NetOpsCoding#2(https://atnd.org/events/74772)のLT資料です。

1. FIREWALL TEST AUTOMATION
- FWのポリシーテストを自動化してみた -
株式会社エーピーコミュニケーションズ
鈴木 飛鳥
2016.3.4
NetOpsCoding#2

2. FW構築の流れ
時間軸

3. FW構築の流れ
時間軸 設計
どんな通信を許可、拒否するかを決定

4. FW構築の流れ
時間軸 設計 構築
設計に基づいたコンフィグを投入

5. FW構築の流れ
時間軸 設計 構築 テスト
設計通り通信がフィルタされるか試験
(FWの両端にPCを接続して何度もコネクションを張る)

6. FW構築の流れ
時間軸 納品設計 構築 テスト
お客様先にFWを設置

7. 今の流れを踏まえた上で

9. 炎上パターン
時間軸

10. 炎上パターン
時間軸 設計
全然決まらない設計（めっちゃ遅延）

11. 炎上パターン
時間軸 設計 構築
設計に基づいたコンフィグを投入（楽勝！）

12. 炎上パターン
時間軸 設計 構築 テ
膨大な量のテストを短時間で行う

13. 炎上パターン
時間軸 納品設計 構築 テ
スケジュールが破綻してても納品日厳守

14. テストが一番つらい
時間軸 設計 構築 テ
犠牲者多発
納品
Icons made by Freepik from www.flaticon.com

15. テストが一番つらい
時間軸 設計 構築 テ
犠牲者多発
納品
実例：1400ポリシーのテスト
所要時間：150時間！
Icons made by Freepik from www.flaticon.com

16. テストが一番つらい
時間軸 設計 構築 テ
犠牲者多発
納品
FWのポリシーテスト
Icons made by Freepik from www.flaticon.com

17. テストが一番つらい
時間軸 設計 構築 テ
犠牲者多発
納品
FWのポリシーテスト
人間への負荷テスト
Icons made by Freepik from www.flaticon.com

19. と嘆いていても仕方ないので
楽になるツールを作りました

20. NEEDLE WORK
（needle work = 刺繍）

21. できること（ざっくり）
テスト内容を書いたCSVをインポートすると1
NEEDLE WORK
(on Linux)
Firewall
CSV

22. できること（ざっくり）
netnsで送受信用の仮想ホストを2つ作って
テスト内容を書いたCSVをインポートすると1
2
NEEDLE WORK
(on Linux)
Firewall
netnsnetns

23. できること（ざっくり）
netnsで送受信用の仮想ホストを2つ作って
namespace内でnetcatを起動して
テスト内容を書いたCSVをインポートすると1
2
3
NEEDLE WORK
(on Linux)
Firewall
netns
nc
netns
nc

24. できること（ざっくり）
netnsで送受信用の仮想ホストを2つ作って
namespace内でnetcatを起動して
FW経由でコネクションを張ってくれるツール
テスト内容を書いたCSVをインポートすると1
2
3
4
NEEDLE WORK
(on Linux)
Firewall
netns
nc
netns
nc

25. DEMO
https://youtu.be/yWYDjJvqKas

26. で、どれくらい効率化できるのか

27. どれくらい効率化できるか
150時間
1400ポリシー

28. どれくらい効率化できるか
150時間
18分!
1400ポリシー

29. 今後
L4レベルでしか試験できない
アプリ通信もできるようにしたい

30. 今後
今のところ新規FWのみが対象
稼働中のFWもテストしたい

31. ご清聴ありがとうございました