這次測(cè)試的目的是為了知道防火墻是否想我們想象中的意圖來工作的。在此之前你必須:

1、制定一個(gè)完整的測(cè)試計(jì)劃，測(cè)試的意圖主要集中在路由、包過濾、日志記錄與警報(bào)的性能上

2、測(cè)試當(dāng)防火墻系統(tǒng)處于非正常工作狀態(tài)時(shí)的恢復(fù)防御方案

3、設(shè)計(jì)你的初步測(cè)試組件

其中比較重要的的測(cè)試包括:

1、硬件測(cè)試(處理器、內(nèi)外儲(chǔ)存器、網(wǎng)絡(luò)接口等等)

2、操作系統(tǒng)軟件(引導(dǎo)部分、控制臺(tái)訪問等等)

3、防火墻軟件

4、網(wǎng)絡(luò)互聯(lián)設(shè)備(CABLES、交換機(jī)、集線器等等)

5、防火墻配置軟件

-路由型規(guī)則

-包過濾規(guī)則與關(guān)聯(lián)日志、警報(bào)選項(xiàng)

為什么說這些是比較重要的呢？

測(cè)試與效驗(yàn)?zāi)愕姆阑饓ο到y(tǒng)有利于提高防火墻的工作效率，使其發(fā)揮令你滿意的效果。你必須了解每個(gè)系統(tǒng)組件有可能出現(xiàn)的錯(cuò)誤與各種錯(cuò)誤的恢復(fù)處理技術(shù)。一旦在你的規(guī)劃下有防火墻系統(tǒng)出現(xiàn)非工作狀態(tài)，這就需要你及時(shí)去進(jìn)行恢復(fù)處理了。

造成防火墻系統(tǒng)出現(xiàn)突破口的最常見原因就是你的防火墻配置問題。要知道，你需要在所有的測(cè)試項(xiàng)目之前做一個(gè)全面的針對(duì)配置的測(cè)試(例如路由功能、包過濾、日志處理能力等)。

應(yīng)該怎么去做？

“建立一個(gè)測(cè)試計(jì)劃”

你需要在做一個(gè)計(jì)劃，讓系統(tǒng)本身去測(cè)試防火墻系統(tǒng)與策略的執(zhí)行情況，然后測(cè)試系統(tǒng)的執(zhí)行情況。

1、建立一個(gè)所有可替代的系統(tǒng)組件的列表，用來記錄一些會(huì)導(dǎo)致防火墻系統(tǒng)出錯(cuò)的敏感故障。

2、為每一個(gè)組件建立一個(gè)簡短的特征說明列表列表，用語闡述其對(duì)防火墻系統(tǒng)運(yùn)作的影響。不必理會(huì)這些影響對(duì)防火墻系統(tǒng)的損害類型與程度和其可能發(fā)生的系數(shù)高低。

3、為每一個(gè)關(guān)聯(lián)的故障類型

-設(shè)計(jì)一個(gè)特定的情況或某個(gè)指標(biāo)去模擬它

-設(shè)計(jì)一個(gè)緩沖方案去削弱它對(duì)系統(tǒng)的沖擊性破壞

打比方一個(gè)測(cè)試的特定情況是運(yùn)行防火墻軟件的主機(jī)系統(tǒng)出現(xiàn)不可替換的硬件問題時(shí)，且這個(gè)硬件將會(huì)影響到信息通信的樞紐問題，例如網(wǎng)絡(luò)適配器損壞，模仿這類型的故障可以簡單地拔出該網(wǎng)絡(luò)接口。

至于防御/恢復(fù)策略的例子可以是做好一整套的后備防火墻系統(tǒng)。當(dāng)信息包出現(xiàn)延誤等問題時(shí)在最短的時(shí)間內(nèi)將機(jī)器替換。

測(cè)試一個(gè)策略在系統(tǒng)中的運(yùn)作情況是很困難的。用盡方法去測(cè)試IP包過濾設(shè)置是不可行的；這樣可能出現(xiàn)很多種情況。我們推崇你使用分界測(cè)試(分部測(cè)試)來取代總體測(cè)試。在這些測(cè)試上，你必須確定你實(shí)施的包過濾規(guī)則與每個(gè)分塊之間的分界線。這樣你需要做到:

·為每個(gè)規(guī)則定義一個(gè)邊界規(guī)則。通常，每個(gè)規(guī)則的必要參數(shù)都會(huì)有一個(gè)或兩個(gè)邊界點(diǎn)的。在這個(gè)區(qū)域里將會(huì)被劃分為一個(gè)多面型的包特征區(qū)。通常劃分的特征包括:通信協(xié)議、源地址、目標(biāo)地址、源端口、目標(biāo)端口等?；旧?，每種包特征都可以獨(dú)立地去配對(duì)包過濾規(guī)則在區(qū)域里所定義的數(shù)值尺度。例如，其中一個(gè)規(guī)則允許TCP包從任何主機(jī)發(fā)送到你的WEB服務(wù)器的80端口，這個(gè)例子使用了三個(gè)配對(duì)特征(協(xié)議、目標(biāo)地址、目標(biāo)端口)，在這個(gè)實(shí)例中也將一個(gè)特征區(qū)劃分成三個(gè)區(qū)域:TCP包到WEB服務(wù)器低于80端口、等于80端口、大于80端口。

·你必須為每一個(gè)已經(jīng)設(shè)置好的區(qū)域做一些信息交換的測(cè)試。確認(rèn)一下這些特定的區(qū)域能否正常地通過與拒絕所有的信息交換。做一個(gè)單獨(dú)的區(qū)域，在區(qū)域中拒絕或者通過所有的信息交換；這樣做的目的是為了劃分包特征通信的區(qū)域問題。

作為一個(gè)綜合性的規(guī)則群，它可以是一種比較單一的處理機(jī)制，并且有可能是沒有被應(yīng)用過的。若是沒有被應(yīng)用過的規(guī)則群，這要求一群人去反復(fù)審核它們的存在性并要求有人能夠說出每一個(gè)規(guī)則所需要實(shí)施的意義。

整個(gè)測(cè)試計(jì)劃包括案例測(cè)試、配置測(cè)試、與期待目標(biāo):

·測(cè)試路由配置、包過濾規(guī)則(包括特殊服務(wù)的測(cè)試)、日志功能與警報(bào)

·測(cè)試防火墻系統(tǒng)整體性能(例如硬/軟件故障恢復(fù)、足夠的日志存儲(chǔ)容量、日志檔案的容錯(cuò)性、監(jiān)視追蹤器的性能問題)

·嘗試在正?；虿徽＿@兩種情況下進(jìn)行的測(cè)試

同樣你也需要記錄你在測(cè)試中打算使用的工具(掃描器、監(jiān)測(cè)器、還有漏洞/攻擊探測(cè)工具)，并且相應(yīng)地測(cè)試一下它們的性能。