這次測試的目的是為了知道防火墻是否想我們想象中的意圖來工作的。在此之前你必須:

1、制定一個完整的測試計劃，測試的意圖主要集中在路由、包過濾、日志記錄與警報的性能上

2、測試當防火墻系統處于非正常工作狀態時的恢復防御方案

3、設計你的初步測試組件

其中比較重要的的測試包括:

1、硬件測試(處理器、內外儲存器、網絡接口等等)

2、操作系統軟件(引導部分、控制臺訪問等等)

3、防火墻軟件

4、網絡互聯設備(CABLES、交換機、集線器等等)

5、防火墻配置軟件

-路由型規則

-包過濾規則與關聯日志、警報選項

為什么說這些是比較重要的呢？

測試與效驗你的防火墻系統有利于提高防火墻的工作效率，使其發揮令你滿意的效果。你必須了解每個系統組件有可能出現的錯誤與各種錯誤的恢復處理技術。一旦在你的規劃下有防火墻系統出現非工作狀態，這就需要你及時去進行恢復處理了。

造成防火墻系統出現突破口的最常見原因就是你的防火墻配置問題。要知道，你需要在所有的測試項目之前做一個全面的針對配置的測試(例如路由功能、包過濾、日志處理能力等)。

應該怎么去做？

“建立一個測試計劃”

你需要在做一個計劃，讓系統本身去測試防火墻系統與策略的執行情況，然后測試系統的執行情況。

1、建立一個所有可替代的系統組件的列表，用來記錄一些會導致防火墻系統出錯的敏感故障。

2、為每一個組件建立一個簡短的特征說明列表列表，用語闡述其對防火墻系統運作的影響。不必理會這些影響對防火墻系統的損害類型與程度和其可能發生的系數高低。

3、為每一個關聯的故障類型

-設計一個特定的情況或某個指標去模擬它

-設計一個緩沖方案去削弱它對系統的沖擊性破壞

打比方一個測試的特定情況是運行防火墻軟件的主機系統出現不可替換的硬件問題時，且這個硬件將會影響到信息通信的樞紐問題，例如網絡適配器損壞，模仿這類型的故障可以簡單地拔出該網絡接口。

至于防御/恢復策略的例子可以是做好一整套的后備防火墻系統。當信息包出現延誤等問題時在最短的時間內將機器替換。

測試一個策略在系統中的運作情況是很困難的。用盡方法去測試IP包過濾設置是不可行的；這樣可能出現很多種情況。我們推崇你使用分界測試(分部測試)來取代總體測試。在這些測試上，你必須確定你實施的包過濾規則與每個分塊之間的分界線。這樣你需要做到:

·為每個規則定義一個邊界規則。通常，每個規則的必要參數都會有一個或兩個邊界點的。在這個區域里將會被劃分為一個多面型的包特征區。通常劃分的特征包括:通信協議、源地址、目標地址、源端口、目標端口等。基本上，每種包特征都可以獨立地去配對包過濾規則在區域里所定義的數值尺度。例如，其中一個規則允許TCP包從任何主機發送到你的WEB服務器的80端口，這個例子使用了三個配對特征(協議、目標地址、目標端口)，在這個實例中也將一個特征區劃分成三個區域:TCP包到WEB服務器低于80端口、等于80端口、大于80端口。

·你必須為每一個已經設置好的區域做一些信息交換的測試。確認一下這些特定的區域能否正常地通過與拒絕所有的信息交換。做一個單獨的區域，在區域中拒絕或者通過所有的信息交換；這樣做的目的是為了劃分包特征通信的區域問題。

作為一個綜合性的規則群，它可以是一種比較單一的處理機制，并且有可能是沒有被應用過的。若是沒有被應用過的規則群，這要求一群人去反復審核它們的存在性并要求有人能夠說出每一個規則所需要實施的意義。

整個測試計劃包括案例測試、配置測試、與期待目標:

·測試路由配置、包過濾規則(包括特殊服務的測試)、日志功能與警報

·測試防火墻系統整體性能(例如硬/軟件故障恢復、足夠的日志存儲容量、日志檔案的容錯性、監視追蹤器的性能問題)

·嘗試在正常或不正常這兩種情況下進行的測試

同樣你也需要記錄你在測試中打算使用的工具(掃描器、監測器、還有漏洞/攻擊探測工具)，并且相應地測試一下它們的性能。