对于企业网络中的安全人员来说,并非部署上防火墙就万事大吉了,还需要定期的来测试你的防火墙是否还足够安全,然而防火墙测试并不是一件容易的事情,尤其在具有多个处理设备处理多个接口的环境中更是麻烦。本文介绍几个工具来帮助完成测试工作,比如规则分析工具、漏洞扫描等。
据经验丰富的安全专家建议,企业网络安全人员至少每个月要对防火墙进行一次测试,并将防火墙测试工作加入到防火墙修改管理过程中。
通过防火墙测试工作来确信防火墙实际能完成我们对它的预期任务,这个测试可能非常耗时和费力,但是借助于一些自动工具,可以让这个麻烦的任务变得轻松一些。
1、规则分析工具
在复杂的防火墙部署中,防火墙规则集可能会比较凌乱。随着时间的发展,这些规则集可能与安全策略脱轨,同时也有可能产生没有用的规则。
定期对防火墙规则进行审查可以解决这些问题。这种检查可以带来一些短期效益。例如有的管理员在调试一个新安装的应用程序时,加入了一条规则来允许所有通信通过,但是测试完成后却完了删除该规则。通过防火墙规则测试就可以发现这个被遗忘的防火墙规则。
另外,分析防火墙规则集还可以发现防火墙中自相矛盾的规则。举个例子来说,一个企业的过滤策略可能被用来在网络边界位置阻挡Windows网络端口。在网络架构区域,管理员可能在本地防火墙上设定了开放TCP端口135、139和445,另外还有UDP端口138,因为他们认为在边界设备上已经包含了这些端口的过滤。但是,这种做法有可能引入安全缺陷。
人们往往认为在网络边界进行了防护而放松在网络内部的防护,尽管没有人会去定制不安全的防火墙规则集,但是随着时间一长就有可能会出现问题。
用于防火墙分析和审计的商业工具有不少,例如AlgoSec的Firewall Analyzer,RedSeal的Security Risk Manager和Skybox公司的Firewall Compliance Auditor等。
其中AlgoSec Firewall Analyzer(AFA)可以自动探测防火墙策略中的安全漏洞。它可以完成更改管理、风险管理、自动审核和策略优化等功能。它可以发现未用的规则、重复规则、禁用规则和失效的规则。
AFA可以备份防火墙策略,然后进行离线分析,因此它不会影响防火墙的性能。
图1、AFA部署架构
AFA支持的防火墙厂商包括思科、Checkpoint和Juniper等业界知名厂商。
2、漏洞扫描
安全专家表示,IT管理者还必须重视防火墙本身的安全性。
这个任务的目的包括判断防火墙是否一个弱安全性密码,是否存在已知的安全漏洞。
可供我们使用的安全工具有开源的Nessus,Nessus是事实上的漏洞扫描器标准。实际上,许多商业软件在他们的产品中使用了Nessus引擎,并且几乎每一个主要的安全硬件供应商都支持Nessus的扫描结果。
Nessus目前有2个版本,一个开源的Nessus 2.2.x版本,还有一个Nessus 3虽然不再是开源的,但却是免费的,而且新版的Nessus 3.03已经开始支持Windows平台,大大降低了它的使用门槛。
图2、Nessus
另外,还有一些开源工具也可以帮助我们实现防火墙测试,例如著名的Nmap,可以让管理员从不同的方式扫描防火墙,发现开放端口。另外人们常用的工具还有TCP/IP包分析工具hping。
3、数据包侦听
针对防火墙的另一个测试工作是判断是否有什么东西能够穿过防火墙。在测试过程中,我们可以使用一个入侵检测系统来作为报警机制。此外,数据包侦听工具可以分解数据包来看看其内部信息。
Wireshark(前身是Ethereal)就是这样一个工具,它在捕获和分析测试数据包方面非常有用。
说起Wireshark就不得不提Ethereal了,Ethereal和在Windows系统中常用的sniffer pro并称网络嗅探工具双雄,不过和sniffer pro不同的是Ethereal在Linux类系统中应用更为广泛。而Wireshark软件则是Ethereal的后续版本,他是在Ethereal被收购后推出的最新网络嗅探软件,在功能上比前身更加强大。
图3、Wireshark
Darknet、Network Telescope、和Internet Motion Sensor这三个工具并非传统的防火墙测试工具,不过在这儿我们也可以使用它们。例如我们可以把Darknet当作一个内部IDS来验证防火墙的策略。
这些工具实际就是一些侦听工具,它们可以记录下所有它们“看到”的数据包,然后将其记录到一个日志文件中。通过分析/监视这些日志文件中的外部IP地址,你可以确认防火墙的策略是否起作用。
4、日志分析
日志分析工具可以对防火墙进行重要的检查。这些工具可以把多个防火墙的日志汇聚起来,让管理员检查不正常的行为。
可以供我们使用的日志分析软件有LogSurfer,LogSurfer是一个综合日志分析工具。根据它发现的内容,它能执行各种动作,包括告警、执行外部程序,甚至将日志文件数据分块并将它们送给外部命令或进程处理。
除了Logsufer外,其它此类工具还包括Webfwlog和WallFire项目的wflogs等。
图4、Webfwlog演示
5、性能测试
防火墙分析可以帮助IT管理者优化防火墙规则集。例如,未使用的规则应该被移除。规则集数量的减少可以减轻防火墙的负载。另外,提高那些高度使用的规则一方面可以保护企业的安全和风险,同时也可以提高性能。
除了规则集分析之外,诸如Iperf之类的性能工具还可以在防火墙测试中发挥自己的作用。
Iperf 是一个网络性能测试工具,可以测试TCP和UDP带宽质量。而测试一个防火墙的吞吐能力也是一件非常有价值的事情,尤其是在你验证防火墙厂商所宣称的性能时。
图5、Iperf测试结果
总结:
防火墙的维护管理是一件非常重要的工作,利用上面所介绍的工具,你可以经常查看你的防火墙是否存在安全缺陷,是否能够提供用户所需的服务,以及防火墙的性能是否存在影响因素等,然后根据实际情况相应的做出维护措施。