Existe alguma ferramenta de gerenciamento de ACL do Firewall que possa gerar um conjunto de ACLs para toda a minha rede, incluindo switches, pontos de verificação, roteadores Cisco, Windows, Linux etc.? Acho que essa ferramenta faria sentido, pois a ACL da rede pode ser controlada a partir do ponto único, assim como as regras de firewall são basicamente as mesmas em cada dispositivo, seja filtragem de hardware normal ou inspeção de pacotes com monitoração de estado. Essa ferramenta exigiria definir todos os dispositivos, interfaces (como vlans), serviços e protocolos e, em seguida, começando com negar todas as regras, eu poderia apenas adicionar o que é necessário, gerar os arquivos e enviá-los. Por exemplo, tenho que publicar um novo serviço, por isso preciso atualizar o firewall no roteador central, no switch e nos servidores e também dar acesso via ponto de verificação. Quando clico na regra, mostra-me todas as pessoas que têm acesso, etc. Eu não acho que essa ferramenta seria um problema porque é muito fácil gerar uma política de ACL de firewall de maneira unificada.
Dê uma olhada no gerador de ACL Capirca do Google. A partir de hoje, eles suportam o Cisco IOS, o Cisco ASA, o JunOS, o Juniper SRX e o iptables. Eles afirmam que Capirca é facilmente extensível a outras plataformas, mas eu nunca fiz isso sozinho.
Eles têm um Exemplo de arquivo de políticas da ACL que fornece uma ideia básica de como eles estruturam o motor.
Confira também o vídeo de demonstração