让防火墙顺从我们的意图来工作(1)

　　 这次测试的目的是为了知道防火墙是否想我们想象中的意图来工作的。在此之前你必须:

     1、制定一个完整的测试计划，测试的意图主要集中在路由、包过滤、日志记录与警报的性能上

     2、测试当防火墙系统处于非正常工作状态时的恢复防御方案

　　3、设计你的初步测试组件

　　其中比较重要的的测试包括:

　　1、硬件测试(处理器、内外储存器、网络接口等等)

　　2、操作系统软件(引导部分、控制台访问等等)

　　3、防火墙软件

　　4、网络互联设备(CABLES、交换机、集线器等等)

　　5、防火墙配置软件

　　-路由型规则

　　-包过滤规则与关联日志、警报选项

　　为什么说这些是比较重要的呢？

　　测试与效验你的防火墙系统有利于提高防火墙的工作效率，使其发挥令你满意的效果。你必须了解每个系统组件有可能出现的错误与各种错误的恢复处理技术。一旦在你的规划下有防火墙系统出现非工作状态，这就需要你及时去进行恢复处理了。

　　造成防火墙系统出现突破口的最常见原因就是你的防火墙配置问题。要知道，你需要在所有的测试项目之前做一个全面的针对配置的测试(例如路由功能、包过滤、日志处理能力等)。

　　应该怎么去做？

　　“建立一个测试计划”

　　你需要在做一个计划，让系统本身去测试防火墙系统与策略的执行情况，然后测试系统的执行情况。

　　1、建立一个所有可替代的系统组件的列表，用来记录一些会导致防火墙系统出错的敏感故障。

　　2、为每一个组件建立一个简短的特征说明列表列表，用语阐述其对防火墙系统运作的影响。不必理会这些影响对防火墙系统的损害类型与程度和其可能发生的系数高低。

　　3、为每一个关联的故障类型

　　-设计一个特定的情况或某个指标去模拟它

　　-设计一个缓冲方案去削弱它对系统的冲击性破坏

　　打比方一个测试的特定情况是运行防火墙软件的主机系统出现不可替换的硬件问题时，且这个硬件将会影响到信息通信的枢纽问题，例如网络适配器损坏，模仿这类型的故障可以简单地拔出该网络接口。

　　至于防御/恢复策略的例子可以是做好一整套的后备防火墙系统。当信息包出现延误等问题时在最短的时间内将机器替换。