隨著越來越多的防火墻支持NetFlow安全事件日志(NSEL),NetFlow采集器將成為許多網(wǎng)絡(luò)防火墻日志分析器的一種可靠替換方法。
有幾家專注于SMB的NetFlow采集器供應(yīng)商,如Plixer International和ManageEngine,已經(jīng)支持NSEL有一段時(shí)間了。而下周Lancope將開始在它的NetFlow采集器StealthWatch中支持NSEL。
現(xiàn)在,支持生成NSEL流記錄的防火墻數(shù)量還很有限。思科系統(tǒng)的自適應(yīng)安全性設(shè)備(ASA)是第一個(gè)支持NSEL的。SonicWall在今年春季增加了NSEL支持。
Lancope的CTOAdam Powers說,“您將看到越來越多的防火墻供應(yīng)商在他們的產(chǎn)品中增加NSEL支持。思科是第一個(gè)。其他供應(yīng)商將隨之增加添加支持,因?yàn)樗菢?gòu)成差異性的關(guān)鍵。CheckPoint支持了少量的功能,但是仍然有一些供應(yīng)商是我未提及的,因?yàn)槲覀冋龓椭鼈儗?shí)現(xiàn)NetFlow支持,這些現(xiàn)在完全屬于NDA保密協(xié)議。”
NSEL:系統(tǒng)日志的NetFlow替代方法
企業(yè)已經(jīng)轉(zhuǎn)向采用防火墻日志分析器供應(yīng)商的產(chǎn)品,來優(yōu)化防火墻行為監(jiān)控。企業(yè)管理協(xié)會的研究主管Jim Frey說,諸如LogLogic和Splunk等供應(yīng)商通過收集和分析防火墻系統(tǒng)日志數(shù)據(jù),確定到達(dá)防火墻的流量類型。
思科將NSEL稱為是一種專門針對防火墻報(bào)告定制的修訂版NetFlow。傳統(tǒng)的NetFlow數(shù)據(jù)包含一些簡單的信息,如源,目標(biāo)IP地址和端口。NSEL會指出一個(gè)流量流是被防火墻接受、拒絕還是丟棄。它也規(guī)定了與這個(gè)流相關(guān)的訪問控制列表(ACL)。
支持NSEL的NetFlow采集器比防火墻日志分析器更高效,因?yàn)樯上到y(tǒng)日志會耗盡防火墻的計(jì)算資源。“如果在一個(gè)ASA上實(shí)現(xiàn)NetFlow特性,那么這有利于釋放CPU,使防火墻能夠處理其他事務(wù),如處理第7層數(shù)據(jù)和進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),”Powers說。
理解防火墻如何影響網(wǎng)絡(luò)訪問和性能
雖然防火墻通常是NetFlow采集的盲點(diǎn),但是分析NSEL數(shù)據(jù)的采集器能夠幫助檢測出防火墻是否影響網(wǎng)絡(luò)訪問,F(xiàn)rey說。它也可以將數(shù)據(jù)整合到整個(gè)網(wǎng)絡(luò)的更廣泛視圖中,期間會超出網(wǎng)絡(luò)安全范疇,還會涉及到性能監(jiān)控方面。
“防火墻是聯(lián)機(jī)設(shè)備,所以它們可能對常規(guī)業(yè)務(wù)網(wǎng)絡(luò)訪問相關(guān)的設(shè)備產(chǎn)生影響,”Frey說。“當(dāng)出現(xiàn)影響時(shí),有可能是流中出現(xiàn)了惡意內(nèi)容,也有可能是由防火墻規(guī)則不當(dāng)造成的,這讓人討厭,而且有時(shí)候很難發(fā)現(xiàn)。有專門一整套工具用來優(yōu)化多個(gè)供應(yīng)商防火墻規(guī)則監(jiān)控和分析。但是,一個(gè)完全可以被安全供應(yīng)商接受的規(guī)則,卻可能對合理的網(wǎng)絡(luò)服務(wù)產(chǎn)生意想不到的結(jié)果。”
通過NSEL,NetFlow采集器可以將防火墻的遙測數(shù)據(jù)與其他網(wǎng)絡(luò)設(shè)備的NetFlow數(shù)據(jù)進(jìn)行組合,使企業(yè)更好地了解網(wǎng)絡(luò)的狀態(tài)和行為。
“假設(shè)您有一個(gè)連接互聯(lián)網(wǎng)的邊界路由器,而在這個(gè)路由器之后部署了一個(gè)傳統(tǒng)的ASA防火墻。再往里,您還部署了一個(gè)Catalyst 6500。然后是Catalyst 3750-X接入層交換機(jī)。那么這四臺設(shè)備所生成的流量流都將穿越網(wǎng)絡(luò),”Powers說。
“主要的附加信息是流的處理方式:根據(jù)訪問列表號碼,它是被拒絕,還是被允許?它是否由于流中包含惡意的第7層信息而被丟棄?防火墻如何處理這個(gè)流?這個(gè)流是否通過防火墻?如果不通過,原因是什么?”Powers說。
所有這些設(shè)備都會提供包含不同信息的NetFlow記錄。Catalyst 3750可能會產(chǎn)生一個(gè)NetFlow記錄,其中包含發(fā)起這個(gè)流的筆記本電腦的MAC地址。路由器可能只提供DNS系統(tǒng)中與流相關(guān)的數(shù)據(jù)。現(xiàn)在, 防火墻可以生成一條NSEL記錄,告訴NetFlow采集器這個(gè)流被拒絕還是允許,它關(guān)聯(lián)的ACL是什么。類似于StealthWatch的NetFlow可以將所有這些NetFlow記錄組合到一個(gè)數(shù)據(jù)結(jié)構(gòu)中,企業(yè)可以從中更清晰地了解網(wǎng)絡(luò)的運(yùn)行方式和原因。
京公網(wǎng)安備 11010502049343號