对防火墙安全性测试并不是一件容易的事情 , 尤其在具有多个处理设备处理多个接口的环境中更是繁琐复杂 。本文介绍几个工具来帮助完成测试工作 , 比如规则分析工具、漏洞扫描等 。
跟据国内经验丰富的安全专家建议 , 企事业单位网络安全人员应该要定期对网内的所有防火墙进行一次安全性测试 , 并将防火墙测试工作加入到防火墙修改管理过程中 。
通过防火墙测试工作来确信防火墙实际能完成我们对它的预期任务 , 这个测试可能非常耗时和费力 , 但是借助于一些自动工具 , 可以让这个麻烦的任务变得轻松一些 。
1、规则分析工具在复杂的防火墙部署中 , 防火墙规则集可能会比较凌乱 。随着时间的发展 , 这些规则集可能与安全策略脱轨 , 同时也有可能产生没有用的规则 。
【测试你防火墙是否安全】定期对防火墙规则进行审查可以解决这些问题 。这种检查可以带来一些短期效益 。例如有的管理员在调试一个新安装的应用程序时 , 加入了一条规则来允许所有通信通过 , 但是测试完成后却完了删除该规则 。通过防火墙规则测试就可以发现这个被遗忘的防火墙规则 。
另外 , 分析防火墙规则集还可以发现防火墙中自相矛盾的规则 。举个例子来说 , 一个企业的过滤策略可能被用来在网络边界位置阻挡Windows网络端口 。在网络架构区域 , 管理员可能在本地防火墙上设定了开放TCP端口135、139和445 , 另外还有UDP端口138 , 因为他们认为在边界设备上已经包含了这端口的过滤 。但是 , 这种做法有可能引入安全缺陷 。
人们往往认为在网络边界进行了防护而放松在网络内部的防护 , 尽管没有人会去定制不安全的防火墙规则集 , 但是随着时间一长就有可能会出现问题 。
用于防火墙分析和审计的商业工具有不少 , 例如AlgoSec的Firewall Analyzer , RedSeal的Security Risk Manager和Skybox公司的Firewall Compliance Auditor等 。
其中AlgoSec Firewall Analyzer(AFA)可以自动探测防火墙策略中的安全漏洞 。它可以完成更改管理、风险管理、自动审核和策略优化等功能 。它可以发现未用的规则、重复规则、禁用规则和失效的规则 。
AFA可以备份防火墙策略 , 然后进行离线分析 , 因此它不会影响防火墙的性能 。AFA支持的防火墙厂商包括思科、Checkpoint和Juniper等业界知名厂商 。
2、漏洞扫描安全专家表示 , IT管理者还必须重视防火墙本身的安全性 。
这个任务的目的包括判断防火墙是否一个弱安全性密码 , 是否存在已知的安全漏洞 。
可供我们使用的安全工具有开源的Nessus , Nessus是事实上的漏洞扫描器标准 。实际上 , 许多商业软件在他们的产品中使用了Nessus引擎 , 并且几乎每一个主要的安全硬件供应商都支持Nessus的扫描结果 。
Nessus目前有2个版本 , 一个开源的Nessus 2.2.x版本 , 还有一个Nessus 3虽然不再是开源的 , 但却是免费的 , 而且新版的Nessus 3.03已经开始支持Windows平台 , 大大降低了它的使用门槛 。
另外 , 还有一些开源工具也可以帮助我们实现防火墙测试 , 例如著名的Nmap , 可以让管理员从不同的方式扫描防火墙 , 发现开放端口 。另外人们常用的工具还有TCP/IP包分析工具hping 。
3、数据包侦听针对防火墙的另一个测试工作是判断是否有什么东西能够穿过防火墙 。在测试过程中 , 我们可以使用一个入侵检测系统来作为报警机制 。此外 , 数据包侦听工具可以分解数据包来看看其内部信息 。
Wireshark(前身是Ethereal)就是这样一个工具 , 它在捕获和分析测试数据包方面非常有用 。
推荐阅读
- 你与妳的区别
- vivoz3中拦截短信的操作教程
- 解决硬盘中毒双击无法打开问题
- 粘纤缩水吗
- 解析如何评估并部署Web应用防火墙
- 教你清空Dr.Web在注册表中的项目
- 教你如何安装手摇晾衣架的方法
- 三洋SCP-588的演示动画匹配测试
- 支付宝脸盲测试怎么玩?
- 支付宝脸盲测试在哪里?