[发明专利]一种用于网络安全产品的测试系统及测试方法

权利要求书

1.一种用于网络安全产品的测试系统，包括：

策略模块，用于测试策略的管理，根据预先设置的测试规则参数填充测试规则的数据结构链表，以生成具体的测试用例；

会话生成模块，用于产生测试的网络会话或网络攻击会话；该模块首先构建客户端和服务端程序，分别模拟网络安全产品所隔离的两个网络中的主机；客户端和服务端程序依据定制的测试策略调用测试用例对应的测试插件，并把测试用例参数传递给测试插件；测试插件实时生成相应的数据包，并传递给客户端或服务端进行发送，从而生成网络会话或网络攻击会话；

结果评判模块，用于评定测试结果，确定网络安全产品的脆弱性；该模块根据网络会话或网络攻击会话的完成情况，以及测试用例中的网络安全产品行为参数，共同评判该测试用例的测试结果；

所述会话生成模块和结果评判模块在执行完一个测试用例之后，会继续执行测试策略中的下一个测试用例，待测试策略中所有测试用例执行完成以后，此次测试完成；

报告模块，用于根据测试结果，生成测试报告。

2.根据权利要求1所述的测试系统，其特征在于，所述测试规则的数据结构包括访问方向、源IP、目的IP、访问端口、规则类型、网络安全产品行为和用户自定义字段。

3.根据权利要求1所述的测试系统，其特征在于，所述测试插件是支撑网络会话生成的动态链接库，它与策略中的规则对应，每种规则类型对应一 个测试插件；测试插件由外部接口、数据包生成、数据包发送与接收、应答包分析四个模块组成；外部接口模块负责接收外部传入的参数，以及把测试结果提交给插件调用者；数据包生成模块负责生成测试需要的各个数据包，如果插件被客户端调用，就会生成客户端需要的各个数据包，如果被服务端调用，则会生成服务端需要的各个数据包；数据包发送与接收模块负责把生成的数据包按照一个完整会话的顺序依次发送出去，发送一个数据包，在接收到期望的应答包后，再发送下一个数据包；应答包分析模块负责分析收到的应答包，对应答包的类型和数据内容进行判断，并把分析结果反馈给数据包发送与接收模块；数据包发送与接收模块会据此来决定是否终止数据包的发送与接收，并把会话的完成情况通过外部接口模块提交给插件的调用者。

4.根据权利要求1或2或3所述的测试系统，其特征在于，所述测试策略包括包过滤策略、应用服务访问策略、IP/MAC绑定策略、NAT转换策略、代理策略、信息过滤策略、恶意代码策略以及升级检测策略。

5.根据权利要求1或2或3所述的测试系统，其特征在于，所述测试系统进一步包括管理模块，用于测试环境和参数的配置，以及测试策略的定制。

6.一种用于系统网络安全产品的测试方法，包括以下步骤：

①配置测试策略，根据预先设置的测试规则参数填充测试规则的数据结构链表，生成具体的测试用例，所述测试规则的数据结构包括访问方向、源IP、目的IP、访问端口、规则类型、网络安全产品行为和用户自定义字段；

②生成网络会话，构建客户端和服务端程序，分别模拟网络安全产品所隔离的两个网络中的主机；客户端和服务端程序依据定制的测试策略调用测  试用例对应的测试插件，并把测试用例参数传递给测试插件；测试插件实时生成相应的数据包，并传递给客户端或服务端进行发送，从而生成网络会话或网络攻击会话；

③测试结果评定，根据网络会话或网络攻击会话的完成情况，以及测试用例中的网络安全产品行为参数，共同评判测试用例的测试结果。