【51CTO.com獨(dú)家翻譯】目前，在市面上存在著可以使防火墻具有更高效率、帶來更多效益的工具，Skybox和RedSeal就是這些產(chǎn)品廠商中的個(gè)中翹楚。

任何一個(gè)在復(fù)雜企業(yè)環(huán)境中運(yùn)行過多種防火墻的人都知道，捕捉錯誤的配置、避免防火墻規(guī)則（rule）相沖突、識別漏洞，以及滿足審計(jì)與規(guī)則遵從（compliance）有多么的困難。

在此次測試中，我們重點(diǎn)關(guān)注的是五款防火墻操作管理產(chǎn)品：AlgoSec公司的防火墻分析器（Firewall Analyzer），RedSeal公司的網(wǎng)絡(luò)顧問（Network Advisor）和漏洞顧問（Vulnerability Advisor），Secure Passage公司的FireMon，Skybox公司的View Assure和View Secure，以及Tufin公司的SecureTrack。

我們發(fā)現(xiàn)，這些產(chǎn)品的核心功能基本相似：能夠檢索防火墻（以及其他網(wǎng)絡(luò)設(shè)備）的配置文件、存儲并分析數(shù)據(jù)。如果安全策略遭到了破壞，它們可以查看歷史變更記錄、分析現(xiàn)有的防火墻規(guī)則、執(zhí)行基于規(guī)則的查詢，重新改變規(guī)則次序，并發(fā)出警報(bào)。它們還可以自動審計(jì)規(guī)則遵從，并生成相關(guān)報(bào)告。

此外，它們還能利用真實(shí)網(wǎng)絡(luò)的即時(shí)快照版本進(jìn)行建模與網(wǎng)絡(luò)攻防測試。Algosec、RedSeal和Skybox還能提供所在網(wǎng)絡(luò)的相關(guān)圖表和拓?fù)湟晥D。

總的來說，RedSeal和Skybox在此次測試中給我們留下的印象最為深刻，因?yàn)樗鼈兂司邆淙康幕竟δ芡?，還能支持多個(gè)廠商的漏洞掃描產(chǎn)品。這些漏洞掃描產(chǎn)品可以對網(wǎng)絡(luò)存在的風(fēng)險(xiǎn)進(jìn)行評分，并在整個(gè)網(wǎng)絡(luò)范圍內(nèi)進(jìn)行脆弱性分析。除了這兩款產(chǎn)品，其他的產(chǎn)品同樣給我們留下了很深的印象。

Algosec的防火墻分析器有一個(gè)直觀的界面和預(yù)定義的標(biāo)準(zhǔn)審計(jì)和分析報(bào)告。該軟件安裝方便，同時(shí)還提供了一個(gè)簡單的數(shù)據(jù)收集向?qū)В╳izard）。

RedSeal的網(wǎng)絡(luò)顧問和漏洞顧問可以讓用戶了解自己的網(wǎng)絡(luò)配置在防御來自互聯(lián)網(wǎng)的威脅方面做得如何。該軟件可以生成漏洞報(bào)告以顯示網(wǎng)絡(luò)存在的缺點(diǎn)，還包含了一些預(yù)先配置的規(guī)則遵從管理報(bào)告，有PDF和XML兩種格式。

Secure Passage的FireMon可以對網(wǎng)絡(luò)設(shè)備配置進(jìn)行實(shí)時(shí)的分析，并通過規(guī)則遵從自動分析來保持最新狀態(tài)。它還有一個(gè)專門的向?qū)В墒沟幂斎朐O(shè)備信息能一并發(fā)送到大型網(wǎng)絡(luò)中。

Skybox的View Assure and View Secure能夠按照小時(shí)、天、星期、月或年來自動收集配置文件信息。它內(nèi)置了一個(gè)售票系統(tǒng)（ticketing system），支持訪問變更票（access change tickets）和策略破壞票（policy violation tickets）。

Tufin的SecureTrack擁有一個(gè)假設(shè)（What-If）分析的特性，以在策略實(shí)施之前對它們可能引起的變化進(jìn)行測試。預(yù)定義的分析/報(bào)告選項(xiàng)是以行業(yè)最佳實(shí)踐為基礎(chǔ)的。

下面將分別詳細(xì)介紹所測試的五款產(chǎn)品：

AlgoSec防火墻分析器

我們測試了基于Linux的AlgoSec防火墻分析器軟件包，該軟件包擁有：分析引擎、收集引擎、Web服務(wù)器、針對本地和遠(yuǎn)程管理的GUI，以及用戶、策略存儲和系統(tǒng)日志數(shù)據(jù)庫。

該分析器的引擎按照預(yù)定義或自定義的規(guī)則對收集的數(shù)據(jù)進(jìn)行查詢，然后生成一份詳細(xì)的報(bào)告。同時(shí)，Web服務(wù)器將把警報(bào)信息通過電子郵件發(fā)送給防火墻管理人員。

該安裝程序包支持32位紅帽企業(yè)級Linux 4和5，以及Centos 4和5。在測試中，我們把該程序作為一個(gè)VMware應(yīng)用設(shè)備安裝在了戴爾600SC服務(wù)器上。一旦VMware Player加載到了防火墻分析器上，它就會啟動并以超級管理員用戶（root）進(jìn)行登錄，然后再打開防火墻分析器瀏覽程序。當(dāng)瀏覽器的路徑設(shè)置為https://hostaddress/時(shí)，會出現(xiàn)Algosec的管理界面，點(diǎn)擊login（登錄）將會啟動管理應(yīng)用程序客戶端。

防火墻分析器有三種數(shù)據(jù)收集方法：通過訪問管理選項(xiàng)卡上的向?qū)В籄lgoSec提供的半自動腳本；或者人工來完成搜集，但這種方式很費(fèi)時(shí)，也容易導(dǎo)致錯誤。

一旦文件被檢索并進(jìn)行了存儲，防火墻分析器就會運(yùn)行一種基于PCI規(guī)則遵從、NIST、SANS Top 20和供應(yīng)商最佳實(shí)踐的風(fēng)險(xiǎn)分析。在測試中我們發(fā)現(xiàn)，用戶還可以創(chuàng)建自定義的分析報(bào)告。選擇防火墻報(bào)告（Firewall Reports）選項(xiàng)，就可以顯示總結(jié)了網(wǎng)絡(luò)變化、發(fā)現(xiàn)結(jié)果、策略優(yōu)化、規(guī)則重新排序和防火墻信息的圖表和網(wǎng)絡(luò)連通示意圖，以及一個(gè)防火墻連接圖。選擇風(fēng)險(xiǎn)（Risks）選項(xiàng)，可以顯示與風(fēng)險(xiǎn)代碼有關(guān)的發(fā)現(xiàn)結(jié)果以及處理風(fēng)險(xiǎn)的建議和圖表等詳細(xì)信息。

在測試中通過查看Algosec歷史變更記錄報(bào)告，我們獲得了防火墻規(guī)則變更的細(xì)節(jié)。在歷史變更記錄面板的底端，我們看到了可以進(jìn)行交互式流量檢索、報(bào)告比較以及能夠生成一組其他防火墻報(bào)告的特性。

優(yōu)化策略（Optimization Policy）特性提供了規(guī)則清理（Rules Cleanup）和重新排序（Reordering）功能。在規(guī)則清理報(bào)告中，列出了所有需要糾正的規(guī)則和實(shí)例數(shù)目。一些在清理報(bào)告做了標(biāo)記的規(guī)則類型都被貼上了未使用（unused）、隱藏（covered）、冗余（redundant）、不起作用（disabled）以及不符合標(biāo)準(zhǔn)的命名規(guī)則等標(biāo)簽。對象清理（Object Cleanup）也有一個(gè)類似的清單。規(guī)則重新排序報(bào)告為我們提供了有關(guān)“如何完善規(guī)則”和“規(guī)則有多少可以改善的空間”等信息。你還可以訪問一個(gè)告訴你“如何進(jìn)行防火墻變更”的詳細(xì)報(bào)告。

AlgoSec防火墻分析器客戶端的面板布局合理并且是多層次的，因此用戶很容易找到各個(gè)功能特性和向?qū)?。?yōu)化策略（Optimize Policy）是一個(gè)有用的向?qū)?，它可以找到特定的?guī)則并對其進(jìn)行清理。目前有一些預(yù)定義的規(guī)則遵從（如PCI-DSS、ISO/IEC 27001、Sarbanes-Oxley）審計(jì)。此外，規(guī)則遵從報(bào)告的結(jié)構(gòu)組織良好，支持PDF、HTML和XML三種格式。雖然AlgoSec沒有集成漏洞掃描器，但是它在規(guī)則遵從審計(jì)和規(guī)則優(yōu)化方面表現(xiàn)得非常出色。

#p#

RedSeal網(wǎng)絡(luò)顧問和漏洞顧問

使用RedSeal網(wǎng)絡(luò)顧問4.1和漏洞顧問4.1，你可以自動化分析、識別、量化和減少復(fù)雜網(wǎng)絡(luò)中的風(fēng)險(xiǎn)和漏洞。通過使用插件，網(wǎng)絡(luò)顧問可以從每個(gè)支持的設(shè)備中導(dǎo)入配置文件。在測試中，我們很喜歡這種方式，因?yàn)樵谝腼L(fēng)險(xiǎn)和漏洞分析后，我們能夠創(chuàng)建一個(gè)有著最佳實(shí)踐分析和修復(fù)解決方案的統(tǒng)一網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

我們是在運(yùn)行著Windows XP的Dell服務(wù)器上安裝的Red Seal軟件。一旦服務(wù)器安裝并啟動，客戶端也隨即被安裝。在使用客戶端應(yīng)用程序進(jìn)行了登錄后，我們得以訪問一個(gè)功能完善的GUI控制臺服務(wù)器。

網(wǎng)絡(luò)顧問和漏洞顧問都需要將路由器、交換機(jī)和防火墻的配置文件導(dǎo)入到數(shù)據(jù)庫中。分析引擎負(fù)責(zé)處理主機(jī)名、IP地址、子網(wǎng)掩碼和設(shè)備接口等信息。分析結(jié)果會以圖形顯示、報(bào)告和圖表的形式呈現(xiàn)，詳細(xì)說明了目前網(wǎng)絡(luò)的狀態(tài)和配置。其插件可應(yīng)用于思科、Check Point、Juniper和其他多個(gè)公司的產(chǎn)品。

當(dāng)設(shè)備配置文件被導(dǎo)入到RedSeal顧問后，這些文件將以RedSeal最佳實(shí)踐數(shù)據(jù)庫為標(biāo)準(zhǔn)進(jìn)行核對。我們可以通過雙擊一個(gè)選中的行來深度查找違規(guī)的策略。任何對主機(jī)和設(shè)備的改變都可以使用查看變更（View Changes）應(yīng)用程序進(jìn)行分析與匯報(bào)。

我們通過使用RedSeal自定義的最佳實(shí)踐檢查特性，分析了防火墻規(guī)則的使用情況，并對其進(jìn)行了重新排序。利用一個(gè)正則表達(dá)式工具，我們可以搜索配置文件并使用與設(shè)備相關(guān)聯(lián)的插件。由于配置文件可以被編輯，我們進(jìn)行了假設(shè)（what-if）分析以確定規(guī)則的改變是否會對網(wǎng)絡(luò)產(chǎn)生不利影響。

RedSeal提供了預(yù)配置的規(guī)則遵從管理分析報(bào)告。我們還可以添加自定義報(bào)告，并安排在特定時(shí)間運(yùn)行。我們分析和報(bào)告的是網(wǎng)絡(luò)配置的良好程度（與最佳實(shí)踐進(jìn)行對比），以及哪些資產(chǎn)已暴露在互聯(lián)網(wǎng)上。

我們看好RedSeal漏洞分析界面顯示網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖的方式，它提供了圖形化分析網(wǎng)絡(luò)漏洞的方法，圖中的箭頭由威脅來源指向處于風(fēng)險(xiǎn)中的網(wǎng)絡(luò)資產(chǎn)。該結(jié)構(gòu)圖以通用漏洞評價(jià)體系（CVSS）為基礎(chǔ)，提供了量化風(fēng)險(xiǎn)所需的詳細(xì)信息，這是一個(gè)省時(shí)并能保護(hù)寶貴資產(chǎn)的重要特性。在對目標(biāo)網(wǎng)段進(jìn)行預(yù)定義的PCI-DSS分析時(shí)，該拓?fù)鋱D特性提供了一個(gè)類似的解決方法，我們只需點(diǎn)擊一下鼠標(biāo)就可以選擇一個(gè)網(wǎng)絡(luò)段并對其運(yùn)行分析報(bào)告。

RedSeal的產(chǎn)品集成了多家知名公司（如Qualys、nCircle和McAfee）的漏洞掃描器，以提供漏洞和風(fēng)險(xiǎn)度量體系。如果您想對風(fēng)險(xiǎn)和漏洞進(jìn)行量化并按資產(chǎn)價(jià)值進(jìn)行資源分配，我們向您推薦本產(chǎn)品。

#p#

Secure Passage公司的FireMon

Secure Passage公司的FireMon程序是通過對防火墻安全策略變化進(jìn)行報(bào)告、檢查未使用的規(guī)則，以及報(bào)告流量是怎樣通過規(guī)則這三種方式來管理防火墻的。該程序可以對規(guī)則遵從方針（compliance guidelines，如支付卡行業(yè)和美國國家安全局）進(jìn)行自動分析，從而保障規(guī)則遵從的安全。

FireMon的架構(gòu)包括一個(gè)應(yīng)用程序服務(wù)器、一個(gè)數(shù)據(jù)收集器和一個(gè)圖形用戶界面（GUI）。應(yīng)用程序服務(wù)器負(fù)責(zé)對收集的數(shù)據(jù)進(jìn)行跟蹤，實(shí)時(shí)分析事務(wù)和設(shè)備配置，并生成預(yù)定的報(bào)告。數(shù)據(jù)收集器是FireMon在網(wǎng)絡(luò)設(shè)備或PC上運(yùn)行的一個(gè)應(yīng)用程序，主要用于監(jiān)測和收集來自防火墻、交換機(jī)、路由器，以及其他網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)。我們在Windows Vista上快速安裝了FireMon管理客戶端，之后又以用戶名、密碼、IP地址和端口號登錄到FireMon服務(wù)器，從而使用其管理控制臺。

FireMon提供了一個(gè)向?qū)В员銓?dǎo)入Check Point、思科、F5、Juniper、諾基亞和McAfee / Secure Computing等公司的網(wǎng)絡(luò)設(shè)備。一旦向?qū)Ы⒘烁鱾€(gè)設(shè)備的入口，所有相關(guān)的防火墻、管理服務(wù)器和日志服務(wù)器都將被自動發(fā)現(xiàn)并按序加入到FireMon中。

#p#

防火墻、路由器和交換機(jī)的規(guī)則策略管理

FireMon程序提供了幾種分析防火墻、路由器以及交換機(jī)規(guī)則/策略的工具。在測試中，我們使用了防火墻網(wǎng)絡(luò)流量分析（Firewall Traffic Flow Analysis）工具生成了一個(gè)報(bào)告，以反映在大型網(wǎng)絡(luò)中所配置的防火墻“ANY”規(guī)則。我們可以通過減少或去掉過于隨意的“ANY”規(guī)則和太復(fù)雜的規(guī)則，對防火墻進(jìn)行相應(yīng)的調(diào)整。

我們查看了一些規(guī)則策略管理報(bào)告，并生成了FireMon規(guī)則建議報(bào)告（Rule Recommendation Report），以便分析諸如來自源地址和目的地址的https請求數(shù)據(jù)包等問題。它還能讓我們知道針對所請求的訪問是否存在一個(gè)安全策略。該報(bào)告的底部還列出所測試的每項(xiàng)安全策略的表格，包含了從源地址到目的地址的路由。該報(bào)告有http、pdf和xml三種格式。

我們測試了規(guī)則比較（Rule Comparison）特性，它能分析不斷變化的設(shè)備策略規(guī)則。我們還發(fā)現(xiàn)，該報(bào)告采用不同顏色表示的圖標(biāo)來代表“變化”、“插入”、“刪除”以及“相同”四種屬性。你可以利用這個(gè)報(bào)告將安全策略恢復(fù)到已知的一個(gè)良好狀態(tài)，這將有助于防火墻信息的遷移。

Secure Passage軟件的功能易于掌握的，并且組織合理。在測試中我們發(fā)現(xiàn)，一些分析和報(bào)告向?qū)Вㄈ缫?guī)則建議報(bào)告，Rule Recommendation Report）演示了如何設(shè)置參數(shù)的有用實(shí)例。FireMon的網(wǎng)絡(luò)流量分析特性還可以幫助我們確定如何消除在審計(jì)時(shí)所發(fā)現(xiàn)的防火墻ANY規(guī)則。用戶可以將一個(gè)邏輯嚴(yán)密的報(bào)告打印出來，以便詳細(xì)查看網(wǎng)絡(luò)流量在從源地址到目的地址傳輸過程中實(shí)際使用了哪些端口和服務(wù)。利用這份報(bào)告，防火墻管理員可以創(chuàng)建一個(gè)更安全的規(guī)則來取代ANY規(guī)則。

雖然FireMon的規(guī)則比較分析報(bào)告（Rule Comparison Analysis Report）采用不同顏色來表示不同的安全策略變化，剛開始使用的時(shí)候顯得有點(diǎn)混亂，但我們?nèi)匀挥X得FireMon在優(yōu)化服務(wù)器規(guī)則和創(chuàng)建審計(jì)追蹤方面有著出色的表現(xiàn)，該產(chǎn)品可以被看作是一款優(yōu)秀的企業(yè)級防火墻管理軟件。

#p#

Skybox公司的View Assure和View Secure

Skybox Risk View平臺由兩個(gè)產(chǎn)品構(gòu)成，它們分別是：Skybox Secure 4.5（負(fù)責(zé)風(fēng)險(xiǎn)暴露和安全狀況分析，以及威脅警報(bào)管理），以及Skybox Assure（用于管理防火墻和執(zhí)行網(wǎng)絡(luò)規(guī)則遵從審計(jì)）。這一平臺是可擴(kuò)展的，由Skybox View服務(wù)器、Skybox View收集器、Skybox View管理器和Skybox View字典組成。其字典包括各種定義的數(shù)據(jù)庫，以及漏洞、威脅、蠕蟲和網(wǎng)絡(luò)安全策略方面的信息。

通過掃描器并分析漏洞，Skybox可以將來自網(wǎng)絡(luò)的威脅進(jìn)行分類、量化并按重要性排序。使用Skybox Assure軟件套件，用戶可以管理網(wǎng)絡(luò)策略驗(yàn)證、監(jiān)管規(guī)則審計(jì)和網(wǎng)絡(luò)設(shè)備變更。隨著自動化功能的引入，用戶還能對數(shù)以千計(jì)的防火墻規(guī)則庫進(jìn)行審計(jì)檢查。

我們發(fā)現(xiàn)，Skybox的安裝文檔非常完善。在安裝過程中，用戶手冊和教程會被自動加載到C盤上。

Skybox提供了幾種方法，可以將設(shè)備的配置文件導(dǎo)入到Skybox View數(shù)據(jù)庫中。你可以使用具有收集功能的添加設(shè)備（Add Device）向?qū)?yīng)用程序，直接從設(shè)備中導(dǎo)出配置文件。除此之外，還有幾種其他的方法可以自動完成配置信息收集過程。如果配置信息位于一個(gè)數(shù)據(jù)庫或者文件庫（file repository）中，則該信息可直接導(dǎo)入到Skybox View中。如果你想直接導(dǎo)入各網(wǎng)段的配置文件，那么你還得配備額外的Skybox View收集器。

在此次測試中，我們使用的是操作控制臺（Operational Console）來創(chuàng)建任務(wù)，使用了新建任務(wù)向?qū)В∟ew Task wizard）并選擇了一個(gè)任務(wù)類型（Task Type）。對于數(shù)據(jù)收集時(shí)間安排，控制臺也有便捷的選項(xiàng)，你可以將其設(shè)置為具體的某個(gè)小時(shí)、或者設(shè)置為每天、每星期、每月、每年。我們也可以規(guī)劃任務(wù)向?qū)В═ask Wizard），以便安排從文件庫中導(dǎo)入配置文件數(shù)據(jù)的操作。

我們可以創(chuàng)建在預(yù)定時(shí)間運(yùn)行的任務(wù)序列。這樣的任務(wù)序列有退出代碼，以便某個(gè)任務(wù)失敗時(shí)，其他任務(wù)可以無阻的導(dǎo)入配置、運(yùn)行審計(jì)和變化管理。

我們看到，應(yīng)用程序接口（API）也可以用來簡化防火墻與第三方大型管理工具的集成，比如可以獲取配置文件的Opsware軟件。

一旦配置文件被加載到Skybox View中，Skybox View Assure的規(guī)則遵從審計(jì)程序?qū)⑹褂闷漕A(yù)定義的最佳實(shí)踐訪問策略來對防火墻策略進(jìn)行分析。最佳實(shí)踐策略將與設(shè)備配置規(guī)則/策略進(jìn)行比較，從而發(fā)現(xiàn)安全違規(guī)和配置錯誤。用戶可以使用策略規(guī)則遵從報(bào)告（Policy Compliance Report）表來查看遭到破壞的規(guī)則（Violated Rules）、訪問規(guī)則遵從（Access Compliance）和防火墻規(guī)則的規(guī)則遵從（Rule Compliance）。如果出現(xiàn)訪問規(guī)則遵從報(bào)告故障，規(guī)則違反將會被重點(diǎn)提出，關(guān)于此次規(guī)則違反的細(xì)節(jié)也將在報(bào)告中詳細(xì)說明。

我們測試了風(fēng)險(xiǎn)暴露分析器（Risk Exposure Analyzer），它可以模擬潛在的攻擊和訪問情況。在Skybox Secure創(chuàng)建了一個(gè)安全模型的虛擬映射后，它還會在假定（what-if）攻擊情形下進(jìn)行一次業(yè)務(wù)影響分析。這些假定情況都是基于惡意代碼和黑客攻擊。使用這個(gè)分析器，我們看到了一個(gè)顯示黑客詳細(xì)攻擊過程和網(wǎng)絡(luò)訪問路徑的工作流程圖。

攻擊測試的結(jié)果會被用于評估安全攻擊在機(jī)密性、完整性和可用性方面對業(yè)務(wù)造成的影響。Skybox Secure可以引入業(yè)務(wù)影響規(guī)則以便對資產(chǎn)進(jìn)行分類，并確定一個(gè)精確的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)。在測試中我們發(fā)現(xiàn)，還有一些預(yù)定義的規(guī)則模板可供使用。

規(guī)則的使用情況分析需要3至12個(gè)月的信息，這樣才能得到一份有效的規(guī)則使用分析報(bào)告。一旦導(dǎo)入網(wǎng)絡(luò)設(shè)備的配置信息并建立起網(wǎng)絡(luò)模型，在后臺的冗余分析就可以立即運(yùn)行。

在測試中，我們使用了Skybox View Assure的訪問分析器（Access Analyzer）功能來獲悉有關(guān)網(wǎng)絡(luò)訪問的情況。它可用于假定（What-If）模型測試和實(shí)時(shí)網(wǎng)絡(luò)連接分析。用戶還可以為防火墻以及整個(gè)網(wǎng)絡(luò)范圍內(nèi)的訪問創(chuàng)建查詢（Queries）。

通過選中GUI中的擴(kuò)展設(shè)備圖標(biāo)，我們可以使用Skybox View Assure變更追蹤（Change Tracking）來追蹤變化。當(dāng)需要定期收集數(shù)據(jù)以更新網(wǎng)絡(luò)模型時(shí)，你可以顯示和分析ACL規(guī)則、路由規(guī)則與網(wǎng)絡(luò)接口變化之間的對比情況。我們發(fā)現(xiàn)，用戶為保存規(guī)則遵從的記錄，可以保留網(wǎng)絡(luò)和防火墻的變化信息。假定（What-If）模型變化也可作為測試模型中的防火墻規(guī)則，然后再與實(shí)際的防火墻規(guī)則進(jìn)行對比以發(fā)現(xiàn)問題。

Skybox View Assure提供了一個(gè)變更控制和售票系統(tǒng)（ticketing system）工作流程。雖然防火墻規(guī)則遵從審計(jì)員（Firewall Compliance Auditor）已支持訪問變更票（Access Change tickets），但網(wǎng)絡(luò)規(guī)則遵從審計(jì)員（Network Compliance Auditor）同時(shí)支持了訪問變更票和策略破壞票（policy violation tickets）。

在測試中，View Firewall Assurance的網(wǎng)絡(luò)建模功能給我們留下了深刻的印象。為了進(jìn)行比較分析，用戶可以同時(shí)存儲同一網(wǎng)絡(luò)的三種不同模型，只需生成一份并行（side-by-side）分析報(bào)告就可以毫不費(fèi)力地找出同一網(wǎng)絡(luò)模型兩個(gè)不同版本之間的變化所在。

Skybox的View Risk Exposure Analyzer可以按業(yè)務(wù)部門和資產(chǎn)對網(wǎng)絡(luò)進(jìn)行組織。在測試時(shí)，通過使用乙方（second party）的漏洞掃描器（如Qualys和Nessus），我們得到了網(wǎng)絡(luò)漏洞的相關(guān)數(shù)據(jù)。使用攻擊場景選項(xiàng)，我們模擬生成了已被發(fā)現(xiàn)漏洞的詳細(xì)報(bào)告。雖然我們沒有發(fā)現(xiàn)可以使用預(yù)定義的漏洞測試套件來進(jìn)行漏洞攻擊測試，但當(dāng)風(fēng)險(xiǎn)暴露分析器和View Firewall Assurance結(jié)合在一起使用時(shí)，View Risk Exposure Analyzer會非常有價(jià)值，因?yàn)樵诰W(wǎng)絡(luò)模型部署任何設(shè)備之前就可以進(jìn)行漏洞測試。 

#p#

Tufin公司的SecureTrack

通過使用Tufin公司的SecureTrack軟件，用戶可以對防火墻、路由器和交換機(jī)進(jìn)行管理和審計(jì)，此外你還可以查看防火墻同其它網(wǎng)絡(luò)設(shè)備的集成使用情況。SecureTrack可以自動報(bào)告風(fēng)險(xiǎn)和審計(jì)狀態(tài)、監(jiān)測防火墻操作系統(tǒng)（firewall operating systems），還能夠支持安全規(guī)則遵從標(biāo)準(zhǔn)。

由于Tufin T-500設(shè)備預(yù)先安裝了TufinOS和SecureTrack，所以測試的時(shí)候我們是在VMware應(yīng)用設(shè)備上進(jìn)行的，安裝快速而且沒有出現(xiàn)錯誤。在我們保存了設(shè)置之后，登錄界面會出現(xiàn)，此時(shí)便可訪問Tufin SecureTrack服務(wù)器了。在登入后所出現(xiàn)的屏幕上將會顯示策略變動報(bào)告（Policy Change Reports）、規(guī)則使用統(tǒng)計(jì)（Rule Usage Statistics）、安全風(fēng)險(xiǎn)報(bào)告（Security Risk Reports）和最佳實(shí)踐審計(jì)（Best Practices Audit）所對應(yīng)的圖標(biāo)。用戶可以選擇上述某個(gè)圖標(biāo)，以便在策略變化時(shí)立即得到通知，并收到每周的防火墻報(bào)告。

Tufin公司的SecureTrack可將所監(jiān)控的設(shè)備分為設(shè)備、插件和防火墻操作系統(tǒng)監(jiān)測（Firewall OS Monitoring）三類。其中，插件已為Blue Coat ProxySG、F5 Big IP和Linux iptables等防火墻進(jìn)行了預(yù)安裝，用戶也可以為以下這些公司的網(wǎng)絡(luò)設(shè)備安裝插件：Check Point、Cisco、Juniper、Fortinet、Blue Coat、F5等。除了監(jiān)測功能之外，防火墻監(jiān)測系統(tǒng)還具有其他一些需要授權(quán)的功能，以便在設(shè)備發(fā)生變化時(shí)使得SecureTrack可以支持SNMP協(xié)議。

優(yōu)化和清理是SecureTrack功能的重要組成部分。在保證規(guī)則庫沒有違反公司和管理規(guī)則的前提下，SecureTrack可以持續(xù)監(jiān)控防火墻、路由器和交換機(jī)。SecureTrack的比較（Compare）功能可以在緊鄰設(shè)備名的地方列出最近修定的次數(shù)。在新修訂產(chǎn)生時(shí)系統(tǒng)會發(fā)出警報(bào)，修訂列表最多可以按10種屬性進(jìn)行過濾顯示。

在測試中，我們使用了SecureTrack分析器去識別功能交叉和冗余的防火墻規(guī)則。為了訪問儲存在SecureTrack數(shù)據(jù)庫中預(yù)定義的最佳實(shí)踐，我們使用了審計(jì)/規(guī)則遵從（Audit and Compliance）選項(xiàng)。對于所有或特殊的防火墻（如Check Point），目前已擁有最佳實(shí)踐的檢查方法。SecureTrack還提供了針對PCI-DSS規(guī)則遵從的預(yù)定義策略分析審計(jì)。當(dāng)安全策略規(guī)則需要改變時(shí)，您還可以通過設(shè)置以發(fā)送警報(bào)。

我們發(fā)現(xiàn)，SecureTrack的瀏覽器面板簡潔明了，并具有良好的布局。我們看好用于比較防火墻修訂和維護(hù)審計(jì)跟蹤的比較分析（Compare Analysis）選項(xiàng)，那些熟悉主流防火墻商產(chǎn)品接口和界面的用戶會非常喜歡這個(gè)功能的。

通過使用SecureTrack審計(jì)向?qū)?，用戶可以自定義防火墻審計(jì)，以獲得關(guān)于規(guī)則遵從的詳細(xì)信息，并可在配置向?qū)е羞x擇一個(gè)預(yù)定義審計(jì)模板以節(jié)省時(shí)間，這一點(diǎn)令人印象深刻。同時(shí)，在測試中我們還使用了一個(gè)預(yù)定義的PCI -DSS審計(jì)分析特性，創(chuàng)建了一份詳細(xì)陳訴規(guī)則遵從審計(jì)策略的報(bào)告。

我們看好可以提供圖表、曲線圖和風(fēng)險(xiǎn)評分一覽表的安全趨勢（Security Trend）分析報(bào)告。比較特別的一點(diǎn)是，Tufin并不以CVSS中的分?jǐn)?shù)為基礎(chǔ)進(jìn)行評分。我們強(qiáng)烈認(rèn)為，SecureTrack是一款基于行業(yè)和公司策略、在規(guī)則遵從審計(jì)和維護(hù)方面擁有最佳實(shí)踐的優(yōu)秀產(chǎn)品。

原作者：Roger Grimes  原文標(biāo)題：Review: Firewall operations management

【編輯推薦】

1. 微軟2010年7月安全公告 Office和Windows系統(tǒng)各有2補(bǔ)丁
2. 六月DLP數(shù)據(jù)防泄漏產(chǎn)品全球四強(qiáng)出爐
3. 第一安全規(guī)則：假設(shè)你被黑了
4. 數(shù)據(jù)泄漏趨勢分析 用安全優(yōu)勢作為營銷手段