搜索
由繁至简的炒股秘籍股票配资送值得信赖我出资你炒股赚大钱自己操盘配资财源滚滚
查看: 2526|回复: 1

系统安全 三步测试防火墙

[复制链接]

签到天数: 2200 天

无影无棕学术交流家园大盘不是我家开的市场翘望股市捉妖记金融群英会

发表于 2012-5-25 08:54 | 显示全部楼层

系统安全 三步测试防火墙

来自:MACD论坛(bbs.macd.cn) 作者:淡淡体味 浏览:2526 回复:1

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
最近我从测试一家公司的防火墙中学到一点:不要相信任何厂商声称的任何事情,除非你已经亲自测试过产品。这意味着那些“应该有效”或是“过去有效”的事情可能根本不管用,或者不像你期望地那样运转。在本文中我将讨论如何测试防火墙,你应该实施的三种类型防火墙测试、以及令人意外:对于确保为你的组织选择最好的防火墙,测试类型并不重要。

测试防火墙的过程可以划分成三个截然不同的阶段:主观性的评价、缓解威胁的有效性以及性能测试。

测试防火墙:主观性评价

你的主观性评价应该基于一个标准列表,而不是功能列表。评审防火墙的每个部分,例如如何定义规则、如何建立VPN隧道、远程访问如何工作,以及威胁缓解功能是如何分层构建于产品之上。记录你的调查结果,并且在你的笔记中添加许多截图。否则在你测试防火墙A时看起来明显的东西,六周后当你评审防火墙G时,回顾那些调查结果可能会让你感到不解。对你评价的每个标准都做好笔记。

测试防火墙:有效性测试

没有专门的工具很难进行有效性测试,并且即使你拥有专门的工具,你可能无法得到好的结果。有效性测试应该关注于三个领域:入侵预防、防恶意软件和应用识别。

对于入侵预防系统(intrusion prevention system ,简称IPS)测试,如果需要的话你可以购买或是租用一些工具,但是你应该能够让每个防火墙厂商运行你指定的测试,虽然通常他们拥有同样的工具。

对于应用识别测试,选取你最关心的应用,并且对真实的服务器进行测试。如果你想阻断点到点(P2P)的文件共享软件,启动一些不同的Torrent客户端然后观察会发生什么。对于诸如webmail或是Facebook这样的应用也要做同样的测试,它们都是应用识别与控制测试的首要候选。不用尝试自动化的测试工具,因为测试结果永远不会像真实的应用和真实的服务器通信那样精确。这点对于那些逃避检测的应用特别准,用测试工具永远无法完美地模拟它们的通信。

测试防火墙:评估性能

性能测试通常也要求专门的工具,但是已经有很多广受人欢迎的开源工具可供选择。当测试性能时记住用空设备检查试验台的测试,一个路由器或是转接线就不错。这会告诉你试验台的最大速度。从这里开始,要牢记于心网络测试员David Newman的测试定律:测试必须是可重复的,必须是压力性的(对于设备来说,不是对你),必须是有意义的。将你正在测试的设备发挥到它的极限,即使你不会在实际运行中达到那种程度。这会告诉你未来会在哪里碰壁,以及设备有多少使用上升空间。

不要在一千种不同的环境下测试性能,因为你的网络只会遇到一种环境:现实。尝试构建代表你的网络和使用情况状况的小环境,并且对同等配置的防火墙进行测试。因为大多数防火墙的大部分工作就是处理HTTP和HTTPS流量,你就放心专注于测试它们。增加额外3%左右的DNS流量会使测试更为复杂,并且通常不会告诉你任何有用的东西。

性能测试必须有“通过/失败”这样的指标。例如,当防火墙开始拒绝打开新的会话时,应该结束测试因为已经超出了它的极限。你应该也设置其它的上限,例如最大的延迟时间,来定义什么时候防火墙的表现是无法接受的。

完成这三种类型的测试,你会清楚地明白适合组织的最佳防火墙产品。
金币:
奖励:
热心:
注册时间:
2004-9-16

回复 使用道具 举报

发表于 2012-5-26 18:37 | 显示全部楼层
恩恩不错的文章顶一下
金币:
奖励:
热心:
注册时间:
2012-5-24

回复 使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

本站声明:1、本站所有广告均与MACD无关;2、MACD仅提供交流平台,网友发布信息非MACD观点与意思表达,因网友发布的信息造成任何后果,均与MACD无关。
MACD俱乐部(1997-2019)官方域名:macd.cn   MACD网校(2006-2019)官方域名:macdwx.com
值班热线[9:00—17:30]:18292674919   24小时网站应急电话:18292674919
找回密码、投诉QQ:89918815 友情链接QQ:95008905 广告商务联系QQ:17017506 电话:18292674919
增值电信业务经营许可证: 陕ICP19026207号—2  陕ICP备20004035号

举报|意见反馈|Archiver|手机版|小黑屋|MACD俱乐部 ( 陕ICP备20004035号 )

GMT+8, 2024-3-28 19:21 , Processed in 2.392547 second(s), 8 queries , Redis On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表