ACL Editor – это программа, позволяющая настроить ACL списки в сетевых устройствах.
Программа проверялась при загрузке конфигурационных файлов CISCO.
Основная цель программы - упростить настройку сетевых правил, исключить дублирования про настройке близких сетевых списков, организовать быстрый поиск и исправление правил.
Функции
Рекомендации по шагам ведения сетевых правил (ACL списков)
Рекомендации по настройкам сетевых правил (ACL списков)
Именование сетей, сервисов
Для каждого сервиса можно указать его название и внести комментарий
Так же можно внести описаний по используемым в правилах подсетям
Группировка сетевых правил (ACL), их комментирование
В одной строке правила можно указать несколько подсетей или сервисов, тем самым объединяя логически связанные сетевые правила
В каждом правиле можно указать комментарий, что позволяет проще поддерживать корректность правил в будущем. Правило можно временно отключить
Возможность оперировать в правилах группами сетей и сервисов
Если группа сервисов или сетей используется в нескольких правилах, то эту группу можно один раз завести в справочник и в правилах использовать уже группу. При изменении группы будут автоматически изменяться все правила, использующие группу.
Использование шаблонов правил
Стоит выработать несколько шаблонов, которые далее будут базой для ACL списков. Более строгие шаблоны использовать в DMZ части, менее строгие в остальной.
Например, пусть правила
statistics per-entry
3 permit icmp any any
10 permit tcp any any established
30 permit icmp any any echo-reply
40 permit tcp any any eq 80
50 permit tcp any any eq 443
разрешены для всех ВЛАНов. Тогда правильно эти строки вынести в шаблон, в ACL списках просто ссылаться на шаблон. Это позволяет концентрировать внимание только на переменной части ACL списков, сразу видеть сущностную часть.
Обработка лога сетевого устройства и быстрое добавление разрешающих и запрещающих правил
Сложно настроить ACL правило сразу так, чтобы весь трафик был детализирован по правилам. Так же постоянно меняется окружение и появляются новые потоки данных. Удобно в итоговом запрещающем правиле включить опцию log, что позволит на сетевом устройстве логировать все пакеты, которые проходят через данное правило. В таком случае при появлении нового сервиса трафик с него будет залогирован. И человек сможет принять решение, разрешать или запрещать новый трафик. Чтобы упростить анализ можно включить отправку копии логов с сетевого устройства на acledit.ru. Потом войти в форму анализа логов и проставить разрешения / запрещения по всем новым строкам. Acledit группирует строки и показывает, какое правило отправило трафик в лог. В большинстве случаев достаточно нажать только кнопку Permit (deny), а все параметры acledit заполняет сам на основании полученной строки лога.
Ведение истории изменений
Все внесенные изменения сохраняются. Можно посмотреть внесенные изменения за последний день или с момента последней выгрузки конфигурационного файла
Возможность командной работы
Каждый пользователь может разрешить редактирование конфигурации устройств перечисленным им пользователям. При выдаче разрешений возможен вариант выдачи прав только на редактирований или так же прав на подключение новых пользователей.
Условия использования
Программу можно использовать бесплатно согласно MIT License
© 2020 acledit@yandex.ru
При возникновении вопросов, предложений, обнаружении ошибок прошу их регистрировать по ссылке Gutlab.com проект acledit