测试防火墙系统(3)

　　各种类型的防火墙测试工具包括①:

　　·网络通信包生成器(如SPAK[Send PAcKets]、ipsend、Ballista)

　　·网络监视器(如tcpdump与Network Monitor)

　　·端口扫描器(如strobe与nmap)

　　·漏洞探测器(可以扫描到一定的有效范围、能针对多种漏洞的)

　　·入侵测试系统[IDS]如NFR②[Network Flight Recorder]与Shadow③

　　查阅相关信息可以看Detecting Signs of Intrusion[Allen 00]，特定的实践可以参阅"Identify data that characterize systems and aid in detecting signs of suspicious behavior"、建议书在"Identify tools that aid in detecting signs of intrusion"。

　　“在你的测试环境中测试防火墙系统的功能”

　　建立一个测试框架以便你的防火墙系统能在两台独立的主机之中连通，这两台端一端代表外网一端代表外网。

　　事例图在8-1"Test Environment"。

　　在测试时要确保内网的默认网关为防火墙系统(当然这里指的是企业级带路由的防火墙啦:)，如果你已经选择好一个完整的日志记录体系(推崇)，工作在内网主机与日志记录主机之间的话，那么你就可以进行日志记录选项测试了。如果日志记录在防火墙机器上完成的话，你可以直接使用内网机器连上去。

　　把安装有扫描器与嗅探器的机器安置在拓扑的内部与外部，用于分析与捕捉双向的通信问题与通信情况(数据从内到外、从外到内)。

　　测试执行的步骤应该遵循:

　　·停止包过滤。

　　·注入各类包用于演示路由规则并通过防火墙系统。

　　·通过防火墙的日志与你的扫描器的结果来判断包的路由是否准确。

　　·打开包过滤。

　　·接入网间通信，为各种协议、所有端口、有可能使用的源地址与目标地址的网间通信摄取样本记录。

　　·确认应该被堵塞(拒绝)的包被堵塞了。比方说，如果所有的UDP包被设置为被堵塞，要确认没有一个UDP包通过了。还有确认被设置为通过或脱离(允许)的包被通过和脱离了。你可以通过防火墙的日志与扫描器的分析来得到这些实验的结果。

　　·扫描那些被防火墙允许与拒绝的端口，看看你的防火墙系统是否像你设置时预期的一样。

　　·检查一下包过滤规则中日志选项参数，测试一下日志功能是否在所有网络通信中能像预期中工作。