如何测试防火墙

核心提示：如何测试防火墙？这里的测试指的是旨在比较不同防火墙产品的黑箱测试，笔者认为要把防火墙的安全功能放在首位，如何测试防火墙，并考察产品在启动安全防范情况下的性能，为什么这么说？一方面，但据我们了解，很少有用户关心这个问题并实际部署，防火墙首先是安全产品，对企业网的保护它应该与时俱进（那些3年前就存在的只工作在网络层的状态检

如何测试防火墙？这里的测试指的是旨在比较不同防火墙产品的黑箱测试。

笔者认为要把防火墙的安全功能放在首位，并考察产品在启动安全防范情况下的性能。为什么这么说？一方面，防火墙首先是安全产品，对企业网的保护它应该与时俱进（那些3年前就存在的只工作在网络层的状态检测防火墙要加油啊！）。另一方面，作为企业网边界的穿越产品，它不应该产生太多额外的延迟和丢包。

就安全功能而言，有的产品涵盖极广，像那些集IPS、防毒、传统防火墙于一身的"一体化"安全网关，测试它们短时间内不可能面面俱到。如何操作呢，笔者有几点体会：

1. 不一定采取很多攻击手段。比如DoS攻击，虽然有很多种，但对于防火墙来说，防御若干种DoS攻击的设计原理是一样的。所以在有限时间内，挑选有代表性的几种DoS攻击应该就可以看出防火墙这方面的能力；

2. 多个层面上的攻击。目前，好的防火墙会针对从网络层到应用层的攻击分门别类地进行防御。每个层面上的攻击最好都检查一下，不同层面的工作往往意味着防火墙能力革命性的变化。比如，网络层的DoS攻击、应用层的脚本攻击和P2P通信控制等。此外，随着防火墙端口数目的增加，内网用户经常使用的Windows网络的安全性也有必要考察。

3. 支持动态协议的种类和准确性。最典型的就是VoIP的支持力度，包括多种拓扑以及双向呼叫。模拟现实环境越充分，就越有可能发现防火墙存在的问题。

4. 攻击测试过程中最好添加一定的背景流量。这主要是观察防火墙的某项防御功能是否会引起正常流量的异常反应。

5. 攻击手段的混合。比如在防DoS攻击情况下防火墙过滤HTTP蠕虫的成功率有多大。

就性能而言，我想特别强调两点：不能脱离安全去谈性能，不能以偏盖全。

仅添加了"permit any to any"情况下测试防火墙的性能，对于防火墙使用者来说很难将数据表现和实际环境联系起来。从另外的角度来看，有些防火墙厂商以自己的产品达到64字节线速吞吐就宣称是高性能，可是这个数据只的是64字节情况下的UDP吞吐量。这个数据对于用户来说也是茫然的，毕竟在实际环境中，没有纯粹的UDP流量，TCP流对于防火墙来说反而意味着要做更多的工作。因此，性能的评价应该多角度！而且尽可能的逼近用户的实际环境。比如，不同包长的混合、TCP和UDP的混合、时延敏感型应用如H.323与公文或网页传输的混合、是否添加攻击等等。

进两年，目前的防火墙较之传统的状态检测防火墙至少发生了两个比较大的变化。一个是向应用层防护大规模进军，另一个是VPN功能逐渐成为基本组件。因此，针对VPN的测试也很有必要。不光是建立VPN隧道的性能，还有VPN网关及客户端的兼容性以及一些VPN相关的功能，比如VPN内部的流量管理。

对于防火墙的其他功能，比较显著的是日志、认证方式以及对虚拟防火墙的支持等。另外，组网模式的改变也值得关注，比如，在针对DMZ区服务器进行的双出口链路负载均衡中，各个防火墙支持的力度也有很大差异。在防火墙与IDS联动这个问题上，我们发现，基本上防火墙都支持和某些IDS联动，但据我们了解，很少有用户关心这个问题并实际部署，IDS与防火墙联动的确存在一些令用户担心的问题。