“选定与测试日志文件的内容特征”
当日志文件出现存放空间不足时,你需要设置防火墙系统自行反应策略。下面有几种相关的选择:
·防火墙系统关闭所有相关的外网连接。
·继续工作,新日志复写入原最旧的日志空间中。
·继续工作,但不作任何日志记录。
第一个选择是最安全但又不允许使用在防火墙系统上的。你可以尝试一下模拟防火墙系统在日志空间被全部占用时的运行状态,看看能否到达你所选择的预期效果。选择与测试适当的日志内容选项,这些选项包括:
·日志文件的路径(例如防火墙本地或远程机器的储存器)
·日志文件的存档时间段
·日志文件的清除时间段
“测试防火墙系统”
每一个相关联的故障都应该写入测试报告中去(看整个测试过程的第一步),尝试执行与模拟所有有可能发生的特定情况,并测试相应的舒缓策略与评估其影响的破坏指数。
“扫描缺陷”
使用一系列的缺陷(漏洞等等)探测工具扫描你的防火墙系统,看看有否探测出存在着已经被发现的缺陷类型。若探测工具探测出有此类缺陷的补丁存在,请安装之并重新进行扫描操作,这样可以确认缺陷已被消除。
“设计初步的渗透测试环境”
在正常工作的情况下,选定一个特定的测试情况集来进行渗透测试。这些需要参考的情况包括出入数据包是否已经被路由了、过滤、记录,且在此基础上确保一些特殊服务(WWW、email、FTP等等)也能在预期中进行此类处理。一旦需要到新的防火墙系统加入至正常的工作环境时,你可以在改变网络现状前选择使用一系列的测试来检验该改变是否会为正常的工作带来什么负面影响。
“准备把系统投入使用”
在你完成整个防火墙系统的测试之前你必须建立与记录一套‘密码’通信机制或其他的安全基准手段以便你能与防火墙系统进行安全的交流与管理。查阅相关信息可以看Detecting Signs of Intrusion[Allen 00],特定的实践可以参阅"Identify data that characterize systems and aid in detecting signs of suspicious behavior."。 在你完成测试过程时必须做一个配置选项列表的备份。查阅相关信息可以看Securing Desktop Workstations [Simmel 99],,特定的实践可以参阅"Configure computers for file backups."。
“准备进行监测任务”
监控网络的综合指数、吞吐量以及防火墙系统是确保你已经正确地配置安全策略并且这些安全策略在正常执行的唯一途径。确保你的安全策略、程序、工具等等资源处于必要的位置以便你能很好地监控你的网络与机器群,包括你的防火墙系统。
策略注意事项
你的组织/团队作防火墙/系统/网络等安全测试行为应该遵循以下:
·测试的防火墙系统必须在你能监控的环境下进行。
·防火墙系统在每次出现配置或结构更改时应该重新进行渗透测试。
·定期升级渗透测试组件用于测试防火墙系统的配置状况。
·定期升级与维护保护区中的各种应用程序、操作系统、常用组件与硬件。
·监控所有网络与系统,包括你的防火墙系统,这是非常有必要的。
“脚注”
①本文所提及的一些工具相关信息可以在“Identifying tools that aid in detecting signs of intrusion”一文与COAST Web site中找到。
②NFR可以查看http://www.nfr.com/。
③Shadow是U.S. Navy(R)所研发的入侵测试系统,其相关信息可以在http://www.sans.org/中找到。
