[发明专利]一种包过滤防火墙自动化测试方法和系统

说明书

本发明涉及一种包过滤防火墙自动化测试方法和系统，属于包过滤防火墙技术领域。本发明采用随机数产生五元组和构造测试数据包的方法，通过发送数据包，在接收端接收并校验数据包是否为唯一的由随机数产生的数据包，从而对包过滤防火墙的策略有效性进行测试验证。通过脚本控制器控制包过滤防火墙策略的生成、数据包发送、接收和校验，从而可以实现包过滤防火墙的自动化测试。

技术领域

本发明属于包过滤防火墙技术领域，具体涉及一种包过滤防火墙自动化测试方法和系统。

背景技术

包过滤防火墙是目前主要的网络访问控制设备，包过滤防火墙通过配置安全策略——即五元组过滤规则实现对网络数据包的控制。其工作原理是首先配置过滤规则，然后根据网络数据包的五元组信息(即源IP地址、目的IP地址、协议、源端口、目的端口)与过滤规则进行匹配，匹配成功后执行防火墙规则的动作，对数据包进行“允许通过”或者“丢弃”的操作。

为了验证包过滤防火墙设备的包过滤功能的有效性，在包过滤防火墙设备开发过程中以及评测过程中需要对包过滤防火墙的包过滤功能进行验证，其功能有效性的测试正是利用包过滤防火墙的工作原理。通过搭建测试拓扑环境，在防火墙两侧发送和接收数据包，检验是否与规则设置预期一致，从而判断包过滤防火墙包过滤功能是否正确实现。

但是人工进行包过滤功能的验证需要确定测试项目(即源IP地址、目的IP地址、协议、源端口、目的端口这五项中的哪一项)，根据测试项目配置防火墙规则，根据规则在防火墙一侧发送数据包，并在防火墙另一侧查看数据包是否收到，然后人工比对结果判断功能是否有效。而且对于五元组中的任一测试项目还需要设置不同规则进行多次测试，以确保其功能的完备性，因此人工进行包过滤功能测试效率低，且容易受测试人员技术能力影响，产生错误的测试结果。因此如何实现包过滤防火墙功能的自动化测试仍是目前亟需解决的问题。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何设计一种包过滤防火墙自动化测试方法和系统，以实现对包过滤防火墙五元组过滤功能的自动化测试，有效提高测试效率。

(二)技术方案

为了解决上述技术问题，本发明提供了一种包过滤防火墙自动化测试系统，包括：测试控制模块，随机数生成模块、脚本控制模块、包过滤防火墙策略配置模块，数据包发送模块和数据包接收验证模块；

其中，所述测试控制模块负责包过滤防火墙安全策略测试用例的生成和测试用例的驱动，测试用例从被测试包过滤防火墙五元组中选择一项，并调用随机数生成模块生成该测试项测试值的随机数和测试ID的随机数，调用脚本控制模块生成防火墙安全策略配置脚本、数据包发送脚本和数据包接收验证脚本，并驱动脚本控制模块控制各脚本执行；

所述随机数生成模块用于根据测试控制模块的指令生成测试项目的、测试ID的随机数；

所述脚本控制模块用于生成防火墙安全策略配置脚本、数据包发送脚本和数据包接收验证脚本，脚本间存在时序关系和触发条件，其中防火墙安全策略配置脚本首先执行，数据包接收验证脚本随后执行并等待数据包发送脚本执行，直至数据包发送脚本执行或者数据包接收验证脚本超出时间阈值后退出；

所述包过滤防火墙策略配置模块用于根据被测试防火墙的配置接口配置防火墙安全策略，其中，安全策略中的被测试项由测试控制模块指定，由随机数生成模块生成测试值，由脚本控制模块控制策略生成；

所述数据包发送模块用于根据随机数生成测试数据包和干扰数据包并进行发送，其中测试数据包中五元组的测试项目与随机数生成模块生成的相同，IP报文ID与测试ID相同；其中干扰数据包五元组的测试项目与随机数生成模块生成的不同，IP报文ID与测试ID不同；