Роль Ansible для демонстрации брандмауэра

Обзор

Универсальная роль Ansible для разных платформ брандмауэра. Цель — обеспечить универсальный способ конфигурирования правил брандмауэра на разных платформах с одинаковой схемой входных данных. Легко расширяется для других платформ брандмауэра. Впереди новые функции (например, NAT).

Поддерживаемые платформы

• Juniper SRX
• PaloAlto PanOS
• Fortigate FortiOS

Охваченные темы

• конфигурирование политик и правил
• конфигурирование адресной книги
• метод: команды CLI
• метод: шаблоны Jinja

Соответствие сервисов

Для каждой поддерживаемой платформы должен быть определён статический файл переменных в папке /vars. Эти словари соответствуют каждому универсальному сервису конкретной платформе.

Требования

зависит от коллекций:

• junipernetworks.junos
• paloaltonetworks.panos
• fortinet.fortios

Схема данных для правил

fw_rules:
  - name: rule_C
    src:
      zone: "port2"
      addresses:
        - name: "inside_host_D"
          ipv4: "10.10.2.3"
    dest:
      zone: "port3"
      addresses:
        - name: "pub_host_A"
          type: host
          ipv4: "7.7.7.1"
        - name: "pub_host_B"
          type: host
          ipv4: "7.7.7.2"
    services:
      - http
      - https
    rule:
      action: "permit"
      logging_init: false
      logging_close: true
      ips_sensor: "default"