[发明专利]一种IPv6防火墙防护能力测试装置及测试方法

说明书

本发明涉及一种IPv6防火墙防护能力测试装置及测试方法。所述测试装置包括：第一通信模块、第二通信模块、测试结果显示模块及测试模块；测试模块包括测试包生成子模块、测试包发送子模块、测试包接收子模块和数据处理及结果生成子模块。所述测试方法包括：客户端和服务端分别通过第一通信模块和第二通信模块进行测试同步，选择测试模块；客户端根据选择的测试模块通过对应的测试包发送子模块向服务端发送测试数据包，服务端通过测试包接收子模块接收测试数据包并通过数据处理及结果生成子模块生成测试结果；服务端将测试结果通过第二通信模块返回给测试结果显示模块。本发明可以实现对ICMPv6、单扩展报头、多扩展报头、分片和地址范围的测试。

技术领域

本发明涉及测试技术领域，具体涉及防火墙防护能力测，尤其涉及一种IPv6防火墙防护能力测试装置及测试方法。

背景技术

当前防火墙测试的研究主要用于黑盒测试，通过发送各种数据包测试其能否通过防火墙以求还原防火墙的配置规则。根据其测试机制可以分为两类：1)基于错误数据包的测试。利用发送错误数据包，使其通过防火墙后在后续路由器上产生因特网控制报文协议(ICMP)差错报文，通过测试端是否收到该ICMP差错报文来判定该数据包能否通过防火墙。2)基于端口扫描的测试。利用发送TCP/UDP报文，通过接收端的回应以判断其能否通过防火墙。

IPv6网络提供了海量地址，能有效解决IPv4地址数量不足的问题，在全球范围内得到了大量部署。在IPv6中使用的ICMPv6协议包含了IPv4中的ICMP、ARP和IGMP的功能，对IPv6网络的正常运行起着至关重要的作用。IPv6报头和扩展报头取代了IPv4报头和可选项，新的扩展报头格式使IPv6更适应不同的需求。与IPv4报头中的可选项不同，IPv6扩展报头没有大小限制，可以容纳所有IPv6通信所需要的扩展数据。IPv6协议中的分片规则也与IPv4协议不同，只能在源地址所在的发送端进行分片。IPv6路由器会将收到的大于自身MTU的数据包丢弃并向源发送端发送数据包过大消息，而不会再自行将IPv6数据包进行分片。IPv6地址分为单播地址、多播地址和任播地址三种，单播地址又可分为全球单播地址、链路本地地址、站点本地地址、唯一本地地址、特殊地址和兼容地址等六种地址。

由上可知，IPv6协议存在ICMPv6、单扩展报头、多扩展报头、分片和地址范围五种潜在的安全威胁。

发明内容

本发明将针对IPv6协议存在的上述问题，提出一种IPv6防火墙防护能力测试装置及测试方法，对IPv6防火墙进行防护能力测试，可以实现对ICMPv6、单扩展报头、多扩展报头、分片和地址范围五种潜在的安全威胁的测试。

为了实现上述目的，本发明采用以下技术方案：

一种IPv6防火墙防护能力测试装置，包括：第一通信模块、第二通信模块、测试结果显示模块及测试模块；

第一通信模块及第二通信模块用于建立客户端与服务端的TCP连接，用于测试的同步和测试结果的回传，其中第一通信模块位于客户端上，第二通信模块位于服务端上；

测试结果显示模块位于客户端上，用于将测试结果显示到屏幕上；

所述测试模块包括测试包生成子模块、测试包发送子模块、测试包接收子模块和数据处理及结果生成子模块；其中所述测试包生成子模块及所述测试包发送子模块位于客户端，用于生成指定的测试数据包，并将所述测试数据包发送到服务端；所述测试包接收子模块和所述数据处理及结果生成子模块位于服务端；测试包接收子模块用于接收网络中发来的所有数据包，并通过预设的关键字判断所接收的数据包是否为该测试模块生成的测试数据包，并将所述接收的数据包传输给数据处理及结果生成子模块；数据处理及结果生成子模块将接收到的测试包进行处理生成测试结果传输给第二通信模块。