CN110830330A - 一种防火墙测试方法、装置及系统 - Google Patents
一种防火墙测试方法、装置及系统 Download PDFInfo
- Publication number
- CN110830330A CN110830330A CN201911241220.2A CN201911241220A CN110830330A CN 110830330 A CN110830330 A CN 110830330A CN 201911241220 A CN201911241220 A CN 201911241220A CN 110830330 A CN110830330 A CN 110830330A
- Authority
- CN
- China
- Prior art keywords
- preset
- test
- firewall
- tool
- configuration parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/14—Arrangements for monitoring or testing data switching networks using software, i.e. software packages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Abstract
本申请提供了一种防火墙测试方法、装置及系统,其中,方法包括:在接收到预设的测试指令的情况下,通过控制预设的第一工具将测试指令指示的预设文件中的配置参数配置给待测试的防火墙;配置参数用于指示防火墙需防御的数据包;通过调用预设的第二工具,使得第二工具触发预设文件中的预设信息指示的测试用例,使得测试用例确定测试结果;测试用例存储于预设的测试用例库。本申请实现了对防火墙的自动化测试。
Description
技术领域
本申请涉及电子信息领域,尤其涉及一种防火墙测试方法、装置及系统。
背景技术
防火墙对攻击的防御能力、防御机制的有效性和合理性,对保障数据安全具有重要意义,因此,需要对防火墙进行测试。
目前,对防火墙的任一种攻击测试,需要专业人员编写该种攻击测试的测试用例,以通过该测试用例实现对防火墙的该种攻击测试。因此,每次对防火墙测试都需要专业人员编写测试用例,使得对测试人员的要求较高。
因此,需要一种防火墙测试方法,实现自动对防火墙进行测试。
发明内容
本申请提供了一种防火墙测试方法、装置及系统,目的在于提供一种对防火墙的自动测试方法。
为了实现上述目的,本申请提供了以下技术方案:
本申请提供了一种防火墙测试方法,包括:
在接收到预设的测试指令的情况下,通过控制预设的第一工具将所述测试指令指示的预设文件中的配置参数配置给待测试的防火墙;所述配置参数用于指示所述防火墙需防御的数据包;
通过调用预设的第二工具,使得所述第二工具触发所述预设文件中的预设信息指示的测试用例,使得所述测试用例确定测试结果;所述测试用例存储于预设的测试用例库。
可选的,在所述配置参数包括目标配置参数的情况下,所述测试用例包括目标测试工具;
所述目标配置参数用于指示所述防火墙防御不符合应用层协议的数据包;所述目标测试工具用于控制预设软件,使得所述预设软件模拟产生目标测试数据包;所述目标测试数据包包括:实际工业生产过程中向所述防火墙发送的符合所述应用层协议数据包,以及不符合所述应用层协议数据包。
可选的,所述预设信息指示的测试用例为多个测试用例;所述预设文件存储有对所述多个测试用例的预设调用方式;所述预设调用方式用于指示对所述多个测试用例的触发规则;
所述调用预设的第二工具,使得所述第二工具触发所述预设文件中的预设信息指示的测试用例,包括:
调用所述第二工具,使得所述第二工具按照所述调用方式触发所述多个测试用例。
可选的,所述通过控制预设的第一工具将所述测试指令指示的预设文件中的配置参数配置给待测试的防火墙,包括:
调用所述第一工具,使得所述第一工具将所述测试指令指示的预设文件中的配置参数写入预设的web界面,使得预设的web程序将所述配置参数配置给所述防火墙。
可选的,所述测试用例,用于向所述防火墙发送测试数据包、通过调用预设的第三工具触发预设的抓包分析程序对到达所述防火墙安全侧的数据包进行抓取和分析,得到抓包分析结果,以及至少依据所述配置参数和所述抓包分析结果,确定测试结果;
在所述测试用例至少依据所述配置参数和所述抓包分析结果,确定测试结果之前,所述方法还包括:
调用预设的第四工具获取所述防火墙运行过程中的参数信息和内存信息;
所述测试用例用于至少依据所述抓包分析结果,确定测试结果,包括:
所述测试用例具体用于依据所述抓包分析结果、所述参数信息和所述内存信息,确定测试结果。
本申请还提供了一种防火墙测试装置,包括:
控制模块,用于在接收到预设的测试指令的情况下,通过控制预设的第一工具将所述测试指令指示的预设文件中的配置参数配置给待测试的防火墙;所述配置参数用于指示所述防火墙需防御的数据包;
调用模块,用于通过调用预设的第二工具,使得所述第二工具触发所述预设文件中的预设信息指示的测试用例,使得所述测试用例确定测试结果;所述测试用例存储于预设的测试用例库。
可选的,在所述配置参数包括目标配置参数的情况下,所述测试用例包括目标测试工具;
所述目标配置参数用于指示所述防火墙防御不符合应用层协议的数据包;所述目标测试工具用于控制预设软件,使得所述预设软件模拟产生目标测试数据包;所述目标测试数据包包括:实际工业生产过程中向所述防火墙发送的符合所述应用层协议数据包,以及不符合所述应用层协议数据包。
可选的,所述预设信息指示的测试用例为多个测试用例;所述预设文件存储有对所述多个测试用例的预设调用方式;所述预设调用方式用于指示对所述多个测试用例的触发规则;
所述调用模块,用于调用预设的第二工具,使得所述第二工具触发所述预设文件中的预设信息指示的测试用例,包括:
所述调用模块,具体用于调用所述第二工具,使得所述第二工具按照所述调用方式触发所述多个测试用例。
可选的,所述控制模块,用于通过控制预设的第一工具将所述测试指令指示的预设文件中的配置参数配置给待测试的防火墙,包括:
所述控制模块,具体用于调用所述第一工具,使得所述第一工具将所述测试指令指示的预设文件中的配置参数写入预设的web界面,使得预设的web程序将所述配置参数配置给所述防火墙。
可选的,所述测试用例,用于向所述防火墙发送测试数据包、通过调用预设的第三工具触发预设的抓包分析程序对到达所述防火墙安全侧的数据包进行抓取和分析,得到抓包分析结果,以及至少依据所述配置参数和所述抓包分析结果,确定测试结果;
该装置还包括:执行模块,用于在所述测试用例至少依据所述配置参数和所述抓包分析结果,确定测试结果之前,调用预设的第四工具获取所述防火墙运行过程中的参数信息和内存信息;所述测试用例用于至少依据所述抓包分析结果,确定测试结果,包括:所述测试用例具体用于依据所述抓包分析结果、所述参数信息和所述内存信息,确定测试结果。
本申请还提供了一种防火墙测试系统,包括电子设备;所述电子设备与待测试的防火墙连接;
所述电子设备,用于在接收到预设的测试指令的情况下,通过控制预设的第一工具将所述测试指令指示的预设文件中的配置参数配置给所述防火墙;所述配置参数用于指示所述防火墙需防御的数据包;
所述电子设备,还用于通过调用预设的第二工具,使得所述第二工具触发所述预设文件中的预设信息指示的测试用例,使得所述测试用例确定测试结果;所述测试用例存储于预设的测试用例库。
可选的,所述电子设备包括第一电子设备和第二电子设备;所述第一电子设备和所述第二电子设备分别与所述防火墙连接;
所述第一电子设备,用于在接收到预设的测试指令的情况下,通过控制预设的第一工具将所述测试指令指示的预设文件中的配置参数配置给所述防火墙;
所述第一电子设备,还用于通过调用预设的第二工具,使得所述第二工具触发所述预设文件中的预设信息指示的测试用例,使得所述测试用例向所述第二电子设备发送第一信息;所述第一信息用于表示所述第二电子设备触发预设的抓包分析程序的指令;
所述第二电子设备,用于在接收到所述第一信息的情况下,触发所述抓包分析程序对到达所述防火墙安全侧的数据包进行抓取和分析,得到抓包分析结果,使得所述测试用例至少依据所述配置参数与所述抓包分析结果得到测试结果。
可选的,所述系统还包括:交换机;
所述第一电子设备和所述第二电子设备分别与所述交换机连接;
所述测试用例用于向所述第二电子设备发送第一信息,具体为:
所述测试用例,具体用于通过所述交换机向所述第二电子设备发送所述第一信息。
可选的,在所述配置参数包括目标配置参数的情况下,所述测试用例包括目标测试工具;
所述目标配置参数用于指示所述防火墙防御不符合应用层协议的数据包;所述目标测试工具用于控制预设软件,使得所述预设软件模拟产生目标测试数据包;所述目标测试数据包包括:实际工业生产过程中向所述防火墙发送的符合所述应用层协议数据包,以及不符合所述应用层协议数据包。
本申请所述的防火墙的测试方法、装置及系统,在接收到预设的测试指令的情况下,通过控制预设的第一工具将该测试指令指示的预设文件中的配置参数配置给待测试的防火墙;通过调用预设的第二工具,使得第二工具触发预设文件中的预设信息指示的测试用例,使得测试用例确定测试结果,测试用例存储于预设的测试用例库。
由于测试用例存储于预设的测试用例库,因此,无需专业人员当下去编写测试用例。另外,在本次测试前配置了所需的预设文件,预设文件中配置有所需配置在防火墙的参数,以及用于指示对防火墙进行测试的测试用例的预设信息。在接收到预设的测试指令的情况下,通过控制预设的第一工具将测试指令指示的预设文件中的配置参数配置给防火墙,其中,配置参数用于指示防火墙需要防御的数据包;通过调用第二工具,使得第二工具触发预设信息指示的测试用例,使得测试用例确定测试结果,从而实现自动对防火墙进行测试。
综上,本申请实现了对防火墙的自动化测试。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种防火墙测试方法的流程图;
图2为本申请实施例公开的一种防火墙测试系统的结构示意图;
图3为本申请实施例公开的第一电子设备与第二电子设备完成对防火墙的测试过程示意图;
图4为本申请实施例公开的又一种防火墙测试系统的结构示意图;
图5为本申请实施例公开的一种防火墙测试装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供的防火墙测试方法,可适用于工业防火墙,尤其适用于GW031工业防火墙。
在本申请实施例中,已经将对防火墙测试的全部测试用例事先组合在测试用例库中,以供任意一次测试过程中使用。具体的,测试用例库可以包括python脚本和测试工具。其中,测试工具可以包括:QTP工具、安全测试工具和putty工具。其中,安全测试工具可以包括nmap(网络扫描和嗅探工具包、吞吐量工具和最大连数工具等),python脚本可以包括功能测试脚本、性能测试脚本、畸形报文测试脚本、DDOS攻击测试脚本和组合测试脚本等。putty工具用于获取防火墙被测试过程中的参数信息和内存信息。
在本申请实施例中,测试人员对待测试的防火墙进行任意一次测试之前,事先在预设文件中写入本次测试所需配置给防火墙的配置参数、用于指示本次测试所需使用的测试用例的预设信息,以及在测试用例为多个的情况下,设定了测试用例的调用方式,其中,调用方式(对多个测试用例的触发规则)可以包括:(串行或并行)和调用顺序。
具体的,图1为本申请实施例提供的一种防火墙测试方法,包括以下步骤:
S101、在接收到预设的测试指令的情况下,通过控制预设的第一工具将该测试指令指示的预设文件中的配置参数配置给待测试的防火墙。
在本实施例中,配置参数用于指示该防火墙需防御的数据包。
在本步骤中,第一工具可以为Robotframework工具和Selenium工具,通过调用Robotframework工具和Selenium工具将预设文件中的配置参数配置给该防火墙。
具体的,通过调用Robotframework工具和Selenium工具将预设文件中的配置参数配置给该防火墙的过程,可以包括:
调用Robotframework工具和Selenium工具,使得Robotframework工具和Selenium工具将预设文件中的配置参数写入预设的web界面,预设的web程序将该配置参数配置给该防火墙。其中,预设的web程序将该配置参数配置给该防火墙为现有技术,这里不再赘述。
S102、通过调用预设的第二工具触发预设文件中的预设信息指示的测试用例,使得该测试用例确定测试结果。
本实施例中,第二工具可以为Robotframework工具。当然,在实际中,第二工具还可以为其他工具,本实施例不对第二工具的具体内容作限定。
在本实施例中,预设文件中的预设信息可以根据实际中本次所需使用的测试用例进行设定,对于任意一次测试所需使用的测试用例的具体内容,本实施例不作限定。
在预设文件中的测试用例有多个的情况下,第二工具按照预设文件中的预设调用方式触发多个测试用例。其中,预设调用方式用于指示对多个测试用例的触发规则。具体的,触发规则可以包括:第一规则、第二规则和第三规则。其中,第一规则指示测试用例的顺序为:功能测试、性能测试、DDOS攻击测试和畸形报文攻击测试。第二规则指示测试用例的顺序为攻击/畸形报文攻击测试、常规功能/性能测试。第三规则指示的测试用例的顺序为攻击/畸形报文测试的同时,执行常规功能/性能测试。当然,在实际中,触发规则除了为第一规则、第二规则和第三规则外还可以为其他规则,例如,还可以为这三种规则的组合等,本实施例不对触发规则的具体内容作限定。
在本实施例中,预设文件中的预设信息指示的测试用例被调用的情况下,该测试用例确定测试结果的过程包括以下步骤A1~步骤A3:
A1、测试用例向该防火墙发送测试数据包。
具体的,测试数据包包括:第一数据包和第二数据包。其中,第一数据包为配置参数指示防火墙不需防御的数据包;第二数据包为配置参数指示防火墙需要防御的数据包。
A2、测试用例通过调用预设的第三工具触发预设的抓包分析程序对到达该防火墙安全侧的数据包进行抓取和分析,得到抓包分析结果。
在本步骤中,第三工具可以为Robotframework工具,当然,在实际中,第三工具还可以为其他工具,本实施例不对第三工具的具体内容作限定。
在本步骤中,测试用例通过调用Robotframework工具,使得Robotframework工具触发预设的抓包分析程序对到达该防火墙安全侧的数据包进行抓取和分析,得到抓包分析结果。其中,抓包分析结果至少包括:到达防火墙安全侧的数据包中该防火墙所需防御的数据包的数量。
A3、测试用例至少依据配置参数和抓包分析结果,确定测试结果。
可选的,本实施例还可以调用预设的第四工具获取防火墙在被测试过程中的参数信息和内存信息,其中,预设的第四工具可以为putty工具,当然,在实际中,第四工具还可以为其他工具,本实施例不对第四工具的具体内容作限定。
测试用例还可以依据配置参数、抓包分析结果、参数信息和内存信息,确定测试结果。具体的,本步骤的具体实现过程为现有技术,这里不再赘述。
由于本申请实施例提供的测试方法可以适用于工业防火墙,在实际中,工业防火墙安全侧的数据包传输给控制站,控制站按照接收的数据包进行操作。由于在实际中,防火墙和控制站间进行通信所采用的通信协议为应用层协议,为了保证防火墙传输给控制站的数据包为合法的数据包,因此,本实施例需要对防火墙进行应用层协议测试。其中,应用层协议可以包括SCnetIV协议(ESC-700系统专用协议)、Modbus协议和OPC协议。
具体的,给防火墙配置的参数包括目标配置参数,目标配置参数可以为任意一种或多种应用协议对应的配置参数,目标配置参数用于指示防火墙需防御不符合应用层协议的数据包。测试用例包括目标测试工具,目标测试工具可以为QTP工具。具体的,QTP工具用于控制预设软件,使得该预设软件模拟产生目标测试数据包,其中,目标测试数据包包括:实际工业生产过程中向防火墙发送的符合应用层协议数据包,以及不符合应用层协议的数据包。其中,预设软件可以为DCS组态软件和监控软件。
需要说明的是,在实际中,目标测试工具除了为QTP工具外,还可以为其他工具,本实施例不对目标测试工具的内容作限定。预设软件除了可以为DCS组态软件和监控软件外,还可为其他软件,本实施例不对预设软件的具体内容作限定。
本实施例具有以下有益效果:
有益效果一、
由于测试用例存储于预设的测试用例库,因此,无需专业人员当下去编写测试用例。另外,在本次测试前配置了所需的预设文件,预设文件中配置有所需配置在防火墙的参数,以及用于指示对防火墙进行测试的测试用例的预设信息。在接收到预设的测试指令的情况下,通过控制预设的第一工具将测试指令指示的预设文件中的配置参数配置给防火墙,其中,配置参数用于指示防火墙需要防御的数据包;通过调用第二工具,使得第二工具触发预设信息指示的测试用例,使得测试用例确定测试结果,从而实现自动对防火墙进行测试。综上,本申请实现了对防火墙的自动化测试。
有益效果二、
在本实施例中,对防火墙进行应用层协议测试,通过调用预设的第二工具,使得第二工具调用QTP工具,该QTP工具控制预设软件,使得该预设软件模拟产生目标测试数据包,其中,目标测试数据包包括:实际工业生产过程中向防火墙发送的符合应用层协议数据包,以及不符合应用层协议的数据包。由于预设软件是模拟实际生产过程中防火墙和控制站所使用的应用层协议产生测试数据包,使得所产生的测试数据包更接近防火墙和控制站间实际通信中所产生的数据包,进而,采用预设软件产生的测试数据包对防火墙进行测试,使得测试结果具有较高的准确性。
图2为本申请实施例提供的一种防火墙测试系统,包括第一电子设备和第二电子设备,其中,第一电子设备和第二电子设备分别与防火墙连接。具体的,第一电子设备的网口与防火墙的第一网口连接,第二电子设备与防火墙的第二网口连接。本实施例中,在第一电子设备中存储有各种测试用例,以供任意一次测试使用。并且,针对任意一次测试,在本次测试之前,在第一电子设备中配置有预设文件,该预设文件中存储有本次测试所需配置给防火墙的参数,用于指示本次测试所需的测试用例的信息,以及在本次测试所需的测试用例为多个的情况下,对多个测试用例的调用方式等。
具体的,第一电子设备与第二电子设备完成对防火墙的测试过程包括如下图3所示,包括以下步骤:
S301、第一电子设备在接收到预设的测试指令的情况下,通过控制预设的第一工具将测试指令指示的预设文件中的配置参数配置给防火墙。
本步骤的具体实现方式可以参考S101,这里不再赘述。
S302、第一电子设备通过调用预设的第二工具,使得第二工具触发预设文件中的预设信息指示的测试用例,使得测试用例向第二电子设备发送第一信息。
本步骤中,通过调用第二工具,使得第二工具触发预设文件中的预设信息指示的测试用例的过程,可以参考S102,这里不再赘述。
在本步骤中,预设文件中的预设信息指示的任一测试用例被调用的情况下,该测试用例向防火墙发送测试数据包,测试用例通过调用预设的第三工具,使得第三工具向防火墙向第二电子设备发送第一信息。其中,第一信息用于表示第二电子设备触发预设的抓包分析程序的指令。
S303、第二电子设备在接收到第一信息的情况下,触发抓包分析程序对到达防火墙安全侧的数据包进行抓取和分析,得到抓包分析结果。
本步骤中,抓包分析程序可以为wireshark软件,具体的,对防火墙安全侧的数据包进行抓取和分析的过程为现有技术,这里不再赘述。
可选的,在本实施例中,第一电子设备或第二电子设备还可以调用putty工具来获取防火墙被测试过程中的参数信息和内存信息,使得测试用例依据配置参数、抓包分析结果、参数信息和内存信息,确定测试结果。
本实施例提供的防火墙测试系统,可适用于测试工业防火墙。具体的,预设文件中的配置参数还可以包括目标测试参数,预设文件中的预设信息指示的测试用户包括目标测试工具。其中,目标配置参数用于指示防火墙防御不符合应用层协议的数据包。目标测试工具用于控制预设软件,使得预设软件模拟产生目标测试数据包。其中,目标测试数据包包括:实际工业生产过程中向防火墙发送的符合应用层协议数据包,以及不符合应用层协议数据包。
在实际中,第一电子设备向第二电子设备发送第一信息的方式为,第一信息通过防火墙传输到第二电子设备。由于在防火墙被测试的过程中,需要处理大量的数据包,因此,该第一信息可能被拦截,导致第二电子设备不能及时对到达防火墙安全侧的数据包进行抓包和分析,从而影响测试结果的准确性。
为了提高测试结果的准确性,本申请实施例提供了图4所示的又一种防火墙测试系统,该测试系统包括第一电子设备、第二电子设备和交换机。其中,第一电子设备和第二电子设备分别与防火墙连接,具体的连接方式可以参考图3的连接方式,这里不再赘述。第一电子设备和第二电子设备还分别与交换机连接。
在本实施例中,第一电子设备向第二电子设备发送的第一信息通过交换机传输,对于第一电子设备与第二电子设备对防火墙测试的过程,除了第一信息通过交换机传输外,其他内容均可参考S201~S203,这里不再赘述。
图5为本申请实施例提供的一种防火墙测试装置,包括:控制模块501和调用模块502。
其中,控制模块501,用于在接收到预设的测试指令的情况下,通过控制预设的第一工具将测试指令指示的预设文件中的配置参数配置给待测试的防火墙;配置参数用于指示防火墙需防御的数据包。
调用模块502,用于通过调用预设的第二工具,使得第二工具触发预设文件中的预设信息指示的测试用例,使得测试用例确定测试结果;测试用例存储于预设的测试用例库。
可选的,在配置参数包括目标配置参数的情况下,测试用例包括目标测试工具;
目标配置参数用于指示防火墙防御不符合应用层协议的数据包;目标测试工具用于控制预设软件,使得预设软件模拟产生目标测试数据包;目标测试数据包包括:实际工业生产过程中向防火墙发送的符合应用层协议数据包,以及不符合应用层协议数据包。
可选的,预设信息指示的测试用例为多个测试用例;预设文件存储有对多个测试用例的预设调用方式;预设调用方式用于指示对多个测试用例的触发规则;
调用模块502,用于调用预设的第二工具,使得第二工具触发预设文件中的预设信息指示的测试用例,包括:
调用模块502,具体用于调用第二工具,使得第二工具按照调用方式触发多个测试用例。
可选的,控制模块501,用于通过控制预设的第一工具将测试指令指示的预设文件中的配置参数配置给待测试的防火墙,包括:
控制模块501,具体用于调用第一工具,使得第一工具将测试指令指示的预设文件中的配置参数写入预设的web界面,使得预设的web程序将配置参数配置给防火墙。
可选的,测试用例,用于向防火墙发送测试数据包、通过调用预设的第三工具触发预设的抓包分析程序对到达防火墙安全侧的数据包进行抓取和分析,得到抓包分析结果,以及至少依据配置参数和抓包分析结果,确定测试结果;
该装置实施例还可以包括:执行模块,用于在测试用例至少依据配置参数和抓包分析结果,确定测试结果之前,调用预设的第四工具获取防火墙运行过程中的参数信息和内存信息;使得测试用例依据抓包分析结果、所述参数信息和内存信息,确定测试结果。
本申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种防火墙测试方法,其特征在于,包括:
在接收到预设的测试指令的情况下,通过控制预设的第一工具将所述测试指令指示的预设文件中的配置参数配置给待测试的防火墙;所述配置参数用于指示所述防火墙需防御的数据包;
通过调用预设的第二工具,使得所述第二工具触发所述预设文件中的预设信息指示的测试用例,使得所述测试用例确定测试结果;所述测试用例存储于预设的测试用例库。
2.根据权利要求1所述的方法,其特征在于,在所述配置参数包括目标配置参数的情况下,所述测试用例包括目标测试工具;
所述目标配置参数用于指示所述防火墙防御不符合应用层协议的数据包;所述目标测试工具用于控制预设软件,使得所述预设软件模拟产生目标测试数据包;所述目标测试数据包包括:实际工业生产过程中向所述防火墙发送的符合所述应用层协议数据包,以及不符合所述应用层协议数据包。
3.根据权利要求1所述的方法,其特征在于,所述预设信息指示的测试用例为多个测试用例;所述预设文件存储有对所述多个测试用例的预设调用方式;所述预设调用方式用于指示对所述多个测试用例的触发规则;
所述调用预设的第二工具,使得所述第二工具触发所述预设文件中的预设信息指示的测试用例,包括:
调用所述第二工具,使得所述第二工具按照所述调用方式触发所述多个测试用例。
4.根据权利要求1所述的方法,其特征在于,所述通过控制预设的第一工具将所述测试指令指示的预设文件中的配置参数配置给待测试的防火墙,包括:
调用所述第一工具,使得所述第一工具将所述测试指令指示的预设文件中的配置参数写入预设的web界面,使得预设的web程序将所述配置参数配置给所述防火墙。
5.根据权利要求1所述的方法,其特征在于,所述测试用例,用于向所述防火墙发送测试数据包、通过调用预设的第三工具触发预设的抓包分析程序对到达所述防火墙安全侧的数据包进行抓取和分析,得到抓包分析结果,以及至少依据所述配置参数和所述抓包分析结果,确定测试结果;
在所述测试用例至少依据所述配置参数和所述抓包分析结果,确定测试结果之前,所述方法还包括:
调用预设的第四工具获取所述防火墙运行过程中的参数信息和内存信息;
所述测试用例用于至少依据所述抓包分析结果,确定测试结果,包括:
所述测试用例具体用于依据所述抓包分析结果、所述参数信息和所述内存信息,确定测试结果。
6.一种防火墙测试装置,其特征在于,包括:
控制模块,用于在接收到预设的测试指令的情况下,通过控制预设的第一工具将所述测试指令指示的预设文件中的配置参数配置给待测试的防火墙;所述配置参数用于指示所述防火墙需防御的数据包;
调用模块,用于通过调用预设的第二工具,使得所述第二工具触发所述预设文件中的预设信息指示的测试用例,使得所述测试用例确定测试结果;所述测试用例存储于预设的测试用例库。
7.一种防火墙测试系统,其特征在于,包括电子设备;所述电子设备与待测试的防火墙连接;
所述电子设备,用于在接收到预设的测试指令的情况下,通过控制预设的第一工具将所述测试指令指示的预设文件中的配置参数配置给所述防火墙;所述配置参数用于指示所述防火墙需防御的数据包;
所述电子设备,还用于通过调用预设的第二工具,使得所述第二工具触发所述预设文件中的预设信息指示的测试用例,使得所述测试用例确定测试结果;所述测试用例存储于预设的测试用例库。
8.根据权利要求7所述的系统,其特征在于,所述电子设备包括第一电子设备和第二电子设备;所述第一电子设备和所述第二电子设备分别与所述防火墙连接;
所述第一电子设备,用于在接收到预设的测试指令的情况下,通过控制预设的第一工具将所述测试指令指示的预设文件中的配置参数配置给所述防火墙;
所述第一电子设备,还用于通过调用预设的第二工具,使得所述第二工具触发所述预设文件中的预设信息指示的测试用例,使得所述测试用例向所述第二电子设备发送第一信息;所述第一信息用于表示所述第二电子设备触发预设的抓包分析程序的指令;
所述第二电子设备,用于在接收到所述第一信息的情况下,触发所述抓包分析程序对到达所述防火墙安全侧的数据包进行抓取和分析,得到抓包分析结果,使得所述测试用例至少依据所述配置参数与所述抓包分析结果得到测试结果。
9.根据权利要求8所述的系统,其特征在于,所述系统还包括:交换机;
所述第一电子设备和所述第二电子设备分别与所述交换机连接;
所述测试用例用于向所述第二电子设备发送第一信息,具体为:
所述测试用例,具体用于通过所述交换机向所述第二电子设备发送所述第一信息。
10.根据权利要求7所述的系统,其特征在于,在所述配置参数包括目标配置参数的情况下,所述测试用例包括目标测试工具;
所述目标配置参数用于指示所述防火墙防御不符合应用层协议的数据包;所述目标测试工具用于控制预设软件,使得所述预设软件模拟产生目标测试数据包;所述目标测试数据包包括:实际工业生产过程中向所述防火墙发送的符合所述应用层协议数据包,以及不符合所述应用层协议数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911241220.2A CN110830330B (zh) | 2019-12-06 | 2019-12-06 | 一种防火墙测试方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911241220.2A CN110830330B (zh) | 2019-12-06 | 2019-12-06 | 一种防火墙测试方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110830330A true CN110830330A (zh) | 2020-02-21 |
| CN110830330B CN110830330B (zh) | 2022-01-28 |
Family
ID=69544785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911241220.2A Active CN110830330B (zh) | 2019-12-06 | 2019-12-06 | 一种防火墙测试方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110830330B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600781A (zh) * | 2020-07-27 | 2020-08-28 | 中国人民解放军国防科技大学 | 一种基于测试仪的防火墙系统稳定性测试方法 |
| CN112141174A (zh) * | 2020-09-21 | 2020-12-29 | 通号城市轨道交通技术有限公司 | 一种vobc测试环境中zc仿真系统及方法 |
| CN113364808A (zh) * | 2021-06-30 | 2021-09-07 | 北京天融信网络安全技术有限公司 | 工控防火墙测试方法、装置、设备及存储介质 |
| CN114095413A (zh) * | 2022-01-10 | 2022-02-25 | 北京安博通科技股份有限公司 | 一种网络硬件设备自动化测试组网系统 |
| CN114301805A (zh) * | 2021-12-14 | 2022-04-08 | 山石网科通信技术股份有限公司 | 设备数量的确定方法、装置及电子设备 |
| CN114374534A (zh) * | 2021-12-08 | 2022-04-19 | 山石网科通信技术股份有限公司 | 测试样本集的更新方法、装置及电子设备 |
Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030145225A1 (en) * | 2002-01-28 | 2003-07-31 | International Business Machines Corporation | Intrusion event filtering and generic attack signatures |
| US20030145226A1 (en) * | 2002-01-28 | 2003-07-31 | International Business Machines Corporation | Integrated intrusion detection services |
| CN101414935A (zh) * | 2008-07-09 | 2009-04-22 | 北京星网锐捷网络技术有限公司 | 测试用例生成方法及系统 |
| CN101447898A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 一种用于网络安全产品的测试系统及测试方法 |
| CN101765129A (zh) * | 2008-12-23 | 2010-06-30 | 中国移动通信集团河北有限公司 | 一种数据增值业务入网测试系统及方法 |
| CN102231686A (zh) * | 2011-06-24 | 2011-11-02 | 北京天融信科技有限公司 | 一种实现网络安全设备自动化测试的系统和方法 |
| CN102523212A (zh) * | 2011-12-13 | 2012-06-27 | 北京天融信科技有限公司 | 一种可自动调整防火墙系统测试流量的方法和装置 |
| CN102831066A (zh) * | 2012-09-19 | 2012-12-19 | 深圳中兴网信科技有限公司 | 集成测试装置和集成测试方法 |
| CN103209101A (zh) * | 2012-01-17 | 2013-07-17 | 深圳市共进电子股份有限公司 | 网关的测试方法 |
| CN103313289A (zh) * | 2012-03-09 | 2013-09-18 | 腾讯科技(深圳)有限公司 | Wap系统自动化测试系统和方法 |
| CN103560932A (zh) * | 2013-11-05 | 2014-02-05 | 重庆邮电大学 | 一种无线传感器网络远程协议一致性测试系统及方法 |
| CN103746885A (zh) * | 2014-01-28 | 2014-04-23 | 中国人民解放军信息安全测评认证中心 | 一种面向下一代防火墙的测试系统和测试方法 |
| CN103916384A (zh) * | 2014-01-21 | 2014-07-09 | 中国人民解放军信息安全测评认证中心 | 一种面向gap隔离交换设备的渗透测试方法 |
| CN104426709A (zh) * | 2013-08-23 | 2015-03-18 | 深圳市共进电子股份有限公司 | Tr069测试方法和系统 |
| CN105122727A (zh) * | 2013-01-11 | 2015-12-02 | Db网络公司 | 用于检测并减轻对结构化数据存储系统的威胁的系统和方法 |
| CN106789902A (zh) * | 2016-11-11 | 2017-05-31 | 北京匡恩网络科技有限责任公司 | 一种工控安全保护设备检测方法及装置 |
| US20170357253A1 (en) * | 2016-06-10 | 2017-12-14 | Honeywell International Inc. | Integrated testing mechanism for industrial process control and automation systems |
| CN109246159A (zh) * | 2018-11-27 | 2019-01-18 | 杭州迪普科技股份有限公司 | 一种验证安全策略的方法和装置 |
| CN110399308A (zh) * | 2019-08-01 | 2019-11-01 | 杭州安恒信息技术股份有限公司 | 一种基于邮件实现的自动执行测试用例的方法和装置 |
| CN110460474A (zh) * | 2019-08-14 | 2019-11-15 | 深圳市同维通信技术有限公司 | 设备功能的配置方法及装置、存储介质、电子设备 |
-
2019
- 2019-12-06 CN CN201911241220.2A patent/CN110830330B/zh active Active
Patent Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030145226A1 (en) * | 2002-01-28 | 2003-07-31 | International Business Machines Corporation | Integrated intrusion detection services |
| US20030145225A1 (en) * | 2002-01-28 | 2003-07-31 | International Business Machines Corporation | Intrusion event filtering and generic attack signatures |
| CN101414935A (zh) * | 2008-07-09 | 2009-04-22 | 北京星网锐捷网络技术有限公司 | 测试用例生成方法及系统 |
| CN101447898A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 一种用于网络安全产品的测试系统及测试方法 |
| CN101765129A (zh) * | 2008-12-23 | 2010-06-30 | 中国移动通信集团河北有限公司 | 一种数据增值业务入网测试系统及方法 |
| CN102231686A (zh) * | 2011-06-24 | 2011-11-02 | 北京天融信科技有限公司 | 一种实现网络安全设备自动化测试的系统和方法 |
| CN102523212A (zh) * | 2011-12-13 | 2012-06-27 | 北京天融信科技有限公司 | 一种可自动调整防火墙系统测试流量的方法和装置 |
| CN103209101A (zh) * | 2012-01-17 | 2013-07-17 | 深圳市共进电子股份有限公司 | 网关的测试方法 |
| CN103313289A (zh) * | 2012-03-09 | 2013-09-18 | 腾讯科技(深圳)有限公司 | Wap系统自动化测试系统和方法 |
| CN102831066A (zh) * | 2012-09-19 | 2012-12-19 | 深圳中兴网信科技有限公司 | 集成测试装置和集成测试方法 |
| CN105122727A (zh) * | 2013-01-11 | 2015-12-02 | Db网络公司 | 用于检测并减轻对结构化数据存储系统的威胁的系统和方法 |
| CN104426709A (zh) * | 2013-08-23 | 2015-03-18 | 深圳市共进电子股份有限公司 | Tr069测试方法和系统 |
| CN103560932A (zh) * | 2013-11-05 | 2014-02-05 | 重庆邮电大学 | 一种无线传感器网络远程协议一致性测试系统及方法 |
| CN103916384A (zh) * | 2014-01-21 | 2014-07-09 | 中国人民解放军信息安全测评认证中心 | 一种面向gap隔离交换设备的渗透测试方法 |
| CN103746885A (zh) * | 2014-01-28 | 2014-04-23 | 中国人民解放军信息安全测评认证中心 | 一种面向下一代防火墙的测试系统和测试方法 |
| US20170357253A1 (en) * | 2016-06-10 | 2017-12-14 | Honeywell International Inc. | Integrated testing mechanism for industrial process control and automation systems |
| CN106789902A (zh) * | 2016-11-11 | 2017-05-31 | 北京匡恩网络科技有限责任公司 | 一种工控安全保护设备检测方法及装置 |
| CN109246159A (zh) * | 2018-11-27 | 2019-01-18 | 杭州迪普科技股份有限公司 | 一种验证安全策略的方法和装置 |
| CN110399308A (zh) * | 2019-08-01 | 2019-11-01 | 杭州安恒信息技术股份有限公司 | 一种基于邮件实现的自动执行测试用例的方法和装置 |
| CN110460474A (zh) * | 2019-08-14 | 2019-11-15 | 深圳市同维通信技术有限公司 | 设备功能的配置方法及装置、存储介质、电子设备 |
Non-Patent Citations (5)
| Title |
|---|
| SIDRA AKRAM等: "Fully distributed dynamically configurable firewall to resist DOS attacks in MANET", 《2009 FIRST INTERNATIONAL CONFERENCE ON NETWORKED DIGITAL TECHNOLOGIES》 * |
| 何巍等: "包过滤防火墙在仿真平台中的研究与实现", 《航空计算技术》 * |
| 孙卫等: "Windows平台个人防火墙技术的研究", 《南京审计学院学报》 * |
| 许敏: "防火墙脆弱性测试及评估系统设计与实现", 《中国优秀博硕士学位论文全文数据库(硕士)》 * |
| 赵鑫等: "基于网络协议的模糊测试工具设计", 《通信技术》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600781A (zh) * | 2020-07-27 | 2020-08-28 | 中国人民解放军国防科技大学 | 一种基于测试仪的防火墙系统稳定性测试方法 |
| CN112141174A (zh) * | 2020-09-21 | 2020-12-29 | 通号城市轨道交通技术有限公司 | 一种vobc测试环境中zc仿真系统及方法 |
| CN112141174B (zh) * | 2020-09-21 | 2023-01-20 | 通号城市轨道交通技术有限公司 | 一种vobc测试环境中zc仿真系统及方法 |
| CN113364808A (zh) * | 2021-06-30 | 2021-09-07 | 北京天融信网络安全技术有限公司 | 工控防火墙测试方法、装置、设备及存储介质 |
| CN113364808B (zh) * | 2021-06-30 | 2022-09-16 | 北京天融信网络安全技术有限公司 | 工控防火墙测试方法、装置、设备及存储介质 |
| CN114374534A (zh) * | 2021-12-08 | 2022-04-19 | 山石网科通信技术股份有限公司 | 测试样本集的更新方法、装置及电子设备 |
| CN114374534B (zh) * | 2021-12-08 | 2024-04-02 | 山石网科通信技术股份有限公司 | 测试样本集的更新方法、装置及电子设备 |
| CN114301805A (zh) * | 2021-12-14 | 2022-04-08 | 山石网科通信技术股份有限公司 | 设备数量的确定方法、装置及电子设备 |
| CN114301805B (zh) * | 2021-12-14 | 2024-04-26 | 山石网科通信技术股份有限公司 | 设备数量的确定方法、装置及电子设备 |
| CN114095413A (zh) * | 2022-01-10 | 2022-02-25 | 北京安博通科技股份有限公司 | 一种网络硬件设备自动化测试组网系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110830330B (zh) | 2022-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110830330B (zh) | 一种防火墙测试方法、装置及系统 | |
| US20150229669A1 (en) | Method and device for detecting distributed denial of service attack | |
| US20200045073A1 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| CN110912927B (zh) | 工业控制系统中控制报文的检测方法及装置 | |
| US20050125697A1 (en) | Device for checking firewall policy | |
| CN107612890B (zh) | 一种网络监测方法及系统 | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| KR101252812B1 (ko) | 네트워크 보안 장치 및 그를 이용한 패킷 데이터 처리방법 | |
| CN110224897B (zh) | 应用程序的弱网络测试方法、装置、移动设备及存储介质 | |
| WO2018186242A1 (ja) | 監視装置、監視方法および監視プログラム | |
| Sou et al. | Random packet inspection scheme for network intrusion prevention in LTE core networks | |
| US20150215333A1 (en) | Network filtering apparatus and filtering method | |
| KR101657180B1 (ko) | 프로세스 접근 제어 시스템 및 방법 | |
| CN114553730B (zh) | 一种应用识别方法、装置、电子设备及存储介质 | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| CN108156052B (zh) | 一种设备稳定性测试的方法及系统 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| CN109889552A (zh) | 电力营销终端异常流量监控方法、系统及电力营销系统 | |
| CN109688088B (zh) | 网络入侵防护系统抗逃逸能力测试方法、装置和测试机 | |
| CN111083011A (zh) | 路由安全防火墙和管理平台的自动化测试方法及装置 | |
| KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
| CN117544960B (zh) | 一种基于生成的自动化Wi-Fi协议模糊测试方法 | |
| CN113872953B (zh) | 一种访问报文处理方法及装置 | |
| CN114553490B (zh) | 工业用被动模糊测试方法、系统和可读存储介质 | |
| US11943220B2 (en) | Smart device identity recognition method and system, electronic device, and storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |