CN114143079B - 包过滤策略的验证装置及方法 - Google Patents

包过滤策略的验证装置及方法 Download PDF

Info

Publication number
CN114143079B
CN114143079B CN202111436892.6A CN202111436892A CN114143079B CN 114143079 B CN114143079 B CN 114143079B CN 202111436892 A CN202111436892 A CN 202111436892A CN 114143079 B CN114143079 B CN 114143079B
Authority
CN
China
Prior art keywords
strategy
packet filtering
policy
data
test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111436892.6A
Other languages
English (en)
Other versions
CN114143079A (zh
Inventor
岳林
吴带成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN202111436892.6A priority Critical patent/CN114143079B/zh
Publication of CN114143079A publication Critical patent/CN114143079A/zh
Application granted granted Critical
Publication of CN114143079B publication Critical patent/CN114143079B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及一种包过滤策略的验证方法、装置、电子设备及计算机可读介质。该方法包括:获取来自被测设备测试流量,所述测试流量经由所述被测设备包过滤处理;获取所述测试流量中报文的预设字段中的策略数据;在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效;根据所述策略数据确定失效的包过滤策略的策略标识。本申请涉及的包过滤策略的验证方法、装置、电子设备及计算机可读介质,能够提高测试效率,特别是在大规模包过滤策略场景中,能够自动准确快速的提取失效的包过滤策略,节约时间成本和人力成本。

Description

包过滤策略的验证装置及方法
技术领域
本公开涉及计算机信息处理领域,具体而言,涉及一种包过滤策略的验证方法、装置、电子设备及计算机可读介质。
背景技术
硬件防火墙在现网的使用中,最常用的就是包过滤功能,基于报文的五元组控制各种流量的阻断与放通,对于现网来说,上万条或者几万条包过滤策略。对于大规模包过滤策略的测试,传统测试方法是根据包过滤信息,构造测试流量,将测试流量发送到被测试设备,根据对端收到的报文个数以及报文头部信息,查找设备包过滤策略,最终确认包过滤是否生效。
现有的测试方法为根据包过滤信息,构造测试流量,将测试流量发送到被测试设备,被测试设备根据包过滤测试例进行放通或者阻断测试流量,根据收到的报文个数以及报文头部信息,查找设备包过滤策略,最终确认包过滤是否生效,尤其是遇到上万条包过滤策略中有几条策略不生效时,要根据接收到的报文五元组信息与包过滤策略进行对比。该方案在报文五元组信息与包过滤策略进行对比过程中,会浪费很多时间,测试效率低下。
因此,需要一种新的包过滤策略的验证方法、装置、电子设备及计算机可读介质。
在所述背景技术部分公开的上述信息仅用于加强对本申请的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本申请提供一种包过滤策略的验证方法、装置、电子设备及计算机可读介质,能够提高测试效率,特别是在大规模包过滤策略场景中,能够自动准确快速的提取失效的包过滤策略,节约时间成本和人力成本。
本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
根据本申请的一方面,提出一种包过滤策略的验证方法,该方法包括:获取来自被测设备测试流量,所述测试流量经由所述被测设备包过滤处理;获取所述测试流量中报文的预设字段中的策略数据;在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效;根据所述策略数据确定失效的包过滤策略的策略标识。
在本申请的一种示例性实施例中,还包括:获取被测设备的包过滤信息;基于所述包过滤信息生成策略数据;基于所述策略数据生成测试流量;将所述测试流量发送至被测设备以便所述被测设备进行包过滤处理。
在本申请的一种示例性实施例中,获取被测设备的包过滤信息,包括:基于所述被测设备的web页面的包过滤策略生成所述包过滤信息;和/或基于所述被测设备的包过滤策略配置文件生成所述包过滤信息;和/或基于命令行获取所述被测设备所述包过滤信息。
在本申请的一种示例性实施例中,基于所述包过滤信息生成策略数据,包括:由所述包过滤信息中提取包过滤策略的策略标识和策略动作;基于所述策略标识和所述策略动作生成所述策略数据。
在本申请的一种示例性实施例中,基于所述策略标识和所述策略动作生成所述策略数据,包括:将所述策略标识转换为四字节数值;将所述策略动作转换为单字节数值。
在本申请的一种示例性实施例中,基于所述策略数据生成测试流量,包括:为所述策略数据中每一个包过滤策略分别构建测试报文;将所述策略数据写入测试报文的data字段;基于多个测试报文生成所述测试流量。
在本申请的一种示例性实施例中,获取所述测试流量中报文的预设字段中的策略数据,包括:获取所述测试流量中报文的data字段的所述策略数据。
在本申请的一种示例性实施例中,在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效,包括:在所述策略数据中的策略动作为预定数值时,确定所述报文对应的包过滤策略失效。
在本申请的一种示例性实施例中,根据所述策略数据确定失效的包过滤策略的策略标识,包括:由所述策略数据中提取策略标识。
根据本申请的一方面,提出一种包过滤策略的验证装置,该装置包括:流量模块,用于获取来自被测设备测试流量,所述测试流量经由所述被测设备包过滤处理;字段模块,用于获取所述测试流量中报文的预设字段中的策略数据;匹配模块,用于在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效;标识模块,用于根据所述策略数据确定失效的包过滤策略的策略标识。
在本申请的一种示例性实施例中,还包括:信息模块,用于获取被测设备的包过滤信息;策略模块,用于基于所述包过滤信息生成策略数据;测试模块,用于基于所述策略数据生成测试流量;发送模块,用于将所述测试流量发送至被测设备以便所述被测设备进行包过滤处理。
根据本申请的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
根据本申请的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
根据本申请的包过滤策略的验证方法、装置、电子设备及计算机可读介质,通过获取来自被测设备测试流量,所述测试流量经由所述被测设备包过滤处理;获取所述测试流量中报文的预设字段中的策略数据;在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效;根据所述策略数据确定失效的包过滤策略的策略标识的方式,能够提高测试效率,特别是在大规模包过滤策略场景中,能够自动准确快速的提取失效的包过滤策略,节约时间成本和人力成本。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
通过参照附图详细描述其示例实施例,本申请的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种包过滤策略的验证方法及装置的系统框图。
图2是根据一示例性实施例示出的一种包过滤策略的验证方法的流程图。
图3是根据另一示例性实施例示出的一种包过滤策略的验证方法的流程图。
图4是根据一示例性实施例示出的一种包过滤策略的验证装置的框图。
图5是根据另一示例性实施例示出的一种包过滤策略的验证装置的框图。
图6是根据一示例性实施例示出的一种电子设备的框图。
图7是根据一示例性实施例示出的一种计算机可读介质的框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本申请将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本申请概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本申请所必须的,因此不能用于限制本申请的保护范围。
本申请涉及的技术缩略语解释如下:
包过滤:传统包过滤策略的内容包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协议号、源端口号和目的端口号等,以及根据以上条件匹配对应的动作,如通过或者阻断,对需要转发的数据包,先获取报文头部信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。
图1是根据一示例性实施例示出的一种包过滤策略的验证方法、装置的系统框图。
如图1所示,系统架构10可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
终端设备101、102、103通过网络104与服务器105交互,以接收或发送报文数据。终端设备101、102、103上可以安装有各种报文过滤类的应用。
终端设备101、102、103可以是具有报文数据过滤功能的网关、防火墙、处理器等各种电子设备。
服务器105可以是提供各种服务的服务器,例如终端设备101、102、103所过滤的数据包的包过滤策略进行验证的服务器。验证管理服务器可以对接收到包过滤之后生成的流量数据进行分析处理,并将处理结果反馈给管理员。
服务器105可例如获取被测设备的包过滤信息;服务器105可例如基于所述包过滤信息生成策略数据;服务器105可例如基于所述策略数据生成测试流量;服务器105可例如将所述测试流量发送至被测设备以便所述被测设备进行包过滤处理。
服务器105可例如获取来自被测设备测试流量,所述测试流量经由所述被测设备包过滤处理;服务器105可例如获取所述测试流量中报文的预设字段中的策略数据;服务器105可例如在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效;服务器105可例如根据所述策略数据确定失效的包过滤策略的策略标识。
服务器105可以是一个实体的服务器,还可例如为多个服务器组成,服务器105中的一部分可例如用于基于所述策略数据生成测试流量;将所述测试流量发送至被测设备以便所述被测设备进行包过滤处理;以及服务器105中的一部分还可例如用于在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效;根据所述策略数据确定失效的包过滤策略的策略标识。
需要说明的是,本申请实施例所提供的包过滤策略的验证方法可以由服务器105执行,相应地,包过滤策略的验证装置可以设置于服务器105中。而进行报文过滤的包过滤应用端一般位于终端设备101、102、103中。
图2是根据一示例性实施例示出的一种包过滤策略的验证方法的流程图。包过滤策略的验证方法20至少包括步骤S202至S208。
如图2所示,在S202中,获取被测设备的包过滤信息。可例如,基于所述被测设备的web页面的包过滤策略生成所述包过滤信息;可例如,基于所述被测设备的包过滤策略配置文件生成所述包过滤信息;可例如,基于命令行获取所述被测设备所述包过滤信息。
更具体的,可通过软件读取设备web页面包过滤策略。可遍历所有包过滤策略,通过正则表达式方式获取包过滤策略中的五元组信息(源IP,目的IP,源端口,目的端口,协议类型)、包过滤策略序号、包过滤策略动作,将获取到的信息存储到txt文件或者数据库中,为后续使用做准备。
值得一提的是,获取包过滤的方法不限于上述说明的方式,其他方式还可以是:通过读取包过滤策略配置文件、通过命令行读取包过滤策略信息等方法。
在S204中,基于所述包过滤信息生成策略数据。包括:由所述包过滤信息中提取包过滤策略的策略标识和策略动作;基于所述策略标识和所述策略动作生成所述策略数据。
更具体的,将所述策略标识转换为四字节数值;将所述策略动作转换为单字节数值。
在一个具体的实施例中,可上一步骤中保存的txt文件中,获取构造测试流量所需要的五元组信息(源IP,目的IP,源端口,目的端口,协议类型)以及包过滤策略序号、包过滤策略动作,再根据获取到的源MAC地址,目的MAC地址信息,自动生成验证包过滤策略测试流量。
更进一步的,在构造测试流量的过程中对报文中的Date数据部分进行改造,将包过滤序号以及包过滤动作写入其中,由于包过滤策略可能达到10w条或者更多,可分配4个字节记录包过滤序号,对于包过滤策动作,可分配占用1个字节,其中,0代表阻断,1代表通过,2代表其他动作。
测试报文构造的主要信息如下:
(1)源MAC地址:软件自动生成的合法mac地址,默认设置00:24:AC:起始的MAC,例如:00:24:AC:AC:01:01;
(2)目的MAC地址:需要三层转发时,通过telnet方式登录设备获取发送测试流量所对应接口的MAC地址作为构造测试流量的目的MAC;需要二层转发时,软件通过相关命令获取接收端网卡MAC地址,此地址作为构造测试流量的目的MAC;
(3)源IP地址:包过滤信息中获取到的源IP;
(4)目的IP地址:包过滤信息中获取到的目的IP;
(5)协议号:包过滤信息中获取到的协议类型;
(6)源端口:包过滤信息中获取到的源端口;
(7)目的端口:包过滤信息中获取到的目的端口;
(8)包过滤序号字段:包过滤信息中获取到的包过滤策略序号,写入测试流量Data字段;
(9)包过滤动作字段:包过滤信息中获取到的包过滤策略动作,写入测试流量Data字段。
在S206中,基于所述策略数据生成测试流量。可为所述策略数据中每一个包过滤策略分别构建测试报文;将所述策略数据写入测试报文的data字段;基于多个测试报文生成所述测试流量。每一条测试流量验证一条包过滤策略,根据获取到的包过滤策略生成所有包过滤测试流量。
在S208中,将所述测试流量发送至被测设备以便所述被测设备进行包过滤处理。
可在发送测试流量之前,确认接收端口开启流量分析策略,将测试流量,按照测试要求的发送速率将测试流量依次发送到被测试设备,所有流量发送完毕后,所有包过滤策略均能够通过测试流量验证。
根据本申请的包过滤策略的验证方法,通过获取来自被测设备测试流量,所述测试流量经由所述被测设备包过滤处理;获取所述测试流量中报文的预设字段中的策略数据;在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效;根据所述策略数据确定失效的包过滤策略的策略标识的方式,能够提高测试效率,特别是在大规模包过滤策略场景中,能够自动准确快速的提取失效的包过滤策略,节约时间成本和人力成本。
应清楚地理解,本申请描述了如何形成和使用特定示例,但本申请的原理不限于这些示例的任何细节。相反,基于本申请公开的内容的教导,这些原理能够应用于许多其它实施例。
图3是根据另一示例性实施例示出的一种包过滤策略的验证方法的流程图。图3所示的流程30是对图2所示的流程的补充描述。
如图3所示,在S302中,获取来自被测设备测试流量,所述测试流量经由所述被测设备包过滤处理。接收端收到被测试设备发送过来的测试流量,开始对数据包进行分析。
在S304中,获取所述测试流量中报文的预设字段中的策略数据。可获取所述测试流量中报文的data字段的所述策略数据。可直接读取报文固定字段即存储包过滤策略序号字段以及包过滤策略动作字段。
在S306中,在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效。在所述策略数据中的策略动作为预定数值时,确定所述报文对应的包过滤策略失效。
在S308中,根据所述策略数据确定失效的包过滤策略的策略标识。由所述策略数据中提取策略标识。若发现包过滤策略字段为0(阻断动作),则判定该条测试流量所对应的包过滤策略不失效,导致测试流量没有被阻断,再通过包过滤策略序号字段获取包过滤策略序号就可以准确定位是哪一条包过滤策略失效。
在一个实施例中,可通过上述分析方法获取所有接收到的测试流量,整理分析结果保存到文件中,并同时保存包过滤失效的测试流量用于后续分析。
在一个实施例中,还可将上述内容进行统一排版,输出测试文档,将测试文档以邮件方式反馈给相关测试人员,测试人员通过测试文档可以充分了解到包过滤策略的测试结果。
根据本申请的包过滤策略的验证方法,可应用在测试大规模包过滤策略场景,测试过程中无需再根据报文五元组信息去查找哪一条包过滤策略失效,使用本发明可以提高测试效率,准确快速确认哪一条包过滤策略失效问题。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本申请提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图4是根据另一示例性实施例示出的一种包过滤策略的验证装置的框图。如图4所示,包过滤策略的验证装置40包括:信息模块402,策略模块404,测试模块406,发送模块408。
信息模块402用于获取被测设备的包过滤信息;信息模块402还用于基于所述被测设备的web页面的包过滤策略生成所述包过滤信息;基于所述被测设备的包过滤策略配置文件生成所述包过滤信息;基于命令行获取所述被测设备所述包过滤信息。
策略模块404用于基于所述包过滤信息生成策略数据;策略模块404还用于由所述包过滤信息中提取包过滤策略的策略标识和策略动作;基于所述策略标识和所述策略动作生成所述策略数据。
测试模块406用于基于所述策略数据生成测试流量;测试模块406还用于为所述策略数据中每一个包过滤策略分别构建测试报文;将所述策略数据写入测试报文的data字段;基于多个测试报文生成所述测试流量。
发送模块408用于将所述测试流量发送至被测设备以便所述被测设备进行包过滤处理。
图5是根据一示例性实施例示出的一种包过滤策略的验证装置的框图。如图5所示,包过滤策略的验证装置50包括:流量模块502,字段模块504,匹配模块506,标识模块508。
流量模块502用于获取来自被测设备测试流量,所述测试流量经由所述被测设备包过滤处理;
字段模块504用于获取所述测试流量中报文的预设字段中的策略数据;字段模块504还用于获取所述测试流量中报文的data字段的所述策略数据。
匹配模块506用于在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效;可在所述策略数据中的策略动作为预定数值时,确定所述报文对应的包过滤策略失效。
标识模块508用于根据所述策略数据确定失效的包过滤策略的策略标识。
根据本申请的包过滤策略的验证装置,通过获取来自被测设备测试流量,所述测试流量经由所述被测设备包过滤处理;获取所述测试流量中报文的预设字段中的策略数据;在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效;根据所述策略数据确定失效的包过滤策略的策略标识的方式,能够提高测试效率,特别是在大规模包过滤策略场景中,能够自动准确快速的提取失效的包过滤策略,节约时间成本和人力成本。
图6是根据一示例性实施例示出的一种电子设备的框图。
下面参照图6来描述根据本申请的这种实施方式的电子设备600。图6显示的电子设备600仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元610执行,使得所述处理单元610执行本说明书中描述的根据本申请各种示例性实施方式的步骤。例如,所述处理单元610可以执行如图2,图3中所示的步骤。
所述存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
所述存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备600’(例如键盘、指向设备、蓝牙设备等)通信,使得用户能与该电子设备600交互的设备通信,和/或该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,如图7所示,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本申请实施方式的上述方法。
所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:获取来自被测设备测试流量,所述测试流量经由所述被测设备包过滤处理;获取所述测试流量中报文的预设字段中的策略数据;在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效;根据所述策略数据确定失效的包过滤策略的策略标识。该计算机可读介质还可实现如下功能:获取被测设备的包过滤信息;基于所述包过滤信息生成策略数据;基于所述策略数据生成测试流量;将所述测试流量发送至被测设备以便所述被测设备进行包过滤处理。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本申请实施例的方法。
以上具体地示出和描述了本申请的示例性实施例。应可理解的是,本申请不限于这里描述的详细结构、设置方式或实现方法;相反,本申请意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。

Claims (9)

1.一种包过滤策略的验证方法,其特征在于,包括:
获取被测设备的包过滤信息;
基于所述包过滤信息生成策略数据;
基于所述策略数据生成测试流量;
将所述测试流量发送至被测设备以便所述被测设备进行包过滤处理;
获取来自被测设备测试流量,所述测试流量经由所述被测设备包过滤处理;
获取所述测试流量中报文的预设字段中的策略数据;
在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效;
根据所述策略数据确定失效的包过滤策略的策略标识。
2.如权利要求1所述的验证方法,其特征在于,获取被测设备的包过滤信息,包括:
基于所述被测设备的web页面的包过滤策略生成所述包过滤信息;和/或
基于所述被测设备的包过滤策略配置文件生成所述包过滤信息;和/或
基于命令行获取所述被测设备所述包过滤信息。
3.如权利要求1所述的验证方法,其特征在于,基于所述包过滤信息生成策略数据,包括:
由所述包过滤信息中提取包过滤策略的策略标识和策略动作;
基于所述策略标识和所述策略动作生成所述策略数据。
4.如权利要求3所述的验证方法,其特征在于,基于所述策略标识和所述策略动作生成所述策略数据,包括:
将所述策略标识转换为四字节数值;
将所述策略动作转换为单字节数值。
5.如权利要求1所述的验证方法,其特征在于,基于所述策略数据生成测试流量,包括:
为所述策略数据中每一个包过滤策略分别构建测试报文;
将所述策略数据写入测试报文的data字段;
基于多个测试报文生成所述测试流量。
6.如权利要求1所述的验证方法,其特征在于,获取所述测试流量中报文的预设字段中的策略数据,包括:
获取所述测试流量中报文的data字段的所述策略数据。
7.如权利要求1所述的验证方法,其特征在于,在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效,包括:
在所述策略数据中的策略动作为预定数值时,确定所述报文对应的包过滤策略失效。
8.如权利要求1所述的验证方法,其特征在于,根据所述策略数据确定失效的包过滤策略的策略标识,包括:
由所述策略数据中提取策略标识。
9.一种包过滤策略的验证装置,其特征在于,包括:
信息模块,用于获取被测设备的包过滤信息;
策略模块,用于基于所述包过滤信息生成策略数据;
测试模块,用于基于所述策略数据生成测试流量;
发送模块,用于将所述测试流量发送至被测设备以便所述被测设备进行包过滤处理;
流量模块,用于获取来自被测设备测试流量,所述测试流量经由所述被测设备包过滤处理;
字段模块,用于获取所述测试流量中报文的预设字段中的策略数据;
匹配模块,用于在所述策略数据满足预设策略时,确定所述报文对应的包过滤策略失效;
标识模块,用于根据所述策略数据确定失效的包过滤策略的策略标识。
CN202111436892.6A 2021-11-29 2021-11-29 包过滤策略的验证装置及方法 Active CN114143079B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111436892.6A CN114143079B (zh) 2021-11-29 2021-11-29 包过滤策略的验证装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111436892.6A CN114143079B (zh) 2021-11-29 2021-11-29 包过滤策略的验证装置及方法

Publications (2)

Publication Number Publication Date
CN114143079A CN114143079A (zh) 2022-03-04
CN114143079B true CN114143079B (zh) 2023-04-25

Family

ID=80389262

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111436892.6A Active CN114143079B (zh) 2021-11-29 2021-11-29 包过滤策略的验证装置及方法

Country Status (1)

Country Link
CN (1) CN114143079B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115242520A (zh) * 2022-07-25 2022-10-25 山石网科通信技术股份有限公司 一种安全策略验证方法、装置,安全网关及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009043258A1 (fr) * 2007-09-27 2009-04-09 Huawei Technologies Co., Ltd. Procédé, système et dispositif de filtrage de messages
CN111147449A (zh) * 2019-12-09 2020-05-12 杭州迪普科技股份有限公司 一种包过滤策略的测试方法、装置、系统及设备、介质
CN113391967A (zh) * 2021-06-16 2021-09-14 杭州迪普科技股份有限公司 防火墙的包过滤测试方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10116547B2 (en) * 2015-05-19 2018-10-30 Ca, Inc. Coverage policy-based testing in computer networks
US11100046B2 (en) * 2016-01-25 2021-08-24 International Business Machines Corporation Intelligent security context aware elastic storage
US10911487B2 (en) * 2018-06-20 2021-02-02 Checkpoint Mobile Security Ltd On-device network protection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009043258A1 (fr) * 2007-09-27 2009-04-09 Huawei Technologies Co., Ltd. Procédé, système et dispositif de filtrage de messages
CN111147449A (zh) * 2019-12-09 2020-05-12 杭州迪普科技股份有限公司 一种包过滤策略的测试方法、装置、系统及设备、介质
CN113391967A (zh) * 2021-06-16 2021-09-14 杭州迪普科技股份有限公司 防火墙的包过滤测试方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
安金萍 等.状态检测包过滤技术在Linux下的实现.计算机工程.2005,(第02期),全文. *
郐吉丰 等.基于策略分段的防火墙一致性测试.计算机系统应用.2007,(03),全文. *
陈昌奇 等.ACL功能在MDU设备中研究与实现.电子设计工程.2020,(02),全文. *

Also Published As

Publication number Publication date
CN114143079A (zh) 2022-03-04

Similar Documents

Publication Publication Date Title
US8091117B2 (en) System and method for interfacing with heterogeneous network data gathering tools
US8516586B1 (en) Classification of unknown computer network traffic
US20100050229A1 (en) Validating network security policy compliance
CN112334901A (zh) 自动化无分组网络可达性分析
CN110719215B (zh) 虚拟网络的流信息采集方法及装置
US11836253B2 (en) Malicious file detection method, device, and system
CN110247933B (zh) 实现防火墙策略的方法和装置
CN109889511B (zh) 进程dns活动监控方法、设备及介质
CN110311927B (zh) 数据处理方法及其装置、电子设备和介质
CN112350833A (zh) 流量过滤方法及装置
CN114143079B (zh) 包过滤策略的验证装置及方法
US8910281B1 (en) Identifying malware sources using phishing kit templates
CN112953896A (zh) 日志报文的回放方法及装置
CN113391967B (zh) 防火墙的包过滤测试方法及装置
CN111885190B (zh) 服务请求处理方法及系统
CN112887289A (zh) 一种网络数据处理方法、装置、计算机设备及存储介质
CN113179317B (zh) 内容重写设备的测试系统及方法
CN111565311B (zh) 网络流量特征生成方法及装置
CN113672416A (zh) 内存资源泄漏的原因定位方法及装置
CN114301802A (zh) 密评检测方法、装置和电子设备
US20160188884A1 (en) Application Decomposition Using Data Obtained From External Tools For Use In Threat Modeling
Mokhov et al. Automating MAC spoofer evidence gathering and encoding for investigations
CN113726867B (zh) 报文处理方法、装置及系统
US12003517B2 (en) Enhanced cloud infrastructure security through runtime visibility into deployed software
CN113127919A (zh) 数据处理方法、装置及计算设备、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant