是否有任何防火墙 ACL 管理工具可以为我的所有网络生成一组 ACL,包括交换机、检查点、思科路由器、Windows、Linux 等?我认为这样的工具很有意义,因为这样就可以从单点控制网络 ACL,并且每个设备上的防火墙规则基本相同,它要么是正常的硬件过滤,要么是状态数据包检查,有时也具有硬件支持。这样的工具需要定义所有设备、接口(如 vlan)、服务和协议,然后通过从拒绝所有规则开始,我只需添加所需的内容,生成文件并上传它们。例如,我必须发布一项新服务,因此我需要更新核心路由器、交换机和服务器上的防火墙,并通过检查点授予访问权限。当我单击规则时,它会显示所有有权访问的人等。我认为这样的工具不会有问题,因为以统一的方式生成防火墙 ACL 策略非常容易。
答案1
看看谷歌的卡皮尔卡ACL 生成器。截至目前,它们支持 Cisco IOS、Cisco ASA、JunOS、Juniper SRX 和 iptables。他们声称卡皮尔卡可以轻松扩展到其他平台,但我自己从未这样做过。
他们有一个示例 ACL 策略文件这能让你对他们如何构建引擎有一个基本的了解。
还可以查看他们的演示视频