如何測試防火墻？這里的測試指的是旨在比較不同防火墻產(chǎn)品的黑箱測試。
筆者認為要把防火墻的安全功能放在首位，并考察產(chǎn)品在啟動安全防范情況下的性能。為什么這么說？一方面，防火墻首先是安全產(chǎn)品，對企業(yè)網(wǎng)的保護它應(yīng)該與時俱進（那些3年前就存在的只工作在網(wǎng)絡(luò)層的狀態(tài)檢測防火墻要加油啊！）。另一方面，作為企業(yè)網(wǎng)邊界的穿越產(chǎn)品，它不應(yīng)該產(chǎn)生太多額外的延遲和丟包。
就安全功能而言，有的產(chǎn)品涵蓋極廣，像那些集IPS、防毒、傳統(tǒng)防火墻于一身的"一體化"安全網(wǎng)關(guān)，測試它們短時間內(nèi)不可能面面俱到。如何操作呢，筆者有幾點體會：
1. 不一定采取很多攻擊手段。比如DoS攻擊，雖然有很多種，但對于防火墻來說，防御若干種DoS攻擊的設(shè)計原理是一樣的。所以在有限時間內(nèi)，挑選有代表性的幾種DoS攻擊應(yīng)該就可以看出防火墻這方面的能力；
2. 多個層面上的攻擊。目前，好的防火墻會針對從網(wǎng)絡(luò)層到應(yīng)用層的攻擊分門別類地進行防御。每個層面上的攻擊最好都檢查一下，不同層面的工作往往意味著防火墻能力革命性的變化。比如，網(wǎng)絡(luò)層的DoS攻擊、應(yīng)用層的腳本攻擊和P2P通信控制等。此外，隨著防火墻端口數(shù)目的增加，內(nèi)網(wǎng)用戶經(jīng)常使用的Windows網(wǎng)絡(luò)的安全性也有必要考察。
3. 支持動態(tài)協(xié)議的種類和準確性。最典型的就是VoIP的支持力度，包括多種拓撲以及雙向呼叫。模擬現(xiàn)實環(huán)境越充分，就越有可能發(fā)現(xiàn)防火墻存在的問題。
4. 攻擊測試過程中最好添加一定的背景流量。這主要是觀察防火墻的某項防御功能是否會引起正常流量的異常反應(yīng)。
5. 攻擊手段的混合。比如在防DoS攻擊情況下防火墻過濾HTTP蠕蟲的成功率有多大。
就性能而言，我想特別強調(diào)兩點：不能脫離安全去談性能，不能以偏蓋全。
僅添加了"permit any to any"情況下測試防火墻的性能，對于防火墻使用者來說很難將數(shù)據(jù)表現(xiàn)和實際環(huán)境聯(lián)系起來。從另外的角度來看，有些防火墻廠商以自己的產(chǎn)品達到64字節(jié)線速吞吐就宣稱是高性能，可是這個數(shù)據(jù)只的是64字節(jié)情況下的UDP吞吐量。這個數(shù)據(jù)對于用戶來說也是茫然的，畢竟在實際環(huán)境中，沒有純粹的UDP流量，TCP流對于防火墻來說反而意味著要做更多的工作。因此，性能的評價應(yīng)該多角度！而且盡可能的逼近用戶的實際環(huán)境。比如，不同包長的混合、TCP和UDP的混合、時延敏感型應(yīng)用如H.323與公文或網(wǎng)頁傳輸?shù)幕旌稀⑹欠裉砑庸舻鹊取?br>進兩年，目前的防火墻較之傳統(tǒng)的狀態(tài)檢測防火墻至少發(fā)生了兩個比較大的變化。一個是向應(yīng)用層防護大規(guī)模進軍，另一個是VPN功能逐漸成為基本組件。因此，針對VPN的測試也很有必要。不光是建立VPN隧道的性能，還有VPN網(wǎng)關(guān)及客戶端的兼容性以及一些VPN相關(guān)的功能，比如VPN內(nèi)部的流量管理。
對于防火墻的其他功能，比較顯著的是日志、認證方式以及對虛擬防火墻的支持等。另外，組網(wǎng)模式的改變也值得關(guān)注，比如，在針對DMZ區(qū)服務(wù)器進行的雙出口鏈路負載均衡中，各個防火墻支持的力度也有很大差異。在防火墻與IDS聯(lián)動這個問題上，我們發(fā)現(xiàn)，基本上防火墻都支持和某些IDS聯(lián)動，但據(jù)我們了解，很少有用戶關(guān)心這個問題并實際部署，IDS與防火墻聯(lián)動的確存在一些令用戶擔(dān)心的問題。