圖1、AFA部署架構(gòu)

　　AFA支持的防火墻廠商包括思科、Checkpoint和Juniper等業(yè)界知名廠商。

2、漏洞掃描

　　安全專家表示，IT管理者還必須重視防火墻本身的安全性。

　　這個任務的目的包括判斷防火墻是否一個弱安全性密碼，是否存在已知的安全漏洞。

　　可供我們使用的安全工具有開源的Nessus，Nessus是事實上的漏洞掃描器標準。實際上，許多商業(yè)軟件在他們的產(chǎn)品中使用了Nessus引擎，并且?guī)缀趺恳粋€主要的安全硬件供應商都支持Nessus的掃描結(jié)果。

　　Nessus目前有2個版本，一個開源的Nessus 2.2.x版本，還有一個Nessus 3雖然不再是開源的，但卻是免費的，而且新版的Nessus 3.03已經(jīng)開始支持Windows平臺，大大降低了它的使用門檻。

圖2、Nessus

　　另外，還有一些開源工具也可以幫助我們實現(xiàn)防火墻測試，例如著名的Nmap，可以讓管理員從不同的方式掃描防火墻，發(fā)現(xiàn)開放端口。另外人們常用的工具還有TCP/IP包分析工具hping。

3、數(shù)據(jù)包偵聽

　　針對防火墻的另一個測試工作是判斷是否有什么東西能夠穿過防火墻。在測試過程中，我們可以使用一個入侵檢測系統(tǒng)來作為報警機制。此外，數(shù)據(jù)包偵聽工具可以分解數(shù)據(jù)包來看看其內(nèi)部信息。

　　Wireshark(前身是Ethereal)就是這樣一個工具，它在捕獲和分析測試數(shù)據(jù)包方面非常有用。

　　說起Wireshark就不得不提Ethereal了，Ethereal和在Windows系統(tǒng)中常用的sniffer pro并稱網(wǎng)絡(luò)嗅探工具雙雄，不過和sniffer pro不同的是Ethereal在Linux類系統(tǒng)中應用更為廣泛。而Wireshark軟件則是Ethereal的后續(xù)版本，他是在Ethereal被收購后推出的最新網(wǎng)絡(luò)嗅探軟件，在功能上比前身更加強大。

圖3、Wireshark

　　Darknet、Network Telescope、和Internet Motion Sensor這三個工具并非傳統(tǒng)的防火墻測試工具，不過在這兒我們也可以使用它們。例如我們可以把Darknet當作一個內(nèi)部IDS來驗證防火墻的策略。

　　這些工具實際就是一些偵聽工具，它們可以記錄下所有它們“看到”的數(shù)據(jù)包，然后將其記錄到一個日志文件中。通過分析/監(jiān)視這些日志文件中的外部IP地址，你可以確認防火墻的策略是否起作用。

4、日志分析

　　日志分析工具可以對防火墻進行重要的檢查。這些工具可以把多個防火墻的日志匯聚起來，讓管理員檢查不正常的行為。

　　可以供我們使用的日志分析軟件有LogSurfer，LogSurfer是一個綜合日志分析工具。根據(jù)它發(fā)現(xiàn)的內(nèi)容，它能執(zhí)行各種動作，包括告警、執(zhí)行外部程序，甚至將日志文件數(shù)據(jù)分塊并將它們送給外部命令或進程處理。

　　除了Logsufer外，其它此類工具還包括Webfwlog和WallFire項目的wflogs等。

圖4、Webfwlog演示

5、性能測試

　　防火墻分析可以幫助IT管理者優(yōu)化防火墻規(guī)則集。例如，未使用的規(guī)則應該被移除。規(guī)則集數(shù)量的減少可以減輕防火墻的負載。另外，提高那些高度使用的規(guī)則一方面可以保護企業(yè)的安全和風險，同時也可以提高性能。

　　除了規(guī)則集分析之外，諸如Iperf之類的性能工具還可以在防火墻測試中發(fā)揮自己的作用。

　　Iperf 是一個網(wǎng)絡(luò)性能測試工具，可以測試TCP和UDP帶寬質(zhì)量。而測試一個防火墻的吞吐能力也是一件非常有價值的事情，尤其是在你驗證防火墻廠商所宣稱的性能時。

圖5、Iperf測試結(jié)果

　　總結(jié)：

　　防火墻的維護管理是一件非常重要的工作，利用上面所介紹的工具，你可以經(jīng)常查看你的防火墻是否存在安全缺陷，是否能夠提供用戶所需的服務，以及防火墻的性能是否存在影響因素等，然后根據(jù)實際情況相應的做出維護措施。

yajing