防火墙测试：从入门到精通

虽然近年来兴起了统一威胁管理等一体化的安全设备，但防火墙仍是许多单位的基本安全设备之一，那么，你的防火墙是否固若金汤呢？本文笔者将介绍审计或测试防火墙的概念。

首先，我们需要定义防火墙。防火墙是一个能够根据一套规则来控制两个网络之间的通信流的应用程序、设备、系统，也可能是具备这种功能的一组系统，它可以保护系统免受外部的及内部的威胁，将私有网络的敏感部分与不太敏感的区域分离开来，可以对传输敏感数据的内部网络或外部网络实施加密（在用作一个VPN端点时），或者将内部网络地址从外部网络中隐藏开来（网络地址转换）。防火墙获得边界路由器放行的通信，并进行彻底地通信过滤。防火墙有不同的类型，包括静态的数据包过滤器（例如，北电的Accelar路由器），正式防火墙（例如，思科的PIX）及代理防火墙等。

与路由器类似，防火墙使用多种过滤技术或方法来确保安全。这些方法包括数据包过滤、状态检测、代理或应用程序网关、深度数据检测。防火墙能够使用其中的一种方法，或者它可以将不同的方法组合起来形成恰当的强健配置。

测试防火墙的一种很好的方法是从防火墙的责任人那里收集信息。这些人可以是审计团队、系统管理员、网络管理员、策略团队、信息安全人员中的成员。其中的要点是要收集、比较每一个人关于防火墙应当具有的功能的理解，以及防火墙应当怎样配置才能满足网络和系统的要求。要获取任何现存的防火墙文档资料和网络图表，用以验证从被采访人那里获得的信息。理想情况下，防火墙是一种被设置来反映策略的控制机制。这就意味着在配置防火墙之前，必须首先建立相关的策略。可悲的是，很少有单位这样做。

在收集了上述的信息之后，审计人员可以进一步理解防火墙的架构，并决定防火墙是否正确地进行了配置，能够正确地对网络进行分段并实施信息保护。下一步是评估操作系统的配置。这就是防火墙自身的配置，所有的防火墙都拥有一个操作系统。有的厂商宣称防火墙只不过一个设备。其实，防火墙典型情况下只不过是一个被强化的操作系统。事实上，此设备可运行在一个精简的Unix系统上，或者是运行在一个被厂方定制的操作系统上，如思科的ASA。防火墙和路由器都是软件驱动的，其所做的工作就是使得代码更难于被看到。