隨著越來越多的防火墻支持NetFlow安全事件日志(NSEL)，NetFlow采集器將成為許多網(wǎng)絡(luò)防火墻日志分析器的一種可靠替換方法。

有幾家專注于SMB的NetFlow采集器供應(yīng)商，如Plixer International和ManageEngine，已經(jīng)支持NSEL有一段時間了。而下周Lancope將開始在它的NetFlow采集器StealthWatch中支持NSEL。

現(xiàn)在，支持生成NSEL流記錄的防火墻數(shù)量還很有限。思科系統(tǒng)的自適應(yīng)安全性設(shè)備(ASA)是第一個支持NSEL的。SonicWall在今年春季增加了NSEL支持。

Lancope的CTOAdam Powers說，“您將看到越來越多的防火墻供應(yīng)商在他們的產(chǎn)品中增加NSEL支持。思科是第一個。其他供應(yīng)商將隨之添加支持，因?yàn)樗菢?gòu)成差異性的關(guān)鍵。CheckPoint支持了少量的功能，但是仍然有一些供應(yīng)商是我未提及的，因?yàn)槲覀冋龓椭鼈儗?shí)現(xiàn)NetFlow支持，這些現(xiàn)在完全屬于NDA保密協(xié)議。”

NSEL：系統(tǒng)日志的NetFlow替代方法

企業(yè)已經(jīng)轉(zhuǎn)向采用防火墻日志分析器供應(yīng)商的產(chǎn)品，來優(yōu)化防火墻行為監(jiān)控。企業(yè)管理協(xié)會的研究主管Jim Frey說，諸如LogLogic和Splunk等供應(yīng)商通過收集和分析防火墻系統(tǒng)日志數(shù)據(jù)，確定到達(dá)防火墻的流量類型。

思科將NSEL稱為是一種專門針對防火墻報(bào)告定制的修訂版NetFlow。傳統(tǒng)的NetFlow數(shù)據(jù)包含一些簡單的信息，如源，目標(biāo)IP地址和端口。NSEL會指出一個流量流是被防火墻接受、拒絕還是丟棄。它也規(guī)定了與這個流相關(guān)的訪問控制列表(ACL)。

支持NSEL的NetFlow采集器比防火墻日志分析器更高效，因?yàn)樯上到y(tǒng)日志會耗盡防火墻的計(jì)算資源。“如果在一個ASA上實(shí)現(xiàn)NetFlow特性，那么這有利于釋放CPU，使防火墻能夠處理其他事務(wù)，如處理第7層數(shù)據(jù)和進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，”Powers說。

理解防火墻如何影響網(wǎng)絡(luò)訪問和性能

雖然防火墻通常是NetFlow采集的盲點(diǎn)，但是分析NSEL數(shù)據(jù)的采集器能夠幫助檢測出防火墻是否影響網(wǎng)絡(luò)訪問，F(xiàn)rey說。它也可以將數(shù)據(jù)整合到整個網(wǎng)絡(luò)的更廣泛視圖中，期間會超出網(wǎng)絡(luò)安全范疇，還會涉及到性能監(jiān)控方面。

“防火墻是聯(lián)機(jī)設(shè)備，所以它們可能對常規(guī)業(yè)務(wù)網(wǎng)絡(luò)訪問相關(guān)的設(shè)備產(chǎn)生影響，”Frey說。“當(dāng)出現(xiàn)影響時，有可能是流中出現(xiàn)了惡意內(nèi)容，也有可能是由防火墻規(guī)則不當(dāng)造成的，這讓人討厭，而且有時候很難發(fā)現(xiàn)。有專門一整套工具用來優(yōu)化多個供應(yīng)商防火墻規(guī)則監(jiān)控和分析。但是，一個完全可以被安全供應(yīng)商接受的規(guī)則，卻可能對合理的網(wǎng)絡(luò)服務(wù)產(chǎn)生意想不到的結(jié)果。”

通過NSEL，NetFlow采集器可以將防火墻的遙測數(shù)據(jù)與其他網(wǎng)絡(luò)設(shè)備的NetFlow數(shù)據(jù)進(jìn)行組合，使企業(yè)更好地了解網(wǎng)絡(luò)的狀態(tài)和行為。

“假設(shè)您有一個連接互聯(lián)網(wǎng)的邊界路由器，而在這個路由器之后部署了一個傳統(tǒng)的ASA防火墻。再往里，您還部署了一個Catalyst 6500。然后是Catalyst 3750-X接入層交換機(jī)。那么這四臺設(shè)備所生成的流量流都將穿越網(wǎng)絡(luò)，”Powers說。

“主要的附加信息是流的處理方式：根據(jù)訪問列表號碼，它是被拒絕，還是被允許?它是否由于流中包含惡意的第7層信息而被丟棄?防火墻如何處理這個流?這個流是否通過防火墻?如果不通過，原因是什么?”Powers說。

所有這些設(shè)備都會提供包含不同信息的NetFlow記錄。Catalyst 3750可能會產(chǎn)生一個NetFlow記錄，其中包含發(fā)起這個流的筆記本電腦的MAC地址。路由器可能只提供DNS系統(tǒng)中與流相關(guān)的數(shù)據(jù)。現(xiàn)在，防火墻可以生成一條NSEL記錄，告訴NetFlow采集器這個流被拒絕還是允許，它關(guān)聯(lián)的ACL是什么。類似于StealthWatch的NetFlow將所有這些NetFlow記錄組合到一個數(shù)據(jù)結(jié)構(gòu)中，企業(yè)可以從中更清晰地了解網(wǎng)絡(luò)的運(yùn)行方式和原因。