序言:對(duì)于企事業(yè)單位網(wǎng)絡(luò)中的安全管理人員來說，并非部署上防火墻就萬事大吉，還需要定期的來測(cè)試你的防火墻是否還足夠安全，然而對(duì)防火墻安全性測(cè)試并不是一件容易的事情，尤其在具有多個(gè)處理設(shè)備處理多個(gè)接口的環(huán)境中更是繁瑣復(fù)雜。本文介紹幾個(gè)工具來幫助完成測(cè)試工作，比如規(guī)則分析工具、漏洞掃描等。

跟據(jù)國(guó)內(nèi)經(jīng)驗(yàn)豐富的安全專家建議，企事業(yè)單位網(wǎng)絡(luò)安全人員應(yīng)該要定期對(duì)網(wǎng)內(nèi)的所有防火墻進(jìn)行一次安全性測(cè)試，并將防火墻測(cè)試工作加入到防火墻修改管理過程中。

通過防火墻測(cè)試工作來確信防火墻實(shí)際能完成我們對(duì)它的預(yù)期任務(wù)，這個(gè)測(cè)試可能非常耗時(shí)和費(fèi)力，但是借助于一些自動(dòng)工具，可以讓這個(gè)麻煩的任務(wù)變得輕松一些。

1、規(guī)則分析工具在復(fù)雜的防火墻部署中，防火墻規(guī)則集可能會(huì)比較凌亂。隨著時(shí)間的發(fā)展，這些規(guī)則集可能與安全策略脫軌，同時(shí)也有可能產(chǎn)生沒有用的規(guī)則。

定期對(duì)防火墻規(guī)則進(jìn)行審查可以解決這些問題。這種檢查可以帶來一些短期效益。例如有的管理員在調(diào)試一個(gè)新安裝的應(yīng)用程序時(shí)，加入了一條規(guī)則來允許所有通信通過，但是測(cè)試完成后卻完了刪除該規(guī)則。通過防火墻規(guī)則測(cè)試就可以發(fā)現(xiàn)這個(gè)被遺忘的防火墻規(guī)則。

另外，分析防火墻規(guī)則集還可以發(fā)現(xiàn)防火墻中自相矛盾的規(guī)則。舉個(gè)例子來說，一個(gè)企業(yè)的過濾策略可能被用來在網(wǎng)絡(luò)邊界位置阻擋Windows網(wǎng)絡(luò)端口。在網(wǎng)絡(luò)架構(gòu)區(qū)域，管理員可能在本地防火墻上設(shè)定了開放TCP端口135、139和445，另外還有UDP端口138，因?yàn)樗麄冋J(rèn)為在邊界設(shè)備上已經(jīng)包含了這端口的過濾。但是，這種做法有可能引入安全缺陷。

人們往往認(rèn)為在網(wǎng)絡(luò)邊界進(jìn)行了防護(hù)而放松在網(wǎng)絡(luò)內(nèi)部的防護(hù)，盡管沒有人會(huì)去定制不安全的防火墻規(guī)則集，但是隨著時(shí)間一長(zhǎng)就有可能會(huì)出現(xiàn)問題。

用于防火墻分析和審計(jì)的商業(yè)工具有不少，例如AlgoSec的Firewall Analyzer，RedSeal的Security Risk Manager和Skybox公司的Firewall Compliance Auditor等。

其中AlgoSec Firewall Analyzer(AFA)可以自動(dòng)探測(cè)防火墻策略中的安全漏洞。它可以完成更改管理、風(fēng)險(xiǎn)管理、自動(dòng)審核和策略優(yōu)化等功能。它可以發(fā)現(xiàn)未用的規(guī)則、重復(fù)規(guī)則、禁用規(guī)則和失效的規(guī)則。

AFA可以備份防火墻策略，然后進(jìn)行離線分析，因此它不會(huì)影響防火墻的性能。AFA支持的防火墻廠商包括思科、Checkpoint和Juniper等業(yè)界知名廠商。

2、漏洞掃描安全專家表示，IT管理者還必須重視防火墻本身的安全性。

這個(gè)任務(wù)的目的包括判斷防火墻是否一個(gè)弱安全性密碼，是否存在已知的安全漏洞。

可供我們使用的安全工具有開源的Nessus，Nessus是事實(shí)上的漏洞掃描器標(biāo)準(zhǔn)。實(shí)際上，許多商業(yè)軟件在他們的產(chǎn)品中使用了Nessus引擎，并且?guī)缀趺恳粋€(gè)主要的安全硬件供應(yīng)商都支持Nessus的掃描結(jié)果。

Nessus目前有2個(gè)版本，一個(gè)開源的Nessus 2.2.x版本，還有一個(gè)Nessus 3雖然不再是開源的，但卻是免費(fèi)的，而且新版的Nessus 3.03已經(jīng)開始支持Windows平臺(tái)，大大降低了它的使用門檻。

另外，還有一些開源工具也可以幫助我們實(shí)現(xiàn)防火墻測(cè)試，例如著名的Nmap，可以讓管理員從不同的方式掃描防火墻，發(fā)現(xiàn)開放端口。另外人們常用的工具還有TCP/IP包分析工具h(yuǎn)ping。

3、數(shù)據(jù)包偵聽針對(duì)防火墻的另一個(gè)測(cè)試工作是判斷是否有什么東西能夠穿過防火墻。在測(cè)試過程中，我們可以使用一個(gè)入侵檢測(cè)系統(tǒng)來作為報(bào)警機(jī)制。此外，數(shù)據(jù)包偵聽工具可以分解數(shù)據(jù)包來看看其內(nèi)部信息。

Wireshark(前身是Ethereal)就是這樣一個(gè)工具，它在捕獲和分析測(cè)試數(shù)據(jù)包方面非常有用。

說起Wireshark就不得不提Ethereal了，Ethereal和在Windows系統(tǒng)中常用的sniffer pro并稱網(wǎng)絡(luò)嗅探工具雙雄，不過和Sniffer pro不同的是Ethereal在Linux類系統(tǒng)中應(yīng)用更為廣泛。而Wireshark軟件則是Ethereal的后續(xù)版本，他是在Ethereal被收購(gòu)后推出的最新網(wǎng)絡(luò)嗅探軟件，在功能上比前身更加強(qiáng)大。

WiresharkDarknet、Network Telescope、和Internet Motion Sensor這三個(gè)工具并非傳統(tǒng)的防火墻測(cè)試工具，不過在這兒我們也可以使用它們。例如我們可以把Darknet當(dāng)作一個(gè)內(nèi)部IDS來驗(yàn)證防火墻的策略。

這些工具實(shí)際就是一些偵聽工具，它們可以記錄下所有它們“看到”的數(shù)據(jù)包，然后將其記錄到一個(gè)日志文件中。通過分析/監(jiān)視這些日志文件中的外部IP地址，你可以確認(rèn)防火墻的策略是否起作用。

4、日志分析日志分析工具可以對(duì)防火墻進(jìn)行重要的檢查。這些工具可以把多個(gè)防火墻的日志匯聚起來，讓管理員檢查不正常的行為。

可以供我們使用的日志分析軟件有LogSurfer，LogSurfer是一個(gè)綜合日志分析工具。根據(jù)它發(fā)現(xiàn)的內(nèi)容，它能執(zhí)行各種動(dòng)作，包括告警、執(zhí)行外部程序，甚至將日志文件數(shù)據(jù)分塊并將它們送給外部命令或進(jìn)程處理。

除了Logsufer外，其它此類工具還包括Webfwlog和WallFire項(xiàng)目的wflogs等。

5、性能測(cè)試防火墻分析可以幫助IT管理者優(yōu)化防火墻規(guī)則集。例如，未使用的規(guī)則應(yīng)該被移除。規(guī)則集數(shù)量的減少可以減輕防火墻的負(fù)載。另外，提高那些高度使用的規(guī)則一方面可以保護(hù)企業(yè)的安全和風(fēng)險(xiǎn)，同時(shí)也可以提高性能。

除了規(guī)則集分析之外，諸如Iperf之類的性能工具還可以在防火墻測(cè)試中發(fā)揮自己的作用。

Iperf 是一個(gè)網(wǎng)絡(luò)性能測(cè)試工具，可以測(cè)試TCP和UDP帶寬質(zhì)量。而測(cè)試一個(gè)防火墻的吞吐能力也是一件非常有價(jià)值的事情，尤其是在你驗(yàn)證防火墻廠商所宣稱的性能時(shí)。

總結(jié)：

防火墻的維護(hù)管理是一件非常重要的工作，利用上面所介紹的工具，你可以經(jīng)常查看你的防火墻是否存在安全缺陷，是否能夠提供用戶所需的服務(wù)，以及防火墻的性能是否存在影響因素等，然后根據(jù)實(shí)際情況相應(yīng)的做出維護(hù)措施。

【編輯推薦】

1. 十大措施打造固若金湯安全防火墻
2. 防火墻測(cè)試：從入門到精通
3. 防火墻性能測(cè)試淺析