網(wǎng)絡(luò)路徑的分析工具和助力防火墻管理還有故障修復(fù)是十分重要的。雖然像路由跟蹤這樣的網(wǎng)絡(luò)路徑分析工具在檢查各個(gè)網(wǎng)絡(luò)設(shè)備對(duì)網(wǎng)絡(luò)數(shù)據(jù)包傳輸?shù)挠绊懯呛苡行У?，但是它們無法幫助工程師了解網(wǎng)絡(luò)安全設(shè)備的作用。

Athena Security公司新的PathFinder網(wǎng)絡(luò)路徑分析產(chǎn)品提供了這樣的安全基礎(chǔ)架構(gòu)可見性。網(wǎng)絡(luò)工程師可以將防火墻、交換機(jī)和路由器的配置數(shù)據(jù)上傳到工具中，這樣就可以生成一個(gè)離線的虛擬網(wǎng)絡(luò)模型。然后它們就可以在這個(gè)網(wǎng)絡(luò)模型中模擬數(shù)據(jù)包傳輸，并且PathFinder還可以預(yù)測到設(shè)備配置和防火墻規(guī)則將如何影響數(shù)據(jù)包流。

便利連鎖商店Kwik Trip在劃分網(wǎng)絡(luò)的DMZ之后，局域網(wǎng)和廣域網(wǎng)管理員Chuck Serauskas發(fā)現(xiàn)某些類型的流量在網(wǎng)絡(luò)片段中會(huì)被掛斷。因此，他使用PathFinder來修復(fù)這個(gè)問題。

“在有了PathFinder之后，我們一直都使用它來修復(fù)故障……路徑是如何通過我們的ASA [Cisco Adaptive Security Appliance]的呢，”他說道。“對(duì)于PCI，我們最近將我們的DMZ分割成了4個(gè)不同的DMZ。當(dāng)我們第一次創(chuàng)建時(shí)，我們的路由并不是剛好通過它，而且我們的VMware工作人員在使用我們DMZ中的某些服務(wù)器時(shí)也遇到了一些問題。”

通過PathFinder的離線網(wǎng)絡(luò)路徑分析功能，Serauskas可以使用他的設(shè)備配置來創(chuàng)建一個(gè)網(wǎng)絡(luò)模型，并通過DMZ發(fā)送模擬數(shù)據(jù)包。他發(fā)現(xiàn)ASA會(huì)攔截某些通過的數(shù)據(jù)包。他檢查了ASA的規(guī)則，發(fā)現(xiàn)某些規(guī)則是通過一個(gè)在劃分之前已經(jīng)棄用的老路徑來發(fā)送數(shù)據(jù)包。

“我們只需要修改DMZ上的路徑——在防火墻上進(jìn)行恰當(dāng)?shù)男薷?mdash;—同時(shí)一旦我們修改了配置，我們就可以在PathFinder上運(yùn)行一個(gè)新的測試。”他說。“一旦我們知道了VMware管理員正在嘗試獲得的IP地址已經(jīng)可以正確傳輸數(shù)據(jù)，那么我們就可以將修改應(yīng)用到生產(chǎn)環(huán)境中。”

網(wǎng)絡(luò)路徑分析工具幾乎不考慮安全性

網(wǎng)絡(luò)工程師有很多可以執(zhí)行網(wǎng)絡(luò)流量分析的工具，其中就有一些像路由跟蹤這樣的簡單工具，也有具備網(wǎng)絡(luò)路徑分析功能的大型系統(tǒng)管理產(chǎn)品，如Opnet和Compuware。但是，這些工具中的大多數(shù)都是面向網(wǎng)絡(luò)設(shè)備和主機(jī)的——而非網(wǎng)絡(luò)安全設(shè)備。

“防火墻規(guī)則變更而最終導(dǎo)致應(yīng)用程序出現(xiàn)性能問題的情況是屢見不鮮的。在查找性能問題時(shí)，通常不會(huì)檢查這個(gè)地方，但它還是會(huì)產(chǎn)生重大影響的，”Enterprise Management Associates的網(wǎng)絡(luò)管理研究主管Jim Frey說道。

網(wǎng)絡(luò)路徑的分析工具和助力防火墻管理還有故障修復(fù)是十分重要的。雖然像路由跟蹤這樣的網(wǎng)絡(luò)路徑分析工具在檢查各個(gè)網(wǎng)絡(luò)設(shè)備對(duì)網(wǎng)絡(luò)數(shù)據(jù)包傳輸?shù)挠绊懯呛苡行У?，但是它們無法幫助工程師了解網(wǎng)絡(luò)安全設(shè)備的作用。

Athena Security公司新的PathFinder網(wǎng)絡(luò)路徑分析產(chǎn)品提供了這樣的安全基礎(chǔ)架構(gòu)可見性。網(wǎng)絡(luò)工程師可以將防火墻、交換機(jī)和路由器的配置數(shù)據(jù)上傳到工具中，這樣就可以生成一個(gè)離線的虛擬網(wǎng)絡(luò)模型。然后它們就可以在這個(gè)網(wǎng)絡(luò)模型中模擬數(shù)據(jù)包傳輸，并且PathFinder還可以預(yù)測到設(shè)備配置和防火墻規(guī)則將如何影響數(shù)據(jù)包流。

便利連鎖商店Kwik Trip在劃分網(wǎng)絡(luò)的DMZ之后，局域網(wǎng)和廣域網(wǎng)管理員Chuck Serauskas發(fā)現(xiàn)某些類型的流量在網(wǎng)絡(luò)片段中會(huì)被掛斷。因此，他使用PathFinder來修復(fù)這個(gè)問題。

“在有了PathFinder之后，我們一直都使用它來修復(fù)故障……路徑是如何通過我們的ASA [Cisco Adaptive Security Appliance]的呢，”他說道。“對(duì)于PCI，我們最近將我們的DMZ分割成了4個(gè)不同的DMZ。當(dāng)我們第一次創(chuàng)建時(shí)，我們的路由并不是剛好通過它，而且我們的VMware工作人員在使用我們DMZ中的某些服務(wù)器時(shí)也遇到了一些問題。”

通過PathFinder的離線網(wǎng)絡(luò)路徑分析功能，Serauskas可以使用他的設(shè)備配置來創(chuàng)建一個(gè)網(wǎng)絡(luò)模型，并通過DMZ發(fā)送模擬數(shù)據(jù)包。他發(fā)現(xiàn)ASA會(huì)攔截某些通過的數(shù)據(jù)包。他檢查了ASA的規(guī)則，發(fā)現(xiàn)某些規(guī)則是通過一個(gè)在劃分之前已經(jīng)棄用的老路徑來發(fā)送數(shù)據(jù)包。

“我們只需要修改DMZ上的路徑——在防火墻上進(jìn)行恰當(dāng)?shù)男薷?mdash;—同時(shí)一旦我們修改了配置，我們就可以在PathFinder上運(yùn)行一個(gè)新的測試。”他說。“一旦我們知道了VMware管理員正在嘗試獲得的IP地址已經(jīng)可以正確傳輸數(shù)據(jù)，那么我們就可以將修改應(yīng)用到生產(chǎn)環(huán)境中。”

網(wǎng)絡(luò)路徑分析工具幾乎不考慮安全性

網(wǎng)絡(luò)工程師有很多可以執(zhí)行網(wǎng)絡(luò)流量分析的工具，其中就有一些像路由跟蹤這樣的簡單工具，也有具備網(wǎng)絡(luò)路徑分析功能的大型系統(tǒng)管理產(chǎn)品，如Opnet和Compuware。但是，這些工具中的大多數(shù)都是面向網(wǎng)絡(luò)設(shè)備和主機(jī)的——而非網(wǎng)絡(luò)安全設(shè)備。

“防火墻規(guī)則變更而最終導(dǎo)致應(yīng)用程序出現(xiàn)性能問題的情況是屢見不鮮的。在查找性能問題時(shí)，通常不會(huì)檢查這個(gè)地方，但它還是會(huì)產(chǎn)生重大影響的，”Enterprise Management Associates的網(wǎng)絡(luò)管理研究主管Jim Frey說道。