Tufins APG, ein Feature der jüngsten Version 5.0 von SecureTrack, ermöglicht es Administratoren, auf Basis einer Firewall-Logfile-Analyse automatisiert ein Firewall-Regelwerk zu generieren. Dazu inspiziert das Tool mit Hilfe der "Permissive-Rule-Analysis-Technik" des Herstellers für einen gewissen Zeitraum den Firewall-Datenverkehr, um daraus dann ein präzises Regelwerk zu erzeugen, das den unternehmenskritischen Traffic steuert. Die "Any"-Objekte in einer Firewall-Regelbasis, die große Freiheiten gewähren, werden laut Tufin durch reale Netzadressen und Services ersetzt. Auf diese Weise soll auch ein allzu freizügiger Zugang zu den Netzressourcen unterbunden werden.

Laut Anbieter kann die APG-Software, die auf allen gängigen Firewalls läuft, auch dazu genutzt werden, eine Firewall in einem noch nicht geschützten Netzsegment mit nur minimaler Unterbrechung des Betriebs zu installieren.

Die Vorteile einer dahin gehenden Automatisierung aus Expertensicht: Unmissverständlich definierte Firewall-Regeln reduzierten Schwachstellen in der Netzsicherheit und verhinderten die bei Firewalls nicht selten vorkommenden Systemausfälle, was im Ergebnis zu weniger (teuren) Supportanfragen führe, so Eric Ogren, Chefanalyst der Ogren Group. "Eine Automation sorgt dafür, dass die auf diese Weise generierten Firewall-Regeln das tatsächliche Nutzungsverhalten aufgreifen und als Norm festlegen." (kf)