如何測試防火牆

來源:互聯網
上載者:User

  如何測試防火牆?這裡的測試指的是旨在比較不同防火牆產品的黑箱測試。

  筆者認為要把防火牆的安全功能放在首位,並考察產品在啟動安全防範情況下的效能。為什麼這麼說?一方面,防火牆首先是安全產品,對企業網的保護它應該與時俱進(那些3年前就存在的只工作在網路層的狀態檢測防火牆要加油啊!)。另一方面,作為企業網邊界的穿越產品,它不應該產生太多額外的延遲和丟包。

  就安全功能而言,有的產品涵蓋極廣,像那些集IPS、防毒、傳統防火牆於一身的"一體化"安全網關,測試它們短時間內不可能面面俱到。如何操作呢,筆者有幾點體會:

  1. 不一定採取很多攻擊手段。比如DoS攻擊,雖然有很多種,但對於防火牆來說,防禦若干種DoS攻擊的設計原理是一樣的。所以在有限時間內,挑選有代表性的幾種DoS攻擊應該就可以看出防火牆這方面的能力;

  2. 多個層面上的攻擊。目前,好的防火牆會針對從網路層到應用程式層的攻擊分門別類地進行防禦。每個層面上的攻擊最好都檢查一下,不同層面的工作往往意味著防火牆能力革命性的變化。比如,網路層的DoS攻擊、應用程式層的指令碼攻擊和P2P通訊控制等。此外,隨著防火牆連接埠數目的增加,內網使用者經常使用的Windows網路的安全性也有必要考察。

  3. 支援動態協議的種類和準確性。最典型的就是VoIP的支援力度,包括多種拓撲以及雙向呼叫。類比現實環境越充分,就越有可能發現防火牆存在的問題。

  4. 攻擊測試過程中最好添加一定的背景流量。這主要是觀察防火牆的某項防禦功能是否會引起正常流量的異常反應。

  5. 攻擊手段的混合。比如在防DoS攻擊情況下防火牆過濾HTTP蠕蟲的成功率有多大。

  就效能而言,我想特彆強調兩點:不能脫離安全去談效能,不能以偏蓋全。

  僅添加了"permit any to any"情況下測試防火牆的效能,對於防火牆使用者來說很難將資料表現和實際環境聯絡起來。從另外的角度來看,有些防火牆廠商以自己的產品達到64位元組線速吞吐就宣稱是高效能,可是這個資料只的是64位元組情況下的UDP輸送量。這個資料對於使用者來說也是茫然的,畢竟在實際環境中,沒有純粹的UDP流量,TCP流對於防火牆來說反而意味著要做更多的工作。因此,效能的評價應該多角度!而且儘可能的逼近使用者的實際環境。比如,不同包長的混合、TCP和UDP的混合、時延敏感型應用如H.323與公文或網頁傳輸的混合、是否添加攻擊等等。

  進兩年,目前的防火牆較之傳統的狀態檢測防火牆至少發生了兩個比較大的變化。一個是嚮應用層防護大規模進軍,另一個是VPN功能逐漸成為基本組件。因此,針對VPN的測試也很有必要。不光是建立VPN隧道的效能,還有VPN網關及用戶端的相容性以及一些VPN相關的功能,比如VPN內部的流量管理。

  對於防火牆的其他功能,比較顯著的是日誌、認證方式以及對虛擬防火牆的支援等。另外,組網模式的改變也值得關注,比如,在針對DMZ區伺服器進行的雙出口鏈路負載平衡中,各個防火牆支援的力度也有很大差異。在防火牆與IDS聯動這個問題上,我們發現,基本上防火牆都支援和某些IDS聯動,但據我們瞭解,很少有使用者關心這個問題並實際部署,IDS與防火牆聯動的確存在一些令使用者擔心的問題。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。