Конфигурация межсетевого экрана в виде кода?
В настоящее время мы используем Sophos SG230 в качестве межсетевого экрана / восходящего маршрутизатора, и управление конфигурацией - настоящий ужас. Даже ручное резервное копирование конфигурации после каждого изменения приведет к неизменяемым двоичным изменениям файла резервной копии.
Существует ли де-факто стандарт для конфигурации маршрутизации / межсетевого экрана в виде кода? Я посмотрел на pfsense, но он тоже довольно привязан к графическому интерфейсу. По крайней мере, существует файл конфигурации, доступный для чтения человеком, но сложно сгруппировать правила в семантические пакеты.
У нас есть начали использовать REST api: s, которые становятся все более распространенными в инфраструктурных устройствах. Это работает настолько хорошо, что REST api теперь стал основным требованием при покупке инфраструктуры.
Получение конфигурации в формате json для хранения в svn или git упрощает как сравнение конфигураций, так и удобство чтения человеком. Так же как создание кодовых блоков json для загрузки на устройство из svn или git.
Похоже, что по крайней мере некоторые брандмауэры Sophos поставляются с REST api , может быть, ваш тоже?
Создание рабочего набора звонков на каждое устройство может занять некоторое время.Я предлагаю использовать клиент Postman для изучения методов REST устройства и для хранения рабочих вызовов. Когда у вас есть небольшая библиотека, содержащая все вызовы REST, которые вы хотите сделать против устройства, преобразование их в код выполняется быстро.
Старые iptables - вы можете редактировать config напрямую или сгенерировал его из frm bash / python / other или различных приложений с графическим интерфейсом.
Возможно, стоит взглянуть на UFW и firewalld. Я думаю, что Centos по умолчанию поставляется с firewalld, но я вернулся к iptables в качестве временного исправления, и однажды я посмотрю, как переключиться обратно и узнать, как он должен работать. Честный.