为了确保你可以选择到最好的防火墙,天下数据将告诉你怎么对防火墙进行测试。我们在测试防火墙的过程可以划分成三个截然不同的阶段:评估性能、主观性的评价、以及缓解威胁的有效性。(本文为天下数据首发,天下数据专业提供主机托管、主机租用)
阶段一、评估性能
性能测试通常也要求专门的工具,但是已经有很多广受人欢迎的开源工具可供选择。当测试性能时记住用空设备检查试验台的测试,一个路由器或是转接线就不错。这会告诉你试验台的最大速度。从这里开始,要牢记于心网络测试员David Newman的测试定律:测试必须是可重复的,必须是压力性的(对于设备来说,不是对你),必须是有意义的。将你正在测试的设备发挥到它的极限,即使你不会在实际运行中达到那种程度。这会告诉你未来会在哪里碰壁,以及设备有多少使用上升空间。
阶段二、主观性评价
你的主观性评价应该基于一个标准列表,而不是功能列表。评审防火墙的每个部分,例如如何定义规则、如何建立VPN隧道、远程访问如何工作,以及威胁缓解功能是如何分层构建于产品之上。记录你的调查结果,并且在你的笔记中添加许多截图。否则在你测试防火墙A时看起来明显的东西,六周后当你评审防火墙G时,回顾那些调查结果可能会让你感到不解。对你评价的每个标准都做好笔记。
阶段三、有效性测试
没有专门的工具很难进行有效性测试,并且即使你拥有专门的工具,你可能无法得到好的结果。有效性测试应该关注于三个领域:入侵预防、防恶意软件和应用识别。
对于入侵预防系统(intrusion prevention system,简称IPS)测试,尽管其它的测试厂商,如思博伦通信公司和IXIA有限公司有类似的产品,我的公司使用的是Mu Dynamics的产品。如果需要的话你可以购买或是租用这些工具,但是你应该能够让每个防火墙厂商运行你指定的测试,虽然通常他们拥有同样的工具。
对于应用识别测试,选取你最关心的应用,并且对真实的服务器进行测试。如果你想阻断点到点(P2P)的文件共享软件,启动一些不同的Torrent客户端然后观察会发生什么。对于诸如webmail或是Facebook这样的应用也要做同样的测试,它们都是应用识别与控制测试的首要候选。不用尝试自动化的测试工具,因为测试结果永远不会像真实的应用和真实的服务器通信那样精确。这点对于那些逃避检测的应用特别准,如BitTorrent和Skype软件,用测试工具永远无法完美地模拟它们的通信。