防火墙测试：从入门到精通

核心提示： 规则库的管理是许多防火墙的管理员们的一个重要问题，防火墙的规则库易于出现各种问题，防火墙测试：从入门到精通(6)，如不正确、重叠、未用的规则，在过去的若干年中，如PCI的数据安全标准要求验证所有通信，但这是一个好方法，对此进行了许多研究，研究人员确认了许多足以引起管理员们注意的异常情况：在

规则库的管理是许多防火墙的管理员们的一个重要问题。防火墙的规则库易于出现各种问题，如不正确、重叠、未用的规则。在过去的若干年中，对此进行了许多研究，研究人员确认了许多足以引起管理员们注意的异常情况：

在管理员们创建一种要合并较低优先权的高优先权规则时，会发生规则重叠的情况。例如，管理员们可能要创建一种在规则库中高高在上的规则，准许所有的SMTP通信。而一条地位较低的老规则可能会专门准许SMTP通信到达一个邮件服务器。然而，因为其类似性和低优先权，这条特别的规则将绝对不可能被激发。在更低优先权的规则要阻止通信到达一个特别的服务器时，这种情况会变得更糟。因为这种概括性的规则首先出现，这种阻止将绝对不会生效。

在服务或系统不出现于网络中时，或其它的改变使得一条规则成为孤立的规则时，就会发生所谓的“规则遗弃”问题。这些规则通常不会从防火墙中删除，这就创造了一个潜在的安全漏洞，并添加了防火墙管理员的负担。

未用的规则类似于孤立规则，这些规则从未使用。未用的规则可能来自从未具体实施的项目中的改变请求。或者说，未用的规则可能源自于管理员们在创建规则时的错误。

现在国外有不少商业化的工具试图解决这些问题。如FireMon、Firewall Analyzer。然而，真正的解决方案是保持规则库的简单，将其限制为一个可管理的大小，并执行经常化的审计。

确认错误配置

在评估防火墙的策略时，需要考虑如下几个方面的问题：

这种设计考虑到增长了吗？

系统打了补丁并实施了测试吗？

这种策略提供了深度防御吗？这种体系结构考虑到了TCP/IP协议栈的所有层吗？

哪些通信准许进入网络？哪些通信准许从网络发出？所有进入或离开网络的通信应当得到准许。有一些规则和标准，如PCI的数据安全标准要求验证所有通信，但这是一个好方法，甚至在被采用的标准没有祥细说明时也是这样。