防火墙测试：从入门到精通（1

　　虽然近年来兴起了统一管理等一体化的安全设备，但防火墙仍是许多单位的基本安全设备之一，那么，你的防火墙是否固若金汤呢?本文笔者将介绍审计或测试防火墙的概念。

　　首先，我们需要定义防火墙。防火墙是一个能够根据一套规则来控制两个网络之间的通信流的应用程序、设备、系统，也可能是具备这种功能的一组系统，它可以系统免受外部的及内部的，将私有网络的部分与不太的区域分离开来，可以对传输数据的内部网络或外部网络实密(在用作一个VPN端点时)，或者将内部网络地址从外部网络中隐藏开来(网络地址转换)。防火墙获得边界由器放行的通信，并进行彻底地通信过滤。防火墙有不同的类型，包括静态的数据包过滤器(例如，北电的Accelar由器)，正式防火墙(例如，思科的PIX)及代理防火墙等。

　　与由器类似，防火墙使用多种过滤技术或方法来确保安全。这些方法包括数据包过滤、状态检测、代理或应用程序网关、深度数据检测。防火墙能够使用其中的一种方法，或者它可以将不同的方法组合起来形成恰当的强健配置。

　　测试防火墙的一种很好的方法是从防火墙的责任人那里收集信息。这些人可以是审计团队、系统管理员、网络管理员、策略团队、信息安全人员中的。其中的要点是要收集、比较每一个人关于防火墙应当具有的功能的理解，以及防火墙应当怎样配置才能满足网络和系统的要求。要获取任何现存的防火墙文档资料和网络图表，用以验证从被采访人那里获得的信息。理想情况下，防火墙是一种被设置来反映策略的控制机制。这就意味着在配置防火墙之前，必须首先建立相关的策略。可悲的是，很少有单位这样做。

　　在收集了上述的信息之后，审计人员可以进一步理解防火墙的架构，并决定防火墙是否正确地进行了配置，能够正确地对网络进行分段并实施信息。下一步是评估操作系统的配置。这就是防火墙自身的配置，所有的防火墙都拥有一个操作系统。有的厂商防火墙只不过一个设备。其实，防火墙典型情况下只不过是一个被强化的操作系统。事实上，此设备可运行在一个精简的Unix系统上，或者是运行在一个被厂方定制的操作系统上，如思科的ASA。防火墙和由器都是软件驱动的，其所做的工作就是使得代码更难于被看到。

　　下一步，务必保障系统管理员遵循最佳的方法：用户管理、补丁更新、改变控制、配置备份等。如果防火墙不打补丁，它最终会被损害。原因就在于它是一个安全设备，它并不会自动实现安全性。

　　怎样获取路由器地址最后一点，要验证防火墙的规则库与单位的规则和策略相匹配。

　　测试防火墙应当与测试单位的深度防御方法的其它组件协调起来，单位不应当仅依靠单独一种防御。防火墙并不是可以防治所有安全疾病的万能药。其主要目的是延缓和记录活动。

　　测试或审计防火墙的总体结果包括：任何安全漏洞的确认、防火墙是否根据公司的安全策略完成其功能。还要评估防火墙的安装、配置、操作是否足够安全，是否可以防火墙需要的信息或服务。要考虑被确认的风险及其发生的可能性。

　　操作系统的配置

　　在审计防火墙时，审计人员必须看一看防火墙赖以运行的平台或操作系统。

　　审计人员需要检查支持防火墙运行的操作系统是否仅包含了可让防火墙发挥功能的最少功能或服务。防火墙应当是一个专注于一种目的的隔离系统，根据所定义的规则过滤通信。安装得越简单，其管理也就越简单。功能越少，也就等于需要更少的补丁和更少的漏洞。

　　许多操作系统都有大量的工具可用于决定系统了哪些端口。这里列示了一个例子，针对于Windows操作系统：

　　而在类Unix操作系统中，可运行下面的命令：

　　在决定的端口和服务时，应当关闭防火墙(禁用或运行准许所有通信的策略)。这样做的目的是为了测试那些针对特定操作系统的端口和服务。在这一点上，在一个安全网络上执行此操作并且不要将防火墙连接到互联网是很重要的。记住，在种模式中，防火墙是一个由器。

　　此外，还应当分析安全设置和操作系统的漏洞。每一种操作系统都包括了一套安全特性和漏洞，不同的厂商互有不同。例如，在安装期间，操作系统的默认安全设置可能没有修改，而这种安全设置有可能无法满足安全策略所要求的安全水平。可以评估的最常见的安全设置包括访问规则、口令规则、登录规则等。还应当确认其它操作系统的设置和参数。

　　防火墙配置

　　在讨论了防火墙平台的操作系统后，下一步就是要验证防火墙的配置。所有的防火墙都有配置及策略，二者不应当混淆。配置是与防火墙软件及其安装相关的基本设置的集合。对防火墙配置的改变将会改变防火墙的行为。

　　审计人员必须检查防火墙是否位于一个专用的隔离系统上，过滤数据包并要记录。例如，DNS、电子邮件、服务器负载均衡不应当安装在同一台主机上或由防火墙平台处理。这里，唯一的例外是防火墙的负载均衡是高可能性防火墙的一个功能，并应当准许之。

　　在如今这个信息爆炸的时代里，每天都会有数不清的新闻通过各种渠道涌到我们面前，而真正有价值的应该进入我们心里的，却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》，就是要告诉您过去的七天都发生了哪些新闻，更希望和您一起，站在七天的高度来看待过去一周的新闻。

　　领IT群雄秀企业风采。创刊于2008年2月，定位于行业（企业）信息化规划、建设、管理的中高层人士，通过精心的内容筛选，将每月发生的重点事件进行回顾，为高端人群提供深度阅读，与比特网内容的速度特性形成互补。主要栏目有：比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

　　业内首个只为报道数据中心资讯内容的专业频道，是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心，贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则，以成为用户最信赖的行业专家为目标，打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报，为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

　　就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧，向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐，为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。