Narzędzia bezpieczeństwa sieci umożliwiają administratorowi sieci wykonanie audytu bezpieczeństwa sieci. Audyt bezpieczeństwa ujawnia rodzaj informacji, które dokonujący ataku może zebrać przez monitorowaniu ruchu w sieci.
Na przykład, narzędzia audytu bezpieczeństwa sieci pozwalają administratorowi zapełnić tabelę adresów MAC fikcyjnymi adresami MAC. Potem następuje audyt portów przełącznika w momencie, gdy przełącznik zaczyna zalewanie ruchu wszystkich portów. W trakcie audytu prawidłowe adresy MAC ulegają przedawnieniu i zostają zastąpione fikcyjnymi adresami MAC. Pozwala to ustalić, które porty są zagrożone i niepoprawnie skonfigurowane, aby zapobiec tego typu atakom.
Przy przeprowadzaniu pomyślnego audytu, istotną rolę odgrywa czas. Różne przełączniki obsługują różne liczby adresów MAC w swojej tablicy adresów MAC. Określenie idealnej ilości fałszywych adresów MAC do przesłania na przełącznik może być trudne. Administrator sieci musi także zmagać się z czasem przedawnienia w tabeli adresów MAC. Jeśli sfałszowane adresy MAC zaczynają się przedawniać podczas wykonywania audytu sieci, poprawne adresy MAC zaczynają wypełniać tablicę adresów MAC, ograniczając dane, które mogą być monitorowane za pomocą sieciowych narzędzi audytorskich.
Narzędzia do ochrony sieci mogą być również stosowane do testów penetracyjnych sieci. Testy penetracyjne symulują atak na sieć w celu określenia wrażliwości sieci na prawdziwy atak. Dzięki temu administrator sieci może zidentyfikować słabe punkty w konfiguracji urządzeń sieciowych i wprowadzić zmiany, aby urządzenia stały się bardziej odporne na ataki. Istnieje wiele ataków, które może przeprowadzić administrator a większość z nich jest wyposażona w szczegółową dokumentację z wyszczególnieniem składni potrzebnej do przeprowadzenia żądanego ataku.
Ponieważ testy penetracyjne mogą mieć negatywny wpływ na sieć, należy je przeprowadzać w kontrolowanych warunkach z zachowaniem procedur wyszczególnionych w całościowej polityce bezpieczeństwa sieci. Idealny do tego celu jest test off-line, który naśladuje aktualnie pracującą rzeczywistą sieć. Testy wykonywane w środowisku symulującym rzeczywistą sieć są idealne do przeprowadzenia badań penetracyjnych.