“在你的实施环境中测试防火墙系统的功能”
在这个步骤你必须把环境从单层次的体系结构演变为多层次的体系结构。这个步骤也同样需要你设定一个联合有一个或几个私网与公网的网络拓扑环境。在公网主要是定义为向内网进行如WWW(HTTP)、FTP、email(SMTP)、DNS这样的请求的应答,有时也会向内网提供诸如SNMP、文件访问、登陆等的服务的。在公网里你的主机也可以被描述为DMZ(非军事区)。在内网则被定义为内网各用户的工作站。详细图表可以看。
测试执行的步骤应该遵循:
·把你的防火墙系统连接到内外网的拓扑之中。
·设置内外网主机的路由配置,使其能通过防火墙系统进行通信。
这一步的选择是建立在一个service-by-service的基础上,例如,一台在公网的WEB服务器有可能要去访问某台在私网的某台主机上的一个文件。围绕着这类型的服务还有WEB、文件访问、DNS、mail、远程登陆详细图则可以参照。
·测试防火墙系统能否记录‘进入’或者‘外出’的网络通信。你可以使用扫描器与网络嗅探器来确认一下这一点。
·确认应该被堵塞(拒绝)的包被堵塞了。比方说,如果所有的UDP包被设置为被堵塞,要确认没有一个UDP包通过了。还有确认被设置为通过或脱离(允许)的包被通过和脱离了。你可以通过防火墙的日志与扫描
器的分析来得到这些实验的结果。
·仔细地扫描你的网络内的所有主机(包括防火墙系统)。检查你扫描的包是否被堵塞,从而确认你不能从中得到任何数据信息。尝试使用特定的‘认证端口’(如使用FTP的20端口)发送包去扫描各端口的存活情况,看看这样能不能脱离防火墙的规则限制。
·你可以把入侵测试系统安装在你的虚拟网络环境或现实网络环境中,帮助你了解与测试你的包过滤规则能否保护你的系统与网络对抗现有的攻击行为。要做到这样你将需要在基本的规划上运行这一类的工具并定期分析结果。当然,你可以将这一步的测试工作推迟到你完全地配置后整个新的防火墙系统之后。
·检查一下包过滤规则中日志选项参数,测试一下日志功能是否在所有网络通信中能像预期中工作。
·测试一下在所有网络通信中出现预定警报时是否有特定的通知信号目的者(如防火墙系统管理员)与特殊的行动(页面显示与EMAIL通知)。
你不可以把测试路由功能的工作放在连接防火墙系统至你的外网接口之后[请查阅“9. Install the firewall system.”(http://www.cert.org/security-improvement/practices/p061.html)与“10. Phase the firew-allsystemintooperation.”(http://www.cert.org/security-improvement/practices/p063.html)]。
最后,你应该先把新的防火墙系统安装在内网,并配置通过,然后再接上外网接口。为了降低最后阶段测试所带来的风险,管理员可以在内网连上少量的机器(主管理机器群与防火墙系统),当测试通过后才逐步增加内网的机器数目。
