Präfix & Subnetz
Jede Adresse in einer Regel wird auf ihr kleinstes umschließendes NetBox-Präfix aufgelöst und trägt Standort, VRF, Mandant und Beschreibung mit sich.
Integration · NetBox
Eine Firewall-Regel ist eine Menge von Adressen und Ports. NetBox weiß, was diese Adressen bedeuten, welches Präfix, welcher Standort, welches Gerät, welcher Mandant. FwChange liest diesen Kontext und stellt ihn direkt neben die Regel, sodass ein Prüfer die Änderung gegen das reale Netzwerk beurteilt und nicht gegen eine Vermutung.
Warum es zählt
Die meisten Regelprüfungen finden blind statt. Ist 10.42.0.0/16 die DMZ oder ein internes Benutzersegment? Ist 203.0.113.5 ein aktives Produktions-Gateway oder ein Host, der im letzten Quartal außer Betrieb genommen wurde? Diese Fragen zu beantworten heißt, den Prüfbildschirm zu verlassen und das IPAM von Hand zu durchsuchen, was die meisten Prüfer nicht tun und stattdessen aus dem Gedächtnis freigeben.
FwChange schließt diese Lücke. Während eine Änderung in der Prüfung liegt, löst es jede Quelle und jedes Ziel gegen NetBox auf und zeigt die Zuordnung direkt an, das Präfix, dessen Standort und Mandant sowie das nächstgelegene Gerät, sodass die Entscheidung darauf gründet, was das Netzwerk heute ist.
Was synchronisiert wird
FwChange liest aus NetBox, es schreibt niemals. Der Connector verwendet einen nur lesenden API-Token und ruft genau so viel ab, wie eine Prüfung anreichert, und legt das Ergebnis dann in einem Cache ab, damit Ihre Single Source of Truth nicht unter Last gerät.
Jede Adresse in einer Regel wird auf ihr kleinstes umschließendes NetBox-Präfix aufgelöst und trägt Standort, VRF, Mandant und Beschreibung mit sich.
Eine Firewall, die mit ihrem NetBox-Gerät verknüpft ist, zeigt Name, Seriennummer, Rack und Standort, samt Deep Link direkt zurück zum Datensatz.
Die Mandantenzuordnung wandert mit dem Präfix mit, sodass ein Prüfer sehen kann, wessen Segment eine Änderung berührt, bevor er sie freigibt.
In der Analyse
FwChange erkennt bereits verdeckte Regeln, redundante Policy und zu freizügige any/any-Zugriffe, bevor eine Änderung ausgeliefert wird. NetBox-Daten machen dieses Urteil schärfer: Eine offene Regel zu einem Host, den das IPAM als stillgelegt markiert, ist ein anderes Risiko als dieselbe Regel in ein aktives Produktionspräfix.
Wie es sich verbindet
Kein Agent, kein Schreibzugriff, keine Kopie Ihres IPAM. FwChange hält einen verschlüsselten Token und fragt NetBox live ab, wenn eine Prüfung ihn benötigt.
Erstellen Sie in NetBox einen API-Token mit deaktiviertem Schreibzugriff. Setzen Sie ein Ablaufdatum, falls die Richtlinie es verlangt. Dieser Token ist der gesamte Fußabdruck.
Geben Sie die NetBox-Basis-URL und den Token ein. Die Anmeldedaten werden im Ruhezustand mit AES-256-GCM verschlüsselt und auf Ihre Organisation beschränkt.
FwChange ruft den Status-Endpunkt auf, bestätigt die NetBox-Version und markiert den Connector als aktiv. Selbstsignierte Zertifikate werden je Connector behandelt.
Öffnen Sie eine beliebige ausstehende Änderung. Jede Quelle und jedes Ziel wird inline auf ihr NetBox-Präfix aufgelöst, wobei die Antworten fünf Minuten zwischengespeichert werden, um Ihre Instanz zu schonen.
Auf Sicherheit ausgelegt
Der Connector spricht standardmäßige NetBox-REST-Endpunkte: Status, Geräte, Präfixe, stabil seit der 3.x-Linie und unterstützt ab NetBox 3.7. Er läuft konzeptionell auf einem nur lesenden Token, sodass es für FwChange keinen Weg gibt, einen Datensatz anzulegen, zu bearbeiten oder zu löschen.
NetBox bleibt die Single Source of Truth. FwChange borgt sich dessen Kontext für die Dauer einer Prüfung und gibt nichts zurück, das gegen Ihr IPAM gespeichert, geändert oder als verbindlich angesehen würde. Ihre Datensätze sind genau so, wie Sie sie hinterlassen haben.
Die NetBox-Integration ist ein Teil davon, wie FwChange aus einer Firewall-Änderung eine Entscheidung macht, die Sie verteidigen können. Sehen Sie, wo sie in die Plattform passt, oder lesen Sie die ausführlichere Begründung, warum eine Regelprüfung Netzwerkkontext braucht.