五款防火墙操作管理软件评测(上)

日期: 2010-07-22 作者:Roger Grimes 来源:TechTarget中国 英文

  目前,在市面上存在着可以使防火墙具有更高效率、带来更多效益的工具,Skybox和RedSeal就是这些产品厂商中的个中翘楚。

  任何一个在复杂企业环境中运行过多种防火墙的人都知道,捕捉错误的配置、避免防火墙规则(rule)相冲突、识别漏洞,以及满足审计与规则遵从(compliance)有多么的困难。

  在此次测试中,我们重点关注的是五款防火墙操作管理产品:AlgoSec公司的防火墙分析器(Firewall Analyzer),RedSeal公司的网络顾问(Network Advisor)和漏洞顾问(Vulnerability Advisor),Secure Passage公司的FireMon,Skybox公司的View Assure和View Secure,以及Tufin公司的SecureTrack。

  我们发现,这些产品的核心功能基本相似:能够检索防火墙(以及其他网络设备)的配置文件、存储并分析数据。如果安全策略遭到了破坏,它们可以查看历史变更记录、分析现有的防火墙规则、执行基于规则的查询,重新改变规则次序,并发出警报。它们还可以自动审计规则遵从,并生成相关报告。

  此外,它们还能利用真实网络的即时快照版本进行建模与网络攻防测试。Algosec、RedSeal和Skybox还能提供所在网络的相关图表和拓扑视图。

  总的来说,RedSeal和Skybox在此次测试中给我们留下的印象最为深刻,因为它们除了具备全部的基本功能外,还能支持多个厂商的漏洞扫描产品。这些漏洞扫描产品可以对网络存在的风险进行评分,并在整个网络范围内进行脆弱性分析。除了这两款产品,其他的产品同样给我们留下了很深的印象。

  Algosec的防火墙分析器有一个直观的界面和预定义的标准审计和分析报告。该软件安装方便,同时还提供了一个简单的数据收集向导(wizard)。

  RedSeal的网络顾问和漏洞顾问可以让用户了解自己的网络配置在防御来自互联网的威胁方面做得如何。该软件可以生成漏洞报告以显示网络存在的缺点,还包含了一些预先配置的规则遵从管理报告,有PDF和XML两种格式。

  Secure Passage的FireMon可以对网络设备配置进行实时的分析,并通过规则遵从自动分析来保持最新状态。它还有一个专门的向导,可使得输入设备信息能一并发送到大型网络中。

  Skybox的View Assure and View Secure能够按照小时、天、星期、月或年来自动收集配置文件信息。它内置了一个售票系统(ticketing system),支持访问变更票(access change tickets)和策略破坏票(policy violation tickets)。

  Tufin的SecureTrack拥有一个假设(What-If)分析的特性,以在策略实施之前对它们可能引起的变化进行测试。预定义的分析/报告选项是以行业最佳实践为基础的。

  下面将分别详细介绍所测试的五款产品:

  AlgoSec防火墙分析器

  我们测试了基于Linux的AlgoSec防火墙分析器软件包,该软件包拥有:分析引擎、收集引擎、Web服务器、针对本地和远程管理的GUI,以及用户、策略存储和系统日志数据库。

  该分析器的引擎按照预定义或自定义的规则对收集的数据进行查询,然后生成一份详细的报告。同时,Web服务器将把警报信息通过电子邮件发送给防火墙管理人员。

  该安装程序包支持32位红帽企业级Linux 4和5,以及Centos 4和5。在测试中,我们把该程序作为一个VMware应用设备安装在了戴尔600SC服务器上。一旦VMware Player加载到了防火墙分析器上,它就会启动并以超级管理员用户(root)进行登录,然后再打开防火墙分析器浏览程序。当浏览器的路径设置为https://hostaddress/时,会出现Algosec的管理界面,点击login(登录)将会启动管理应用程序客户端。

  防火墙分析器有三种数据收集方法:通过访问管理选项卡上的向导;AlgoSec提供的半自动脚本;或者人工来完成搜集,但这种方式很费时,也容易导致错误。

  一旦文件被检索并进行了存储,防火墙分析器就会运行一种基于PCI规则遵从、NIST、SANS Top 20和供应商最佳实践的风险分析。在测试中我们发现,用户还可以创建自定义的分析报告。选择防火墙报告(Firewall Reports)选项,就可以显示总结了网络变化、发现结果、策略优化、规则重新排序和防火墙信息的图表和网络连通示意图,以及一个防火墙连接图。选择风险(Risks)选项,可以显示与风险代码有关的发现结果以及处理风险的建议和图表等详细信息。

  在测试中通过查看Algosec历史变更记录报告,我们获得了防火墙规则变更的细节。在历史变更记录面板的底端,我们看到了可以进行交互式流量检索、报告比较以及能够生成一组其他防火墙报告的特性。

  优化策略(Optimization Policy)特性提供了规则清理(Rules Cleanup)和重新排序(Reordering)功能。在规则清理报告中,列出了所有需要纠正的规则和实例数目。一些在清理报告做了标记的规则类型都被贴上了未使用(unused)、隐藏(covered)、冗余(redundant)、不起作用(disabled)以及不符合标准的命名规则等标签。对象清理(Object Cleanup)也有一个类似的清单。规则重新排序报告为我们提供了有关“如何完善规则”和“规则有多少可以改善的空间”等信息。你还可以访问一个告诉你“如何进行防火墙变更”的详细报告。

  AlgoSec防火墙分析器客户端的面板布局合理并且是多层次的,因此用户很容易找到各个功能特性和向导。优化策略(Optimize Policy)是一个有用的向导,它可以找到特定的规则并对其进行清理。目前有一些预定义的规则遵从(如PCI-DSS、ISO/IEC 27001、Sarbanes-Oxley)审计。此外,规则遵从报告的结构组织良好,支持PDF、HTML和XML三种格式。虽然AlgoSec没有集成漏洞扫描器,但是它在规则遵从审计和规则优化方面表现得非常出色。

  RedSeal网络顾问和漏洞顾问

  使用RedSeal网络顾问4.1和漏洞顾问4.1,你可以自动化分析、识别、量化和减少复杂网络中的风险和漏洞。通过使用插件,网络顾问可以从每个支持的设备中导入配置文件。在测试中,我们很喜欢这种方式,因为在引入风险和漏洞分析后,我们能够创建一个有着最佳实践分析和修复解决方案的统一网络拓扑结构图。

  我们是在运行着Windows XP的Dell服务器上安装的Red Seal软件。一旦服务器安装并启动,客户端也随即被安装。在使用客户端应用程序进行了登录后,我们得以访问一个功能完善的GUI控制台服务器。

  网络顾问和漏洞顾问都需要将路由器、交换机和防火墙的配置文件导入到数据库中。分析引擎负责处理主机名、IP地址、子网掩码和设备接口等信息。分析结果会以图形显示、报告和图表的形式呈现,详细说明了目前网络的状态和配置。其插件可应用于思科、Check Point、Juniper和其他多个公司的产品。

  当设备配置文件被导入到RedSeal顾问后,这些文件将以RedSeal最佳实践数据库为标准进行核对。我们可以通过双击一个选中的行来深度查找违规的策略。任何对主机和设备的改变都可以使用查看变更(View Changes)应用程序进行分析与汇报。

  我们通过使用RedSeal自定义的最佳实践检查特性,分析了防火墙规则的使用情况,并对其进行了重新排序。利用一个正则表达式工具,我们可以搜索配置文件并使用与设备相关联的插件。由于配置文件可以被编辑,我们进行了假设(what-if)分析以确定规则的改变是否会对网络产生不利影响。

  RedSeal提供了预配置的规则遵从管理分析报告。我们还可以添加自定义报告,并安排在特定时间运行。我们分析和报告的是网络配置的良好程度(与最佳实践进行对比),以及哪些资产已暴露在互联网上。

  我们看好RedSeal漏洞分析界面显示网络拓扑结构图的方式,它提供了图形化分析网络漏洞的方法,图中的箭头由威胁来源指向处于风险中的网络资产。该结构图以通用漏洞评价体系(CVSS)为基础,提供了量化风险所需的详细信息,这是一个省时并能保护宝贵资产的重要特性。在对目标网段进行预定义的PCI-DSS分析时,该拓扑图特性提供了一个类似的解决方法,我们只需点击一下鼠标就可以选择一个网络段并对其运行分析报告。

  RedSeal的产品集成了多家知名公司(如Qualys、nCircle和McAfee)的漏洞扫描器,以提供漏洞和风险度量体系。如果您想对风险和漏洞进行量化并按资产价值进行资源分配,我们向您推荐本产品。

相关阅读:五款防火墙操作管理软件评测(下)

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • Cyphort分析技术助力Juniper Security Director

    瞻博网络在去年收购Cyphort公司,近日瞻博网络公司便推出第一款整合其安全产品与Cyphort威胁检测技术的 […]

  • 没有防火墙,如何防御网络威胁?

    对任何IT部门来说,识别并阻止网络威胁都是一场艰苦的战斗。而对于RIT这种规模的大学来说,BYOD是常态,活跃用户数量一般在16,000到21,000之间,所以,既要保护网络安全,还要尊重学术自由,这使得工作更具挑战性……

  • 迪普科技入围国家版权局版权监管平台建设项目

    近日,杭州迪普科技有限公司成功入围国家版权局版权监管平台建设项目,以其行业领先的防火墙、应用交付产品为互联网视频版权监管平台等多个业务系统提供安全防护和网络业务保障与优化。

  • 山石网科发布iNGFW更高性能单品T5860

    近日,继发布iNGFW T5060、T3860后,山石网科再次发布一款更高性能的单品T5860,继续扩充下一代智能防火墙产品线,为“智能安全”标注更深层的注解。