網(wǎng)絡(luò)路徑的分析工具和助力防火墻管理還有故障修復(fù)是十分重要的。雖然像路由跟蹤這樣的網(wǎng)絡(luò)路徑分析工具在檢查各個網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)數(shù)據(jù)包傳輸?shù)挠绊懯呛苡行У模撬鼈儫o法幫助工程師了解網(wǎng)絡(luò)安全設(shè)備的作用。

Athena Security公司新的PathFinder網(wǎng)絡(luò)路徑分析產(chǎn)品提供了這樣的安全基礎(chǔ)架構(gòu)可見性。網(wǎng)絡(luò)工程師可以將防火墻、交換機和路由器的配置數(shù)據(jù)上傳到工具中，這樣就可以生成一個離線的虛擬網(wǎng)絡(luò)模型。然后它們就可以在這個網(wǎng)絡(luò)模型中模擬數(shù)據(jù)包傳輸，并且PathFinder還可以預(yù)測到設(shè)備配置和防火墻規(guī)則將如何影響數(shù)據(jù)包流。

便利連鎖商店Kwik Trip在劃分網(wǎng)絡(luò)的DMZ之后，局域網(wǎng)和廣域網(wǎng)管理員Chuck Serauskas發(fā)現(xiàn)某些類型的流量在網(wǎng)絡(luò)片段中會被掛斷。因此，他使用PathFinder來修復(fù)這個問題。

“在有了PathFinder之后，我們一直都使用它來修復(fù)故障……路徑是如何通過我們的ASA [Cisco Adaptive Security Appliance]的呢，”他說道。“對于PCI，我們最近將我們的DMZ分割成了4個不同的DMZ。當我們第一次創(chuàng)建時，我們的路由并不是剛好通過它，而且我們的VMware工作人員在使用我們DMZ中的某些服務(wù)器時也遇到了一些問題。”

通過PathFinder的離線網(wǎng)絡(luò)路徑分析功能，Serauskas可以使用他的設(shè)備配置來創(chuàng)建一個網(wǎng)絡(luò)模型，并通過DMZ發(fā)送模擬數(shù)據(jù)包。他發(fā)現(xiàn)ASA會攔截某些通過的數(shù)據(jù)包。他檢查了ASA的規(guī)則，發(fā)現(xiàn)某些規(guī)則是通過一個在劃分之前已經(jīng)棄用的老路徑來發(fā)送數(shù)據(jù)包。

“我們只需要修改DMZ上的路徑——在防火墻上進行恰當?shù)男薷?mdash;—同時一旦我們修改了配置，我們就可以在PathFinder上運行一個新的測試。”他說。“一旦我們知道了VMware管理員正在嘗試獲得的IP地址已經(jīng)可以正確傳輸數(shù)據(jù)，那么我們就可以將修改應(yīng)用到生產(chǎn)環(huán)境中。”

網(wǎng)絡(luò)路徑分析工具幾乎不考慮安全性

網(wǎng)絡(luò)工程師有很多可以執(zhí)行網(wǎng)絡(luò)流量分析的工具，其中就有一些像路由跟蹤這樣的簡單工具，也有具備網(wǎng)絡(luò)路徑分析功能的大型系統(tǒng)管理產(chǎn)品，如Opnet和Compuware。但是，這些工具中的大多數(shù)都是面向網(wǎng)絡(luò)設(shè)備和主機的——而非網(wǎng)絡(luò)安全設(shè)備。

“防火墻規(guī)則變更而最終導(dǎo)致應(yīng)用程序出現(xiàn)性能問題的情況是屢見不鮮的。在查找性能問題時，通常不會檢查這個地方，但它還是會產(chǎn)生重大影響的，”Enterprise Management Associates的網(wǎng)絡(luò)管理研究主管Jim Frey說道。

在一些IT組織中，使用網(wǎng)絡(luò)流量分析工具和網(wǎng)絡(luò)路徑分析工具的管理員并不太熟悉防火墻的規(guī)則和設(shè)置，因此一個可以提供防火墻對網(wǎng)絡(luò)路徑影響的可視化模型的工具是非常有用的。

“防火墻規(guī)則是很冗長的，因此能夠提供一些關(guān)于防火墻工作方式的可視化表現(xiàn)，這對那些并不是非常熟悉防火墻代碼的人員而言是非常有好處的，”銀行技術(shù)供應(yīng)商FIS Global的Healthcare Government Billings Solution Group的資深信息安全分析師Richard Barretto說道。

Barretto最近購買了Athena的防火墻管理產(chǎn)品PathFinder 和FirePAC。他購買這些工具是為了改進他組織的防火墻審計過程，但是他同時發(fā)現(xiàn)PathFinder也可以作為網(wǎng)絡(luò)流量分析和故障修復(fù)工具。

“實際上您可以修復(fù)某些從一個源傳輸?shù)揭粋€目標的流量，同時根據(jù)規(guī)則設(shè)置確定可能出現(xiàn)流量中斷或者可能出現(xiàn)問題的地方，”他說道。

使用網(wǎng)絡(luò)路徑分析查找錯誤

PathFinder在發(fā)現(xiàn)網(wǎng)絡(luò)安全性問題方面也是很有用的，如數(shù)據(jù)包被傳輸?shù)搅怂鼈儾粦?yīng)該到達的地方。

“當我們檢查一個客戶網(wǎng)絡(luò)時，我們總是假設(shè)可能存在某些方面的網(wǎng)絡(luò)安全問題，而圖謀不軌的人如果不斷地進行嘗試，他們就可能進入網(wǎng)絡(luò)。”信息安全服務(wù)公司Jacadis的安全分析師Larry Rosen說道。“通過使用一個像PathFinder的工具，我們就可以看到和知道，當某個身份的人進入網(wǎng)絡(luò)后，他還能去往哪里？我們使用它來嘗試分析一些給網(wǎng)絡(luò)上帶來特定漏洞的威脅。我們的客戶可以根據(jù)需要強化他們的規(guī)則。

“很多公司都沒有配備全職的防火墻管理員，而且在網(wǎng)絡(luò)上測試一個新的應(yīng)用程序時，通常非專業(yè)技術(shù)人員會在防火墻上添加一些專用的規(guī)則，”Rosen說道。“然而在測試完成之后，他們會忘記刪除該規(guī)則。這樣的規(guī)則變更可能會產(chǎn)生一個危險的漏洞。一個具備良好可視化功能的網(wǎng)絡(luò)流量分析工具可以快速定位網(wǎng)絡(luò)上存在的此類問題。”

另外的兩個防火墻生命周期管理供應(yīng)商是Skybox Security和RedSeal Systems，雖然它們都擁有類似于Athena PathFinder的網(wǎng)絡(luò)路徑分析功能，但它們是大型產(chǎn)品套件的組成部分，而PathFinder是一個獨立的產(chǎn)品，不能直接控制防火墻基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)工程師可以用它來修復(fù)故障，Rosen說道。

“事實上，網(wǎng)絡(luò)工程師可以將PathFinder引入到整個變更管理過程中，”Jacadis資深安全分析師Jerod Brennen說道。“如果您擁有一個可以表示變化之后情況的路由器配置文件或者防火墻配置文件，那么您可以通過查詢某些重要的路徑服務(wù)來評估該流量是否將進行傳輸。”

【編輯推薦】

1. 如何能動的進行無線局域網(wǎng)故障修復(fù)
2. 在Windows網(wǎng)絡(luò)連接故障修復(fù)中使用PING
3. 網(wǎng)絡(luò)故障——自下而上的網(wǎng)絡(luò)故障修復(fù)
4. 網(wǎng)絡(luò)故障——自上而下的故障修復(fù)方法
5. 無線LAN故障修復(fù)策略詳解