如何测试防火墙(1)

　　如何测试防火墙？这里的测试指的是旨在比较不同防火墙产品的黑箱测试。

　　笔者认为要把防火墙的安全功能放在首位，并考察产品在启动安全防范情况下的性能。为什么这么说？一方面，防火墙首先是安全产品，对企业网的保护它应该与时俱进（那些3年前就存在的只工作在网络层的状态检测防火墙要加油啊！）。另一方面，作为企业网边界的穿越产品，它不应该产生太多额外的延迟和丢包。

　　就安全功能而言，有的产品涵盖极广，像那些集IPS、防毒、传统防火墙于一身的"一体化"安全网关，测试它们短时间内不可能面面俱到。如何操作呢，笔者有几点体会：

　　1. 不一定采取很多攻击手段。比如DoS攻击，虽然有很多种，但对于防火墙来说，防御若干种DoS攻击的设计原理是一样的。所以在有限时间内，挑选有代表性的几种DoS攻击应该就可以看出防火墙这方面的能力；

　　2. 多个层面上的攻击。目前，好的防火墙会针对从网络层到应用层的攻击分门别类地进行防御。每个层面上的攻击最好都检查一下，不同层面的工作往往意味着防火墙能力革命性的变化。比如，网络层的DoS攻击、应用层的脚本攻击和P2P通信控制等。此外，随着防火墙端口数目的增加，内网用户经常使用的Windows网络的安全性也有必要考察。

　　3. 支持动态协议的种类和准确性。最典型的就是VoIP的支持力度，包括多种拓扑以及双向呼叫。模拟现实环境越充分，就越有可能发现防火墙存在的问题。