隨著越來越多的防火墻支持NetFlow安全事件日志(NSEL),NetFlow采集器將成為許多網絡防火墻日志分析器的一種可靠替換方法。
有幾家專注于SMB的NetFlow采集器供應商,如Plixer International和ManageEngine,已經支持NSEL有一段時間了。而下周Lancope將開始在它的NetFlow采集器StealthWatch中支持NSEL.
現在,支持生成NSEL流記錄的防火墻數量還很有限。思科系統的自適應安全性設備(ASA)是第一個支持NSEL的。SonicWall在今年春季增加了NSEL支持。
Lancope的CTOAdam Powers說,"您將看到越來越多的防火墻供應商在他們的產品中增加NSEL支持。思科是第一個。其他供應商將隨之添加支持,因為它是構成差異性的關鍵。CheckPoint支持了少量的功能,但是仍然有一些供應商是我未提及的,因為我們正幫助它們實現NetFlow支持,這些現在完全屬于NDA保密協議。"
NSEL:系統日志的NetFlow替代方法
企業已經轉向采用防火墻日志分析器供應商的產品,來優化防火墻行為監控。企業管理協會的研究主管Jim Frey說,諸如LogLogic和Splunk等供應商通過收集和分析防火墻系統日志數據,確定到達防火墻的流量類型。
思科將NSEL稱為是一種專門針對防火墻報告定制的修訂版NetFlow.傳統的NetFlow數據包含一些簡單的信息,如源,目標IP地址和端口。NSEL會指出一個流量流是被防火墻接受、拒絕還是丟棄。它也規定了與這個流相關的訪問控制列表(ACL)。
支持NSEL的NetFlow采集器比防火墻日志分析器更高效,因為生成系統日志會耗盡防火墻的計算資源。"如果在一個ASA上實現NetFlow特性,那么這有利于釋放CPU,使防火墻能夠處理其他事務,如處理第7層數據和進行網絡地址轉換(NAT),"Powers說。
理解防火墻如何影響網絡訪問和性能
雖然防火墻通常是NetFlow采集的盲點,但是分析NSEL數據的采集器能夠幫助檢測出防火墻是否影響網絡訪問,Frey說。它也可以將數據整合到整個網絡的更廣泛視圖中,期間會超出網絡安全范疇,還會涉及到性能監控方面。
"防火墻是聯機設備,所以它們可能對常規業務網絡訪問相關的設備產生影響,"Frey說。"當出現影響時,有可能是流中出現了惡意內容,也有可能是由防火墻規則不當造成的,這讓人討厭,而且有時候很難發現。有專門一整套工具用來優化多個供應商防火墻規則監控和分析。但是,一個完全可以被安全供應商接受的規則,卻可能對合理的網絡服務產生意想不到的結果。"
通過NSEL,NetFlow采集器可以將防火墻的遙測數據與其他網絡設備的NetFlow數據進行組合,使企業更好地了解網絡的狀態和行為。
"假設您有一個連接互聯網的邊界路由器,而在這個路由器之后部署了一個傳統的ASA防火墻。再往里,您還部署了一個Catalyst 6500.然后是Catalyst 3750-X接入層交換機。那么這四臺設備所生成的流量流都將穿越網絡,"Powers說。
"主要的附加信息是流的處理方式:根據訪問列表號碼,它是被拒絕,還是被允許?它是否由于流中包含惡意的第7層信息而被丟棄?防火墻如何處理這個流?這個流是否通過防火墻?如果不通過,原因是什么?"Powers說。
所有這些設備都會提供包含不同信息的NetFlow記錄。Catalyst 3750可能會產生一個NetFlow記錄,其中包含發起這個流的筆記本電腦的MAC地址。路由器可能只提供DNS系統中與流相關的數據。現在,防火墻可以生成一條NSEL記錄,告訴NetFlow采集器這個流被拒絕還是允許,它關聯的ACL是什么。類似于StealthWatch的NetFlow將所有這些NetFlow記錄組合到一個數據結構中,企業可以從中更清晰地了解網絡的運行方式和原因。
京公網安備 11010502049343號