圖1、AFA部署架構(gòu)

  AFA支持的防火墻廠商包括思科、Checkpoint和Juniper等業(yè)界知名廠商。

 

2、漏洞掃描

  安全專家表示,IT管理者還必須重視防火墻本身的安全性。

  這個(gè)任務(wù)的目的包括判斷防火墻是否一個(gè)弱安全性密碼,是否存在已知的安全漏洞。

  可供我們使用的安全工具有開(kāi)源的Nessus,Nessus是事實(shí)上的漏洞掃描器標(biāo)準(zhǔn)。實(shí)際上,許多商業(yè)軟件在他們的產(chǎn)品中使用了Nessus引擎,并且?guī)缀趺恳粋€(gè)主要的安全硬件供應(yīng)商都支持Nessus的掃描結(jié)果。

  Nessus目前有2個(gè)版本,一個(gè)開(kāi)源的Nessus 2.2.x版本,還有一個(gè)Nessus 3雖然不再是開(kāi)源的,但卻是免費(fèi)的,而且新版的Nessus 3.03已經(jīng)開(kāi)始支持Windows平臺(tái),大大降低了它的使用門(mén)檻。

圖2、Nessus

  另外,還有一些開(kāi)源工具也可以幫助我們實(shí)現(xiàn)防火墻測(cè)試,例如著名的Nmap,可以讓管理員從不同的方式掃描防火墻,發(fā)現(xiàn)開(kāi)放端口。另外人們常用的工具還有TCP/IP包分析工具h(yuǎn)ping。

 

3、數(shù)據(jù)包偵聽(tīng)

  針對(duì)防火墻的另一個(gè)測(cè)試工作是判斷是否有什么東西能夠穿過(guò)防火墻。在測(cè)試過(guò)程中,我們可以使用一個(gè)入侵檢測(cè)系統(tǒng)來(lái)作為報(bào)警機(jī)制。此外,數(shù)據(jù)包偵聽(tīng)工具可以分解數(shù)據(jù)包來(lái)看看其內(nèi)部信息。

  Wireshark(前身是Ethereal)就是這樣一個(gè)工具,它在捕獲和分析測(cè)試數(shù)據(jù)包方面非常有用。

  說(shuō)起Wireshark就不得不提Ethereal了,Ethereal和在Windows系統(tǒng)中常用的sniffer pro并稱網(wǎng)絡(luò)嗅探工具雙雄,不過(guò)和sniffer pro不同的是Ethereal在Linux類系統(tǒng)中應(yīng)用更為廣泛。而Wireshark軟件則是Ethereal的后續(xù)版本,他是在Ethereal被收購(gòu)后推出的最新網(wǎng)絡(luò)嗅探軟件,在功能上比前身更加強(qiáng)大。

圖3、Wireshark

  Darknet、Network Telescope、和Internet Motion Sensor這三個(gè)工具并非傳統(tǒng)的防火墻測(cè)試工具,不過(guò)在這兒我們也可以使用它們。例如我們可以把Darknet當(dāng)作一個(gè)內(nèi)部IDS來(lái)驗(yàn)證防火墻的策略。

  這些工具實(shí)際就是一些偵聽(tīng)工具,它們可以記錄下所有它們“看到”的數(shù)據(jù)包,然后將其記錄到一個(gè)日志文件中。通過(guò)分析/監(jiān)視這些日志文件中的外部IP地址,你可以確認(rèn)防火墻的策略是否起作用。

 

4、日志分析

  日志分析工具可以對(duì)防火墻進(jìn)行重要的檢查。這些工具可以把多個(gè)防火墻的日志匯聚起來(lái),讓管理員檢查不正常的行為。

  可以供我們使用的日志分析軟件有LogSurfer,LogSurfer是一個(gè)綜合日志分析工具。根據(jù)它發(fā)現(xiàn)的內(nèi)容,它能執(zhí)行各種動(dòng)作,包括告警、執(zhí)行外部程序,甚至將日志文件數(shù)據(jù)分塊并將它們送給外部命令或進(jìn)程處理。

  除了Logsufer外,其它此類工具還包括Webfwlog和WallFire項(xiàng)目的wflogs等。

圖4、Webfwlog演示

 

5、性能測(cè)試

  防火墻分析可以幫助IT管理者優(yōu)化防火墻規(guī)則集。例如,未使用的規(guī)則應(yīng)該被移除。規(guī)則集數(shù)量的減少可以減輕防火墻的負(fù)載。另外,提高那些高度使用的規(guī)則一方面可以保護(hù)企業(yè)的安全和風(fēng)險(xiǎn),同時(shí)也可以提高性能。

  除了規(guī)則集分析之外,諸如Iperf之類的性能工具還可以在防火墻測(cè)試中發(fā)揮自己的作用。

  Iperf 是一個(gè)網(wǎng)絡(luò)性能測(cè)試工具,可以測(cè)試TCP和UDP帶寬質(zhì)量。而測(cè)試一個(gè)防火墻的吞吐能力也是一件非常有價(jià)值的事情,尤其是在你驗(yàn)證防火墻廠商所宣稱的性能時(shí)。

圖5、Iperf測(cè)試結(jié)果

  總結(jié):

  防火墻的維護(hù)管理是一件非常重要的工作,利用上面所介紹的工具,你可以經(jīng)常查看你的防火墻是否存在安全缺陷,是否能夠提供用戶所需的服務(wù),以及防火墻的性能是否存在影響因素等,然后根據(jù)實(shí)際情況相應(yīng)的做出維護(hù)措施。

分享到

yajing

相關(guān)推薦