CN111490986A - 用于入侵防御设备的测试系统及方法 - Google Patents
用于入侵防御设备的测试系统及方法 Download PDFInfo
- Publication number
- CN111490986A CN111490986A CN202010261927.6A CN202010261927A CN111490986A CN 111490986 A CN111490986 A CN 111490986A CN 202010261927 A CN202010261927 A CN 202010261927A CN 111490986 A CN111490986 A CN 111490986A
- Authority
- CN
- China
- Prior art keywords
- firewall
- port
- test
- gre
- intrusion prevention
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种用于入侵防御设备的测试系统,包括第一测试设备、第二测试设备、第一防火墙、第二防火墙以及IPS设备,其中第一测试设备,用于向第一防火墙发出测试数据报文;第二测试设备,用于经由第二防火墙接收来自第一测试设备测试数据报文;第一防火墙,具有连接到第一测试设备的接发送端口的配置有网关的第一端口以及用于创建GRE隧道的第二端口;第二防火墙,具有连接到第二测试设备的接发送端口的配置有网关的第一端口以及用于创建与所述第一防火墙的第二端口之间的GRE隧道的第二端口;以及入侵防御设备,布置在第一防火墙的第二端口和第一防火墙的第二端口之间,接收第一防火墙的第二端口输出测试报文数据,并将合法的测试报文数据转发到第二防火墙的第二端口。
Description
技术领域
本公开涉及计算机技术和通信技术领域,尤其是涉及一种用于入侵防御设备的测试系统。
背景技术
IPS(Intrusion Prevention System,入侵防御系统)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter,Application Gateway)的解释。IPS是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
目前对入侵防御系统IPS进行测试时,通常是将IPS直接串接在两台交换机组成的网络中,并在交换机的两端回放报文或使用测试设备器发送流量。
GRE(Generic Routing Encapsulate,通用路由封装协议)是一种隧道协议,其根本功能是实现隧道功能,通过隧道连接的两个远程网络就如同直连,GRE在两个远程网络之间模拟出直连链路,从而使网络间达到直连的效果。
在测试IPS对GRE(Generic Routing Encapsulate,通用路由封装协议)报文的处理能力时,需要使用软件构造带有GRE头的报文,并通过交换机转发到IPS上,然后测试IPS设备对带有GRE头的流量的处理能力。
上述测试IPS对GRE报文的处理能力的方式,由于需要使用软件构造带有GRE头的报文,存在诸多缺陷,例如,通过软件构造的GRE流量中被封装的数据包类型较为单一,对IPS的测试不够全面,使得测试结果不准确;封装的数据包中攻击的构造较为复杂,使用软件进行构造不易操作,增加了测试的复杂性,降低了测试效率;通过软件发送的流量较小,不能满足IPS的性能测试的要求,造成测试结果不准确;发送出的报文无法实时准确的观察到流量的失败情况;以及人工构造报文效率低。
因此,需要一种新的用于入侵防御设备的测试系统和方法,其能够提升IPS测试的效率以及准确性。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本公开提供了一种新的用于入侵防御设备的测试系统和方法。去哦至少在一定程度上提升测试的效率以及准确性。
本发明的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本发明的实践而习得。
本公开提供一种用于入侵防御设备的测试系统,包括第一测试设备、第二测试设备、第一防火墙、第二防火墙以及IPS设备,其中第一测试设备,用于向第一防火墙发出测试数据报文;第二测试设备,用于经由第二防火墙接收来自第一测试设备测试数据报文;第一防火墙,具有连接到第一测试设备的接发送端口的配置有网关的第一端口以及用于创建GRE隧道的第二端口;第二防火墙,具有连接到第二测试设备的接发送端口的配置有网关的第一端口以及用于创建与所述第一防火墙的第二端口之间的GRE隧道的第二端口;以及入侵防御设备,布置在第一防火墙的第二端口和第一防火墙的第二端口之间,接收第一防火墙的第二端口输出测试报文数据,并将合法的测试报文数据转发到第二防火墙的第二端口。
根据本公开的用于入侵防御设备的测试系统,其中所述第一防火墙被配置创建有隧道接口,并且该隧道接口被配置为到第二测试设备的路由,而所述第二防火墙被配置创建有隧道接口,并且该隧道接口被配置为到第一测试设备的路由,由此在所述第一防火墙的第二端口和第二防火墙的第二端口之间形成GRE隧道。
根据本公开的用于入侵防御设备的测试系统,其中所述第一防火墙具有GRE封装组件,用于采用GRE协议将来自的第一测试设备的目的地为第二测试设备的测试数据报文封装成GRE包,第二防火墙具有GRE封装组件,用于解封来自的第一防火墙的GRE包并将解封获得的测试数据报文发送到第二测试设备。
根据本公开的用于入侵防御设备的测试系统,其中所述第一端口为以太网端口,所述第二端口为千兆以太网端口。
根据本公开的用于入侵防御设备的测试系统,其中所述入侵防御设备具有IPV4防护策略组件和/或IPv6防护策略组件。
根据本公开的用于入侵防御设备的测试系统,其中所述第一测试设备的接发送端口配置的网关地址为第一防火墙的第一端口的地址,所述第二测试设备的接发送端口配置的网关地址为第二防火墙的第一端口的地址。
根据本公开的用于入侵防御设备的测试系统,其中所述第一测试设备发送的测试数据报文包括多种协议的应用层背景数据、带有背景数据的攻击和病毒数据、包含IPV4和IPv6流量的双栈背景数据和攻击数据以及海量应用层背景数据和异常数据之一或其组合。
根据本公开的另一个方面,提供了配置第一测试设备,使其接发送端口的网关地址为第一防火墙的第一端口的地址,由此通过第一测试设备向第一防火墙发送测试数据报文;配置第二测试设备,使其接发送端口的网关地址为第二防火墙的第一端口的地址,由此通过第二测试设备接收来自第一测试设备的测试数据报文;配置第一防火墙,使其第一端口具备网关、第二端口用于创建GRE隧道,由此使其采用GRE封装协议将来自第一测试设备的测试数据报文封装为GRE包;配置第二防火墙,使其第一端口具备网关、第二端口用于创建GRE隧道,由此使其采用GRE封装协议解封接收到的GRE包获取来自第一测试设备的测试数据报文;以及配置入侵防御设备,使其将确认合法的来自第一防火墙的第二端口的GRE包转发到第二防火墙的第二端口。
根据本公开用于入侵防御设备的测试方法,其中所述配置第一防火墙包括创建有隧道接口,并且使得该隧道接口被路由到第二测试设备,而所述配置第二防火墙包括创建有隧道接口,并且使得该隧道接口被路由到第一测试设备,由此在所述第一防火墙的第二端口和第二防火墙的第二端口之间形成GRE隧道。
根据本公开用于入侵防御设备的测试方法,其中所述第一端口为以太网端口,所述第二端口为千兆以太网端口。
根据本公开用于入侵防御设备的测试方法,其中所述配置入侵防御设备包括为入侵防御设备配置IPV4防护策略和/或IPv6防护策略。
根据本公开用于入侵防御设备的测试方法,其中所述配置第一测试设备包括使得第一测试设备能够发送多种协议的应用层背景数据、带有背景数据的攻击和病毒数据、包含IPV4和IPv6流量的双栈背景数据和攻击数据以及海量应用层背景数据和异常数据之一或其组合。
本公开通过第一防火墙接收测试数据报文;通过所述第一防火墙将所述测试数据报文封装为GRE包,并在所述GRE包中添加GRE包头;通过所述第一防火墙基于所述GRE包头将所述GRE包流经入侵防御设备发送至第二防火墙,以使所述入侵防御设备对所述GRE包进行测试。基于构建的GRE隧道自动为报文添加GRE包头,避免了利用软件构造具有GRE包头的报文,利用测试设备发出的多类型的流量进行测试,增加了GRE报文的多样性,提升了GRE报文测试的效率以及准确率。
本发明实施例中,通过搭建的一套GRE测试系统,提供稳定性测试环境,可验证不同设备对于GRE流量的处理能力,而且,能够避免利用软件构造包括GRE头的报文,因此可以利用现有背景流量和攻击报文测试入侵防御设备设备对于GRE流量和攻击的处理能力,并能验证入侵防御设备在相对复杂的负载下的性能和稳定性,减少了因构造报文的人工投入,提高了测试效率,并能对入侵防御设备的性能和稳定性测试,提升了测试的准确性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是相关技术示出的对GRE报文测试的系统的框架图;
图2是根据一示例性实施例示出的GRE隧道的架构图;
图3是根据一示例性实施例示出的GRE测试系统的架构图;
图4是根据一示例性实施例示出的GRE报文测试方法的流程图;
图5是根据另一示例性实施例示出的GRE报文测试方法的流程图;
图6是根据一示例性实施例示出的一种GRE报文测试装置的结构示意图;
图7是根据一示例性实施例示出的一种电子设备的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本发明将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本发明的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
图1是相关技术示出的对GRE报文测试的系统的框架图,如图1所示,IPS串联在交换机1和交换机2组成的网络中,交换机1和交换机2分别连接与第一终端以及第二终端,第一终端设置有能够构造带有GRE头的报文的软件(程序),第一终端用于发送报文,如客户端,以提供回放报文或测试流量,第二终端用于接收报文,如服务器。构造的带有GRE头的报文通过交换机1转发到IPS上,测试IPS对带有GRE头的报文的处理能力。需要说说明的是,该网络中还可以包括与IPS连接的交换机3,以及与该交换机连接的服务器,用于对整个系统进行统一管理。
上述对带有GRE头的流量测试方法,需要通过软件构造带有GRE头的报文,造成测试效率低以及准确性不高。
本发明实施例提供一种通用路由封装协议GRE报文测试方法,利用现有的普通的攻击和流量,减少因人工构造报文所花费的时间,并增加GRE流量的类型,丰富测试流量的构成。利用各种不同的协议类型和攻击,进行IPS设备对GRE攻击的检测和防护能力的全面测试。通过测试设备器发送较大的复杂流量,验证设备在GRE流量较大时的设备状态和稳定性,提高测试效率和测试的准确性。
下面结合具体的实施例,对本发明实施例中提出的GRE报文测试方法进行详细的说明。
图2是根据一示例性实施例示出的GRE隧道的架构图。如图2所示,GRE隧道可以包括:第一防火墙以及第二防火墙,其中,第一防火墙以及第二防火墙是指具有VPN功能的设备,包括但不限于防火墙以及交换机,图2中第一防火墙以防火墙1为例进行说明,第二防火墙以防火墙2为例进行说明。
需要说明的是,该GRE隧道中还可以包括第一网络(图3中的网络1)以及第二网络(图3中的网络2),第一网络用于发送流量,如客户端,第二网络用于接收流量,如服务器。需要说明的是,第一网络和第二网络可做相反设置,例如,用第一网络接收流量,用第二网络发送流量。本发明实施例中,以第一网络发送流量,第二网络接收流量为例进行说明。
根据本发明实施例,基于第一防火墙以及第二防火墙搭建GRE隧道时,需要首先为防火墙1(第一防火墙)的Eth1/1接口(第一端口)(地址:
10.0.0.0/16)配置网关,并将其连接到第一网络1,为防火墙2(第二防火墙)的端口Eth1/1(第一端口)(地址:11.0.0.0/16)配置网关,并将其连接到第二网络2。直接连接防火墙1的gige0_1接口(第二端口)(地址:12.0.0.1/24)和防火墙2的gige0_1接口(第二端口)(地址:12.0.0.2/24),这两个端口将作为搭建的GRE隧道的实际物理接口。然后在防火墙1上配置创建GRE隧道接口tunnel 0(地址:1.1.1.1/24)和使用GRE的封装方式,在防火墙2上配置GRE隧道接口tunnel 1(地址:1.1.1.2/24)和使用GRE的封装方式。在防火墙1上配置经过GRE隧道接口到第二网络2的路由,在防火墙2上配置经过GRE隧道接口到网络1的路由。
按照以上步骤,在防火墙1(第一防火墙)和防火墙2(第二防火墙)之间创建了虚拟直连链路,也就是GRE隧道,当防火墙1收到目标地址为第二网络2的数据包后,将该原始数据包封装到GRE协议中,并添加GRE包头,该GRE包头中源地址为隧道本端地址,即防火墙1的tunnel0接口,目的地址为隧道对端地址,即防火墙2的tunnel1接口。当防火墙2收到封装的GRE数据包后,对该数据包的包头进行解封,确定目的地址,若该目的地址为防火墙2的隧道接口的地址,此时报文已到达GRE隧道的终点(防火墙2),之后继续对封装的GRE数据包解封,最后将解封后的流量发往第二网络2,从而实现基于防火墙1和防火墙2之间的GRE隧道,完成第一网络1与第二网络2的通信。
需要说明的是,若防火墙2在收到封装的GRE数据包后,对该数据包的包头进行解封,确定目的地址不是其隧道接口的地址,则防火墙2将该GRE包头重新封装后,基于其与其他设备之间的GRE隧道,将该GRE数据包转发到其他的设备,以使该封装的GRE数据包到达其GRE包头的目的地址。而本发明实施例中,仅利用防火墙1和防火墙2既能搭建GRE隧道,以及将入侵防御设备设置于该隧道中,就能实现对该入侵防御设备对GRE报文的处理能力进行测试,因此,不需要再搭建其他的GRE隧道。
需要指出的是,该GRE隧道中还可以包括与防火墙1和防火墙2连接的交换机,以及与该交换机连接的服务器,用于对整个系统进行统一管理。
本发明实施例中,在搭建GRE隧道后,可以在此基础上搭建GRE测试系统,以用于对入侵防御设备的GRE报文的处理能力进行测试。
图3是根据一示例性实施例示出的GRE测试系统的架构图。如图3所示,可以将入侵防御设备串接于由防火墙1和防火墙2搭建的GRE隧道,并将第一网络1和第二网络2替换为第一测试设备和第二测试设备的两个接发送端口T0和T1。
根据本发明实施例,被测试设备为入侵防御设备(IPS),IPS的两端的接口分别与防火墙1的gige0_1(地址:12.0.0.1/24)相连,和防火墙2的gige0_1(地址:12.0.0.2/24)相连,此时流经IPS的都是封装的GRE数据包,IPS上配置有IPV4和IPV6的防护策略,通过IPV4防护组件或IPV6防护组件执行防护操作,用于在对流经其的GRE数据包进行测试。
需要指出的是,通过将入侵防御设备替换为其他的设备,可以测试其他的设备对GRE报文的处理能力。
本发明实施例中,将测试设备的接发送端口T0与防火墙1的端口Eth1/1相连,测试设备的接发送端口T1与防火墙2的端口Eth1/1相连,配置测试设备接发送端口T0的IP地址的网关为防火墙1端口Eth1/1的地址(10.0.0.0/16),配置测试设备接发送端口T1的IP地址的网关为防火墙2端口Eth1/1的地址(11.0.0.0/16),使测试设备接发送端口T0和接发送端口T1过GRE隧道环境互通。
根据本发明实施例,可以配置测试设备接发送端口T0作为客户端,接发送端口T1作为服务端,在客户端与服务器之间发送测试流量。
根据本发明实施例,接发送端口T0可以发送包含多种协议的应用层背景流,可以验证IPS设备对于GRE封装的混合流量的处理能力。接发送端口T0还可以发送带有背景流量的攻击和病毒,可以验证IPS设备对于GRE封装的攻击和病毒的检测及防护能力。接发送端口T0还可以发送包含IPV4和IPv6流量的双栈背景流和攻击流量,可以验证IPS设备对于双栈流量和攻击的检测及处理能力。接发送端口T0还可以长时间发送大量应用层背景流和异常流量,流量从测试设备的接发送端口T0发送到接发送端口T1,验证IPS设备在处理GRE流量时的稳定性。
需要指出的是,该GRE测试系统中还可以包括与IPS连接的交换机,以及与该交换机连接的服务器,用于整个系统进行统一管理。
本发明实施例中,通过搭建的一套GRE测试系统,提供稳定性测试环境,可验证不同设备对于GRE流量的处理能力,而且,能够避免利用软件构造包括GRE头的报文,因此可以利用现有背景流量和攻击报文测试入侵防御设备设备对于GRE流量和攻击的处理能力,并能验证入侵防御设备在相对复杂的负载下的性能和稳定性,减少了因构造报文的人工投入,提高了测试效率,并能对入侵防御设备的性能和稳定性测试,提升了测试的准确性。
下面结合图3中的GRE测试系统,对本发明实施例中的GRE报文测试方法进行详细的说明。需要指出的是,该方法可以以GRE测试系统中的第一防火墙为执行主体,但本发明并不限于此,例如,也可以以第二防火墙为执行主体。
图4是根据一示例性实施例示出的GRE报文测试方法的流程图。如图4所示,该方法可以包括但不限于以下步骤:
在S410中,通过第一防火墙接收测试数据报文。
根据本发明实施例中,可以通过第一防火墙(防火墙1)接收来自第一网络(测试设备的接发送端口T0)的测试数据报文,该测试数据报文包括目标地址为第二网络(测试设备的接发送端口T1)的数据包。
需要说明的是,该第一网络可以为测试设备的接发送端口T0,可以配置为客户端,该第二网络可以为测试设备的接发送端口T1,可以配置为服务端。
需要指出的是,第一防火墙上配置有各种数据包的路由,针对测试数据报文(目标地址为第二网络的数据包),配置为通过第一防火墙与第二防火墙之间的GRE隧道发送。
根据本发明实施例,测试数据报文包括:应用层背景流量、带有背景流量的攻击和病毒以及双栈背景流量和攻击流量中的至少一种。
需要说明的是,本发明实施例还可以通过测试设备的接发送端口T0持续发送大量的测试数据报文,用以测试入侵防御设备在处理GRE流量时的稳定性。
在S420中,通过所述第一防火墙将所述测试数据报文封装为GRE包,并在所述GRE包中添加GRE包头。
根据本发明实施例,在第一防火墙上配置有GRE隧道接口(tunnel 0,地址:1.1.1.1/24)以及使用GRE封装的方式,在接收到测试数据报文后,可以基于该使用GRE封装的方式将所述测试数据报文封装为GRE包。
根据本发明实施例,在将测试数据报文封装为GRE包,并在GRE包中添加GRE包头。该GRE包头中可以包括:GRE目的地址,所述GRE目的地址包括第二防火墙的GRE隧道接口的地址,即图3中防火墙2的tunnel 1口(地址:1.1.1.2/24)。
根据本发明实施例,GRE包头还可以包括:GRE源地址,该GRE源地址包括第一防火墙的GRE隧道接口的地址,即图3中的防火墙1的tunnel 0口(地址:1.1.1.1/24)。
在S430中,通过所述第一防火墙基于所述GRE包头将所述GRE包流经入侵防御设备发送至第二防火墙,以使所述入侵防御设备对所述GRE包进行测试。
根据本发明实施例,入侵防御设备串接于由防火墙1和防火墙2搭建的GRE隧道,待测试隧道的两端的接口分别与防火墙1的gige0_1(地址:
12.0.0.1/24)相连,和防火墙2的gige0_1(地址:12.0.0.2/24)相连,此时流经入侵防御设备的都是封装的GRE数据包。
根据本发明实施例,入侵防御设备可以是IPS,该IPS上配置有IPV4和IPV6的防护策略,用于对流经的GRE数据包进行测试。
本发明实施例中,通过第一防火墙接收测试数据报文;通过所述第一
VPN设备将所述测试数据报文封装为GRE包,并在所述GRE包中添加GRE包头;通过所述第一防火墙基于所述GRE包头将所述GRE包流经入侵防御设备发送至第二防火墙,以使所述入侵防御设备对所述GRE包进行测试。基于构建的GRE隧道自动为报文添加GRE包头,避免了利用软件构造具有GRE包头的报文,利用测试设备发出的多类型的流量进行测试,增加了GRE报文的多样性,提升了GRE报文测试的效率以及准确率。
下面结合图3中的GRE测试系统,对本发明实施例中的另一种GRE报文测试方法进行详细的说明。需要指出的是,该方法可以以GRE测试系统为执行主体。
图5是根据另一示例性实施例示出的GRE报文测试方法的流程图。如图5所示,该方法可以包括但不限于以下步骤:
在S510中,第一防火墙接收测试数据报文。
根据本发明实施例,图3中的测试设备的第一网络(T0端,可以配置为客户端)发送所述测试数据报文,该测试数据报文包括目标地址为所述测试设备的第二网络(T1端,可以配置为服务端)的数据包。
在S520中,第一防火墙将所述测试数据报文封装为GRE包,并在所述GRE包中添加GRE包头。
根据本发明实施例,该GRE包头中包括GRE隧道的源地址以及目的地址,其中源地址为防火墙1上的tunnel 0(地址:1.1.1.1/24)目的地址为防火墙2上的tunnel 1(地址:1.1.1.2/24)。
在S530中,第一防火墙基于所述GRE包头将所述GRE包流经入侵防御设备发送至第二防火墙。
根据本发明实施例,第二防火墙在接收到GRE包后,对所述GRE包头进行解封,获取解封后的GRE目的地址。在确定GRE目的地址为该第二防火墙的GRE隧道接口(tunnel 1)的地址(1.1.1.2/24)时,将该GRE包解封后发送至测试设备的第二网络(T1端)。
根据本发明实施例,若第二确定GRE目的地址不是该第二防火墙的GRE隧道接口(tunnel 1)的地址(1.1.1.2/24)时,第二防火墙将该GRE包头重新封装后,基于其与其他设备之间的GRE隧道,将该GRE数据包转发到其他的设备,以使该封装的GRE数据包到达其GRE包头的目的地址。
需要指出的是,本发明实施例中,由于入侵防御设备串接于第一防火墙以及第二防火墙搭建的GRE隧道上,无论GRE目的地址是不是该第二防火墙的GRE隧道接口(tunnel1)的地址(1.1.1.2/24),GRE封装的报文也已经流经入侵防御设备,入侵防御设备可以对GRE报文进行测试。
在S540中,入侵防御设备对所述GRE包进行测试。
根据本发明实施例,入侵防御设备上配置有IPV4和IPV6的防护策略,用于对流经的GRE数据包进行测试。
根据本发明实施例,测试数据报文可以为包含多种协议的应用层背景流,可以验证IPS设备对于GRE封装的混合流量的处理能力,测试数据报文还可以为带有背景流量的攻击和病毒,可以验证IPS设备对于GRE封装的攻击和病毒的检测及防护能力,测试数据报文还可以为发送包含IPV4和IPv6流量的双栈背景流和攻击流量,可以验证IPS设备对于双栈流量和攻击的检测及处理能力。
本发明实施例中,测试设备可以长时间发送大量的上述测试数据报文,如应用层背景流和异常流量,使流量从测试设备的接发送端口T0发送到接发送端口T1,验证IPS设备在处理GRE流量时的稳定性。
本发明实施例中,通过搭建的一套GRE测试系统,提供稳定性测试环境,可验证不同设备对于GRE流量的处理能力,而且,能够避免利用软件构造包括GRE头的报文,因此可以利用现有背景流量和攻击报文测试入侵防御设备设备对于GRE流量和攻击的处理能力,并能验证入侵防御设备在相对复杂的负载下的性能和稳定性,减少了因构造报文的人工投入,提高了测试效率,并能对入侵防御设备的性能和稳定性测试,提升了测试的准确性。
应清楚地理解,本发明描述了如何形成和使用特定示例,但本发明的原理不限于这些示例的任何细节。相反,基于本发明公开的内容的教导,这些原理能够应用于许多其它实施例。
下述为本发明装置实施例,可以用于执行本发明方法实施例。在下文对系统的描述中,与前述方法相同的部分,将不再赘述。
图6是根据一示例性实施例示出的一种GRE报文测试装置的结构示意图,其中,所述装置600包括:接收模块610,封装模块620以及发送模块630。
其中,接收模块610,配置为通过第一防火墙接收测试数据报文。
封装模块620,配置为通过所述第一防火墙将所述测试数据报文封装为GRE包,并在所述GRE包中添加GRE包头。
发送模块630,配置为通过所述第一防火墙基于所述GRE包头将所述GRE包流经入侵防御设备发送至第二防火墙,以使所述入侵防御设备对所述GRE包进行测试。
其中,第一防火墙上配置有使用GRE封装的方式;所述封装模块620配置为基于所述使用GRE封装的方式将所述测试数据报文封装为GRE包。
其中,GRE包头包括:GRE目的地址,所述GRE目的地址包括第二防火墙的GRE隧道接口的地址。
其中,GRE包头还包括:GRE源地址,所述GRE源地址包括所述第一防火墙的GRE隧道接口的地址。
其中,所述接收模块610,配置为通过第一防火墙接收来自第一网络的测试数据报文;所述测试数据报文包括目标地址为第二网络的数据包。
其中,所述测试数据报文包括:应用层背景流量、带有背景流量的攻击和病毒以及双栈背景流量和攻击流量中的至少一种。
本发明实施例中,通过第一防火墙接收测试数据报文;通过所述第一防火墙将所述测试数据报文封装为GRE包,并在所述GRE包中添加GRE包头;通过所述第一防火墙基于所述GRE包头将所述GRE包流经入侵防御设备发送至第二防火墙,以使所述入侵防御设备对所述GRE包进行测试。基于构建的GRE隧道自动为报文添加GRE包头,避免了利用软件构造具有GRE包头的报文,利用测试设备发出的多类型的流量进行测试,增加了GRE报文的多样性,提升了GRE报文测试的效率以及准确率。最终通过比较第一测试设备发送的测试数据报文与第二测试设备所接收到的测试数据报文,可以获知被测试的入侵防御设备的测试结果。关于如何评价被测试的入侵防御设备的性能不是本公开需要解决的问题,因此不在本公开进行描述。
图7是根据一示例性实施例示出的一种电子设备的结构示意图。需要说明的是,图7示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本申请的终端中限定的上述功能。
需要说明的是,本申请所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,其中,模块的名称在某种情况下并不构成对该模块本身的限定。
以上具体示出和描述了本发明的示例性实施例。应可理解的是,本发明不限于这里描述的详细结构、设置方式或实现方法;相反,本发明意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (12)
1.一种用于入侵防御设备的测试系统,包括第一测试设备、第二测试设备、第一防火墙、第二防火墙以及IPS设备,其中
第一测试设备,用于向第一防火墙发出测试数据报文;
第二测试设备,用于经由第二防火墙接收来自第一测试设备测试数据报文;
第一防火墙,具有连接到第一测试设备的接发送端口的配置有网关的第一端口以及用于创建GRE隧道的第二端口;
第二防火墙,具有连接到第二测试设备的接发送端口的配置有网关的第一端口以及用于创建与所述第一防火墙的第二端口之间的GRE隧道的第二端口;以及
入侵防御设备,布置在第一防火墙的第二端口和第一防火墙的第二端口之间,接收第一防火墙的第二端口输出测试报文数据,并将合法的测试报文数据转发到第二防火墙的第二端口。
2.根据权利要求1所述的用于入侵防御设备的测试系统,其中所述第一防火墙被配置创建有隧道接口,并且该隧道接口被配置为到第二测试设备的路由,而所述第二防火墙被配置创建有隧道接口,并且该隧道接口被配置为到第一测试设备的路由,由此在所述第一防火墙的第二端口和第二防火墙的第二端口之间形成GRE隧道。
3.根据权利要求2所述的用于入侵防御设备的测试系统,其中所述第一防火墙具有GRE封装组件,用于采用GRE协议将来自的第一测试设备的目的地为第二测试设备的测试数据报文封装成GRE包,第二防火墙具有GRE封装组件,用于解封来自的第一防火墙的GRE包并将解封获得的测试数据报文发送到第二测试设备。
4.根据权利要求1所述的用于入侵防御设备的测试系统,其中所述第一端口为以太网端口,所述第二端口为千兆以太网端口。
5.根据权利要求1所述的用于入侵防御设备的测试系统,其中所述入侵防御设备具有IPV4防护策略组件和/或IPv6防护策略组件。
6.根据权利要求1所述的用于入侵防御设备的测试系统,其中所述第一测试设备的接发送端口配置的网关地址为第一防火墙的第一端口的地址,所述第二测试设备的接发送端口配置的网关地址为第二防火墙的第一端口的地址。
7.根据权利要求1所述的用于入侵防御设备的测试系统,其中所述第一测试设备发送的测试数据报文包括多种协议的应用层背景数据、带有背景数据的攻击和病毒数据、包含IPV4和IPv6流量的双栈背景数据和攻击数据以及海量应用层背景数据和异常数据之一或其组合。
8.一种用于入侵防御设备的测试方法,包括:
配置第一测试设备,使其接发送端口的网关地址为第一防火墙的第一端口的地址,由此通过第一测试设备向第一防火墙发送测试数据报文;
配置第二测试设备,使其接发送端口的网关地址为第二防火墙的第一端口的地址,由此通过第二测试设备接收来自第一测试设备的测试数据报文;
配置第一防火墙,使其第一端口具备网关、第二端口用于创建GRE隧道,由此使其采用GRE封装协议将来自第一测试设备的测试数据报文封装为GRE包;
配置第二防火墙,使其第一端口具备网关、第二端口用于创建GRE隧道,由此使其采用GRE封装协议解封接收到的GRE包获取来自第一测试设备的测试数据报文;以及
配置入侵防御设备,使其将确认合法的来自第一防火墙的第二端口的GRE包转发到第二防火墙的第二端口。
9.根据权利要求8所述的用于入侵防御设备的测试方法,其中所述配置第一防火墙包括创建有隧道接口,并且使得该隧道接口被路由到第二测试设备,而所述配置第二防火墙包括创建有隧道接口,并且使得该隧道接口被路由到第一测试设备,由此在所述第一防火墙的第二端口和第二防火墙的第二端口之间形成GRE隧道。
10.根据权利要求8所述的用于入侵防御设备的测试方法,其中所述第一端口为以太网端口,所述第二端口为千兆以太网端口。
11.根据权利要求8所述的用于入侵防御设备的测试方法,其中所述配置入侵防御设备包括为入侵防御设备配置IPV4防护策略和/或IPv6防护策略。
12.根据权利要求8所述的用于入侵防御设备的测试方法,其中所述配置第一测试设备包括使得第一测试设备能够发送多种协议的应用层背景数据、带有背景数据的攻击和病毒数据、包含IPV4和IPv6流量的双栈背景数据和攻击数据以及海量应用层背景数据和异常数据之一或其组合。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010261927.6A CN111490986B (zh) | 2020-04-05 | 2020-04-05 | 用于入侵防御设备的测试系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010261927.6A CN111490986B (zh) | 2020-04-05 | 2020-04-05 | 用于入侵防御设备的测试系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111490986A true CN111490986A (zh) | 2020-08-04 |
| CN111490986B CN111490986B (zh) | 2022-05-27 |
Family
ID=71794615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010261927.6A Active CN111490986B (zh) | 2020-04-05 | 2020-04-05 | 用于入侵防御设备的测试系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111490986B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115277476A (zh) * | 2022-07-24 | 2022-11-01 | 杭州迪普科技股份有限公司 | 入侵防御设备自动化测试方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101617498A (zh) * | 2006-12-19 | 2009-12-30 | Ktf电信公司 | 用于点对点隧道协议的入侵保护设备和入侵保护方法 |
| CN102916881A (zh) * | 2012-06-29 | 2013-02-06 | 杭州华三通信技术有限公司 | 报文传输方法及路由设备 |
| CN103973555A (zh) * | 2013-01-29 | 2014-08-06 | 华为技术有限公司 | 通用路由封装协议隧道建立方法、通信设备及通信系统 |
| WO2018162176A1 (de) * | 2017-03-09 | 2018-09-13 | Siemens Aktiengesellschaft | Verfahren und vorrichtungen zur übertragung von daten zwischen einem ersten netz und einem zweiten netz eines schienenfahrzeugs |
| CN109600293A (zh) * | 2018-12-24 | 2019-04-09 | 青岛海信电子设备股份有限公司 | 一种gre隧道建立方法及系统 |
| CN110932907A (zh) * | 2019-12-03 | 2020-03-27 | 北京大学 | 一种Linux容器网络配置方法及网络系统 |
-
2020
- 2020-04-05 CN CN202010261927.6A patent/CN111490986B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101617498A (zh) * | 2006-12-19 | 2009-12-30 | Ktf电信公司 | 用于点对点隧道协议的入侵保护设备和入侵保护方法 |
| CN102916881A (zh) * | 2012-06-29 | 2013-02-06 | 杭州华三通信技术有限公司 | 报文传输方法及路由设备 |
| CN103973555A (zh) * | 2013-01-29 | 2014-08-06 | 华为技术有限公司 | 通用路由封装协议隧道建立方法、通信设备及通信系统 |
| WO2018162176A1 (de) * | 2017-03-09 | 2018-09-13 | Siemens Aktiengesellschaft | Verfahren und vorrichtungen zur übertragung von daten zwischen einem ersten netz und einem zweiten netz eines schienenfahrzeugs |
| CN109600293A (zh) * | 2018-12-24 | 2019-04-09 | 青岛海信电子设备股份有限公司 | 一种gre隧道建立方法及系统 |
| CN110932907A (zh) * | 2019-12-03 | 2020-03-27 | 北京大学 | 一种Linux容器网络配置方法及网络系统 |
Non-Patent Citations (1)
| Title |
|---|
| 吴兆雄等: "基于GRE隧道技术的互联网访问气象局域网方法", 《广东气象》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115277476A (zh) * | 2022-07-24 | 2022-11-01 | 杭州迪普科技股份有限公司 | 入侵防御设备自动化测试方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111490986B (zh) | 2022-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210243276A1 (en) | Systems and methods for protecting an identity in network communications | |
| US10862732B2 (en) | Enhanced network virtualization using metadata in encapsulation header | |
| US9584546B2 (en) | Providing services to virtual overlay network traffic | |
| CN108293020B (zh) | 基础设施独有的服务转发 | |
| US10237230B2 (en) | Method and system for inspecting network traffic between end points of a zone | |
| US9344349B2 (en) | Tracing network packets by a cluster of network controllers | |
| Urias et al. | Supervisory Command and Data Acquisition (SCADA) system cyber security analysis using a live, virtual, and constructive (LVC) testbed | |
| US7710867B1 (en) | System and method for managing traffic to a probe | |
| Othman et al. | Implementation and performance analysis of SDN firewall on POX controller | |
| US8750135B2 (en) | Communication node, method, and maintenance point for handling encapsulated data frames | |
| Van Leeuwen et al. | Performing cyber security analysis using a live, virtual, and constructive (LVC) testbed | |
| Feldmann et al. | NetCo: Reliable routing with unreliable routers | |
| Liu et al. | Don't Yank My Chain: Auditable {NF} Service Chaining | |
| CN111490986B (zh) | 用于入侵防御设备的测试系统及方法 | |
| Wu et al. | On-demand service function chain based on ipv6 segment routing | |
| Salazar-Chacón et al. | OpenSDN Southbound Traffic Characterization: Proof-of-Concept Virtualized SDN-Infrastructure | |
| US10735292B1 (en) | Monitoring interconnections between network devices of different network entities | |
| Singh | Implementing Cisco Networking Solutions: Configure, implement, and manage complex network designs | |
| CN114930776A (zh) | 混合网络环境中的流量镜像处理 | |
| CN112953809B (zh) | 多层vlan流量的生成系统及方法 | |
| Zhang et al. | A Novel Software Defined Networking Framework for Cloud Environments | |
| CN113904867B (zh) | 用于vxlan二层组网的流量处理方法及系统 | |
| Iqbal | Towards secure implementations of SDN based firewall | |
| EP4184888A1 (en) | Systems and methods for tunneling network traffic to apply network functions | |
| NASCIMENTO | Design and Development of IDS for AVB/TSN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |