網絡路徑分析工具 助力防火墻管理和故障修復
網絡路徑的分析工具和助力防火墻管理還有故障修復是十分重要的。雖然像路由跟蹤這樣的網絡路徑分析工具在檢查各個網絡設備對網絡數據包傳輸的影響是很有效的,但是它們無法幫助工程師了解網絡安全設備的作用。
Athena Security公司新的PathFinder網絡路徑分析產品提供了這樣的安全基礎架構可見性。網絡工程師可以將防火墻、交換機和路由器的配置數據上傳到工具中,這樣就可以生成一個離線的虛擬網絡模型。然后它們就可以在這個網絡模型中模擬數據包傳輸,并且PathFinder還可以預測到設備配置和防火墻規則將如何影響數據包流。
便利連鎖商店Kwik Trip在劃分網絡的DMZ之后,局域網和廣域網管理員Chuck Serauskas發現某些類型的流量在網絡片段中會被掛斷。因此,他使用PathFinder來修復這個問題。
“在有了PathFinder之后,我們一直都使用它來修復故障……路徑是如何通過我們的ASA [Cisco Adaptive Security Appliance]的呢,”他說道。“對于PCI,我們最近將我們的DMZ分割成了4個不同的DMZ。當我們第一次創建時,我們的路由并不是剛好通過它,而且我們的VMware工作人員在使用我們DMZ中的某些服務器時也遇到了一些問題。”
通過PathFinder的離線網絡路徑分析功能,Serauskas可以使用他的設備配置來創建一個網絡模型,并通過DMZ發送模擬數據包。他發現ASA會攔截某些通過的數據包。他檢查了ASA的規則,發現某些規則是通過一個在劃分之前已經棄用的老路徑來發送數據包。
“我們只需要修改DMZ上的路徑——在防火墻上進行恰當的修改——同時一旦我們修改了配置,我們就可以在PathFinder上運行一個新的測試。”他說。“一旦我們知道了VMware管理員正在嘗試獲得的IP地址已經可以正確傳輸數據,那么我們就可以將修改應用到生產環境中。”
網絡路徑分析工具幾乎不考慮安全性
網絡工程師有很多可以執行網絡流量分析的工具,其中就有一些像路由跟蹤這樣的簡單工具,也有具備網絡路徑分析功能的大型系統管理產品,如Opnet和Compuware。但是,這些工具中的大多數都是面向網絡設備和主機的——而非網絡安全設備。
“防火墻規則變更而最終導致應用程序出現性能問題的情況是屢見不鮮的。在查找性能問題時,通常不會檢查這個地方,但它還是會產生重大影響的,”Enterprise Management Associates的網絡管理研究主管Jim Frey說道。
在一些IT組織中,使用網絡流量分析工具和網絡路徑分析工具的管理員并不太熟悉防火墻的規則和設置,因此一個可以提供防火墻對網絡路徑影響的可視化模型的工具是非常有用的。
“防火墻規則是很冗長的,因此能夠提供一些關于防火墻工作方式的可視化表現,這對那些并不是非常熟悉防火墻代碼的人員而言是非常有好處的,”銀行技術供應商FIS Global的Healthcare Government Billings Solution Group的資深信息安全分析師Richard Barretto說道。
Barretto最近購買了Athena的防火墻管理產品PathFinder 和FirePAC。他購買這些工具是為了改進他組織的防火墻審計過程,但是他同時發現PathFinder也可以作為網絡流量分析和故障修復工具。
“實際上您可以修復某些從一個源傳輸到一個目標的流量,同時根據規則設置確定可能出現流量中斷或者可能出現問題的地方,”他說道。
使用網絡路徑分析查找錯誤
PathFinder在發現網絡安全性問題方面也是很有用的,如數據包被傳輸到了它們不應該到達的地方。
“當我們檢查一個客戶網絡時,我們總是假設可能存在某些方面的網絡安全問題,而圖謀不軌的人如果不斷地進行嘗試,他們就可能進入網絡。”信息安全服務公司Jacadis的安全分析師Larry Rosen說道。“通過使用一個像PathFinder的工具,我們就可以看到和知道,當某個身份的人進入網絡后,他還能去往哪里?我們使用它來嘗試分析一些給網絡上帶來特定漏洞的威脅。我們的客戶可以根據需要強化他們的規則。
“很多公司都沒有配備全職的防火墻管理員,而且在網絡上測試一個新的應用程序時,通常非專業技術人員會在防火墻上添加一些專用的規則,”Rosen說道。“然而在測試完成之后,他們會忘記刪除該規則。這樣的規則變更可能會產生一個危險的漏洞。一個具備良好可視化功能的網絡流量分析工具可以快速定位網絡上存在的此類問題。”
另外的兩個防火墻生命周期管理供應商是Skybox Security和RedSeal Systems,雖然它們都擁有類似于Athena PathFinder的網絡路徑分析功能,但它們是大型產品套件的組成部分,而PathFinder是一個獨立的產品,不能直接控制防火墻基礎架構的網絡工程師可以用它來修復故障,Rosen說道。
“事實上,網絡工程師可以將PathFinder引入到整個變更管理過程中,”Jacadis資深安全分析師Jerod Brennen說道。“如果您擁有一個可以表示變化之后情況的路由器配置文件或者防火墻配置文件,那么您可以通過查詢某些重要的路徑服務來評估該流量是否將進行傳輸。”
【編輯推薦】
