如何测试硬件防火墙系统

  A practice from the CERT(R) Security Improvement Modules(http://www.cert.org/security-improvement/)
  这次测试的目的是为了知道防火墙能否想我们想象中的意图来工作的。在此之前你必须:
  ·制定一个完整的测试计划，测试的意图主要会合在路由、包过滤、日志记载与警报的功能上
  ·测试当防火墙体系处于非正常工作形态时的规复防御方案
  ·设计你的初步测试组件
  此中比较重要的的测试包括:
  ·硬件测试(处置惩罚器、表里贮存器、网络接口等等)
  ·操纵体系软件(引导部门、控制台访问等等)
  ·防火墙软件
  ·网络互联设置装备摆设(CABLES、交换机、集线器等等)
  ·防火墙配置软件
  -路由型规则
  -包过滤规则与联系关系日志、警报选项
  AV女优**为什么说这些是比较重要的呢？AV女优**
  测试与效验你的防火墙体系有利于进步防火墙的工作服从，使其发挥令你得意的效果。你必须了解每个体系组件有可
  能呈现的错误与种种错误的规复处置惩罚技术。一旦在你的计划下有防火墙体系呈现非工作形态，这就必要你及时去进行
  规复处置惩罚了。
  形成防火墙体系呈现突破口的最常见缘故原由就是你的防火墙配置题目。要知道，你必要在全部的测试项目之前做一个全
  面的针对配置的测试(比方路由功能、包过滤、日志处置惩罚能力等)。
  AV女优**应该怎样去做？AV女优**
  “创建一个测试计划”
  你必要在做一个计划，让体系自己去测试防火墙体系与策略的执行环境，然后测试体系的执行环境。
  1创建一个全部可替代的体系组件的列表，用来记载一些会招致防火墙体系出错的敏感妨碍。
  2为每一个组件创建一个冗长的特性说明列表列表，用语论述其对防火墙体系运作的影响。不用剖析这些影
  响对防火墙体系的损害范例与水平和其可能产生的系数高低。
  3为每一个联系关系的妨碍范例
  -设计一个特定的环境或某个指标去模拟它
  -设计一个缓冲方案去削弱它对体系的打击性破坏
  打比方一个测试的特定环境是运行防火墙软件的主机体系呈现不可更换的硬件题目时，且这个硬件将会影响到
  信息通信的枢纽题目，比方网络适配器损坏，模仿这范例的妨碍可以简略地拔出该网络接口。
  至于防御/规复策略的例子可以是做好一整套的后备防火墙体系。当信息包呈现延误等题目时在最短的时间内
  将呆板更换。
  测试一个策略在体系中的运作环境是很困难的。用尽方法去测试IP包过滤设置是不可行的；这样可能呈现很多
  种环境。我们推崇你使用分界测试(分部测试)来代替总体测试。在这些测试上，你必须确定你实行的包过滤规
  则与每个分块之间的分界线。这样你必要做到:
  ·为每个规则界说一个界限规则。通常，每个规则的必要参数都市有一个或两个界限点的。在这个区域里
  将会被分别为一个多面型的包特性区。通常分别的特性包括:通信协议、源地址、目的地址、源端口、
  目的端口等。基本上，每种包特性都可以独立地去配对包过滤规则在区域里所界说的数值标准。比方，
  此中一个规则允许TCP包从任何主机发送到你的WEB服务器的80端口，这个例子使用了三个配对特性(协议
  、目的地址、目的端口)，在这个实例中也将一个特性区分别成三个区域:TCP包到WEB服务器低于80端口、
  等于80端口、大于80端口。
  ·你必须为每一个曾经设置好的区域做一些信息交换的测试。确认一下这些特定的区域可否正常地通过与
  拒绝全部的信息交换。做一个单独的区域，在区域中拒绝或者通过全部的信息交换；这样做的目的是为
  了分别包特性通信的区域题目。
  作为一个综合性的规则群，它可以是一种比较单一的处置惩罚机制，而且有可能是没有被应用过的。若是没有被应
  用过的规则群，这要求一群人去反复考核它们的存在性并要求有人能够说出每一个规则所必要实行的意义。
  整个测试计划包括案例测试、配置测试、与期待目的:
  ·测试路由配置、包过滤规则(包括特别服务的测试)、日志功能与警报
  ·测试防火墙体系团体功能(比方硬/软件妨碍规复、充足的日志存储容量、日志档案的容错性、监视追踪
  器的功能题目)
  ·实行在正常或不正常这两种环境下进行的测试
  同样你也必要记载你在测试中计划使用的工具(扫描器、监测器、另有漏洞/打击探测工具)，而且相应地测试一
  下它们的功能。
  “获取测试工具”
  逐步使用你的种种防火墙测试工具能够知道你的防火墙产物在各类功能指标上能否存在着不足
  种种范例的防火墙测试工具包括①:
  ·网络通信包天生器(如SPAK[Send PAcKets]、ipsend、Ballista)
  ·网络监视器(如tcpdump与Network Monitor)
  ·端口扫描器(如strobe与nmap)
  ·漏洞探测器(可以扫描到肯定的有用范畴、能针对多种漏洞的)
  ·入侵测试体系[IDS]如NFR②[Network Flight Recorder]与Shadow③
  查阅相关信息可以看Detecting Signs of Intrusion[Allen 00]，特定的实践可以参阅"Identify data that
  characterize systems and aid in detecting signs of suspicious behavior"、建议书在"Identify tools
  that aid in detecting signs of intrusion"。
  “在你的测试环境中测试防火墙体系的功能”
  创建一个测试框架以便你的防火墙体系能在两台独立的主机之中连通，这两台端一端代表外网一端代表外网。
  事例图在8-1"Test Environment"。
  在测试时要确保内网的默许网关为防火墙体系(固然这里指的是企业级带路由的防火墙啦:)，如果你曾经选择
  好一个完整的日志记载体系(推崇)，工作在内网主机与日志记载主机之间的话，那么你就可以进行日志记载选
  项测试了。如果日志记载在防火墙呆板上完成的话，你可以间接使用内网呆板连上去。
  把安置有扫描器与嗅探器的呆板安置在拓扑的外部与外部，用于阐发与捕捉双向的通信题目与通信环境(数据
  从内到外、从外到内)。
  测试执行的步调应该遵循:
  ·制止包过滤。
  ·注入各类包用于演示路由规则并通过防火墙体系。
  ·通过防火墙的日志与你的扫描器的结果来果断包的路由能否准确。
  ·翻开包过滤。
  ·接入网间通信，为种种协议、全部端口、有可能使用的源地址与目的地址的网间通信摄取样本记载。
  ·确认应该被堵塞(拒绝)的包被堵塞了。比方说，如果全部的UDP包被设置为被堵塞，要确认没有一个UDP
  包通过了。另有确认被设置为通过或脱离(允许)的包被通过和脱离了。你可以通过防火墙的日志与扫描
  器的阐发来失掉这些实行的结果。
  ·扫描那些被防火墙允许与拒绝的端口，看看你的防火墙体系能否像你设置时预期的一样。
  ·查抄一下包过滤规则中日志选项参数，测试一下日志功能能否在全部网络通信中能像预期中工作。
  ·测试一下在全部网络通信中呈现预定警报时能否有特定的关照信号目的者(如防火墙体系管理员)与特别
  的举措(页面显示与EMAIL关照)。
  上述的步调必要至少两小我私家一步步计划与实行:最初由某一小我私家卖力整个工程的实行，包括路由配置、过过滤

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：