防火墙安装完成后如何测试是否生效？

防火墙安装完成后，必须通过多维度实测确认其策略是否真实生效。可先在系统层面验证服务状态——Windows用户可通过“高级安全Windows Defender防火墙”图形界面或PowerShell中执行`Get-NetFirewallProfile`命令查看各配置文件启用状态；Linux用户则依据发行版调用`systemctl status firewalld`、`ufw status verbose`或`sudo iptables -L -n`获取实时运行与规则列表。进一步需开展功能性验证：使用nmap从局域网内其他设备对目标主机执行端口扫描，比对开放端口是否严格匹配预设白名单；若已配置Web防护规则，还可构造合规与非合规HTTP请求（如含SQL注入特征的URL），观察响应是否按策略返回拦截提示页。所有测试均应基于官方文档推荐路径展开，确保验证过程覆盖状态、规则、行为三层逻辑。

一、Windows系统防火墙策略有效性验证流程

在图形界面确认状态后，需进入实际通信测试环节。首先启用“事件查看器”中的Windows Defender 防火墙日志功能：通过“高级安全Windows Defender防火墙”→“属性”→对应配置文件（域/专用/公用）→勾选“记录丢弃的数据包”和“记录成功的连接”，保存后重启防火墙服务。随后使用另一台Windows设备执行`telnet 目标IP 端口号`命令，对已禁止的端口（如TCP 135）发起连接，若超时无响应且事件查看器中出现对应丢包记录，则证明入站拦截生效；对已放行端口（如HTTP 80）则应建立连接并返回服务响应。此过程可交叉验证规则匹配精度与日志完整性。

二、Linux系统防火墙行为级测试方法

针对ufw用户，执行`sudo ufw status verbose`确认规则编号与动作（ALLOW/DENY）后，在局域网内另一终端运行`nmap -sS -p 22,80,443,3306 target_ip`，重点观察3306等非开放端口是否显示filtered或closed；若显示open但未配置允许规则，说明策略未生效。firewalld用户需额外执行`firewall-cmd --list-all-zones`核对区域绑定与富规则，并用`curl -v http://target_ip:8080/test.php`模拟访问被屏蔽路径，验证是否返回403或自定义阻断页。iptables用户建议配合`sudo tcpdump -i any port 22 and host test_client_ip`抓包，确认SYN包是否被DROP而非RST响应，以区分防火墙拦截与服务未启动。

三、Web应用层防护联动验证要点

若部署了云原生WAF或集成式Web防护模块，须在负载均衡后端实例中部署带特征标识的测试页面（如/test-sqli?id=1%27%20OR%201=1--），通过公网域名访问该URL。正常情况下应返回统一拦截页（含WAF厂商标识及事件ID），而非数据库报错或空白响应；同时登录WAF控制台，实时查看攻击日志中该请求是否被标记为“SQL注入”并触发阻断动作。此步骤必须绕过CDN缓存直连源站，确保测试流量真实触达防护引擎。

综上，防火墙有效性验证是状态确认、规则校验与行为观测的闭环过程，缺一不可。