Tufin和Firemon是这里的主要参与者。我没有使用 Firemon 的经验，但 Tufin 是一款可靠的产品。（我在 Tufin 没有经济利益，但我是客户）。

查看AlgoSec和Lumeta，看看他们的产品是否能满足您的需求。

披露：我与这些供应商没有亲身经历，也与他们没有任何财务关系。

您可能还想查看这个问题，这似乎是相关的。

虽然不完全是一个工具，但可能证明有用的是使用别名（如单词）作为网络名称/掩码/部分。然后在 shell 脚本中用正确的替换它们。在我看来，更常见的是使用命名 acl 来获取有意义的块并将 ACL 组装成一个庞大的规则集的 cisco 设备。它可能会使手动排除故障变得有点困难，但是当您添加/删除规则时每个子部分都没有被修改可能会帮助您将错误归零。只是一个想法。

我使用过 Tufin 和 Firemon，并且熟悉 AlgoSec。

Tufin 是一个很棒的产品，但它与几年前非常相似。在研发方面做得很少。

当我查看 AlgoSec 时，它对于我正在寻找的东西来说太笨重了。想象一下用于防火墙管理的 Arcsight - 很棒的产品，但需要大量的调整。

大约 4 年前，当我最初看 Firemon 时，我不是粉丝。今天，我用 Firemon 替换了我们所有的防火墙管理工具（Tufin、Eventia）。它提供了该领域所有工具都具备的核心产品——审计、规则使用统计等，并且它有一个非常棒的工作流程。例如，最终用户发出 FW 规则请求，然后您可以使用该工具来确定规则是否已经存在，如果不存在，您应该将规则放在哪里 - IE 存在具有相同目标和服务的类似规则，因此您可以只需将主机添加到源。

因此，Algosec、Tufin 和 Firemon 都应该完成工作，这只是最适合您需求的问题。我发现 Firemon 是当今最好的工具。