Palo Alto Networks
PAN-OS XML API · API-Key-Authentifizierung · Regel-CRUD, Policy-Abfragen, Health-Checks und Konfigurations-Backup. Getestet gegen PA-VM 10.x und 11.x, physisch, als VM und in der Cloud.
Herstellerübergreifende Abdeckung
Eine reale Umgebung besteht nie aus nur einem Hersteller. Palo Alto im Rechenzentrum, Fortinet in der Filiale, ein Check-Point-Cluster, das niemand anfassen will, und drei Clouds, von denen jede eine Regel anders nennt. FwChange liest sie alle und normalisiert jede Regel auf ein einziges herstellerneutrales Modell, so funktionieren Prüfung, Konfliktanalyse und Audit immer gleich, egal welches System die Policy durchsetzt.
Herstellerneutral von Grund auf
Jeder Hersteller modelliert eine Regel anders: hier Adressobjekte, dort Service-Gruppen, anderswo Security-Zonen. Diese Übersetzung steckt meist im Kopf eines einzelnen Engineers, also genau dort, wo ein Audit sie nicht sehen kann.
Im Produktiveinsatz
Diese Treiber tragen den vollständigen Pfad aus Lesen, Analysieren und Schreiben, mit Regel-CRUD, Policy-Abfragen und Konfigurations-Backup, und werden gegen die unten genannten Herstellerversionen erprobt.
PAN-OS XML API · API-Key-Authentifizierung · Regel-CRUD, Policy-Abfragen, Health-Checks und Konfigurations-Backup. Getestet gegen PA-VM 10.x und 11.x, physisch, als VM und in der Cloud.
FortiOS REST API · API-Token-Authentifizierung · Firewall-Policies, Adressobjekte, Services und VPN-Konfiguration. Getestet gegen FortiOS 6.x und 7.x auf Appliances, VM und in der Cloud.
R80+ Web API · API-Key plus Session-Authentifizierung · Access-Rules, NAT, Objektverwaltung und Policy-Installation. Getestet gegen R80.40 und R81.x auf Appliances und CloudGuard.
REST API · Basic-Authentifizierung · Access-Lists, Object-Groups, NAT und VPN. Getestet gegen ASA 9.x über ASA 5500-X, Firepower und ASAv hinweg.
Unterstützt
Die Plattformen, auf die eine Migration unterwegs tatsächlich trifft: die zweite Cisco-Linie, die On-Prem-Appliances und die Cloud- und SASE-Control-Planes, in denen Regeln zunehmend leben.
FMC REST API · Token-Authentifizierung · Access-Policies, Objektverwaltung und Deploy-Tasks. Getestet gegen FMC 7.x auf Firepower-Appliances und FTDv.
Dashboard REST v1 · API-Key-Authentifizierung · cloud-verwaltete Layer-3- und Layer-7-Firewall-Regeln über die gesamte MX-Serie.
Junos REST und NETCONF · Token- oder Zertifikats-Authentifizierung · Security-Policies und Address-Books. Getestet gegen Junos 21.x und 22.x.
iControl REST · Basic- oder Token-Authentifizierung · AFM-Firewall-Regeln und Address-Lists. Getestet gegen BIG-IP 15.x und 16.x.
REST API · API-Key plus Secret · Regeln und Aliases auf der Open-Source-Plattform. Getestet gegen 22.x, 23.x und 24.x; pfSense 2.6/2.7 läuft über denselben Treiber.
AWS SDK für EC2-Security-Groups und VPC; Azure SDK für Network-Security-Groups und Azure Firewall. IAM- bzw. Service-Principal-Authentifizierung.
Darüber hinaus reicht dasselbe Normalisierungsmodell weiter über Cloud- und SASE-Control-Planes: zusätzliche Anbieter, Open-Source-Plattformen und FWaaS-Edges, insgesamt mehr als dreißig Hersteller. Die vier produktiv eingesetzten Treiber oben sind diejenigen, auf die sich eine regulierte Änderung heute stützen kann; der Rest liest und normalisiert, damit eine gemischte Umgebung auf einer einzigen Nachweiskette bleibt.
Auf einen Blick
Womit jeder Treiber spricht, wie er sich authentifiziert und gegen welche Hersteller-Releases er erprobt wurde.
| Hersteller | API | Authentifizierung | Getestete Versionen | Stufe |
|---|---|---|---|---|
| Palo Alto Networks | PAN-OS XML API | API-Key | PA-VM 10.x, 11.x | Im Produktiveinsatz |
| Fortinet FortiGate | FortiOS REST API | API-Token | FortiOS 6.x, 7.x | Im Produktiveinsatz |
| Check Point | R80+ Web API | API-Key + Session | R80.40, R81.x | Im Produktiveinsatz |
| Cisco ASA | REST API | Basic-Auth | ASA 9.x | Im Produktiveinsatz |
| Cisco FTD / FMC | FMC REST API | Token-Auth | FMC 7.x | Unterstützt |
| Cisco Meraki MX | Dashboard REST v1 | API-Key | MX-Serie | Unterstützt |
| Juniper SRX | Junos REST + NETCONF | Token / Zertifikat | Junos 21.x, 22.x | Unterstützt |
| F5 BIG-IP AFM | iControl REST | Basic / Token | BIG-IP 15.x, 16.x | Unterstützt |
| OPNsense | REST API | API-Key + Secret | 22.x, 23.x, 24.x | Unterstützt |
| AWS | AWS SDK (EC2) | IAM-Credentials | EC2-, VPC-Security-Groups | Unterstützt |
| Microsoft Azure | Azure SDK | Service-Principal | NSG, Azure Firewall | Unterstützt |
| SASE / FWaaS | Anbieter-REST / GraphQL | API-Key / Token | Cloud-bereitgestellte Edges | Unterstützt |
Jeden Hersteller zu lesen zählt nur, wenn die Änderung darauf geprüft, analysiert und nachweisbar ist. Diese Logik stammt aus über 280 Migrationen in regulierten europäischen Umgebungen, festgehalten auf der Methodik-Seite.