網(wǎng)絡路徑的分析工具和助力防火墻管理還有故障修復是十分重要的。雖然像路由跟蹤這樣的網(wǎng)絡路徑分析工具在檢查各個網(wǎng)絡設備對網(wǎng)絡數(shù)據(jù)包傳輸?shù)挠绊懯呛苡行У?，但是它們無法幫助工程師了解網(wǎng)絡安全設備的作用。

Athena Security公司新的PathFinder網(wǎng)絡路徑分析產品提供了這樣的安全基礎架構可見性。網(wǎng)絡工程師可以將防火墻、交換機和路由器的配置數(shù)據(jù)上傳到工具中，這樣就可以生成一個離線的虛擬網(wǎng)絡模型。然后它們就可以在這個網(wǎng)絡模型中模擬數(shù)據(jù)包傳輸，并且PathFinder還可以預測到設備配置和防火墻規(guī)則將如何影響數(shù)據(jù)包流。

便利連鎖商店Kwik Trip在劃分網(wǎng)絡的DMZ之后，局域網(wǎng)和廣域網(wǎng)管理員Chuck Serauskas發(fā)現(xiàn)某些類型的流量在網(wǎng)絡片段中會被掛斷。因此，他使用PathFinder來修復這個問題。

“在有了PathFinder之后，我們一直都使用它來修復故障……路徑是如何通過我們的ASA [Cisco Adaptive Security Appliance]的呢，”他說道。“對于PCI，我們最近將我們的DMZ分割成了4個不同的DMZ。當我們第一次創(chuàng)建時，我們的路由并不是剛好通過它，而且我們的VMware工作人員在使用我們DMZ中的某些服務器時也遇到了一些問題。”

通過PathFinder的離線網(wǎng)絡路徑分析功能，Serauskas可以使用他的設備配置來創(chuàng)建一個網(wǎng)絡模型，并通過DMZ發(fā)送模擬數(shù)據(jù)包。他發(fā)現(xiàn)ASA會攔截某些通過的數(shù)據(jù)包。他檢查了ASA的規(guī)則，發(fā)現(xiàn)某些規(guī)則是通過一個在劃分之前已經棄用的老路徑來發(fā)送數(shù)據(jù)包。

“我們只需要修改DMZ上的路徑——在防火墻上進行恰當?shù)男薷?mdash;—同時一旦我們修改了配置，我們就可以在PathFinder上運行一個新的測試。”他說。“一旦我們知道了VMware管理員正在嘗試獲得的IP地址已經可以正確傳輸數(shù)據(jù)，那么我們就可以將修改應用到生產環(huán)境中。”

網(wǎng)絡路徑分析工具幾乎不考慮安全性

網(wǎng)絡工程師有很多可以執(zhí)行網(wǎng)絡流量分析的工具，其中就有一些像路由跟蹤這樣的簡單工具，也有具備網(wǎng)絡路徑分析功能的大型系統(tǒng)管理產品，如Opnet和Compuware。但是，這些工具中的大多數(shù)都是面向網(wǎng)絡設備和主機的——而非網(wǎng)絡安全設備。

“防火墻規(guī)則變更而最終導致應用程序出現(xiàn)性能問題的情況是屢見不鮮的。在查找性能問題時，通常不會檢查這個地方，但它還是會產生重大影響的，”Enterprise Management Associates的網(wǎng)絡管理研究主管Jim Frey說道。

在一些IT組織中，使用網(wǎng)絡流量分析工具和網(wǎng)絡路徑分析工具的管理員并不太熟悉防火墻的規(guī)則和設置，因此一個可以提供防火墻對網(wǎng)絡路徑影響的可視化模型的工具是非常有用的。

“防火墻規(guī)則是很冗長的，因此能夠提供一些關于防火墻工作方式的可視化表現(xiàn)，這對那些并不是非常熟悉防火墻代碼的人員而言是非常有好處的，”銀行技術供應商FIS Global的Healthcare Government Billings Solution Group的資深信息安全分析師Richard Barretto說道。

Barretto最近購買了Athena的防火墻管理產品PathFinder 和FirePAC。他購買這些工具是為了改進他組織的防火墻審計過程，但是他同時發(fā)現(xiàn)PathFinder也可以作為網(wǎng)絡流量分析和故障修復工具。

“實際上您可以修復某些從一個源傳輸?shù)揭粋€目標的流量，同時根據(jù)規(guī)則設置確定可能出現(xiàn)流量中斷或者可能出現(xiàn)問題的地方，”他說道。

使用網(wǎng)絡路徑分析查找錯誤

PathFinder在發(fā)現(xiàn)網(wǎng)絡安全性問題方面也是很有用的，如數(shù)據(jù)包被傳輸?shù)搅怂鼈儾粦摰竭_的地方。

“當我們檢查一個客戶網(wǎng)絡時，我們總是假設可能存在某些方面的網(wǎng)絡安全問題，而圖謀不軌的人如果不斷地進行嘗試，他們就可能進入網(wǎng)絡。”信息安全服務公司Jacadis的安全分析師Larry Rosen說道。“通過使用一個像PathFinder的工具，我們就可以看到和知道，當某個身份的人進入網(wǎng)絡后，他還能去往哪里？我們使用它來嘗試分析一些給網(wǎng)絡上帶來特定漏洞的威脅。我們的客戶可以根據(jù)需要強化他們的規(guī)則。

“很多公司都沒有配備全職的防火墻管理員，而且在網(wǎng)絡上測試一個新的應用程序時，通常非專業(yè)技術人員會在防火墻上添加一些專用的規(guī)則，”Rosen說道。“然而在測試完成之后，他們會忘記刪除該規(guī)則。這樣的規(guī)則變更可能會產生一個危險的漏洞。一個具備良好可視化功能的網(wǎng)絡流量分析工具可以快速定位網(wǎng)絡上存在的此類問題。”

另外的兩個防火墻生命周期管理供應商是Skybox Security和RedSeal Systems，雖然它們都擁有類似于Athena PathFinder的網(wǎng)絡路徑分析功能，但它們是大型產品套件的組成部分，而PathFinder是一個獨立的產品，不能直接控制防火墻基礎架構的網(wǎng)絡工程師可以用它來修復故障，Rosen說道。

“事實上，網(wǎng)絡工程師可以將PathFinder引入到整個變更管理過程中，”Jacadis資深安全分析師Jerod Brennen說道。“如果您擁有一個可以表示變化之后情況的路由器配置文件或者防火墻配置文件，那么您可以通過查詢某些重要的路徑服務來評估該流量是否將進行傳輸。”

【編輯推薦】

1. 如何能動的進行無線局域網(wǎng)故障修復
2. 在Windows網(wǎng)絡連接故障修復中使用PING
3. 網(wǎng)絡故障——自下而上的網(wǎng)絡故障修復
4. 網(wǎng)絡故障——自上而下的故障修復方法
5. 無線LAN故障修復策略詳解