Jump to content

Анализатор конфигов, спрашиваю общественность  

15 members have voted

  1. 1. Нужна ли вам такая тулза?



Recommended Posts

Приветствую всех любителей ПАК HW!

Данному посту хочу придать статус опроса и рассуждений.

Предыстория: Есть у нас несколько ПАК HW2000, 1 только для транзита, а 2 остальных используются под ЦОДы. В последних поднято уже по 40+ VLANов. Нами было замечено, что при большой нагрузке (много мелких запросов, т.к. расположены всевозможные сервисы) иногда появлялись события 9 и 91, точнее в 2% случаев. Последняя прошивка это поправила, но осадок остался.

Поговорив с гуру сетевиком он сказал, что вообще-то на таких транспортных железках нужно по особому писать конфиги, а именно от общего к частному. Иногда учитывать и наиболее используемые направления потоков по отношению к разгруженным. Мотивировал он это все тем, что каждый пакет прогоняется по всем правилам конфига, и как находит совпадающее, делает выход из обработки. Соответственно время обработки пакета зависит на сколько высоко или низко расположено правило в списке. Эта временная величина не большая, но при умножении на 10000 пакетов в секунду, как у нас иногда бывает, получается до +200 миллисекунд, + нагрузка на проц.

Данное обстоятельство подтолкнуло меня на написание анализатора конфигов, который бы сам оптимизировал конфиг, отображал дублирующиеся правила, или идентичные, где один диапазон уже входит в другой, упрощал поиск ID/IP в диапазонах, т.п.

Спрашиваю общественность:

Нужна ли вам такая тулза?

Готовы ли вы или ваша организация символически вознаграждать за пользование данной тулзой?

Share this post


Link to post
Share on other sites

Речь идет об оптимизации правил в файле firewall.conf?

Поясните, о каких именно "конфигах" идет речь?

Share this post


Link to post
Share on other sites

Долго отвечал, сори. Ударился в разработку.

Да ,все верно, речь идет о firewall.conf

Несколько скринов альфа версии приложения приложены.

Доступные оптимизаторы.

ViPNet%20HW%20Config%20Analizator%202.png

Редактирование протокола

ViPNet%20HW%20Config%20Analizator%203.png

Поиск

ViPNet%20HW%20Config%20Analizator%201.png

Редактор диапазона в правиле

Редактор%20правила%204.png

Share this post


Link to post
Share on other sites

Лично заплачу, если данная вещь будет работать не так "стабильно", как SGA

Share this post


Link to post
Share on other sites

Скоро SGA не будет )

Это приложение переписываю капитально, ввиду формата правил (IP,IP):(порт,порт).

Кстати написали еще 2 приложения. (по нему забацаем отдельный пост)

Одно собирает в один файл лога все журналы пакетов с сислог сервера (за день), а второе просматривает как сырцы так и обработанный файл.

Интерфейс похож на SGA специально. И хранить логи можно не 1-2 часа (при высокой нагрузке), а пока место в хранилке не кончится.

Сборщик ворочает 15ГБ лога за пол часа, работаем над увеличением скорости.

Просмотрщик ищет долго (10МБ лога в секунду) , то же пытаемся ускорить.

Share this post


Link to post
Share on other sites

SGA скоро замени webUI.

Поговорив с гуру сетевиком он сказал, что вообще-то на таких транспортных железках нужно по особому писать конфиги, а именно от общего к частному

Так это общий принцип для все FW на рынке. Только с точность наоборот от частного к общему. Самое общее правило всегда внизу, те последнее - блокировать все.

Share this post


Link to post
Share on other sites

В случае с HW крнфиг читается сверху вниз, проверяли. В анализаторе есть функция нумеровки правил в зависимости от размера входящих диапазонов.

Share this post


Link to post
Share on other sites

Желающие могут протестировать приложение. Прошу, все замечания и пожелания писать сюда. По мере свободного времени буду реализовывать. Стабильная работа замечена на версии JRE 7.55+

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.