、

等于80端口、大于80端口。

·你必须为每一个已经设置好的区域做一些信息交换的测试。确认一下这些特定的区域能否正常地通过与

拒绝所有的信息交换。做一个单独的区域，在区域中拒绝或者通过所有的信息交换；这样做的目的是为

了划分包特征通信的区域问题。

作为一个综合性的规则群，它可以是一种比较单一的处理机制，并且有可能是没有被应用过的。若是没有被应

用过的规则群，这要求一群人去反复审核它们的存在性并要求有人能够说出每一个规则所需要实施的意义。

整个测试计划包括案例测试、配置测试、与期待目标:

·测试路由配置、包过滤规则(包括特殊服务的测试)、日志功能与警报

·测试防火墙系统整体性能(例如硬/软件故障恢复、足够的日志存储容量、日志档案的容错性、监视追踪

器的性能问题)

·尝试在正常或不正常这两种情况下进行的测试

同样你也需要记录你在测试中打算使用的工具(扫描器、监测器、还有漏洞/攻击探测工具)，并且相应地测试一

下它们的性能。

“获取测试工具”

逐步使用你的各种防火墙测试工具能够知道你的防火墙产品在各类性能指标上是否存在着不足

各种类型的防火墙测试工具包括①:

·网络通信包生成器(如SPAK[Send PAcKets]、ipsend、Ballista)

·网络监视器(如tcpdump与Network Monitor)

·端口扫描器(如strobe与nmap)

·漏洞探测器(可以扫描到一定的有效范围、能针对多种漏洞的)

·入侵测试系统[IDS]如NFR②[Network Flight Recorder]与Shadow③

查阅相关信息可以看Detecting Signs of Intrusion[Allen 00]，特定的实践可以参阅"Identify data that

characterize systems and aid in detecting signs of suspicious behavior"、建议书在"Identify tools

that aid in detecting signs of intrusion"。

“在你的测试环境中测试防火墙系统的功能”

建立一个测试框架以便你的防火墙系统能在两台独立的主机之中连通，这两台端一端代表外网一端代表外网。

事例图在8-1"Test Environment"。

在测试时要确保内网的默认网关为防火墙系统(当然这里指的是企业级带路由的防火墙啦:)，如果你已经选择

好一个完整的日志记录体系(推崇)，工作在内网主机与日志记录主机之间的话，那么你就可以进行日志记录选

项测试了。如果日志记录在防火墙机器上完成的话，你可以直接使用内网机器连上去。

把安装有扫描器与嗅探器的机器安置在拓扑的内部与外部，用于分析与捕捉双向的通信问题与通信情况(数据

从内到外、从外到内)。

测试执行的步骤应该遵循:

·停止包过滤。

·注入各类包用于演示路由规则并通过防火墙系统。

·通过防火墙的日志与你的扫描器的结果来判断包的路由是

上一页  [1] [2] [3] [4] [5] 下一页