我正在使用自动部署系统来进行新的 Unix 部署。我要实现一个相当复杂的网络拓扑,并且我正在寻找可以简化此操作的防火墙软件。
特别是,我注意到像 nginx 这样的软件遵循一种模式,其中主配置文件加载通配符,它有效地加载某个目录中的所有文件。
例如,nginx 加载 /etc/nginx/conf/ 中的所有文件并将它们视为配置文件。可以通过添加或删除它们(并发出 nginx 命令)来独立加载和卸载它们。
是否有任何值得信赖的软件防火墙产品可以让我做类似的事情?
答案1
如果您已经使用能够实现其目的并且知道如何使用的防火墙软件,但缺乏此功能,我建议您坚持使用它。
由于包的可维护性,通常会从使用单个配置文件的应用程序切换到一个目录,该目录的文件内容组合起来作为配置。单个文件中的配置选项更难更新/更改,并且其他(第三方)选项很难插入自身而不破坏他们不知道的其他选项的可能性。一旦有了多个工作示例,越来越多的软件开始使用这种模型。
如果您首选的防火墙软件尚不支持此功能,那么通过将防火墙配置的内容拆分为离散部分并将cat它们连接到防火墙可以使用的一个文件中,模拟起来相对容易。以 XY_NAME 的形式指定各个文件名,其中 XY 是某个数字,NAME 是描述性名称。以 5 或 10 为步长增加 XY,这样您就有一些空间可以在稍后阶段在中间插入文件。只需使用:
cat * > ../firewall.cfg
名称的数字部分确保正在处理的文件的顺序是确定的。如果配置文件不支持您喜欢的注释(想到 XML ),您可以使用 XY_NAME 文件中的注释,并在组合过程中将它们过滤掉,例如使用grep -v '^#'