check_point.mgmt.cp_mgmt_set_https_advanced_settings 模块 – 配置 HTTPS 检查的高级设置。
注意
此模块是 check_point.mgmt 集合 (版本 6.2.1) 的一部分。
如果您正在使用 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install check_point.mgmt。
要在 playbook 中使用它,请指定:check_point.mgmt.cp_mgmt_set_https_advanced_settings。
check_point.mgmt 6.1.0 中的新增功能
概要
配置 HTTPS 检查的高级设置。
所有操作都通过 Web Services API 执行。
参数
参数 |
注释 |
|---|---|
如果在任务完成后执行了更改,则发布当前会话。 选项
|
|
控制是否记录和发送有关丢弃流量的通知。<br><ul style=”list-style-type,square”><li>None - 不记录事件。</li><li>Log - 在 SmartView 中记录事件详细信息。</li><li>Alert - 记录事件并执行命令。</li><li>Mail - 向管理员发送电子邮件。</li><li>SNMP Trap - 向 SNMP GU 发送 SNMP 警报。</li><li>User Defined Alert - 发送自定义警报。</li></ul>。 选项
|
|
通过序列号标识的证书对象集合。<br>丢弃来自使用被阻止证书的服务器的流量。 |
|
十六进制格式 HH,HH 的证书序列号(唯一)。 |
|
默认情况下描述证书,可以被任何文本覆盖。 |
|
描述名称,不能被覆盖。 |
|
在客户端错误(客户端由于握手期间的身份验证问题而关闭连接)的情况下,是否应绕过或阻止所有请求。<br><ul style=”list-style-type,square”><li>true - 故障开放(绕过所有请求)。</li><li>false - 故障关闭(阻止所有请求)。</li></ul><br>默认值为 true。 选项
|
|
在服务器错误(例如,GW-服务器身份验证期间的验证错误)的情况下,是否应绕过或阻止所有请求。<br><ul style=”list-style-type,square”><li>true - 故障开放(绕过所有请求)。</li><li>false - 故障关闭(阻止所有请求)。</li></ul><br>默认值为 true。 选项
|
|
在安全网关负载较重期间暂时绕过 HTTPS 检查以提高连接性。一旦负载减少,HTTPS 检查将恢复。 |
|
是否记录并发送有关负载下绕过的通知,<ul style=”list-style-type,square”><li>None - 不记录事件。</li><li>Log - 记录事件详细信息。使用 SmartConsole 或 SmartView 查看日志。</li><li>Alert - 记录事件并执行您配置的命令。</li><li>Mail - 向管理员发送电子邮件。</li><li>SNMP Trap - 向配置的 SNMP 管理服务器发送 SNMP 警报。</li><li>User Defined Alert - 发送自定义警报。</li></ul>。 选项
|
|
配置值“true”以绕过流向众所周知的软件更新服务的流量。<br>默认值为 true。 选项
|
|
配置值“bypass”以绕过来自 Check Point 批准的证书固定应用程序的流量。<br>HTTPS 检查无法检查由证书固定应用程序发起的连接。<br>配置值“detect”以发送来自 Check Point 批准的证书固定应用程序的流量的日志。<br>默认值为 bypass。 选项
|
|
响应中某些字段的详细程度可能因仅显示对象的 UID 值而异,到对象的完整详细表示。 选项
|
|
指示要在哪些域上处理命令。它不能与详细级别 full 一起使用,必须仅从系统域运行,并且 ignore-warnings 为 true。有效值为 CURRENT_DOMAIN、ALL_DOMAINS_ON_THIS_SERVER。 |
|
应用更改时忽略错误。您将无法发布此类更改。如果省略了 ignore-warnings 标志,则也将忽略警告。 选项
|
|
应用更改时忽略警告。 选项
|
|
值“true”配置安全网关以发送 HTTPS 检查会话日志。<br>默认值为 true。 选项
|
|
配置值“true”以使用“证书颁发机构信息访问”扩展来检索证书链中缺少的证书。<br>默认值为 true。 选项
|
|
当安全网关收到来自网站服务器的不受信任的证书时,请定义何时丢弃连接以及如何跟踪它。 |
|
设置为 true 以丢弃来自具有过期服务器证书的服务器的流量。 选项
|
|
设置为 true 以丢弃来自具有吊销服务器证书(验证 CRL)的服务器的流量。 选项
|
|
设置为 true 以丢弃来自具有不受信任的服务器证书的服务器的流量。 选项
|
|
是否记录并发送服务器验证错误的通知,
选项
|
|
在分类完成之前,是否应允许或阻止所有请求。
默认值为“保持”。 选项
|
|
检查点版本。如果未给定版本,则使用最新版本。 |
|
等待任务结束。例如发布任务。 选项
|
|
等待多少分钟后抛出超时错误。 默认值: |
示例
- name: set-https-advanced-settings
cp_mgmt_set_https_advanced_settings:
blocked_certificate_tracking: popup alert
bypass_on_client_failure: 'false'
bypass_on_failure: 'false'
bypass_under_load:
track: log
bypass_update_services: 'true'
certificate_pinned_apps_action: bypass
log_sessions: 'true'
retrieve_intermediate_ca_certificates: 'true'
server_certificate_validation_actions:
block_expired: 'true'
block_revoked: 'false'
block_untrusted: 'true'
track_errors: snmp trap alert
site_categorization_allow_mode: background
返回值
常见的返回值记录在此处,以下是此模块独有的字段
键 |
描述 |
|---|---|
检查点 set-https-advanced-settings 的输出。 返回: 始终。 |