пятница, 1 февраля 2019 г.

В чем польза хранения версий конфигурации NGFW

Межсетевой экран должен журналировать кто что на нем изменил и может хранить версии своих конфигураций.
Зачем могут потребоваться версии?
- Чтобы потом понять кто виноват и что с ним делать;
- Чтобы показать человеку разницу в настройках;
- Чтобы вернуться к нужной версии.
В Palo Alto Networks NGFW есть встроенная утилита для сравнения конфигураций в разделе Device->Config Audit, где можно выбрать нужные версии (при каждом commit версия текущая cadidate сохраняется), или текущие running и candidate конфиги. И утилита показывает зеленым - что было добавлено, желтым - что было изменено и красным - что было удалено. Кнопка Context позволяет показать нужное количество строк в конфиге, которые находятся до и после измененных строк.
В данном примере были исправлены настройки сервера LDAP и встроенного USER-ID агента. Также видно, что было передвинуто одно правило с места на место.
Сама конфигурация NGFW - это XML файл, который можно экспортировать и посмотреть в любом редакторе.