欢迎来到天天文库
浏览记录
ID:40121851
大小:224.51 KB
页数:6页
时间:2019-07-22
《防火墙测试方法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、你的防火墙还安全吗 对于企业网络中的安全人员来说,并非部署上防火墙就万事大吉,还需要定期的来测试你的防火墙是否还足够安全,然而防火墙测试并不是一件容易的事情,尤其在具有多个处理设备处理多个接口的环境中更是麻烦。本文介绍几个工具来帮助完成测试工作,比如规则分析工具、漏洞扫描等。 据经验丰富的安全专家建议,企业网络安全人员至少每个月要对防火墙进行一次测试,并将防火墙测试工作加入到防火墙修改管理过程中。 通过防火墙测试工作来确信防火墙实际能完成我们对它的预期任务,这个测试可能非常耗时和费力,但是借助于一些自动工具,可以让这个麻烦的任务变得轻松一些。 1、规则分析工具 在复杂
2、的防火墙部署中,防火墙规则集可能会比较凌乱。随着时间的发展,这些规则集可能与安全策略脱轨,同时也有可能产生没有用的规则。 定期对防火墙规则进行审查可以解决这些问题。这种检查可以带来一些短期效益。例如有的管理员在调试一个新安装的应用程序时,加入了一条规则来允许所有通信通过,但是测试完成后却完了删除该规则。通过防火墙规则测试就可以发现这个被遗忘的防火墙规则。 另外,分析防火墙规则集还可以发现防火墙中自相矛盾的规则。举个例子来说,一个企业的过滤策略可能被用来在网络边界位置阻挡Windows网络端口。在网络架构区域,管理员可能在本地防火墙上设定了开放TCP端口135、139和445,
3、另外还有UDP端口138,因为他们认为在边界设备上已经包含了这些端口的过滤。但是,这种做法有可能引入安全缺陷。 人们往往认为在网络边界进行了防护而放松在网络内部的防护,尽管没有人会去定制不安全的防火墙规则集,但是随着时间一长就有可能会出现问题。 用于防火墙分析和审计的商业工具有不少,例如AlgoSec的FirewallAnalyzer,RedSeal的SecurityRiskManager和Skybox公司的FirewallComplianceAuditor等。 其中AlgoSecFirewallAnalyzer(AFA)可以自动探测防火墙策略中的安全漏洞。它可以完成更改管
4、理、风险管理、自动审核和策略优化等功能。它可以发现未用的规则、重复规则、禁用规则和失效的规则。 AFA可以备份防火墙策略,然后进行离线分析,因此它不会影响防火墙的性能。图1、AFA部署架构 AFA支持的防火墙厂商包括思科、Checkpoint和Juniper等业界知名厂商。 2、漏洞扫描 安全专家表示,IT管理者还必须重视防火墙本身的安全性。 这个任务的目的包括判断防火墙是否一个弱安全性密码,是否存在已知的安全漏洞。 可供我们使用的安全工具有开源的Nessus,Nessus是事实上的漏洞扫描器标准。实际上,许多商业软件在他们的产品中使用了Nessus引擎,并且几乎每
5、一个主要的安全硬件供应商都支持Nessus的扫描结果。 Nessus目前有2个版本,一个开源的Nessus2.2.x版本,还有一个Nessus3虽然不再是开源的,但却是免费的,而且新版的Nessus3.03已经开始支持Windows平台,大大降低了它的使用门槛。图2、Nessus 另外,还有一些开源工具也可以帮助我们实现防火墙测试,例如著名的Nmap,可以让管理员从不同的方式扫描防火墙,发现开放端口。另外人们常用的工具还有TCP/IP包分析工具hping。 3、数据包侦听 针对防火墙的另一个测试工作是判断是否有什么东西能够穿过防火墙。在测试过程中,我们可以使用一个入侵检
6、测系统来作为报警机制。此外,数据包侦听工具可以分解数据包来看看其内部信息。 Wireshark(前身是Ethereal)就是这样一个工具,它在捕获和分析测试数据包方面非常有用。 说起Wireshark就不得不提Ethereal了,Ethereal和在Windows系统中常用的snifferpro并称网络嗅探工具双雄,不过和snifferpro不同的是Ethereal在Linux类系统中应用更为广泛。而Wireshark软件则是Ethereal的后续版本,他是在Ethereal被收购后推出的最新网络嗅探软件,在功能上比前身更加强大。图3、Wireshark Darknet、N
7、etworkTelescope、和InternetMotionSensor这三个工具并非传统的防火墙测试工具,不过在这儿我们也可以使用它们。例如我们可以把Darknet当作一个内部IDS来验证防火墙的策略。 这些工具实际就是一些侦听工具,它们可以记录下所有它们“看到”的数据包,然后将其记录到一个日志文件中。通过分析/监视这些日志文件中的外部IP地址,你可以确认防火墙的策略是否起作用。 4、日志分析 日志分析工具可以对防火墙进行重要的检查。这些工具可以把多个防火墙的日志汇聚
此文档下载收益归作者所有