【51CTO.com独家翻译】目前,在市面上存在着可以使防火墙具有更高效率、带来更多效益的工具,Skybox和RedSeal就是这些产品厂商中的个中翘楚。
任何一个在复杂企业环境中运行过多种防火墙的人都知道,捕捉错误的配置、避免防火墙规则(rule)相冲突、识别漏洞,以及满足审计与规则遵从(compliance)有多么的困难。
在此次测试中,我们重点关注的是五款防火墙操作管理产品:AlgoSec公司的防火墙分析器(Firewall Analyzer),RedSeal公司的网络顾问(Network Advisor)和漏洞顾问(Vulnerability Advisor),Secure Passage公司的FireMon,Skybox公司的View Assure和View Secure,以及Tufin公司的SecureTrack。
我们发现,这些产品的核心功能基本相似:能够检索防火墙(以及其他网络设备)的配置文件、存储并分析数据。如果安全策略遭到了破坏,它们可以查看历史变更记录、分析现有的防火墙规则、执行基于规则的查询,重新改变规则次序,并发出警报。它们还可以自动审计规则遵从,并生成相关报告。
此外,它们还能利用真实网络的即时快照版本进行建模与网络攻防测试。Algosec、RedSeal和Skybox还能提供所在网络的相关图表和拓扑视图。
总的来说,RedSeal和Skybox在此次测试中给我们留下的印象最为深刻,因为它们除了具备全部的基本功能外,还能支持多个厂商的漏洞扫描产品。这些漏洞扫描产品可以对网络存在的风险进行评分,并在整个网络范围内进行脆弱性分析。除了这两款产品,其他的产品同样给我们留下了很深的印象。
Algosec的防火墙分析器有一个直观的界面和预定义的标准审计和分析报告。该软件安装方便,同时还提供了一个简单的数据收集向导(wizard)。
RedSeal的网络顾问和漏洞顾问可以让用户了解自己的网络配置在防御来自互联网的威胁方面做得如何。该软件可以生成漏洞报告以显示网络存在的缺点,还包含了一些预先配置的规则遵从管理报告,有PDF和XML两种格式。
Secure Passage的FireMon可以对网络设备配置进行实时的分析,并通过规则遵从自动分析来保持最新状态。它还有一个专门的向导,可使得输入设备信息能一并发送到大型网络中。
Skybox的View Assure and View Secure能够按照小时、天、星期、月或年来自动收集配置文件信息。它内置了一个售票系统(ticketing system),支持访问变更票(access change tickets)和策略破坏票(policy violation tickets)。
Tufin的SecureTrack拥有一个假设(What-If)分析的特性,以在策略实施之前对它们可能引起的变化进行测试。预定义的分析/报告选项是以行业最佳实践为基础的。
下面将分别详细介绍所测试的五款产品:
AlgoSec防火墙分析器
我们测试了基于Linux的AlgoSec防火墙分析器软件包,该软件包拥有:分析引擎、收集引擎、Web服务器、针对本地和远程管理的GUI,以及用户、策略存储和系统日志数据库。
该分析器的引擎按照预定义或自定义的规则对收集的数据进行查询,然后生成一份详细的报告。同时,Web服务器将把警报信息通过电子邮件发送给防火墙管理人员。
该安装程序包支持32位红帽企业级Linux 4和5,以及Centos 4和5。在测试中,我们把该程序作为一个VMware应用设备安装在了戴尔600SC服务器上。一旦VMware Player加载到了防火墙分析器上,它就会启动并以超级管理员用户(root)进行登录,然后再打开防火墙分析器浏览程序。当浏览器的路径设置为https://hostaddress/时,会出现Algosec的管理界面,点击login(登录)将会启动管理应用程序客户端。
防火墙分析器有三种数据收集方法:通过访问管理选项卡上的向导;AlgoSec提供的半自动脚本;或者人工来完成搜集,但这种方式很费时,也容易导致错误。
一旦文件被检索并进行了存储,防火墙分析器就会运行一种基于PCI规则遵从、NIST、SANS Top 20和供应商最佳实践的风险分析。在测试中我们发现,用户还可以创建自定义的分析报告。选择防火墙报告(Firewall Reports)选项,就可以显示总结了网络变化、发现结果、策略优化、规则重新排序和防火墙信息的图表和网络连通示意图,以及一个防火墙连接图。选择风险(Risks)选项,可以显示与风险代码有关的发现结果以及处理风险的建议和图表等详细信息。
在测试中通过查看Algosec历史变更记录报告,我们获得了防火墙规则变更的细节。在历史变更记录面板的底端,我们看到了可以进行交互式流量检索、报告比较以及能够生成一组其他防火墙报告的特性。
优化策略(Optimization Policy)特性提供了规则清理(Rules Cleanup)和重新排序(Reordering)功能。在规则清理报告中,列出了所有需要纠正的规则和实例数目。一些在清理报告做了标记的规则类型都被贴上了未使用(unused)、隐藏(covered)、冗余(redundant)、不起作用(disabled)以及不符合标准的命名规则等标签。对象清理(Object Cleanup)也有一个类似的清单。规则重新排序报告为我们提供了有关“如何完善规则”和“规则有多少可以改善的空间”等信息。你还可以访问一个告诉你“如何进行防火墙变更”的详细报告。
AlgoSec防火墙分析器客户端的面板布局合理并且是多层次的,因此用户很容易找到各个功能特性和向导。优化策略(Optimize Policy)是一个有用的向导,它可以找到特定的规则并对其进行清理。目前有一些预定义的规则遵从(如PCI-DSS、ISO/IEC 27001、Sarbanes-Oxley)审计。此外,规则遵从报告的结构组织良好,支持PDF、HTML和XML三种格式。虽然AlgoSec没有集成漏洞扫描器,但是它在规则遵从审计和规则优化方面表现得非常出色。
#p#
RedSeal网络顾问和漏洞顾问
使用RedSeal网络顾问4.1和漏洞顾问4.1,你可以自动化分析、识别、量化和减少复杂网络中的风险和漏洞。通过使用插件,网络顾问可以从每个支持的设备中导入配置文件。在测试中,我们很喜欢这种方式,因为在引入风险和漏洞分析后,我们能够创建一个有着最佳实践分析和修复解决方案的统一网络拓扑结构图。
我们是在运行着Windows XP的Dell服务器上安装的Red Seal软件。一旦服务器安装并启动,客户端也随即被安装。在使用客户端应用程序进行了登录后,我们得以访问一个功能完善的GUI控制台服务器。
网络顾问和漏洞顾问都需要将路由器、交换机和防火墙的配置文件导入到数据库中。分析引擎负责处理主机名、IP地址、子网掩码和设备接口等信息。分析结果会以图形显示、报告和图表的形式呈现,详细说明了目前网络的状态和配置。其插件可应用于思科、Check Point、Juniper和其他多个公司的产品。
当设备配置文件被导入到RedSeal顾问后,这些文件将以RedSeal最佳实践数据库为标准进行核对。我们可以通过双击一个选中的行来深度查找违规的策略。任何对主机和设备的改变都可以使用查看变更(View Changes)应用程序进行分析与汇报。
我们通过使用RedSeal自定义的最佳实践检查特性,分析了防火墙规则的使用情况,并对其进行了重新排序。利用一个正则表达式工具,我们可以搜索配置文件并使用与设备相关联的插件。由于配置文件可以被编辑,我们进行了假设(what-if)分析以确定规则的改变是否会对网络产生不利影响。
RedSeal提供了预配置的规则遵从管理分析报告。我们还可以添加自定义报告,并安排在特定时间运行。我们分析和报告的是网络配置的良好程度(与最佳实践进行对比),以及哪些资产已暴露在互联网上。
我们看好RedSeal漏洞分析界面显示网络拓扑结构图的方式,它提供了图形化分析网络漏洞的方法,图中的箭头由威胁来源指向处于风险中的网络资产。该结构图以通用漏洞评价体系(CVSS)为基础,提供了量化风险所需的详细信息,这是一个省时并能保护宝贵资产的重要特性。在对目标网段进行预定义的PCI-DSS分析时,该拓扑图特性提供了一个类似的解决方法,我们只需点击一下鼠标就可以选择一个网络段并对其运行分析报告。
RedSeal的产品集成了多家知名公司(如Qualys、nCircle和McAfee)的漏洞扫描器,以提供漏洞和风险度量体系。如果您想对风险和漏洞进行量化并按资产价值进行资源分配,我们向您推荐本产品。
#p#
Secure Passage公司的FireMon
Secure Passage公司的FireMon程序是通过对防火墙安全策略变化进行报告、检查未使用的规则,以及报告流量是怎样通过规则这三种方式来管理防火墙的。该程序可以对规则遵从方针(compliance guidelines,如支付卡行业和美国国家安全局)进行自动分析,从而保障规则遵从的安全。
FireMon的架构包括一个应用程序服务器、一个数据收集器和一个图形用户界面(GUI)。应用程序服务器负责对收集的数据进行跟踪,实时分析事务和设备配置,并生成预定的报告。数据收集器是FireMon在网络设备或PC上运行的一个应用程序,主要用于监测和收集来自防火墙、交换机、路由器,以及其他网络安全设备的数据。我们在Windows Vista上快速安装了FireMon管理客户端,之后又以用户名、密码、IP地址和端口号登录到FireMon服务器,从而使用其管理控制台。
FireMon提供了一个向导,以便导入Check Point、思科、F5、Juniper、诺基亚和McAfee / Secure Computing等公司的网络设备。一旦向导建立了各个设备的入口,所有相关的防火墙、管理服务器和日志服务器都将被自动发现并按序加入到FireMon中。
#p#
防火墙、路由器和交换机的规则策略管理
FireMon程序提供了几种分析防火墙、路由器以及交换机规则/策略的工具。在测试中,我们使用了防火墙网络流量分析(Firewall Traffic Flow Analysis)工具生成了一个报告,以反映在大型网络中所配置的防火墙“ANY”规则。我们可以通过减少或去掉过于随意的“ANY”规则和太复杂的规则,对防火墙进行相应的调整。
我们查看了一些规则策略管理报告,并生成了FireMon规则建议报告(Rule Recommendation Report),以便分析诸如来自源地址和目的地址的https请求数据包等问题。它还能让我们知道针对所请求的访问是否存在一个安全策略。该报告的底部还列出所测试的每项安全策略的表格,包含了从源地址到目的地址的路由。该报告有http、pdf和xml三种格式。
我们测试了规则比较(Rule Comparison)特性,它能分析不断变化的设备策略规则。我们还发现,该报告采用不同颜色表示的图标来代表“变化”、“插入”、“删除”以及“相同”四种属性。你可以利用这个报告将安全策略恢复到已知的一个良好状态,这将有助于防火墙信息的迁移。
Secure Passage软件的功能易于掌握的,并且组织合理。在测试中我们发现,一些分析和报告向导(如规则建议报告,Rule Recommendation Report)演示了如何设置参数的有用实例。FireMon的网络流量分析特性还可以帮助我们确定如何消除在审计时所发现的防火墙ANY规则。用户可以将一个逻辑严密的报告打印出来,以便详细查看网络流量在从源地址到目的地址传输过程中实际使用了哪些端口和服务。利用这份报告,防火墙管理员可以创建一个更安全的规则来取代ANY规则。
虽然FireMon的规则比较分析报告(Rule Comparison Analysis Report)采用不同颜色来表示不同的安全策略变化,刚开始使用的时候显得有点混乱,但我们仍然觉得FireMon在优化服务器规则和创建审计追踪方面有着出色的表现,该产品可以被看作是一款优秀的企业级防火墙管理软件。
#p#
Skybox公司的View Assure和View Secure
Skybox Risk View平台由两个产品构成,它们分别是:Skybox Secure 4.5(负责风险暴露和安全状况分析,以及威胁警报管理),以及Skybox Assure(用于管理防火墙和执行网络规则遵从审计)。这一平台是可扩展的,由Skybox View服务器、Skybox View收集器、Skybox View管理器和Skybox View字典组成。其字典包括各种定义的数据库,以及漏洞、威胁、蠕虫和网络安全策略方面的信息。
通过扫描器并分析漏洞,Skybox可以将来自网络的威胁进行分类、量化并按重要性排序。使用Skybox Assure软件套件,用户可以管理网络策略验证、监管规则审计和网络设备变更。随着自动化功能的引入,用户还能对数以千计的防火墙规则库进行审计检查。
我们发现,Skybox的安装文档非常完善。在安装过程中,用户手册和教程会被自动加载到C盘上。
Skybox提供了几种方法,可以将设备的配置文件导入到Skybox View数据库中。你可以使用具有收集功能的添加设备(Add Device)向导应用程序,直接从设备中导出配置文件。除此之外,还有几种其他的方法可以自动完成配置信息收集过程。如果配置信息位于一个数据库或者文件库(file repository)中,则该信息可直接导入到Skybox View中。如果你想直接导入各网段的配置文件,那么你还得配备额外的Skybox View收集器。
在此次测试中,我们使用的是操作控制台(Operational Console)来创建任务,使用了新建任务向导(New Task wizard)并选择了一个任务类型(Task Type)。对于数据收集时间安排,控制台也有便捷的选项,你可以将其设置为具体的某个小时、或者设置为每天、每星期、每月、每年。我们也可以规划任务向导(Task Wizard),以便安排从文件库中导入配置文件数据的操作。
我们可以创建在预定时间运行的任务序列。这样的任务序列有退出代码,以便某个任务失败时,其他任务可以无阻的导入配置、运行审计和变化管理。
我们看到,应用程序接口(API)也可以用来简化防火墙与第三方大型管理工具的集成,比如可以获取配置文件的Opsware软件。
一旦配置文件被加载到Skybox View中,Skybox View Assure的规则遵从审计程序将使用其预定义的最佳实践访问策略来对防火墙策略进行分析。最佳实践策略将与设备配置规则/策略进行比较,从而发现安全违规和配置错误。用户可以使用策略规则遵从报告(Policy Compliance Report)表来查看遭到破坏的规则(Violated Rules)、访问规则遵从(Access Compliance)和防火墙规则的规则遵从(Rule Compliance)。如果出现访问规则遵从报告故障,规则违反将会被重点提出,关于此次规则违反的细节也将在报告中详细说明。
我们测试了风险暴露分析器(Risk Exposure Analyzer),它可以模拟潜在的攻击和访问情况。在Skybox Secure创建了一个安全模型的虚拟映射后,它还会在假定(what-if)攻击情形下进行一次业务影响分析。这些假定情况都是基于恶意代码和黑客攻击。使用这个分析器,我们看到了一个显示黑客详细攻击过程和网络访问路径的工作流程图。
攻击测试的结果会被用于评估安全攻击在机密性、完整性和可用性方面对业务造成的影响。Skybox Secure可以引入业务影响规则以便对资产进行分类,并确定一个精确的风险评估标准。在测试中我们发现,还有一些预定义的规则模板可供使用。
规则的使用情况分析需要3至12个月的信息,这样才能得到一份有效的规则使用分析报告。一旦导入网络设备的配置信息并建立起网络模型,在后台的冗余分析就可以立即运行。
在测试中,我们使用了Skybox View Assure的访问分析器(Access Analyzer)功能来获悉有关网络访问的情况。它可用于假定(What-If)模型测试和实时网络连接分析。用户还可以为防火墙以及整个网络范围内的访问创建查询(Queries)。
通过选中GUI中的扩展设备图标,我们可以使用Skybox View Assure变更追踪(Change Tracking)来追踪变化。当需要定期收集数据以更新网络模型时,你可以显示和分析ACL规则、路由规则与网络接口变化之间的对比情况。我们发现,用户为保存规则遵从的记录,可以保留网络和防火墙的变化信息。假定(What-If)模型变化也可作为测试模型中的防火墙规则,然后再与实际的防火墙规则进行对比以发现问题。
Skybox View Assure提供了一个变更控制和售票系统(ticketing system)工作流程。虽然防火墙规则遵从审计员(Firewall Compliance Auditor)已支持访问变更票(Access Change tickets),但网络规则遵从审计员(Network Compliance Auditor)同时支持了访问变更票和策略破坏票(policy violation tickets)。
在测试中,View Firewall Assurance的网络建模功能给我们留下了深刻的印象。为了进行比较分析,用户可以同时存储同一网络的三种不同模型,只需生成一份并行(side-by-side)分析报告就可以毫不费力地找出同一网络模型两个不同版本之间的变化所在。
Skybox的View Risk Exposure Analyzer可以按业务部门和资产对网络进行组织。在测试时,通过使用乙方(second party)的漏洞扫描器(如Qualys和Nessus),我们得到了网络漏洞的相关数据。使用攻击场景选项,我们模拟生成了已被发现漏洞的详细报告。虽然我们没有发现可以使用预定义的漏洞测试套件来进行漏洞攻击测试,但当风险暴露分析器和View Firewall Assurance结合在一起使用时,View Risk Exposure Analyzer会非常有价值,因为在网络模型部署任何设备之前就可以进行漏洞测试。
#p#
Tufin公司的SecureTrack
通过使用Tufin公司的SecureTrack软件,用户可以对防火墙、路由器和交换机进行管理和审计,此外你还可以查看防火墙同其它网络设备的集成使用情况。SecureTrack可以自动报告风险和审计状态、监测防火墙操作系统(firewall operating systems),还能够支持安全规则遵从标准。
由于Tufin T-500设备预先安装了TufinOS和SecureTrack,所以测试的时候我们是在VMware应用设备上进行的,安装快速而且没有出现错误。在我们保存了设置之后,登录界面会出现,此时便可访问Tufin SecureTrack服务器了。在登入后所出现的屏幕上将会显示策略变动报告(Policy Change Reports)、规则使用统计(Rule Usage Statistics)、安全风险报告(Security Risk Reports)和最佳实践审计(Best Practices Audit)所对应的图标。用户可以选择上述某个图标,以便在策略变化时立即得到通知,并收到每周的防火墙报告。
Tufin公司的SecureTrack可将所监控的设备分为设备、插件和防火墙操作系统监测(Firewall OS Monitoring)三类。其中,插件已为Blue Coat ProxySG、F5 Big IP和Linux iptables等防火墙进行了预安装,用户也可以为以下这些公司的网络设备安装插件:Check Point、Cisco、Juniper、Fortinet、Blue Coat、F5等。除了监测功能之外,防火墙监测系统还具有其他一些需要授权的功能,以便在设备发生变化时使得SecureTrack可以支持SNMP协议。
优化和清理是SecureTrack功能的重要组成部分。在保证规则库没有违反公司和管理规则的前提下,SecureTrack可以持续监控防火墙、路由器和交换机。SecureTrack的比较(Compare)功能可以在紧邻设备名的地方列出最近修定的次数。在新修订产生时系统会发出警报,修订列表最多可以按10种属性进行过滤显示。
在测试中,我们使用了SecureTrack分析器去识别功能交叉和冗余的防火墙规则。为了访问储存在SecureTrack数据库中预定义的最佳实践,我们使用了审计/规则遵从(Audit and Compliance)选项。对于所有或特殊的防火墙(如Check Point),目前已拥有最佳实践的检查方法。SecureTrack还提供了针对PCI-DSS规则遵从的预定义策略分析审计。当安全策略规则需要改变时,您还可以通过设置以发送警报。
我们发现,SecureTrack的浏览器面板简洁明了,并具有良好的布局。我们看好用于比较防火墙修订和维护审计跟踪的比较分析(Compare Analysis)选项,那些熟悉主流防火墙商产品接口和界面的用户会非常喜欢这个功能的。
通过使用SecureTrack审计向导,用户可以自定义防火墙审计,以获得关于规则遵从的详细信息,并可在配置向导中选择一个预定义审计模板以节省时间,这一点令人印象深刻。同时,在测试中我们还使用了一个预定义的PCI -DSS审计分析特性,创建了一份详细陈诉规则遵从审计策略的报告。
我们看好可以提供图表、曲线图和风险评分一览表的安全趋势(Security Trend)分析报告。比较特别的一点是,Tufin并不以CVSS中的分数为基础进行评分。我们强烈认为,SecureTrack是一款基于行业和公司策略、在规则遵从审计和维护方面拥有最佳实践的优秀产品。
原作者:Roger Grimes 原文标题:Review: Firewall operations management
【编辑推荐】