我和另一个人很快将接管一些日常防火墙管理职责,我正在寻找一种方法来跟踪防火墙配置的变化以用于审计目的,并且需要一些关于跟踪所做的更改的好方法的想法。
我没有很多具体的标准,但以下是我希望能够做的一些基本的事情:
- 访问防火墙配置的先前修订版本
- 了解所做的更改以及更改者
- 当做出具体改变时
我想知道某种修订控制软件是否可以在这里作为跟踪更改的方法?或者在这种情况下是否有其他方法可以更好地管理变更控制。
目前我愿意接受所有建议。
编辑:
我们正在使用 Checkpoint 对,一个被动一个主动配置。有机会时我会再次更新具体型号。
答案1
今天 Resources.infosecinstitute.com 上有一篇文章讨论防火墙审计。虽然我知道这不是你想要的,但他们在文章底部引用了一些工具,可能会对你有所帮助。
- 尼珀
- Firemon 安全管理器 (该管理器用于配置管理。)
虽然这两种产品都是付费产品,但您可以使用一些基本脚本来使用自己的内部解决方案。RANCID 基本上会对各种配置文件进行差异分析。由于 Checkpoint 支持以文本格式备份配置,因此您可以安排此操作,然后使用一个基本脚本来比较结果并显示差异。除此之外,您还可以简单地提取审计日志,以将差异发生时进行更改的人联系起来。
答案2
另一个选择(付费产品)是 AlgoSec 安全管理套件,它在 SC Magazine 产品评论中获得了 5 星评价 -http://www.scmagazine.com/algosec-security--management-suite/review/3666/。该套件包含两个产品 - AlgoSec 防火墙分析器和 AlgoSec FireFlow。AlgoSec 防火墙分析器可分析防火墙策略并根据您的要求跟踪策略的变更。
这可能超出了您目前所寻找的范围,但它还可以识别风险规则(基于 NIST、PCI 等行业标准)、优化策略的机会(即识别未使用的规则、提供重新排序规则的建议等)、收紧过于宽松的规则(即任何来源、目标)、跟踪变更并自动执行 PCI、NERC CIP、SOX 等合规性审计。AlgoSec FireFlow 从防火墙分析仪获取分析并自动执行整个变更工作流程(它可以与现有的票务系统集成并提供关于变更影响、在何处进行变更等的底层情报)。
如果您有兴趣了解更多信息,以下是产品信息的链接:http://www.algosec.com/en/products/products_overview
祝你好运!
*免责声明 - 我为 AlgoSec 工作
答案3
我们有一个政策,如果您更新设备配置,那么您会在我们的 Subversion(SVN)存储库中以纯文本形式保存该配置的副本。
关于这一点的真正伟大的事情之一是,可以配置 SVN 以通过电子邮件发送每次签入的差异,因此,如果我在防火墙中添加规则,则其他需要知道的人都会收到我所做更改的副本。