让防火墙顺从我们想象中的意图来工作

　　整个测试计划包括案例测试、配置测试、与期待目标:

　　·测试路由配置、包过滤规则(包括特殊服务的测试)、日志功能与警报

　　·测试防火墙系统整体性能(例如硬/软件故障恢复、足够的日志存储容量、日志档案的容错性、监视追踪器的性能问题)

　　·尝试在正常或不正常这两种情况下进行的测试

　　同样你也需要记录你在测试中打算使用的工具(扫描器、监测器、还有漏洞/攻击探测工具)，并且相应地测试一下它们的性能。

　　“获取测试工具”

　　逐步使用你的各种防火墙测试工具能够知道你的防火墙产品在各类性能指标上是否存在着不足各种类型的防火墙测试工具包括①:

　　·网络通信包生成器(如SPAK[Send PAcKets]、ipsend、Ballista)

　　·网络监视器(如tcpdump与Network Monitor)

　　·端口扫描器(如strobe与nmap)

　　·漏洞探测器(可以扫描到一定的有效范围、能针对多种漏洞的)

　　·入侵测试系统[IDS]如NFR②[Network Flight Recorder]与Shadow③

　　查阅相关信息可以看Detecting Signs of Intrusion[Allen 00]，特定的实践可以参阅"Identify data that characterize systems and aid in detecting signs of suspicious behavior"、建议书在"Identify tools that aid in detecting signs of intrusion"。

　　“在你的测试环境中测试防火墙系统的功能”

　　建立一个测试框架以便你的防火墙系统能在两台独立的主机之中连通，这两台端一端代表外网一端代表外网。

　　在测试时要确保内网的默认网关为防火墙系统(当然这里指的是企业级带路由的防火墙啦:)，如果你已经选择好一个完整的日志记录体系(推崇)，工作在内网主机与日志记录主机之间的话，那么你就可以进行日志记录选项测试了。如果日志记录在防火墙机器上完成的话，你可以直接使用内网机器连上去。