防火墻在企業(yè)安全防護中的地位是無法被撼動的，為了企業(yè)自身的互聯(lián)網(wǎng)安全，部署互聯(lián)網(wǎng)防火墻已經(jīng)是企業(yè)安全管理員的必要環(huán)節(jié)。但是并非布置了互聯(lián)網(wǎng)防火墻就萬事大吉了，想要真正保證企業(yè)安全，對防火墻的定期測試是必不可少的。今天本文就為大家介紹如何通過規(guī)則分析工具對企業(yè)防火墻進行測試。

在復(fù)雜的防火墻部署中，防火墻規(guī)則集可能會比較凌亂。隨著時間的發(fā)展，這些規(guī)則集可能與安全策略脫軌，同時也有可能產(chǎn)生沒有用的規(guī)則。

定期通過規(guī)則分析工具對防火墻規(guī)則進行審查可以解決這些問題。這種檢查可以帶來一些短期效益。例如有的管理員在調(diào)試一個新安裝的應(yīng)用程序時，加入了一條規(guī)則來允許所有通信通過，但是測試完成后卻完了刪除該規(guī)則。通過防火墻規(guī)則測試就可以發(fā)現(xiàn)這個被遺忘的防火墻規(guī)則。

另外，通過規(guī)則分析工具分析防火墻規(guī)則集還可以發(fā)現(xiàn)防火墻中自相矛盾的規(guī)則。舉個例子來說，一個企業(yè)的過濾策略可能被用來在網(wǎng)絡(luò)邊界位置阻擋Windows網(wǎng)絡(luò)端口。在網(wǎng)絡(luò)架構(gòu)區(qū)域，管理員可能在本地防火墻上設(shè)定了開放TCP端口135、139和445，另外還有UDP端口138，因為他們認(rèn)為在邊界設(shè)備上已經(jīng)包含了這些端口的過濾。但是，這種做法有可能引入安全缺陷。

人們往往認(rèn)為在網(wǎng)絡(luò)邊界進行了防護而放松在網(wǎng)絡(luò)內(nèi)部的防護，盡管沒有人會去定制不安全的防火墻規(guī)則集，但是隨著時間一長就有可能會出現(xiàn)問題。

用于防火墻分析和審計的商業(yè)工具有不少，例如AlgoSec的Firewall Analyzer，RedSeal的Security Risk Manager和Skybox公司的Firewall Compliance Auditor等。

其中AlgoSec Firewall Analyzer(AFA)可以自動探測防火墻策略中的安全漏洞。它可以完成更改管理、風(fēng)險管理、自動審核和策略優(yōu)化等功能。它可以發(fā)現(xiàn)未用的規(guī)則、重復(fù)規(guī)則、禁用規(guī)則和失效的規(guī)則。

AFA可以備份防火墻策略，然后進行離線分析，因此它不會影響防火墻的性能。

【編輯推薦】

1. Web應(yīng)用防火墻的功能與價值
2. xss攻擊 Web安全新挑戰(zhàn)
3. 百家爭鳴：web攻擊與web防護
4. Web應(yīng)用防火墻的主要特性
5. 防止入侵從Web應(yīng)用安全漏洞做起