CN210444303U

CN210444303U - 网络防护测试系统

Info

Publication number: CN210444303U
Application number: CN201921964365.0U
Authority: CN
Inventors: 孙少华; 杨林慧
Original assignee: State Grid Corp of China SGCC; State Grid Qinghai Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Qinghai Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; State Grid Qinghai Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Qinghai Electric Power Co Ltd
Priority date: 2019-11-13
Filing date: 2019-11-13
Publication date: 2020-05-01
Anticipated expiration: 2029-11-13

Abstract

本实用新型公开了一种网络防护测试系统。其中，该系统包括：测试中心服务器，包括网络安全防护装置，网络安全防护装置用于对网络中的用户终端的数据进行安全防护；测试单元服务器，用于对测试单元的多个不同的用户终端的交互数据进行处理，其中测试单元为多个；外网路由器，与测试中心服务器相连，用于通过测试中心服务器的数据访问外网。本实用新型解决了相关技术中网络防护安全性低的技术问题。

Description

网络防护测试系统

技术领域

本实用新型涉及网络安全领域，具体而言，涉及一种网络防护测试系统。

背景技术

传统的办公私网是一种共享型网络，终端互访不受控制，为病毒、攻击的传播提供了极大的便利，一旦发生私网安全事件，无法第一时间定位及控制攻击源，事后回溯也极其困难。同时，传统私网终端往往采用客户端认证，而如今终端、操作系统类型不断丰富，客户端认证存在用户使用不便、管理员难维护及兼容性差的问题，实际上无法有效部署。在同一交换机或者VLAN下的终端互访是不受控制的，在这样的共享型网络中，为病毒传播、盗取终端资源等内部网络攻击创造了极大的便利，当各公司的办公网络出现内部攻击时，对电网的安全稳定运行时致命的。

针对上述的问题，目前尚未提出有效的解决方案。

实用新型内容

本实用新型实施例提供了一种网络防护测试系统，以至少解决相关技术中网络防护安全性低的技术问题。

根据本实用新型实施例的一个方面，提供了一种网络防护测试系统，包括：测试中心服务器，包括网络安全防护装置，所述网络安全防护装置用于对网络中的用户终端的数据进行安全防护；测试单元服务器，用于对测试单元的多个不同的用户终端的交互数据进行处理，其中所述测试单元为多个；外网路由器，与所述测试中心服务器相连，用于通过所述测试中心服务器的数据访问外网。

可选的，所述测试单元服务器包括溯源检测模块，所述溯源检测模块用于对所述用户终端的数据进行溯源检测。

可选的，所述网络安全防护装置包括阻断模块，用于对所述用户终端满足阻断条件的行为信息进行阻断；其中，所述阻断条件包括下列至少之一：扫描IP地址，发送攻击报文，扫描端口，传播病毒。

可选的，所述网络安全防护装置包括配置模块，用于为所述阻断模块配置阻断命令，以控制测试单元服务器对所述行为信息进行阻断。

可选的，所述网络安全防护装置包括第一日志存储模块，用于存储用户信息的安全阻断日志。

可选的，所述网络安全防护装置包括第二日志存储模块，用于存储用户信息的阻断恢复日志。

可选的，还包括：认证服务器，用于存储用户终端的身份认证，根据访问请求是否能够通过身份认证，来判断所述访问请求。

可选的，访问流量限制装置，用于对所述用户终端的访问流量进行限制。

可选的，认证装置，用于对所述用户终端的数据进行认证，所述认证装置包括白名单和/或黑名单；其中，所述白名单中的不同用户终端之间禁止互相访问，所述黑名单中的用户终端的访问请求被禁止接收。

在本实用新型实施例中，采用测试中心服务器，包括网络安全防护装置，所述网络安全防护装置用于对网络中的用户终端的数据进行安全防护；测试单元服务器，用于对测试单元的多个不同的用户终端的交互数据进行处理，其中所述测试单元为多个；外网路由器，与所述测试中心服务器相连，用于通过所述测试中心服务器的数据访问外网，通过对用户终端收到病毒攻击后的行为信息进行阻断检测，达到了确定行为信息是否成功阻断的目的，从而实现了提高行为信息的阻断效率的技术效果，进而解决了相关技术中网络防护安全性低的技术问题。

附图说明

此处所说明的附图用来提供对本实用新型的进一步理解，构成本申请的一部分，本实用新型的示意性实施例及其说明用于解释本实用新型，并不构成对本实用新型的不当限定。在附图中：

图1是根据现有技术的一种网络防护测试系统的示意图；

图2是根据本发明实施例的一种测试系统的示意图；

图3是根据本发明实施例的另一种测试系统的示意图；

图4是根据本发明实施例的另一种测试系统的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本实用新型方案，下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本实用新型一部分的实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本实用新型保护的范围。

需要说明的是，本实用新型的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本实用新型的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

根据本实用新型实施例，提供了一种网络防护测试系统的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据现有技术的一种网络防护测试系统的示意图，如图1所示，该系统包括：测试中心服务器12，测试单元服务器14和外网路由器16，下面对该系统进行详细说明。

测试中心服务器12，包括网络安全防护装置，网络安全防护装置用于对网络中的用户终端的数据进行安全防护；测试单元服务器14，用于对测试单元的多个不同的用户终端的交互数据进行处理，其中测试单元为多个；外网路由器16，与测试中心服务器相连，用于通过测试中心服务器的数据访问外网。

通过上述系统，采用测试中心服务器，包括网络安全防护装置，网络安全防护装置用于对网络中的用户终端的数据进行安全防护；测试单元服务器，用于对测试单元的多个不同的用户终端的交互数据进行处理，其中测试单元为多个；外网路由器，与测试中心服务器相连，用于通过测试中心服务器的数据访问外网，通过对用户终端收到病毒攻击后的行为信息进行阻断检测，达到了确定行为信息是否成功阻断的目的，从而实现了提高行为信息的阻断效率的技术效果，进而解决了相关技术中网络防护安全性低的技术问题。

可选的，测试单元服务器包括溯源检测模块，溯源检测模块用于对用户终端的数据进行溯源检测。

可选的，网络安全防护装置包括阻断模块，用于对用户终端满足阻断条件的行为信息进行阻断；其中，阻断条件包括下列至少之一：扫描IP地址，发送攻击报文，扫描端口，传播病毒。

可选的，网络安全防护装置包括配置模块，用于为阻断模块配置阻断命令，以控制测试单元服务器对行为信息进行阻断。

可选的，网络安全防护装置包括第一日志存储模块，用于存储用户信息的安全阻断日志。

可选的，网络安全防护装置包括第二日志存储模块，用于存储用户信息的阻断恢复日志。

可选的，还包括：认证服务器，用于存储用户终端的身份认证，根据访问请求是否能够通过身份认证，来判断访问请求。

可选的，访问流量限制装置，用于对用户终端的访问流量进行限制。

可选的，认证装置，用于对用户终端的数据进行认证，认证装置包括白名单和/或黑名单；其中，白名单中的不同用户终端之间禁止互相访问，黑名单中的用户终端的访问请求被禁止接收。

通过上述装置可以执行如下步骤：

接收用户终端的待测试的行为信息；

判断行为信息是否满足网络防护的阻断条件，其中，阻断条件包括下列至少之一：扫描IP地址，发送攻击报文，扫描端口，传播病毒；

在行为信息满足阻断条件的情况下，将行为信息阻断；

调取行为信息的当前阻断日志，根据阻断日志检验行为信息是否被成功阻断。

通过上述步骤，采用接收用户终端的待测试的行为信息；判断行为信息是否满足网络防护的阻断条件，其中，阻断条件包括下列至少之一：扫描IP地址，发送攻击报文，扫描端口，传播病毒；在行为信息满足阻断条件的情况下，将行为信息阻断；调取行为信息的当前阻断日志，根据阻断日志检验行为信息是否被成功阻断的方式，通过对用户终端收到病毒攻击后的行为信息进行阻断检测，达到了确定行为信息是否成功阻断的目的，从而实现了提高行为信息的阻断效率的技术效果，进而解决了相关技术中网络防护安全性低的技术问题。

上述用户终端可以是位于内网中的终端，上述内网可以是办公私网，由于办公私网与外界互联网相隔离，虽然对与外界互联网而言具有一定的隐私性和安全性，但是对于私网内部的终端互相访问不受限制，导致私网内部的终端之间的安全性降低。一旦内网的客户端被病毒感染，则会迅速在私网中肆虐传染，直至整个私网沦陷。为提高私网中的终端之间的安全性，本实施例提供了一种网络防护测试方法，来对私网中的终端之间的信息交互，以及私网中的终端的行为进行检测，以及时发现异常情况并进行处理，并通过对用户终端收到病毒攻击后的行为信息进行阻断检测，达到了确定行为信息是否成功阻断的目的，从而实现了提高行为信息的阻断效率的技术效果，进而解决了相关技术中网络防护安全性低的技术问题。

上述步骤的执行主体可以是网络防护测试装置，通过该网络防护测试装置对私网中的终端进行检测，包括对私网中的客户端，服务器端等。上述用户终端的待测试的行为信息可以是该用户终端在正常情况下的网络操作，例如，访问网站，发送信息，扫描操作，等等。

上述判断行为信息是否满足网络防护的阻断条件，可以是对行为信息的安全性进行检测，在上述用户终端的行为信息的安全性较低的情况下，对上述用户终端的行为信息进行阻断，以防止危害到私网中的其他的终端，从而有效抑制病毒传播。

上述阻断条件可以是包括多种阻断情况，例如，扫描IP地址，对IP地址进行扫描有可能是病毒软件执行的操作；发送攻击报文，攻击报文可能是在客户端感染病毒之后，通过攻击报文对其他终端进行攻击，以感染私网其他终端；扫描端口，与上述对IP地址进行扫描类似，扫描端口也可能是病毒软件执行的操作；传播病毒，是病毒软件直接通过传输介质进行病毒传播。不同的阻断条件适应的阻断情况不同，上述阻断条件可以为多个。以对私网进行全方位的保护。

在将上述行为信息进行阻断之后，调取行为信息的当前阻断日志，根据阻断日志检验行为信息是否被成功阻断，对行为信息的阻断结果进行检测，在确定上述行为信息被阻断成功的情况下，进行其他操作，在确定上述行为信息阻断失败的情况下重新进行阻断，从而可以有效增加阻断的准确率和可靠性。

可选的，还包括：在用户终端的行为信息满足恢复条件的情况下，重新接收用户终端的行为信息，调取行为信息对应的阻断解除日志；根据阻断解除日志检验行为信息阻断是否被成功解除。

上述用户终端在被执行阻断之后，无法进行响应的行为操作，在对该用户终端执行异常消除操作之后，可以重新对该用户终端进行恢复。上述异常消除操作可以是，病毒扫描，病毒清理等。在对上述用户终端进行恢复时，对该用户终端的行为信息进行判断，在该行为信息可以满足恢复条件的情况下，对该用户终端的行为信息进行恢复，在该行为信息不满足恢复条件的情况下，对该用户终端的行为信息继续保持阻断。

与上述根据阻断日志检验行为信息是否被成功阻断类似，在对上述用户终端的行为信息进行恢复后，可以根据阻断解除日志检验行为信息阻断是否被成功解除，从而可以有效增加阻断解除的准确率和可靠性。

可选的，在重新接收用户终端的行为信息之后，还包括：获取用户终端的IP地址，和媒体存取控制位址MAC，其中，用户终端为多个；根据IP地址，和媒体存取控制位址MAC，对多个用户终端进行溯源检测。

可选的，根据IP地址，和媒体存取控制位址MAC，对多个用户终端进行溯源检测包括：接收用户终端发送的访问请求，其中，访问请求包括行为信息；确定访问请求是否存在虚假信息，其中，虚假信息包括下列至少之一：虚假IP地址，虚假MAC；在访问请求存在虚假信息的情况下，禁止访问请求访问。

在接收行为信息之后，据IP地址，和媒体存取控制位址MAC，对上述用户终端进行溯源检测，在该用户终端的访问请求是否存在虚假信息，例如，虚假IP地址，虚假MAC；在访问请求存在虚假信息的情况下，确定该请求为不安全的异常请求，并禁止访问请求访问，从而访问请求的根源进行预防，提高安全性。

可选的，还包括：对用户终端设置访问流量阈值，其中，不同的用户终端设置不同的访问流量阈值或者相同的访问流量阈值；在用户终端的访问流量超出访问流量阈值的情况下，将超出访问流量阈值的访问流量部分，作为异常流量进行记录，其中，异常流量记录在异常日志中。

在对用户终端设置访问流量阈值后，在用户终端正常运转的情况下，是无法超过该流量阈值的，但是一旦上述用户终端被病毒入侵控制，有可能会不受上述流量阈值的限制，因此会导致上述用户终端的访问流量的实际流量超过上述流量阈值。上述通过对上述用户终端的实际流量进行检测，在用户终端的访问流量超出访问流量阈值的情况下，将超出访问流量阈值的访问流量部分，作为异常流量进行记录，其中，异常流量记录在异常日志中，以便后续通过日志进行查询。

可选的，多个用户终端设置有黑名单和白名单，接收用户终端的行为信息之前，包括：禁止白名单中的不同用户终端之间的互相访问；禁止接收黑名单中的用户终端的访问请求。

需要说明的是，本实施例还提供了一种可选的实施方式，下面对实施方式进行详细说明。

勒索病毒在全球爆发时，会在企业私网内迅速传播，致使大量企业的私网服务器感染停机，企业虽然采购和部署了大量的信息安全设备，但大部分企业只关注来自于互联网和私网网络边界的威胁，忽视了私网安全建设。然而传统的办公私网是一种共享型网络，终端互访不受控制，为病毒、攻击的传播提供了极大的便利，一旦发生私网安全事件，无法第一时间定位及控制攻击源，事后回溯也极其困难。同时，传统私网终端往往采用客户端认证，而如今终端、操作系统类型不断丰富，客户端认证存在用户使用不便、管理员难维护及兼容性差的问题，实际上无法有效部署。勒索病毒是新形势下私网威胁的代表，它的大规模爆发恰恰说明了私网安全是现今企业信息化建设的盲点，企业信息安全的首要威胁已经不再是网络边界的威胁，而是来自于私网内部的攻击和病毒，私网安全则成为了整网的薄弱环节，构建一张安全私网已经势在必行。

现有数据通信网、信息办公外网两个网络系统，两个网络系统承载着公司所辖青海省范围内的各类信息内网、外网通信工作。公司数据通信网为两层扁平化架构，分为骨干网和公司及地市公司接入网，骨干网经过不断地优化，网络结构稳定，拓扑结构冗余性较好、路由策略完善、各类安全策略及时应用。公司信息外网互联统一出口呈主备双链路出口模式部署，保障了互联网能够高效、持续、稳定的运行。主备链路从外到内依次部署负载均衡、邮件审计、上网行为管理、流量控制及防火墙等安全设备，通过以上安全设备的过滤后向下接入外网主备核心交换机和主备核心路由器。公司数据通信网、信息办公外网的核心层、骨干层经过优化，具有良好的安全性，然而数据通信网、信息办公外网的接入层局域网依然是薄弱环节，各公司的办公网络没有经过改造和优化，通过简单的网络部署方式进行办公，不具有良好的安全性，因为在同一交换机或者VLAN下的终端互访是不受控制的，在这样的共享型网络中，为病毒传播、盗取终端资源等内部网络攻击创造了极大的便利，当各公司的办公网络出现内部攻击时，对电网的安全稳定运行时致命的。

针对上述问题，本实施方式针对办公网络的内部攻击进行安全防护，搭建一个安全、可靠、智能的办公网，提高办公网络的安全性，减少网络的脆弱性，并在出现问题是能够快速的解决，从而将风险降低到可接受的水平，努力做到问题一旦出现，尽早发现，尽早解决，主动防范，保障办公网络的稳定运行。

网络安全问题已成为信息时代人类共同面临的挑战，近年来，国家开始高度重视信息安全问题，以等级保护和分级保护工作为主要手段，加强我国企事业单位的信息安全保障水平。本实施方式在加强公司办公网络内部的安全防护，搭建一个安全、可靠、智能的办公网，在加强内部网络安全的同时了解当下先进的网络安全技术及解决方案。

随着信息化的飞速发展，承载的网络变得更大，更快，更智能，网络面临的安全挑战也日益增加。传统的安全防护只在网络各部分边界区域进行防护，无法做到针对每个用户进行安全防护，随着越来越多的应用攻击和网络攻击等安全问题的爆发，网络的安全状况也日益恶化，终端仿冒，恶意的入侵和攻击、病毒的泛滥等网络攻击在办公网络内的滋长，然而内部网络缺乏有效的审计和管理手段等，内部网络不可避免地成为网络安全防护薄弱环节。

本实施方式针对办公网络的安全防护，主要研究对非法访问、网络攻击、病毒扩散等常见的网络攻击进行研究，设计开发出一套高可行、高可用、高可靠的办公网络安全防护装置，实现在办公网络中提前部署深度威胁及高阶攻击的安全策略，做到智能感知用户，监测内网用户行为，针对异常行为及用户访问情况自动生成日志，全面掌握用户内网行为，提高办公网络的安全性。

1)针对每个用户，实现对办公网络流量的整形与管控，有效抑制办公网络病毒传播；在行为、业务、威胁三个层面重重布防，管控非法访问、内部攻击、病毒传播等办公网络威胁。

2)检测用户行为，一旦发现非法操作即冻结用户；业务策略即与用户身份(包括用户的终端IP、MAC、接入接口、办公楼层测试工具和终端类型等信息)、位置、状态等信息相关联，保证只有具备特定权限的用户才能访问特定的业务资源，阻止越权访问，防止终端仿冒，即便在网络内部发生安全事件后也能够追查到唯一的用户，做到有据可查。

从根源上实现安全防护。从而防止外来人员的随意接入，终端仿冒，恶意的入侵和攻击、病毒的泛滥以及终端溯源。

本实施方式主要内容为如何对在局域网中的办公网络用户进行安全防护，对非法访问、网络攻击、病毒扩散等常见的网络攻击进行研究，设计开发出一套高可行、高可用、高可靠的办公网络安全防护装置，实现在办公网络中提前部署深度威胁及高阶攻击的安全策略，做到智能感知用户，监测内网用户行为，针对异常行为及用户访问情况自动生成日志，全面掌握用户内网行为，提高办公网络的安全性。

本实施方式通过研究在接入层办公网络中部署具有安全功能的办公楼层检查工具，对非法访问、网络攻击、病毒扩散等常见的网络攻击进行研究，实现对办公网络的安全防护。

本实施方式在办公楼的每个楼层部署办公楼层测试工具，办公楼层测试工具通过光纤连接至信通公司二楼网络机房的核心测试工具，在核心测试工具上部署办公网络安全防护装置，通过办公网络安全防护装置实现对信通公司办公网络策略的动态下发，办公楼层测试工具自动执行办公网络安全防护装置下发的策略，防御威胁于网络之外。

一、连接数异常防护测试实验：

(1)、IP扫描防护测试实验。

测试目的：测试交换机IP扫描防护功能；

预置条件：图2是根据本发明实施例的一种测试系统的示意图，如图2所示，按照图2拓扑搭建网络环境；办公网络安全防护装置中添加设备；办公楼层测试工具为二层转发，并且与办公网络安全防护装置互通。

测试步骤如下：

步骤1：PC2对自身所在网段进行IP扫描，速率为10Mbps，PC1能抓到大量的ICMP请求报文；

步骤2：办公楼层测试工具配置IP扫描防护命令，且惩罚动作配置为阻断，配置正常下发；

步骤3：PC2对自身所在网段再次进行IP扫描，速率为10Mbps，PC1能抓到扫描开始时的几个报文后抓不到IP扫描相关的报文；

步骤4：查看办公网络安全防护装置的安全阻断日志，在安全日志中查看到相关的IP扫描阻断日志；

步骤5：查看办公网络安全防护装置的阻断恢复日志，停止扫描后在办公网络安全防护装置中查看到IP扫描阻断的解除告警日志。

测试结果：核心测试工具检测到PC2对网段内终端进行IP扫描，将根据我们预先设定的策略将PC2阻断。

(2)、“肉鸡”防护测试实验。

测试目的：测试交换机“肉鸡”防护功能；

预置条件：如图2所示，按照图2拓扑搭建网络环境；办公网络安全防护装置中添加设备；办公楼层测试工具为二层转发，并且与办公网络安全防护装置互通。

测试步骤如下：

步骤1：PC2向PC1发送速率为1Gbps的TCP_syn flood攻击报文，PC1能抓到大量来自PC2的单播TCP_syn flood报文；

步骤2：配置用户行为检测(UBA)命令，且惩罚动作配置为阻断，配置正常下发，配置正常下发；

步骤3：PC2向PC1再次发送速率为1Gbps的TCP_syn flood攻击报文，PC2发送的TCP_syn flood攻击报文在PC1上能抓到，但在很短一段时间内不再抓到攻击报文；

步骤4：查看办公网络安全防护装置的安全阻断日志，能在安全日志中查看到相关的DDoS攻击阻断日志；

步骤5：查看办公网络安全防护装置的阻断恢复日志，停止扫描后在办公网络安全防护装置中查看到DDoS攻击的解除告警日志。

测试结果：办公楼层测试工具检测到PC2的TCP_syn flood攻击报文时，将根据我们预先配置的用户行为检测命令将PC2阻断。

(3)、UDP端口扫描防护测试实验。

测试目的：测试交换机UDP端口扫描防护功能；

测试步骤如下：

步骤1：PC2对PC1进行UDP类型的端口扫描，速率为10Mbps，PC1能抓到大量来自PC2的单播UDP报文；

步骤2：办公楼层测试工具配置端口防护命令，且惩罚动作配置为阻断，配置正常下发；

步骤3：PC2对PC1再次进行UDP类型的端口扫描，速率为10Mbps，PC1能抓到扫描开始时的几个报文后抓不到UDP端口扫描报文；

步骤5：查看办公网络安全防护装置的安全阻断日志，能在安全日志中查看到相关的UDP端口扫描阻断日志。

测试结果：核心测试工具检测到PC2的UDP类型的端口扫描攻击报文时，将根据我们预先配置的端口防护命令将PC2阻断。

(4)、TCP端口扫描防护测试实验

测试目的：测试交换机TCP端口扫描防护功能；

测试步骤如下：

步骤1：PC2对PC1进行TCP类型的端口扫描，速率为10Mbps，PC1能抓到大量来自PC2的单播TCP报文；

步骤3：PC2对PC1再次进行TCP类型的端口扫描，速率为10Mbps，PC1能抓到扫描开始时的几个报文后抓不到TCP端口扫描报文；

步骤4：查看办公网络安全防护装置的安全阻断日志，能在安全日志中查看到相关的TCP端口扫描阻断日志；

步骤5：查看办公网络安全防护装置的阻断恢复日志，停止扫描后在办公网络安全防护装置中查看到TCP端口扫描阻断的解除告警日志。

测试结果：核心测试工具检测到PC2的TCP类型的端口扫描攻击报文时，将根据我们预先配置的端口防护命令将PC2阻断。

二、防蠕虫病毒传播测试实验

测试目的：测试防蠕虫病毒传播功能；

预置条件：如图2所示，按照图2拓扑搭建网络环境，其中，PC2为病毒宿主；办公网络安全防护装置中添加设备；办公楼层测试工具为二层转发，并且与办公网络安全防护装置互通；办公楼层测试工具1口与2口加入溯源端口。

测试步骤如下：

步骤1：PC2模拟病毒传播行为向内网进行病毒传播，PC1收到病毒传播报文；

步骤2：在核心测试工具开启安全防护功能，配置正常下发；

步骤3：PC2再次模拟病毒传播行为向内网进行病毒传播，PC1未收到病毒传播报文；

步骤4：查看办公网络安全防护装置日志信息，可以查看到异常告警信息；

测试结果：核心测试工具检测到PC2在内网传播病毒，立即将PC2阻断并在办公网络安全防护装置上进行告警。

三、终端识别与仿冒阻断测试实验

(1)、终端识别测试实验

测试目的：测试设备识别终端类型；

预置条件：图3是根据本发明实施例的另一种测试系统的示意图，如图3所示，按照图3拓扑搭建网络环境；办公网络安全防护装置中添加设备；办公楼层测试工具为二层转发，并且与办公网络安全防护装置互通。

测试步骤如下：

步骤1：办公楼层测试工具上配置终端溯源功能，配置正常下发；

步骤2：PC接入办公楼层测试工具，1口正常UP；

步骤3：在办公楼层测试工具上查看溯源信息，正确获取PC的IP、MAC和终端类型；

步骤4：查看办公网络安全防护装置的终端列表，终端列表中有PC的IP、MAC、接入接口、办公楼层测试工具和终端类型的信息；

测试结果：核心测试工具通过终端溯源检测功能，识别到有新终端接入并将设备的IP、MAC、接入接口、办公楼层测试工具和终端类型等信息记录下来。

(2)、仿冒终端识别测试实验

测试目的：测试设备识别仿冒终端功能；

预置条件：如图2所示，按照图2拓扑搭建网络环境，其中，PC可以为多个；办公网络安全防护装置中添加设；办公楼层测试工具为二层转发，并且办公网络安全防护装置互通。

测试步骤如下：

步骤1：交换机命令行下开启终端溯源检测功能，配置正常下发；

步骤2：PC1访问办公网络安全防护装置，正常访问；

步骤3：将PC2的IP地址设置成与PC1地址相同，PC2访问办公网络安全防护装置，不能访问办公网络安全防护装置；

步骤4：将PC3的Mac地址设置成与PC1地址相同，PC3访问办公网络安全防护装置，不能访问办公网络安全防护装置；

步骤5：查看自安全网络办公网络安全防护装置终端列表信息以及阻断日志，在终端列表里面查到仿冒PC接入位置以及相关阻断日志。

测试结果：核心测试工具通过终端溯源检测功能，检测出有终端仿冒IP和MAC接入网络，立即阻断该终端。

(3)、终端异常流量检测测试实验

测试目的：测试针对终端异常流量进行检查以及阻断；

预置条件：图4是根据本发明实施例的另一种测试系统的示意图，如图4所示，按照图4拓扑搭建网络环境；办公楼层测试工具为二层转发，PC能与办公楼层测试工具互通；配置网络接口流定义模式为认证模式，互联网接口为正常模式；办公楼层测试工具上开启portal认证方式，认证方式才是用本地portal认证；办公楼层测试工具上配置Radius服务器地址以及相关参数；在办公楼层测试工具上开启上下线日志和认证失败日志功能。

测试步骤如下：

步骤1：PC1、PC2通过认证进行外网访问，能正常进行访问；

步骤2：在办公楼层测试工具上配置会话数限制策略，设定PC1地址的UDP会话数为500，动作为丢包加告警，PC2不限制，并且配置日志发送到办公网络安全防护装置，配置正常下发；

步骤3：在PC1、PC2上采用发包软件各自向外打1000条UDP会话，在设备页面查看会话条数，查到PC1地址的UDP会话数为500，PC2 UDP会话数为1000条；

步骤4：在办公网络安全防护装置查看日志信息，可以查到PC1会话异常日志信息。

测试结果：在办公楼层测试工具上开启会话数限制功能后，能够对终端异常流量进行检查并及时阻断。

四、用户安全策略测试实验

(1)、横向白名单策略测试实验

测试目的：测试横向白名单功能；

预置条件：如图4所示，按照图4拓扑搭建网络环境；办公楼层测试工具为二层转发,PC能与办公楼层测试工具互通。

测试步骤如下：

步骤1：PC1与PC2、服务器互ping，正常互通；

步骤2：在核心测试工具上启用横向白名单功能，在办公楼层测试工具上配置白名单策略，禁止办公网络终端横向互访，但允许PC1访问服务器，配置正常下发；

步骤3：PC1与PC2、服务器互ping，PC1能与服务器互通，PC1不能与PC2互通、PC2不能与服务器互通；

测试结果：经过测试，开启横向白名单后能够有效阻止用户间互访。

(2)、纵向黑名单策略测试实验

测试目的：纵向黑名单策略功能；

测试步骤如下：

步骤1：在设备上配置黑名单策略，PC1用户不允许访问服务器，配置正常下发；

步骤2：PC1、PC2用户分别去访问服务器，PC1不能访问服务器，PC2可以访问服务器。

测试结果：经过测试，纵向黑名单能够有效阻止部分用户纵向流量。

通过办公网络常见的内部攻击进行研究，针对公司的办公网络，对网络内部攻击开展智能化防御，快速用户的异常行为，迅速定位问题。对在局域网中的办公网络用户进行安全防护，对非法访问、网络攻击、病毒扩散等常见的网络攻击进行研究，设计开发出一套高可行、高可用、高可靠的办公网络安全防护装置，实现在办公网络中提前部署深度威胁及高阶攻击的安全策略，做到智能感知用户，监测内网用户行为，针对异常行为及用户访问情况自动生成日志，全面掌握用户内网行为，提高办公网络的安全性。

上述本实用新型实施例序号仅仅为了描述，不代表实施例的优劣。

在本实用新型的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本实用新型各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本实用新型的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本实用新型各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本实用新型的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本实用新型原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本实用新型的保护范围。

Claims

1.一种网络防护测试系统，其特征在于，包括：

测试中心服务器，包括网络安全防护装置，所述网络安全防护装置用于对网络中的用户终端的数据进行安全防护；

测试单元服务器，用于对测试单元的多个不同的用户终端的交互数据进行处理，其中所述测试单元为多个；

外网路由器，与所述测试中心服务器相连，用于通过所述测试中心服务器的数据访问外网。

2.根据权利要求1所述的系统，其特征在于，

所述测试单元服务器包括溯源检测模块，所述溯源检测模块用于对所述用户终端的数据进行溯源检测。

3.根据权利要求2所述的系统，其特征在于，

所述网络安全防护装置包括阻断模块，用于对所述用户终端满足阻断条件的行为信息进行阻断；

其中，所述阻断条件包括下列至少之一：扫描IP地址，发送攻击报文，扫描端口，传播病毒。

4.根据权利要求3所述的系统，其特征在于，

所述网络安全防护装置包括配置模块，用于为所述阻断模块配置阻断命令，以控制测试单元服务器对所述行为信息进行阻断。

5.根据权利要求4所述的系统，其特征在于，

所述网络安全防护装置包括第一日志存储模块，用于存储用户信息的安全阻断日志。

6.根据权利要求5所述的系统，其特征在于，

所述网络安全防护装置包括第二日志存储模块，用于存储用户信息的阻断恢复日志。

7.根据权利要求6所述的系统，其特征在于，

8.根据权利要求7所述的系统，其特征在于，还包括：

认证服务器，用于存储用户终端的身份认证，根据访问请求是否能够通过身份认证，来判断所述访问请求。

9.根据权利要求8所述的系统，其特征在于，

访问流量限制装置，用于对所述用户终端的访问流量进行限制。

10.根据权利要求9所述的系统，其特征在于，

认证装置，用于对所述用户终端的数据进行认证，所述认证装置包括白名单和/或黑名单；

其中，所述白名单中的不同用户终端之间禁止互相访问，所述黑名单中的用户终端的访问请求被禁止接收。