Die FwChange- Methodik

FwChange verbindet sich mit 33 Firewall-Hersteller-APIs und normalisiert Regelsyntax in ein herstellerunabhängiges Zwischenformat. Dies eliminiert den manuellen Export-Parse-Reformat-Zyklus, der typischerweise die ersten 2-4 Wochen jedes Migrationsprojekts verschlingt.

• 33 herstellerspezifische API-Treiber (PAN-OS XML, FortiOS REST, Check Point R80+, Cisco ASA REST und 29 weitere)
• Herstellerunabhängige Regelnormalisierung unter Beibehaltung von Quelle/Ziel/Service/Aktion/Logging-Semantik
• Automatische Objektauflösung: Adressgruppen, Servicegruppen und verschachtelte Referenzen
• Bulk-Import: 10.000+ Regeln in unter 60 Sekunden importiert

Nach der Normalisierung führt FwChange 18 automatisierte Security-Prüfungen durch, um Shadow-Rules, Konflikte, Redundanzen und Policy-Verletzungen zu identifizieren, die manuelle Reviews systematisch übersehen. Die KI-Analyse verarbeitet die gesamte Regelhierarchie, nicht nur einzelne Regeln isoliert.

• Shadow-Rule-Erkennung: identifiziert Regeln, die durch frühere Regeln in der Verarbeitungsreihenfolge nie greifen
• Konflikterkennung: gleiche Quelle/Ziel/Service-Kriterien mit widersprüchlichen Allow/Deny-Aktionen
• Redundanzanalyse: duplizierte und fast identische Regeln, die die Regelanzahl ohne Sicherheitsnutzen aufblähen
• Permissivitätsbewertung: markiert Any-Any, Any-Source, Any-Destination und zu weite CIDR-Bereiche
• Hygiene-Prüfungen: abgelaufene Regeln, deaktivierte aber vorhandene Regeln, Regeln ohne Logging oder Beschreibung

FwChange führt intelligente Regelübersetzung zwischen Herstersyntaxen durch und handhabt die semantischen Unterschiede, die Migrationen scheitern lassen. Dies ist keine String-Ersetzung. Die Translation-Engine versteht herstellerspezifische Konstrukte (Palo Alto applikationsbasierte Regeln, Fortinet Virtual Domains, Check Point Policy Layers) und mappt sie auf die entsprechenden Konstrukte der Zielplattform.

• Bidirektionale Übersetzung: Palo Alto <-> Fortinet <-> Check Point <-> Cisco und 29 weitere Hersteller-Kombinationen
• Anwendungsbewusstes Mapping: übersetzt App-ID (Palo Alto) zu Application Signatures (Fortinet) zu Custom Applications (Check Point)
• Objektübersetzung: Adressobjekte, Serviceobjekte und Gruppenhierarchien mit Namenskonflikt-Erkennung gemappt
• NAT-Regelübersetzung: Source-NAT, Destination-NAT und bidirektionales NAT über Herstersyntaxen hinweg

Bevor eine Regel eine Produktions-Firewall erreicht, validiert FwChange die übersetzte Konfiguration gegen 8 Compliance-Frameworks. Die Validierungs-Engine prüft jede Regel gegen regulatorische Anforderungen und Organisations-Policies und generiert automatisch audit-bereite Dokumentation.

• PCI-DSS 4.0: Anforderungen 1.1.1 bis 1.2.8 mit automatisierter Nachweisgenerierung
• ISO 27001: Annex A.13 Netzwerk-Sicherheitskontrollen-Dokumentation
• NIS2-Richtlinie: Artikel 21, 23, 24 Incident-Response und Change-Control-Validierung
• KRITIS / BSI: IT-Sicherheitsgesetz 2.0 Compliance für kritische Infrastruktur
• Zusätzlich: TISAX, SOX, VAIT/BAIT, DSGVO-Datenflussvalidierung
• 4 Threat-Intelligence-Feeds vor Deployment abgeglichen: AbuseIPDB, Emerging Threats, Feodo Tracker, AlienVault OTX