测试你防火墙是否安全

对于企事业单位网络中的安全管理人员来讲，并不是部署上防火墙就万事大吉，还须要按期的来测试你的防火墙是否还足够安全，然而对防火墙安全性测试并非一件容易的事情，尤为在具备多个处理设备处理多个接口的环境中更是繁琐复杂。本文介绍几个工具来帮助完成测试工做，好比规则分析工具、漏洞扫描等。

　　跟据国内经验丰富的安全专家建议，企事业单位网络安全人员应该要按期对网内的全部防火墙进行一次安全性测试，并将防火墙测试工做加入到防火墙修改管理过程当中。

　　经过防火墙测试工做来确信防火墙实际能完成咱们对它的预期任务，这个测试可能很是耗时和费力，可是借助于一些自动工具，可让这个麻烦的任务变得轻松一些。

　　一、规则分析工具在复杂的防火墙部署中，防火墙规则集可能会比较凌乱。随着时间的发展，这些规则集可能与安全策略脱轨，同时也有可能产生没有用的规则。

　　按期对防火墙规则进行审查能够解决这些问题。这种检查能够带来一些短时间效益。例若有的管理员在调试一个新安装的应用程序时，加入了一条规则来容许全部通讯经过，可是测试完成后却完了删除该规则。经过防火墙规则测试就能够发现这个被遗忘的防火墙规则。

　　另外，分析防火墙规则集还能够发现防火墙中自相矛盾的规则。举个例子来讲，一个企业的过滤策略可能被用来在网络边界位置阻挡Windows网络端口。在网络架构区域，管理员可能在本地防火墙上设定了开放TCP端口13五、139和445，另外还有UDP端口138，由于他们认为在边界设备上已经包含了这端口的过滤。可是，这种作法有可能引入安全缺陷。

　　人们每每认为在网络边界进行了防御而放松在网络内部的防御，尽管没有人会去定制不安全的防火墙规则集，可是随着时间一长就有可能会出现问题。

　　用于防火墙分析和审计的商业工具备很多，例如AlgoSec的Firewall Analyzer，RedSeal的Security Risk Manager和Skybox公司的Firewall Compliance Auditor等。

　　其中AlgoSec Firewall Analyzer(AFA)能够自动探测防火墙策略中的安全漏洞。它能够完成更改管理、风险管理、自动审核和策略优化等功能。它能够发现未用的规则、重复规则、禁用规则和失效的规则。

　　AFA能够备份防火墙策略，而后进行离线分析，所以它不会影响防火墙的性能。AFA支持的防火墙厂商包括思科、Checkpoint和Juniper等业界知名厂商。

　　二、漏洞扫描安全专家表示，IT管理者还必须重视防火墙自己的安全性。

　　这个任务的目的包括判断防火墙是否一个弱安全性密码，是否存在已知的安全漏洞。

　　可供咱们使用的安全工具备开源的Nessus，Nessus是事实上的漏洞扫描器标准。实际上，许多商业软件在他们的产品中使用了Nessus引擎，而且几乎每个主要的安全硬件供应商都支持Nessus的扫描结果。

　　Nessus目前有2个版本，一个开源的Nessus 2.2.x版本，还有一个Nessus 3虽然再也不是开源的，但倒是免费的，并且新版的Nessus 3.03已经开始支持Windows平台，大大下降了它的使用门槛。

　　另外，还有一些开源工具也能够帮助咱们实现防火墙测试，例如著名的Nmap，可让管理员从不一样的方式扫描防火墙，发现开放端口。另外人们经常使用的工具还有TCP/IP包分析工具hping。

三、数据包侦听针对防火墙的另外一个测试工做是判断是否有什么东西可以穿过防火墙。在测试过程当中，咱们可使用一个***检测系统来做为报警机制。此外，数据包侦听工具能够分解数据包来看看其内部信息。

　　Wireshark(前身是Ethereal)就是这样一个工具，它在捕获和分析测试数据包方面很是有用。

　　提及Wireshark就不得不提Ethereal了，Ethereal和在Windows系统中经常使用的sniffer pro并称网络嗅探工具双雄，不过和sniffer pro不一样的是Ethereal在Linux类系统中应用更为普遍。而Wireshark软件则是Ethereal的后续版本，他是在Ethereal被收购后推出的最新网络嗅探软件，在功能上比前身更增强大。

　　WiresharkDarknet、Network Telescope、和Internet Motion Sensor这三个工具并不是传统的防火墙测试工具，不过在这儿咱们也可使用它们。例如咱们能够把Darknet看成一个内部IDS来验证防火墙的策略。

　　这些工具实际就是一些侦听工具，它们能够记录下全部它们“看到”的数据包，而后将其记录到一个日志文件中。经过分析/监视这些日志文件中的外部IP地址，你能够确认防火墙的策略是否起做用。

　　四、日志分析日志分析工具能够对防火墙进行重要的检查。这些工具能够把多个防火墙的日志汇聚起来，让管理员检查不正常的行为。

　　能够供咱们使用的日志分析软件有LogSurfer，LogSurfer是一个综合日志分析工具。根据它发现的内容，它能执行各类动做，包括告警、执行外部程序，甚至将日志文件数据分块并将它们送给外部命令或进程处理。

　　除了Logsufer外，其它此类工具还包括Webfwlog和WallFire项目的wflogs等。

　　五、性能测试防火墙分析能够帮助IT管理者优化防火墙规则集。例如，未使用的规则应该被移除。规则集数量的减小能够减轻防火墙的负载。另外，提升那些高度使用的规则一方面能够保护企业的安全和风险，同时也能够提升性能。

　　除了规则集分析以外，诸如Iperf之类的性能工具还能够在防火墙测试中发挥本身的做用。

　　Iperf 是一个网络性能测试工具，能够测试TCP和UDP带宽质量。而测试一个防火墙的吞吐能力也是一件很是有价值的事情，尤为是在你验证防火墙厂商所宣称的性能时。

　　总结：

　　防火墙的维护管理是一件很是重要的工做，利用上面所介绍的工具，你能够常常查看你的防火墙是否存在安全缺陷，是否可以提供用户所需的服务，以及防火墙的性能是否存在影响因素等，而后根据实际状况相应的作出维护措施。