Nmap应用指南之六：防火墙设置测试

核心提示：在到目前为止的应用指南中，我们考察了如何使用Nmap映射一个网络和检查Nmap暴露的潜在的攻击者的什么信息，Nmap应用指南之六：防火墙设置测试，在本期应用指南中，我们将研究如何使用Nmap测试你的防火墙配置的有效性，以检查你取得满意结果的机会，Nmap提供了许多饶过配置不佳的防火墙的功能， 理解你的防火墙如何处理不请

在到目前为止的应用指南中，我们考察了如何使用Nmap映射一个网络和检查Nmap暴露的潜在的攻击者的什么信息。在本期应用指南中，我们将研究如何使用Nmap测试你的防火墙配置的有效性。

理解你的防火墙如何处理不请自来的通讯的最佳方法之一是验证你的防火墙的过滤器和规则正在按照你的预期工作。例如，例如，许多管理员在制定允许通讯穿过防火墙的规则时犯的错误之一是仅仅根据其来源端口的编号就信任这个通讯，如端口53的DNS应答或者端口20的FTP等。要测试你的防火墙是否允许所有的通讯经过一个特定的端口，你可以充分利用Nmap的TCP扫描功能，包括SYN扫描，对欺骗性的源端口号码选择进行扫描。仅仅提供一个端口号码， Nmap就会从那个端口发送数据包。例如，使用下面的命令将运行一次FIN扫描，使用一个欺骗性的源端口号码25(SMTP)，把输出结果存储名为 “firewallreport.txt”的文件。

nmap -sF -g 25 -oN firewallreport.txt www.yourorg.com

测试你的防火墙应付碎片数据包通讯的能力也是值得的。攻击者经常把TCP头文件分为几个数据包，使数据包过滤器和入侵检测系统很难检测到这种攻击。虽然碎片数据包不能通过对所有的IP碎片进行排列检查的数据包过滤器和防火墙，但是，许多设备为了避免性能下降在默认的状态下都关闭了排列检查功能。可以增加“-f”选项来设置扫描发送碎片式的IP数据包。

在审查你的防火墙的时候，我建议你按照数字的顺序(选项 -r)进行扫描。这样，在分析Nmap输出文件时就很容易跟上通讯流。然而，在测试防火墙和入侵检测系统的效率时，你可以使用默认的方式进行扫描，也就是随机的端口顺序。在随机顺序的端口扫描中，可以使用随机的主机选项对主机进行扫描，随机的主机的缩写字是“-rH”。这个选项与我们将在下个星期介绍的减缓时间的选项结合在一起将使你拥有的任何网络监视设备努力工作以检测扫描的结果。测试你的网络防御能力的一个命令的例子是:

nmap -sS --scan-delay 500 -f -rH firewallreport.txt www.yourorg.com

一旦你发现任何没有过滤的端口或者其它问题，你应该审查你的防火墙规则以确保对所有服务的访问在控制之下，过滤器和规则正在按计划发挥作用。经过修改之后，再一次运行Nmap，以检查你取得满意结果的机会。Nmap提供了许多饶过配置不佳的防火墙的功能，因此可以扮演一个攻击者的角色并且发现你的网络防御是否能够应付FTP反弹扫描、空闲扫描和碎片攻击。