Есть ли какой-либо инструмент управления ACL брандмауэра, который может генерировать набор ACL для всей моей сети, включая коммутаторы, контрольные точки, маршрутизаторы cisco, windows, linux и т. Д.? Я думаю, что такой инструмент будет иметь смысл, поскольку таким образом сетевой ACL можно контролировать из одной точки, а правила брандмауэра в основном одинаковы на каждом устройстве, это либо обычная аппаратная фильтрация, либо проверка пакетов с отслеживанием состояния, иногда также с аппаратной поддержкой. Такой инструмент потребует определения всех устройств, интерфейсов (например, vlan), служб и протоколов, а затем, начиная с правила deny all, я мог бы просто добавить то, что требуется, сгенерировать файлы и загрузить их. Например, мне нужно опубликовать новую службу, поэтому мне нужно обновить брандмауэр на основном маршрутизаторе, коммутаторе и серверах, а также предоставить доступ через контрольную точку. Когда я нажимаю на правило, оно показывает мне всех людей, у которых есть доступ и т. Д. Я не думаю, что такой инструмент будет проблемой, потому что создать политику ACL брандмауэра единым способом очень просто.
Взгляните на Google Capirca Генератор ACL. На сегодняшний день они поддерживают Cisco IOS, Cisco ASA, JunOS, Juniper SRX и iptables. Они утверждают Capirca легко расширяется на другие платформы, но я никогда не делал этого сам.
У них есть Пример файла политики ACL это дает вам общее представление о том, как они структурируют движок.
Также посмотрите их демонстрационное видео