專利名稱:一種用于網(wǎng)絡(luò)安全產(chǎn)品的測試系統(tǒng)及測試方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全技術(shù)領(lǐng)域,涉及網(wǎng)絡(luò)安全產(chǎn)品的測試,特別是涉及
一種防火墻、統(tǒng)一威脅管理(Universal Threat Management, UTM)和安全
網(wǎng)關(guān)的測試裝置和測試方法。
背景技術(shù):
防火墻、UTM和安全網(wǎng)關(guān)等網(wǎng)絡(luò)安全產(chǎn)品是計算機網(wǎng)絡(luò)安全體系的重要組 成部分����,部署在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信的公共網(wǎng)絡(luò)) 或網(wǎng)絡(luò)安全域之間��。這些網(wǎng)絡(luò)安全產(chǎn)品作為唯一的強制i方問控制點�����,根據(jù)網(wǎng) 絡(luò)安全策略監(jiān)控流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)����,且自身具有較強的抗攻擊能力。但即使這 些安全產(chǎn)品通過了權(quán)威測評機構(gòu)的離線仿真測試���,獲得了認證證書��,是合格 的安全產(chǎn)品�����,它們在實際的網(wǎng)絡(luò)環(huán)境應(yīng)用時��,仍有很大的可能性存在管理配 置方面的脆弱性����,例如,安全策略的配置不當��,安全設(shè)備被攻擊突破�����,升級 導(dǎo)致某些模塊失效��,等等�。因此,隨著防火墻���、UTM和安全網(wǎng)關(guān)這些安全產(chǎn)品 的廣泛應(yīng)用�����,它們的管理配置脆弱性�����,即策略配置有效性���、抗攻擊滲透有效 性和升級更新有效性正逐漸成為網(wǎng)絡(luò)安全管理部門和用戶關(guān)心的問題,對相 關(guān)測試工具和方法的需求也更為迫切�����。
目前,在對防火墻���、UTM和安全網(wǎng)關(guān)等安全產(chǎn)品的管理配置脆弱性測試方 面,各測試評估和安全檢查機構(gòu)普遍采用的方法是手工測試����。測試員登錄到 安全產(chǎn)品上,査看安全產(chǎn)品的管理配置和日志審計情況����,以及人工產(chǎn)生各種
5網(wǎng)絡(luò)訪問連接來穿越安全產(chǎn)品,然后根據(jù)網(wǎng)絡(luò)訪問情況����,來判斷安全產(chǎn)品是 否存在管理配置脆弱性。這種手工的方法雖然能夠?qū)Π踩a(chǎn)品進行一定程度 的測試���,但卻存在以下的不足
一���、 手工測試雖然可以產(chǎn)生穿越安全設(shè)備的網(wǎng)絡(luò)流量,來對管理配置脆 弱性進行實時在線的測試��,但存在效率低下、環(huán)境配置復(fù)雜���,難以進行大批 量的測試或重復(fù)測試等諸多問題��。
二����、 手工測試在對網(wǎng)絡(luò)安全產(chǎn)品進行實時在線的安全測試時�����,會受限于 目標網(wǎng)絡(luò)提供的條件���,例如�����,提供的網(wǎng)絡(luò)服務(wù)較少�����,對目標網(wǎng)絡(luò)不熟悉��。
三����、 手工測試需要利用目標網(wǎng)絡(luò)的設(shè)備的來參與測試,在進行某些比如 傳輸惡意代碼或執(zhí)行惡意代碼的測試時����,可能會引入安全風(fēng)險而對目標網(wǎng)絡(luò) 造成損害。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種用于對防火墻�、UTM和安全網(wǎng)關(guān)等網(wǎng)絡(luò)安全產(chǎn)品 的管理配置脆弱性進行測試的測試系統(tǒng)和測試方法���,從而實現(xiàn)了對上述產(chǎn)品 的策略配置有效性��、抗攻擊滲透有效性和升級更新有效性的自動���、實時在線 檢測。
本發(fā)明的用于網(wǎng)絡(luò)安全產(chǎn)品的測試系統(tǒng)�����,包括策略模塊�,用于測試策
略的管理,根據(jù)預(yù)先設(shè)置的規(guī)則參數(shù)填充測試規(guī)則的數(shù)據(jù)結(jié)構(gòu)鏈表���,生成具 體的測試用例�,所述測試規(guī)則的數(shù)據(jù)結(jié)構(gòu)包括訪問方向、源IP����、目的IP、訪
問端口���、規(guī)則類型���、網(wǎng)絡(luò)安全產(chǎn)品行為和用戶自定義字段;會話生成模塊��, 用于產(chǎn)生測試的網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話���,該模塊構(gòu)建客戶端和服務(wù)端程序���,分別模擬網(wǎng)絡(luò)安全產(chǎn)品所隔離的兩個網(wǎng)絡(luò)中的主機,客戶端和服務(wù)端程序依 據(jù)定制的測試策略調(diào)用測試用例對應(yīng)的測試插件���,并把測試用例參數(shù)傳遞給 測試插件���,測試插件實時生成相應(yīng)的數(shù)據(jù)包,并傳遞給客戶端或服務(wù)端進行 發(fā)送,從而生成網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話���;結(jié)果評判模塊�,用于評定測試結(jié) 果�����,確定網(wǎng)絡(luò)安全產(chǎn)品的脆弱性��,該模塊根據(jù)網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話的完 成情況��,以及測試用例中的網(wǎng)絡(luò)安全產(chǎn)品行為參數(shù)�����,共同評判測試用例的測 試結(jié)果�;會話生成模塊和結(jié)果評判模塊在執(zhí)行完一個測試用例后�,會繼續(xù)執(zhí) 行測試策略中的下一個測試用例,待測試策略中所有測試用例執(zhí)行完成以后��, 此次測試完成�����;報告模塊,用于根據(jù)測試結(jié)果�����,生成測試報告����。
其中,該測試系統(tǒng)還進一步包括管理模塊����,用于測試環(huán)境和參數(shù)的配 置,以及測試策略的定制����。
本發(fā)明的用于網(wǎng)絡(luò)安全產(chǎn)品的測試方法,包括以下步驟
① 配置測試策略�,根據(jù)預(yù)先設(shè)置的測試規(guī)則參數(shù)填充測試規(guī)則的數(shù)據(jù)結(jié) 構(gòu)鏈表,生成具體的測試用例�����,所述測試規(guī)則的數(shù)據(jù)結(jié)構(gòu)包括訪問方向�、源 IP、目的IP����、訪問端口�、規(guī)則類型���、網(wǎng)絡(luò)安全產(chǎn)品行為和用戶自定義字段����;
② 生成網(wǎng)絡(luò)會話��,構(gòu)建客戶端和服務(wù)端程序���,分別模擬網(wǎng)絡(luò)安全產(chǎn)品所 隔離的兩個網(wǎng)絡(luò)中的主機��,客戶端和服務(wù)端程序依據(jù)定制的測試策略調(diào)用測 試用例對應(yīng)的測試插件��,并把測試用例參數(shù)傳遞給測試插件��,測試插件實時 生成相應(yīng)的數(shù)據(jù)包,并傳遞給客戶端或服務(wù)端進行發(fā)送��,從而生成網(wǎng)絡(luò)會話 或網(wǎng)絡(luò)攻擊會話�����;
③ 結(jié)果評判,用于評定測試結(jié)果�����,確定網(wǎng)絡(luò)安全產(chǎn)品的脆弱性���,該模塊根據(jù)網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話的完成情況�,以及測試用例中的網(wǎng)絡(luò)安全產(chǎn)品 行為參數(shù)��,共同評判測試用例的測試結(jié)果�。
與現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品的管理配置脆弱性測試方法相比,本發(fā)明采用計算 機自動測試技術(shù)����,實現(xiàn)了對網(wǎng)絡(luò)安全產(chǎn)品的策略配置有效性、抗攻擊滲透有 效性和升級更新有效性的自動��、實時在線檢測�����,大大提高了測試的效率���。
圖l為本發(fā)明的用于實時在線測試防火墻��、UTM和安全網(wǎng)關(guān)的測試系統(tǒng)的 結(jié)構(gòu)框圖����。
圖2為本發(fā)明的測試系統(tǒng)在測試時的連接示意圖。 圖3為本發(fā)明的測試方法的工作流程圖����。
具體實施例方式
下面結(jié)合附圖和具體實施方式
對本發(fā)明作進一步詳細的說明。 圖l是本發(fā)明的用于測試防火墻���、UTM和安全網(wǎng)關(guān)的測試系統(tǒng)的結(jié)構(gòu)框圖�����。
該測試系統(tǒng)包括以下模塊
(1)管理模塊
該模塊提供基于圖形界面的人機接口����,用于測試環(huán)境和參數(shù)的配置���,以 及測試策略的定制���。其中�,測試環(huán)境和參數(shù)包括客戶端和服務(wù)端的IP地址和 對應(yīng)的網(wǎng)關(guān)IP地址�����,以及客戶端與服務(wù)端所處的網(wǎng)絡(luò)位置和被測設(shè)備的工作
模式(路由�、交換或混合模式)等���;用戶還可以通過策略模板來定制測試策 略��,根據(jù)測試內(nèi)容�,選擇具體的測試策略����,并對策略中的規(guī)則進行配置,生 成測試用例����。(2)策略模塊
該模塊用于測試策略的管理。策略是網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話產(chǎn)生的依 據(jù)�����。本發(fā)明支持三種類型的安全測試策略��,分別為安全策略配置有效性�����、抗 攻擊滲透有效性和升級更新有效性策略,而且����,所述三種類型的測試策略可
具體到包過濾策略、應(yīng)用服務(wù)訪問策略��、IP/MAC綁定策略���、NAT轉(zhuǎn)換策略����、
代理策略��、信息過濾策略����、惡意代碼策略以及升級檢測策略等。進一步地�����, 策略通過規(guī)則來體現(xiàn),每一個具體的策略可包含多條規(guī)則�,并可進行擴展以
提升測試能力�����,例如�,包過濾策略目前就定義了TCP、 UDP�、 ICMP三種規(guī)則類
型。而對每一種具體的規(guī)則�����,根據(jù)測試的需要���,可生成一至多個測試用例�,
例如����,對TCP規(guī)則,可生成針對不同應(yīng)用協(xié)議或IP地址的測試用例���。
所有測試策略的規(guī)則都采用相同的數(shù)據(jù)結(jié)構(gòu)�����,包括以下字段訪問方向���、
源工P�����、目的IP�、訪問端口���、規(guī)則類型�����、網(wǎng)絡(luò)安全產(chǎn)品行為及4個備用字段����。其
中���,訪問方向用于確定網(wǎng)絡(luò)會話是服務(wù)端訪問客戶端還是客戶端訪問服務(wù)端��,
O表示客戶端向服務(wù)端發(fā)起訪問����,l表示服務(wù)端向客戶端發(fā)起訪問;規(guī)則類型
用于指明具體的規(guī)則類型�;網(wǎng)絡(luò)安全產(chǎn)品行為字段則用于說明被測安全設(shè)備
對此條測試策略的行為。其數(shù)據(jù)結(jié)構(gòu)如下所示-Struct Rule
勵RD dwDerection long ISrcIP; long IDesIP; Short uPort;
〃訪問方向 〃源IP 〃目的IP 〃訪問端口
9DWORD dwTyoe; DWORD dwAction; char szParal[255]; char szPara2[255]; DWORD dwParal; DWORD dwPara2; Struct Rule* pNext
配置策略時���,根據(jù)用戶設(shè)置的測試參數(shù),來填充這個規(guī)則的數(shù)據(jù)結(jié)構(gòu)鏈 表��,就能夠生成具體的測試用例�����。策略中的測試用例可以增加�、刪除和修改, 同時也可以將本次配置好的策略予以保存�����,以便以后調(diào)用����。 (3)會話生成模塊
該模塊用于產(chǎn)生測試的網(wǎng)絡(luò)攻擊會話。它首先構(gòu)建客戶端和服務(wù)端程序��, 分別模擬網(wǎng)絡(luò)安全產(chǎn)品所隔離的兩個網(wǎng)絡(luò)中的主機;客戶端和服務(wù)端程序依 據(jù)定制的測試策略調(diào)用測試用例對應(yīng)的測試插件��,并把測試用例參數(shù)傳遞給 測試插件�����;測試插件實時生成相應(yīng)的數(shù)據(jù)包��,并傳遞給客戶端或服務(wù)端進行 發(fā)送�,從而生成網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話;執(zhí)行完成后���,客戶端或服務(wù)端程 序從測試插件中獲取網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話的完成情況�����。
所述測試插件是支撐網(wǎng)絡(luò)會話生成的動態(tài)鏈接庫�����,它與策略中的規(guī)則對 應(yīng)��,每種規(guī)則類型對應(yīng)一個測試插件��。測試插件由外部接口�、數(shù)據(jù)包生成、 數(shù)據(jù)包發(fā)送接收和應(yīng)答包分析四個模塊組成��。外部接口模塊負責(zé)接收外部傳 入的參數(shù)�����,以及把測試結(jié)果提交給插件調(diào)用者�。數(shù)據(jù)包生成模塊負責(zé)生成測 試需要的各個數(shù)據(jù)包,如果插件被客戶端調(diào)用�����,就會生成客戶端需要的各個
〃規(guī)則類型��,指明是哪種類型的檢測 〃網(wǎng)絡(luò)安全產(chǎn)品行為 〃根據(jù)dwTyoe不同填充的參數(shù) 〃根據(jù)dwTyoe不同填充的參數(shù) 〃根據(jù)dwTyoe不同填充的參數(shù) 〃根據(jù)dwTyoe不同填充的參數(shù)數(shù)據(jù)包�����;如果被服務(wù)端調(diào)用�����,則會生成服務(wù)端需要的各個數(shù)據(jù)包��。數(shù)據(jù)包發(fā)
送與接收模塊負責(zé)把生成的數(shù)據(jù)包按照一個完整會話的順序依次發(fā)送出去���, 發(fā)送一個數(shù)據(jù)包���,在接收到期望的應(yīng)答包后,再發(fā)送下一個數(shù)據(jù)包�����。應(yīng)答包 分析模塊負責(zé)分析收到的應(yīng)答包���,對應(yīng)答包的類型(是連接建立時的應(yīng)答包���, 還是數(shù)據(jù)傳送時的應(yīng)答包,還是中斷連接的應(yīng)答包��,等等)和數(shù)據(jù)內(nèi)容進行 判斷��,并把分析結(jié)果反饋給數(shù)據(jù)包發(fā)送與接收模塊��。數(shù)據(jù)包發(fā)送與接收模塊 會據(jù)此來決定是否終止數(shù)據(jù)包的發(fā)送與接收����,并把會話的完成情況通過外部 接口模塊提交給插件的調(diào)用者。
(4) 結(jié)果評判模塊
該模塊用于評定測試結(jié)果����,確定網(wǎng)絡(luò)安全產(chǎn)品的脆弱性�;它根據(jù)網(wǎng)絡(luò)會 話或網(wǎng)絡(luò)攻擊會話的完成情況��,以及測試用例中的網(wǎng)絡(luò)安全產(chǎn)品行為參數(shù)�����, 共同評判該測試用例的測試結(jié)果�。
上述會話生成模塊和結(jié)果評判模塊在執(zhí)行完一個測試用例之后,會繼續(xù) 執(zhí)行測試策略中的下一個測試用例�����,待測試策略中所有測試用例執(zhí)行完成以 后���,此次測試完成。
(5) 報告模塊
該模塊用于產(chǎn)生測試結(jié)果報告��。在測試完成之后����,根據(jù)每個測試用例的 測試結(jié)果,生成測試報告���。測試報告從安全策略配置有效性�、抗攻擊滲透有 效性和升級更新有效性三個方面,評估網(wǎng)絡(luò)安全產(chǎn)品的脆弱性���,以餅狀圖和 柱狀圖的形式來顯示測試結(jié)果��,并導(dǎo)出PDF或WORD格式的文檔���。
圖2是本發(fā)明的測試系統(tǒng)在測試時的連接示意圖。測試系統(tǒng)基于雙宿主機平臺��,可以是具有兩個網(wǎng)絡(luò)接口的筆記本電腦��、PC主機或服務(wù)器�;客戶端C和 服務(wù)端S是測試系統(tǒng)的實時產(chǎn)生網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話的兩個通信實體,分
別綁定在不同的網(wǎng)絡(luò)接口上��;接口1和接口2是防火墻等安全產(chǎn)品上的內(nèi)網(wǎng)�����、 外網(wǎng)或DMZ中的任意兩個接口�;端口1和端口2是與防火墻等安全產(chǎn)品的接口1 和接口2相連的路由器或交換機上的兩個任意端口。
測試時�����,測試系統(tǒng)的客戶端C和服務(wù)端S同時與同安全產(chǎn)品接口1或接口2 相連的路由器或交換機上的兩個任意端口連接,分別模擬網(wǎng)絡(luò)安全產(chǎn)品所隔 離的兩個網(wǎng)絡(luò)中的主機��。這樣�����,測試設(shè)備所產(chǎn)生的網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話 將穿越網(wǎng)絡(luò)安全產(chǎn)品����,并在測試設(shè)備上形成閉環(huán)。作為測試儀器���,測試系統(tǒng) 的客戶端C和服務(wù)端S沒有主機內(nèi)的數(shù)據(jù)轉(zhuǎn)發(fā)�����,從而確保測試時不存在回路。
圖3是本發(fā)明的用于網(wǎng)絡(luò)安全產(chǎn)品測試的測試方法��,包括以下步驟
① 配置測試策略�����,根據(jù)預(yù)先設(shè)置的測試規(guī)則參數(shù)填充測試規(guī)則的數(shù)據(jù)結(jié) 構(gòu)鏈表,生成具體的測試用例��,所述測試規(guī)則的數(shù)據(jù)結(jié)構(gòu)包括訪問方向��、源
IP�����、目的IP���、訪問端口��、規(guī)則類型����、網(wǎng)絡(luò)安全產(chǎn)品行為和用戶自定義字段��;
② 生成網(wǎng)絡(luò)會話�,構(gòu)建客戶端和服務(wù)端程序,分別模擬網(wǎng)絡(luò)安全產(chǎn)品所 隔離的兩個網(wǎng)絡(luò)中的主機�����,客戶端和服務(wù)端程序分別調(diào)用測試用例對應(yīng)的測 試插件,并把步驟①生成的測試用例參數(shù)傳遞給測試插件����;測試插件實時生 成相應(yīng)的數(shù)據(jù)包,并傳遞給客戶端或服務(wù)端進行發(fā)送���,從而生成網(wǎng)絡(luò)會話或 網(wǎng)絡(luò)攻擊會話�����;
③ 測試結(jié)果評定�����,根據(jù)網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話的完成情況�����,以及測試 用例中的網(wǎng)絡(luò)安全產(chǎn)品行為參數(shù)��,共同評判測試用例的測試結(jié)果��。這里����,我們通過一個基本的包過濾測試策略的測試過程來進行詳細說明����。 首先假設(shè)現(xiàn)在要對某單位的一臺防火墻進行測試,此防火墻隔離內(nèi)外網(wǎng) 絡(luò)�����,它承擔(dān)的功能是使內(nèi)網(wǎng)可以訪問外網(wǎng)����,外網(wǎng)不能訪問內(nèi)網(wǎng),防火墻內(nèi)網(wǎng)
段為192. 168. 1.1/32�,外網(wǎng)段為IO. 10. 10. 1/32。這臺防火墻的策略規(guī)則比較 簡單�����,對它進行安全性測試只需要配置這樣的測試策略從內(nèi)網(wǎng)到外網(wǎng)和從 外網(wǎng)到內(nèi)網(wǎng)兩個方向的包過濾策略�����,且每個方向都包含TCP���、 UDP��、 ICMP三種 協(xié)議的規(guī)則�����,內(nèi)網(wǎng)到外網(wǎng)的訪問允許�,而外網(wǎng)到內(nèi)網(wǎng)的訪問禁止。 (1)測試策略配置
策略體現(xiàn)在規(guī)則上�,配置規(guī)則就是填充下面這個數(shù)據(jù)結(jié)構(gòu)鏈表,從而生
成具體的測試用例�。對于此臺防火墻的測試,需要配置6次規(guī)則的數(shù)據(jù)結(jié)構(gòu)��,
生成6個測試用例����,其中TCP、 UDP和ICMP三種協(xié)議各配置2個��, 一個是從內(nèi)網(wǎng)
訪問外網(wǎng)的�����, 一個是從外網(wǎng)訪問內(nèi)網(wǎng)的�����。例如,生成一個從內(nèi)網(wǎng)訪問外網(wǎng)的
TCP策略規(guī)則的測試用例����,需要把規(guī)則結(jié)構(gòu)中的參數(shù)進行如下配置 Rule
DWORD dwDerection = 0; 〃訪問方向為內(nèi)網(wǎng)訪問外網(wǎng)
long ISrcIP = 192. 168. 1. 167; 〃源IP
long IDesIP = 10. 10. 10. 13; 〃目的IP
Short uPort = 80; 〃訪問端口為http服務(wù)
DWORD dwTyoe = 1; 〃規(guī)則類型為TCP包過濾檢測
DWORD dwAction = 0; 〃防火墻行為是允許
char szParal [255]; 〃空�����,包過濾檢測不需要額外的參數(shù)了
char szPara2[255]; 〃空����,包過濾檢測不需要額外的參數(shù)了DWORD dwParal; 〃空,包過濾檢測不需要額外的參數(shù)了
DWORD dwPara2: 〃空��,包過濾檢測不需要額外的參數(shù)了
Struct Rule氺 pNext;
根據(jù)這個測試用例生成具體的數(shù)據(jù)包時���,這些參數(shù)會傳遞給對應(yīng)的測試 插件�,測試插件生成數(shù)據(jù)包時需要改變的內(nèi)容在這些參數(shù)中體現(xiàn)�����,不需要改 變的內(nèi)容直接存儲在測試插件本身中���,測試插件根據(jù)這個結(jié)構(gòu)中的參數(shù)和測 試插件中存儲的內(nèi)容生成一個個具體的測試數(shù)據(jù)包����。 (2)網(wǎng)絡(luò)會話生成
生成測試用例之后即可進行測試,客戶端和服務(wù)端會根據(jù)測試用例對應(yīng) 的規(guī)則結(jié)構(gòu)中的參數(shù)來生成具體的數(shù)據(jù)包�����。這里����,訪問方向dwDerection字段 為0,表示是客戶端首先向服務(wù)端發(fā)起訪問���。數(shù)據(jù)包會試圖穿越防火墻到達對 方�,每發(fā)送一個數(shù)據(jù)包都會等待對方的應(yīng)答包�,只有收到期望的應(yīng)答包后才 會發(fā)送下一個數(shù)據(jù)包(若防火墻不攔截數(shù)據(jù)包,每發(fā)送一個數(shù)據(jù)包是肯定會 收到期望的應(yīng)答包的)��,否則��,在等待一段時間后中斷數(shù)據(jù)包的發(fā)送���。 (3)測試結(jié)果評定
根據(jù)網(wǎng)絡(luò)會話是否成功����,以及測試用例所對應(yīng)的規(guī)則的網(wǎng)絡(luò)安全產(chǎn)品行 為字段,來共同確定防火墻的規(guī)則是否生效���。假設(shè)網(wǎng)絡(luò)會話成功地完成����,那 么如果行為字段為允許�����,則表明防火墻的這條規(guī)則生效����,測試結(jié)果為"通過"; 如果行為字段為拒絕�,則表明防火墻的這條規(guī)則失效,測試結(jié)果為"不通過"�。 假設(shè)網(wǎng)絡(luò)會話沒有成功地完成,那么如果行為字段為允許����,則表明防火墻的 這條規(guī)則失效,測試結(jié)果為"不通過"����;如果行為字段為拒絕���,則表明防火墻的這條規(guī)則有效。這里���,該測試用例的行為字段為允許�����,如果網(wǎng)絡(luò)會話沒有 成功地完成(數(shù)據(jù)包被防火墻攔截或修改)����,那么就可以判定防火墻的這條規(guī) 則是失效的��,或是說存在這方面的脆弱性�。 一個功能運行正常,沒有安全脆 弱性的防火墻����,其測試結(jié)果應(yīng)都為通過。
權(quán)利要求
1. 一種用于網(wǎng)絡(luò)安全產(chǎn)品的測試系統(tǒng)��,包括策略模塊�,用于測試策略的管理,根據(jù)預(yù)先設(shè)置的測試規(guī)則參數(shù)填充測試規(guī)則的數(shù)據(jù)結(jié)構(gòu)鏈表,以生成具體的測試用例�����;會話生成模塊�,用于產(chǎn)生測試的網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話;該模塊首先構(gòu)建客戶端和服務(wù)端程序����,分別模擬網(wǎng)絡(luò)安全產(chǎn)品所隔離的兩個網(wǎng)絡(luò)中的主機;客戶端和服務(wù)端程序依據(jù)定制的測試策略調(diào)用測試用例對應(yīng)的測試插件��,并把測試用例參數(shù)傳遞給測試插件�;測試插件實時生成相應(yīng)的數(shù)據(jù)包�,并傳遞給客戶端或服務(wù)端進行發(fā)送,從而生成網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話���;結(jié)果評判模塊���,用于評定測試結(jié)果,確定網(wǎng)絡(luò)安全產(chǎn)品的脆弱性����;該模塊根據(jù)網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話的完成情況,以及測試用例中的網(wǎng)絡(luò)安全產(chǎn)品行為參數(shù)���,共同評判該測試用例的測試結(jié)果����;所述會話生成模塊和結(jié)果評判模塊在執(zhí)行完一個測試用例之后,會繼續(xù)執(zhí)行測試策略中的下一個測試用例�����,待測試策略中所有測試用例執(zhí)行完成以后���,此次測試完成��;報告模塊�����,用于根據(jù)測試結(jié)果���,生成測試報告。
2. 根據(jù)權(quán)利要求l所述的測試系統(tǒng)���,其特征在于�����,所述測試規(guī)則的數(shù)據(jù) 結(jié)構(gòu)包括訪問方向��、源IP�、目的IP、訪問端口�����、規(guī)則類型��、網(wǎng)絡(luò)安全產(chǎn)品行 為和用戶自定義字段���。
3. 根據(jù)權(quán)利要求l所述的測試系統(tǒng)���,其特征在于���,所述測試插件是支撐 網(wǎng)絡(luò)會話生成的動態(tài)鏈接庫����,它與策略中的規(guī)則對應(yīng)�����,每種規(guī)則類型對應(yīng)一個測試插件;測試插件由外部接口��、數(shù)據(jù)包生成����、數(shù)據(jù)包發(fā)送接收和應(yīng)答包分析四個模塊組成;外部接口模塊負責(zé)接收外部傳入的參數(shù)����,以及把測試結(jié) 果提交給插件調(diào)用者;數(shù)據(jù)包生成模塊負責(zé)生成測試需要的各個數(shù)據(jù)包��,如 果插件被客戶端調(diào)用�����,就會生成客戶端需要的各個數(shù)據(jù)包��,如果被服務(wù)端調(diào) 用�,則會生成服務(wù)端需要的各個數(shù)據(jù)包;數(shù)據(jù)包發(fā)送與接收模塊負責(zé)把生成 的數(shù)據(jù)包按照一個完整會話的順序依次發(fā)送出去���,發(fā)送一個數(shù)據(jù)包�,在接收 到期望的應(yīng)答包后,再發(fā)送下一個數(shù)據(jù)包�;應(yīng)答包分析模塊負責(zé)分析收到的 應(yīng)答包,對應(yīng)答包的類型和數(shù)據(jù)內(nèi)容進行判斷�����,并把分析結(jié)果反饋給數(shù)據(jù)包 發(fā)送與接收模塊�����;數(shù)據(jù)包發(fā)送與接收模塊會據(jù)此來決定是否終止數(shù)據(jù)包的發(fā) 送與接收����,并把會話的完成情況通過外部接口模塊提交給插件的調(diào)用者。
4. 根據(jù)權(quán)利要求1或2或3所述的測試系統(tǒng)����,其特征在于,所述測試策 略包括包過濾策略���、應(yīng)用服務(wù)訪問策略、IP/MAC綁定策略��、NAT轉(zhuǎn)換策略����、 代理策略�����、信息過濾策略�、惡意代碼策略以及升級檢測策略��。
5. 根據(jù)權(quán)利要求1或2或3所述的測試系統(tǒng)���,其特征在于���,所述測試系 統(tǒng)進一步包括管理模塊,用于測試環(huán)境和參數(shù)的配置�,以及測試策略的定制。
6. —種用于系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的測試方法��,包括以下步驟① 配置測試策略���,根據(jù)預(yù)先設(shè)置的測試規(guī)則參數(shù)填充測試規(guī)則的數(shù)據(jù)結(jié) 構(gòu)鏈表���,生成具體的測試用例,所述測試規(guī)則的數(shù)據(jù)結(jié)構(gòu)包括訪問方向�、源 IP�����、目的IP�����、訪問端口���、規(guī)則類型、網(wǎng)絡(luò)安全產(chǎn)品行為和用戶自定義字段���;② 生成網(wǎng)絡(luò)會話��,構(gòu)建客戶端和服務(wù)端程序��,分別模擬網(wǎng)絡(luò)安全產(chǎn)品所 隔離的兩個網(wǎng)絡(luò)中的主機�;客戶端和服務(wù)端程序依據(jù)定制的測試策略調(diào)用測試用例對應(yīng)的測試插件���,并把測試用例參數(shù)傳遞給測試插件��;測試插件實時 生成相應(yīng)的數(shù)據(jù)包����,并傳遞給客戶端或服務(wù)端進行發(fā)送���,從而生成網(wǎng)絡(luò)會話 或網(wǎng)絡(luò)攻擊會話�����;③測試結(jié)果評定����,根據(jù)網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話的完成情況���,以及測試 用例中的網(wǎng)絡(luò)安全產(chǎn)品行為參數(shù)����,共同評判測試用例的測試結(jié)果��。
全文摘要
本發(fā)明公開了一種用于網(wǎng)絡(luò)安全產(chǎn)品的測試系統(tǒng)及測試方法��,該測試系統(tǒng)包括策略模塊���、會話生成模塊���、結(jié)果評判模塊和報告模塊�����。該測試方法包括以下步驟(a)填充測試規(guī)則的數(shù)據(jù)結(jié)構(gòu)鏈表��,生成具體的測試用例����;(b)構(gòu)建客戶端和服務(wù)端程序��,分別模擬網(wǎng)絡(luò)安全產(chǎn)品所隔離的兩個網(wǎng)絡(luò)中的主機�����,并通過客戶端和服務(wù)端程序調(diào)用測試用例對應(yīng)的測試插件以實時生成相應(yīng)的數(shù)據(jù)包��,并傳遞給客戶端或服務(wù)端進行發(fā)送�����,從而生成網(wǎng)絡(luò)會話或網(wǎng)絡(luò)攻擊會話�����;(c)根據(jù)會話完成情況及測試用例中的網(wǎng)絡(luò)安全產(chǎn)品行為參數(shù),評判測試用例的測試結(jié)果���。應(yīng)用本發(fā)明��,可實現(xiàn)對網(wǎng)絡(luò)安全產(chǎn)品的策略配置有效性、抗攻擊滲透有效性和升級更新有效性的自動���、實時的在線檢測����。
文檔編號H04L12/26GK101447898SQ20081018100
公開日2009年6月3日 申請日期2008年11月19日 優(yōu)先權(quán)日2008年11月19日
發(fā)明者何金勇, 云 唐, 力 鐘 申請人:中國人民解放軍信息安全測評認證中心