Zum Hauptinhalt springen
rogueai
Startseite / Portfolio / FwMigrate
Security Tooling

FwMigrate

KI-gestützte Firewall-Migration über 33 Hersteller

Erstellt von Rogue AI · Firewall-Konfigurationsübersetzung mit LLM-Prüfdurchlauf · Selbst gehostet

Allein über einen fokussierten Entwicklungszyklus als Portfolio-Demo gebaut; iteriert anhand echter Hersteller-Konfigurationsbeispiele.

FwMigrate — KI-gestützte Firewall-Migration über 33 Hersteller

Das Problem

Eine Firewall-Regelbasis von einem Hersteller zu einem anderen zu migrieren ist langsam, manuell und fehleranfällig. Jeder Hersteller hat eine eigene Konfigurationsgrammatik, ein eigenes Objektmodell, eigene Zonensemantik und eigene NAT-Konventionen. Eine Regel, die auf der Quellplattform sicher ist, kann auf dem Ziel unbemerkt ihre Bedeutung ändern. Von Hand sind das Stunden an Übertragung pro Gerät und ein langer Schwanz subtiler Fehler, die erst im Produktivverkehr auffallen.

Was ich gebaut habe

Ein Web-Werkzeug, das eine Konfiguration durch eine feste Pipeline schickt: die Quell-Konfiguration in ein normalisiertes Regelmodell parsen, die äquivalente Konfiguration für den Zielhersteller erzeugen, einen LLM-Durchlauf zur Prüfung des erhaltenen Sinngehalts laufen lassen und ein annotiertes Diff mit Risiko-Markierungen pro Regel anzeigen. Parsing und Generierung sind deterministische, codebasierte Herstellermodule hinter einer Factory; das LLM dient nur dazu, über semantische Abweichung nachzudenken und Regeln zu erklären — niemals als primärer Übersetzer. Eine prüfende Person genehmigt, bearbeitet oder verwirft jede übersetzte Regel, bevor irgendetwas exportiert wird.

Architektur

Deterministisches Parsen → Normalisieren
Jeder Quellhersteller hat einen eigenen Parser, ausgewählt über eine ParserFactory. Er liest die Roh-Konfiguration in ein herstellerneutrales Modell aus Regeln, Objekten und NAT-Einträgen ein — die normalisierte Schicht, mit der jede spätere Stufe arbeitet, sodass Hersteller-Eigenheiten einmalig am Rand behandelt werden.
Codebasierte Zielgenerierung
Eine passende GeneratorFactory erzeugt die Syntax des Zielherstellers aus dem normalisierten Modell. Die Übersetzung ist echter Code, kein Prompt — dieselbe Eingabe erzeugt dieselbe Ausgabe, was man bei sicherheitsrelevanter Konfiguration genau will.
LLM-Durchlauf zur Sinnerhaltung
Ein lokales Ollama-Modell prüft jede übersetzte Regel gegen ihre Quellabsicht und markiert wahrscheinliche Abweichungen (Zonenzuordnung, implizites any, Dienst-/Port-Diskrepanzen). Es ist eine beratende Prüfschicht oberhalb der deterministischen Übersetzung, nicht der Motor, der die Umwandlung vornimmt.
Annotiertes Diff + Risikobewertung
Die Ausgabe ist ein Diff pro Regel mit Konfidenz und einer groben LOW/MEDIUM/HIGH-Risikoheuristik, dazu ein exportierbarer Migrationsbericht und ein Rollback-Plan mit herstellerbewussten CLI-Befehlen in umgekehrter Reihenfolge. Regeln mit niedriger Konfidenz werden zuerst angezeigt, damit ein Mensch dort hinschaut, wo es darauf ankommt.
Schwesterwerkzeug zum Change-Management
Genehmigte oder bearbeitete Regeln lassen sich in ein separates Firewall-Change-Management-System als prüfungspflichtige Änderungen übergeben, samt Migrations-Metadaten (Herstellerpaar, Konfidenz, Ausgangskonfiguration). Die Migrationsausgabe landet in einer Prüf-Warteschlange, statt direkt auf ein Gerät zu gehen.

Tech-Stack

Next.jsPrisma 7PostgreSQLOllamaNextAuth 5

Was zuerst gebrochen ist

  • Halte das LLM aus dem kritischen Pfad heraus. Herstellerübersetzung hat für eine gegebene Eingabe eine richtige Antwort, gehört also in deterministischen Code; die Aufgabe des Modells ist es, zu finden, was der Code übersehen hat — nicht, die Umwandlung selbst vorzunehmen.

  • Einmal am Rand normalisieren. Ein einziges herstellerneutrales Regelmodell bedeutete, dass das Hinzufügen eines Herstellers nur einen Parser plus einen Generator brauchte, während Analyse, Diffing und Berichtswesen unberührt blieben.

  • Unsicherheit sichtbar machen, nicht verbergen. Konfidenz und Risiko-Markierungen pro Regel, die Arbeit mit niedriger Konfidenz nach oben sortieren, sind ehrlicher — und für eine prüfende Person nützlicher — als ein einzelnes grünes Häkchen über einer ganzen Migration.

Ergebnis

Eine funktionierende End-to-End-Demo: Quell-Konfiguration einfügen, normalisierte Ansicht erhalten, eine übersetzte Ziel-Konfiguration, ein LLM-geprüftes Risiko-Diff und einen exportierbaren Plan mit Rollback-Schritten. Es ist ein Portfolio-Projekt, kein eingesetzter Migrationsdienst — sein Wert liegt darin, die Form eines sicheren, KI-gestützten Migrationsablaufs zu zeigen, bei dem das Modell berät und ein Mensch entscheidet.

Ehrliche Grenzen

Selbst gehostet und allein als lokale Lab-Portfolio-Demo gebaut (der alte VPS wurde stillgelegt). Die LLM-gestützte Übersetzungsprüfung ist genau das — unterstützend. Sinnerhaltung über Hersteller hinweg ist nicht garantiert: Parser und Generatoren decken häufige Fälle ab, nicht jeden Dialekt oder jede Sonderfunktion, und das Modell kann Abweichungen übersehen oder falsch lesen. Jede Ausgabe ist als Entwurf zu behandeln, den eine Firewall-Fachkraft gegen die echten Plattformen prüfen muss, bevor er die Produktion berührt. Es werden keine Verfügbarkeits- oder Genauigkeitsversprechen gemacht.

Verwandte Beiträge

← Zurück zum Portfolio