我认识的几个工程师正在使用puppet来维护 iptables 规则集。

http://projects.puppetlabs.com/projects/1/wiki/Module_Iptables_Patterns
https://github.com/camptocamp/puppet-iptables

大多数企业级防火墙（我知道 Check Point 和 MS ISA，我相信其他人也知道 - 但不是 iptables）允许您从单个管理控制台将规则集等分发到所有托管防火墙。

当然，这只是针对单个供应商的产品...对于不同类型的防火墙，我对Tufin很熟悉，但我认为它们相当高端——而且价格昂贵。

您可能对 FWbuilder 感兴趣 http://www.fwbuilder.org/

这是一个 GUI 工具，可帮助您为各种防火墙实现配置和分发（即推送）防火墙配置。

它将网络访问规则和防火墙配置选项“编译”成特定于版本的语法，并可以通过 SSH 将其推送到许多防火墙实现，如 Cisco ACL、iptables 和 openbsd PF。

各种设备的集中管理与这些节点的规则集的版本控制相结合是一种生产质量功能，也可以在企业防火墙管理应用程序中看到。