隨筆檔案

　　為了確保你可以選擇到最好的防火墻，天下數(shù)據(jù)將告訴你怎么對(duì)防火墻進(jìn)行測(cè)試。我們?cè)跍y(cè)試防火墻的過程可以劃分成三個(gè)截然不同的階段：評(píng)估性能、主觀性的評(píng)價(jià)、以及緩解威脅的有效性。(本文為天下數(shù)據(jù)首發(fā)，天下數(shù)據(jù)專業(yè)提供主機(jī)托管、主機(jī)租用)

　　階段一、評(píng)估性能

　　性能測(cè)試通常也要求專門的工具，但是已經(jīng)有很多廣受人歡迎的開源工具可供選擇。當(dāng)測(cè)試性能時(shí)記住用空設(shè)備檢查試驗(yàn)臺(tái)的測(cè)試，一個(gè)路由器或是轉(zhuǎn)接線就不錯(cuò)。這會(huì)告訴你試驗(yàn)臺(tái)的最大速度。從這里開始，要牢記于心網(wǎng)絡(luò)測(cè)試員David Newman的測(cè)試定律：測(cè)試必須是可重復(fù)的，必須是壓力性的(對(duì)于設(shè)備來說，不是對(duì)你)，必須是有意義的。將你正在測(cè)試的設(shè)備發(fā)揮到它的極限，即使你不會(huì)在實(shí)際運(yùn)行中達(dá)到那種程度。這會(huì)告訴你未來會(huì)在哪里碰壁，以及設(shè)備有多少使用上升空間。

　　階段二、主觀性評(píng)價(jià)

　　你的主觀性評(píng)價(jià)應(yīng)該基于一個(gè)標(biāo)準(zhǔn)列表，而不是功能列表。評(píng)審防火墻的每個(gè)部分，例如如何定義規(guī)則、如何建立VPN隧道、遠(yuǎn)程訪問如何工作，以及威脅緩解功能是如何分層構(gòu)建于產(chǎn)品之上。記錄你的調(diào)查結(jié)果，并且在你的筆記中添加許多截圖。否則在你測(cè)試防火墻A時(shí)看起來明顯的東西，六周后當(dāng)你評(píng)審防火墻G時(shí)，回顧那些調(diào)查結(jié)果可能會(huì)讓你感到不解。對(duì)你評(píng)價(jià)的每個(gè)標(biāo)準(zhǔn)都做好筆記。

　　階段三、有效性測(cè)試

　　沒有專門的工具很難進(jìn)行有效性測(cè)試，并且即使你擁有專門的工具，你可能無法得到好的結(jié)果。有效性測(cè)試應(yīng)該關(guān)注于三個(gè)領(lǐng)域：入侵預(yù)防、防惡意軟件和應(yīng)用識(shí)別。

　　對(duì)于入侵預(yù)防系統(tǒng)(intrusion prevention system，簡(jiǎn)稱IPS)測(cè)試，盡管其它的測(cè)試廠商，如思博倫通信公司和IXIA有限公司有類似的產(chǎn)品，我的公司使用的是Mu Dynamics的產(chǎn)品。如果需要的話你可以購(gòu)買或是租用這些工具，但是你應(yīng)該能夠讓每個(gè)防火墻廠商運(yùn)行你指定的測(cè)試，雖然通常他們擁有同樣的工具。

　　對(duì)于應(yīng)用識(shí)別測(cè)試，選取你最關(guān)心的應(yīng)用，并且對(duì)真實(shí)的服務(wù)器進(jìn)行測(cè)試。如果你想阻斷點(diǎn)到點(diǎn)(P2P)的文件共享軟件，啟動(dòng)一些不同的Torrent客戶端然后觀察會(huì)發(fā)生什么。對(duì)于諸如webmail或是Facebook這樣的應(yīng)用也要做同樣的測(cè)試，它們都是應(yīng)用識(shí)別與控制測(cè)試的首要候選。不用嘗試自動(dòng)化的測(cè)試工具，因?yàn)闇y(cè)試結(jié)果永遠(yuǎn)不會(huì)像真實(shí)的應(yīng)用和真實(shí)的服務(wù)器通信那樣精確。這點(diǎn)對(duì)于那些逃避檢測(cè)的應(yīng)用特別準(zhǔn)，如BitTorrent和Skype軟件，用測(cè)試工具永遠(yuǎn)無法完美地模擬它們的通信。