用工具助力防火牆管理和故障修復

souphp3l3發表於2016-06-23

   網路路徑的分析工具和助力防火牆管理還有故障修復是十分重要的。雖然像路由跟蹤這樣的網路路徑分析工具在檢查各個網路裝置對網路資料包傳輸的影響是很有效的,但是它們無法幫助工程師瞭解網路安全裝置的作用。

Athena Security公司新的PathFinder網路路徑分析產品提供了這樣的安全基礎架構可見性。網路工程師可以將防火牆、交換機和路由器的配置資料上傳到工具中,這樣就可以生成一個離線的虛擬網路模型。然後它們就可以在這個網路模型中模擬資料包傳輸,並且PathFinder還可以預測到裝置配置和防火牆規則將如何影響資料包流。

便利連鎖商店Kwik Trip在劃分網路的DMZ之後,區域網和廣域網管理員Chuck Serauskas發現某些型別的流量在網路片段中會被結束通話。因此,他使用PathFinder來修復這個問題。

“在有了PathFinder之後,我們一直都使用它來修復故障……路徑是如何透過我們的ASA [Cisco Adaptive Security Appliance]的呢,”他說道。“對於PCI,我們最近將我們的DMZ分割成了4個不同的DMZ。當我們第一次建立時,我們的路由並不是剛好透過它,而且我們的VMware工作人員在使用我們DMZ中的某些伺服器時也遇到了一些問題。”

透過PathFinder的離線網路路徑分析功能,Serauskas可以使用他的裝置配置來建立一個網路模型,並透過DMZ傳送模擬資料包。他發現ASA會攔截某些透過的資料包。他檢查了ASA的規則,發現某些規則是透過一個在劃分之前已經棄用的老路徑來傳送資料包。

“我們只需要修改DMZ上的路徑——在防火牆上進行恰當的修改——同時一旦我們修改了配置,我們就可以在PathFinder上執行一個新的測試。”他說。“一旦我們知道了VMware管理員正在嘗試獲得的IP地址已經可以正確傳輸資料,那麼我們就可以將修改應用到生產環境中。”

網路路徑分析工具幾乎不考慮安全性

網路工程師有很多可以執行網路流量分析的工具,其中就有一些像路由跟蹤這樣的簡單工具,也有具備網路路徑分析功能的大型系統管理產品,如Opnet和Compuware。但是,這些工具中的大多數都是面向網路裝置和主機的——而非網路安全裝置。

“防火牆規則變更而最終導致應用程式出現效能問題的情況是屢見不鮮的。在查詢效能問題時,通常不會檢查這個地方,但它還是會產生重大影響的,”Enterprise Management Associates的網路管理研究主管Jim Frey說道。

網路路徑的分析工具和助力防火牆管理還有故障修復是十分重要的。雖然像路由跟蹤這樣的網路路徑分析工具在檢查各個網路裝置對網路資料包傳輸的影響是很有效的,但是它們無法幫助工程師瞭解網路安全裝置的作用。

Athena Security公司新的PathFinder網路路徑分析產品提供了這樣的安全基礎架構可見性。網路工程師可以將防火牆、交換機和路由器的配置資料上傳到工具中,這樣就可以生成一個離線的虛擬網路模型。然後它們就可以在這個網路模型中模擬資料包傳輸,並且PathFinder還可以預測到裝置配置和防火牆規則將如何影響資料包流。

便利連鎖商店Kwik Trip在劃分網路的DMZ之後,區域網和廣域網管理員Chuck Serauskas發現某些型別的流量在網路片段中會被結束通話。因此,他使用PathFinder來修復這個問題。

“在有了PathFinder之後,我們一直都使用它來修復故障……路徑是如何透過我們的ASA [Cisco Adaptive Security Appliance]的呢,”他說道。“對於PCI,我們最近將我們的DMZ分割成了4個不同的DMZ。當我們第一次建立時,我們的路由並不是剛好透過它,而且我們的VMware工作人員在使用我們DMZ中的某些伺服器時也遇到了一些問題。”

透過PathFinder的離線網路路徑分析功能,Serauskas可以使用他的裝置配置來建立一個網路模型,並透過DMZ傳送模擬資料包。他發現ASA會攔截某些透過的資料包。他檢查了ASA的規則,發現某些規則是透過一個在劃分之前已經棄用的老路徑來傳送資料包。

“我們只需要修改DMZ上的路徑——在防火牆上進行恰當的修改——同時一旦我們修改了配置,我們就可以在PathFinder上執行一個新的測試。”他說。“一旦我們知道了VMware管理員正在嘗試獲得的IP地址已經可以正確傳輸資料,那麼我們就可以將修改應用到生產環境中。”

網路路徑分析工具幾乎不考慮安全性

網路工程師有很多可以執行網路流量分析的工具,其中就有一些像路由跟蹤這樣的簡單工具,也有具備網路路徑分析功能的大型系統管理產品,如Opnet和Compuware。但是,這些工具中的大多數都是面向網路裝置和主機的——而非網路安全裝置。

“防火牆規則變更而最終導致應用程式出現效能問題的情況是屢見不鮮的。在查詢效能問題時,通常不會檢查這個地方,但它還是會產生重大影響的,”Enterprise Management Associates的網路管理研究主管Jim Frey說道。

相關文章