關(guān)于用工具助力防火墻管理和故障修復(fù)

　　網(wǎng)絡(luò)路徑的分析工具和助力防火墻管理還有故障修復(fù)是十分重要的。雖然像路由跟蹤這樣的網(wǎng)絡(luò)路徑分析工具在檢查各個網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)數(shù)據(jù)包傳輸?shù)挠绊懯呛苡行У�，但是它們無法幫助工程師了解網(wǎng)絡(luò)安全設(shè)備的作用。

　　網(wǎng)絡(luò)工程師可以將防火墻、交換機和路由器的配置數(shù)據(jù)上傳到工具中，這樣就可以生成一個離線的虛擬網(wǎng)絡(luò)模型。然后它們就可以在這個網(wǎng)絡(luò)模型中模擬數(shù)據(jù)包傳輸，并且PathFinder還可以預(yù)測到設(shè)備配置和防火墻規(guī)則將如何影響數(shù)據(jù)包流。

　　便利連鎖商店Kwik Trip在劃分網(wǎng)絡(luò)的DMZ之后，局域網(wǎng)和廣域網(wǎng)管理員Chuck Serauskas發(fā)現(xiàn)某些類型的流量在網(wǎng)絡(luò)片段中會被掛斷。因此，他使用PathFinder來修復(fù)這個問題。

　　“在有了PathFinder之后，我們一直都使用它來修復(fù)故障……路徑是如何通過我們的ASA [Cisco Adaptive Security Appliance]的呢，”他說道。“對于PCI，我們最近將我們的DMZ分割成了4個不同的DMZ。當我們第一次創(chuàng)建時，我們的路由并不是剛好通過它，而且我們的VMware工作人員在使用我們DMZ中的某些服務(wù)器時也遇到了一些問題。”

　　通過PathFinder的離線網(wǎng)絡(luò)路徑分析功能，Serauskas可以使用他的設(shè)備配置來創(chuàng)建一個網(wǎng)絡(luò)模型，并通過DMZ發(fā)送模擬數(shù)據(jù)包。他發(fā)現(xiàn)ASA會攔截某些通過的數(shù)據(jù)包。他檢查了ASA的規(guī)則，發(fā)現(xiàn)某些規(guī)則是通過一個在劃分之前已經(jīng)棄用的老路徑來發(fā)送數(shù)據(jù)包。

　　“我們只需要修改DMZ上的路徑——在防火墻上進行恰當?shù)男薷?mdash;—同時一旦我們修改了配置，我們就可以在PathFinder上運行一個新的測試。”他說。“一旦我們知道了VMware管理員正在嘗試獲得的IP地址已經(jīng)可以正確傳輸數(shù)據(jù)，那么我們就可以將修改應(yīng)用到生產(chǎn)環(huán)境中。”

　　網(wǎng)絡(luò)路徑分析工具幾乎不考慮安全性

　　網(wǎng)絡(luò)工程師有很多可以執(zhí)行網(wǎng)絡(luò)流量分析的工具，其中就有一些像路由跟蹤這樣的簡單工具，也有具備網(wǎng)絡(luò)路徑分析功能的大型系統(tǒng)管理產(chǎn)品，如Opnet和Compuware。但是，這些工具中的大多數(shù)都是面向網(wǎng)絡(luò)設(shè)備和主機的——而非網(wǎng)絡(luò)安全設(shè)備。

　　“防火墻規(guī)則變更而最終導(dǎo)致應(yīng)用程序出現(xiàn)性能問題的情況是屢見不鮮的。在查找性能問題時，通常不會檢查這個地方，但它還是會產(chǎn)生重大影響的，”Enterprise Management Associates的網(wǎng)絡(luò)管理研究主管Jim Frey說道。

　　網(wǎng)絡(luò)路徑的分析工具和助力防火墻管理還有故障修復(fù)是十分重要的。雖然像路由跟蹤這樣的網(wǎng)絡(luò)路徑分析工具在檢查各個網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)數(shù)據(jù)包傳輸?shù)挠绊懯呛苡行У�，但是它們無法幫助工程師了解網(wǎng)絡(luò)安全設(shè)備的作用。

　　Athena Security公司新的PathFinder網(wǎng)絡(luò)路徑分析產(chǎn)品提供了這樣的安全基礎(chǔ)架構(gòu)可見性。網(wǎng)絡(luò)工程師可以將防火墻、交換機和路由器的配置數(shù)據(jù)上傳到工具中，這樣就可以生成一個離線的虛擬網(wǎng)絡(luò)模型。然后它們就可以在這個網(wǎng)絡(luò)模型中模擬數(shù)據(jù)包傳輸，并且PathFinder還可以預(yù)測到設(shè)備配置和防火墻規(guī)則將如何影響數(shù)據(jù)包流。

　　便利連鎖商店Kwik Trip在劃分網(wǎng)絡(luò)的DMZ之后，局域網(wǎng)和廣域網(wǎng)管理員Chuck Serauskas發(fā)現(xiàn)某些類型的流量在網(wǎng)絡(luò)片段中會被掛斷。因此，他使用PathFinder來修復(fù)這個問題。

　　“在有了PathFinder之后，我們一直都使用它來修復(fù)故障……路徑是如何通過我們的ASA [Cisco Adaptive Security Appliance]的呢，”他說道。“對于PCI，我們最近將我們的DMZ分割成了4個不同的DMZ。當我們第一次創(chuàng)建時，我們的路由并不是剛好通過它，而且我們的VMware工作人員在使用我們DMZ中的某些服務(wù)器時也遇到了一些問題。”

　　通過PathFinder的離線網(wǎng)絡(luò)路徑分析功能，Serauskas可以使用他的設(shè)備配置來創(chuàng)建一個網(wǎng)絡(luò)模型，并通過DMZ發(fā)送模擬數(shù)據(jù)包。他發(fā)現(xiàn)ASA會攔截某些通過的數(shù)據(jù)包。他檢查了ASA的規(guī)則，發(fā)現(xiàn)某些規(guī)則是通過一個在劃分之前已經(jīng)棄用的老路徑來發(fā)送數(shù)據(jù)包。

　　“我們只需要修改DMZ上的路徑——在防火墻上進行恰當?shù)男薷?mdash;—同時一旦我們修改了配置，我們就可以在PathFinder上運行一個新的測試。”他說。“一旦我們知道了VMware管理員正在嘗試獲得的IP地址已經(jīng)可以正確傳輸數(shù)據(jù)，那么我們就可以將修改應(yīng)用到生產(chǎn)環(huán)境中。”

　　網(wǎng)絡(luò)路徑分析工具幾乎不考慮安全性

　　網(wǎng)絡(luò)工程師有很多可以執(zhí)行網(wǎng)絡(luò)流量分析的工具，其中就有一些像路由跟蹤這樣的簡單工具，也有具備網(wǎng)絡(luò)路徑分析功能的大型系統(tǒng)管理產(chǎn)品，如Opnet和Compuware。但是，這些工具中的大多數(shù)都是面向網(wǎng)絡(luò)設(shè)備和主機的——而非網(wǎng)絡(luò)安全設(shè)備。

　　“防火墻規(guī)則變更而最終導(dǎo)致應(yīng)用程序出現(xiàn)性能問題的情況是屢見不鮮的。在查找性能問題時，通常不會檢查這個地方，但它還是會產(chǎn)生重大影響的，”Enterprise Management Associates的網(wǎng)絡(luò)管理研究主管Jim Frey說道。

【用工具助力防火墻管理和故障修復(fù)】相關(guān)文章：

電腦主板故障及修復(fù)方法04-24

常見的路由器故障修復(fù)04-26

解析電腦黑屏故障和LED顯示屏常見故障09-08

怎么查看電腦防火墻10-10

電腦防火墻設(shè)置技巧03-04

怎么關(guān)閉驅(qū)動防火墻11-27

有關(guān)ipad Wi-Fi網(wǎng)絡(luò)和連接故障診斷11-26

網(wǎng)頁打不開怎么修復(fù)11-26

淺談防火墻銳捷好嗎11-27

風(fēng)云防火墻怎么樣10-19