隨筆檔案

　　為了確保你可以選擇到最好的防火墻，天下數(shù)據(jù)將告訴你怎么對防火墻進(jìn)行測試。我們在測試防火墻的過程可以劃分成三個(gè)截然不同的階段：評估性能、主觀性的評價(jià)、以及緩解威脅的有效性。(本文為天下數(shù)據(jù)首發(fā)，天下數(shù)據(jù)專業(yè)提供主機(jī)托管、主機(jī)租用)

　　階段一、評估性能

　　性能測試通常也要求專門的工具，但是已經(jīng)有很多廣受人歡迎的開源工具可供選擇。當(dāng)測試性能時(shí)記住用空設(shè)備檢查試驗(yàn)臺的測試，一個(gè)路由器或是轉(zhuǎn)接線就不錯(cuò)。這會(huì)告訴你試驗(yàn)臺的最大速度。從這里開始，要牢記于心網(wǎng)絡(luò)測試員David Newman的測試定律：測試必須是可重復(fù)的，必須是壓力性的(對于設(shè)備來說，不是對你)，必須是有意義的。將你正在測試的設(shè)備發(fā)揮到它的極限，即使你不會(huì)在實(shí)際運(yùn)行中達(dá)到那種程度。這會(huì)告訴你未來會(huì)在哪里碰壁，以及設(shè)備有多少使用上升空間。

　　階段二、主觀性評價(jià)

　　你的主觀性評價(jià)應(yīng)該基于一個(gè)標(biāo)準(zhǔn)列表，而不是功能列表。評審防火墻的每個(gè)部分，例如如何定義規(guī)則、如何建立VPN隧道、遠(yuǎn)程訪問如何工作，以及威脅緩解功能是如何分層構(gòu)建于產(chǎn)品之上。記錄你的調(diào)查結(jié)果，并且在你的筆記中添加許多截圖。否則在你測試防火墻A時(shí)看起來明顯的東西，六周后當(dāng)你評審防火墻G時(shí)，回顧那些調(diào)查結(jié)果可能會(huì)讓你感到不解。對你評價(jià)的每個(gè)標(biāo)準(zhǔn)都做好筆記。

　　階段三、有效性測試

　　沒有專門的工具很難進(jìn)行有效性測試，并且即使你擁有專門的工具，你可能無法得到好的結(jié)果。有效性測試應(yīng)該關(guān)注于三個(gè)領(lǐng)域：入侵預(yù)防、防惡意軟件和應(yīng)用識別。

　　對于入侵預(yù)防系統(tǒng)(intrusion prevention system，簡稱IPS)測試，盡管其它的測試廠商，如思博倫通信公司和IXIA有限公司有類似的產(chǎn)品，我的公司使用的是Mu Dynamics的產(chǎn)品。如果需要的話你可以購買或是租用這些工具，但是你應(yīng)該能夠讓每個(gè)防火墻廠商運(yùn)行你指定的測試，雖然通常他們擁有同樣的工具。

　　對于應(yīng)用識別測試，選取你最關(guān)心的應(yīng)用，并且對真實(shí)的服務(wù)器進(jìn)行測試。如果你想阻斷點(diǎn)到點(diǎn)(P2P)的文件共享軟件，啟動(dòng)一些不同的Torrent客戶端然后觀察會(huì)發(fā)生什么。對于諸如webmail或是Facebook這樣的應(yīng)用也要做同樣的測試，它們都是應(yīng)用識別與控制測試的首要候選。不用嘗試自動(dòng)化的測試工具，因?yàn)闇y試結(jié)果永遠(yuǎn)不會(huì)像真實(shí)的應(yīng)用和真實(shí)的服務(wù)器通信那樣精確。這點(diǎn)對于那些逃避檢測的應(yīng)用特別準(zhǔn)，如BitTorrent和Skype軟件，用測試工具永遠(yuǎn)無法完美地模擬它們的通信。