网络路径的分析工具和助力防火墙管理还有故障修复是十分重要的。虽然像路由跟踪这样的网络路径分析工具在检查各个网络设备对网络数据包传输的影响是很有效的,但是它们无法帮助工程师了解网络安全设备的作用。
Athena Security公司新的PathFinder网络路径分析产品提供了这样的安全基础架构可见性。网络工程师可以将防火墙、交换机和路由器的配置数据上传到工具中,这样就可以生成一个离线的虚拟网络模型。然后它们就可以在这个网络模型中模拟数据包传输,并且PathFinder还可以预测到设备配置和防火墙规则将如何影响数据包流。
便利连锁商店Kwik Trip在划分网络的DMZ之后,局域网和广域网管理员Chuck Serauskas发现某些类型的流量在网络片段中会被挂断。因此,他使用PathFinder来修复这个问题。
“在有了PathFinder之后,我们一直都使用它来修复故障……路径是如何通过我们的ASA [Cisco Adaptive Security Appliance]的呢,”他说道。“对于PCI,我们最近将我们的DMZ分割成了4个不同的DMZ。当我们第一次创建时,我们的路由并不是刚好通过它,而且我们的VMware工作人员在使用我们DMZ中的某些服务器时也遇到了一些问题。”
通过PathFinder的离线网络路径分析功能,Serauskas可以使用他的设备配置来创建一个网络模型,并通过DMZ发送模拟数据包。他发现ASA会拦截某些通过的数据包。他检查了ASA的规则,发现某些规则是通过一个在划分之前已经弃用的老路径来发送数据包。
“我们只需要修改DMZ上的路径——在防火墙上进行恰当的修改——同时一旦我们修改了配置,我们就可以在PathFinder上运行一个新的测试。”他说。“一旦我们知道了VMware管理员正在尝试获得的IP地址已经可以正确传输数据,那么我们就可以将修改应用到生产环境中。”
网络路径分析工具几乎不考虑安全性
网络工程师有很多可以执行网络流量分析的工具,其中就有一些像路由跟踪这样的简单工具,也有具备网络路径分析功能的大型系统管理产品,如Opnet和Compuware。但是,这些工具中的大多数都是面向网络设备和主机的——而非网络安全设备。
“防火墙规则变更而最终导致应用程序出现性能问题的情况是屡见不鲜的。在查找性能问题时,通常不会检查这个地方,但它还是会产生重大影响的,”Enterprise Management Associates的网络管理研究主管Jim Frey说道。