让防火墙顺从我们想象中的意图来工作

核心提示： 这个步骤也同样需要你设定一个联合有一个或几个私网与公网的网络拓扑环境，在公网主要是定义为向内网进行如WWW(HTTP)、FTP、email(SMTP)、DNS这样的请求的应答，让防火墙顺从我们想象中的意图来工作(5)，有时也会向内网提供诸如SNMP、文件访问、登陆等的服务的，在公网里你的主

这个步骤也同样需要你设定一个联合有一个或几个私网与公网的网络拓扑环境。在公网主要是定义为向内网进行如WWW(HTTP)、FTP、email(SMTP)、DNS这样的请求的应答，有时也会向内网提供诸如SNMP、文件访问、登陆等的服务的。在公网里你的主机也可以被描述为DMZ(非军事区)。在内网则被定义为内网各用户的工作站。

测试执行的步骤应该遵循:

·把你的防火墙系统连接到内外网的拓扑之中。

·设置内外网主机的路由配置，使其能通过防火墙系统进行通信。这一步的选择是建立在一个service-by-service的基础上，例如，一台在公网的WEB服务器有可能要去访问某台在私网的某台主机上的一个文件。

·测试防火墙系统能否记录‘进入’或者‘外出’的网络通信。你可以使用扫描器与网络嗅探器来确认一下这一点。

·确认应该被堵塞(拒绝)的包被堵塞了。比方说，如果所有的UDP包被设置为被堵塞，要确认没有一个UDP包通过了。还有确认被设置为通过或脱离(允许)的包被通过和脱离了。你可以通过防火墙的日志与扫描器的分析来得到这些实验的结果。

·仔细地扫描你的网络内的所有主机(包括防火墙系统)。检查你扫描的包是否被堵塞，从而确认你不能从中得到任何数据信息。尝试使用特定的‘认证端口’(如使用FTP的20端口)发送包去扫描各端口的存活情况，看看这样能不能脱离防火墙的规则限制。

·你可以把入侵测试系统安装在你的虚拟网络环境或现实网络环境中，帮助你了解与测试你的包过滤规则能否保护你的系统与网络对抗现有的攻击行为。要做到这样你将需要在基本的规划上运行这一类的工具并定期分析结果。当然，你可以将这一步的测试工作推迟到你完全地配置后整个新的防火墙系统之后。