防火墻在企業安全防護中的地位是無法被撼動的，為了企業自身的互聯網安全，部署互聯網防火墻已經是企業安全管理員的必要環節。但是并非布置了互聯網防火墻就萬事大吉了，想要真正保證企業安全，對防火墻的定期測試是必不可少的。今天本文就為大家介紹如何通過規則分析工具對企業防火墻進行測試。

在復雜的防火墻部署中，防火墻規則集可能會比較凌亂。隨著時間的發展，這些規則集可能與安全策略脫軌，同時也有可能產生沒有用的規則。

定期通過規則分析工具對防火墻規則進行審查可以解決這些問題。這種檢查可以帶來一些短期效益。例如有的管理員在調試一個新安裝的應用程序時，加入了一條規則來允許所有通信通過，但是測試完成后卻完了刪除該規則。通過防火墻規則測試就可以發現這個被遺忘的防火墻規則。

另外，通過規則分析工具分析防火墻規則集還可以發現防火墻中自相矛盾的規則。舉個例子來說，一個企業的過濾策略可能被用來在網絡邊界位置阻擋Windows網絡端口。在網絡架構區域，管理員可能在本地防火墻上設定了開放TCP端口135、139和445，另外還有UDP端口138，因為他們認為在邊界設備上已經包含了這些端口的過濾。但是，這種做法有可能引入安全缺陷。

人們往往認為在網絡邊界進行了防護而放松在網絡內部的防護，盡管沒有人會去定制不安全的防火墻規則集，但是隨著時間一長就有可能會出現問題。

用于防火墻分析和審計的商業工具有不少，例如AlgoSec的Firewall Analyzer，RedSeal的Security Risk Manager和Skybox公司的Firewall Compliance Auditor等。

其中AlgoSec Firewall Analyzer(AFA)可以自動探測防火墻策略中的安全漏洞。它可以完成更改管理、風險管理、自動審核和策略優化等功能。它可以發現未用的規則、重復規則、禁用規則和失效的規則。

AFA可以備份防火墻策略，然后進行離線分析，因此它不會影響防火墻的性能。

【編輯推薦】

1. Web應用防火墻的功能與價值
2. xss攻擊 Web安全新挑戰
3. 百家爭鳴：web攻擊與web防護
4. Web應用防火墻的主要特性
5. 防止入侵從Web應用安全漏洞做起