全方位加固 打造高效牢固的防火墙

　　【IT专家网独家】防火墙在现今病毒横行的时代变得愈加重要，但是你的防火墙仍然是安全的吗?很多专家建议至少每月一次对你防火墙进行检测。我们需要一套严格的测试来确保防火墙是否起作用。这一测试可能耗时耗力，以下我们将介绍几款自动化的工具减轻你的负担。

　　下面让我们来认识这些工具：

　　规则设定分析

　　在复杂的防火墙部署中，防火墙的规则设定会变得杂乱无章。时间一久，一些规则就会自乱方寸；一些没有用的规则越来越多。

　　对于防火墙规则的设定会导致一系列问题。在检查的过程中，我们会发现一些防火墙的虽然设定了相关的规则，实际上根本没有起作用。还有一些问题譬如防火墙的不连续性。例如，有的企业的防火墙会阻止Windows网络端口，但在另外一个网络中，管理员可能会开放TCP135，139，和445端口，以及UDP138端口，通向本地防火墙，很多管理员会认为之前的防火墙设置已经覆盖了这些端口。实际这是有可能导致网络缺陷的。

　　在Windows网络中存在的这类问题具有共性，人们往往认为在外围阻止了网络，然后就对内部网络不闻不问。很少有人会在在最初设置防火墙的时候就意识到安全问题，但是时间一久问题就出现了。

　　以下介绍一些防火墙分析和监控工具，譬如AlgoSec's FirewallAnalyzer，RedSeal Systems Security Risk Manager，Skybox Security's Firewall ComplianceAuditor。

　　漏洞扫描

　　作为网络管理者，网络维护中必须关注防火墙本身的安全问题。

　　专家建议使用Tenable NetworkSecurity's Nessus 3，以及IBM公司的InternetScanner和eEye Digital Security's Retina。它们主要是找出防火墙的的密码是不是过于简单，还有寻找已知的漏洞。

　　还有其它的一些开源工具也可以用来测试防火墙。Nmap可以帮助管理员通过不同的方式扫描防火墙，找出开放的端口。hping是一款TCP/IP信息包汇编程序，也可用于防火墙测试和端口扫描。

　　信息包嗅探

　　信息包的嗅探可以帮助我们确定是否有恶意程序绕过防火墙。在测试中，我们可以使用入侵检测系统作为警报机制。信息包嗅探工具可以深入信息内部了解情况。

　　Wireshark就是这样一款工具，可以俘获和分析测试信息包。

　　Darknet, Network Telescope, 和Internet Motion Sensor这三款工具虽然不是传统的防火墙测试工具，但同样具有这一能力。Darknet可以作为内部入侵检测系统(IDS)来检验防火墙的安全策略。有人曾经将Darknet形容为一个信息包黑洞，信息只能进不能出。

　　这些工具记录下所有的信息包然后将相关的信息写进网络日志中。通过分析和检测这些来自于外部IP的网络日志，这样可以有效确认防火墙是否有效。

　　日志分析

　　日志分析是检查防火墙的另一个重要手段。这些工具集合了多个防火墙里的日志数据，这样管理员就可以顺藤摸瓜找出网络运行中的异常行为。

　　这类工具有Logsurfer,，Webfwlog，还有wflogs，思科公司的监控，分析和响应系统(MARS)。

　　性能测试

　　防火墙分析利用帮助管理人员将防火墙设置最优化。可以将一些无用的规则撤销。减少一些无用的规则可以大大减轻防火墙的工作负担。提高那些经常使用的规则的安全等级也有助于提高性能。

　　除了规则设定分析，其它一些性能测试工具譬如Iperf在防火墙测试中也起着重要作用。Iperf用来衡量TCP的最大带宽。测试防火墙网络吞吐量是很重要的，特别是在你购买相关产品的时候。