对于企业网络中的安全人员来说，并非部署上防火墙就万事大吉了，还需要定期的来测试你的防火墙是否还足够安全，然而防火墙测试并不是一件容易的事情，尤其在具有多个处理设备处理多个接口的环境中更是麻烦。本文介绍几个工具来帮助完成测试工作，比如规则分析工具、漏洞扫描等。

　　据经验丰富的安全专家建议，企业网络安全人员至少每个月要对防火墙进行一次测试，并将防火墙测试工作加入到防火墙修改管理过程中。

　　通过防火墙测试工作来确信防火墙实际能完成我们对它的预期任务，这个测试可能非常耗时和费力，但是借助于一些自动工具，可以让这个麻烦的任务变得轻松一些。

　　1、规则分析工具

　　在复杂的防火墙部署中，防火墙规则集可能会比较凌乱。随着时间的发展，这些规则集可能与安全策略脱轨，同时也有可能产生没有用的规则。

　　定期对防火墙规则进行审查可以解决这些问题。这种检查可以带来一些短期效益。例如有的管理员在调试一个新安装的应用程序时，加入了一条规则来允许所有通信通过，但是测试完成后却完了删除该规则。通过防火墙规则测试就可以发现这个被遗忘的防火墙规则。

　　另外，分析防火墙规则集还可以发现防火墙中自相矛盾的规则。举个例子来说，一个企业的过滤策略可能被用来在网络边界位置阻挡Windows网络端口。在网络架构区域，管理员可能在本地防火墙上设定了开放TCP端口135、139和445，另外还有UDP端口138，因为他们认为在边界设备上已经包含了这些端口的过滤。但是，这种做法有可能引入安全缺陷。

　　人们往往认为在网络边界进行了防护而放松在网络内部的防护，尽管没有人会去定制不安全的防火墙规则集，但是随着时间一长就有可能会出现问题。

　　用于防火墙分析和审计的商业工具有不少，例如AlgoSec的Firewall Analyzer，RedSeal的Security Risk Manager和Skybox公司的Firewall Compliance Auditor等。

　　其中AlgoSec Firewall Analyzer(AFA)可以自动探测防火墙策略中的安全漏洞。它可以完成更改管理、风险管理、自动审核和策略优化等功能。它可以发现未用的规则、重复规则、禁用规则和失效的规则。

　　AFA可以备份防火墙策略，然后进行离线分析，因此它不会影响防火墙的性能。

图1、AFA部署架构

　　AFA支持的防火墙厂商包括思科、Checkpoint和Juniper等业界知名厂商。

[1] [2] [3] [4] [5] 下一页