五款防火墙操作管理软件评测(下)

日期: 2010-07-22 作者:Roger Grimes 来源:TechTarget中国 英文

  Secure Passage公司的FireMon

  Secure Passage公司的FireMon程序是通过对防火墙安全策略变化进行报告、检查未使用的规则,以及报告流量是怎样通过规则这三种方式来管理防火墙的。该程序可以对规则遵从方针(compliance guidelines,如支付卡行业和美国国家安全局)进行自动分析,从而保障规则遵从的安全。

  FireMon的架构包括一个应用程序服务器、一个数据收集器和一个图形用户界面(GUI)。应用程序服务器负责对收集的数据进行跟踪,实时分析事务和设备配置,并生成预定的报告。数据收集器是FireMon在网络设备或PC上运行的一个应用程序,主要用于监测和收集来自防火墙、交换机、路由器,以及其他网络安全设备的数据。我们在Windows Vista上快速安装了FireMon管理客户端,之后又以用户名、密码、IP地址和端口号登录到FireMon服务器,从而使用其管理控制台。

  FireMon提供了一个向导,以便导入Check Point、思科、F5、Juniper、诺基亚和McAfee / Secure Computing等公司的网络设备。一旦向导建立了各个设备的入口,所有相关的防火墙、管理服务器和日志服务器都将被自动发现并按序加入到FireMon中。

  防火墙、路由器和交换机的规则策略管理

  FireMon程序提供了几种分析防火墙、路由器以及交换机规则/策略的工具。在测试中,我们使用了防火墙网络流量分析(Firewall Traffic Flow Analysis)工具生成了一个报告,以反映在大型网络中所配置的防火墙“ANY”规则。我们可以通过减少或去掉过于随意的“ANY”规则和太复杂的规则,对防火墙进行相应的调整。

  我们查看了一些规则策略管理报告,并生成了FireMon规则建议报告(Rule Recommendation Report),以便分析诸如来自源地址和目的地址的https请求数据包等问题。它还能让我们知道针对所请求的访问是否存在一个安全策略。该报告的底部还列出所测试的每项安全策略的表格,包含了从源地址到目的地址的路由。该报告有http、pdf和xml三种格式。

  我们测试了规则比较(Rule Comparison)特性,它能分析不断变化的设备策略规则。我们还发现,该报告采用不同颜色表示的图标来代表“变化”、“插入”、“删除”以及“相同”四种属性。你可以利用这个报告将安全策略恢复到已知的一个良好状态,这将有助于防火墙信息的迁移。

  Secure Passage软件的功能易于掌握的,并且组织合理。在测试中我们发现,一些分析和报告向导(如规则建议报告,Rule Recommendation Report)演示了如何设置参数的有用实例。FireMon的网络流量分析特性还可以帮助我们确定如何消除在审计时所发现的防火墙ANY规则。用户可以将一个逻辑严密的报告打印出来,以便详细查看网络流量在从源地址到目的地址传输过程中实际使用了哪些端口和服务。利用这份报告,防火墙管理员可以创建一个更安全的规则来取代ANY规则。

  虽然FireMon的规则比较分析报告(Rule Comparison Analysis Report)采用不同颜色来表示不同的安全策略变化,刚开始使用的时候显得有点混乱,但我们仍然觉得FireMon在优化服务器规则和创建审计追踪方面有着出色的表现,该产品可以被看作是一款优秀的企业级防火墙管理软件。

  Skybox公司的View Assure和View Secure

  Skybox Risk View平台由两个产品构成,它们分别是:Skybox Secure 4.5(负责风险暴露和安全状况分析,以及威胁警报管理),以及Skybox Assure(用于管理防火墙和执行网络规则遵从审计)。这一平台是可扩展的,由Skybox View服务器、Skybox View收集器、Skybox View管理器和Skybox View字典组成。其字典包括各种定义的数据库,以及漏洞、威胁、蠕虫和网络安全策略方面的信息。

  通过扫描器并分析漏洞,Skybox可以将来自网络的威胁进行分类、量化并按重要性排序。使用Skybox Assure软件套件,用户可以管理网络策略验证、监管规则审计和网络设备变更。随着自动化功能的引入,用户还能对数以千计的防火墙规则库进行审计检查。

  我们发现,Skybox的安装文档非常完善。在安装过程中,用户手册和教程会被自动加载到C盘上。

  Skybox提供了几种方法,可以将设备的配置文件导入到Skybox View数据库中。你可以使用具有收集功能的添加设备(Add Device)向导应用程序,直接从设备中导出配置文件。除此之外,还有几种其他的方法可以自动完成配置信息收集过程。如果配置信息位于一个数据库或者文件库(file repository)中,则该信息可直接导入到Skybox View中。如果你想直接导入各网段的配置文件,那么你还得配备额外的Skybox View收集器。

  在此次测试中,我们使用的是操作控制台(Operational Console)来创建任务,使用了新建任务向导(New Task wizard)并选择了一个任务类型(Task Type)。对于数据收集时间安排,控制台也有便捷的选项,你可以将其设置为具体的某个小时、或者设置为每天、每星期、每月、每年。我们也可以规划任务向导(Task Wizard),以便安排从文件库中导入配置文件数据的操作。

  我们可以创建在预定时间运行的任务序列。这样的任务序列有退出代码,以便某个任务失败时,其他任务可以无阻的导入配置、运行审计和变化管理。

  我们看到,应用程序接口(API)也可以用来简化防火墙与第三方大型管理工具的集成,比如可以获取配置文件的Opsware软件。

  一旦配置文件被加载到Skybox View中,Skybox View Assure的规则遵从审计程序将使用其预定义的最佳实践访问策略来对防火墙策略进行分析。最佳实践策略将与设备配置规则/策略进行比较,从而发现安全违规和配置错误。用户可以使用策略规则遵从报告(Policy Compliance Report)表来查看遭到破坏的规则(Violated Rules)、访问规则遵从(Access Compliance)和防火墙规则的规则遵从(Rule Compliance)。如果出现访问规则遵从报告故障,规则违反将会被重点提出,关于此次规则违反的细节也将在报告中详细说明。

  我们测试了风险暴露分析器(Risk Exposure Analyzer),它可以模拟潜在的攻击和访问情况。在Skybox Secure创建了一个安全模型的虚拟映射后,它还会在假定(what-if)攻击情形下进行一次业务影响分析。这些假定情况都是基于恶意代码和黑客攻击。使用这个分析器,我们看到了一个显示黑客详细攻击过程和网络访问路径的工作流程图。

攻击测试的结果会被用于评估安全攻击在机密性、完整性和可用性方面对业务造成的影响。Skybox Secure可以引入业务影响规则以便对资产进行分类,并确定一个精确的风险评估标准。在测试中我们发现,还有一些预定义的规则模板可供使用。

  规则的使用情况分析需要3至12个月的信息,这样才能得到一份有效的规则使用分析报告。一旦导入网络设备的配置信息并建立起网络模型,在后台的冗余分析就可以立即运行。

  在测试中,我们使用了Skybox View Assure的访问分析器(Access Analyzer)功能来获悉有关网络访问的情况。它可用于假定(What-If)模型测试和实时网络连接分析。用户还可以为防火墙以及整个网络范围内的访问创建查询(Queries)。

  通过选中GUI中的扩展设备图标,我们可以使用Skybox View Assure变更追踪(Change Tracking)来追踪变化。当需要定期收集数据以更新网络模型时,你可以显示和分析ACL规则、路由规则与网络接口变化之间的对比情况。我们发现,用户为保存规则遵从的记录,可以保留网络和防火墙的变化信息。假定(What-If)模型变化也可作为测试模型中的防火墙规则,然后再与实际的防火墙规则进行对比以发现问题。

  Skybox View Assure提供了一个变更控制和售票系统(ticketing system)工作流程。虽然防火墙规则遵从审计员(Firewall Compliance Auditor)已支持访问变更票(Access Change tickets),但网络规则遵从审计员(Network Compliance Auditor)同时支持了访问变更票和策略破坏票(policy violation tickets)。

  在测试中,View Firewall Assurance的网络建模功能给我们留下了深刻的印象。为了进行比较分析,用户可以同时存储同一网络的三种不同模型,只需生成一份并行(side-by-side)分析报告就可以毫不费力地找出同一网络模型两个不同版本之间的变化所在。

  Skybox的View Risk Exposure Analyzer可以按业务部门和资产对网络进行组织。在测试时,通过使用乙方(second party)的漏洞扫描器(如Qualys和Nessus),我们得到了网络漏洞的相关数据。使用攻击场景选项,我们模拟生成了已被发现漏洞的详细报告。虽然我们没有发现可以使用预定义的漏洞测试套件来进行漏洞攻击测试,但当风险暴露分析器和View Firewall Assurance结合在一起使用时,View Risk Exposure Analyzer会非常有价值,因为在网络模型部署任何设备之前就可以进行漏洞测试。

  Tufin公司的SecureTrack

  通过使用Tufin公司的SecureTrack软件,用户可以对防火墙、路由器和交换机进行管理和审计,此外你还可以查看防火墙同其它网络设备的集成使用情况。SecureTrack可以自动报告风险和审计状态、监测防火墙操作系统(firewall operating systems),还能够支持安全规则遵从标准。

  由于Tufin T-500设备预先安装了TufinOS和SecureTrack,所以测试的时候我们是在VMware应用设备上进行的,安装快速而且没有出现错误。在我们保存了设置之后,登录界面会出现,此时便可访问Tufin SecureTrack服务器了。在登入后所出现的屏幕上将会显示策略变动报告(Policy Change Reports)、规则使用统计(Rule Usage Statistics)、安全风险报告(Security Risk Reports)和最佳实践审计(Best Practices Audit)所对应的图标。用户可以选择上述某个图标,以便在策略变化时立即得到通知,并收到每周的防火墙报告。

  Tufin公司的SecureTrack可将所监控的设备分为设备、插件和防火墙操作系统监测(Firewall OS Monitoring)三类。其中,插件已为Blue Coat ProxySG、F5 Big IP和Linux iptables等防火墙进行了预安装,用户也可以为以下这些公司的网络设备安装插件:Check Point、Cisco、Juniper、Fortinet、Blue Coat、F5等。除了监测功能之外,防火墙监测系统还具有其他一些需要授权的功能,以便在设备发生变化时使得SecureTrack可以支持SNMP协议。

  优化和清理是SecureTrack功能的重要组成部分。在保证规则库没有违反公司和管理规则的前提下,SecureTrack可以持续监控防火墙、路由器和交换机。SecureTrack的比较(Compare)功能可以在紧邻设备名的地方列出最近修定的次数。在新修订产生时系统会发出警报,修订列表最多可以按10种属性进行过滤显示。

  在测试中,我们使用了SecureTrack分析器去识别功能交叉和冗余的防火墙规则。为了访问储存在SecureTrack数据库中预定义的最佳实践,我们使用了审计/规则遵从(Audit and Compliance)选项。对于所有或特殊的防火墙(如Check Point),目前已拥有最佳实践的检查方法。SecureTrack还提供了针对PCI-DSS规则遵从的预定义策略分析审计。当安全策略规则需要改变时,您还可以通过设置以发送警报。

  我们发现,SecureTrack的浏览器面板简洁明了,并具有良好的布局。我们看好用于比较防火墙修订和维护审计跟踪的比较分析(Compare Analysis)选项,那些熟悉主流防火墙商产品接口和界面的用户会非常喜欢这个功能的。

  通过使用SecureTrack审计向导,用户可以自定义防火墙审计,以获得关于规则遵从的详细信息,并可在配置向导中选择一个预定义审计模板以节省时间,这一点令人印象深刻。同时,在测试中我们还使用了一个预定义的PCI -DSS审计分析特性,创建了一份详细陈诉规则遵从审计策略的报告。

  我们看好可以提供图表、曲线图和风险评分一览表的安全趋势(Security Trend)分析报告。比较特别的一点是,Tufin并不以CVSS中的分数为基础进行评分。我们强烈认为,SecureTrack是一款基于行业和公司策略、在规则遵从审计和维护方面拥有最佳实践的优秀产品。

相关阅读:五款防火墙操作管理软件评测(上)

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • Cyphort分析技术助力Juniper Security Director

    瞻博网络在去年收购Cyphort公司,近日瞻博网络公司便推出第一款整合其安全产品与Cyphort威胁检测技术的 […]

  • 没有防火墙,如何防御网络威胁?

    对任何IT部门来说,识别并阻止网络威胁都是一场艰苦的战斗。而对于RIT这种规模的大学来说,BYOD是常态,活跃用户数量一般在16,000到21,000之间,所以,既要保护网络安全,还要尊重学术自由,这使得工作更具挑战性……

  • 迪普科技入围国家版权局版权监管平台建设项目

    近日,杭州迪普科技有限公司成功入围国家版权局版权监管平台建设项目,以其行业领先的防火墙、应用交付产品为互联网视频版权监管平台等多个业务系统提供安全防护和网络业务保障与优化。

  • 山石网科发布iNGFW更高性能单品T5860

    近日,继发布iNGFW T5060、T3860后,山石网科再次发布一款更高性能的单品T5860,继续扩充下一代智能防火墙产品线,为“智能安全”标注更深层的注解。