对于企业网络中的安全人员来说,并非部署上防火墙就万事大吉,还需要定期的来测试你的防火墙是否还足够安全,然而防火墙测试并不是一件容易的事情,尤其在具有多个处理设备处理多个接口的环境中更是麻烦。本文介绍几个工具来帮助完成测试工作,比如规则分析工具、漏洞扫描等。
据经验丰富的安全专家建议,企业网络安全人员至少每个月要对防火墙进行一次测试,并将防火墙测试工作加入到防火墙修改管理过程中。
通过防火墙测试工作来确信防火墙实际能完成我们对它的预期任务,这个测试可能非常耗时和费力,但是借助于一些自动工具,可以让这个麻烦的任务变得轻松一些。
1、规则分析工具
在复杂的防火墙部署中,防火墙规则集可能会比较凌乱。随着时间的发展,这些规则集可能与安全策略脱轨,同时也有可能产生没有用的规则。
定期对防火墙规则进行审查可以解决这些问题。这种检查可以带来一些短期效益。例如有的管理员在调试一个新安装的应用程序时,加入了一条规则来允许所有通信通过,但是测试完成后却完了删除该规则。通过防火墙规则测试就可以发现这个被遗忘的防火墙规则。
另外,分析防火墙规则集还可以发现防火墙中自相矛盾的规则。举个例子来说,一个企业的过滤策略可能被用来在网络边界位置阻挡Windows网络端口。在网络架构区域,管理员可能在本地防火墙上设定了开放TCP端口135、139和445,另外还有UDP端口138,因为他们认为在边界设备上已经包含了这些端口的过滤。但是,这种做法有可能引入安全缺陷。
人们往往认为在网络边界进行了防护而放松在网络内部的防护,尽管没有人会去定制不安全的防火墙规则集,但是随着时间一长就有可能会出现问题。
用于防火墙分析和审计的商业工具有不少,例如AlgoSec的Firewall Analyzer,RedSeal的Security Risk Manager和Skybox公司的Firewall Compliance Auditor等。
其中AlgoSec Firewall Analyzer(AFA)可以自动探测防火墙策略中的安全漏洞。它可以完成更改管理、风险管理、自动审核和策略优化等功能。它可以发现未用的规则、重复规则、禁用规则和失效的规则。
AFA可以备份防火墙策略,然后进行离线分析,因此它不会影响防火墙的性能。
图1、AFA部署架构
AFA支持的防火墙厂商包括思科、Checkpoint和Juniper等业界知名厂商。
