CN111565127B - 用于网络地址转换的测试方法、系统、设备及介质 - Google Patents
用于网络地址转换的测试方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN111565127B CN111565127B CN202010204811.9A CN202010204811A CN111565127B CN 111565127 B CN111565127 B CN 111565127B CN 202010204811 A CN202010204811 A CN 202010204811A CN 111565127 B CN111565127 B CN 111565127B
- Authority
- CN
- China
- Prior art keywords
- firewall
- test message
- tester
- switch
- network address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种用于网络地址转换的测试方法、系统、电子设备及计算机可读介质。该方法包括:测试仪发送测试报文至防火墙设备;所述防火墙设备对所述测试报文进行网络地址转换处理,生成处理后的测试报文;所述防火墙设备将所述处理后的测试报文发送至交换机;所述交换机将所述处理后的测试报文发送至分析终端;所述分析终端抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果。本公开涉及的用于网络地址转换的测试方法、系统、电子设备及计算机可读介质,能够快速准确的获取网络地址转换效果,节约人力成本和时间成本。
Description
技术领域
本公开涉及计算机信息处理领域,具体而言,涉及一种用于网络地址转换的测试方法、系统、电子设备及计算机可读介质。
背景技术
随着接入互联网的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。在其他ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT(网络地址转换)技术。借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。作为运营商或者银行等厂家,由于网络出口设备有大并发、大新建的业务对外提供服务,NAT转换必不可少。
现有方案需要借助测试仪器来模拟客户端访问服务器的流量通过设备,在设备上进行NAT转换测试。但是在测试仪模拟流量过设备时,由于新建较大、或者并发过大,没法一一统计是否所有流量都进行了NAT转换,通过人工查看,太耗费人力和时间,并且准确度不够,达不到集采测试的要求,无法准确的测试出设备的NAT转换性能。现有的对NAT进行测试的方案很耗费人力,时间成本大,且准确度不够。
因此,需要一种新的用于网络地址转换的测试方法、系统、电子设备及计算机可读介质。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本公开提供一种用于网络地址转换的测试方法、系统、电子设备及计算机可读介质,能够快速准确的获取网络地址转换效果,节约人力成本和时间成本。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一方面,提出一种用于网络地址转换的测试方法,该方法包括:测试仪发送测试报文至防火墙设备;所述防火墙设备对所述测试报文进行网络地址转换处理,生成处理后的测试报文;所述防火墙设备将所述处理后的测试报文发送至交换机;所述交换机将所述处理后的测试报文发送至分析终端;所述分析终端抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果。
在本公开的一种示例性实施例中,还包括:将所述防火墙的源网际互连协议地址配置为所述测试仪的客户端地址;将所述防火墙的目的网际互连协议地址配置为所述测试仪的服务器端地址;将所述防火墙的网络地址转换处理后地址配置为目标地址段。
在本公开的一种示例性实施例中,还包括:将所述防火墙的流量入接口和流量出接口加入安全域,并配置安全策略。
在本公开的一种示例性实施例中,所述防火墙设备将所述处理后的测试报文发送至交换机,还包括:将所述防火墙至所述测试仪的服务器端地址的路由配置为通过所述交换机。
在本公开的一种示例性实施例中,所述交换机将所述处理后的测试报文发送至分析终端,还包括:在所述交换机中配置第一访问控制列表和第二访问控制列表;所述第一访问控制列表用于将所述目标地址段的测试报文发送至所述分析终端;所述第二访问控制列表用于将任意地址段的测试报文发送至所述分析终端。
在本公开的一种示例性实施例中,所述交换机将所述处理后的测试报文发送至分析终端,还包括:所述交换机将所述处理后的测试报文发送至所述测试仪的服务器端。
在本公开的一种示例性实施例中,所述交换机将所述处理后的测试报文发送至分析终端,包括:所述交换机通过端口镜像的方式将所述处理后的测试报文发送至所述分析终端。
在本公开的一种示例性实施例中,所述分析终端抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果,包括:所述分析终端通过网络封包分析软件抓取所述处理后的测试报文;对所述处理后的测试报文进行统计;根据来自所述防火墙的报文数量和来自所述测试仪的客户端的报文数量测试所述防火墙的网络地址转换效果。
在本公开的一种示例性实施例中,对所述处理后的测试报文进行统计,包括:过滤掉所述处理后的测试报文的报文协议;将过滤后的测试报文分割为多个小文件存储至预定位置;对所述过滤后的测试报文进行统计。
在本公开的一种示例性实施例中,根据来自所述防火墙的报文数量和来自所述测试仪的客户端的报文数量测试所述防火墙的网络地址转换效果,包括:将来自所述防火墙的报文数量记为K;将来自所述测试仪的客户端的报文数量记为L;所述防火墙的网络地址转换率为K/(K+L)。
根据本公开的一方面,提出一种用于网络地址转换的测试系统,该系统包括:测试仪,用于发送测试报文至防火墙设备;所述防火墙设备,用于对所述测试报文进行网络地址转换处理,生成处理后的测试报文;并将所述处理后的测试报文发送至交换机;所述交换机,用于将所述处理后的测试报文发送至分析终端;所述分析终端,用于抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果。
根据本公开的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
根据本公开的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
根据本公开的用于网络地址转换的测试方法、系统、电子设备及计算机可读介质,测试仪发送测试报文至防火墙设备;所述防火墙设备对所述测试报文进行网络地址转换处理,生成处理后的测试报文;所述防火墙设备将所述处理后的测试报文发送至交换机;所述交换机将所述处理后的测试报文发送至分析终端;所述分析终端抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果的方式,能够快速准确的获取网络地址转换效果,节约人力成本和时间成本。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
通过参照附图详细描述其示例实施例,本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种用于网络地址转换的测试系统的系统示意图。
图2是根据一示例性实施例示出的一种用于网络地址转换的测试方法的流程图。
图3是根据另一示例性实施例示出的一种用于网络地址转换的测试方法的流程图。
图4是根据另一示例性实施例示出的一种用于网络地址转换的测试方法的示意图。
图5是根据一示例性实施例示出的一种电子设备的框图。
图6是根据一示例性实施例示出的一种计算机可读介质的框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、系统、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
本公开涉及到的名词解释如下:
NAT:网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
ACL:访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
由于IPv4的地址越来越稀缺,不可能给每个内网PC分配一个公网地址进行资源访问,而向运营商、银行、政府等企业,又不得不需要对外提供大量服务以满足人们日常需求,此时就需要用到NAT技术。在运营商、银行和政府等企业部署NAT设备时,首先需要进行集采入围测试,NAT转换也是一个重要的测试项目之一,但是传统的NAT测试无法准确判断是否所有业务进行了NAT转换,需要人工进行排查、对比,耗时费力,因此本公开提供了一种NAT业务转换测试方法,下面借助于具体的实施例对本公开的内容进行详细描述。
图1是根据一示例性实施例示出的一种用于网络地址转换的测试系统的系统框图。
如图1所示,系统架构10可以包括测试仪101、防火墙设备102、交换机103,分析终端104。可以使用测试仪101产生测试报文,测试仪101通过网络将测试报文发送至防火墙设备102,防火墙设备102再将报文发送给交换机103、分析终端104,以最对防火墙设备中的NAT进行测试。
测试仪101用于发送测试报文至防火墙设备102;防火墙设备102用于对所述测试报文进行网络地址转换处理,生成处理后的测试报文;并将所述处理后的测试报文发送至交换机103;交换机103用于将所述处理后的测试报文发送至分析终端104;分析终端104用于抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果。
其中,防火墙102上配置NAT,交换机103上做三层转发。测试仪101打新建流量过防火墙设备,交换机103上配置ACL允许测试仪101的client端发起的源网段做NAT后的IP进行转发到测试仪101的server端并且镜像到与分析终端104相连的接口,未做NAT转换的IP也通过ACL统计并镜像到与分析终端104相连的接口,通过在分析终端104上抓包自动分析有多少报文没有未进行NAT转换,且把未转换的报文分离出来,从而计算出NAT的转化率。
其中,测试仪101可以是一个实体的PC机或服务器,还可例如为多个服务器组成,测试仪101中的一部分作为客户端用户发送测试报文;测试仪101中的一部分可作为服务器端用于接收测试报文。
其中,分析终端104可以是一个实体的PC机或服务器,还可例如为多个服务器组成,分析终端104中的一部分可用于通过网络封包分析软件抓取所述处理后的测试报文;分析终端104中的一部分可用于对所述处理后的测试报文进行统计;分析终端104中的一部分可用于根据来自所述防火墙的报文数量和来自所述测试仪的客户端的报文数量测试所述防火墙的网络地址转换效果。
需要说明的是,本公开实施例所提供的用于网络地址转换的测试方法可以由测试仪101、防火墙设备102、交换机103,分析终端104共同执行。
指的一提的是,本公开仅以防火墙上装置有NAT功能为例,阐述了测试NAT效果的方法,本公开中的防火墙设备还可替换为其他具有NAT功能的设备,采用类似配置和方法实现的本公开中介绍的功能,也属于本公开的保护范围。
图2是根据一示例性实施例示出的一种用于网络地址转换的测试方法的流程图。用于网络地址转换的测试方法20至少包括步骤S202至S208。
如图2所示,在S202中,测试仪发送测试报文至防火墙设备。其中,测试仪可包括客户端和服务器端。
在S204中,所述防火墙设备对所述测试报文进行网络地址转换处理,生成处理后的测试报文。
在一个实施例中,在所述防火墙接收测试报文前,可例如,将所述防火墙的源网际互连协议地址配置为所述测试仪的客户端地址;还可例如,将所述防火墙的目的网际互连协议地址配置为所述测试仪的服务器端地址;还可例如,将所述防火墙的网络地址转换处理后地址配置为目标地址段。
在一个实施例中,在所述防火墙接收测试报文前,还包括:将所述防火墙的流量入接口和流量出接口加入安全域,并配置安全策略。
在S206中,所述防火墙设备将所述处理后的测试报文发送至交换机。其中,在所述防火墙设备将所述处理后的测试报文发送至交换机之前还包括:将所述防火墙至所述测试仪的服务器端地址的路由配置为通过所述交换机。
在S208中,所述交换机将所述处理后的测试报文发送至分析终端。可例如,在所述交换机中配置第一访问控制列表和第二访问控制列表;所述第一访问控制列表用于将所述目标地址段的测试报文发送至所述分析终端;所述第二访问控制列表用于将任意地址段的测试报文发送至所述分析终端。
通过以上设置,所述交换机可将所述处理后的测试报文发送至所述测试仪的服务器端。所述交换机可通过端口镜像的方式将所述处理后的测试报文发送至所述分析终端。
在S210中,所述分析终端抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果。包括:所述分析终端通过网络封包分析软件抓取所述处理后的测试报文;对所述处理后的测试报文进行统计;根据来自所述防火墙的报文数量和来自所述测试仪的客户端的报文数量测试所述防火墙的网络地址转换效果。
根据本公开的用于网络地址转换的测试方法,测试仪发送测试报文至防火墙设备;所述防火墙设备对所述测试报文进行网络地址转换处理,生成处理后的测试报文;所述防火墙设备将所述处理后的测试报文发送至交换机;所述交换机将所述处理后的测试报文发送至分析终端;所述分析终端抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果的方式,能够快速准确的获取网络地址转换效果,节约人力成本和时间成本。
应清楚地理解,本公开描述了如何形成和使用特定示例,但本公开的原理不限于这些示例的任何细节。相反,基于本公开公开的内容的教导,这些原理能够应用于许多其它实施例。
图3是根据另一示例性实施例示出的一种用于网络地址转换的测试方法的流程图。图3所示的流程是对图2所示的流程中S210“所述分析终端抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果”的详细描述。
如图3所示,在S302中,所述分析终端通过网络封包分析软件抓取所述处理后的测试报文。
在S304中,过滤掉所述处理后的测试报文的报文协议。
在S306中,将过滤后的测试报文分割为多个小文件存储至预定位置。
在S308中,对所述过滤后的测试报文进行统计。
在S310中,根据来自所述防火墙的报文数量和来自所述测试仪的客户端的报文数量测试所述防火墙的网络地址转换效果。其中,将来自所述防火墙的报文数量记为K;将来自所述测试仪的客户端的报文数量记为L;所述防火墙的网络地址转换率为K/(K+L)。
图4是根据另一示例性实施例示出的一种用于网络地址转换的测试方法的示意图。
如图4所示,防火墙上配置有NAT,交换机上做三层转发,测试仪发送的测试报文通过防火墙设备发送至交换机。
其中,防火墙上可配置源NAT,源IP地址范围配置为测试仪客户端地址段(可例如为192.168.1.0/24),目的地址配置为测试仪服务器端地址段(可例如为192.168.2.0/24),NAT后地址配置可借用地址池(目标地址段,可例如为10.10.10.0/24),防火墙上的流量入接口(tengige_0)和出接口(Tengige0_1)加入安全域,并配置安全策略放通。
配置路由到测试仪服务器短的地址段(192.168.2.0/24)到交换机,使三层转发可通,交换机上只配置到地址池地址(10.10.10.0/24)的路由到防火墙,确保测试仪客户端到服务器端业务可正常通过防火墙和交换机。
其中,交换机上可配置ACL1(第一访问控制列表),源IP为做NAT后的IP地址段(10.10.10.0/24),目的IP为测试仪server端地址段(192.168.2.0/24),协议为测试仪打的流量协议(如HTTP),接口选择流量入方向的接口(tengige4_1),动作为通过、转发、IP重定向到业务板、配置流量统计并配置端口镜像到与PC相连的接口(gige4_4);
交换机上可配置ACL2(第三访问控制列表),源IP为测试仪server端地址段(192.168.2.0/24),目的IP为NAT后的IP地址段(10.10.10.0/24),协议为测试仪的流量协议(HTTP),接口选择流量入方向的接口(tengige4_0),动作为通过、转发、IP重定向到业务板并配置流量统计;
交换机上可配置ACL3(第二访问控制列表),源目IP为any,接口选择流量出入方向接口(tengige4_0,tengige4_1),协议为测试仪发送测试报文流量的流量协议(HTTP),动作配置为丢包+ACL、流量统计并配置端口镜像到与PC相连的接口(gige4_4)。
其中,测试仪(可例如为PC机)上可打开wireshark抓包,过滤报文协议。为了防止wireshark抓包太多导致软件崩溃,需要把抓取的报文分割成多个小文件依次保存到指定位置,供后续分析使用。
其中,测试仪测试报文经过设备时,PC机实时抓取相应报文,待测试报文发送完毕后通过脚本自动分析抓取的报文。通过脚本分析首先过滤源IP是NAT后的网段(10.10.10.0/24)的报文的数量为K,源IP是测试仪Client端网段(192.168.1.0/24)的报文数为L;查询ACL1的报文统计计数为M,查询ACL3的报文统计计数为N,则K=M,L=N,NAT的转化率为K/(K+L)。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
图5是根据一示例性实施例示出的一种电子设备的框图。
下面参照图5来描述根据本公开的这种实施方式的电子设备500。图5显示的电子设备500仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图5所示,电子设备500以通用计算设备的形式表现。电子设备500的组件可以包括但不限于:至少一个处理单元510、至少一个存储单元520、连接不同系统组件(包括存储单元520和处理单元510)的总线530、显示单元540等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元510执行,使得所述处理单元510执行本说明书上述电子处方流转处理方法部分中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元510可以执行如图2,图3中所示的步骤。
所述存储单元520可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)5201和/或高速缓存存储单元5202,还可以进一步包括只读存储单元(ROM)5203。
所述存储单元520还可以包括具有一组(至少一个)程序模块5205的程序/实用工具5204,这样的程序模块5205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线530可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备500也可以与一个或多个外部设备500’(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备500交互的设备通信,和/或与使得该电子设备500能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口550进行。并且,电子设备500还可以通过网络适配器560与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器560可以通过总线530与电子设备500的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备500使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,如图6所示,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。
所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:控制测试仪发送测试报文至防火墙设备;控制所述防火墙设备对所述测试报文进行网络地址转换处理,生成处理后的测试报文;控制所述防火墙设备将所述处理后的测试报文发送至交换机;控制所述交换机将所述处理后的测试报文发送至分析终端;控制所述分析终端抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施例的方法。
以上具体地示出和描述了本公开的示例性实施例。应可理解的是,本公开不限于这里描述的详细结构、设置方式或实现方法;相反,本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (8)
1.一种用于网络地址转换的测试方法,其特征在于,包括:
配置防火墙,使其源网际互连协议地址为测试仪的客户端地址,其目的网际互连协议地址为测试仪的服务器端地址,其网络地址转换处理后地址为目标地址段,其至测试仪的服务器端地址的路由为通过交换机,以及将其流量入接口和流量出接口加入安全域,并配置安全策略;
配置交换机访问控制列表,使其第一访问控制列表将所述目标地址段的测试报文发送至分析终端以及第二访问控制列表将任意地址段的测试报文发送至所述分析终端;
测试仪发送测试报文至防火墙设备;
所述防火墙设备对所述测试报文进行网络地址转换处理,生成处理后的测试报文;
所述防火墙设备将所述处理后的测试报文发送至所述测试仪的服务器端和交换机;
所述交换机将所述处理后的测试报文发送至分析终端;
所述分析终端抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果。
2.如权利要求1所述的方法,其特征在于,所述交换机将所述处理后的测试报文发送至分析终端,包括:
所述交换机通过端口镜像的方式将所述处理后的测试报文发送至所述分析终端。
3.如权利要求1所述的方法,其特征在于,所述分析终端抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果,包括:
所述分析终端通过网络封包分析软件抓取所述处理后的测试报文;
对所述处理后的测试报文进行统计;
根据来自所述防火墙的报文数量和来自所述测试仪的客户端的报文数量测试所述防火墙的网络地址转换效果。
4.如权利要求3所述的方法,其特征在于,对所述处理后的测试报文进行统计,包括:
过滤掉所述处理后的测试报文的报文协议;
将过滤后的测试报文分割为多个小文件存储至预定位置;
对所述过滤后的测试报文进行统计。
5.如权利要求3所述的方法,其特征在于,根据来自所述防火墙的报文数量和来自所述测试仪的客户端的报文数量测试所述防火墙的网络地址转换效果,包括:
将来自所述防火墙的报文数量记为K;
将来自所述测试仪的客户端的报文数量记为L;
所述防火墙的网络地址转换率为K/(K+L)。
6.一种用于网络地址转换的测试系统,其特征在于,包括:
测试仪,用于发送测试报文至防火墙设备;
所述防火墙设备,用于对所述测试报文进行网络地址转换处理,生成处理后的测试报文;并将所述处理后的测试报文发送至交换机,其中其源网际互连协议地址被配置为测试仪的客户端地址,其目的网际互连协议地址被配置为测试仪的服务器端地址,其网络地址转换处理后地址被配置为目标地址段,其至测试仪的服务器端地址的路由被配置为通过交换机,以及其流量入接口和流量出接口被加入安全域,并配置安全策略,所述防火墙设备;
交换机,用于将所述处理后的测试报文发送至分析终端,其配置有第一访问控制列表和第二访问控制列表,第一访问控制列表将所述目标地址段的测试报文发送至所述分析终端以及第二访问控制列表将任意地址段的测试报文发送至所述分析终端;以及
所述分析终端,用于抓取所述处理后的测试报文并进行统计分析以测试所述防火墙的网络地址转换效果。
7.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。
8.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010204811.9A CN111565127B (zh) | 2020-03-22 | 2020-03-22 | 用于网络地址转换的测试方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010204811.9A CN111565127B (zh) | 2020-03-22 | 2020-03-22 | 用于网络地址转换的测试方法、系统、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111565127A CN111565127A (zh) | 2020-08-21 |
| CN111565127B true CN111565127B (zh) | 2022-01-04 |
Family
ID=72073059
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010204811.9A Active CN111565127B (zh) | 2020-03-22 | 2020-03-22 | 用于网络地址转换的测试方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111565127B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112565001A (zh) * | 2020-11-18 | 2021-03-26 | 浪潮思科网络科技有限公司 | 一种nat设备性能测试系统、方法、设备及介质 |
| CN113098733B (zh) * | 2021-03-26 | 2022-04-19 | 杭州迪普科技股份有限公司 | 网络地址转换设备测试系统及方法 |
| CN114124773B (zh) * | 2021-11-24 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 一种端口块地址转换的测试系统及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746885A (zh) * | 2014-01-28 | 2014-04-23 | 中国人民解放军信息安全测评认证中心 | 一种面向下一代防火墙的测试系统和测试方法 |
| CN104104741A (zh) * | 2013-04-10 | 2014-10-15 | 友讯科技股份有限公司 | 通过二网络装置的协助完成stun技术的网络系统及其方法 |
| CN106059650A (zh) * | 2016-05-24 | 2016-10-26 | 北京交通大学 | 基于sdn和nfv技术的天地一体化网络架构及数据传输方法 |
| CN109756401A (zh) * | 2019-03-25 | 2019-05-14 | 新华三信息安全技术有限公司 | 一种测试方法、装置、电子设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9160794B2 (en) * | 2008-12-04 | 2015-10-13 | Microsoft Technology Licensing, Llc | Network address translators (NAT) type detection techniques |
-
2020
- 2020-03-22 CN CN202010204811.9A patent/CN111565127B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104104741A (zh) * | 2013-04-10 | 2014-10-15 | 友讯科技股份有限公司 | 通过二网络装置的协助完成stun技术的网络系统及其方法 |
| CN103746885A (zh) * | 2014-01-28 | 2014-04-23 | 中国人民解放军信息安全测评认证中心 | 一种面向下一代防火墙的测试系统和测试方法 |
| CN106059650A (zh) * | 2016-05-24 | 2016-10-26 | 北京交通大学 | 基于sdn和nfv技术的天地一体化网络架构及数据传输方法 |
| CN109756401A (zh) * | 2019-03-25 | 2019-05-14 | 新华三信息安全技术有限公司 | 一种测试方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111565127A (zh) | 2020-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111565127B (zh) | 用于网络地址转换的测试方法、系统、设备及介质 | |
| CN111262879B (zh) | 一种基于仿真路径分析的防火墙安全策略开通方法及装置 | |
| CA2937863C (en) | Method and system for comparing different versions of a cloud based application in a production environment using segregated backend systems | |
| EP2976865B1 (en) | Firewall testing | |
| CN113923057B (zh) | 卫星测运控平台的数据处理方法、装置、电子设备及介质 | |
| WO2015153369A1 (en) | Method and system for testing cloud based applications and services in a production environment using segregated backend systems | |
| CN112333044B (zh) | 分流设备性能测试方法、装置、系统、电子设备以及介质 | |
| CN113098733B (zh) | 网络地址转换设备测试系统及方法 | |
| CN112350833A (zh) | 流量过滤方法及装置 | |
| CN113391967A (zh) | 防火墙的包过滤测试方法及装置 | |
| Lee et al. | A novel approach to analyzing for detecting malicious network activity using a cloud computing testbed | |
| CN114157464B (zh) | 一种网络测试监控方法及监控系统 | |
| CN111565311B (zh) | 网络流量特征生成方法及装置 | |
| CN114143079A (zh) | 包过滤策略的验证装置及方法 | |
| Mugitama et al. | An evidence-based technical process for openflow-based SDN forensics | |
| CN113672416A (zh) | 内存资源泄漏的原因定位方法及装置 | |
| Zhang et al. | Toward comprehensive network verification: Practices, challenges and beyond | |
| Bolanowski et al. | Coarse traffic classification for high-bandwidth connections in a computer network using deep learning techniques | |
| Brahmanand et al. | A Systematic approach of analysing network traffic using packet sniffing with scapy framework | |
| Ushakova et al. | Research of performance parameters of virtual switches with OpenFlow support | |
| Niehaus et al. | Modern ict network simulator for co-simulations in smart grid applications | |
| CN110620682A (zh) | 资源信息的获取方法及装置、存储介质、终端 | |
| CN114006838B (zh) | 流控设备的测试方法及系统 | |
| CN114024765B (zh) | 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 | |
| CN115277506A (zh) | 负载均衡设备测试方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |