NSEL NetFlow采集器使用防火墙遥测技术

随着越来越多的防火墙支持NetFlow安全事件日志(NSEL)，NetFlow采集器将成为许多网络防火墙日志分析器的一种可靠替换方法。

　　有几家专注于SMB的NetFlow采集器供应商，如Plixer International和ManageEngine，已经支持NSEL有一段时间了。而下周Lancope将开始在它的NetFlow采集器StealthWatch中支持NSEL。

　　现在，支持生成NSEL流记录的防火墙数量还很有限。思科系统的自适应安全性设备(ASA)是第一个支持NSEL的。SonicWall在今年春季增加了NSEL支持。

　　Lancope的CTOAdam Powers说，“您将看到越来越多的防火墙供应商在他们的产品中增加NSEL支持。思科是第一个。其他供应商将随之添加支持，因为它是构成差异性的关键。CheckPoint支持了少量的功能，但是仍然有一些供应商是我未提及的，因为我们正帮助它们实现NetFlow支持，这些现在完全属于NDA保密协议。”

　　NSEL：系统日志的NetFlow替代方法

　　企业已经转向采用防火墙日志分析器供应商的产品，来优化防火墙行为监控。企业管理协会的研究主管Jim Frey说，诸如LogLogic和Splunk等供应商通过收集和分析防火墙系统日志数据，确定到达防火墙的流量类型。

　　思科将NSEL称为是一种专门针对防火墙报告定制的修订版NetFlow。传统的NetFlow数据包含一些简单的信息，如源，目标IP地址和端口。NSEL会指出一个流量流是被防火墙接受、拒绝还是丢弃。它也规定了与这个流相关的访问控制列表(ACL)。

　　支持NSEL的NetFlow采集器比防火墙日志分析器更高效，因为生成系统日志会耗尽防火墙的计算资源。“如果在一个ASA上实现NetFlow特性，那么这有利于释放CPU，使防火墙能够处理其他事务，如处理第7层数据和进行网络地址转换(NAT)，”Powers说。

　　理解防火墙如何影响网络访问和性能

　　虽然防火墙通常是NetFlow采集的盲点，但是分析NSEL数据的采集器能够帮助检测出防火墙是否影响网络访问，Frey说。它也可以将数据整合到整个网络的更广泛视图中，期间会超出网络安全范畴，还会涉及到性能监控方面。

　　“防火墙是联机设备，所以它们可能对常规业务网络访问相关的设备产生影响，”Frey说。“当出现影响时，有可能是流中出现了恶意内容，也有可能是由防火墙规则不当造成的，这让人讨厌，而且有时候很难发现。有专门一整套工具用来优化多个供应商防火墙规则监控和分析。但是，一个完全可以被安全供应商接受的规则，却可能对合理的网络服务产生意想不到的结果。”

　　通过NSEL，NetFlow采集器可以将防火墙的遥测数据与其他网络设备的NetFlow数据进行组合，使企业更好地了解网络的状态和行为。

　　“假设您有一个连接互联网的边界路由器，而在这个路由器之后部署了一个传统的ASA防火墙。再往里，您还部署了一个Catalyst 6500。然后是Catalyst 3750-X接入层交换机。那么这四台设备所生成的流量流都将穿越网络，”Powers说。

　　“主要的附加信息是流的处理方式：根据访问列表号码，它是被拒绝，还是被允许?它是否由于流中包含恶意的第7层信息而被丢弃?防火墙如何处理这个流?这个流是否通过防火墙?如果不通过，原因是什么?”Powers说。

　　所有这些设备都会提供包含不同信息的NetFlow记录。Catalyst 3750可能会产生一个NetFlow记录，其中包含发起这个流的笔记本电脑的MAC地址。路由器可能只提供DNS系统中与流相关的数据。现在，防火墙可以生成一条NSEL记录，告诉NetFlow采集器这个流被拒绝还是允许，它关联的ACL是什么。类似于StealthWatch的NetFlow将所有这些NetFlow记录组合到一个数据结构中，企业可以从中更清晰地了解网络的运行方式和原因。