让防火墙顺从我们想象中的意图来工作

核心提示： -设计一个特定的情况或某个指标去模拟它 -设计一个缓冲方案去削弱它对系统的冲击性破坏 打比方一个测试的特定情况是运行防火墙软件的主机系统出现不可替换的硬件问题时，且这个硬件将会影响到信息通信的枢纽问题，让防火墙顺从我们想象中的意图来工作(2)，例如网络适配器损坏，模仿这类型的故障可以简单地

-设计一个特定的情况或某个指标去模拟它

-设计一个缓冲方案去削弱它对系统的冲击性破坏

打比方一个测试的特定情况是运行防火墙软件的主机系统出现不可替换的硬件问题时，且这个硬件将会影响到信息通信的枢纽问题，例如网络适配器损坏，模仿这类型的故障可以简单地拔出该网络接口。

至于防御/恢复策略的例子可以是做好一整套的后备防火墙系统。当信息包出现延误等问题时在最短的时间内将机器替换。

测试一个策略在系统中的运作情况是很困难的。用尽方法去测试IP包过滤设置是不可行的；这样可能出现很多种情况。我们推崇你使用分界测试(分部测试)来取代总体测试。在这些测试上，你必须确定你实施的包过滤规则与每个分块之间的分界线。这样你需要做到:

·为每个规则定义一个边界规则。通常，每个规则的必要参数都会有一个或两个边界点的。在这个区域里将会被划分为一个多面型的包特征区。通常划分的特征包括:通信协议、源地址、目标地址、源端口、目标端口等。基本上，每种包特征都可以独立地去配对包过滤规则在区域里所定义的数值尺度。例如，其中一个规则允许TCP包从任何主机发送到你的WEB服务器的80端口，这个例子使用了三个配对特征(协议、目标地址、目标端口)，在这个实例中也将一个特征区划分成三个区域:TCP包到WEB服务器低于80端口、等于80端口、大于80端口。

·你必须为每一个已经设置好的区域做一些信息交换的测试。确认一下这些特定的区域能否正常地通过与拒绝所有的信息交换。做一个单独的区域，在区域中拒绝或者通过所有的信息交换；这样做的目的是为了划分包特征通信的区域问题。

作为一个综合性的规则群，它可以是一种比较单一的处理机制，并且有可能是没有被应用过的。若是没有被应用过的规则群，这要求一群人去反复审核它们的存在性并要求有人能够说出每一个规则所需要实施的意义。