本文中筆者將討論如何測試防火墻，你應(yīng)該實施的三種類型防火墻測試、以及令人意外：對于確保為你的組織選擇最好的防火墻，測試類型并不重要。

測試防火墻的過程可以劃分成三個截然不同的階段：主觀性的評價、緩解威脅的有效性以及性能測試。

測試防火墻：主觀性評價

你的主觀性評價應(yīng)該基于一個標(biāo)準列表，而不是功能列表。評審防火墻的每個部分，例如如何定義規(guī)則、如何建立VPN隧道、遠程訪問如何工作，以及威脅緩解功能是如何分層構(gòu)建于產(chǎn)品之上。記錄你的調(diào)查結(jié)果，并且在你的筆記中添加許多截圖。否則在你測試防火墻A時看起來明顯的東西，六周后當(dāng)你評審防火墻G時，回顧那些調(diào)查結(jié)果可能會讓你感到不解。對你評價的每個標(biāo)準都做好筆記。

測試防火墻：有效性測試

沒有專門的工具很難進行有效性測試，并且即使你擁有專門的工具，你可能無法得到好的結(jié)果。有效性測試應(yīng)該關(guān)注于三個領(lǐng)域：入侵預(yù)防、防惡意軟件和應(yīng)用識別。

對于入侵預(yù)防系統(tǒng)（intrusion prevention system ，簡稱IPS）測試，盡管其它的測試廠商，如思博倫通信公司和IXIA有限公司有類似的產(chǎn)品，我的公司使用的是Mu Dynamics的產(chǎn)品。如果需要的話你可以購買或是租用這些工具，但是你應(yīng)該能夠讓每個防火墻廠商運行你指定的測試，雖然通常他們擁有同樣的工具。

對于應(yīng)用識別測試，選取你最關(guān)心的應(yīng)用，并且對真實的服務(wù)器進行測試。如果你想阻斷點到點（P2P）的文件共享軟件，啟動一些不同的Torrent客戶端然后觀察會發(fā)生什么。對于諸如webmail或是Facebook這樣的應(yīng)用也要做同樣的測試，它們都是應(yīng)用識別與控制測試的首要候選。不用嘗試自動化的測試工具，因為測試結(jié)果永遠不會像真實的應(yīng)用和真實的服務(wù)器通信那樣精確。這點對于那些逃避檢測的應(yīng)用特別準，如BitTorrent和Skype軟件，用測試工具永遠無法完美地模擬它們的通信。

測試防火墻：評估性能

性能測試通常也要求專門的工具，但是已經(jīng)有很多廣受人歡迎的開源工具可供選擇。當(dāng)測試性能時記住用空設(shè)備檢查試驗臺的測試，一個路由器或是轉(zhuǎn)接線就不錯。這會告訴你試驗臺的最大速度。從這里開始，要牢記于心網(wǎng)絡(luò)測試員David Newman的測試定律：測試必須是可重復(fù)的，必須是壓力性的（對于設(shè)備來說，不是對你），必須是有意義的。將你正在測試的設(shè)備發(fā)揮到它的極限，即使你不會在實際運行中達到那種程度。這會告訴你未來會在哪里碰壁，以及設(shè)備有多少使用上升空間。

不要在一千種不同的環(huán)境下測試性能，因為你的網(wǎng)絡(luò)只會遇到一種環(huán)境：現(xiàn)實。嘗試構(gòu)建代表你的網(wǎng)絡(luò)和使用情況狀況的小環(huán)境，并且對同等配置的防火墻進行測試。因為大多數(shù)防火墻的大部分工作就是處理HTTP和HTTPS流量，你就放心專注于測試它們。增加額外3%左右的DNS流量會使測試更為復(fù)雜，并且通常不會告訴你任何有用的東西。

性能測試必須有“通過/失敗”這樣的指標(biāo)。例如，當(dāng)防火墻開始拒絕打開新的會話時，應(yīng)該結(jié)束測試因為已經(jīng)超出了它的極限。你應(yīng)該也設(shè)置其它的上限，例如最大的延遲時間，來定義什么時候防火墻的表現(xiàn)是無法接受的。

完成這三種類型的測試，你會清楚地明白適合組織的最佳防火墻產(chǎn)品。