[转] 防火墙测试：从入门到精通

好书网

虽然近年来兴起了统一威胁管理等一体化的安全设备，但防火墙仍是许多单位的基本安全设备之一，那么，你的防火墙是否固若金汤呢?本文笔者将介绍审计或测试防火墙的概念。

　　首先，我们需要定义防火墙。防火墙是一个能够根据一套规则来控制两个网络之间的通信流的应用程序、设备、系统，也可能是具备这种功能的一组系统，它可以保护系统免受外部的及内部的威胁，将私有网络的敏感部分与不太敏感的区域分离开来，可以对传输敏感数据的内部网络或外部网络实施加密(在用作一个VPN端点时)，或者将内部网络地址从外部网络中隐藏开来(网络地址转换)。防火墙获得边界路由器放行的通信，并进行彻底地通信过滤。防火墙有不同的类型，包括静态的数据包过滤器(例如，北电的Accelar路由器)，正式防火墙(例如，思科的PIX)及代理防火墙等。

　　与路由器类似，防火墙使用多种过滤技术或方法来确保安全。这些方法包括数据包过滤、状态检测、代理或应用程序网关、深度数据检测。防火墙能够使用其中的一种方法，或者它可以将不同的方法组合起来形成恰当的强健配置。

　　测试防火墙的一种很好的方法是从防火墙的责任人那里收集信息。这些人可以是审计团队、系统管理员、网络管理员、策略团队、信息安全人员中的成员。其中的要点是要收集、比较每一个人关于防火墙应当具有的功能的理解，以及防火墙应当怎样配置才能满足网络和系统的要求。要获取任何现存的防火墙文档资料和网络图表，用以验证从被采访人那里获得的信息。理想情况下，防火墙是一种被设置来反映策略的控制机制。这就意味着在配置防火墙之前，必须首先建立相关的策略。可悲的是，很少有单位这样做。

　　在收集了上述的信息之后，审计人员可以进一步理解防火墙的架构，并决定防火墙是否正确地进行了配置，能够正确地对网络进行分段并实施信息保护。下一步是评估操作系统的配置。这就是防火墙自身的配置，所有的防火墙都拥有一个操作系统。有的厂商宣称防火墙只不过一个设备。其实，防火墙典型情况下只不过是一个被强化的操作系统。事实上，此设备可运行在一个精简的Unix系统上，或者是运行在一个被厂方定制的操作系统上，如思科的ASA。防火墙和路由器都是软件驱动的，其所做的工作就是使得代码更难于被看到。

　　下一步，务必保障系统管理员遵循最佳的方法：用户管理、补丁更新、改变控制、配置备份等。如果防火墙不打补丁，它最终会被损害。原因就在于它是一个安全设备，它并不会自动实现安全性。

　　最后一点，要验证防火墙的规则库与单位的规则和策略相匹配。

　　测试防火墙应当与测试单位的深度防御方法的其它组件协调起来，单位不应当仅依靠单独一种防御。防火墙并不是可以防治所有安全疾病的万能药。其主要目的是延缓攻击和记录活动。

　　测试或审计防火墙的总体结果包括：任何安全漏洞的确认、防火墙是否根据公司的安全策略完成其功能。还要评估防火墙的安装、配置、操作是否足够安全，是否可以保护防火墙需要保护的信息或服务。要考虑被确认的风险及其发生的可能性。

　　操作系统的配置

　　在审计防火墙时，审计人员必须看一看防火墙赖以运行的平台或操作系统。

　　审计人员需要检查支持防火墙运行的操作系统是否仅包含了可让防火墙发挥功能的最少功能或服务。防火墙应当是一个专注于一种目的的隔离系统，根据所定义的规则过滤通信。安装得越简单，其管理也就越简单。功能越少，也就等于需要更少的补丁和更少的漏洞。

　　许多操作系统都有大量的工具可用于决定系统开放了哪些端口。这里列示了一个例子，针对于Windows操作系统：

　　Netstat -a

　　而在类Unix操作系统中，可运行下面的命令：

　　lsof –I或netstat –a或 ps –aef

　　在决定开放的端口和服务时，应当关闭防火墙(禁用或运行准许所有通信的策略)。这样做的目的是为了测试那些针对特定操作系统的端口和服务。在这一点上，在一个安全网络上执行此操作并且不要将防火墙连接到互联网是很重要的。记住，在种模式中，防火墙是一个路由器。

　　此外，还应当分析安全设置和操作系统的漏洞。每一种操作系统都包括了一套安全特性和漏洞，不同的厂商互有不同。例如，在安装期间，操作系统的默认安全设置可能没有修改，而这种安全设置有可能无法满足安全策略所要求的安全水平。可以评估的最常见的安全设置包括访问规则、口令规则、登录规则等。还应当确认其它操作系统的设置和参数。

　　防火墙配置

　　在讨论了防火墙平台的操作系统后，下一步就是要验证防火墙的配置。所有的防火墙都有配置及策略，二者不应当混淆。配置是与防火墙软件及其安装相关的基本设置的集合。对防火墙配置的改变将会改变防火墙的行为。

　　审计人员必须检查防火墙是否位于一个专用的隔离系统上，过滤数据包并要记录。例如，DNS、电子邮件、服务器负载均衡不应当安装在同一台主机上或由防火墙平台处理。这里，唯一的例外是防火墙的负载均衡是高可能性防火墙的一个功能，并应当准许之。

　　因为防火墙的基本目的是为了管理两个网络之间的信息流，审计人员必须通过查看防火墙的配置来观察其实现这种功能的方法。我们需要验证防火墙准许通过的通信是否与安全策略保持一致。后文将讨论测试规则库的问题，不过需要考虑以下的关键问题：

　　防火墙的访问规则(身份验证、授权等)与安全策略和最佳方法保持一致。

　　为了管理和维护，使用一个加密通道访问防火墙系统。

　　对设备的物理访问受到限制。

　　对防火墙进行配置，向外部网络隐藏内部的受限DNS信息。

　　外部防火墙限制进入的SNMP请求。

　　防火墙向外部源隐藏内部信息。

　　配置防火墙拒绝所有的服务，除非明确准许。

　　安全相关的补丁被运用到防火墙系统。

　　正确地备份配置设置，并仅给被授权的人员访问。

　　下图1描述了一个防火墙标准规则库的一个实例。在此例中，标准的策略详细地描述了默认的设置。



　

　　与Firewall Builder协同工作

　　Firewall Builder是一个通用公共许可证软件包，其设置目的是为了帮助管理员配置防火墙。当前的版本支持许多防火墙平台，如FireWall Services Module (FWSM)，ipfi lter，ipfw，iptables，PF，Cisco Private Internet Exchange (PIX)等，还有大量的其它平台，如FreeBSD，Cisco FWSM，Linksys/Sveasoft，GNU/Linux (kernel 2.4 and 2.6)，Mac OS X，OpenBSD，Solaris等。

　　在设置的标准的策略之后，管理员们需要作出的下一个决定是定义防火墙的接口，然后是每一个接口的配置。一个防火墙通常拥有的接口包括外部接口(不可信任的)和内部接口(可信任的)。因此，测试防火墙包括测试防火墙每一个接口的配置，以验证其与单位的防火墙策略的一致性。


构建测试

在Firewall Builder的网站上拥有许多配置指南，如下图2所示：

   


多数厂商拥有其自己的指南和安装向导。使用Firewall Builder这样一种工具的一种主要好处是能够管理几个系统，请看下图3：

  



这个界面准许审计人员根据策略快速验证配置信息。此外，此工具提供了保存规则集的能力，此功能增强了对改变的管理。通过回头查看以前的规则集，审计人员会看到更改的模式，并查找添加规则的原因。

在对策略作了最后的编译并安装后，策略安装程序会增加快速查看日期的特性。如下图4所示：

  

相冲突的规则

有时，有必要合并规则库。为此，Firewall Builder工具拥有一个验证功能，如下图5所示：


系统管理

在你审计一个防火墙时，下一步是看一下防火墙的操作是如何被管理、被监视的。需要关注如下的过程：

用户管理（即谁可以访问防火墙设备及对防火墙作出改变）。

对配置和防火墙规则库的更改。

更新及将安全补丁运用到操作系统和防火墙上。

监视防火墙软件的新漏洞。

决定所有的防火墙活动是否被记录。

决定规则活动、日志和规则冲突是否进行了监视。

决定防火墙的持续性计划是否安置得当。

测试防火墙规则库

防火墙规则库可以指明哪些数据库被准许通过或拒绝（丢弃）。数据包可来自内部或外部源，而防火墙的规则库根据几条标准或规则，可以决定一个数据包是否被准许通过。

多数防火墙都有默认设置。然而，这些设置并不一定提供许多单位所要求的最基本的安全水平。例如，有些Checkpoint的防火墙设备默认情况下准许未受限的DNS、ICMP、RIP等通信进、出防火墙。这些默认设置将防火墙向外部的特洛伊木马、ping攻击、中间人攻击，以及其它的利用开放端口的攻击。

测试规则库可以发现某些能够影响防火墙性能和网络安全的配置错误及漏洞。

规则库的管理是许多防火墙的管理员们的一个重要问题。防火墙的规则库易于出现各种问题，如不正确、重叠、未用的规则。在过去的若干年中，对此进行了许多研究，研究人员确认了许多足以引起管理员们注意的异常情况：

在管理员们创建一种要合并较低优先权的高优先权规则时，会发生规则重叠的情况。例如，管理员们可能要创建一种在规则库中高高在上的规则，准许所有的SMTP通信。而一条地位较低的老规则可能会专门准许SMTP通信到达一个邮件服务器。然而，因为其类似性和低优先权，这条特别的规则将绝对不可能被激发。在更低优先权的规则要阻止通信到达一个特别的服务器时，这种情况会变得更糟。因为这种概括性的规则首先出现，这种阻止将绝对不会生效。

在服务或系统不出现于网络中时，或其它的改变使得一条规则成为孤立的规则时，就会发生所谓的“规则遗弃”问题。这些规则通常不会从防火墙中删除，这就创造了一个潜在的安全漏洞，并添加了防火墙管理员的负担。

未用的规则类似于孤立规则，这些规则从未使用。未用的规则可能来自从未具体实施的项目中的改变请求。或者说，未用的规则可能源自于管理员们在创建规则时的错误。

现在国外有不少商业化的工具试图解决这些问题。如FireMon、Firewall Analyzer。然而，真正的解决方案是保持规则库的简单，将其限制为一个可管理的大小，并执行经常化的审计。

确认错误配置

在评估防火墙的策略时，需要考虑如下几个方面的问题：

这种设计考虑到增长了吗？

系统打了补丁并实施了测试吗？

这种策略提供了深度防御吗？这种体系结构考虑到了TCP/IP协议栈的所有层吗？

哪些通信准许进入网络？哪些通信准许从网络发出？所有进入或离开网络的通信应当得到准许。有一些规则和标准，如PCI的数据安全标准要求验证所有通信，但这是一个好方法，甚至在被采用的标准没有祥细说明时也是这样。

识别漏洞

防火墙的漏洞可能是一个错误或是防火墙设计、实施、配置中的一个弱点，不怀好意的人可以利用这种漏洞攻击网络或系统。
我们可以将防火墙的漏洞作如下的分类：

确认错误：在程序与环境交互而无法保障环境数据的正确性时，就会发生确认错误。有三种类型的环境数据需要确认：输入、初始化、目标。输入的确认保障所期望的输入。这包括类型、每种输入的格式等。初始化验证保障数据的初始化如实地完成，例如，检查IP源的身份。目标验证可保障信息到达所期望的位置。这包括受保护的信息不会到达一个不可信任的目标。

授权错误：授权错误（鉴定错误）使得在不充分检查调用代理授权的情况下调用一种受保护的操作。

序列化/混淆错误：序列化错误使得不同系统运行的异步行为被利用来引起安全问题。在同一对象的两个名字可引起其内容发生不可预期的改变时，就会发生混淆漏洞错误，这就会造成实施非法的检查。

边界检查错误：如果不能检查边界并确保限制的可行性，就会发生边界检查错误。如果不检查与表格大小相关的过高的值、文件分配、或其它的资源消耗，就会姓边界检查错误。缓冲区溢出就是边界检查错误的结果。

域错误：在保护环境之间的预期边界存在漏洞时，就会发生域错误。这会导致信息秘密地被泄露。

设计错误：设计错误可被追溯到设计阶段。例如，一种脆弱的加密算法就属于此类。

上述漏洞的最常见的后果：

执行代码：在漏洞导致代码被非法执行时，一些有害的代码就会甚嚣尘上。这包括但不限于黑客编写的代码。

更改目标源：在一个漏洞准许一个源的状态被一个攻击者非法利用时，就会发生目标源的更改。源可以是一台主机、一个防火墙的规则表，或者是一个防火墙所保护的任何实体。

对目标源的更改：在某漏洞准许攻击者非法访问某些源时就会发生对目标源的访问。同样地，这种源可以是防火墙所保护的任何实体。这种漏洞影响的实例包括，准许攻击者读取防火墙的规则表，或者是可以发现在一台受保护的主机上有哪些服务。

拒绝服务攻击：在一个漏洞被利用来中断某种提供给合法用户的服务时，就会发生拒绝服务攻击。这种情况中的服务可以是数据包转发、网络地址转换、管理等。

最好使用一些自动化的工具来确认防火墙的漏洞，如漏洞扫描器。这种扫描器通过将防火墙的配置与已知的漏洞相比较而决定防火墙的漏洞所在。下面是业界最常用的一些工具：

一种称为活动漏洞扫描器，如ISS Internet Scanner，赛门铁克的NetRecon，Nessus(下文将有介绍)。

另外一种称为基于主机的扫描器，如微软的基准安全分析程序（MBSA），ISS System Scanner,赛门铁克的Enterprise Security Manager。


下面的内容将涉及到网络数据包的流动问题。漏洞扫描程序应当与其它的专业工具相互补充，分析通过网络的数据包。

扫描网络

除了直接评估规则库的错误配置和漏洞，管理员也应当在每一个可能的接口上扫描网络自身，不管是内部的接口还是外部的接口。要实现这些扫描，可以使用网络映射和端口侦察工具，如NMAP、hping、Superscan、Nemesis。也可以使用被动漏洞评估工具（数据包嗅探程序），这些工具可以捕获和显示网络通信，并加以分析。这些工具的例子包括Wireshark、tcpdump、windump。最后一点，还有主动漏洞扫描工具，经过精心编制的探查插件来扫描网络，查看目标的响应。主动扫描工具有Nessus、Saint、SARA等。
使用上述工具，用户可以执行一些基本的测试，如：

使用TCP和UDP协议扫描防火墙上的全部65***35个端口。

执行ping扫描，查看响应请求是否可以通过。

执行SYN扫描子网，查看开放的端口（为代理使用一个完整的TCP连接）。

借助ACK数据包执行扫描，以查看其处理方式是否有所不同。

执行慢速的SYN扫描，以查看是否检测到端口扫描。

借助FIN数据包执行扫描，以查看其处理方式是否有所不同。

对ACK数据包进行分段，以查看其处理方式是否有所不同。

执行UDP扫描子网，以查看开放的端口。

我们建议安全管理员们更多地使用多种工具来扫描和监视网络。多个工具的使用将会减少诸多似是而非及“似非而是”的情况，会给网络一个更加完整的映像。
在扫描过程中，要保障配置好嗅探程序，以监视通过防火墙的数据通信。不要单独轻信防火墙的日志。

使用nmap

在执行上述的基本测试时，下面的屏幕截图展示了NMAP的基本使用。注意，有几种类型的信息，如开放的端口和运行的服务，都被当作了输出信息。

对防火墙的全部65***35个端口的TCP和UDP扫描如下图6所示，其语法是：Nmap –sTU –p1-65***35 <目标>

  



下图7展示的是执行ping扫描，查看响应请求是否可以通过，其语法是：Nmap –PE <目标系统的IP地址>

  



下图8展示的是运行SYN扫描子网，查找开放的端口（为代理使用一个完整的TCP连接），其语法是：

Nmap –sS <目标系统的IP地址>

  


下图9展示的是借助FIN数据包实施的扫描，目的是决定是否以不同的方式处理。其语法是：

Nmap –sF <目标系统的IP地址>

  



下图10展示的是借助ACK数据包扫描系统，以查看其处理方式是否不同，其语法是：

  


Nmap –sA <目标系统的IP地址>

下图11展示的是运行UDP扫描子网，以查找开放的端口。

Nmap –sU <目标系统IP地址>/24

  


使用hping2

另外一个好工具是hping2，它是一个命令行的TCP/IP数据包分析程序。它效仿了unix的ping命令，支持TCP、UDP、ICMP等协议，支持traceroute模式，即通过一个隐蔽通道来发送文件，还有许多其它的特性。所有的报头字段都可用命令行工具来修改和控制。此工具的有些使用是针对防火墙的测试的，其它的使用包括高级端口扫描、使用不同的网络协议实施网络测试、服务类型、分段、最大传输单元（MTU）发现、所支持协议的高级追踪（traceroute）、远程操作系统的指纹识别、远程正常运行时间的推测、TCP/IP协议堆栈的审计等。

执行hping的UDP端口123的扫描，如下图12：

  


发送一个ICMP时间戳请求数据包，如下图13：

  


运行hping，执行SYN扫描1号端口，如下图14：

  



修改控制

如果不经常检查，即使配置得当的防火墙规则库很快也会“弱不禁风”。有些管理员们在配置好了防火墙的规则后，就以为可以高枕无忧了。这种现象司空见惯。要知道，每时每刻都有可能发现新的操作系统漏洞和防火墙的新漏洞。如果防火堵的操作系统和软件（包括规则库）没有及时更新，防火墙就无法抵挡住攻击。也就无法承诺什么谨慎性、合理性等要求了。

然而，对防火墙的更改绝不凭一时冲动或心血来潮。一个恰当的改变管理程序，应当是总体安全策略的一部分。不管何时修改了规则，下面的信息都应当作为注释包括进去：

修改规则的人员姓名

修改的日期和时间

修改的原因

管理部门的许可

这里，最好的说法是这种检查是定制的，是根据基本要求而进行的自动检查。你为什么不让系统为自己做这项工作，并且如果不经过正确的更改程序，就让它及时发出警告呢？

验证防火墙

在防火墙被投入使用之前（一个不断变化的环境），应当验证其配置。验证意味着检查防火墙的配置是否能够使防火墙执行安全功能，检查它是否与单位的安全策略相一致。用户无法通过查看策略自身而验证防火墙。策略是一个指示器，但未必表明真实状态。保障防火墙可以正常运行的唯一方法是使用其控制机制来测试它。要验证防火墙，你需要向它发送数据包。

验证防火墙需要持续地监视其健康状态和稳定性。应当不断地监视关于防火墙规则库的适当的更改管理程序和策略。每形成一条规则，防火墙都应当作为一个整体而验证，而不仅仅是在添加或改变某条特定规则时进行验证。

应当立即调查非正常的通信模式。如果一台服务通常情况下通过防火墙仅接收少量的数据通信，但突然某一天有海量的通信通过了防火墙，那么这种情况可能需要深入调查。虽然在某些情况下，有可能出现一些正常的突然性的通信激增（例如一台不同寻常的服务器），但这种突然性也有可能意味着错误配置或攻击的开始。

规则的违反应当作为事件来对待。查看由防火墙所禁止的通信可能导致一些有趣的发现，但即使最小的单位也可以看看所有的日志。对于源自于内部网络的通信来说，这一点尤其重要。这个问题最常见的原因往往是一个错误配置的系统或是一个不清楚通信限制的用户，不过，对违反规则活动的分析也可能发现一些通过设备发送恶意通信的请求。

应当定期检测源自内部可信任网络的探测活动。这是十分有意思的，因为这有可能代表着一个受损的内部系统试图扫描互联网主机的活动，也有可能意味着某个内部用户在运行一个扫描工具。这两种情况都值得注意。

除了前面提到的这些问题，管理员也应当经常监视防火墙的日志文件，检查一些重大的事件。这分为三大类型，一是关键的系统问题（如硬件失效或性能瓶颈），二是重大的经授权的管理事件（如规则集的改变、管理账户的改变），三是网络连接日志。解析如下：

主机操作系统日志消息 为了行文的需要，笔者在最小的安全要求下捕获了这种数据，也记录了有关的操作系统问题。

网络界面的更改 我们需要测试默认的操作系统日志是否捕获了这种信息，或者说这种防火墙软件是否在什么地方作了记录。

对防火墙策略的更改

系统损害

网络连接日志 这些日志中的信息包括丢弃或拒绝的连接请求、准许连接的时间、协议、IP地址、用户名等，还有传输的数据量。
有一些工具可以使防火墙记录的监视自动化，包括实时警告和通知、定制的报告等。

对于处理机密数据的防火墙的配置检查应当是强制性的。事实上，付款卡行业数据安全标准（PCI-DSS）要求定期(如每季检查一次)检查防火墙系统的付款处理问题。

人工验证

在安全管理人员、防火墙管理员、网络架构设计师及直接关系到单位网络安全的管理和监控的其他人员以一种团队方式来验证防火墙时，人工验证将显得极为有效。

首要的一点是，规则库应当遵循单位的安全策略，因此笔者建议安全管理人员等应当到达规则检查现场。

在验证之前，规则库应当进行备份，以保证一旦更改防火墙之后如果出现任何的差错，便可以安装以前的规则库，并从出现问题的地方开始诊断。

在验证规则库时，要清除一些不需要的规则。要保证规则库的简易可行，符合最佳方法。如果有一条规则所有的人员都不清楚其来龙去脉，那就应当清除之。同样的规则适用于冗余规则。此外，还有一些规则可以组合到一起。

谈到最佳方法问题，笔者建议将任何的改变都存档，以备将来参考。规则的任何例外都应当备案，并要对这些例外加以解释。（这可成为未来审计的一个基准。）

最后一点，应当验证规则的正确顺序。规则顺序至关重要。多数防火墙按顺序检查数据包。在收到一个数据包时，对照第一条规则，然后是第二条、第三条，以此类推。在发现匹配某条规则时，检查就停止，规则就被运用。如果数据包遍历了每条规则而没有找到一条匹配，那么，这个数据包就会被阻止。（或者应当如此。防火墙的最后一条规则默认应当是一条丢弃或拒绝规则，但并非总是这样。）

理解下面这一点至关重要：匹配的第一条规则被运用到数据包，而不是最匹配的那条规则。基于这种理解，我们建议更特别的规则应当在前，更一般的规则应当置后。规则的这种安排可防止在匹配一条更特定的规则之前而“选中”更一般的规则，有助于防止防火墙的错误配置。

规则库的自动验证

有一些很容易得到的工具可以执行规则库的分析，它将规则库与一个标准进行匹配比较，如RAT（路由器审计工具）和Nipper。这些工具针对已知的漏洞运行规则库的每一条规则，然后提供一条报告，并建议如何更好地纠正这些发现的错误。

使用自动化的工具要比人工验证更为迅捷，作为一种额外的特性，它可以检查最新的防火墙补丁/更新是否已经安装。然而，自动化的工具也有其限制。限制之一就是其不能保证规则库遵循安全策略。在这种情况下，人工验证就显示出它的优势了。

创建自己的检查列表

管理员应当具备的最重要的一个工具是最新的系统检查列表。这种检查列表有助于决定自己的范围和检查及验证的过程。此过程的第一步应当确定一个遵循单位需要的良好信息源。

安全检查列表、单位策略与内部信任过程的整合必将造就良好的安全实践，从而形成有效的监管。

第一步是要确认与待审计系统相关的目标。一旦你确认了目标，就应当检查单位需要遵循的规范和标准。要诀是不要针对每一条标准实施审核，而是要创建一系列可保障安全系统的控制机制。构造一个安全系统，用户最终也就可保证遵循了任何规章制度。

有一些国际网站提供了大量的免费检查列表，CIS、SANS、NSA、NIST、DISA等，这对于帮助我们构造自己的防火墙审计架构是在大有裨益的。

全文总结

许多人断言，防火墙已死。笔者以为这绝非事实。事实是，防火墙正在发生变化，但它却是一个至关重要的安全设备。虽然RPC、HTTP等协议和p2p网络损害了防火墙的效力，但考虑到内部的通信，没有防火墙很难保证拥有一个安全的站点。没有防火墙很难满足一致性要求。没有防火墙的任何管理员简直是在玩火。所以我们说，防火墙的验证很重要。仅拥有一个防火墙是不够的，它必须能够发挥效力。这意味着安全人员和管理人员为此要进行审计和测试

1873804959

路过看看