防火牆ACL配置自動化 - 配置解析
配置解析,是將不同品牌防火牆,將關鍵資訊提取出來,解析到統一的表格中。
這樣,即可開展後續的ACL策略分析。
同時,這些表格資料,還可以用於其他途徑,例如:
1)返回NAT資訊,不用再逐一登入防火牆查詢NAT資訊
2)伺服器下線時,提取所有關聯ACL,NAT配置
3)網路運維,經常會遇到被要求查詢某個地址/某個網段開過的所有策略,涉及到異構防火牆,靠人工幾乎無法實現,有了統一的防火牆表格資料,就可以輕鬆實現
1,防火牆解析表格設計
分為四個表格:
address:地址表,記錄每個地址組,以及其成員地址
port:埠表,記錄每個埠組,以及其成員
nat:NAT表,記錄防火牆對映關係
acl:策略表,記錄防火牆每條acl資訊,需要從address表/port表獲取其成員
表格採用json格式儲存
每張表的column欄位設計如下:
address: ['FwName', 'FwIP', 'ID', 'Zone', 'Type', 'Name', 'Members', 'Conf']
port: ['FwName', 'FwIP', 'ID', 'Type', 'Name', 'Protocol', 'Members1', 'Members2', 'Conf']
nat:['FwName', 'FwIP', 'ID', 'Type', 'SrcZone', 'DstZone', 'SrcName', 'SrcMembers', 'SrcTransName', 'SrcTransMembers','DstName', 'DstMembers', 'DstTransName', 'DstTransMembers','Conf']
acl: ['FwName', 'FwIP', 'ID', 'PolicyName', 'Action', 'Protocol', 'SrcArea', 'DstArea','SrcName', 'SrcMembers', 'DstName', 'DstMembers','PortName', 'PortMembers1', 'PortMembers2', 'Conf']
未完待續