科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道如何测试防火墙(2)

如何测试防火墙(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

就安全功能而言,有的产品涵盖极广,像那些集IPS、防毒、传统防火墙于一身的"一体化"安全网关,测试它们短时间内不可能面面俱到。本文向大家介绍如何测试防火墙。

作者:51CTO.COM 2007年10月22日

关键字: 防火墙 dos攻击 黑箱测试 VPN

  • 评论
  • 分享微博
  • 分享邮件
    4. 攻击测试过程中最好添加一定的背景流量。这主要是观察防火墙的某项防御功能是否会引起正常流量的异常反应。

  5. 攻击手段的混合。比如在防DoS攻击情况下防火墙过滤HTTP蠕虫的成功率有多大。

  就性能而言,我想特别强调两点:不能脱离安全去谈性能,不能以偏盖全。

  仅添加了"permit any to any"情况下测试防火墙的性能,对于防火墙使用者来说很难将数据表现和实际环境联系起来。从另外的角度来看,有些防火墙厂商以自己的产品达到64字节线速吞吐就宣称是高性能,可是这个数据只的是64字节情况下的UDP吞吐量。这个数据对于用户来说也是茫然的,毕竟在实际环境中,没有纯粹的UDP流量,TCP流对于防火墙来说反而意味着要做更多的工作。因此,性能的评价应该多角度!而且尽可能的逼近用户的实际环境。比如,不同包长的混合、TCP和UDP的混合、时延敏感型应用如H.323与公文或网页传输的混合、是否添加攻击等等。

  进两年,目前的防火墙较之传统的状态检测防火墙至少发生了两个比较大的变化。一个是向应用层防护大规模进军,另一个是VPN功能逐渐成为基本组件。因此,针对VPN的测试也很有必要。不光是建立VPN隧道的性能,还有VPN网关及客户端的兼容性以及一些VPN相关的功能,比如VPN内部的流量管理。

  对于防火墙的其他功能,比较显著的是日志、认证方式以及对虚拟防火墙的支持等。另外,组网模式的改变也值得关注,比如,在针对DMZ区服务器进行的双出口链路负载均衡中,各个防火墙支持的力度也有很大差异。在防火墙与IDS联动这个问题上,我们发现,基本上防火墙都支持和某些IDS联动,但据我们了解,很少有用户关心这个问题并实际部署,IDS与防火墙联动的确存在一些令用户担心的问题。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章