測試你防火牆是否安全

對防火牆安全性測試並不是一件容易的事情，尤其在具有多個處理設備處理多個接口的環境中更是繁瑣復雜。本文介紹幾個工具來幫助完成測試工作，比如規則分析工具、漏洞掃描等。

　　跟據國內經驗豐富的安全專家建議，企事業單位網絡安全人員應該要定期對網內的所有防火牆進行一次安全性測試，並將防火牆測試工作加入到防火牆修改管理過程中。

　　通過防火牆測試工作來確信防火牆實際能完成我們對它的預期任務，這個測試可能非常耗時和費力，但是借助於一些自動工具，可以讓這個麻煩的任務變得輕松一些。

　　1、規則分析工具在復雜的防火牆部署中，防火牆規則集可能會比較凌亂。隨著時間的發展，這些規則集可能與安全策略脫軌，同時也有可能產生沒有用的規則。

　　定期對防火牆規則進行審查可以解決這些問題。這種檢查可以帶來一些短期效益。例如有的管理員在調試一個新安裝的應用程序時，加入了一條規則來允許所有通信通過，但是測試完成後卻完了刪除該規則。通過防火牆規則測試就可以發現這個被遺忘的防火牆規則。

　　另外，分析防火牆規則集還可以發現防火牆中自相矛盾的規則。舉個例子來說，一個企業的過濾策略可能被用來在網絡邊界位置阻擋Windows網絡端口。在網絡架構區域，管理員可能在本地防火牆上設定了開放TCP端口135、139和445，另外還有UDP端口138，因為他們認為在邊界設備上已經包含了這端口的過濾。但是，這種做法有可能引入安全缺陷。

　　人們往往認為在網絡邊界進行了防護而放松在網絡內部的防護，盡管沒有人會去定制不安全的防火牆規則集，但是隨著時間一長就有可能會出現問題。

　　用於防火牆分析和審計的商業工具有不少，例如AlgoSec的Firewall Analyzer，RedSeal的Security Risk Manager和Skybox公司的Firewall Compliance Auditor等。

　　其中AlgoSec Firewall Analyzer(AFA)可以自動探測防火牆策略中的安全漏洞。它可以完成更改管理、風險管理、自動審核和策略優化等功能。它可以發現未用的規則、重復規則、禁用規則和失效的規則。

　　AFA可以備份防火牆策略，然後進行離線分析，因此它不會影響防火牆的性能。AFA支持的防火牆廠商包括思科、Checkpoint和Juniper等業界知名廠商。

　　2、漏洞掃描安全專家表示，IT管理者還必須重視防火牆本身的安全性。

　　這個任務的目的包括判斷防火牆是否一個弱安全性密碼，是否存在已知的安全漏洞。

　　可供我們使用的安全工具有開源的Nessus，Nessus是事實上的漏洞掃描器標准。實際上，許多商業軟件在他們的產品中使用了Nessus引擎，並且幾乎每一個主要的安全硬件供應商都支持Nessus的掃描結果。

　　Nessus目前有2個版本，一個開源的Nessus 2.2.x版本，還有一個Nessus 3雖然不再是開源的，但卻是免費的，而且新版的Nessus 3.03已經開始支持Windows平台，大大降低了它的使用門檻。

　　另外，還有一些開源工具也可以幫助我們實現防火牆測試，例如著名的Nmap，可以讓管理員從不同的方式掃描防火牆，發現開放端口。另外人們常用的工具還有TCP/IP包分析工具hping。

　　3、數據包偵聽針對防火牆的另一個測試工作是判斷是否有什麼東西能夠穿過防火牆。在測試過程中，我們可以使用一個入侵檢測系統來作為報警機制。此外，數據包偵聽工具可以分解數據包來看看其內部信息。

　　Wireshark(前身是Ethereal)就是這樣一個工具，它在捕獲和分析測試數據包方面非常有用。

　　說起Wireshark就不得不提Ethereal了，Ethereal和在Windows系統中常用的sniffer pro並稱網絡嗅探工具雙雄，不過和sniffer pro不同的是Ethereal在Linux類系統中應用更為廣泛。而Wireshark軟件則是Ethereal的後續版本，他是在Ethereal被收購後推出的最新網絡嗅探軟件，在功能上比前身更加強大。

　　WiresharkDarknet、Network Telescope、和Internet Motion Sensor這三個工具並非傳統的防火牆測試工具，不過在這兒我們也可以使用它們。例如我們可以把Darknet當作一個內部IDS來驗證防火牆的策略。

　　這些工具實際就是一些偵聽工具，它們可以記錄下所有它們“看到的數據包，然後將其記錄到一個日志文件中。通過分析/監視這些日志文件中的外部IP地址，你可以確認防火牆的策略是否起作用。

　　4、日志分析日志分析工具可以對防火牆進行重要的檢查。這些工具可以把多個防火牆的日志匯聚起來，讓管理員檢查不正常的行為。

　　可以供我們使用的日志分析軟件有LogSurfer，LogSurfer是一個綜合日志分析工具。根據它發現的內容，它能執行各種動作，包括告警、執行外部程序，甚至將日志文件數據分塊並將它們送給外部命令或進程處理。

　　除了Logsufer外，其它此類工具還包括Webfwlog和WallFire項目的wflogs等。

　　5、性能測試防火牆分析可以幫助IT管理者優化防火牆規則集。例如，未使用的規則應該被移除。規則集數量的減少可以減輕防火牆的負載。另外，提高那些高度使用的規則一方面可以保護企業的安全和風險，同時也可以提高性能。

　　除了規則集分析之外，諸如Iperf之類的性能工具還可以在防火牆測試中發揮自己的作用。

　　Iperf 是一個網絡性能測試工具，可以測試TCP和UDP帶寬質量。而測試一個防火牆的吞吐能力也是一件非常有價值的事情，尤其是在你驗證防火牆廠商所宣稱的性能時。

　　總結：

　　防火牆的維護管理是一件非常重要的工作，利用上面所介紹的工具，你可以經常查看你的防火牆是否存在安全缺陷，是否能夠提供用戶所需的服務，以及防火牆的性能是否存在影響因素等，然後根據實際情況相應的做出維護措施。

;;;;注：對於企事業單位網絡中的安全管理人員來說，並非部署上防火牆就萬事大吉，還需要定期的來測試你的防火牆是否還足夠安全。