防火墙维护测试 加固网络安全

核心提示： Wireshark(前身是Ethereal)就是这样一个工具，它在捕获和分析测试数据包方面非常有用，防火墙维护测试 加固网络安全(3)，说起Wireshark就不得不提Ethereal了，Ethereal和在Windows系统中常用的sniffer pro并称网络嗅探工具双雄，是否能够提供

Wireshark(前身是Ethereal)就是这样一个工具，它在捕获和分析测试数据包方面非常有用。

说起Wireshark就不得不提Ethereal了，Ethereal和在Windows系统中常用的sniffer pro并称网络嗅探工具双雄，不过和sniffer pro不同的是Ethereal在Linux类系统中应用更为广泛。而Wireshark软件则是Ethereal的后续版本，他是在Ethereal被收购后推出的最新网络嗅探软件，在功能上比前身更加强大。

图3、Wireshark

Darknet、Network Telescope、和Internet Motion Sensor这三个工具并非传统的防火墙测试工具，不过在这儿我们也可以使用它们。例如我们可以把Darknet当作一个内部IDS来验证防火墙的策略。

这些工具实际就是一些侦听工具，它们可以记录下所有它们“看到”的数据包，然后将其记录到一个日志文件中。通过分析/监视这些日志文件中的外部IP地址，你可以确认防火墙的策略是否起作用。

4、日志分析

日志分析工具可以对防火墙进行重要的检查。这些工具可以把多个防火墙的日志汇聚起来，让管理员检查不正常的行为。

可以供我们使用的日志分析软件有LogSurfer，LogSurfer是一个综合日志分析工具。根据它发现的内容，它能执行各种动作，包括告警、执行外部程序，甚至将日志文件数据分块并将它们送给外部命令或进程处理。

除了Logsufer外，其它此类工具还包括Webfwlog和WallFire项目的wflogs等。

图4、Webfwlog演示

5、性能测试

防火墙分析可以帮助IT管理者优化防火墙规则集。例如，未使用的规则应该被移除。规则集数量的减少可以减轻防火墙的负载。另外，提高那些高度使用的规则一方面可以保护企业的安全和风险，同时也可以提高性能。

除了规则集分析之外，诸如Iperf之类的性能工具还可以在防火墙测试中发挥自己的作用。

Iperf 是一个网络性能测试工具，可以测试TCP和UDP带宽质量。而测试一个防火墙的吞吐能力也是一件非常有价值的事情，尤其是在你验证防火墙厂商所宣称的性能时。

图5、Iperf测试结果

总结：

防火墙的维护管理是一件非常重要的工作，利用上面所介绍的工具，你可以经常查看你的防火墙是否存在安全缺陷，是否能够提供用户所需的服务，以及防火墙的性能是否存在影响因素等，然后根据实际情况相应的做出维护措施。