Было бы очень здорово иметь возможность именовать сети, сервисы и т.д. как это реализовано в PIX файрволах. Это бы значительно упростило организацию, и вы бы избежали множества правил, выполняющих одно и то же, но для разных направлений. Например, для определения хостов и сетей:
name host server1 xxx.xxx.xxx.xxx
name host server2 xxx.xxx.xxx.xxx
name net net1 xxx.xxx.xxx.xxx/xx
name net net2 xxx.xxx.xxx.xxx/xx
name netgroup webservers server1, server2
name netgroup mynets, net1, net2, webservers
name service http tcp dport 80
name service smtp tcp dport 25
name service ssh tcp dport 22
name service domain udp 53
name servicegroup standardservices http, smtp
name servicegroup deniedservices ssh, udp
ip firewall add source mynets allow standardservices
ip firewall add dest webservers allow standardservices
ip firewall add dest mynets drop deniedservices
Я не говорю о том, что синтаксис должен быть именно таким, это просто пример того, как такая возможность упростит нам жизнь с множеством сетей и хостов… потому что быстро становится практически невозможно сохранять общую картину в файрволе со многими правилами. Какие мнения?
С уважением, Flóvin
name host server1 xxx.xxx.xxx.xxx
name host server2 xxx.xxx.xxx.xxx
name net net1 xxx.xxx.xxx.xxx/xx
name net net2 xxx.xxx.xxx.xxx/xx
name netgroup webservers server1, server2
name netgroup mynets, net1, net2, webservers
name service http tcp dport 80
name service smtp tcp dport 25
name service ssh tcp dport 22
name service domain udp 53
name servicegroup standardservices http, smtp
name servicegroup deniedservices ssh, udp
ip firewall add source mynets allow standardservices
ip firewall add dest webservers allow standardservices
ip firewall add dest mynets drop deniedservices
Я не говорю о том, что синтаксис должен быть именно таким, это просто пример того, как такая возможность упростит нам жизнь с множеством сетей и хостов… потому что быстро становится практически невозможно сохранять общую картину в файрволе со многими правилами. Какие мнения?
С уважением, Flóvin
