CN112804220B - 一种防火墙测试方法、装置、电子设备及存储介质 - Google Patents
一种防火墙测试方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112804220B CN112804220B CN202011643051.8A CN202011643051A CN112804220B CN 112804220 B CN112804220 B CN 112804220B CN 202011643051 A CN202011643051 A CN 202011643051A CN 112804220 B CN112804220 B CN 112804220B
- Authority
- CN
- China
- Prior art keywords
- firewall
- session
- message
- state
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本申请涉及一种防火墙测试方法、装置、电子设备及存储介质,属于网络通信技术领域。该方法包括在基于TCP会话状态测试防火墙的过程中,控制第一设备和第二设备各自发送会话报文的时机,以便于采集所述防火墙在该过程中的不同时刻的会话状态;控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙。通过控制第一设备和第二设备各自发送会话报文的时机,使得第一设备和第二设备在会话过程中的交互过程可控,以便于有足够的时间采集防火墙在该过程中的不同时刻的会话状态,从而可实时观测防火墙的会话中间状态、实时分析,解决现有了现有测试结果不准确的问题。
Description
技术领域
本申请属于网络通信技术领域,具体涉及一种防火墙测试方法、装置、电子设备及存储介质。
背景技术
随着云计算、大数据、人工智能等新兴技术的不断发展,ICT(Internet andCommunication Technology)网络环境持续变化。网络安全威胁的范围及内容在不断地扩大和演变,僵尸网络、钓鱼网站、分布式拒绝服务(Distributed Denial of Service,DDoS)攻击等网络安全威胁有增无减,勒索软件、高级持续威胁(Advanced Persistent Threat,APT)攻击等新型网络攻击愈演愈烈,网络攻击愈加趋向于复杂化、系统化、高级化、规模化。防火墙作为网络安全的第一道防线,需要积极适应这些变化,以便帮助用户有效应对日益严峻的网络安全威胁。因此,防火墙系统的重要性不言而喻,而对防火墙系统的测试极为重要。
现有的防火墙大都基于会话状态进行测试,将通信双方之间交互的属于同一连接的所有报文都作为整个的数据流来对待。对于防火墙而言,同一个数据流内的报文不再是孤立的个体,而是存在联系的。例如,为数据流的第一个报文建立会话,数据流内的后续报文就会直接匹配会话转发,不需要再进行规则的检查,提高了转发效率。
但是,现有基于会话状态测试的防火墙测试技术,如通过Telnet协议发送首包进行测试,客户端与服务器的传输控制协议(Transmission Control Protocol,TCP)三次握手过程过快,导致中间交互报文不可控,无法对防火墙的会话中间状态(如请求(Requesting)状态和握手(Handshaking)状态)进行实时观测、实时分析,测试结果较为片面。
发明内容
鉴于此,本申请的目的在于提供一种防火墙测试方法、装置、电子设备及存储介质,以改善现有防火墙测试方法无法对防火墙的会话中间状态进行实时观测、实时分析,导致测试结果不准确的问题。
本申请的实施例是这样实现的:
第一方面,本申请实施例提供了一种防火墙测试方法,包括:在基于TCP会话状态测试防火墙的过程中,控制第一设备和第二设备各自发送会话报文的时机,以便于采集所述防火墙在该过程中的不同时刻的会话状态;控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙。本申请实施例中,通过控制第一设备和第二设备各自发送会话报文的时机,使得第一设备和第二设备在会话过程中的交互过程可控,以便于有足够的时间采集防火墙在该过程中的不同时刻的会话状态,从而可实时观测防火墙的会话中间状态、且可实现实时观测、实时分析,解决现有了现有测试结果不准确的问题。
结合第一方面实施例的一种可能的实施方式,在基于TCP会话状态测试防火墙的第一阶段,所述第一阶段为所述第一设备和所述第二设备通过所述防火墙建立会话连接的阶段,控制所述第一设备和所述第二设备各自发送会话报文的时机,包括:控制所述第一设备发送同步序列编号SYN报文;在所述第二设备接收到所述SYN报文时,控制所述第二设备发送确认应答报文;在所述第一设备接收到所述确认应答报文时,控制所述第一设备发送确认字符ACK报文。本申请实施例中,在所述第一设备和所述第二设备通过所述防火墙建立会话连接的过程中,通过控制第一设备通过防火墙向第二设备发送同步序列编号SYN报文,以及在第二设备接收到SYN报文后,控制第二设备通过防火墙向第一设备发送确认应答报文(SYN+ACK报文),并在第一设备接收到确认应答报文后,控制第一设备通过防火墙向第二设备发送确认字符报文(ACK报文),使得整个建立会话连接的过程中的报文交互是可控的,进而有足够的时间采集防火墙在三次握手过程中的不同时刻的会话状态。
结合第一方面实施例的一种可能的实施方式,控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙,包括:采集所述防火墙在接收到所述第一设备发送的同步序列编号SYN报文时的会话状态,并判断所述防火墙是否建立状态为请求状态的会话,且将所述SYN报文发送给所述第二设备;采集所述防火墙在接收到所述第二设备发送的确认应答报文时的会话状态,并判断所述防火墙是否将会话状态从所述请求状态切换为握手状态,且将所述确认应答报文发送给所述第一设备;以及采集所述防火墙在接收到所述第一设备发送的确认字符ACK报文时的会话状态,并判断所述防火墙是否将会话状态从所述握手状态切换为建立状态,且将所述ACK报文发送给所述第二设备。本申请实施例中,通过采集防火墙在三次握手过程中的不同时刻的会话状态,并实时分析该过程中的会话状态是否与预期一致,解决现有了现有测试结果较为片面的问题。
结合第一方面实施例的一种可能的实施方式,在基于TCP会话状态测试防火墙的第二阶段,所述第二阶段为所述第一设备和所述第二设备基于会话连接进行数据传输的阶段,控制所述第一设备和所述第二设备各自发送会话报文的时机,包括:控制所述第一设备发送数据传输报文;在所述第二设备接收到所述数据传输报文时,控制所述第二设备发送确认字符ACK报文。本申请实施例中,在第一设备和所述第二设备基于会话连接进行数据传输的过程中,通过控制第一设备通过防火墙向第二设备发送数据传输报文,以及在第二设备接收到数据传输报文后,控制第二设备通过防火墙向第一设备发送确认字符报文,使得整个基于会话连接进行数据传输的过程中的报文交互是可控的,进而有足够的时间采集防火墙数据传输过程中的不同时刻的会话状态。
结合第一方面实施例的一种可能的实施方式,控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙,包括:采集所述防火墙在接收到所述第一设备发送的数据传输报文时的会话状态,并判断所述防火墙的会话状态是否维持建立状态,且将所述数据传输报文发送给所述第二设备;采集所述防火墙在接收到所述第二设备发送的确认字符ACK报文时的会话状态,并判断所述防火墙的会话状态是否维持所述建立状态,且将所述ACK报文发送给所述第一设备。本申请实例中,通过采集防火墙在基于会话连接进行数据传输的过程中的不同时刻的会话状态,并实时分析该过程中的会话状态是否与预期一致,解决现有了现有测试结果较为片面的问题。
结合第一方面实施例的一种可能的实施方式,在基于TCP会话状态测试防火墙的第三阶段,所述第三阶段为所述第一设备和所述第二设备解除会话连接的阶段,控制所述第一设备和所述第二设备各自发送会话报文的时机,包括:控制所述第一设备发送结束报文;在所述第二设备接收到所述第一设备发送的结束报文时,控制所述第二设备发送结束确认报文;在所述第一设备接收到所述第二设备发送的结确认束报文时,控制所述第一设备发送确认字符ACK报文。本申请实施例中,在第一设备和所述第二设备解除会话连接的过程中,通过控制第一设备通过防火墙向第二设备发送结束报文(FIN报文),以及在第二设备接收到结束报文后,控制第二设备通过防火墙向第一设备发送结束确认报文(FIN+ACK报文),以及在第一设备接收到第二设备发送的结束确认报文后,控制第一设备通过防火墙向第二设备发送确认字符报文,使得整个解除会话连接的过程中的报文交互是可控的,进而有足够的时间采集防火墙解除会话连接的过程中的不同时刻的会话状态。
结合第一方面实施例的一种可能的实施方式,控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,并将采集的所述会话状态与预期进行比对,以测试所述防火墙,包括:采集所述防火墙在接收到所述第一设备发送的结束报文时的会话状态,并判断所述防火墙的会话状态是否从建立状态切换为关闭状态,且将所述结束报文发送给第二设备;采集所述防火墙在接收到所述第二设备发送的结束确认报文时的会话状态,并判断所述防火墙的会话状态是否维持所述关闭状态,并将该结束确认报文发送给第一设备;采集所述防火墙在接收到所述第一设备发送的确认字符ACK报文时的会话状态,并判断所述防火墙的会话状态是否维持所述关闭状态,且将所述ACK报文发送给第二设备。本申请实施例中,通过采集防火墙在解除会话连接的过程中的不同时刻的会话状态,并实时分析该过程中的会话状态是否与预期一致,解决现有了现有测试结果较为片面、不准确的问题。
结合第一方面实施例的一种可能的实施方式,所述方法还包括:在所述第二设备接收到所述第一设备发送的会话报文时,控制所述第二设备发送复位RST报文;采集所述防火墙在接收到所述第二设备发送的RST报文时的会话状态,并判断所述防火墙的会话状态是否从该会话报文对应的状态切换为关闭状态,且将所述RST报文发送给所述第一设备。本申请实施例中,通过控制第二设备通过防火墙向第一设备发送复位RST报文,并采集防火墙在接收到第二设备发送的RST报文时的会话状态,并判断防火墙的会话状态是否从该会话报文对应的状态切换为关闭状态,且将所述RST报文发送给所述第一设备,使得该方法还可以测试会话异常关闭时防火墙的状态,从而可以实现对防火墙的全面测试。
结合第一方面实施例的一种可能的实施方式,控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙,包括:控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,以及获取所述防火墙在该过程中的不同时刻的会话状态的维持时间,并通过将采集的所述会话状态与预期进行比对,以及将所述维持时间与老化时间进行比对,以测试所述防火墙。本申请实施例中,在对防火墙进行测试时,除了将采集的会话状态与预期进行比对外,还可以对防火墙不同时刻的会话状态的维持时间进行测试,进一步增强了测试的可靠性,以及提高了测试的准确性。
第二方面,本申请实施例还提供了一种防火墙测试装置,包括:控制模块以及测试模块;控制模块,用于在基于TCP会话状态测试防火墙的过程中,控制第一设备和第二设备各自发送会话报文的时机,以便于采集所述防火墙在该过程中的不同时刻的会话状态;测试模块,用于控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙。
第三方面,本申请实施例还提供了一种电子设备,包括:存储器和处理器,所述处理器与所述存储器连接;所述存储器,用于存储程序;所述处理器,用于调用存储于所述存储器中的程序,以执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。
第四方面,本申请实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器运行时,执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例而了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本申请的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本申请的主旨。
图1示出了本申请实施例提供的一种自动测试系统的结构示意图。
图2示出了本申请实施例提供的一种防火墙测试方法的流程示意图。
图3示出了本申请实施例提供的建立会话连接过程的流程示意图。
图4示出了本申请实施例提供的基于会话连接进行数据传输的流程示意图。
图5示出了本申请实施例提供的一种解除会话连接的流程示意图。
图6示出了本申请实施例提供的一种防火墙测试装置的模块示意图。
图7示出了本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
再者,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
鉴于现有防火墙测试技术(如通过Telnet协议发送首包进行测试)由于该测试过程中,客户端与服务器的TCP(Transmission Control Protocol)三次握手过程过快,导致中间交互报文不可控,无法对防火墙的会话中间状态(如请求(Requesting)状态和握手(Handshaking)状态)进行实时观测、实时分析,导致测试结果较为片面、不准确的问题。
基于此,本申请实施例中,通过模拟第一设备与第二设备通过防火墙建立会话机制,并在该过程中对防火墙进行测试,通过控制第一设备和第二设备各自发送会话报文的时机,使得第一设备和第二设备在会话过程中的交互过程可控,以便于有足够的时间采集防火墙在该过程中的不同时刻的会话状态,从而可实时观测防火墙的TCP会话中间状态、且可实现实时观测、实时分析。
为了便于理解,下面将结合图1对本申请实施例提供的自动化测试系统进行说明。该自动化测试系统,包括:第一设备、第二设备、第三设备和防火墙。第一设备和第二设备之间可以通过防火墙建立连接而相互通信,第三设备作为测试脚本运行设备,通过远程连接的方式分别对第一设备、防火墙以及第二设备下发相关命令,控制第一设备和第二设备各自发送会话报文的时机,以便于有足够的时间采集防火墙在该过程中的不同时刻的会话状态,以及控制防火墙采集防火墙在该过程中的不同时刻的会话状态,通过将采集的会话状态与预期进行比对,以测试防火墙。可针对第一设备和第二设备通过防火墙建立会话机制的每个状态逐一模拟,使会话的各个状态可控。
为了便于理解,下面将结合图2,对本申请实施例提供的防火墙测试方法进行说明。
步骤S101:在基于TCP会话状态测试防火墙的过程中,控制第一设备和第二设备各自发送会话报文的时机,以便于采集所述防火墙在该过程中的不同时刻的会话状态。
步骤S102:控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙。
其中,为了便于理解上述过程,下面将结合图3-图5分别对在基于TCP会话状态测试防火墙的第一阶段(为第一设备和第二设备通过防火墙建立会话连接的阶段)、第二阶段(为第一设备和第二设备基于会话连接进行数据传输的阶段)、第三阶段(为第一设备和第二设备解除会话连接的阶段),控制第一设备和第二设备各自发送会话报文的时机以及控制防火墙采集防火墙在该过程中的不同时刻的会话状态,通过将采集的会话状态与预期进行比对的过程进行说明。
如图3所示,在基于TCP会话状态测试防火墙的第一阶段,控制第一设备和第二设备各自发送会话报文的时机,以及控制防火墙采集防火墙在该过程中的不同时刻的会话状态,通过将采集的会话状态与预期进行比对的过程可以是:
第三设备控制第一设备发送同步序列编号(Synchronize Sequence Numbers,SYN)报文,如控制第一设备使用软件(如使用开源软件SendIP)构造SYN报文,并通过防火墙发送给第二设备;远程登录防火墙和第二设备,分别采集防火墙在接收到第一设备发送的SYN报文时的会话状态以及第二设备的收包结果,并将采集的会话状态与预期(防火墙在接收到SYN报文后,建立状态为请求状态(Requesting)的会话,且将SYN报文发送给第二设备)相比,也即判断防火墙在接收到SYN报文时是否建立状态为请求状态的会话,且将SYN报文发送给第二设备(可通过第二设备的收包结果来确定防火墙是否将SYN报文发送给第二设备,若第二设备收到该SYN报文,则表示防火墙将SYN报文发送给第二设备),若与预期不一致,则测试不通过,结束测试流程,若与预期一致,也即防火墙在接收到SYN报文后,建立状态为请求状态的会话,且将SYN报文发送给第二设备,则控制第二设备发送确认应答报文(SYN+ACK报文),如控制第二设备使用软件(如使用开源软件SendIP)构造SYN+ACK报文,并通过防火墙发送给第一设备;远程登录防火墙和第一设备,采集防火墙在接收到第二设备发送的确认应答报文(SYN+ACK报文)时的会话状态和第一设备的收包结果,并将采集的会话状态与预期(防火墙在接收到SYN+ACK报文后,将会话状态从请求状态切换为握手状态(Handshaking),且将确认应答报文发送给第一设备)相比,也即判断防火墙在接收到SYN+ACK报文后是否将会话状态从请求状态切换为握手状态,且将确认应答报文发送给第一设备(可通过第一设备的收包结果来确定防火墙是否将SYN+ACK报文发送给第一设备),若与预期不一致,则测试不通过,结束测试流程,若与预期一致,也即防火墙在接收到SYN+ACK报文后,将会话状态从请求状态切换为握手状态,且将确认应答报文发送给第一设备,则控制第一设备发送确认字符(Acknowledge character,ACK)报文,如控制第一设备使用软件(如使用开源软件SendIP)构造ACK报文,并通过防火墙发送给第二设备;远程登录防火墙和第二设备,采集防火墙在接收到第一设备发送的ACK报文时的会话状态和第二设备的收包结果,并将采集的会话状态与预期(防火墙在接收到ACK报文后,将会话状态从握手状态切换为建立状态(Established),且将ACK报文发送给第二设备)相比,也即判断防火墙在接收到ACK报文后是否将会话状态从握手状态切换为建立状态,且将ACK报文发送给第二设备(可通过第二设备的收包结果来确定防火墙是否将ACK报文发送给第二设备),若与预期不一致,则测试不通过,结束测试流程,若与预期一致,也即防火墙在接收到ACK报文后,将会话状态从握手状态切换为建立状态,且将ACK报文发送给第二设备,则可以进行下一步测试。
其中,需要说明的是,在控制第一设备和第二设备通过防火墙建立会话连接时,上述交互过程也可以反过来,即控制第二设备通过防火墙向第一设备发送SYN报文,在第一设备接收到SYN报文时,控制第一设备通过防火墙向第二设备发送SYN+ACK报文,在第二设备接收到SYN+ACK报文时,控制第二设备通过防火墙向第以设备发送ACK报文。
如图4所示,在基于TCP会话状态测试防火墙的第二阶段,控制第一设备和第二设备各自发送会话报文的时机,以及控制防火墙采集防火墙在该过程中的不同时刻的会话状态,通过将采集的会话状态与预期进行比对的过程可以是:
第三设备控制第一设备发送数据传输(Push,PSH)报文,如控制第一设备使用软件(如使用开源软件SendIP)构造PSH报文,并通过防火墙发送给第二设备;远程登录防火墙和第二设备,采集防火墙在接收到第一设备发送的PSH报文时的会话状态和第二设备的收包结果,并将采集的会话状态与预期(防火墙在接收到PSH报文后,会维持建立状态的会话,且将PSH报文发送给第二设备)相比,也即判断防火墙的会话状态是否维持建立状态,且将数据传输报文发送给第二设备(可根据第二设备的收包结果来确定防火墙是否将PSH报文发送给第二设备),若与预期不一致,则测试不通过,结束测试流程,若与预期一致,也即防火墙在接收到PSH报文后,维持建立状态的会话,且将PSH报文发送给第二设备,则控制第二设备发送确认字符报文(ACK报文),如控制第二设备使用软件(如使用开源软件SendIP)构造ACK报文,并通过防火墙发送给第一设备;远程登录防火墙和第一设备,采集防火墙在接收到第二设备发送的确认字符报文(ACK报文)时的会话状态和第一设备的收包结果,并将采集的会话状态与预期(防火墙在接收到ACK报文后,会维持建立状态的会话,且将ACK报文发送给第一设备)相比,也即判断防火墙的会话状态是否维持建立状态,且将ACK报文发送给第一设备(可根据第一设备的收包结果来确定防火墙是否将ACK报文发送给第一设备),若与预期不一致,则测试不通过,结束测试流程,若与预期一致,也即防火墙在接收到ACK报文后,会维持建立状态的会话,且将ACK报文发送给第一设备,则可以进行下一步测试。
其中,需要说明的是,在控制第一设备和第二设备基于会话连接进行数据传输时,上述交互过程也可以反过来,即控制第二设备通过防火墙向第一设备发送数据传输(PSH)报文,在第一设备接收到PSH报文时,控制第一设备通过防火墙向第二设备发送ACK报文。
如图5所示,在基于TCP会话状态测试防火墙的第三阶段,控制第一设备和第二设备各自发送会话报文的时机,以及控制防火墙采集防火墙在该过程中的不同时刻的会话状态,通过将采集的会话状态与预期进行比对的过程可以是:
第三设备控制第一设备发送结束(Finsh,FIN)报文,如控制第一设备使用软件(如使用开源软件SendIP)构造FIN报文,并通过防火墙发送给第二设备;远程登录防火墙和第二设备,采集防火墙在接收到第一设备发送的FIN报文时的会话状态和第二设备的收包结果,并将采集的会话状态与预期(防火墙在接收到FIN报文后,会将会话状态从建立状态切换为关闭状态(Closed),且将结束报文发送给第二设备)相比,也即判断所述防火墙的会话状态是否从建立状态切换为关闭状态,且将所述结束报文发送给第二设备(可通过第二设备的收包结果来确定防火墙是否将FIN报文发送给第二设备),若与预期不一致,则测试不通过,结束测试流程,若与预期一致,也即防火墙在接收到FIN报文后,会将会话状态从建立状态切换为关闭状态,且将结束报文发送给第二设备,则控制第二设备发送结束确认报文(FIN+ACK报文),如控制第二设备使用软件(如使用开源软件SendIP)构造FIN+ACK报文,并通过防火墙发送给第一设备;远程登录防火墙和第一设备,采集防火墙在接收到第二设备发送的FIN+ACK报文时的会话状态和第一设备的收包结果,并将采集的会话状态与预期(防火墙在接收到FIN+ACK报文后,会维持关闭状态的会话,且将结束确认报文发送给第一设备)相比,也即断所述防火墙的会话状态是否维持所述关闭状态,并将该结束确认报文发送给第一设备(可通过第一设备的收包结果来确定防火墙是否将FIN+ACK报文发送给第一设备),若与预期不一致,则测试不通过,结束测试流程,若与预期一致,也即防火墙在接收到FIN+ACK报文后,会维持关闭状态的会话,且将结束确认报文发送给第一设备,则控制第一设备发送确认字符(ACK)报文,如控制第一设备使用软件(如使用开源软件SendIP)构造ACK报文,并通过防火墙发送给第二设备;远程登录防火墙和第二设备,采集防火墙在接收到第一设备发送的确认字符报文(ACK)时的会话状态和第二设备的收包结果,并将采集的会话状态与预期(防火墙在接收到ACK报文后,会维持关闭状态的会话,且将ACK报文发送给第二设备)相比,也即判断所述防火墙的会话状态是否维持所述关闭状态,且将所述ACK报文发送给第二设备(可通过第二设备的收包结果来确定防火墙是否将ACK报文发送给第二设备),若与预期不一致,则测试不通过,结束测试流程,若与预期一致,也即防火墙在接收到ACK报文后,会维持关闭状态的会话,且将ACK报文发送给第二设备,则完成测试。
其中,需要说明的是,在控制第一设备和所述第二设备解除会话连接时,上述交互过程也可以反过来,即控制第二设备通过防火墙向第一设备发送结束(FIN)报文,在第一设备接收到FIN报文时,控制第一设备通过防火墙向第二设备发送FIN+ACK报文,在第二设备接收到FIN+ACK报文时,控制第二设备通过防火墙向第一设备发送ACK报文。
拆除会话连接的过程除了上述的方式外,也可以是,第二设备在接收到第一设备发送的FIN报文时,先通过防火墙向第一设备发送ACK报文,待第二设备也想结束会话连接时,通过防火墙向第一设备发送FIN报文,第一设备接收到第二设备发送的FIN报文后,通过防火墙向第二设备发送ACK报文。其中在控制第一设备和所述第二设备解除会话连接时,上述交互过程也可以反过来,也即第一设备在接收到第二设备发送的FIN报文时,先通过防火墙向第二设备发送ACK报文,待第一设备也想结束会话连接时,通过防火墙向第二设备发送FIN报文,第二设备接收到第一设备发送的FIN报文后,通过防火墙向第一设备发送ACK报文。
其中,在通过第三设备中运行的测试脚本将采集的会话状态与预期进行比对,以测试防火墙时,该测试脚本可根据比对结果生成测试报告,若与预期相同,则测试通过,否则测试不通过。
其中,上述的第一设备可以是客户端,第二设备可以是服务器,当然也可以反过来,如第一设备可以是服务器,第二设备可以是客户端。
除了测试上述的功能外,还可以测试会话异常关闭时,防火墙的状态,导致会话异常关闭的情况有很多,如设备重启、连接异常等,此时仅以通过发送复位报文进行异常中断的方式进行说明,实际过程中仍可增加其他异常。所述方法还包括:
在第二设备接收到第一设备发送的会话报文(该会话报文可以是上述的SYN报文、SYN+ACK报文、ACK报文、FIN报文或FIN+ACK报文)时,第三设备控制第二设备发送复位(Reset,RST)报文,如第三设备控制第二设备使用软件(如使用开源软件SendIP)构造RST报文,并通过防火墙发送给第一设备;第三设备远程登录防火墙和第一设备,采集防火墙在接收到第二设备发送的RST报文时的会话状态和第一设备的收包结果,并将采集的会话状态与预期(防火墙在接收到RST报文后,防火墙的会话状态会从该会话报文对应的状态切换为关闭状态,且将RST报文发送给第一设备)相比,也即判断防火墙的会话状态是否从该会话报文对应的状态切换为关闭状态,且将RST报文发送给第一设备(可通过第一设备的收包结果来确定防火墙是否将RST报文发送给第一设备),若与预期不一致,则测试不通过,结束测试流程,若与预期一致,也即防火墙在接收到RST报文后,防火墙的会话状态会从该会话报文对应的状态切换为关闭状态,且将RST报文发送给第一设备,则测试通过。
其中,控制第二设备发送RST报文的时机,可以是基于TCP会话状态测试防火墙的第一阶段、第二阶段或第三阶段。
其中,需要说明的是,在对防火墙进行测试时,除了将采集的会话状态与预期进行比对外,还可以对防火墙不同时刻的会话状态的维持时间进行测试,判断会话状态的维持时间是否超过对应的老化时间,若超过对应的老化时间,则测试不通过,结束测试流程。在该种实施方式下,控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙的过程可以是:控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,以及获取所述防火墙在该过程中的不同时刻的会话状态的维持时间,并通过将采集的所述会话状态与预期进行比对,以及将所述维持时间与老化时间进行比对,以测试所述防火墙。也即在该种实施方式下,除了将采集的会话状态与预期进行比对外,还可以对防火墙不同时刻的会话状态的维持时间进行测试。其中不同的会话状态对应的老化时间可以不同。为了便于理解,以判断握手状态(Handshaking)的维持时间是否超过对应的老化时间为例,进行说明。
例如,控制第一设备通过防火墙向第二设备发送SYN报文,在第二设备接收到SYN报文后,控制第二设备通过防火墙向第一设备发送SYN+ACK报文,此时防火墙在接收到第二设备发送的SYN+ACK报文后,其会话状态会从请求状态切换为握手状态,从会话状态为握手状态开始计时,假设握手状态对应的老化时间为t,若防火墙维持握手状态的维持时间大于t或者小于t,也即在这一时间内,防火墙的会话状态未发生变化,一直维持在握手状态(防火墙维持握手状态的维持时间大于t),或者提前发生变化(防火墙维持握手状态的维持时间小于t),则测试失败,结束测试流程。
其中,需要说明的是,此处仅以握手状态(Handshaking)的维持时间是否超过对应的老化时间为例,其余状态(如建立状态、关闭状态等)的老化测试的原理与之类似,在此不再举例。
本申请实施例还提供了一种防火墙测试装置100,如图6所示。该防火墙测试装置100包括:控制模块110和测试模块120。
其中,控制模块110,用于在基于TCP会话状态测试防火墙的过程中,控制第一设备和第二设备各自发送会话报文的时机,以便于采集所述防火墙在该过程中的不同时刻的会话状态。
测试模块120,用于控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙。
其中,在基于TCP会话状态测试防火墙的第一阶段,所述第一阶段为所述第一设备和所述第二设备通过所述防火墙建立会话连接的阶段。
所述控制模块110,用于:控制所述第一设备发送同步序列编号SYN报文;在所述第二设备接收到所述SYN报文时,控制所述第二设备发送确认应答报文;在所述第一设备接收到所述确认应答报文时,控制所述第一设备发送确认字符ACK报文。
测试模块120,用于:采集所述防火墙在接收到所述第一设备发送的同步序列编号SYN报文时的会话状态,并判断所述防火墙是否建立状态为请求状态的会话,且将所述SYN报文发送给所述第二设备;采集所述防火墙在接收到所述第二设备发送的确认应答报文时的会话状态,并判断所述防火墙是否将会话状态从所述请求状态切换为握手状态,且将所述确认应答报文发送给所述第一设备;以及采集所述防火墙在接收到所述第一设备发送的确认字符ACK报文时的会话状态,并判断所述防火墙是否将会话状态从所述握手状态切换为建立状态,且将所述ACK报文发送给所述第二设备。
基于TCP会话状态测试防火墙的第二阶段,所述第二阶段为所述第一设备和所述第二设备基于会话连接进行数据传输的阶段。
所述控制模块110,用于:控制所述第一设备发送数据传输报文;
在所述第二设备接收到所述数据传输报文时,控制所述第二设备发送确认字符ACK报文。
测试模块120,用于:采集所述防火墙在接收到所述第一设备发送的数据传输报文时的会话状态,并判断所述防火墙的会话状态是否维持建立状态,且将所述数据传输报文发送给所述第二设备;采集所述防火墙在接收到所述第二设备发送的确认字符ACK报文时的会话状态,并判断所述防火墙的会话状态是否维持所述建立状态,且将所述ACK报文发送给所述第一设备。
在基于TCP会话状态测试防火墙的第三阶段,所述第三阶段为所述第一设备和所述第二设备解除会话连接的阶段。
所述控制模块110,用于:控制所述第一设备发送结束报文;在所述第二设备接收到所述第一设备发送的结束报文时,控制所述第二设备发送结束确认报文;在所述第一设备接收到所述第二设备发送的结束确认报文时,控制所述第一设备发送确认字符ACK报文。
测试模块120,用于:采集所述防火墙在接收到所述第一设备发送的结束报文时的会话状态,并判断所述防火墙的会话状态是否从建立状态切换为关闭状态,且将所述结束报文发送给第二设备;采集所述防火墙在接收到所述第二设备发送的结束确认报文时的会话状态,并判断所述防火墙的会话状态是否维持所述关闭状态,并将该结束确认报文发送给第一设备;采集所述防火墙在接收到所述第一设备发送的确认字符ACK报文时的会话状态,并判断所述防火墙的会话状态是否维持所述关闭状态,且将所述ACK报文发送给第二设备。
此外,所述控制模块110,还用于在所述第二设备接收到所述第一设备发送的会话报文时,控制所述第二设备发送复位RST报文。测试模块120,还用于采集所述防火墙在接收到所述第二设备发送的RST报文时的会话状态,并判断所述防火墙的会话状态是否从该会话报文对应的状态切换为关闭状态,且将所述RST报文发送给所述第一设备。
其中,可选地,测试模块120,用于控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,以及获取所述防火墙在该过程中的不同时刻的会话状态的维持时间,并通过将采集的所述会话状态与预期进行比对,以及将所述维持时间与老化时间进行比对,以测试所述防火墙。
本申请实施例所提供的防火墙测试装置100,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
如图7所示,图7示出了本申请实施例提供的一种电子设备200的结构框图。所述电子设备200包括:收发器210、存储器220、通讯总线230以及处理器240。
所述收发器210、所述存储器220、处理器240各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线230或信号线实现电性连接。其中,收发器210用于收发数据。存储器220用于存储计算机程序,如存储有图6中所示的软件功能模块,即防火墙测试装置100。其中,防火墙测试装置100包括至少一个可以软件或固件(firmware)的形式存储于所述存储器220中或固化在所述电子设备200的操作系统(operating system,OS)中的软件功能模块。所述处理器240,用于执行存储器220中存储的可执行模块,例如防火墙测试装置100包括的软件功能模块或计算机程序。例如,处理器240,用于在基于TCP会话状态测试防火墙的过程中,控制第一设备和第二设备各自发送会话报文的时机,以便于采集所述防火墙在该过程中的不同时刻的会话状态;控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙。
其中,存储器220可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器240可能是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器240也可以是任何常规的处理器等。
其中,上述的电子设备200,包括但不限于计算机、服务器等。
本申请实施例还提供了一种非易失性计算机可读取存储介质(以下简称存储介质),该存储介质上存储有计算机程序,该计算机程序被计算机如上述的电子设备200运行时,执行上述所示的防火墙测试方法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,服务器,或者电子设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (9)
1.一种防火墙测试方法,其特征在于,包括:
在基于TCP会话状态测试防火墙的过程中,控制第一设备和第二设备各自发送会话报文的时机,以便于采集所述防火墙在该过程中的不同时刻的会话状态;
控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙;
其中,在基于TCP会话状态测试防火墙的第一阶段,所述第一阶段为所述第一设备和所述第二设备通过所述防火墙建立会话连接的阶段,控制所述第一设备和所述第二设备各自发送会话报文的时机,包括:
控制所述第一设备发送同步序列编号SYN报文;
在所述第二设备接收到所述SYN报文时,控制所述第二设备发送确认应答报文;
在所述第一设备接收到所述确认应答报文时,控制所述第一设备发送确认字符ACK报文;在基于TCP会话状态测试防火墙的第二阶段,所述第二阶段为所述第一设备和所述第二设备基于会话连接进行数据传输的阶段,控制所述第一设备和所述第二设备各自发送会话报文的时机,包括:
控制所述第一设备发送数据传输报文;
在所述第二设备接收到所述数据传输报文时,控制所述第二设备发送确认字符ACK报文;
在基于TCP会话状态测试防火墙的第三阶段,所述第三阶段为所述第一设备和所述第二设备解除会话连接的阶段,控制所述第一设备和所述第二设备各自发送会话报文的时机,包括:
控制所述第一设备发送结束报文;
在所述第二设备接收到所述第一设备发送的结束报文时,控制所述第二设备发送结束确认报文;
在所述第一设备接收到所述第二设备发送的结束确认报文时,控制所述第一设备发送确认字符ACK报文。
2.根据权利要求1所述的方法,其特征在于,在基于TCP会话状态测试防火墙的第一阶段,控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙,包括:
采集所述防火墙在接收到所述第一设备发送的同步序列编号SYN报文时的会话状态,并判断所述防火墙是否建立状态为请求状态的会话,且将所述SYN报文发送给所述第二设备;
采集所述防火墙在接收到所述第二设备发送的确认应答报文时的会话状态,并判断所述防火墙是否将会话状态从所述请求状态切换为握手状态,且将所述确认应答报文发送给所述第一设备;
以及采集所述防火墙在接收到所述第一设备发送的确认字符ACK报文时的会话状态,并判断所述防火墙是否将会话状态从所述握手状态切换为建立状态,且将所述ACK报文发送给所述第二设备。
3.根据权利要求1所述的方法,其特征在于,在基于TCP会话状态测试防火墙的第二阶段,控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙,包括:
采集所述防火墙在接收到所述第一设备发送的数据传输报文时的会话状态,并判断所述防火墙的会话状态是否维持建立状态,且将所述数据传输报文发送给所述第二设备;
采集所述防火墙在接收到所述第二设备发送的确认字符ACK报文时的会话状态,并判断所述防火墙的会话状态是否维持所述建立状态,且将所述ACK报文发送给所述第一设备。
4.根据权利要求1所述的方法,其特征在于,在基于TCP会话状态测试防火墙的第三阶段,控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,并将采集的所述会话状态与预期进行比对,以测试所述防火墙,包括:
采集所述防火墙在接收到所述第一设备发送的结束报文时的会话状态,并判断所述防火墙的会话状态是否从建立状态切换为关闭状态,且将所述结束报文发送给第二设备;
采集所述防火墙在接收到所述第二设备发送的结束确认报文时的会话状态,并判断所述防火墙的会话状态是否维持所述关闭状态,并将该结束确认报文发送给第一设备;
采集所述防火墙在接收到所述第一设备发送的确认字符ACK报文时的会话状态,并判断所述防火墙的会话状态是否维持所述关闭状态,且将所述ACK报文发送给第二设备。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述第二设备接收到所述第一设备发送的会话报文时,控制所述第二设备发送复位RST报文;
采集所述防火墙在接收到所述第二设备发送的RST报文时的会话状态,并判断所述防火墙的会话状态是否从该会话报文对应的状态切换为关闭状态,且将所述RST报文发送给所述第一设备。
6.根据权利要求1所述的方法,其特征在于,控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙,包括:
控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,以及获取所述防火墙在该过程中的不同时刻的会话状态的维持时间,并通过将采集的所述会话状态与预期进行比对,以及将所述维持时间与老化时间进行比对,以测试所述防火墙。
7.一种防火墙测试装置,其特征在于,包括:
控制模块,用于在基于TCP会话状态测试防火墙的过程中,控制第一设备和第二设备各自发送会话报文的时机,以便于采集所述防火墙在该过程中的不同时刻的会话状态;
测试模块,用于控制所述防火墙采集所述防火墙在该过程中的不同时刻的会话状态,通过将采集的所述会话状态与预期进行比对,以测试所述防火墙;
其中,在基于TCP会话状态测试防火墙的第一阶段,所述第一阶段为所述第一设备和所述第二设备通过所述防火墙建立会话连接的阶段;所述控制模块具体用于:
控制所述第一设备发送同步序列编号SYN报文;在所述第二设备接收到所述SYN报文时,控制所述第二设备发送确认应答报文;在所述第一设备接收到所述确认应答报文时,控制所述第一设备发送确认字符ACK报文;
在基于TCP会话状态测试防火墙的第二阶段,所述第二阶段为所述第一设备和所述第二设备基于会话连接进行数据传输的阶段,所述控制模块具体用于:控制所述第一设备发送数据传输报文;在所述第二设备接收到所述数据传输报文时,控制所述第二设备发送确认字符ACK报文;在基于TCP会话状态测试防火墙的第三阶段,所述第三阶段为所述第一设备和所述第二设备解除会话连接的阶段,所述控制模块具体用于:控制所述第一设备发送结束报文;在所述第二设备接收到所述第一设备发送的结束报文时,控制所述第二设备发送结束确认报文;在所述第一设备接收到所述第二设备发送的结束确认报文时,控制所述第一设备发送确认字符ACK报文。
8.一种电子设备,其特征在于,包括:
存储器和处理器,所述处理器与所述存储器连接;
所述存储器,用于存储程序;
所述处理器,用于调用存储于所述存储器中的程序,以执行如权利要求1-6中任一项所述的方法。
9.一种存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器运行时,执行如权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011643051.8A CN112804220B (zh) | 2020-12-31 | 2020-12-31 | 一种防火墙测试方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011643051.8A CN112804220B (zh) | 2020-12-31 | 2020-12-31 | 一种防火墙测试方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112804220A CN112804220A (zh) | 2021-05-14 |
| CN112804220B true CN112804220B (zh) | 2023-05-02 |
Family
ID=75809288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011643051.8A Active CN112804220B (zh) | 2020-12-31 | 2020-12-31 | 一种防火墙测试方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112804220B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113676373B (zh) * | 2021-08-12 | 2022-08-19 | 深圳追一科技有限公司 | 会话测试方法、装置、计算机设备和存储介质 |
| CN113783872B (zh) * | 2021-09-09 | 2023-08-18 | 山石网科通信技术股份有限公司 | 防火墙的数据处理方法及装置 |
| CN114900251B (zh) * | 2022-05-27 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 一种测试系统及方法、装置、以及电子设备 |
| CN115174441B (zh) * | 2022-09-06 | 2022-12-13 | 中国汽车技术研究中心有限公司 | 基于状态机的tcp模糊测试方法、设备和存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104219221A (zh) * | 2014-05-30 | 2014-12-17 | 郭瑞 | 一种网络安全流量生成方法和系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102333080A (zh) * | 2011-08-02 | 2012-01-25 | 杭州迪普科技有限公司 | 一种防范报文攻击的方法及装置 |
| US10171425B2 (en) * | 2016-12-15 | 2019-01-01 | Keysight Technologies Singapore (Holdings) Pte Ltd | Active firewall control for network traffic sessions within virtual processing platforms |
| US10645176B2 (en) * | 2016-12-29 | 2020-05-05 | Cyphort Inc. | System and method to process packets in a transmission control protocol session |
| CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
-
2020
- 2020-12-31 CN CN202011643051.8A patent/CN112804220B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104219221A (zh) * | 2014-05-30 | 2014-12-17 | 郭瑞 | 一种网络安全流量生成方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112804220A (zh) | 2021-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112804220B (zh) | 一种防火墙测试方法、装置、电子设备及存储介质 | |
| Andy et al. | Attack scenarios and security analysis of MQTT communication protocol in IoT system | |
| US10944779B2 (en) | Systems and methods for attack simulation on a production network | |
| US8095983B2 (en) | Platform for analyzing the security of communication protocols and channels | |
| US20140344912A1 (en) | Firewall based botnet detection | |
| Guha et al. | Network security via reverse engineering of TCP code: Vulnerability analysis and proposed solutions | |
| CN113422774B (zh) | 一种基于网络协议的自动化渗透测试方法、装置及存储介质 | |
| CN104113559A (zh) | 一种防御tcp全链接攻击的方法 | |
| Garant et al. | Mining botnet behaviors on the large-scale web application community | |
| Eridani et al. | Performance of sensors monitoring system using raspberry Pi through MQTT protocol | |
| JP2018026747A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| US8972543B1 (en) | Managing clients utilizing reverse transactions | |
| FR2888695A1 (fr) | Detection d'une intrusion par detournement de paquets de donnees dans un reseau de telecommunication | |
| Ishibashi et al. | Which packet did they catch? Associating NIDS alerts with their communication sessions | |
| JP7222260B2 (ja) | 試験装置 | |
| Hubballi et al. | Detecting TCP ACK storm attack: a state transition modelling approach | |
| US20140068761A1 (en) | Abuse identification of front-end based services | |
| Samant | Automated penetration testing | |
| WO2012128883A1 (en) | Verifying availability and reachability through a network device | |
| US10454965B1 (en) | Detecting network packet injection | |
| Bonafiglia et al. | Enforcement of dynamic HTTP policies on resource-constrained residential gateways | |
| Hajdarevic et al. | An approach to digital evidence collection for successful forensic application: An investigation of blackmail case | |
| Tang et al. | Taking over malicious connection in half way by migrating protocol state to a user-level TCP stack | |
| WO2021095100A1 (ja) | 試験装置、試験方法および試験プログラム | |
| Nenov et al. | Network tool for hybrid analysis with External and Internal Scanning for Vulnerability Assessment of Network Nodes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |