本文中筆者將討論如何測(cè)試防火墻，你應(yīng)該實(shí)施的三種類(lèi)型防火墻測(cè)試、以及令人意外：對(duì)于確保為你的組織選擇最好的防火墻，測(cè)試類(lèi)型并不重要。

測(cè)試防火墻的過(guò)程可以劃分成三個(gè)截然不同的階段：主觀性的評(píng)價(jià)、緩解威脅的有效性以及性能測(cè)試。

測(cè)試防火墻：主觀性評(píng)價(jià)

你的主觀性評(píng)價(jià)應(yīng)該基于一個(gè)標(biāo)準(zhǔn)列表，而不是功能列表。評(píng)審防火墻的每個(gè)部分，例如如何定義規(guī)則、如何建立VPN隧道、遠(yuǎn)程訪問(wèn)如何工作，以及威脅緩解功能是如何分層構(gòu)建于產(chǎn)品之上。記錄你的調(diào)查結(jié)果，并且在你的筆記中添加許多截圖。否則在你測(cè)試防火墻A時(shí)看起來(lái)明顯的東西，六周后當(dāng)你評(píng)審防火墻G時(shí)，回顧那些調(diào)查結(jié)果可能會(huì)讓你感到不解。對(duì)你評(píng)價(jià)的每個(gè)標(biāo)準(zhǔn)都做好筆記。

測(cè)試防火墻：有效性測(cè)試

沒(méi)有專(zhuān)門(mén)的工具很難進(jìn)行有效性測(cè)試，并且即使你擁有專(zhuān)門(mén)的工具，你可能無(wú)法得到好的結(jié)果。有效性測(cè)試應(yīng)該關(guān)注于三個(gè)領(lǐng)域：入侵預(yù)防、防惡意軟件和應(yīng)用識(shí)別。

對(duì)于入侵預(yù)防系統(tǒng)（intrusion prevention system ，簡(jiǎn)稱(chēng)IPS）測(cè)試，盡管其它的測(cè)試廠商，如思博倫通信公司和IXIA有限公司有類(lèi)似的產(chǎn)品，我的公司使用的是Mu Dynamics的產(chǎn)品。如果需要的話你可以購(gòu)買(mǎi)或是租用這些工具，但是你應(yīng)該能夠讓每個(gè)防火墻廠商運(yùn)行你指定的測(cè)試，雖然通常他們擁有同樣的工具。

對(duì)于應(yīng)用識(shí)別測(cè)試，選取你最關(guān)心的應(yīng)用，并且對(duì)真實(shí)的服務(wù)器進(jìn)行測(cè)試。如果你想阻斷點(diǎn)到點(diǎn)（P2P）的文件共享軟件，啟動(dòng)一些不同的Torrent客戶(hù)端然后觀察會(huì)發(fā)生什么。對(duì)于諸如webmail或是Facebook這樣的應(yīng)用也要做同樣的測(cè)試，它們都是應(yīng)用識(shí)別與控制測(cè)試的首要候選。不用嘗試自動(dòng)化的測(cè)試工具，因?yàn)闇y(cè)試結(jié)果永遠(yuǎn)不會(huì)像真實(shí)的應(yīng)用和真實(shí)的服務(wù)器通信那樣精確。這點(diǎn)對(duì)于那些逃避檢測(cè)的應(yīng)用特別準(zhǔn)，如BitTorrent和Skype軟件，用測(cè)試工具永遠(yuǎn)無(wú)法完美地模擬它們的通信。

測(cè)試防火墻：評(píng)估性能

性能測(cè)試通常也要求專(zhuān)門(mén)的工具，但是已經(jīng)有很多廣受人歡迎的開(kāi)源工具可供選擇。當(dāng)測(cè)試性能時(shí)記住用空設(shè)備檢查試驗(yàn)臺(tái)的測(cè)試，一個(gè)路由器或是轉(zhuǎn)接線就不錯(cuò)。這會(huì)告訴你試驗(yàn)臺(tái)的最大速度。從這里開(kāi)始，要牢記于心網(wǎng)絡(luò)測(cè)試員David Newman的測(cè)試定律：測(cè)試必須是可重復(fù)的，必須是壓力性的（對(duì)于設(shè)備來(lái)說(shuō)，不是對(duì)你），必須是有意義的。將你正在測(cè)試的設(shè)備發(fā)揮到它的極限，即使你不會(huì)在實(shí)際運(yùn)行中達(dá)到那種程度。這會(huì)告訴你未來(lái)會(huì)在哪里碰壁，以及設(shè)備有多少使用上升空間。

不要在一千種不同的環(huán)境下測(cè)試性能，因?yàn)槟愕木W(wǎng)絡(luò)只會(huì)遇到一種環(huán)境：現(xiàn)實(shí)。嘗試構(gòu)建代表你的網(wǎng)絡(luò)和使用情況狀況的小環(huán)境，并且對(duì)同等配置的防火墻進(jìn)行測(cè)試。因?yàn)榇蠖鄶?shù)防火墻的大部分工作就是處理HTTP和HTTPS流量，你就放心專(zhuān)注于測(cè)試它們。增加額外3%左右的DNS流量會(huì)使測(cè)試更為復(fù)雜，并且通常不會(huì)告訴你任何有用的東西。

性能測(cè)試必須有“通過(guò)/失敗”這樣的指標(biāo)。例如，當(dāng)防火墻開(kāi)始拒絕打開(kāi)新的會(huì)話時(shí)，應(yīng)該結(jié)束測(cè)試因?yàn)橐呀?jīng)超出了它的極限。你應(yīng)該也設(shè)置其它的上限，例如最大的延遲時(shí)間，來(lái)定義什么時(shí)候防火墻的表現(xiàn)是無(wú)法接受的。

完成這三種類(lèi)型的測(cè)試，你會(huì)清楚地明白適合組織的最佳防火墻產(chǎn)品。