В чем польза хранения версий конфигурации NGFW

В чем польза хранения версий конфигурации NGFW
Межсетевой экран должен журналировать кто что на нем изменил и может хранить версии своих конфигураций.
Зачем могут потребоваться версии?
- Чтобы потом понять кто виноват и что с ним делать;
- Чтобы показать человеку разницу в настройках;
- Чтобы вернуться к нужной версии.
В Palo Alto Networks NGFW есть встроенная утилита для сравнения конфигураций в разделе Device->Config Audit, где можно выбрать нужные версии (при каждом commit версия текущая cadidate сохраняется), или текущие running и candidate конфиги. И утилита показывает зеленым - что было добавлено, желтым - что было изменено и красным - что было удалено. Кнопка Context позволяет показать нужное количество строк в конфиге, которые находятся до и после измененных строк.
В данном примере были исправлены настройки сервера LDAP и встроенного USER-ID агента. Также видно, что было передвинуто одно правило с места на место.
Сама конфигурация NGFW - это XML файл, который можно экспортировать и посмотреть в любом редакторе.



Alt text

ksiva

Пусть будет утренний в честь того, что я его создал утром.