大規模なファイアウォールルールセットを管理するためのツールは何ですか？

Question

エンタープライズファイアウォールの場合、5万を超えるルールがある場合があります。誤って入力されたネットワークマスクなどのファイアウォールルールの一般的なエラーにより、リリースを手動で確認することはできませんでした。

それでは、どのようなツールが利用できますか？無料またはその他。

fianchetto · Accepted Answer

Tufin と Firemon がここの主要なプレーヤーです。 Firemonの経験はありませんが、Tufinは確かな製品を製造しています。（私はTufinに金銭的な利害関係はありませんが、顧客です）。

D.W. · Answer

AlgoSec と Lumeta をチェックして、彼らの製品があなたの望むように動作するかどうかを確認してください。

情報開示：私はこれらのベンダーとの個人的な経験はなく、それらとの経済的関係もありません。

また、関連があると思われるこの質問も確認してください。

RobotHumans · Answer

正確にはツールではありませんが、ネットワーク名/マスク/セクションにエイリアス（単語など）を使用すると便利な場合があります。次に、それらをシェルスクリプトで正しいものに置き換えます。私の意見では、より一般的には、意味のあるチャンクに名前付きACLを使用し、ACLを大規模なルールセットにアセンブルするCiscoデバイスでしょう。手動でのトラブルシューティングが少し難しくなる可能性がありますが、ルールを追加または削除するときに各サブセクションが変更されていない場合は、エラーをゼロにするのに役立ちます。ちょっとした考え。

user1490 · Answer

TufinとFiremonの両方を使用しており、AlgoSecに精通しています。

Tufinは素晴らしい製品ですが、何年も前とほとんど同じです。研究開発の方法でほとんど行われていません。

AlgoSecを調べたところ、探していたものには大きすぎました。 Arcsight for Firewall Management-優れた製品ですが、多くの調整が必要です。

もともと4年ほど前にFiremonを見たとき、私はファンではありませんでした。今日、私はすべてのファイアウォール管理ツール（Tufin、Eventia）をFiremonに置き換えました。この領域のすべてのツールが実行するコア製品（監査、ルール使用統計など）を提供し、ワークフローは非常に優れています。たとえば、エンドユーザーがFWルールリクエストを作成し、ツールを使用して、ルールがすでに存在するかどうか、存在しない場合はどこにルールを配置するかを判断できます-IE同様のルールが存在します同じ宛先とサービスを使用して、ソースにホストを追加できます。

したがって、Algosec、Tufin、Firemonはすべて仕事を完了するはずです。それは、ニーズに最も適合するものの問題です。今日、Firemonが最良のツールであることがわかりました。

AviD · Answer

私は Tufin に少し精通していますが、製品を操作するよりも会社に詳しいです。
私は経験から実際に話すことはできませんが、おそらく彼らの SecureTrack 製品は大きなルールセットの管理に役立ちます。
（はい、それは商用であり、無料ではありません...）

l0b0 · Answer

[〜＃〜] tfx [〜＃〜] from terreActiveは、スイスの多くの大手企業で使用されています。実際にどれを使用しているのかはわかりませんが、顧客リストは、私たちが現在取り組んでいるレベルの概要を示しています。

免責事項：私はそこで働いています。

user502 · Answer

Matasanoは playbook と呼ばれる製品を作成します。これは、ファイアウォールの大規模な展開で大規模なルールセットを管理するために構築されています。

免責事項：最後の回答でThomas Ptacekについて述べたばかりですが、彼の会社には金銭的な利害関係はありません。私は（ hack にもかかわらず）彼らは一般的に彼らが何をするかにかなり優れていると思います。