CN114124773B - 一种端口块地址转换的测试系统及方法 - Google Patents

一种端口块地址转换的测试系统及方法 Download PDF

Info

Publication number
CN114124773B
CN114124773B CN202111403673.8A CN202111403673A CN114124773B CN 114124773 B CN114124773 B CN 114124773B CN 202111403673 A CN202111403673 A CN 202111403673A CN 114124773 B CN114124773 B CN 114124773B
Authority
CN
China
Prior art keywords
test
port
data
block address
hash
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111403673.8A
Other languages
English (en)
Other versions
CN114124773A (zh
Inventor
苗秀
涂建伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111403673.8A priority Critical patent/CN114124773B/zh
Publication of CN114124773A publication Critical patent/CN114124773A/zh
Application granted granted Critical
Publication of CN114124773B publication Critical patent/CN114124773B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供一种端口块地址转换的测试系统及方法,涉及网络与基础架构安全技术领域。该系统包括第一设备和第二设备,所述第一设备和第二设备通过防火墙设备通信连接,所述第一设备用于产生测试流量,并通过所述防火墙设备发送至所述第二设备;防火墙设备,设置有端口块地址转换策略,用于根据所述端口块地址转换策略将接收到的测试流量以一个或多个资源块的形式分配给用户;检测设备,用于获取所述防火墙设备的转换数据、第二设备的收包数据以及分配给用户的资源块的配置信息,以判断是否测试通过,可实时测试且多方位全面测试,解决现有方法无法进行实时测试,且测试不充分的问题。

Description

一种端口块地址转换的测试系统及方法
技术领域
本申请涉及网络与基础架构安全技术领域,具体而言,涉及一种端口块地址转换的测试系统及方法。
背景技术
运营商级地址转换(NAT)设备,要求地址转换策略具有可运营和可管理性(SLA)。由于IPv4地址的短缺,必须对每个用户使用的地址转换的端口数进行控制,否则用于地址转换的地址可能会被少数访问量大的用户将端口占尽,而其他人则无端口可用导致访问缓慢,而端口块地址转换是为了解决该问题而产生的技术。
端口块的分配机制,即当用户发起第一个连接时,一次性为该用户分配包含多个地址转换端口资源的端口块并发送日志,在该用户关闭所有连接前,只要所分配的所有端口未使用完毕,无需再发送日志。
而现有的端口块地址转换测试方法为,将服务器与客户端端通过被测网络设备连接,客户端向服务器发送报文,服务器抓包查看并检测被测设备的溯源和释放日志是否准确,该方法无法进行实时测试,且测试不充分。
发明内容
本申请实施例的目的在于提供一种端口块地址转换的测试系统及方法,可实时测试且多方位全面测试,解决现有方法无法进行实时测试,且测试不充分的问题。
本申请实施例提供了一种端口块地址转换的测试系统,所述系统包括:
第一设备和第二设备,所述第一设备和第二设备通过防火墙设备通信连接,所述第一设备用于产生测试流量,并通过所述防火墙设备发送至所述第二设备;
防火墙设备,设置有端口块地址转换策略,用于根据所述端口块地址转换策略将接收到的测试流量以一个或多个资源块的形式分配给用户;
检测设备,用于获取所述防火墙设备的转换数据、第二设备的收包数据以及分配给用户的资源块的配置信息,以判断是否测试通过。
在上述实现过程中,该系统包括第一设备、第二设备、测试设备和防火墙设备,利用自动化测试的方式,测试设备从第二设备、防火墙设备获取测试用数据,如对端口块地址转换策略的资源分配情况进行统计,分别评估端口块资源(IP+端口)的散列效果以及其内部的端口的散列效果,达到全面测试的目的,解决现有方法无法进行实时测试,且测试不充分的问题。
本申请实施例还提供一种端口块地址转换的测试方法,应用于检测设备,所述方法包括:
获取防火墙设备的转换数据、第二设备的收包数据以及分配给用户的资源块的配置信息;
根据所述转换数据、所述收包数据和资源块的配置信息,判断是否测试通过。
在上述实现过程中,通过获取转换数据、收包数据以及资源块的配置信息,对防火墙设备的端口块地址转换的全面测试。
进一步地,所述获取防火墙设备的转换数据,根据所述转换数据判断是否测试通过,包括:
基于预设的采样周期,定期获取所述防火墙设备的端口块地址转换的溯源日志和释放日志;
判断所述溯源日志和释放日志是否符合端口块地址转换策略的配置结果;
若是,则测试继续进行。
在上述实现过程中,在测试流量发送过程中,即可获得日志信息进行实时分析和比较,如果测试不通过,则可提前结束测试,节省测试时间。
进一步地,所述转换数据还包括报文达到网络设备产生的会话,所述获取防火墙设备的转换数据和第二设备的收包数据,根据所述转换数据和所述收包数据判断是否测试通过,包括:
检测所述会话和所述收包数据的信息是否一致,如果一致,则测试通过。
在上述实现过程中,报文在到达防火墙设备后会产生会话,在会话老化之前,相同五元组的报文就会走相同的会话,因此可根据会话和收包数据的信息是否一致来进行测试。
进一步地,所述转换数据还包括报文达到网络设备产生的会话,所述获取防火墙设备的转换数据和第二设备的收包数据,根据所述转换数据和所述收包数据判断是否测试通过,包括:
检测所述会话或所述收包数据的转换地址是否符合端口块地址转换策略中的地址池配置;
若符合,则测试通过。
在上述实现过程中,转换后的IP和端口在端口块地址转换策略中配置的范围内,则测试通过。
进一步地,所述转换数据还包括报文达到网络设备产生的会话,所述获取防火墙设备的转换数据和第二设备的收包数据,根据所述转换数据和所述收包数据判断是否测试通过,包括:
根据所述会话或所述收包数据,计算资源块散列效率;
将所述资源块散列效率与预设的地址散列效率进行对比;
若所述资源块散列效率大于所述地址散列效率,则测试通过。
在上述实现过程中,通过自动化测试的方式,获取端口块资源占用情况,计算资源块散列效率,并与预期值进行比较,从而使端口块地址转换策略的测试更具完备性。
进一步地,所述转换数据还包括报文达到网络设备产生的会话,所述获取防火墙设备的转换数据和第二设备的收包数据,根据所述转换数据和所述收包数据判断是否测试通过,包括:
根据所述会话或所述收包数据,计算端口散列效率;
将所述端口散列效率与预设的端口散列效率进行对比;
若所述端口散列效率大于预设值,则测试通过。
在上述实现过程中,通过自动化测试的方式,获取端口占用情况,计算端口散列效率,并与预期值进行比较,从而使端口块地址转换策略的测试更具完备性。
进一步地,所述获取分配给用户的资源块的配置信息,根据所述配置信息判断是否测试通过,包括:
检测用户接收到的所转换的源IP地址和源端口号是否在设定的资源块内;
若在,则测试通过。
在上述实现过程中,通过用户接收到的源IP地址和源端口号确定资源块分配情况。
本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行上述中任一项所述的端口块地址转换的测试方法。
本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述中任一项所述的端口块地址转换的测试方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种端口块地址转换的测试系统的结构示意图;
图2为本申请实施例提供的具体测试执行流程图;
图3为本申请实施例提供的端口块地址转换的测试方法的流程图;
图4为本申请实施例提供的端口块地址转换的测试装置的结构框图。
图标:
100-第一设备;200-第二设备;300-防火墙设备;400-检测设备;500-数据获取模块;600-测试模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参看图1,图1为本申请实施例提供的一种端口块地址转换的测试系统的结构示意图。该系统包括第一设备100、第二设备200、防火墙设备300(网络设备)和检测设备400。
其中,第一设备100和第二设备200通过防火墙设备300通信连接,所述第一设备100用于产生测试流量,并通过所述防火墙设备300发送至所述第二设备200;
防火墙设备300,设置有端口块地址转换策略,用于根据所述端口块地址转换策略将接收到的测试流量以一个或多个资源块的形式分配给用户;
检测设备400,用于获取所述防火墙设备300的转换数据、第二设备200的收包数据以及分配给用户的资源块的配置信息,以判断是否测试通过。
具体地,检测设备400作为测试脚本运行设备,设置有端口块地址转换模块,通过远程连接的方式对第一设备100、网络设备以及第二设备200下发相关命令,并搜集运行结果产生报告。
同时,通过自动化方式对端口块地址转换模块的资源分配情况进行统计,分别评估端口块资源(IP+端口)的散列效果以及其内部的端口的散列效果,以解决现有技术对端口块地址转换测试不能实时分析以及测试不充分等问题。
现有的方法中,只有客户端、服务器端和被测网络设备,客户端、服务器端通过被测网络设备连接,无法实时分析日志信息,不能进行实时比较,必须流量发送完毕才可判断是否测试通过,执行效率不高。
采用这种技术方案并未覆盖对端口块地址转换的端口块资源列效率的相关测试,如果端口块资源散列不均匀,会导致大量端口块资源池中的地址闲置,同时可访问的用户量减少,造成资源浪费。
而且,采用这种技术方案并未覆盖端口资源的散列效率的相关测试,如果端口块资源中的端口资源散列不均匀会导致同一用户可访问的应用大大减少,同样也会造成端口资源浪费。
综上,采用现有技术测试端口块地址转换会导致测试不充分。
而本申请解决了上述问题。
如图2所示,为具体测试执行流程图。首先编写端口块地址转换模块测试用例和相应测试脚本;初始化自动化测试系统;执行测试脚本,自动化实时统计与观测;生成测试报告。
在此基础上,具体的测试脚本执行过程,本申请实施例还提供一种端口块地址转换的测试方法,应用于检测设备400,如图3所示,为端口块地址转换的测试方法的流程图,具体包括以下步骤:
步骤S100:获取防火墙设备300的转换数据、第二设备200的收包数据以及分配给用户的资源块的配置信息;
步骤S200:根据所述转换数据、所述收包数据和资源块的配置信息,判断是否测试通过。
具体测试过程如下:
步骤S11:初始化自动化测试系统,清除一切干扰配置。并,分别配置第一设备100、第二设备200、检测设备400和网络设备,使第一设备100、第二设备200可通过网络设备进行通信。第三设备可远程连接至第一设备100、第二设备200、网络设备上,以获取相应消息。
步骤S12:在被测网络设备上进行端口块地址转换模块的相关的被测配置,即配置端口块地址转换策略,示例地,可将端口块地址转换策略配置为:转换前的IP地址范围为10.1.0.3-10.1.0.202(共200个地址),转换后的地址池配置范围为1.1.0.10-1.1.0.19(共10个地址),每个源IP分配一块端口块资源,端口范围为2000-21999(共20000个端口),端口块的块大小为1000,所以对应的资源块有200个,端口块资源分别为:1.1.0.10[2000-2999],1.1.0.10[3000-3999],……,1.1.0.10[21000-21999],1.1.0.11[2000-2999],……,1.1.0.19[21000-21999]。
步骤S13:测试脚本(运行于检测设备400)中设置有预设的资源块散列效率的百分比以及端口的散列效率的百分比,以便后期将获得资源块散列效率和端口散列效率与预设值进行对比,例如,资源块散列效率的百分比的预设值为85%,端口散列效率的百分比的预设值为85%,对于资源块散列效率和端口散列效率的预设值可以根据需要进行具体设置,在此不做任何限定。
步骤S14:通过第一设备100构造测试流量,该测试流量包括连续源IP地址发送顺序的流量和随机源IP地址发送顺序的流量。
IP数量与资源块数相等,且每个地址要发送的报文大于端口块的块大小(其他不同四元组)。构造IP地址为10.1.0.3-10.1.0.202(200个地址)的源地址(匹配上述策略配置),每个源地址发送2000条流量(其他不同四元组)。
步骤S15:测试流量到达网络设备后,在端口块地址转换模块的作用下,将会对每个用户(IP)分配一个或多个资源块;下述以每个用户/IP分配一个资源块为例进行说明。
步骤S16:基于预设的采样周期,定期获取所述防火墙设备300的端口块地址转换的溯源日志和释放日志;判断所述溯源日志和释放日志是否符合端口块地址转换策略的配置结果;若是,则测试继续进行。
通过远程连接的方式,以固定时间为采样周期,如设置为1s,定期获取网络设备的端口块地址转换的溯源日志和释放日志信息。如符合预期,测试继续,如不符合预期,则直接测试不通过,测试结束。
例如,以IP 10.1.0.2为转换前源地址的报文,到达网络设备后,网络设备会给该地址分配一个端口块资源,并产生溯源日志(记录报文匹配的策略名称、协议、转换前后地址、哪块资源块被占用了),如果相关会话老化或者清除会话,那么资源块被释放,同样会产生释放日志(记录报文匹配的策略名称、协议、转换前后地址、哪块资源块被释放了)。
通过自动化的测试方式,可实时获取溯源日志和释放日志信息,并进行实时比较,日志消息不合理可提前预判,结束测试,从而节省了测试时间。
步骤S17:转换数据包括报文达到网络设备产生的会话,检测会话和所述收包数据的信息是否一致,如果一致,则测试通过。
测试流量发送结束后,检测设备400统计网络设备的相关会话以及第二设备200的收包情况,检查会话和收包数据是否一致,一致则测试通过;否则,测试不通过。例如,设备上存在10.1.0.3[52734]—>2.1.0.3[80],转换为1.1.0.10[3001]—>2.1.0.3[80],那么检查第二设备200的收包情况,应包含1.1.0.10[3001]—>2.1.0.3[80];否则,测试不通过。
步骤S18:检测所述会话或所述收包数据的转换地址是否符合端口块地址转换策略中的地址池配置;若符合,则测试通过。
例如,转换后的源端口只有在范围[2000-21999]内才通过;否则,不通过。
步骤S19:根据所述会话或所述收包数据,计算资源块散列效率;将所述资源块散列效率与预设的地址散列效率进行对比;若所述资源块散列效率大于所述地址散列效率,则测试通过。
计算出资源块的散列效率,即:(实际占用的资源块数量/所有资源块数量)*100%,计算出的散列效率如果大于预期值85%,则测试通过;否则,测试不通过。
通过自动化的方式,可通过统计资源块的占用情况,计算资源块的散列效率,并与预期值进行比较,从而对端口块地址转换模块的测试更具完备性。
通过对端口块资源池散列情况进行统计,解决现有技术对端口块地址转换的测试不充分的问题,从而避免大量端口块资源池中的资源闲置,同时可访问的用户量少,造成资源浪费等问题。
步骤S20:根据所述会话或所述收包数据,计算端口散列效率;将所述端口散列效率与预设的端口散列效率进行对比;若所述端口散列效率大于预设值,则测试通过。
计算出资源块的散列效率,即:(每一块实际占用/端口块大小)*100%,计算出的散列效率如果大于预期值85%,则测试通过;否则,测试不通过。
通过自动化的测试方式,可通过统计端口占用情况,计算端口的散列效率,并与预期值进行比较,从而使端口块地址转换模块的测试更具完备性。
对端口块资源中的端口资源散列情况进行统计,从而解决现有技术对端口块地址转换的测试不充分的问题,从而避免同一用户可访问的应用大大减少、造成端口资源浪费等问题。
步骤S21:检测用户接收到的所转换的源IP地址和源端口号是否在设定的资源块内;若在,则测试通过。
例如,转换前的源IP为10.1.0.3,那么,转换后,所有该IP的报文所转换的IP以及端口均在同一个端口块资源内,例如在范围1.1.0.10[2000-2999],如果是,则通过;如果检测到同一个转换前的IP地址除占用上述资源块外,还占有其他端口块资源,则不通过。(此检测仅在端口块地址转换策略配置为只占一块资源块的情况,如果可占用多块资源,检测方法类似,在此不再赘述)。
从上述转换数据、收包数据和资源块的配置信息等多个维度进行测试,只有在均符合预期的情况下,才算测试通过,否则,测试不通过,使得测试更加全面。
该方法以自动化的测试方式,在测试流量发送过程中即可开始测试,获取网络设备的溯源日志和释放日志消息,并与端口块资源实时占用情况以及释放情况进行实时比对,提前预判自动化测试结果;同时计算端口资源块的散列效率以及端口的散列效率,并与预期值进行比较,从而使端口块地址转换模块的测试更具完备性,从而解决了现有方法中对端口块地址转换测试不能实时分析以及测试不充分等问题。
本申请实施例还提供一种端口块地址转换的测试装置,如图4所示,为端口块地址转换的测试装置的结构框图,包括:
数据获取模块500,用于获取防火墙设备300的转换数据、第二设备200的收包数据以及分配给用户的资源块的配置信息;
测试模块600,用于根据所述转换数据、所述收包数据和资源块的配置信息,判断是否测试通过。
具体测试过程在此不再赘述,用于测试端口块地址转换模块的性能。
本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行上述的端口块地址转换的测试方法。
本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述的端口块地址转换的测试方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (6)

1.一种端口块地址转换的测试系统,其特征在于,所述系统包括:
第一设备和第二设备,所述第一设备和第二设备通过防火墙设备通信连接,所述第一设备用于产生测试流量,并通过所述防火墙设备发送至所述第二设备;
防火墙设备,设置有端口块地址转换策略,用于根据所述端口块地址转换策略将接收到的测试流量以一个或多个资源块的形式分配给用户;
检测设备,用于获取所述防火墙设备的转换数据、第二设备的收包数据以及分配给用户的资源块的配置信息,以判断是否测试通过,所述转换数据包括报文达到网络设备产生的会话,具体地,基于预设的采样周期,定期获取所述防火墙设备的端口块地址转换的溯源日志和释放日志;判断所述溯源日志和释放日志是否符合端口块地址转换策略的配置结果;若是,则测试继续进行;若所述会话和所述收包数据的信息一致、所述会话或所述收包数据的转换地址符合端口块地址转换策略中的地址池配置、资源块散列效率大于预设的地址散列效率、端口散列效率大于预设的端口散列效率、用户接收到的所转换的源IP地址和源端口号在设定的资源块内,上述条件均满足,则测试通过,其中,资源块散列效率和端口散列效率可根据会话或收包数据计算得到。
2.一种端口块地址转换的测试方法,其特征在于,应用于检测设备,所述方法包括:
获取防火墙设备的转换数据、第二设备的收包数据以及分配给用户的资源块的配置信息,所述转换数据包括报文达到网络设备产生的会话;
根据所述转换数据、所述收包数据和资源块的配置信息,判断是否测试通过,具体地,
基于预设的采样周期,定期获取所述防火墙设备的端口块地址转换的溯源日志和释放日志;判断所述溯源日志和释放日志是否符合端口块地址转换策略的配置结果;若是,则测试继续进行;若所述会话和所述收包数据的信息一致、所述会话或所述收包数据的转换地址符合端口块地址转换策略中的地址池配置、资源块散列效率大于预设的地址散列效率、端口散列效率大于预设的端口散列效率、用户接收到的所转换的源IP地址和源端口号在设定的资源块内,上述条件均满足,则测试通过,其中,资源块散列效率和端口散列效率可根据会话或收包数据计算得到。
3.根据权利要求2所述的端口块地址转换的测试方法,其特征在于,获取防火墙设备的转换数据和第二设备的收包数据,根据所述转换数据和所述收包数据判断是否测试通过,包括:
根据所述会话或所述收包数据,计算资源块散列效率;
将所述资源块散列效率与预设的地址散列效率进行对比;
若所述资源块散列效率大于所述地址散列效率,则测试通过。
4.根据权利要求2所述的端口块地址转换的测试方法,其特征在于,获取防火墙设备的转换数据和第二设备的收包数据,根据所述转换数据和所述收包数据判断是否测试通过,包括:
根据所述会话或所述收包数据,计算端口散列效率;
将所述端口散列效率与预设的端口散列效率进行对比;
若所述端口散列效率大于预设值,则测试通过。
5.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求2至4中任一项所述的端口块地址转换的测试方法。
6.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求2至4任一项所述的端口块地址转换的测试方法。
CN202111403673.8A 2021-11-24 2021-11-24 一种端口块地址转换的测试系统及方法 Active CN114124773B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111403673.8A CN114124773B (zh) 2021-11-24 2021-11-24 一种端口块地址转换的测试系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111403673.8A CN114124773B (zh) 2021-11-24 2021-11-24 一种端口块地址转换的测试系统及方法

Publications (2)

Publication Number Publication Date
CN114124773A CN114124773A (zh) 2022-03-01
CN114124773B true CN114124773B (zh) 2024-01-23

Family

ID=80371879

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111403673.8A Active CN114124773B (zh) 2021-11-24 2021-11-24 一种端口块地址转换的测试系统及方法

Country Status (1)

Country Link
CN (1) CN114124773B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114900251B (zh) * 2022-05-27 2023-11-28 北京天融信网络安全技术有限公司 一种测试系统及方法、装置、以及电子设备
CN115002010A (zh) * 2022-05-27 2022-09-02 北京天融信网络安全技术有限公司 一种测试系统及方法、装置、以及电子设备和存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102882992A (zh) * 2012-10-12 2013-01-16 江苏省邮电规划设计院有限责任公司 一种运营级网络地址转换设备释放端口的方法
CN111565127A (zh) * 2020-03-22 2020-08-21 杭州迪普科技股份有限公司 用于网络地址转换的测试方法、系统、设备及介质
CN112565001A (zh) * 2020-11-18 2021-03-26 浪潮思科网络科技有限公司 一种nat设备性能测试系统、方法、设备及介质
CN112910739A (zh) * 2021-02-07 2021-06-04 杭州迪普科技股份有限公司 设备的性能测试方法及装置
CN113098733A (zh) * 2021-03-26 2021-07-09 杭州迪普科技股份有限公司 网络地址转换设备测试系统及方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008153193A1 (ja) * 2007-06-15 2008-12-18 Nec Corporation アドレス変換装置及びアドレス変換方法
WO2009157067A1 (ja) * 2008-06-25 2009-12-30 富士通株式会社 試験装置及び方法
US9160794B2 (en) * 2008-12-04 2015-10-13 Microsoft Technology Licensing, Llc Network address translators (NAT) type detection techniques

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102882992A (zh) * 2012-10-12 2013-01-16 江苏省邮电规划设计院有限责任公司 一种运营级网络地址转换设备释放端口的方法
CN111565127A (zh) * 2020-03-22 2020-08-21 杭州迪普科技股份有限公司 用于网络地址转换的测试方法、系统、设备及介质
CN112565001A (zh) * 2020-11-18 2021-03-26 浪潮思科网络科技有限公司 一种nat设备性能测试系统、方法、设备及介质
CN112910739A (zh) * 2021-02-07 2021-06-04 杭州迪普科技股份有限公司 设备的性能测试方法及装置
CN113098733A (zh) * 2021-03-26 2021-07-09 杭州迪普科技股份有限公司 网络地址转换设备测试系统及方法

Also Published As

Publication number Publication date
CN114124773A (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
CN109474575B (zh) 一种dns隧道的检测方法及装置
CN114124773B (zh) 一种端口块地址转换的测试系统及方法
CN102624706B (zh) 一种dns隐蔽信道的检测方法
US8516586B1 (en) Classification of unknown computer network traffic
CN111274604B (zh) 服务访问方法、装置、设备及计算机可读存储介质
CN106941493B (zh) 一种网络安全态势感知结果输出方法及装置
CN111176941B (zh) 一种数据处理的方法、装置和存储介质
US11153337B2 (en) Methods and systems for improving beaconing detection algorithms
CN113098733B (zh) 网络地址转换设备测试系统及方法
JP2020503775A (ja) DDoS攻撃検出方法およびデバイス
US20170126580A1 (en) Tracking Contention in a Distributed Business Transaction
CN115190108A (zh) 一种检测被监控设备的方法、装置、介质及电子设备
US20090161559A1 (en) Error identification in a computer-based network
CN107948022B (zh) 一种对等网络流量的识别方法及识别装置
CN113760562A (zh) 链路追踪方法、装置、系统、服务器和存储介质
CN108650274B (zh) 一种网络入侵检测方法及系统
CN106789979B (zh) 一种idc机房内活跃域名的有效性诊断方法和装置
CN113839948B (zh) 一种dns隧道流量检测方法、装置、电子设备和存储介质
CN110138682A (zh) 一种流量识别方法及装置
CN115296904A (zh) 域名反射攻击检测方法及装置、电子设备、存储介质
CN111277611B (zh) 一种虚拟机联网控制方法、装置、电子设备及存储介质
CN111079044B (zh) 一种共享检测方法和装置
CN114448841A (zh) 一种网卡测试方法、装置、设备及介质
CN113852625A (zh) 一种弱口令监测方法、装置、设备及存储介质
CN114979073A (zh) 地址信息获取系统、方法、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant