из руководства.Честно говоря, это, возможно, лучший из трех плохих вариантов, хотя он, скорее всего, вызовет серьезные проблемы.

Когда вы отключаете IGMP на коммутаторах Ethernet, вы фактически разрешаете широковещательную передачу всех многоадресных пакетов. То есть многоадресный кадр становится широковещательным, и каждый пакет должен обрабатываться каждым устройством в сети VLAN. То есть широковещательные кадры принимаются всеми устройствами, и программный драйвер протокола устройства должен обработать широковещательный кадр перед его отбрасыванием, что создает проблемы с производительностью (прерывания шины, буферная память, ЦП, программные циклы и т. д. и т. д.)

Более известная как атака типа «отказ в обслуживании».

Рассмотрим этот сценарий:

Давайте предположим, что у вас есть входящий трафик со скоростью 100 Мбит/с на довольно типичном кластере с двумя маршрутизаторами и двойным брандмауэром, как показано на следующей диаграмме. В этом случае при отключенном протоколе IGMP трафик со скоростью 100 Мбит/с будет отправляться на брандмауэр , резервный маршрутизатор и все другие устройства в общедоступной локальной сети.

В этом сценарии каждый концентратор VPN подключен к сети VLAN с общедоступными IPv4-адресами. Поскольку это единственная VLAN с публичным адресом, вы не можете разместить их где-либо еще.

Концентраторы VPN должны будут обрабатывать широковещательный трафик со скоростью 100 Мбит/с в дополнение к трафику VPN. Скорее всего, это приведет к периодическим отключениям и проблемам с обслуживанием на этих устройствах, поскольку ЦП изо всех сил пытается прочитать и отбросить этот объем трафика. В худшем случае концентратор VPN может попытаться сообщить о широковещательном потоке и даже отключиться.

Хостинг сервера

Рассмотрим обратный путь для трафика (поскольку все потоки имеют обратный путь). В этом случае давайте подключим VLAN напрямую к брандмауэру CheckPoint/Nokia и некоторым серверам, подключенным к этой VLAN.Как правило, это сервер электронной почты, веб-сервер, возможно, прокси-сервер или какой-либо другой шлюз. Скорее всего, в этой VLAN будет несколько серверов.

Сервер получит многоадресный MAC-адрес для IP-адреса любых кадров, предназначенных для брандмауэра (скорее всего, шлюза по умолчанию), и отправит их в соответствии с обычным процессом. Однако КАЖДЫЙ ДРУГОЙ сервер будет получать каждый пакет как широковещательный.

Это приведет к серьезной нагрузке на ЦП и возможным проблемам со стабильностью.Вы можете исправить это, разместив устройство L3 внутри брандмауэров и, конечно, ограничив влияние широковещательных рассылок на L2 VLAN, которая напрямую подключена к брандмауэрам. Но это ограничивает ваш выбор дизайна и бесполезно в существующей среде.

Настройте сопоставления статических MAC-адресов для многоадресного MAC-адреса на всех портах

Стоит отметить, что некоторые более дешевые коммутаторы Ethernet не могут обрабатывать большие объемы многоадресных или широковещательных пакетов в кремнии.Они могут использовать встроенный ЦП для репликации фреймов, которая может работать на нескольких мегабитах, прежде чем станет перегруженной. (Сегодня это менее распространено, но все еще применимо к некоторым продуктам).

Давайте взглянем на настройку статического MAC-адреса в ваших коммутаторах. То есть вы вручную создаете записи MAC-адресов для каждого порта, к которому подключено устройство Checkpoint. Это кажется хорошим решением, поскольку оно останавливает описанное выше вещание и жестко контролирует поток пакетов.

Тем не менее, команда брандмауэра и команда сети должны быть полностью осведомлены об этом, чтобы это было эффективно.Подумайте, что произойдет через год, когда кто-то модернизирует коммутаторы или заменит неисправный модуль, выполнив другую незначительную задачу? Требуется тщательный контроль для поддержания статической базы данных в течение долгого времени.

Это будет работать для некоторых компаний, но для более крупных компаний это только вопрос времени, пока не произойдет сбой, и, следовательно, это не лучший выбор дизайна. Для небольших компаний, где всего пара человек управляет брандмауэрами и сетью, может подойти статический MAC-адрес.

Установите агент IGMP на брандмауэре

Этот документ о членстве в ClusterXL IGMP от 14 февраля 2006 г. (!) объясняет, как добавить поддержку IGMP в Checkpoint.Однако Checkpoint сказал мне, что это не поддерживается/не рекомендуется (трудно получить прямой ответ). Для работы требуется ряд записей CLI, а также определенная конфигурация конфигурации модуля.

Короче говоря, с точки зрения эксплуатации этот вариант — катастрофа. Вы можете столкнуться с трудностями при правильном завершении обновлений, конфигурацию модуля в Linux/Windows необходимо изменить в Config/Registry, чтобы конфигурация IGMP сохранилась после перезагрузки.

Использование режима одноадресной рассылки вместо

Итак, второй вариант — использовать одноадресную рассылку вместо многоадресной.В этом случае программное обеспечение ClusterXL выбирает брандмауэр PIVOT в качестве ведущего устройства, и оно будет либо обрабатывать пакеты самостоятельно, либо перенаправлять их другому члену кластера.

На схеме показан этот режим работы с использованием одноадресной переадресации. Хотя перенаправление Unicast не имеет тех же проблем, что и решение Multicast, описанное выше, проблема у него есть. Сводной брандмауэр должен резервировать ресурсы, чтобы иметь возможность перенаправлять все потоки и обеспечивать достаточную мощность ЦП для отправки данных синхронизации всем другим брандмауэрам в кластере.Таким образом, сводной брандмауэр обрабатывает гораздо меньший трафик, чем другие члены кластера.

Одна из больших проблем кластеризации брандмауэров заключается в том, что перехват пакетов и устранение неполадок становятся относительно сложными. У меня были некоторые странные проблемы с использованием Wireshark, и я предполагаю, что объем широковещательных пакетов превышал сетевой адаптер рабочей станции, который я использовал для захвата пакетов. К сожалению, мне не удалось проверить эту теорию на другой машине.

По-видимому, есть люди, которые считают, что эта идея кластеризации идеально подходит для центров обработки данных, которые связаны между собой на уровне L2. К настоящему моменту большинство из вас осознали проблему, которую может вызвать кластеризация, когда сегмент Ethernet расширяется между двумя центрами обработки данных, но давайте все же нарисуем ее диаграмму. Два дата-центра, географически разделенные, но с L2-соединением между ними. Неважно как (OTV, VPLS, dark fibre, WDM — для этого все равно).

На межсоединении многоадресный CheckPoint ClusterXL с конфигурацией брандмауэра «активный/активный» будет блокировать трафик между сайтами в соответствии с каким-то случайным алгоритмом.

Кроме того, трафик синхронизации брандмауэра также должен иметь высокий приоритет, и если данные синхронизации не происходят достаточно быстро, брандмауэры, похоже, дают сбой довольно сильно (опять же, здесь апокрифические доказательства, невозможно проверить в действующей сети).

Наконец, многоадресная/широковещательная рассылка должна проходить через канал L2 на внутренних и внешних интерфейсах для каждой VLAN.

Таким образом, на 100 мегабит трафика через брандмауэр генерируется 200 мегабит широковещательного трафика плюс трафик синхронизации (определяется в соответствии с правилом брандмауэра, но обычно это большой трафик).

Это не очень хорошая идея(тм), так как вам нужна эта полоса пропускания и для связи сервер-сервер. Должно быть очевидно, я думаю.

Опыт показывает, что кластеризация Nokia/CheckPoint работает, но при относительно низких объемах, скажем, до 10 Мбит/с по приблизительному необоснованному предположению, потому что у клиента есть несколько существующих кластеров, которые действительно работают надежно. Однако по мере увеличения нагрузки на брандмауэр оказывается, что техника многоадресной/широковещательной рассылки вызывает серьезные проблемы с обслуживанием устройств в той же VLAN, что и сами брандмауэры.Поскольку статические параметры Mac требуют тесного взаимодействия команды брандмауэра и сети, это нецелесообразно для очень больших групп поддержки из-за уровня специализации, который происходит в этих командах. У меня есть серьезные сомнения по поводу больших объемов кластеризованного трафика, и я видел ряд необъяснимых проблем при включении кластеризации.

Я хотел бы провести дополнительное тестирование, но сроки проекта немного сжаты, и у меня нет возможности иметь лабораторию брандмауэров CheckPoint из-за лицензирования и/или стоимости.

На основании этого исследования и недавнего опыта проблем с обслуживанием я не могу рекомендовать кластеризацию CheckPoint Nokia, поскольку эта технология имеет больше недостатков, чем возможностей.

.

Добавить комментарий

Ваш адрес email не будет опубликован.