Tufin e Firemon sono i principali attori qui. Non ho esperienza con Firemon, ma Tufin fa un prodotto solido. (Non ho interessi finanziari in Tufin, ma sono un cliente).

Dai un'occhiata ad AlgoSec e Lumeta per vedere se i loro prodotti faranno ciò che desideri.

Divulgazione: non ho esperienza personale con questi fornitori , né ho alcun rapporto finanziario con loro.

Potresti anche voler dare un'occhiata a questa domanda, che sembra correlata.

Sebbene non sia esattamente uno strumento, qualcosa che potrebbe rivelarsi utile è l'uso di alias (come parole) per nomi / maschere / sezioni di rete. Quindi sostituirli con quelli corretti in uno script di shell. Più comunemente, a mio parere, sarebbero i dispositivi Cisco che utilizzavano ACL denominati per blocchi significativi e assemblavano gli ACL in un insieme di regole enorme. Potrebbe rendere un po 'più difficile la risoluzione manuale dei problemi, ma ogni sottosezione non modificata quando aggiungi / rimuovi una regola potrebbe aiutarti a concentrarti sugli errori. Solo un pensiero.

Ho usato sia Tufin che Firemon e ho familiarità con AlgoSec.

Tufin è un ottimo prodotto, ma è più o meno lo stesso di anni fa. Poco è stato fatto in termini di R&D.

Quando ho esaminato AlgoSec, era troppo voluminoso per quello che stavo cercando. Immagina Arcsight per la gestione del firewall: ottimo prodotto, ma ha richiesto una grande quantità di messa a punto.

Quando inizialmente ho esaminato Firemon circa 4 anni fa, non ero un fan. Oggi ho sostituito tutti i nostri strumenti di gestione del firewall (Tufin, Eventia) con Firemon. Offre i prodotti principali che fanno tutti gli strumenti in questo spazio: controllo, statistiche sull'utilizzo delle regole, ecc. E ha un pezzo di flusso di lavoro davvero eccezionale. Ad esempio, un utente finale effettua una richiesta di regola FW e quindi puoi utilizzare lo strumento per capire se la regola esiste già e in caso contrario dove dovresti inserire la regola - IE Esiste una regola simile con la stessa destinazione e servizio, quindi puoi basta aggiungere un host a Source.

Quindi Algosec, Tufin e Firemon dovrebbero portare a termine il lavoro, è solo questione di ciò che si adatta meglio alle tue esigenze. Ho trovato Firemon lo strumento migliore oggi.

Conosco un po ' Tufin, anche se più con l'azienda che con il prodotto.
Non posso davvero parlare per esperienza, ma presumibilmente il loro SecureTrack un prodotto> aiuta a gestire set di regole di grandi dimensioni.
(Sì, è commerciale e non gratuito ...)

TFX di terreActive è utilizzato da molti grandi giocatori in Svizzera. Non posso dirti quali lo utilizzano effettivamente, ma l ' elenco di clienti dovrebbe darti un'idea del livello a cui stiamo lavorando.

Dichiarazione di non responsabilità: io lavoro lì .

Matasano crea un prodotto chiamato playbook, creato per la gestione di set di regole di grandi dimensioni su grandi distribuzioni di firewall.

Disclaimer: so di aver appena menzionato Thomas Ptacek nella mia ultima risposta, ma non ho alcun interesse finanziario nella sua azienda; Penso solo (nonostante l ' hack) che siano generalmente abbastanza bravi in ​​quello che fanno.