Per un firewall aziendale puoi avere oltre 50 mila regole. Con gli errori tipici delle regole del firewall, inclusi elementi come le maschere di rete digitate male, non si può sperare di rivedere manualmente il rilascio.
Quindi quali strumenti sono disponibili? Gratuito o meno.
Controlla AlgoSec e Lumeta per vedere se i loro prodotti faranno quello che vuoi.
Divulgazione: non ho esperienza personale con questi venditori, né ho alcuna relazione finanziaria con loro.
Potresti anche voler controllare questa domanda , che sembra correlata.
Sebbene non sia esattamente uno strumento, qualcosa che potrebbe rivelarsi utile sta usando alias (come le parole) per nomi di reti / maschere / sezioni. Quindi sostituirli con quelli corretti in uno script di shell. Più comunemente, a mio parere, sarebbero i dispositivi Cisco che utilizzavano acl denominati per chunk significativi e assemblando gli ACL in un set di regole enorme. Potrebbe rendere un po 'più difficile risolvere i problemi manualmente, ma ogni sottosezione che non viene modificata quando aggiungi / rimuovi una regola può aiutarti a correggere gli errori. Solo un pensiero.
Ho usato sia Tufin che Firemon e ho familiarità con AlgoSec.
Tufin è un ottimo prodotto, ma è molto simile a quello di anni fa. Poco è stato fatto nel modo di R & D.
Quando ho guardato AlgoSec, era troppo voluminoso per quello che stavo cercando. Immagina Arcsight per Firewall Management: ottimo prodotto, ma richiede una grande quantità di ottimizzazione.
Quando in origine guardavo Firemon circa 4 anni fa, non ero un fan. Oggi ho sostituito tutti i nostri strumenti di gestione dei firewall (Tufin, Eventia) con Firemon. Offre i prodotti principali che fanno tutti gli strumenti in questo spazio: auditing, statistiche di utilizzo delle regole, ecc. E ha un pezzo di flusso di lavoro davvero eccezionale. Ad esempio, un utente finale fa una richiesta di regola FW e quindi puoi utilizzare lo strumento per capire se la regola esiste già e se non dove dovresti inserire la regola - IE Esiste una regola simile con la stessa destinazione e servizio in modo che tu possa basta aggiungere un host alla sorgente.
Quindi Algosec, Tufin e Firemon dovrebbero tutti portare a termine il lavoro, è solo una questione di ciò che si adatta meglio alle tue esigenze. Oggi ho trovato Firemon lo strumento migliore.
Ho una certa familiarità con Tufin , anche se più con l'azienda che con il prodotto.
Non posso davvero parlare per esperienza, ma presumibilmente il loro SecureTrack prodotto aiuta a gestire grandi set di regole.
(Sì, è commerciale e non libero ...)
TFX di terreActive è utilizzato da molti grandi giocatori in Svizzera. Non posso dirvi quali effettivamente lo utilizzano, ma la lista di clienti dovresti darti un'idea del livello a cui stiamo lavorando.
Disclaimer: io lavoro lì.
Matasano crea un prodotto chiamato playbook creato per gestire grandi set di regole su grandi distribuzioni di firewall.
Disclaimer: so che ho appena menzionato Thomas Ptacek nella mia ultima risposta, ma non ho alcun interesse finanziario nella sua compagnia; Penso che (nonostante il hack ) siano generalmente abbastanza bravi in quello che fare.