현재 저는 Python 스크립트를 사용하여 iptables규칙을 생성하고 있습니다. 각 변경 사항 세트는 배포 전에 git 저장소에 커밋되므로 누가 무엇을, 왜 변경했는지 추적할 수 있습니다.
다른 사람들은 방화벽 규칙 변경 사항을 관리하기 위해 어떤 도구/프로세스를 사용합니까? 방화벽 변경 제어 모범 사례에 대해 원하는 가이드가 있습니까?
고쳐 쓰다:내가 원하는 것은 해당 영역에 대한 도구/프로세스라고 생각합니다. 예를 들어 대규모 방화벽 스크립트를 테스트하는 것은 매우 어렵습니다. 테스트 스크립트를 사용/작성한 적이 있거나 사용할 수 있는 단위 테스트 유형 접근 방식을 아는 사람이 있습니까 iptables?
답변1
Shorewall과 같은 iptables 규칙을 생성하는 고급 소프트웨어를 사용할 수 있습니다. 규칙의 일관성과 오류를 확인하는 "shorewall check" 명령이 있습니다.
답변2
나는 방화벽에 대한 변경 제어가 다른 것과 크게 다르지 않다고 생각하므로 표준 소스 제어가 작동할 것입니다. git 또는 svn을 사용하고 스크립트에서 체크인을 자동화하세요.
답변3
표준 소스 제어 도구가 이에 완벽하게 적합할 수 있습니다. 이를 자동화하는 경우, 잘못된 구성 배포에 대한 일정 수준의 보호를 제공하기 위해 체크인 후크에 유효성 검사(Luc이 언급한 "해안벽 검사"와 같은)를 추가하는 것도 고려할 수 있습니다.