У меня есть 2 вопроса о передовых методах управления и проверки правил брандмауэра.
Наша компания использует PaaS от хостинг-провайдера, они управляют брандмауэрами (Fortigate). Нам нужно знать, какие правила у нас есть, и организовать процесс изменения правил брандмауэра. Очевидно, что брандмауэр является общим, и у нас не будет доступа к его пользовательскому интерфейсу.
Проблема упорядочивания правил:
На данный момент у нас есть лист Google для заказа новых правил. Лист имеет уникальный идентификатор правила, категорию исходного и целевого трафика, группу исходных адресов, группу адресов назначения, группу портов, действие и автоматически сгенерированный комментарий, который в основном содержит идентификатор правила и категорию исходного и целевого трафика для упрощения просмотра.
Таким образом, правила, когда мы их запрашиваем, выглядят так:
"----Правило № id3205----
ansible-prod --> db-stage == через == ssh
Комментарий: [Правило № id3205] Решение [Staging]: Ansible --> DB"
Пока все хорошо, все четко и аккуратно.
Проблема в том, что хостинг-провайдер не может добавлять разные подсети в одну адресную группу. Насколько я понял, это связано с тем, что они привязали группу адресов к интерфейсу в политике брандмауэра, и если VLAN интерфейса не соответствует VLAN подсети в группе адресов, которая не работает. Так что нам нужно использовать много небольших адресных групп --> нужно больше правил.
У нас есть несколько тысяч правил брандмауэра, которыми нам нужно управлять и проверять, и их число растет. Мы пытаемся использовать правила для подсетей, но это не слишком помогает :)
Другая проблема заключается в том, что в брандмауэре есть несколько разделов, и если мы закажем доступ из подсети А в подсеть Б, и они принадлежат 2 разделам, то одно правило, которое мы запросили, становится 2 правилами в брандмауэре.
Таким образом, запрошенные нами правила не соответствуют реальной настройке брандмауэров.
Проблема проверки брандмауэра
Поскольку у нас нет доступа к брандмауэру, мы можем только попросить провайдера экспортировать правила для нас. Но как я писал выше - одно правило может стать 2-мя правилами в 2-х разных разделах. Так что отследить довольно сложно.
Кроме того, в более поздней версии Fortigate поставщик удалил счетчики обращений к политике, поэтому кажется, что теперь мы слепы и не знаем, активно используется конкретное правило или нет.
Вопросы
Я хотел бы спросить сообщество, есть ли какие-либо рекомендации по управлению и запросу правил брандмауэра, когда у вас нет доступа к консоли брандмауэра, и как вы выполняете проверку брандмауэра?
Может быть, кто-нибудь может поделиться, как вы вообще управляете правилами брандмауэра?
Большое спасибо.
