否准确。

·打开包过滤。

·接入网间通信，为各种协议、所有端口、有可能使用的源地址与目标地址的网间通信摄取样本记录。

·确认应该被堵塞(拒绝)的包被堵塞了。比方说，如果所有的UDP包被设置为被堵塞，要确认没有一个UDP

包通过了。还有确认被设置为通过或脱离(允许)的包被通过和脱离了。你可以通过防火墙的日志与扫描

器的分析来得到这些实验的结果。

·扫描那些被防火墙允许与拒绝的端口，看看你的防火墙系统是否像你设置时预期的一样。

·检查一下包过滤规则中日志选项参数，测试一下日志功能是否在所有网络通信中能像预期中工作。

·测试一下在所有网络通信中出现预定警报时是否有特定的通知信号目的者(如防火墙系统管理员)与特殊

的行动(页面显示与EMAIL通知)。

上述的步骤需要至少两个人一步步计划与实施:最初由某一个人负责整个工程的实施，包括路由配置、过过滤

规则、日志选项、警报选项，而另外单独一个人负责工程的复检工作、鉴定每个部分的工作程序、商订网络的

拓扑与安全策略的实施是否恰当。

“在你的实施环境中测试防火墙系统的功能”

在这个步骤你必须把环境从单层次的体系结构(图8-2"Single layer firewall architecture")演变为多层次

的体系结构(图8-3"Multiple layer firewall architecture")。

这个步骤也同样需要你设定一个联合有一个或几个私网与公网的网络拓扑环境。在公网主要是定义为向内网进

行如WWW(HTTP)、FTP、email(SMTP)、DNS这样的请求的应答，有时也会向内网提供诸如SNMP、文件访问、登陆

等的服务的。在公网里你的主机也可以被描述为DMZ(非军事区)。在内网则被定义为内网各用户的工作站。详

细图表可以看图8-4"Production Environment"。

测试执行的步骤应该遵循:

·把你的防火墙系统连接到内外网的拓扑之中。

·设置内外网主机的路由配置，使其能通过防火墙系统进行通信。这一步的选择是建立在一个service-by

-service的基础上，例如，一台在公网的WEB服务器有可能要去访问某台在私网的某台主机上的一个文

件。围绕着这类型的服务还有WEB、文件访问、DNS、mail、远程登陆详细图则可以参照图8-4"Product

ion Environment"。

·测试防火墙系统能否记录‘进入’或者‘外出’的网络通信。你可以使用扫描器与网络嗅探器来确认一

下这一点。

·确认应该被堵塞(拒绝)的包被堵塞了。比方说，如果所有的UDP包被设置为被堵塞，要确认没有一个UDP

包通过了。还有确认被设置为通过或脱离(允许)的包被通过和脱离了。你可以通过防火墙的日志与扫描

器的分析来得到这些实验的结果。

·仔细地扫描你的网络内的所有主机(包括防火墙系统)。检查你扫描的包是否被堵塞，从而确认你不能从

中得到任何数据信息。尝试使用特定的‘认证端口’(如使用FTP的20端口)发送包去扫描各端口的存活

情况，看看这样能不能脱离

上一页  [1] [2] [3] [4] [5] 下一页