如何测试硬件防火墙系统

  规则、日志选项、警报选项，而另外单独一小我私家卖力工程的复检工作、鉴定每个部门的工作程序、商订网络的
  拓扑与安全策略的实行能否恰当。
  “在你的实行环境中测试防火墙体系的功能”
  在这个步调你必须把环境从单层次的体系结构(图8-2"Single layer firewall architecture")演化为多层次
  的体系结构(图8-3"Multiple layer firewall architecture")。
  这个步调也同样必要你设定一个团结有一个或几个私网与公网的网络拓扑环境。在公网主要是界说为向内网进
  行如WWW(HTTP)、FTP、email(SMTP)、DNS这样的恳求的应对，偶然也会向内网提供诸如SNMP、文件访问、登岸
  等的服务的。在公网里你的主机也可以被描述为DMZ(非军事区)。在内网则被界说为内网各用户的工作站。详
  细图表可以看图8-4"Production Environment"。
  测试执行的步调应该遵循:
  ·把你的防火墙体系毗连到表里网的拓扑之中。
  ·设置表里网主机的路由配置，使其能通过防火墙体系进行通信。这一步的选择是创建在一个service-by
  -service的基础上，比方，一台在公网的WEB服务器有可能要去访问某台在私网的某台主机上的一个文
  件。围绕着这范例的服务另有WEB、文件访问、DNS、mail、远程登岸详细图则可以参照图8-4"Product
  ion Environment"。
  ·测试防火墙体系可否记载‘进入’或者‘外出’的网络通信。你可以使用扫描器与网络嗅探器来确认一
  下这一点。
  ·确认应该被堵塞(拒绝)的包被堵塞了。比方说，如果全部的UDP包被设置为被堵塞，要确认没有一个UDP
  包通过了。另有确认被设置为通过或脱离(允许)的包被通过和脱离了。你可以通过防火墙的日志与扫描
  器的阐发来失掉这些实行的结果。
  ·细致地扫描你的网络内的全部主机(包括防火墙体系)。查抄你扫描的包能否被堵塞，从而确认你不能从
  中失掉任何数据信息。实行使用特定的‘认证端口’(如使用FTP的20端口)发送包去扫描各端口的存活
  环境，看看这样能不能脱离防火墙的规则限定。
  ·你可以把入侵测试体系安置在你的假造网络环境或实际网络环境中，资助你了解与测试你的包过滤规则
  可否掩护你的体系与网络反抗现有的打击行为。要做到这样你将必要在基本的计划上运行这一类的工具
  并活期阐发结果。固然，你可以将这一步的测试工作推迟到你完全地配置后整个新的防火墙体系之后。
  ·查抄一下包过滤规则中日志选项参数，测试一下日志功能能否在全部网络通信中能像预期中工作。
  ·测试一下在全部网络通信中呈现预定警报时能否有特定的关照信号目的者(如防火墙体系管理员)与特别
  的举措(页面显示与EMAIL关照)。
  你不可以把测试路由功能的工作放在毗连防火墙体系至你的外网接口之后[请查阅“9. Install the firewall
  system.”(http://www.cert.org/security-improvement/practices/p061.html)与“10. Phase the firew-
  all system into operation.”(http://www.cert.org/security-improvement/practices/p063.html)]。最
  后，你应该先把新的防火墙体系安置在内网，并配置通过，然后再接上外网接口。为了低落最后阶段测试所带
  来的风险，管理员可以在内网连上少量的呆板(主管理呆板群与防火墙体系)，当测试通事后才逐步增加内网的
  呆板数目。
  “选定与测试日志文件的内容特性”
  当日志文件呈现存放空间不足时，你必要设置防火墙体系自行反响策略。上面有几种相关的选择:
  ·防火墙体系关闭全部相关的外网毗连。
  ·继续工作，新日志复写入原最旧的日志空间中。
  ·继续工作，但不作任何日志记载。
  第一个选择是最安全但又不允许使用在防火墙体系上的。你可以实行一下模拟防火墙体系在日志空间被全部占
  用时的运行形态，看看可否抵达你所选择的预期效果。
  选择与测试得当的日志内容选项，这些选项包括:
  ·日志文件的途径(比方防火墙本地或远程呆板的贮存器)
  ·日志文件的存档时间段
  ·日志文件的清除时间段
  “测试防火墙体系”
  每一个相联系关系的妨碍都应该写入测试报告中去(看整个测试历程的第一步)，实行执行与模拟全部有可能产生的
  特定环境，并测试相应的舒缓策略与评价其影响的破坏指数。
  “扫描缺陷”
  使用一系列的缺陷(漏洞等等)探测工具扫描你的防火墙体系，看看有否探测出存在着曾经被发明的缺陷范例。
  若探测工具探测出有此类缺陷的补丁存在，致意置之并重新进行扫描操纵，这样可以确认缺陷已被消弭。
  “设计初步的渗入渗出测试环境”
  在正常工作的环境下，选定一个特定的测试环境集来进行渗入渗出测试。这些必要参考的环境包括收支数据包能否
  曾经被路由了、过滤、记载，且在此基础上确保一些特别服务(WWW、email、FTP等等)也能在预期中进行此类
  处置惩罚。
  一旦必要到新的防火墙体系加入至正常的工作环境时，你可以在改变网络近况前选择使用一系列的测试来检验
  该改变能否会为正常的工作带来什么负面影响。
  “准备把体系投入使用”
  在你完成整个防火墙体系的测试之前你必须创建与记载一套‘密码’通信机制或其他的安全基准本领以便你能
  与防火墙体系进行安全的交流与管理。查阅相关信息可以看Detecting Signs of Intrusion[Allen 00]，特定
  的实践可以参阅"Identify data that characterize systems and aid in detecting signs of suspicious
  behavior."。
  在你完成测试历程时必须做一个配置选项列表的备份。查阅相关信息可以看Securing Desktop Workstations
  [Simmel 99]，，特定的实践可以参阅"Configure computers for file backups."。
  “准备进行监测使命”
  监控网络的综合指数、吞吐量以及防火墙体系是确保你曾经正确地配置安全策略而且这些安全策略在正常执行
  的独一途径。
  确保你的安全策略、程序、工具等等资源处于必要的位置以便你能很好地监控你的网络与呆板群，包括你的防
  火墙体系。
  AV女优**策略注意事项AV女优**
  你的构造/团队作防火墙/体系/网络等安全测试行为应该遵循以下:
  ·测试的防火墙体系必须在你能监控的环境下进行。
  ·防火墙体系在每次呈现配置或结构更改时应该重新进行渗入渗出测试。
  ·活期升级渗入渗出测试组件用于测试防火墙体系的配置形态。
  ·活期升级与维护掩护区中的种种应用程序、操纵体系、常用组件与硬件。
  ·监控全部网络与体系，包括你的防火墙体系，这是十分有必要的。
  ---------------------------------------------------------------------------------------------------
  “脚注”
  ①本文所提及的一些工具相关信息可以在“Identifying tools that aid in detecting signs of intrusion
  ”一文与COAST Web site中找到。
  ②NFR可以检察http://www.nfr.com/。
  ③Shadow是U.S. Navy(R)所研发的入侵测试体系，其相关信息可以在http://www.sans.org/中找到。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：