測試你防火牆是否安全

對於企事業單位網絡中的安全管理人員來講，並不是部署上防火牆就萬事大吉，還須要按期的來測試你的防火牆是否還足夠安全，然而對防火牆安全性測試並非一件容易的事情，尤爲在具備多個處理設備處理多個接口的環境中更是繁瑣複雜。本文介紹幾個工具來幫助完成測試工做，好比規則分析工具、漏洞掃描等。

　　跟據國內經驗豐富的安全專家建議，企事業單位網絡安全人員應該要按期對網內的全部防火牆進行一次安全性測試，並將防火牆測試工做加入到防火牆修改管理過程當中。

　　經過防火牆測試工做來確信防火牆實際能完成咱們對它的預期任務，這個測試可能很是耗時和費力，可是藉助於一些自動工具，可讓這個麻煩的任務變得輕鬆一些。

　　一、規則分析工具在複雜的防火牆部署中，防火牆規則集可能會比較凌亂。隨着時間的發展，這些規則集可能與安全策略脫軌，同時也有可能產生沒有用的規則。

　　按期對防火牆規則進行審查能夠解決這些問題。這種檢查能夠帶來一些短時間效益。例若有的管理員在調試一個新安裝的應用程序時，加入了一條規則來容許全部通訊經過，可是測試完成後卻完了刪除該規則。經過防火牆規則測試就能夠發現這個被遺忘的防火牆規則。

　　另外，分析防火牆規則集還能夠發現防火牆中自相矛盾的規則。舉個例子來講，一個企業的過濾策略可能被用來在網絡邊界位置阻擋Windows網絡端口。在網絡架構區域，管理員可能在本地防火牆上設定了開放TCP端口13五、139和445，另外還有UDP端口138，由於他們認爲在邊界設備上已經包含了這端口的過濾。可是，這種作法有可能引入安全缺陷。

　　人們每每認爲在網絡邊界進行了防禦而放鬆在網絡內部的防禦，儘管沒有人會去定製不安全的防火牆規則集，可是隨着時間一長就有可能會出現問題。

　　用於防火牆分析和審計的商業工具備很多，例如AlgoSec的Firewall Analyzer，RedSeal的Security Risk Manager和Skybox公司的Firewall Compliance Auditor等。

　　其中AlgoSec Firewall Analyzer(AFA)能夠自動探測防火牆策略中的安全漏洞。它能夠完成更改管理、風險管理、自動審覈和策略優化等功能。它能夠發現未用的規則、重複規則、禁用規則和失效的規則。

　　AFA能夠備份防火牆策略，而後進行離線分析，所以它不會影響防火牆的性能。AFA支持的防火牆廠商包括思科、Checkpoint和Juniper等業界知名廠商。

　　二、漏洞掃描安全專家表示，IT管理者還必須重視防火牆自己的安全性。

　　這個任務的目的包括判斷防火牆是否一個弱安全性密碼，是否存在已知的安全漏洞。

　　可供咱們使用的安全工具備開源的Nessus，Nessus是事實上的漏洞掃描器標準。實際上，許多商業軟件在他們的產品中使用了Nessus引擎，而且幾乎每個主要的安全硬件供應商都支持Nessus的掃描結果。

　　Nessus目前有2個版本，一個開源的Nessus 2.2.x版本，還有一個Nessus 3雖然再也不是開源的，但倒是免費的，並且新版的Nessus 3.03已經開始支持Windows平臺，大大下降了它的使用門檻。

　　另外，還有一些開源工具也能夠幫助咱們實現防火牆測試，例如著名的Nmap，可讓管理員從不一樣的方式掃描防火牆，發現開放端口。另外人們經常使用的工具還有TCP/IP包分析工具hping。

三、數據包偵聽針對防火牆的另外一個測試工做是判斷是否有什麼東西可以穿過防火牆。在測試過程當中，咱們可使用一個***檢測系統來做爲報警機制。此外，數據包偵聽工具能夠分解數據包來看看其內部信息。

　　Wireshark(前身是Ethereal)就是這樣一個工具，它在捕獲和分析測試數據包方面很是有用。

　　提及Wireshark就不得不提Ethereal了，Ethereal和在Windows系統中經常使用的sniffer pro並稱網絡嗅探工具雙雄，不過和sniffer pro不一樣的是Ethereal在Linux類系統中應用更爲普遍。而Wireshark軟件則是Ethereal的後續版本，他是在Ethereal被收購後推出的最新網絡嗅探軟件，在功能上比前身更增強大。

　　WiresharkDarknet、Network Telescope、和Internet Motion Sensor這三個工具並不是傳統的防火牆測試工具，不過在這兒咱們也可使用它們。例如咱們能夠把Darknet看成一個內部IDS來驗證防火牆的策略。

　　這些工具實際就是一些偵聽工具，它們能夠記錄下全部它們「看到」的數據包，而後將其記錄到一個日誌文件中。經過分析/監視這些日誌文件中的外部IP地址，你能夠確認防火牆的策略是否起做用。

　　四、日誌分析日誌分析工具能夠對防火牆進行重要的檢查。這些工具能夠把多個防火牆的日誌匯聚起來，讓管理員檢查不正常的行爲。

　　能夠供咱們使用的日誌分析軟件有LogSurfer，LogSurfer是一個綜合日誌分析工具。根據它發現的內容，它能執行各類動做，包括告警、執行外部程序，甚至將日誌文件數據分塊並將它們送給外部命令或進程處理。

　　除了Logsufer外，其它此類工具還包括Webfwlog和WallFire項目的wflogs等。

　　五、性能測試防火牆分析能夠幫助IT管理者優化防火牆規則集。例如，未使用的規則應該被移除。規則集數量的減小能夠減輕防火牆的負載。另外，提升那些高度使用的規則一方面能夠保護企業的安全和風險，同時也能夠提升性能。

　　除了規則集分析以外，諸如Iperf之類的性能工具還能夠在防火牆測試中發揮本身的做用。

　　Iperf 是一個網絡性能測試工具，能夠測試TCP和UDP帶寬質量。而測試一個防火牆的吞吐能力也是一件很是有價值的事情，尤爲是在你驗證防火牆廠商所宣稱的性能時。

　　總結：

　　防火牆的維護管理是一件很是重要的工做，利用上面所介紹的工具，你能夠常常查看你的防火牆是否存在安全缺陷，是否可以提供用戶所需的服務，以及防火牆的性能是否存在影響因素等，而後根據實際狀況相應的作出維護措施。