五款防火墻操作管理軟件評測
原創【51CTO.com獨家翻譯】目前,在市面上存在著可以使防火墻具有更高效率、帶來更多效益的工具,Skybox和RedSeal就是這些產品廠商中的個中翹楚。
任何一個在復雜企業環境中運行過多種防火墻的人都知道,捕捉錯誤的配置、避免防火墻規則(rule)相沖突、識別漏洞,以及滿足審計與規則遵從(compliance)有多么的困難。
在此次測試中,我們重點關注的是五款防火墻操作管理產品:AlgoSec公司的防火墻分析器(Firewall Analyzer),RedSeal公司的網絡顧問(Network Advisor)和漏洞顧問(Vulnerability Advisor),Secure Passage公司的FireMon,Skybox公司的View Assure和View Secure,以及Tufin公司的SecureTrack。
我們發現,這些產品的核心功能基本相似:能夠檢索防火墻(以及其他網絡設備)的配置文件、存儲并分析數據。如果安全策略遭到了破壞,它們可以查看歷史變更記錄、分析現有的防火墻規則、執行基于規則的查詢,重新改變規則次序,并發出警報。它們還可以自動審計規則遵從,并生成相關報告。
此外,它們還能利用真實網絡的即時快照版本進行建模與網絡攻防測試。Algosec、RedSeal和Skybox還能提供所在網絡的相關圖表和拓撲視圖。
總的來說,RedSeal和Skybox在此次測試中給我們留下的印象最為深刻,因為它們除了具備全部的基本功能外,還能支持多個廠商的漏洞掃描產品。這些漏洞掃描產品可以對網絡存在的風險進行評分,并在整個網絡范圍內進行脆弱性分析。除了這兩款產品,其他的產品同樣給我們留下了很深的印象。
Algosec的防火墻分析器有一個直觀的界面和預定義的標準審計和分析報告。該軟件安裝方便,同時還提供了一個簡單的數據收集向導(wizard)。
RedSeal的網絡顧問和漏洞顧問可以讓用戶了解自己的網絡配置在防御來自互聯網的威脅方面做得如何。該軟件可以生成漏洞報告以顯示網絡存在的缺點,還包含了一些預先配置的規則遵從管理報告,有PDF和XML兩種格式。
Secure Passage的FireMon可以對網絡設備配置進行實時的分析,并通過規則遵從自動分析來保持最新狀態。它還有一個專門的向導,可使得輸入設備信息能一并發送到大型網絡中。
Skybox的View Assure and View Secure能夠按照小時、天、星期、月或年來自動收集配置文件信息。它內置了一個售票系統(ticketing system),支持訪問變更票(access change tickets)和策略破壞票(policy violation tickets)。
Tufin的SecureTrack擁有一個假設(What-If)分析的特性,以在策略實施之前對它們可能引起的變化進行測試。預定義的分析/報告選項是以行業最佳實踐為基礎的。
下面將分別詳細介紹所測試的五款產品:
AlgoSec防火墻分析器
我們測試了基于Linux的AlgoSec防火墻分析器軟件包,該軟件包擁有:分析引擎、收集引擎、Web服務器、針對本地和遠程管理的GUI,以及用戶、策略存儲和系統日志數據庫。
該分析器的引擎按照預定義或自定義的規則對收集的數據進行查詢,然后生成一份詳細的報告。同時,Web服務器將把警報信息通過電子郵件發送給防火墻管理人員。
該安裝程序包支持32位紅帽企業級Linux 4和5,以及Centos 4和5。在測試中,我們把該程序作為一個VMware應用設備安裝在了戴爾600SC服務器上。一旦VMware Player加載到了防火墻分析器上,它就會啟動并以超級管理員用戶(root)進行登錄,然后再打開防火墻分析器瀏覽程序。當瀏覽器的路徑設置為https://hostaddress/時,會出現Algosec的管理界面,點擊login(登錄)將會啟動管理應用程序客戶端。
防火墻分析器有三種數據收集方法:通過訪問管理選項卡上的向導;AlgoSec提供的半自動腳本;或者人工來完成搜集,但這種方式很費時,也容易導致錯誤。
一旦文件被檢索并進行了存儲,防火墻分析器就會運行一種基于PCI規則遵從、NIST、SANS Top 20和供應商最佳實踐的風險分析。在測試中我們發現,用戶還可以創建自定義的分析報告。選擇防火墻報告(Firewall Reports)選項,就可以顯示總結了網絡變化、發現結果、策略優化、規則重新排序和防火墻信息的圖表和網絡連通示意圖,以及一個防火墻連接圖。選擇風險(Risks)選項,可以顯示與風險代碼有關的發現結果以及處理風險的建議和圖表等詳細信息。
在測試中通過查看Algosec歷史變更記錄報告,我們獲得了防火墻規則變更的細節。在歷史變更記錄面板的底端,我們看到了可以進行交互式流量檢索、報告比較以及能夠生成一組其他防火墻報告的特性。
優化策略(Optimization Policy)特性提供了規則清理(Rules Cleanup)和重新排序(Reordering)功能。在規則清理報告中,列出了所有需要糾正的規則和實例數目。一些在清理報告做了標記的規則類型都被貼上了未使用(unused)、隱藏(covered)、冗余(redundant)、不起作用(disabled)以及不符合標準的命名規則等標簽。對象清理(Object Cleanup)也有一個類似的清單。規則重新排序報告為我們提供了有關“如何完善規則”和“規則有多少可以改善的空間”等信息。你還可以訪問一個告訴你“如何進行防火墻變更”的詳細報告。
AlgoSec防火墻分析器客戶端的面板布局合理并且是多層次的,因此用戶很容易找到各個功能特性和向導。優化策略(Optimize Policy)是一個有用的向導,它可以找到特定的規則并對其進行清理。目前有一些預定義的規則遵從(如PCI-DSS、ISO/IEC 27001、Sarbanes-Oxley)審計。此外,規則遵從報告的結構組織良好,支持PDF、HTML和XML三種格式。雖然AlgoSec沒有集成漏洞掃描器,但是它在規則遵從審計和規則優化方面表現得非常出色。
#p#
RedSeal網絡顧問和漏洞顧問
使用RedSeal網絡顧問4.1和漏洞顧問4.1,你可以自動化分析、識別、量化和減少復雜網絡中的風險和漏洞。通過使用插件,網絡顧問可以從每個支持的設備中導入配置文件。在測試中,我們很喜歡這種方式,因為在引入風險和漏洞分析后,我們能夠創建一個有著最佳實踐分析和修復解決方案的統一網絡拓撲結構圖。
我們是在運行著Windows XP的Dell服務器上安裝的Red Seal軟件。一旦服務器安裝并啟動,客戶端也隨即被安裝。在使用客戶端應用程序進行了登錄后,我們得以訪問一個功能完善的GUI控制臺服務器。
網絡顧問和漏洞顧問都需要將路由器、交換機和防火墻的配置文件導入到數據庫中。分析引擎負責處理主機名、IP地址、子網掩碼和設備接口等信息。分析結果會以圖形顯示、報告和圖表的形式呈現,詳細說明了目前網絡的狀態和配置。其插件可應用于思科、Check Point、Juniper和其他多個公司的產品。
當設備配置文件被導入到RedSeal顧問后,這些文件將以RedSeal最佳實踐數據庫為標準進行核對。我們可以通過雙擊一個選中的行來深度查找違規的策略。任何對主機和設備的改變都可以使用查看變更(View Changes)應用程序進行分析與匯報。
我們通過使用RedSeal自定義的最佳實踐檢查特性,分析了防火墻規則的使用情況,并對其進行了重新排序。利用一個正則表達式工具,我們可以搜索配置文件并使用與設備相關聯的插件。由于配置文件可以被編輯,我們進行了假設(what-if)分析以確定規則的改變是否會對網絡產生不利影響。
RedSeal提供了預配置的規則遵從管理分析報告。我們還可以添加自定義報告,并安排在特定時間運行。我們分析和報告的是網絡配置的良好程度(與最佳實踐進行對比),以及哪些資產已暴露在互聯網上。
我們看好RedSeal漏洞分析界面顯示網絡拓撲結構圖的方式,它提供了圖形化分析網絡漏洞的方法,圖中的箭頭由威脅來源指向處于風險中的網絡資產。該結構圖以通用漏洞評價體系(CVSS)為基礎,提供了量化風險所需的詳細信息,這是一個省時并能保護寶貴資產的重要特性。在對目標網段進行預定義的PCI-DSS分析時,該拓撲圖特性提供了一個類似的解決方法,我們只需點擊一下鼠標就可以選擇一個網絡段并對其運行分析報告。
RedSeal的產品集成了多家知名公司(如Qualys、nCircle和McAfee)的漏洞掃描器,以提供漏洞和風險度量體系。如果您想對風險和漏洞進行量化并按資產價值進行資源分配,我們向您推薦本產品。
#p#
Secure Passage公司的FireMon
Secure Passage公司的FireMon程序是通過對防火墻安全策略變化進行報告、檢查未使用的規則,以及報告流量是怎樣通過規則這三種方式來管理防火墻的。該程序可以對規則遵從方針(compliance guidelines,如支付卡行業和美國國家安全局)進行自動分析,從而保障規則遵從的安全。
FireMon的架構包括一個應用程序服務器、一個數據收集器和一個圖形用戶界面(GUI)。應用程序服務器負責對收集的數據進行跟蹤,實時分析事務和設備配置,并生成預定的報告。數據收集器是FireMon在網絡設備或PC上運行的一個應用程序,主要用于監測和收集來自防火墻、交換機、路由器,以及其他網絡安全設備的數據。我們在Windows Vista上快速安裝了FireMon管理客戶端,之后又以用戶名、密碼、IP地址和端口號登錄到FireMon服務器,從而使用其管理控制臺。
FireMon提供了一個向導,以便導入Check Point、思科、F5、Juniper、諾基亞和McAfee / Secure Computing等公司的網絡設備。一旦向導建立了各個設備的入口,所有相關的防火墻、管理服務器和日志服務器都將被自動發現并按序加入到FireMon中。
#p#
防火墻、路由器和交換機的規則策略管理
FireMon程序提供了幾種分析防火墻、路由器以及交換機規則/策略的工具。在測試中,我們使用了防火墻網絡流量分析(Firewall Traffic Flow Analysis)工具生成了一個報告,以反映在大型網絡中所配置的防火墻“ANY”規則。我們可以通過減少或去掉過于隨意的“ANY”規則和太復雜的規則,對防火墻進行相應的調整。
我們查看了一些規則策略管理報告,并生成了FireMon規則建議報告(Rule Recommendation Report),以便分析諸如來自源地址和目的地址的https請求數據包等問題。它還能讓我們知道針對所請求的訪問是否存在一個安全策略。該報告的底部還列出所測試的每項安全策略的表格,包含了從源地址到目的地址的路由。該報告有http、pdf和xml三種格式。
我們測試了規則比較(Rule Comparison)特性,它能分析不斷變化的設備策略規則。我們還發現,該報告采用不同顏色表示的圖標來代表“變化”、“插入”、“刪除”以及“相同”四種屬性。你可以利用這個報告將安全策略恢復到已知的一個良好狀態,這將有助于防火墻信息的遷移。
Secure Passage軟件的功能易于掌握的,并且組織合理。在測試中我們發現,一些分析和報告向導(如規則建議報告,Rule Recommendation Report)演示了如何設置參數的有用實例。FireMon的網絡流量分析特性還可以幫助我們確定如何消除在審計時所發現的防火墻ANY規則。用戶可以將一個邏輯嚴密的報告打印出來,以便詳細查看網絡流量在從源地址到目的地址傳輸過程中實際使用了哪些端口和服務。利用這份報告,防火墻管理員可以創建一個更安全的規則來取代ANY規則。
雖然FireMon的規則比較分析報告(Rule Comparison Analysis Report)采用不同顏色來表示不同的安全策略變化,剛開始使用的時候顯得有點混亂,但我們仍然覺得FireMon在優化服務器規則和創建審計追蹤方面有著出色的表現,該產品可以被看作是一款優秀的企業級防火墻管理軟件。
#p#
Skybox公司的View Assure和View Secure
Skybox Risk View平臺由兩個產品構成,它們分別是:Skybox Secure 4.5(負責風險暴露和安全狀況分析,以及威脅警報管理),以及Skybox Assure(用于管理防火墻和執行網絡規則遵從審計)。這一平臺是可擴展的,由Skybox View服務器、Skybox View收集器、Skybox View管理器和Skybox View字典組成。其字典包括各種定義的數據庫,以及漏洞、威脅、蠕蟲和網絡安全策略方面的信息。
通過掃描器并分析漏洞,Skybox可以將來自網絡的威脅進行分類、量化并按重要性排序。使用Skybox Assure軟件套件,用戶可以管理網絡策略驗證、監管規則審計和網絡設備變更。隨著自動化功能的引入,用戶還能對數以千計的防火墻規則庫進行審計檢查。
我們發現,Skybox的安裝文檔非常完善。在安裝過程中,用戶手冊和教程會被自動加載到C盤上。
Skybox提供了幾種方法,可以將設備的配置文件導入到Skybox View數據庫中。你可以使用具有收集功能的添加設備(Add Device)向導應用程序,直接從設備中導出配置文件。除此之外,還有幾種其他的方法可以自動完成配置信息收集過程。如果配置信息位于一個數據庫或者文件庫(file repository)中,則該信息可直接導入到Skybox View中。如果你想直接導入各網段的配置文件,那么你還得配備額外的Skybox View收集器。
在此次測試中,我們使用的是操作控制臺(Operational Console)來創建任務,使用了新建任務向導(New Task wizard)并選擇了一個任務類型(Task Type)。對于數據收集時間安排,控制臺也有便捷的選項,你可以將其設置為具體的某個小時、或者設置為每天、每星期、每月、每年。我們也可以規劃任務向導(Task Wizard),以便安排從文件庫中導入配置文件數據的操作。
我們可以創建在預定時間運行的任務序列。這樣的任務序列有退出代碼,以便某個任務失敗時,其他任務可以無阻的導入配置、運行審計和變化管理。
我們看到,應用程序接口(API)也可以用來簡化防火墻與第三方大型管理工具的集成,比如可以獲取配置文件的Opsware軟件。
一旦配置文件被加載到Skybox View中,Skybox View Assure的規則遵從審計程序將使用其預定義的最佳實踐訪問策略來對防火墻策略進行分析。最佳實踐策略將與設備配置規則/策略進行比較,從而發現安全違規和配置錯誤。用戶可以使用策略規則遵從報告(Policy Compliance Report)表來查看遭到破壞的規則(Violated Rules)、訪問規則遵從(Access Compliance)和防火墻規則的規則遵從(Rule Compliance)。如果出現訪問規則遵從報告故障,規則違反將會被重點提出,關于此次規則違反的細節也將在報告中詳細說明。
我們測試了風險暴露分析器(Risk Exposure Analyzer),它可以模擬潛在的攻擊和訪問情況。在Skybox Secure創建了一個安全模型的虛擬映射后,它還會在假定(what-if)攻擊情形下進行一次業務影響分析。這些假定情況都是基于惡意代碼和黑客攻擊。使用這個分析器,我們看到了一個顯示黑客詳細攻擊過程和網絡訪問路徑的工作流程圖。
攻擊測試的結果會被用于評估安全攻擊在機密性、完整性和可用性方面對業務造成的影響。Skybox Secure可以引入業務影響規則以便對資產進行分類,并確定一個精確的風險評估標準。在測試中我們發現,還有一些預定義的規則模板可供使用。
規則的使用情況分析需要3至12個月的信息,這樣才能得到一份有效的規則使用分析報告。一旦導入網絡設備的配置信息并建立起網絡模型,在后臺的冗余分析就可以立即運行。
在測試中,我們使用了Skybox View Assure的訪問分析器(Access Analyzer)功能來獲悉有關網絡訪問的情況。它可用于假定(What-If)模型測試和實時網絡連接分析。用戶還可以為防火墻以及整個網絡范圍內的訪問創建查詢(Queries)。
通過選中GUI中的擴展設備圖標,我們可以使用Skybox View Assure變更追蹤(Change Tracking)來追蹤變化。當需要定期收集數據以更新網絡模型時,你可以顯示和分析ACL規則、路由規則與網絡接口變化之間的對比情況。我們發現,用戶為保存規則遵從的記錄,可以保留網絡和防火墻的變化信息。假定(What-If)模型變化也可作為測試模型中的防火墻規則,然后再與實際的防火墻規則進行對比以發現問題。
Skybox View Assure提供了一個變更控制和售票系統(ticketing system)工作流程。雖然防火墻規則遵從審計員(Firewall Compliance Auditor)已支持訪問變更票(Access Change tickets),但網絡規則遵從審計員(Network Compliance Auditor)同時支持了訪問變更票和策略破壞票(policy violation tickets)。
在測試中,View Firewall Assurance的網絡建模功能給我們留下了深刻的印象。為了進行比較分析,用戶可以同時存儲同一網絡的三種不同模型,只需生成一份并行(side-by-side)分析報告就可以毫不費力地找出同一網絡模型兩個不同版本之間的變化所在。
Skybox的View Risk Exposure Analyzer可以按業務部門和資產對網絡進行組織。在測試時,通過使用乙方(second party)的漏洞掃描器(如Qualys和Nessus),我們得到了網絡漏洞的相關數據。使用攻擊場景選項,我們模擬生成了已被發現漏洞的詳細報告。雖然我們沒有發現可以使用預定義的漏洞測試套件來進行漏洞攻擊測試,但當風險暴露分析器和View Firewall Assurance結合在一起使用時,View Risk Exposure Analyzer會非常有價值,因為在網絡模型部署任何設備之前就可以進行漏洞測試。
#p#
Tufin公司的SecureTrack
通過使用Tufin公司的SecureTrack軟件,用戶可以對防火墻、路由器和交換機進行管理和審計,此外你還可以查看防火墻同其它網絡設備的集成使用情況。SecureTrack可以自動報告風險和審計狀態、監測防火墻操作系統(firewall operating systems),還能夠支持安全規則遵從標準。
由于Tufin T-500設備預先安裝了TufinOS和SecureTrack,所以測試的時候我們是在VMware應用設備上進行的,安裝快速而且沒有出現錯誤。在我們保存了設置之后,登錄界面會出現,此時便可訪問Tufin SecureTrack服務器了。在登入后所出現的屏幕上將會顯示策略變動報告(Policy Change Reports)、規則使用統計(Rule Usage Statistics)、安全風險報告(Security Risk Reports)和最佳實踐審計(Best Practices Audit)所對應的圖標。用戶可以選擇上述某個圖標,以便在策略變化時立即得到通知,并收到每周的防火墻報告。
Tufin公司的SecureTrack可將所監控的設備分為設備、插件和防火墻操作系統監測(Firewall OS Monitoring)三類。其中,插件已為Blue Coat ProxySG、F5 Big IP和Linux iptables等防火墻進行了預安裝,用戶也可以為以下這些公司的網絡設備安裝插件:Check Point、Cisco、Juniper、Fortinet、Blue Coat、F5等。除了監測功能之外,防火墻監測系統還具有其他一些需要授權的功能,以便在設備發生變化時使得SecureTrack可以支持SNMP協議。
優化和清理是SecureTrack功能的重要組成部分。在保證規則庫沒有違反公司和管理規則的前提下,SecureTrack可以持續監控防火墻、路由器和交換機。SecureTrack的比較(Compare)功能可以在緊鄰設備名的地方列出最近修定的次數。在新修訂產生時系統會發出警報,修訂列表最多可以按10種屬性進行過濾顯示。
在測試中,我們使用了SecureTrack分析器去識別功能交叉和冗余的防火墻規則。為了訪問儲存在SecureTrack數據庫中預定義的最佳實踐,我們使用了審計/規則遵從(Audit and Compliance)選項。對于所有或特殊的防火墻(如Check Point),目前已擁有最佳實踐的檢查方法。SecureTrack還提供了針對PCI-DSS規則遵從的預定義策略分析審計。當安全策略規則需要改變時,您還可以通過設置以發送警報。
我們發現,SecureTrack的瀏覽器面板簡潔明了,并具有良好的布局。我們看好用于比較防火墻修訂和維護審計跟蹤的比較分析(Compare Analysis)選項,那些熟悉主流防火墻商產品接口和界面的用戶會非常喜歡這個功能的。
通過使用SecureTrack審計向導,用戶可以自定義防火墻審計,以獲得關于規則遵從的詳細信息,并可在配置向導中選擇一個預定義審計模板以節省時間,這一點令人印象深刻。同時,在測試中我們還使用了一個預定義的PCI -DSS審計分析特性,創建了一份詳細陳訴規則遵從審計策略的報告。
我們看好可以提供圖表、曲線圖和風險評分一覽表的安全趨勢(Security Trend)分析報告。比較特別的一點是,Tufin并不以CVSS中的分數為基礎進行評分。我們強烈認為,SecureTrack是一款基于行業和公司策略、在規則遵從審計和維護方面擁有最佳實踐的優秀產品。
原作者:Roger Grimes 原文標題:Review: Firewall operations management
【編輯推薦】
