雖然近年來興起了統一威脅管理等一體化的安全設備，但防火墻仍是許多單位的基本安全設備之一，那么，你的防火墻是否固若金湯呢？本文筆者將介紹審計或測試防火墻的概念。

首先，我們需要定義防火墻。防火墻是一個能夠根據一套規則來控制兩個網絡之間的通信流的應用程序、設備、系統，也可能是具備這種功能的一組系統，它可以保護系統免受外部的及內部的威脅，將私有網絡的敏感部分與不太敏感的區域分離開來，可以對傳輸敏感數據的內部網絡或外部網絡實施加密（在用作一個VPN端點時），或者將內部網絡地址從外部網絡中隱藏開來（網絡地址轉換）。防火墻獲得邊界路由器放行的通信，并進行徹底地通信過濾。防火墻有不同的類型，包括靜態的數據包過濾器（例如，北電的Accelar路由器），正式防火墻（例如，思科的PIX）及代理防火墻等。

與路由器類似，防火墻使用多種過濾技術或方法來確保安全。這些方法包括數據包過濾、狀態檢測、代理或應用程序網關、深度數據檢測。防火墻能夠使用其中的一種方法，或者它可以將不同的方法組合起來形成恰當的強健配置。

測試防火墻的一種很好的方法是從防火墻的責任人那里收集信息。這些人可以是審計團隊、系統管理員、網絡管理員、策略團隊、信息安全人員中的成員。其中的要點是要收集、比較每一個人關于防火墻應當具有的功能的理解，以及防火墻應當怎樣配置才能滿足網絡和系統的要求。要獲取任何現存的防火墻文檔資料和網絡圖表，用以驗證從被采訪人那里獲得的信息。理想情況下，防火墻是一種被設置來反映策略的控制機制。這就意味著在配置防火墻之前，必須首先建立相關的策略。可悲的是，很少有單位這樣做。

在收集了上述的信息之后，審計人員可以進一步理解防火墻的架構，并決定防火墻是否正確地進行了配置，能夠正確地對網絡進行分段并實施信息保護。下一步是評估操作系統的配置。這就是防火墻自身的配置，所有的防火墻都擁有一個操作系統。有的廠商宣稱防火墻只不過一個設備。其實，防火墻典型情況下只不過是一個被強化的操作系統。事實上，此設備可運行在一個精簡的Unix系統上，或者是運行在一個被廠方定制的操作系統上，如思科的ASA。防火墻和路由器都是軟件驅動的，其所做的工作就是使得代碼更難于被看到。

下一步，務必保障系統管理員遵循最佳的方法：用戶管理、補丁更新、改變控制、配置備份等。如果防火墻不打補丁，它最終會被損害。原因就在于它是一個安全設備，它并不會自動實現安全性。

最后一點，要驗證防火墻的規則庫與單位的規則和策略相匹配。

測試防火墻應當與測試單位的深度防御方法的其它組件協調起來，單位不應當僅依靠單獨一種防御。防火墻并不是可以防治所有安全疾病的萬能藥。其主要目的是延緩攻擊和記錄活動。

測試或審計防火墻的總體結果包括：任何安全漏洞的確認、防火墻是否根據公司的安全策略完成其功能。還要評估防火墻的安裝、配置、操作是否足夠安全，是否可以保護防火墻需要保護的信息或服務。要考慮被確認的風險及其發生的可能性。

操作系統的配置

在審計防火墻時，審計人員必須看一看防火墻賴以運行的平臺或操作系統。

審計人員需要檢查支持防火墻運行的操作系統是否僅包含了可讓防火墻發揮功能的最少功能或服務。防火墻應當是一個專注于一種目的的隔離系統，根據所定義的規則過濾通信。安裝得越簡單，其管理也就越簡單。功能越少，也就等于需要更少的補丁和更少的漏洞。

許多操作系統都有大量的工具可用于決定系統開放了哪些端口。這里列示了一個例子，針對于Windows操作系統：

Netstat -a

而在類Unix操作系統中，可運行下面的命令：

lsof –I或netstat –a或 ps –aef

在決定開放的端口和服務時，應當關閉防火墻（禁用或運行準許所有通信的策略）。這樣做的目的是為了測試那些針對特定操作系統的端口和服務。在這一點上，在一個安全網絡上執行此操作并且不要將防火墻連接到互聯網是很重要的。記住，在種模式中，防火墻是一個路由器。

此外，還應當分析安全設置和操作系統的漏洞。每一種操作系統都包括了一套安全特性和漏洞，不同的廠商互有不同。例如，在安裝期間，操作系統的默認安全設置可能沒有修改，而這種安全設置有可能無法滿足安全策略所要求的安全水平?？梢栽u估的最常見的安全設置包括訪問規則、口令規則、登錄規則等。還應當確認其它操作系統的設置和參數。

防火墻配置

在討論了防火墻平臺的操作系統后，下一步就是要驗證防火墻的配置。所有的防火墻都有配置及策略，二者不應當混淆。配置是與防火墻軟件及其安裝相關的基本設置的集合。對防火墻配置的改變將會改變防火墻的行為。

審計人員必須檢查防火墻是否位于一個專用的隔離系統上，過濾數據包并要記錄。例如，DNS、電子郵件、服務器負載均衡不應當安裝在同一臺主機上或由防火墻平臺處理。這里，唯一的例外是防火墻的負載均衡是高可能性防火墻的一個功能，并應當準許之。

因為防火墻的基本目的是為了管理兩個網絡之間的信息流，審計人員必須通過查看防火墻的配置來觀察其實現這種功能的方法。我們需要驗證防火墻準許通過的通信是否與安全策略保持一致。后文將討論測試規則庫的問題，不過需要考慮以下的關鍵問題：

下圖1描述了一個防火墻標準規則庫的一個實例。在此例中，標準的策略詳細地描述了默認的設置。

圖1

Firewall Builder是一個通用公共許可證軟件包，其設置目的是為了幫助管理員配置防火墻。當前的版本支持許多防火墻平臺，如FireWall Services Module (FWSM)，ipfi lter，ipfw，iptables，PF，Cisco Private Internet Exchange (PIX)等，還有大量的其它平臺，如FreeBSD，Cisco FWSM，Linksys/Sveasoft，GNU/Linux (kernel 2.4 and 2.6)，Mac OS X，OpenBSD，Solaris等。

在設置的標準的策略之后，管理員們需要作出的下一個決定是定義防火墻的接口，然后是每一個接口的配置。一個防火墻通常擁有的接口包括外部接口（不可信任的）和內部接口（可信任的）。因此，測試防火墻包括測試防火墻每一個接口的配置，以驗證其與單位的防火墻策略的一致性。