隨筆檔案

　　為了確保你可以選擇到最好的防火墻，天下數據將告訴你怎么對防火墻進行測試。我們在測試防火墻的過程可以劃分成三個截然不同的階段：評估性能、主觀性的評價、以及緩解威脅的有效性。(本文為天下數據首發，天下數據專業提供主機托管、主機租用)

　　階段一、評估性能

　　性能測試通常也要求專門的工具，但是已經有很多廣受人歡迎的開源工具可供選擇。當測試性能時記住用空設備檢查試驗臺的測試，一個路由器或是轉接線就不錯。這會告訴你試驗臺的最大速度。從這里開始，要牢記于心網絡測試員David Newman的測試定律：測試必須是可重復的，必須是壓力性的(對于設備來說，不是對你)，必須是有意義的。將你正在測試的設備發揮到它的極限，即使你不會在實際運行中達到那種程度。這會告訴你未來會在哪里碰壁，以及設備有多少使用上升空間。

　　階段二、主觀性評價

　　你的主觀性評價應該基于一個標準列表，而不是功能列表。評審防火墻的每個部分，例如如何定義規則、如何建立VPN隧道、遠程訪問如何工作，以及威脅緩解功能是如何分層構建于產品之上。記錄你的調查結果，并且在你的筆記中添加許多截圖。否則在你測試防火墻A時看起來明顯的東西，六周后當你評審防火墻G時，回顧那些調查結果可能會讓你感到不解。對你評價的每個標準都做好筆記。

　　階段三、有效性測試

　　沒有專門的工具很難進行有效性測試，并且即使你擁有專門的工具，你可能無法得到好的結果。有效性測試應該關注于三個領域：入侵預防、防惡意軟件和應用識別。

　　對于入侵預防系統(intrusion prevention system，簡稱IPS)測試，盡管其它的測試廠商，如思博倫通信公司和IXIA有限公司有類似的產品，我的公司使用的是Mu Dynamics的產品。如果需要的話你可以購買或是租用這些工具，但是你應該能夠讓每個防火墻廠商運行你指定的測試，雖然通常他們擁有同樣的工具。

　　對于應用識別測試，選取你最關心的應用，并且對真實的服務器進行測試。如果你想阻斷點到點(P2P)的文件共享軟件，啟動一些不同的Torrent客戶端然后觀察會發生什么。對于諸如webmail或是Facebook這樣的應用也要做同樣的測試，它們都是應用識別與控制測試的首要候選。不用嘗試自動化的測試工具，因為測試結果永遠不會像真實的應用和真實的服務器通信那樣精確。這點對于那些逃避檢測的應用特別準，如BitTorrent和Skype軟件，用測試工具永遠無法完美地模擬它們的通信。