我和其他一个人将很快接pipe日常的防火墙pipe理任务,我正在寻找一种方法来跟踪我们的防火墙configuration的变化,以进行审计,并且需要一些好的方法来跟踪变化制作。
我没有很多具体的标准,但是这里有一些我想要做的基本的事情:
我想知道是否有某种版本控制软件可以作为追踪这些变化的方法吗? 或者如果其他方法在这种情况下更好地pipe理变更控制。
在这一点上,我愿意接受任何build议。
编辑:
我们使用一个Checkpoint对,一个被动的主动configuration。 当我有机会时,我会再次更新具体的型号。
今天在Resources.infosecinstitute.com上有一篇关于防火墙审计的文章。 虽然我知道这不是你所要求的,但有一些工具可以帮助你。
虽然这两种都是为产品付费,但您可以使用自己的内部解决scheme和一些基本的脚本。 RANCID基本上做各种configuration文件的差异。 由于Checkpoint支持以文本格式对configuration进行备份,因此您可以计划此操作,然后使用基本脚本来区分结果并显示差异。 除此之外,您可以简单地拉取审计日志,以便在出现差异时将发生更改的人员联系在一起。
AlgoSec安全pipe理套件的另一个select(支付产品)是SC杂志产品评论中的5颗星中最高的5颗星 – http://www.scmagazine.com/algosec-security–management-suite/review/ 3666 / 。 该套件由两个产品组成 – AlgoSec防火墙分析器和AlgoSec FireFlow。 AlgoSec防火墙分析器可以分析防火墙策略,并根据您的需求跟踪策略的变化。
这可能超出了你在这个阶段所寻找的范围,但是另外它还可以识别有风险的规则(基于NIST,PCI等行业标准),优化策略的机会(即识别未使用的规则,提供重新sorting规则的build议,收紧过于宽松的规则(即ANY Source,Dest),跟踪变更并自动执行PCI,NERC CIP,SOX等合规审计。 AlgoSec FireFlow从防火墙分析器中进行分析,并自动完成整个变更工作stream程(可以与现有的售票系统集成,并提供潜在的智能,只要变更的影响,进行更改的地点等)。
如果您有兴趣了解更多信息,请点击以下链接: http : //www.algosec.com/en/products/products_overview
祝你好运!
*免责声明 – 我为AlgoSec工作
我们有一个策略,如果你更新一个设备configuration,那么你在Subversion(SVN)存储中以纯文本的forms保存configuration的副本。
其中一个真正伟大的事情是,SVN可以configuration为通过电子邮件发送每个签入的差异,所以如果我向防火墙添加规则,其他所有需要知道的人都会获得我所做的更改的副本。