很多企业会坚持使用同一家防火墙供应商，因为在不同供应商之间迁移配置是很艰巨的任务。不过，自动化可以加速这个流程，自动化使企业可删除未使用的规则，并将繁琐且容易出错的流程转变成快速且可靠的迁移过程，从而提高整体网络安全性。

在本文中，我们将看看NetCraftsmen公司如何通过自动化帮助其客户从原有防火墙供应商迁移到另一家防火墙供应商。在这个示例中，确切的防火墙型号并不重要，但防火墙的数量远远超出我们可手动处理的数量。

迁移什么？

在进行防火墙迁移时，你应该考虑，你是否迁移每个对象和规则，还是尝试在迁移过程中清理规则集？如果你进行变更，例如当你试图部署太多或太少阻止时，则很可能会犯错误，而导致应用程序故障或安全性不足。

最低影响机制通常涉及在两个不同供应商的配置间转换规则，同时采用一些简单的启发式方法来识别孤立对象。

手动过程

在我们的示例中，现场部署团队在缓慢地进行手动转换过程。源防火墙规则运行在IP元组：源端口、源地址、目标端口、目标地址和协议ID。他们不在乎入站接口或出站接口。

但是，目标防火墙需要指定入站和出站接口，这使转换防火墙规则的任务变得非常复杂。这样的结果是繁琐的过程。幸运的是，部署团队的手动工作确定了可重复过程的步骤，这使我们可部署自动化方法。

迁移防火墙配置

自动化过程的第一步是从源防火墙提取对象、规则和接口信息。我们决定将这些提取的信息导入Excel电子表格，以便可以通过电子表格列识别数据项。虽然转换到Excel是手动过程，但我们只需要执行一次，并可很快完成。

我们使用Python语言编写该转换系统，并利用OpenPyXL Excel操作库。这样做产生出一系列脚本，以部署三个主要步骤，每个步骤完成部分转换工作：

1. 逐步遍历所有对象（主机、网络、服务或组），并将每个对象与IP地址或地址范围相关联。这包括多个脚本，每个对象类型有一个脚本。
2. 对于每个对象和IP地址对，确定其关联的防火墙接口。
3. 分析每个安全策略、确定其方向，然后转换为目标防火墙配置格式。这里的大量工作用在处理异常。对于没有接口的对象，我们将其声明为无效对象（dead objects），并将其信息写入单独的文件。在其他情况下，源防火墙对象包括引用，以确定哪些应该是多个对象。我们通过创建新对象或将对象信息写入无效对象文件来处理这些问题。

自动化胜利

这些脚本获得巨大胜利。手动工作和运行脚本的比例很容易达到20：1。即使使用自动化，我们也必须在目标防火墙中验证最终的配置，以确保其已完成应做的工作。例如，我们最初的几次转换都遭遇失败，其中必须将一个对象分解为多个对象。当我们发现这些故障后，我们立即在脚本中进行更改以自动处理它们，随后故障变得不那么频繁。而我们也已经具备相关知识和基础系统，以简化客户其余防火墙的迁移工作。

第二个胜利是整体网络安全性的提高。新的防火墙规则确定了入站和出站接口，提高了安全性，并消除了数百个无效对象，从而使新防火墙更加高效。最后，不兼容的对象分离为单独的对象和规则，这显著简化规则。现在，安全团队需要管理更少的对象，并且，剩余的对象更加一致，并使用更简单的规则。