测试防火墙系统

　　上述的步骤需要至少两个人一步步计划与实施:最初由某一个人负责整个工程的实施，包括路由配置、过滤规则、日志选项、警报选项，而另外单独一个人负责工程的复检工作、鉴定每个部分的工作程序、商订网络的拓扑与安全策略的实施是否恰当。

　　“在你的实施环境中测试防火墙系统的功能”

　　在这个步骤你必须把环境从单层次的体系结构(图8-2"Single layer firewall architecture")演变为多层次的体系结构。

　　这个步骤也同样需要你设定一个联合有一个或几个私网与公网的网络拓扑环境。在公网主要是定义为向内网进行如WWW(HTTP)、FTP、email(SMTP)、DNS这样的请求的应答，有时也会向内网提供诸如SNMP、文件访问、登陆等的服务的。在公网里你的主机也可以被描述为DMZ(非军事区)。在内网则被定义为内网各用户的工作站。

　　测试执行的步骤应该遵循:

　　·把你的防火墙系统连接到内外网的拓扑之中。
　　·设置内外网主机的路由配置，使其能通过防火墙系统进行通信。这一步的选择是建立在一个service-by -service的基础上，例如，一台在公网的WEB服务器有可能要去访问某台在私网的某台主机上的一个文件。围绕着这类型的服务还有WEB、文件访问、DNS、mail、远程登陆详细图则可以参照图8-4"Product ion Environment"。
　　·测试防火墙系统能否记录‘进入’或者‘外出’的网络通信。你可以使用扫描器与网络嗅探器来确认一下这一点。
　　·确认应该被堵塞(拒绝)的包被堵塞了。比方说，如果所有的UDP包被设置为被堵塞，要确认没有一个UDP包通过了。还有确认被设置为通过或脱离(允许)的包被通过和脱离了。你可以通过防火墙的日志与扫描器的分析来得到这些实验的结果。
　　·仔细地扫描你的网络内的所有主机(包括防火墙系统)。检查你扫描的包是否被堵塞，从而确认你不能从中得到任何数据信息。尝试使用特定的‘认证端口’(如使用FTP的20端口)发送包去扫描各端口的存活情况，看看这样能不能脱离防火墙的规则限制。
　　·你可以把入侵测试系统安装在你的虚拟网络环境或现实网络环境中，帮助你了解与测试你的包过滤规则能否保护你的系统与网络对抗现有的攻击行为。要做到这样你将需要在基本的规划上运行这一类的工具并定期分析结果。当然，你可以将这一步的测试工作推迟到你完全地配置后整个新的防火墙系统之后。
　　·检查一下包过滤规则中日志选项参数，测试一下日志功能是否在所有网络通信中能像预期中工作。
　　·测试一下在所有网络通信中出现预定警报时是否有特定的通知信号目的者(如防火墙系统管理员)与特殊
　　的行动(页面显示与EMAIL通知)。

　　你不可以把测试路由功能的工作放在连接防火墙系统至你的外网接口之后[请查阅“9. Install the firewall system.”(http://www.cert.org/security-improvement/practices/p061.html)与“10. Phase the firew- all system into operation.”(http://www.cert.org/security-improvement/practices/p063.html)]。最后，你应该先把新的防火墙系统安装在内网，并配置通过，然后再接上外网接口。为了降低最后阶段测试所带来的风险，管理员可以在内网连上少量的机器(主管理机器群与防火墙系统)，当测试通过后才逐步增加内网的机器数目。

　　当日志文件出现存放空间不足时，你需要设置防火墙系统自行反应策略。下面有几种相关的选择:

　　·防火墙系统关闭所有相关的外网连接。
　　·继续工作，新日志复写入原最旧的日志空间中。
　　·继续工作，但不作任何日志记录。

　　第一个选择是最安全但又不允许使用在防火墙系统上的。你可以尝试一下模拟防火墙系统在日志空间被全部占用时的运行状态，看看能否到达你所选择的预期效果。

　　选择与测试适当的日志内容选项，这些选项包括:

　　·日志文件的路径(例如防火墙本地或远程机器的储存器)
　　·日志文件的存档时间段
　　·日志文件的清除时间段

　　“测试防火墙系统”

　　每一个相关联的故障都应该写入测试报告中去(看整个测试过程的第一步)，尝试执行与模拟所有有可能发生的特定情况，并测试相应的舒缓策略与评估其影响的破坏指数。

　　“扫描缺陷”

　　使用一系列的缺陷(漏洞等等)探测工具扫描你的防火墙系统，看看有否探测出存在着已经被发现的缺陷类型。若探测工具探测出有此类缺陷的补丁存在，请安装之并重新进行扫描操作，这样可以确认缺陷已被消除。

　　“设计初步的渗透测试环境”

　　在正常工作的情况下，选定一个特定的测试情况集来进行渗透测试。这些需要参考的情况包括出入数据包是否已经被路由了、过滤、记录，且在此基础上确保一些特殊服务(WWW、email、FTP等等)也能在预期中进行此类处理。

　　一旦需要到新的防火墙系统加入至正常的工作环境时，你可以在改变网络现状前选择使用一系列的测试来检验该改变是否会为正常的工作带来什么负面影响。

　　“准备把系统投入使用”

　　在你完成整个防火墙系统的测试之前你必须建立与记录一套‘密码’通信机制或其他的安全基准手段以便你能与防火墙系统进行安全的交流与管理。

　　在你完成测试过程时必须做一个配置选项列表的备份。

“准备进行监测任务”

　　监控网络的综合指数、吞吐量以及防火墙系统是确保你已经正确地配置安全策略并且这些安全策略在正常执行的唯一途径。

　　确保你的安全策略、程序、工具等等资源处于必要的位置以便你能很好地监控你的网络与机器群，包括你的防火墙系统。

　　*****策略注意事项*****

　　你的组织/团队作防火墙/系统/网络等安全测试行为应该遵循以下:

　　·测试的防火墙系统必须在你能监控的环境下进行。
　　·防火墙系统在每次出现配置或结构更改时应该重新进行渗透测试。
　　·定期升级渗透测试组件用于测试防火墙系统的配置状况。
　　·定期升级与维护保护区中的各种应用程序、操作系统、常用组件与硬件。
　　·监控所有网络与系统，包括你的防火墙系统，这是非常有必要的。