技术领域
[0001] 本
申请涉及网络通信和
软件测试技术领域,特别涉及一种验证安全策略的方法和装置。
背景技术
[0002] 一些设备上,例如
防火墙等安全设备,会配置安全策略,为了验证安全策略是否生效,需要对这些安全策略进行测试。以安全设备为例,安全设备中往往存在大量且相似的安全策略,用于对这些安全策略进行测试的测试
用例在安全设备的每一个软件版本中都不可或缺。
[0003]
现有技术中,可以使用人工测试的方式对这些安全策略进行测试。然而,这类测试具有一定的机械性、重复性,工作量大,存在着很难进行长时间的可靠性测试、很难在短时间内实现大量测试等问题,由于被测设备上配置的安全策略较多,导致设备处理翻页查询回显较慢,同时逐条策略去查看测试结果也导致任务量大且很容易出错,完整性也无法保证,这些都严重影响到测试的执行效率和准确性。
发明内容
[0004] 有鉴于此,本申请提供一种验证安全策略的方法和装置,以提高验证安全策略时的测试效率及准确性。
[0005] 具体地,本申请是通过如下技术方案实现的:
[0006] 一种验证安全策略的方法,所述方法用于测试装置,所述测试装置用于验证被测设备上的多条安全策略;所述方法包括:
[0007] 以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应;
[0008] 获取每条安全策略的匹配结果,其中所述匹配结果是所述被测设备收到每条数据流后将所收到的数据流与所述多条安全策略逐条匹配后记录的匹配结果;
[0009] 根据所述匹配结果确定所述多条安全策略的验证结果。
[0010] 一种验证安全策略的装置,所述装置用于验证被测设备上的多条安全策略;所述装置包括:
[0011] 发包及收包单元,用于以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应;
[0012] 测试单元,用于获取每条安全策略的匹配结果,其中所述匹配结果是所述被测设备收到每条数据流后将所收到的数据流与所述多条安全策略逐条匹配后记录的匹配结果;根据所述匹配结果确定所述多条安全策略的验证结果。
[0013] 由以上本申请提供的技术方案可见,被测设备上配置有多条安全策略,测试装置以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应,然后获取每条安全策略的匹配结果,最后根据所述匹配结果确定所述多条安全策略的验证结果。这样便可实现安全策略的自动验证,通过自动化的过程可以更快的检验安全策略是否生效,提高了整体验证效率与准确性,使软件的回归测试更加方便,解决了人工测试时对比量大、容易出错等问题。
附图说明
[0014] 图1为本申请示出的一种验证安全策略的方法的
流程图;
[0015] 图2为本申请示出的一种验证安全策略的方法的细化流程图;
[0016] 图3为本申请示出的一种验证安全策略的方法的细化流程图;
[0017] 图4为本申请示出的一种验证安全策略的方法的细化流程图;
[0018] 图5为本申请示出的一种场景下的自动测试
框架示意图;
[0019] 图6为本申请示出的读取安全策略匹配计数时的流程图;
[0020] 图7为本申请示出的一种验证安全策略的装置的示意图。
具体实施方式
[0021] 这里将详细地对示例性
实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附
权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0022] 在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0023] 应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
[0024] 请参见图1,图1为本申请示出的一种验证安全策略的方法的流程图。该方法可用于测试装置(或者说是测试系统)。所述测试装置可用于验证被测设备上的多条安全策略。作为示例,所述测试装置可以包括发包及收包单元、测试单元,所述被测设备可以为安全设备,例如防火墙等。
[0025] 如图1所示,所述方法可以包括:
[0026] 步骤S101,以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应。
[0027] 例如,被测设备上可以配置10000条安全策略,相应的用于测试的数据流也是10000条。对于安全策略的具体形式及内容,本实施例并不进行限制,本领域技术人员可以根据不同需求\不同场景而自行选择、设计,可以在此处使用的这些选择和设计都没有背离本发明的精神和保护范围。
[0028] 作为示例,安全策略可以是防火墙等安全设备对以太网数据包的放通或者阻断策略,例如一条安全策略为“源IP是1.1.1.1,目的IP是2.2.2.2,协议是UDP,源端口是0-65535,目的端口是21的数据包需要丢弃”。
[0029] 步骤S102,获取每条安全策略的匹配结果,其中所述匹配结果是所述被测设备收到每条数据流后将所收到的数据流与所述多条安全策略逐条匹配后记录的匹配结果。
[0030] 被测设备接收到一条数据流后,会将其与所述多条安全策略逐条进行匹配,当该数据流被一条安全策略匹配上时,匹配过程就结束,不再与后面的安全策略匹配。
[0031] 当被测设备的整个匹配过程结束后,测试装置可从被测设备上读取匹配结果。作为示例,在本实施例或本发明其他某些实施例中,获取每条安全策略的匹配结果,具体可以包括:
[0032] 从第一条安全策略的匹配结果开始,依次读取每条安全策略的匹配结果;每次读取时等待预设时长,若超出所述预设时长未返回匹配结果,则触发预设操作。
[0033] 作为示例,预设操作可以是停止并返回错误提示等,对此本发明实施例并不进行限制,对于预设操作本领域技术人员可以根据不同需求\不同场景而自行选择、设计,可以在此处使用的这些选择和设计都没有背离本发明的精神和保护范围。
[0034] 当然在本发明其他某些实施例中,也可以边匹配边读取匹配结果,对此本发明实施例也并不进行限制。
[0035] 步骤S103,根据所述匹配结果确定所述多条安全策略的验证结果。
[0036] 因为用于测试的多条数据流被设计为与所述多条安全策略一一对应,所以理想情况下每条安全策略都应该被匹配上一次,即每条安全策略都应该会生效,也即如果安全策略是生效的,那么匹配结果就会跟预期(或者说是预设)的一样。而如果安全策略不生效,则匹配结果会出错,代表查出了问题。故可以根据匹配结果确定所述多条安全策略的验证结果。
[0037] 在测试之前,可以先对安全策略进行配置。在本实施例或本发明其他某些实施例中,参见图2所示,在向所述被测设备发送多条数据流之前,所述方法还包括以下配置过程:
[0038] 步骤S201,创建多条地址对象。
[0039] 例如,“172.30.21.130/32”就是一个地址对象,当多个地址对象放到一起形成一个集合时,就是地址对象组。
[0040] 步骤S202,创建多条自定义服务对象,其中每条所述自定义服务对象包括协议、目的端口、源端口。
[0041] 例如,“协议TCP+端口21和端口20”就是一个自定义服务对象,这里就代表FTP服务。同理,多个自定义服务对象放到一起形成一个集合,就是服务对象组。
[0042] 容易理解的是,在实际中,目的端口或源端口可以不止一个,另外源端口也可以为空,代表any,即源端口可以是任何端口。
[0043] 步骤S203,根据所述多条地址对象和所述多条自定义服务对象生成所述多条安全策略,其中每条所述安全策略包括:
[0044] 源地址,目的地址,协议,目的端口,源端口,操作。
[0045] 容易理解的是,在实际中,源地址可以为空,代表any,即源地址可以是任何地址。所述操作例如可以为放通或者丢弃动作,对此本发明实施例并不进行限制,本领域技术人员可以根据不同需求\不同场景而自行选择、设计,可以在此处使用的这些选择和设计都没有背离本发明的精神和保护范围。
[0046] 作为示例,可以通过自动化脚本创建10000条地址对象,地址递增,每次最后一位跳变1。创建10000条自定义服务对象,其中5000条对象为UDP协议,目的端口从1024开始,跳变1,另外5000条对象为TCP协议,目的端口从1024开始,跳变1。创建10000条安全策略依次调用已创建的地址对象及自定义服务对象。
[0047] 参见图3所示,在本实施例或本发明其他某些实施例中,向所述被测设备发送多条数据流,具体可以包括:
[0048] 步骤S301,创建与每条安全策略对应的数据包,其中每个所述数据包包括源地址,目的地址,协议,源端口,目的端口。
[0049] 步骤S302,每次将与一条安全策略对应的数据包发送给所述被测设备,以及,接收所述被测设备转发的所述数据包,以形成通过所述被测设备的一条数据流。
[0050] 一条数据流中可以包括一个数据包或者多个相同的数据包。一条数据流具体就是一个网络数据包通过安全设备,这个数据包算是一条数据流。多个一样的连续数据包也可以认为是同一条数据流。如果数据包不一样,那么就是新的一条数据流。
[0051] 在本发明实施例中,每个数据包可以包括五元组,即包括源地址、目的地址、协议、目的端口、源端口五项内容。容易理解的是,这五元组中的某个或某些项目在一些情况下也可以为空。数据包不同即指五元组不同。
[0052] 被测设备收到数据包后可检查这些数据包,并与安全策略里的参数匹配,匹配上了就执行放通或者丢弃动作。
[0053] 如果一条数据流最终未匹配上任何安全策略,则可以采取系统自带的或默认的措施,例如丢弃等。
[0054] 另外容易理解的是,如果数据包匹配上一条安全策略且安全策略中的操作为丢弃,那么被测设备就不会对外转发该数据包,也即接收不到被测设备所转发的数据包,所以上述“接收所述被测设备转发的所述数据包”还包含了准备接收但实际并未接收到这一类情况。
[0055] 请参见图4,在本实施例或本发明其他某些实施例中,根据所述匹配结果确定所述多条安全策略的验证结果,具体可以包括:
[0056] 步骤S401,将每条安全策略的匹配结果与对应的预设值比较。
[0057] 步骤S402,根据比较结果确定所述验证结果。
[0058] 作为示例,一条安全策略的匹配结果可以以匹配计数的形式表示,例如匹配计数为0或1。在本实施例中,由于所述多条数据流被设计为与所述多条安全策略一一对应,所以在理想情况下每条安全策略的匹配计数应为1,也即预设值为1。这样便可以通过读取匹配计数并与预设值比较来验证被测设备上的大量安全策略是否生效。
[0059] 在本发明实施例中,被测设备上配置有多条安全策略,测试装置以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应,然后获取每条安全策略的匹配结果,最后根据所述匹配结果确定所述多条安全策略的验证结果。这样便实现了安全策略的自动验证,通过自动化的过程可以更快的检验安全策略是否生效,提高了整体验证效率与准确性,使软件的回归测试更加方便,解决了人工测试时对比量大、容易出错等问题。
[0060] 下面以图5所代表的具体应用场景为例对本发明方案作进一步描述。当然以图5所代表的应用场景仅为示例性的,在实际应用中,也可以适用于其它应用场景。
[0061] 图5为本申请示出的自动测试框架示意图,涉及了自动测试端501、发包端502、收包端503、被测设备504四部分,其中自动测试端、发包端、收包端组成了测试装置。
[0062] 发包端:在发包端设置流量模型。IP地址递增,与被测设备上配置的地址对象匹配。端口递增,与被测设备上设置的服务对象匹配。所构造的流量选择发送一次。
[0063] 收包端:收包端用来接收从被测设备转发出的数据包,使流量完成转发。
[0064] 自动测试端:自动测试端向被测设备发送命令,用来查询安全策略的匹配结果,其中匹配结果可以是匹配计数的形式,例如匹配计数值为0或1。被测设备收到命令后响应该命令,返回查询的安全策略的匹配计数。自动测试端比对被测设备的返回值与预设值的关系,如果二者相同则继续查询下一条安全策略的匹配计数,如果不相同则停止查询并返回错误提示。
[0066] 1)配置模块:此模块根据测试需要的地址对象数、服务对象数、安全策略数的大小及内容来设置脚本中的预设值。地址对象数、服务对象数及安全策略的设置决定了安全策略匹配计数的值。发包端发出的数据包需要根据安全策略的内容去逐条匹配安全策略。
[0067] 2)执行模块:由于配置安全策略之前需要先配置地址对象及服务对象,所以脚本执行有先后顺序。先执行地址对象配置脚本,再执行服务对象配置脚本,再执行安全策略配置脚本。被测设备上配置完成后需要用发包软件构造流量来匹配安全策略。流量构造完成后发送一次已构造的流量。流量发送完成后执行验证脚本,读取安全策略匹配计数并与预设值比对。从第一条安全策略匹配计数读起,每读取一次等待预设时长(例如10秒)。若预设时长内被测设备返回结果,那么比对结果。若预设时长内被测设备未返回结果,那么脚本停止并返回异常。
[0068] 读取过程可参见图6所示,可以包括以下步骤:
[0069] 步骤S601,自动测试端向被测设备
请求名称为“i”的安全策略的匹配计数。例如初始时可以令i=0或i=1。
[0070] 步骤S602,判断是否在预设时长内返回结果。
[0071] 例如预设时长可以为10秒。如果在预设时长内返回了结果,则继续向下执行,如果预设时长内未返回结果,则可结束流程。
[0072] 步骤S603,判断返回值是否等于预设值。
[0073] 即判断名称为“i”的安全策略的匹配计数是否等于该安全策略的预设值。如果匹配计数等于预设值,则继续向下执行,如果匹配计数不等于预设值,则可结束流程。
[0074] 步骤S604,判断“i”是否等于最大值“max”。
[0075] 例如如果初始时i=1,共有10000条安全策略,则最大值max=10000。如果“i”等于最大值“max”,则结束流程,如果“i”不等于最大值“max”,则跳至步骤S605。
[0076] 步骤S605,i自增1。并返回步骤S601。
[0077] 如此循环,直至流程结束。
[0078] 在本发明实施例中,被测设备上配置有多条安全策略,测试装置以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应,然后获取每条安全策略的匹配结果,最后根据所述匹配结果确定所述多条安全策略的验证结果。这样便实现了安全策略的自动验证,通过自动化的过程可以更快的检验安全策略是否生效,提高了整体验证效率与准确性,使软件的回归测试更加方便,解决了人工测试时对比量大、容易出错等问题。
[0079] 请参考图7,图7为本申请示出的一种验证安全策略的装置的示意图。所述装置可用于验证被测设备上的多条安全策略。作为示例,所述被测设备可以为防火墙。
[0080] 参见图7所示,所述装置可以包括:
[0081] 发包及收包单元701,用于以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应。
[0082] 作为示例,安全策略可以是防火墙等安全设备对以太网数据包的放通或者阻断策略。
[0083] 测试单元702,用于获取每条安全策略的匹配结果,其中所述匹配结果是所述被测设备收到每条数据流后将所收到的数据流与所述多条安全策略逐条匹配后记录的匹配结果;根据所述匹配结果确定所述多条安全策略的验证结果。
[0084] 被测设备接收到一条数据流后,会将其与所述多条安全策略逐条进行匹配,当该数据流被一条安全策略匹配上时,匹配过程就结束,不再与后面的安全策略匹配。
[0085] 作为示例,在本实施或本发明其他某些实施例中,所述测试单元还可以用于:
[0086] 创建多条地址对象;创建多条自定义服务对象,其中每条所述自定义服务对象包括协议、目的端口、源端口;根据所述多条地址对象和所述多条自定义服务对象生成所述多条安全策略,其中每条所述安全策略包括:源地址,目的地址,协议,目的端口,源端口,操作。
[0087] 容易理解的是,在实际中,目的端口或源端口可以不止一个,另外源端口也可以为空,代表any,即源端口可以是任何端口。
[0088] 作为示例,在本实施或本发明其他某些实施例中,所述发包及收包单元具体可以用于:
[0089] 创建与每条安全策略对应的数据包,其中每个所述数据包包括源地址,目的地址,协议,目的端口,源端口;每次将与一条安全策略对应的数据包发送给所述被测设备,以及,接收所述被测设备转发的所述数据包,以形成通过所述被测设备的一条数据流。
[0090] 作为示例,在本实施或本发明其他某些实施例中,所述一条数据流中可以包括一个数据包或者多个相同的数据包。
[0091] 一条数据流中可以包括一个数据包或者多个相同的数据包。一条数据流具体就是一个网络数据包通过安全设备,这个数据包算是一条数据流。多个一样的连续数据包也可以认为是同一条数据流。如果数据包不一样,那么就是新的一条数据流。
[0092] 在本发明实施例中,每个数据包可以包括五元组,即包括源地址、目的地址、协议、目的端口、源端口五项内容。容易理解的是,这五元组中的某个或某些项目在一些情况下也可以为空。数据包不同即指五元组不同。
[0093] 另外容易理解的是,如果数据包匹配上一条安全策略且安全策略中的操作为丢弃,那么被测设备就不会对外转发该数据包,也即接收不到被测设备所转发的数据包,所以上述“接收所述被测设备转发的所述数据包”还包含了准备接收但实际并未接收到这一类情况。
[0094] 作为示例,在本实施或本发明其他某些实施例中,所述测试单元在获取每条安全策略的匹配结果时,具体可以用于:
[0095] 从第一条安全策略的匹配结果开始,依次读取每条安全策略的匹配结果;每次读取时等待预设时长,若超出所述预设时长未返回匹配结果,则触发预设操作。
[0096] 作为示例,在本实施或本发明其他某些实施例中,所述测试单元在根据所述匹配结果确定所述多条安全策略的验证结果时,具体可以用于:
[0097] 将每条安全策略的匹配结果与对应的预设值比较;根据比较结果确定所述验证结果。
[0098] 作为示例,一条安全策略的匹配结果可以以匹配计数的形式表示,例如匹配计数为0或1。在本实施例中,由于所述多条数据流被设计为与所述多条安全策略一一对应,所以在理想情况下每条安全策略的匹配计数应为1,也即预设值为1。这样便可以通过读取匹配计数并与预设值比较来验证被测设备上的大量安全策略是否生效。
[0099] 在本发明实施例中,被测设备上配置有多条安全策略,测试装置以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应,然后获取每条安全策略的匹配结果,最后根据所述匹配结果确定所述多条安全策略的验证结果。这样便实现了安全策略的自动验证,通过自动化的过程可以更快的检验安全策略是否生效,提高了整体验证效率与准确性,使软件的回归测试更加方便,解决了人工测试时对比量大、容易出错等问题。
[0100] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
[0101] 对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0102] 以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何
修改、等同替换、改进等,均应包含在本申请保护的范围之内。
