序文:关于企事业单位网络中的安全办理人员来说，并非布置上防火墙就万事大吉，还需要定时的来测验你的防火墙是否还满足安全，然而对防火墙安全性测验并不是一件简单的作业，尤其在具有多个处理设备处理多个接口的环境中更是繁琐杂乱。本文介绍几个东西来协助完结测验作业，比方规矩剖析东西、缝隙扫描等。

跟据国内经验丰富的安全专家建议，企事业单位网络安全人员应该要定时对网内的一切防火墙进行一次安全性测验，并将防火墙测验作业加入到防火墙修正办理过程中。

经过防火墙测验作业来坚信防火墙实践能完结咱们对它的预期使命，这个测验或许十分耗时和吃力，可是借助于一些主动东西，可以让这个费事的使命变得轻松一些。

1、规矩剖析东西在杂乱的防火墙布置中，防火墙规矩集或许会比较杂乱。跟着时刻的开展，这些规矩集或许与安全战略脱轨，一起也有或许发生没有用的规矩。

定时对防火墙规矩进行检查可以处理这些问题。这种检查可以带来一些短期效益。例如有的办理员在调试一个新装置的运用程序时，加入了一条规矩来答应一切通讯经过，可是测验完结后却完了删去该规矩。经过防火墙规矩测验就可以发现这个被忘记的防火墙规矩。

别的，剖析防火墙规矩集还可以发现防火墙中自相矛盾的规矩。举个比如来说，一个企业的过滤战略或许被用来在网络鸿沟方位阻挠Windows网络端口。在网络架构区域，办理员或许在本地防火墙上设定了敞开TCP端口135、139和445，别的还有UDP端口138，由于他们以为在鸿沟设备上现已包含了这端口的过滤。可是，这种做法有或许引进安全缺点。

人们往往以为在网络鸿沟进行了防护而放松在网络内部的防护，尽管没有人会去定制不安全的防火墙规矩集，可是跟着时刻一长就有或许会出现问题。

用于防火墙剖析和审计的商业东西有不少，例如AlgoSec的Firewall Analyzer，RedSeal的Security Risk Manager和Skybox公司的Firewall Compliance Auditor等。

其间AlgoSec Firewall Analyzer(AFA)可以主动勘探防火墙战略中的安全缝隙。它可以完结更改办理、危险办理、主动审阅和战略优化等功能。它可以发现未用的规矩、重复规矩、禁用规矩和失效的规矩。

AFA可以备份防火墙战略，然后进行离线剖析，因而它不会影响防火墙的功能。AFA支撑的防火墙厂商包含思科、Checkpoint和Juniper等业界闻名厂商。

2、缝隙扫描安全专家表明，IT办理者还必须注重防火墙自身的安全性。

这个使命的意图包含判别防火墙是否一个弱安全性暗码，是否存在已知的安全缝隙。

可供咱们运用的安全东西有开源的Nessus，Nessus是事实上的缝隙扫描器规范。实践上，许多商业软件在他们的产品中运用了Nessus引擎，并且简直每一个首要的安全硬件供给商都支撑Nessus的扫描成果。

Nessus现在有2个版别，一个开源的Nessus 2.2.x版别，还有一个Nessus 3尽管不再是开源的，但却是免费的，并且新版的Nessus 3.03现已开端支撑Windows渠道，大大降低了它的运用门槛。

别的，还有一些开源东西也可以协助咱们完成防火墙测验，例如闻名的Nmap，可以让办理员从不同的方法扫描防火墙，发现敞开端口。别的人们常用的东西还有TCP/IP包剖析东西hping。

3、数据包侦听针对防火墙的另一个测验作业是判别是否有什么东西可以穿过防火墙。在测验过程中，咱们可以运用一个侵略检测体系来作为报警机制。此外，数据包侦听东西可以分化数据包来看看其内部信息。

Wireshark(前身是Ethereal)便是这样一个东西，它在捕获和剖析测验数据包方面十分有用。

说起Wireshark就不得不提Ethereal了，Ethereal和在Windows体系中常用的sniffer pro并称网络嗅探东西双雄，不过和Sniffer pro不同的是Ethereal在Linux类体系中运用更为广泛。而Wireshark软件则是Ethereal的后续版别，他是在Ethereal被收买后推出的最新网络嗅探软件，在功能上比前身愈加强壮。

WiresharkDarknet、Network Telescope、和Internet Motion Sensor这三个东西并非传统的防火墙测验东西，不过在这儿咱们也可以运用它们。例如咱们可以把Darknet当作一个内部IDS来验证防火墙的战略。

这些东西实践便是一些侦听东西，它们可以记录下一切它们“看到”的数据包，然后将其记录到一个日志文件中。经过剖析/监督这些日志文件中的外部IP地址，你可以承认防火墙的战略是否起效果。

4、日志剖析日志剖析东西可以对防火墙进行重要的检查。这些东西可以把多个防火墙的日志会聚起来，让办理员检查不正常的行为。

可以供咱们运用的日志剖析软件有LogSurfer，LogSurfer是一个归纳日志剖析东西。依据它发现的内容，它能履行各种动作，包含告警、履行外部程序，乃至将日志文件数据分块并将它们送给外部命令或进程处理。

除了Logsufer外，其它此类东西还包含Webfwlog和WallFire项意图wflogs等。

5、功能测验防火墙剖析可以协助IT办理者优化防火墙规矩集。例如，未运用的规矩应该被移除。规矩集数量的削减可以减轻防火墙的负载。别的，进步那些高度运用的规矩一方面可以保护企业的安全和危险，一起也可以进步功能。

除了规矩集剖析之外，比如Iperf之类的功能东西还可以在防火墙测验中发挥自己的效果。

Iperf 是一个网络功能测验东西，可以测验TCP和UDP带宽质量。而测验一个防火墙的吞吐能力也是一件十分有价值的作业，尤其是在你验证防火墙厂商所声称的功能时。

总结：

防火墙的保护办理是一件十分重要的作业，使用上面所介绍的东西，你可以常常检查你的防火墙是否存在安全缺点，是否可以供给用户所需的服务，以及防火墙的功能是否存在影响要素等，然后依据实践情况相应的做出保护办法。

【修改引荐】

1. 十大办法打造铜墙铁壁安全防火墙
2. 防火墙测验：从入门到通晓
3. 防火墙功能测验浅析