Анализатор Конфигов

[SMC]

Приветствую всех любителей ПАК HW!

Данному посту хочу придать статус опроса и рассуждений.

Предыстория: Есть у нас несколько ПАК HW2000, 1 только для транзита, а 2 остальных используются под ЦОДы. В последних поднято уже по 40+ VLANов. Нами было замечено, что при большой нагрузке (много мелких запросов, т.к. расположены всевозможные сервисы) иногда появлялись события 9 и 91, точнее в 2% случаев. Последняя прошивка это поправила, но осадок остался.

Поговорив с гуру сетевиком он сказал, что вообще-то на таких транспортных железках нужно по особому писать конфиги, а именно от общего к частному. Иногда учитывать и наиболее используемые направления потоков по отношению к разгруженным. Мотивировал он это все тем, что каждый пакет прогоняется по всем правилам конфига, и как находит совпадающее, делает выход из обработки. Соответственно время обработки пакета зависит на сколько высоко или низко расположено правило в списке. Эта временная величина не большая, но при умножении на 10000 пакетов в секунду, как у нас иногда бывает, получается до +200 миллисекунд, + нагрузка на проц.

Данное обстоятельство подтолкнуло меня на написание анализатора конфигов, который бы сам оптимизировал конфиг, отображал дублирующиеся правила, или идентичные, где один диапазон уже входит в другой, упрощал поиск ID/IP в диапазонах, т.п.

Спрашиваю общественность:

Нужна ли вам такая тулза?

Готовы ли вы или ваша организация символически вознаграждать за пользование данной тулзой?

[ingenico]

Речь идет об оптимизации правил в файле firewall.conf?

Поясните, о каких именно "конфигах" идет речь?

[SMC]

Долго отвечал, сори. Ударился в разработку.

Да ,все верно, речь идет о firewall.conf

Несколько скринов альфа версии приложения приложены.

Доступные оптимизаторы.

Редактирование протокола

Поиск

Редактор диапазона в правиле

[mkabulov]

Лично заплачу, если данная вещь будет работать не так "стабильно", как SGA

[SMC]

Скоро SGA не будет )

Это приложение переписываю капитально, ввиду формата правил (IP,IP)порт,порт).

Кстати написали еще 2 приложения. (по нему забацаем отдельный пост)

Одно собирает в один файл лога все журналы пакетов с сислог сервера (за день), а второе просматривает как сырцы так и обработанный файл.

Интерфейс похож на SGA специально. И хранить логи можно не 1-2 часа (при высокой нагрузке), а пока место в хранилке не кончится.

Сборщик ворочает 15ГБ лога за пол часа, работаем над увеличением скорости.

Просмотрщик ищет долго (10МБ лога в секунду) , то же пытаемся ускорить.

[intellegent]

SGA скоро замени webUI.

Поговорив с гуру сетевиком он сказал, что вообще-то на таких транспортных железках нужно по особому писать конфиги, а именно от общего к частному

Так это общий принцип для все FW на рынке. Только с точность наоборот от частного к общему. Самое общее правило всегда внизу, те последнее - блокировать все.

[SMC]

В случае с HW крнфиг читается сверху вниз, проверяли. В анализаторе есть функция нумеровки правил в зависимости от размера входящих диапазонов.

[SMC]

Желающие могут протестировать приложение. Прошу, все замечания и пожелания писать сюда. По мере свободного времени буду реализовывать. Стабильная работа замечена на версии JRE 7.55+