萬盛學電腦網

 萬盛學電腦網 >> 系統工具 >> 用工具助力防火牆管理和故障修復

用工具助力防火牆管理和故障修復

   網絡路徑的分析工具和助力防火牆管理還有故障修復是十分重要的。雖然像路由跟蹤這樣的網絡路徑分析工具在檢查各個網絡設備對網絡數據包傳輸的影響是很有效的,但是它們無法幫助工程師了解網絡安全設備的作用。

Athena Security公司新的PathFinder網絡路徑分析產品提供了這樣的安全基礎架構可見性。網絡工程師可以將防火牆、交換機和路由器的配置數據上傳到工具中,這樣就可以生成一個離線的虛擬網絡模型。然後它們就可以在這個網絡模型中模擬數據包傳輸,並且PathFinder還可以預測到設備配置和防火牆規則將如何影響數據包流。

便利連鎖商店Kwik Trip在劃分網絡的DMZ之後,局域網和廣域網管理員Chuck Serauskas發現某些類型的流量在網絡片段中會被掛斷。因此,他使用PathFinder來修復這個問題。

“在有了PathFinder之後,我們一直都使用它來修復故障……路徑是如何通過我們的ASA [Cisco Adaptive Security Appliance]的呢,”他說道。“對於PCI,我們最近將我們的DMZ分割成了4個不同的DMZ。當我們第一次創建時,我們的路由並不是剛好通過它,而且我們的VMware工作人員在使用我們DMZ中的某些服務器時也遇到了一些問題。”

通過PathFinder的離線網絡路徑分析功能,Serauskas可以使用他的設備配置來創建一個網絡模型,並通過DMZ發送模擬數據包。他發現ASA會攔截某些通過的數據包。他檢查了ASA的規則,發現某些規則是通過一個在劃分之前已經棄用的老路徑來發送數據包。

“我們只需要修改DMZ上的路徑——在防火牆上進行恰當的修改——同時一旦我們修改了配置,我們就可以在PathFinder上運行一個新的測試。”他說。“一旦我們知道了VMware管理員正在嘗試獲得的IP地址已經可以正確傳輸數據,那麼我們就可以將修改應用到生產環境中。”

網絡路徑分析工具幾乎不考慮安全性

網絡工程師有很多可以執行網絡流量分析的工具,其中就有一些像路由跟蹤這樣的簡單工具,也有具備網絡路徑分析功能的大型系統管理產品,如Opnet和Compuware。但是,這些工具中的大多數都是面向網絡設備和主機的——而非網絡安全設備。

“防火牆規則變更而最終導致應用程序出現性能問題的情況是屢見不鮮的。在查找性能問題時,通常不會檢查這個地方,但它還是會產生重大影響的,”Enterprise Management Associates的網絡管理研究主管Jim Frey說道。

網絡路徑的分析工具和助力防火牆管理還有故障修復是十分重要的。雖然像路由跟蹤這樣的網絡路徑分析工具在檢查各個網絡設備對網絡數據包傳輸的影響是很有效的,但是它們無法幫助工程師了解網絡安全設備的作用。

Athena Security公司新的PathFinder網絡路徑分析產品提供了這樣的安全基礎架構可見性。網絡工程師可以將防火牆、交換機和路由器的配置數據上傳到工具中,這樣就可以生成一個離線的虛擬網絡模型。然後它們就可以在這個網絡模型中模擬數據包傳輸,並且PathFinder還可以預測到設備配置和防火牆規則將如何影響數據包流。

便利連鎖商店Kwik Trip在劃分網絡的DMZ之後,局域網和廣域網管理員Chuck Serauskas發現某些類型的流量在網絡片段中會被掛斷。因此,他使用PathFinder來修復這個問題。

“在有了PathFinder之後,我們一直都使用它來修復故障……路徑是如何通過我們的ASA [Cisco Adaptive Security Appliance]的呢,”他說道。“對於PCI,我們最近將我們的DMZ分割成了4個不同的DMZ。當我們第一次創建時,我們的路由並不是剛好通過它,而且我們的VMware工作人員在使用我們DMZ中的某些服務器時也遇到了一些問題。”

通過PathFinder的離線網絡路徑分析功能,Serauskas可以使用他的設備配置來創建一個網絡模型,並通過DMZ發送模擬數據包。他發現ASA會攔截某些通過的數據包。他檢查了ASA的規則,發現某些規則是通過一個在劃分之前已經棄用的老路徑來發送數據包。

“我們只需要修改DMZ上的路徑——在防火牆上進行恰當的修改——同時一旦我們修改了配置,我們就可以在PathFinder上運行一個新的測試。”他說。“一旦我們知道了VMware管理員正在嘗試獲得的IP地址已經可以正確傳輸數據,那麼我們就可以將修改應用到生產環境中。”

網絡路徑分析工具幾乎不考慮安全性

網絡工程師有很多可以執行網絡流量分析的工具,其中就有一些像路由跟蹤這樣的簡單工具,也有具備網絡路徑分析功能的大型系統管理產品,如Opnet和Compuware。但是,這些工具中的大多數都是面向網絡設備和主機的——而非網絡安全設備。

“防火牆規則變更而最終導致應用程序出現性能問題的情況是屢見不鮮的。在查找性能問題時,通常不會檢查這個地方,但它還是會產生重大影響的,”Enterprise Management Associates的網絡管理研究主管Jim Frey說道。

copyright © 萬盛學電腦網 all rights reserved