對防火墻安全性測試并不是一件容易的事情 ， 尤其在具有多個處理設(shè)備處理多個接口的環(huán)境中更是繁瑣復(fù)雜 。本文介紹幾個工具來幫助完成測試工作 ， 比如規(guī)則分析工具、漏洞掃描等 。
跟據(jù)國內(nèi)經(jīng)驗豐富的安全專家建議 ， 企事業(yè)單位網(wǎng)絡(luò)安全人員應(yīng)該要定期對網(wǎng)內(nèi)的所有防火墻進(jìn)行一次安全性測試 ， 并將防火墻測試工作加入到防火墻修改管理過程中 。
通過防火墻測試工作來確信防火墻實際能完成我們對它的預(yù)期任務(wù) ， 這個測試可能非常耗時和費(fèi)力 ， 但是借助于一些自動工具 ， 可以讓這個麻煩的任務(wù)變得輕松一些 。
1、規(guī)則分析工具在復(fù)雜的防火墻部署中 ， 防火墻規(guī)則集可能會比較凌亂 。隨著時間的發(fā)展 ， 這些規(guī)則集可能與安全策略脫軌 ， 同時也有可能產(chǎn)生沒有用的規(guī)則 。
【測試你防火墻是否安全】定期對防火墻規(guī)則進(jìn)行審查可以解決這些問題 。這種檢查可以帶來一些短期效益 。例如有的管理員在調(diào)試一個新安裝的應(yīng)用程序時 ， 加入了一條規(guī)則來允許所有通信通過 ， 但是測試完成后卻完了刪除該規(guī)則 。通過防火墻規(guī)則測試就可以發(fā)現(xiàn)這個被遺忘的防火墻規(guī)則 。
另外 ， 分析防火墻規(guī)則集還可以發(fā)現(xiàn)防火墻中自相矛盾的規(guī)則 。舉個例子來說 ， 一個企業(yè)的過濾策略可能被用來在網(wǎng)絡(luò)邊界位置阻擋Windows網(wǎng)絡(luò)端口 。在網(wǎng)絡(luò)架構(gòu)區(qū)域 ， 管理員可能在本地防火墻上設(shè)定了開放TCP端口135、139和445 ， 另外還有UDP端口138 ， 因為他們認(rèn)為在邊界設(shè)備上已經(jīng)包含了這端口的過濾 。但是 ， 這種做法有可能引入安全缺陷 。
人們往往認(rèn)為在網(wǎng)絡(luò)邊界進(jìn)行了防護(hù)而放松在網(wǎng)絡(luò)內(nèi)部的防護(hù) ， 盡管沒有人會去定制不安全的防火墻規(guī)則集 ， 但是隨著時間一長就有可能會出現(xiàn)問題 。
用于防火墻分析和審計的商業(yè)工具有不少 ， 例如AlgoSec的Firewall Analyzer ， RedSeal的Security Risk Manager和Skybox公司的Firewall Compliance Auditor等 。
其中AlgoSec Firewall Analyzer(AFA)可以自動探測防火墻策略中的安全漏洞 。它可以完成更改管理、風(fēng)險管理、自動審核和策略優(yōu)化等功能 。它可以發(fā)現(xiàn)未用的規(guī)則、重復(fù)規(guī)則、禁用規(guī)則和失效的規(guī)則 。
AFA可以備份防火墻策略 ， 然后進(jìn)行離線分析 ， 因此它不會影響防火墻的性能 。AFA支持的防火墻廠商包括思科、Checkpoint和Juniper等業(yè)界知名廠商 。
2、漏洞掃描安全專家表示 ， IT管理者還必須重視防火墻本身的安全性 。
這個任務(wù)的目的包括判斷防火墻是否一個弱安全性密碼 ， 是否存在已知的安全漏洞 。
可供我們使用的安全工具有開源的Nessus ， Nessus是事實上的漏洞掃描器標(biāo)準(zhǔn) 。實際上 ， 許多商業(yè)軟件在他們的產(chǎn)品中使用了Nessus引擎 ， 并且?guī)缀趺恳粋€主要的安全硬件供應(yīng)商都支持Nessus的掃描結(jié)果 。
Nessus目前有2個版本 ， 一個開源的Nessus 2.2.x版本 ， 還有一個Nessus 3雖然不再是開源的 ， 但卻是免費(fèi)的 ， 而且新版的Nessus 3.03已經(jīng)開始支持Windows平臺 ， 大大降低了它的使用門檻 。
另外 ， 還有一些開源工具也可以幫助我們實現(xiàn)防火墻測試 ， 例如著名的Nmap ， 可以讓管理員從不同的方式掃描防火墻 ， 發(fā)現(xiàn)開放端口 。另外人們常用的工具還有TCP/IP包分析工具h(yuǎn)ping 。
3、數(shù)據(jù)包偵聽針對防火墻的另一個測試工作是判斷是否有什么東西能夠穿過防火墻 。在測試過程中 ， 我們可以使用一個入侵檢測系統(tǒng)來作為報警機(jī)制 。此外 ， 數(shù)據(jù)包偵聽工具可以分解數(shù)據(jù)包來看看其內(nèi)部信息 。
Wireshark(前身是Ethereal)就是這樣一個工具 ， 它在捕獲和分析測試數(shù)據(jù)包方面非常有用 。

推薦閱讀

• 

  怎么把照片導(dǎo)入蘋果手機(jī) 如何把照片導(dǎo)入蘋果手機(jī)
• 

  水蟻會變成白蟻嗎
• 

  artset怎么付費(fèi)解鎖
• 

  錫紙可以保溫嗎
• 

  潤唇膏孕婦能用嗎
• 

  朱芳雨個人資料
• 

  養(yǎng)花的最高境界：走火入魔！
• 

  夢見手被劃破 夢見手被劃破流血是什么意思
• 

  養(yǎng)護(hù)植物方法 喜歡植物的人看過來
• 

  程序化結(jié)構(gòu)設(shè)計語言中的三種基本結(jié)構(gòu)是什么
• 

  分享百度翻譯中英語發(fā)音設(shè)置如何切換成英式發(fā)音
• 

  廣州到重慶北的高鐵票價多少，廣州到重慶還有多少票
• 

  考研四個月來得及嗎
• 

  夜世界氣球兵有用嗎
• 

  教你華為爐石卡包怎么領(lǐng)取。
• 

  重慶長安歐諾二手車，二手長安歐諾201413l2萬公里多少錢 萬州

• 你與妳的區(qū)別
• vivoz3中攔截短信的操作教程
• 解決硬盤中毒雙擊無法打開問題
• 粘纖縮水嗎
• 解析如何評估并部署Web應(yīng)用防火墻
• 教你清空Dr.Web在注冊表中的項目
• 教你如何安裝手搖晾衣架的方法
• 三洋SCP-588的演示動畫匹配測試
• 支付寶臉盲測試怎么玩?
• 支付寶臉盲測試在哪里?