CN112398857A - 防火墙测试方法、装置、计算机设备和存储介质 - Google Patents
防火墙测试方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN112398857A CN112398857A CN202011285261.4A CN202011285261A CN112398857A CN 112398857 A CN112398857 A CN 112398857A CN 202011285261 A CN202011285261 A CN 202011285261A CN 112398857 A CN112398857 A CN 112398857A
- Authority
- CN
- China
- Prior art keywords
- access
- protection
- task
- target
- accessed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种防火墙测试方法、装置、计算机设备和存储介质。所述方法包括:从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略;按照所述目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备;控制所述访问设备经由所述目标防火墙访问所述被访问设备;根据所述访问设备对所述被访问设备进行访问的访问结果,确定所述目标防火墙在所述目标防护策略下的防护测试结果。采用本方法能够降低出现安全隐患的可能性。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种防火墙测试方法、装置、计算机设备和存储介质。
背景技术
随着计算机技术的发展,出现了防火墙技术,防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术广泛应用于人工智能领域、金融领域、安防领域等。
在防火墙运行时,需要对防火墙的性能进行测试,以及时发现防火墙漏洞。但是传统技术中,对防火墙的测试不够全面,存在安全隐患。
发明内容
基于此,有必要针对上述技术问题,提供一种能够降低出现安全隐患可能性的防火墙测试方法、装置、计算机设备和存储介质。
一种防火墙测试方法,该方法包括:
从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略;
按照目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备;
控制访问设备经由目标防火墙访问被访问设备;
根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙在目标防护策略下的防护测试结果。
一种防火墙测试装置,该装置包括:
选取模块,用于从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略;
选取模块,还用于按照目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备;
控制模块,用于控制访问设备经由目标防火墙访问被访问设备;
确定模块,用于根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙在目标防护策略下的防护测试结果。
一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略;
按照目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备;
控制访问设备经由目标防火墙访问被访问设备;
根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙在目标防护策略下的防护测试结果。
一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略;
按照目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备;
控制访问设备经由目标防火墙访问被访问设备;
根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙在目标防护策略下的防护测试结果。
上述防火墙测试方法、装置、计算机设备和存储介质,从目标防火墙的多于一种防护策略中选取用于测试的目标防护策略,按照目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备,控制访问设备经由目标防火墙访问被访问设备,并根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙在目标防护策略下的防护测试结果。这样,可针对防火墙的各种防护策略进行自动化测试,提高了防火墙测试的全面性,极大地降低了出现安全隐患的可能性。
附图说明
图1为一个实施例中防火墙测试方法的流程示意图;
图2为一个实施例中防火墙测试系统的结构框图;
图3为另一个实施例中防火墙测试系统的结构框图;
图4为又一个实施例中防火墙测试系统的结构框图;
图5为再一个实施例中防火墙测试系统的结构框图;
图6为一个实施例中访问模拟设备与被访问模拟设备的通信示意图;
图7为另一个实施例中防火墙测试方法的流程示意图;
图8为一个实施例中防火墙测试装置的结构框图;
图9为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云技术(Cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
在一个实施例中,如图1所示,提供了一种防火墙测试方法,以该方法应用于计算机设备为例进行说明,包括以下步骤:
步骤102,从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略。
其中,目标防火墙是待通过本申请实施例提供的方法进行防护性能测试的防火墙。防火墙可以通过计算机硬件、计算机软件或者软硬结合的方式实现。
防火墙用于在内部网络和外部网络之间形成保护屏障,由于内部网络和外部网络之间的数据流需要经过防火墙,且只有符合安全策略的数据流能够被放行,因此防火墙能够保障内部网络的数据安全。内部网络可以是基于组织建立的专用网络。组织是多个对象按一定方式结合而成的集团或团体,比如学校、班级、企业、部门或群组等。内部网络比如企业内部网络或校园内部网络等。
为了方便描述,本实施例将内部网络的设备称之为被访问设备,将外部网络的设备称之为访问设备。被访问设备可以是客户端或者服务器,访问设备也可以是客户端或者服务器。也就是说,防火墙可以在服务器与服务器之间形成保护屏障,以保护内部网络的服务器的数据安全;防火墙也可以在客户端与服务器之间形成保护屏障,以保护内部网络的客户端或者服务器的数据安全。
其中,防护策略是防火墙所提供的防护功能,比如阻止访问功能、允许访问功能等。阻止访问功能用于阻断指定访问设备对指定被访问设备指定端口的访问,允许访问功能用于放行指定访问设备对指定被访问设备指定端口的访问。
在一个实施例中,防护策略具体可以是IP(Internet Protocol Address,互联网协议地址)策略、域名策略、地域策略、黑名单策略或者白名单策略等。
其中,IP策略用于阻止或者允许指定IP地址的访问设备,访问指定IP地址的被访问设备的指定端口。比如,通过IP策略阻止IP地址为1.1.1.1的服务器,访问IP地址为2.2.2.2的服务器的80端口。
域名策略用于阻止或者允许指定域名的访问设备访问指定IP地址的被访问设备的指定端口、或者指定IP地址的访问设备访问指定域名的被访问设备的指定端口。比如,通过域名策略阻止IP地址为1.1.1.1的服务器,访问域名为www.xxx.com的服务器的80端口。
地域策略用于阻止或者允许指定地区的访问设备,访问指定被访问设备的指定端口。比如,通过地域策略允许广东省的IP地址访问IP地址为2.2.2.2的服务器的80端口。
黑名单策略用于阻止指定访问设备访问指定被访问设备的指定端口。比如,通过黑名单策略阻止IP地址为1.1.1.1的服务器访问IP地址为2.2.2.2的服务器的80端口。白名单策略用于放行指定访问设备对指定被访问设备指定端口的访问。比如,通过白名单策略允许IP地址为1.1.1.1的服务器访问IP地址为2.2.2.2的服务器的80端口。
防火墙作为内部网络的保护屏障,需要具有稳定的防护性能。本申请提供一种防火墙测试方法,该方法可针对防火墙的各种防护策略进行自动化测试,提高了防火墙测试的全面性,极大地降低了出现安全隐患的可能性。
本申请提供的防火墙测试方法所应用的测试系统包括至少两种角色的计算机设备。具体地,测试系统采用中心化的主从调度框架,两种角色的计算机设备之间可以是主从关系。其中,“主”计算机设备(也可称为主节点)用于调度“从”计算机设备(也可称为从节点),从节点用于模拟访问设备或者被访问设备,从节点形成的集合可称为模拟设备集合。为了方便描述,本申请将模拟访问设备的模拟设备称为访问模拟设备,将模拟被访问设备的模拟设备称为被访问模拟设备。
在一个具体的实施例中,主节点可以是IDC(Internet Data Center,互联网数据中心)设备,其可以访问内部网络的数据库,同时可以与外部网络的计算机设备进行通信。从节点可以是外部网络的计算机设备,比如外部网络的服务器或者客户端。
举例说明,参照图2,图2为一个实施例中防火墙测试系统的结构框图。可以看到,主节点可调度从节点,使得从节点模拟访问设备或者被访问设备,通过控制访问模拟设备经由目标防火墙访问被访问模拟设备来测试目标防火墙的防护性能。
在一个实施例中,计算机设备从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略,该计算机设备可以是主节点。主节点可从目标防火墙的多于一种防护策略中,按照预先设置的顺序,轮流选取防护策略作为目标防护策略。比如,目标防火墙的防护策略包括第一防护策略、第二防护策略、第三防护策略,主节点将第一防护策略、第二防护策略、第三防护策略轮流作为目标防护策略。
步骤104,按照目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备。
在一个实施例中,计算机设备按照目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备,该计算机设备可以是主节点。具体包括以下几种情况:
(一)选取一个访问模拟设备和一个被访问模拟设备,使得访问模拟设备经由目标防火墙访问被访问模拟设备。
(二)选取一个访问模拟设备和至少两个被访问模拟设备,使得访问模拟设备依次经由目标防火墙访问至少两个被访问模拟设备;或者选取至少两个访问模拟设备和一个被访问模拟设备,使得至少两个访问模拟设备经由目标防火墙访问被访问模拟设备。
(三)选取至少两个访问模拟设备和至少两个被访问模拟设备,使得至少两个访问模拟设备和至少两个被访问模拟设备之间,实现“一对一访问”、“一对多访问”或者“多对一访问”中的至少一种。“一对多访问”是访问模拟设备依次经由目标防火墙访问至少两个被访问模拟设备,“多对一访问”是至少两个访问模拟设备经由目标防火墙访问被访问模拟设备。
在一个实施例中,每个模拟设备可以是固有的设备参数,设备参数具体可以是IP地址、域名等。举例说明,目标防护策略为地域策略,主节点从模拟设备集合中选取广东省IP地址的模拟设备作为访问模拟设备,选取任一IP地址的模拟设备作为被访问模拟设备。
在一个实施例中,每个模拟设备的设备参数可进行配置。目标防护策略可包括第一设备参数和第二设备参数,第一设备参数和第二设备参数具体可以是IP地址、域名等。主节点按照第一设备参数对至少一个模拟设备进行配置以模拟访问设备,并按照第二设备参数对至少一个模拟设备进行配置以模拟被访问设备。举例说明,目标防护策略为地域策略,主节点从模拟设备集合中选取两个模拟设备,根据第一设备参数对其中一个模拟设备配置指定地区的IP地址作为访问模拟设备,根据第二设备参数对另外一个模拟设备配置IP地址作为被访问模拟设备。
在一个实施例中,步骤104包括:根据目标防护策略生成调度任务;基于调度任务,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备;创建与调度任务相对应的任务记录,以更新调度任务的任务状态。
其中,任务记录用于记录调度任务的任务状态。该任务状态可以是正在执行状态、完成状态、执行失败状态、结束状态等。
具体地,主节点根据目标防护策略生成调度任务,基于调度任务从模拟设备集合中选取至少一个访问模拟设备,以及至少一个被访问模拟设备;并且,主节点在数据库中创建与调度任务相对应的任务记录,以通过任务记录更新并记录调度任务的任务状态。
举例说明,参照图3,图3为另一个实施例中防火墙测试系统的结构框图。可以看到,主节点创建调度任务,基于调度任务选取访问模拟设备和被访问模拟设备,并且在数据库中创建与调度任务相对应的任务记录,该任务记录可根据访问模拟设备对被访问模拟设备的访问结果进行更新。
在一个实施例中,该方法还包括:当调度任务的任务状态为完成状态时,返回从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略的步骤。
具体地,主节点接收访问模拟设备对被访问模拟设备的访问结果,根据访问结果更新调度任务的任务状态,当调度任务的任务状态为完成状态时,主节点继续从目标防火墙的多于一种防护策略中选取目标防护策略进行测试。
步骤106,控制访问设备经由目标防火墙访问被访问设备。
在一个实施例中,计算机设备控制访问设备经由目标防火墙访问被访问设备,该计算机设备可以是主节点。
在一个实施例中,步骤106包括:获取访问设备的访问参数及被访问设备的被访问参数;根据防护类型、访问参数和被访问参数,生成防护测试规则下发至目标防火墙,以使目标防火墙按照防护测试规则,针对访问设备对于被访问设备的访问进行处理;根据被访问参数生成防护测试任务下发至访问设备,以使访问设备按照防护测试任务,经由目标防火墙访问被访问设备。
其中,访问设备的访问参数可以是访问设备的IP地址、域名等,被访问设备的被访问参数可以是被访问设备的IP地址、域名、访问端口等。防护类型可以是阻止访问、允许访问等。
具体地,参照图4,图4为又一个实施例中防火墙测试系统的结构框图。可以看到,主节点将防护测试规则下发至目标防火墙,以使目标防火墙按照防护测试规则,针对访问设备对于被访问设备的访问进行处理。
举例说明,根据防护类型为阻止访问、访问参数为IP地址1.1.1.1、被访问参数为IP地址2.2.2.2和端口80,生成防护测试规则(阻止访问,1.1.1.1,2.2.2.2,80),目标防火墙针对IP地址1.1.1.1服务器对IP地址2.2.2.2服务器的端口80的访问请求采取阻断措施。
具体地,继续参照图4,可以看到,主节点将防护测试任务下发至访问设备,以使访问设备按照防护测试任务,经由目标防火墙访问被访问设备。
在一个具体的实施例中,计算机设备根据被访问参数和访问次数生成防护测试任务,并将防护测试任务下发至访问设备。
举例说明,根据被访问参数为IP地址2.2.2.2和端口80、访问次数为2次生成防护测试任务(2.2.2.2,80,2)下发至访问模拟设备,访问模拟设备对IP地址2.2.2.2的被访问模拟设备的端口80发起访问请求,且访问请求次数为2次。
步骤108,根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙在目标防护策略下的防护测试结果。
其中,访问结果可以是成功访问或者未成功访问。防护测试结果可以是防护成功率,也可以是测试合格或者测试不合格等。
在一个实施例中,计算机设备根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙在目标防护策略下的防护测试结果。该计算机设备可以是主节点或者从节点。
在一个实施例中,步骤108包括:根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙的防护成功率;根据防护成功率确定目标防火墙在目标防护策略下的防护测试结果。
具体地,主节点将防护测试任务下发至访问模拟设备后,接收访问模拟设备返回的访问结果,根据访问结果确定目标防火墙的防护成功率。
在一个具体的实施例中,目标防火墙的防护成功率可根据防护测试任务所包括的总访问次数与访问成功次数确定。
在一个实施例中,根据被访问参数生成防护测试任务下发至访问设备,以使访问设备按照防护测试任务,经由目标防火墙访问被访问设备,包括:获取目标防火墙在目标防护策略下的防护测试预期结果;根据访问次数、被访问参数和防护测试预期结果生成防护测试任务;将防护测试任务下发至访问设备,以使访问设备根据对被访问设备的访问结果和防护测试预期结果,确定目标防火墙的防护成功率;防护成功率用于量化目标防火墙在目标防护策略下的防护测试结果。
举例说明,在防护类型为阻止访问时,访问设备未成功访问被访问设备即为防护测试预期结果,在防护类型为允许访问时,访问设备成功访问被访问设备即为防护测试预期结果。
具体地,主节点根据访问次数、被访问参数和防护测试预期结果生成防护测试任务,将防护测试任务下发至访问模拟设备,以使访问模拟设备根据对被访问设备的访问结果、防护测试预期结果以及访问次数,确定目标防火墙的防护成功率,并将防护成功率返回至主节点。这样,访问模拟设备执行完成防护测试任务,将防护成功率返回至主节点,避免访问模拟设备多次返回访问结果,节省了计算机资源。
在一个实施例中,目标防护策略包括防护类型;在防护类型为阻止访问时,访问设备未成功访问被访问设备表示防护成功,访问设备成功访问被访问设备表示防护失败;在防护类型为允许访问时,访问设备成功访问被访问设备时表示防护成功,访问设备未成功访问被访问设备表示防护失败。
具体地,主节点根据防护类型、访问参数和被访问参数,生成防护测试规则下发至目标防火墙,目标防火墙按照防护测试规则,针对访问设备对于被访问设备的访问进行处理。在防护类型为阻止访问时,若访问设备未成功访问被访问设备,表示防火墙防护成功,若访问设备成功访问被访问设备,表示防火墙防护失败;在防护类型为允许访问时,若访问设备成功访问被访问设备,表示防火墙防护成功,若访问设备未成功访问被访问设备,表示防火墙防护失败。
本实施例提供的防火墙测试方法,在实际应用中,能够在十分钟内感知防火墙各个防护策略的可用性情况,及时发现隐患,比如由于机房覆盖不足等原因导致的防护测试规则无法正常下发等。
上述防火墙测试方法中,从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略,按照目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备,控制访问设备经由目标防火墙访问被访问设备,并根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙在目标防护策略下的防护测试结果。这样,可针对防火墙的各种防护策略进行自动化测试,提高了防火墙测试的全面性,极大地降低了出现安全隐患的可能性。
在一个实施例中,根据被访问参数生成防护测试任务下发至访问设备,以使访问设备按照防护测试任务,经由目标防火墙访问被访问设备,包括:根据被访问参数生成防护测试任务;将防护测试任务下发至访问设备的第一请求响应服务进程,以使第一请求响应服务进程将防护测试任务添加至访问设备的任务队列后,触发访问设备的拨测进程从任务队列中依次读取防护测试任务并执行,并触发第一请求响应服务进程在防护测试任务执行完成后上报访问结果。
其中,拨测是指对防火墙配置防护测试规则后,调度访问模拟设备经由防火墙访问被访问模拟设备,以测试防护测试规则是否生效。拨测进程用于访问模拟设备经由防火墙向被访问模拟设备发起访问请求。访问设备的任务队列用于存储访问模拟设备的拨测任务。
具体地,从节点可包括第一请求响应服务进程和拨测进程。第一请求响应服务进程用于接收主节点下发的防护测试任务,将防护测试任务添加至访问设备的任务队列中;并且,在防护测试任务执行完成后,上报访问结果至主节点。拨测进程用于从访问设备的任务队列中依次读取防护测试任务并执行,对于其中一个防护测试任务,拨测进程从任务队列中读取该防护测试任务,根据该防护测试任务确定被访问模拟设备的被访问参数,按照被访问参数经由目标防火墙访问被访问模拟设备。
举例说明,参照图5,图5为再一个实施例中防火墙测试系统的结构框图。可以看到,访问模拟设备通过第一请求响应服务进程接收主节点下发的防护测试任务,将防护测试任务添加至访问设备的任务队列中。访问模拟设备通过拨测进程从访问设备的任务队列中读取防护测试任务,并执行防护测试任务。在防护测试任务执行完成后,访问模拟设备通过第一请求响应服务进程上报访问结果至主节点。
在一个具体的实施例中,第一请求响应服务进程可以是请求-响应协议,比如HTTP(HyperText Transfer Protocol,超文本传输协议)等。拨测进程可以是TCP(TransmissionControl Protocol,传输控制协议)等。
在一个具体的实施例中,根据被访问参数生成防护测试任务的步骤包括:根据访问次数和被访问参数生成防护测试任务。从节点接收主节点下发的防护测试任务,根据防护测试任务获取访问次数和被访问参数,按照访问次数和被访问参数对被访问模拟设备发起访问。
在一个具体的实施例中,从节点还包括被拨测进程。被拨测进程用于被访问模拟设备接收访问模拟设备的访问请求。可以理解,模拟设备集合中各模拟设备既可以作为访问设备,也可以作为被访问设备。当模拟设备作为访问设备时,通过拨测进程向被访问模拟设备发起访问请求,当模拟设备作为被访问设备时,通过被拨测进程接收访问模拟设备的访问请求。
举例说明,继续参照图5,可以看到,被拨测进程接收访问模拟设备的访问请求。
本实施例中,通过第一请求响应服务进程和拨测进程的配合,使得被访问模拟设备对访问模拟设备经由目标防火墙发起的访问请求进行处理,以测试目标防火墙的防护测试规则是否生效。
在一个实施例中,该方法还包括:通过任务调度进程执行基于调度任务,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备的步骤,以及创建与调度任务相对应的任务记录,以更新调度任务的任务状态的步骤;在防护测试规则下发至目标防火墙以及防护测试任务下发至访问设备后,将任务调度进程设置为阻塞状态;通过第二请求响应服务进程接收访问结果,并根据访问结果更新调度任务的任务状态;当调度任务的任务状态为完成状态时,解除任务调度进程的阻塞状态,通过任务调度进程清空下发至目标防火墙的防护测试规则。
具体地,主节点可包括任务调度进程和第二请求响应服务进程。任务调度进程可用于执行以下几种功能:
(一)从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略。
具体地,通过任务调度进程加载用于防护测试的目标防护策略。该目标防护策略可以是至少一个。
(二)根据目标防护策略生成调度任务,基于调度任务从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备。
具体地,通过任务调度进程,根据目标防护策略生成调度任务,并基于调度任务选取访问模拟设备以及被访问模拟设备。
(三)创建与调度任务相对应的任务记录,以更新调度任务的任务状态。
具体地,通过任务调度进程在数据库中创建与调度任务相对应的任务记录,该任务记录用于记录调度任务的任务状态。
(四)将防护测试规则下发至目标防火墙。
具体地,通过任务调度进程将防护测试规则下发至目标防火墙。
(五)将防护测试任务下发至访问设备。
具体地,通过任务调度进程将防护测试任务下发至访问设备。防护测试任务可以是JSON(JavaScript Object Notation,JS对象简谱)数据。
(六)当调度任务的任务状态为完成状态时,清空下发至目标防火墙的防护测试规则。
具体地,当调度任务的任务状态为完成状态时,解除任务调度进程的阻塞状态,通过任务调度进程清空下发至目标防火墙的防护测试规则。
(七)更新调度任务的任务状态为结束状态。
具体地,通过任务调度进程更新数据库中调度任务的任务状态为结束状态。
可以理解,在解除任务调度进程的阻塞状态后,任务调度进程可再次执行加载用于防护测试的目标防护策略这一步骤。
举例说明,继续参照图5,可以看到,主节点通过任务调度进程将防护测试规则下发至目标防火墙,通过任务调度进程将防护测试任务下发至访问设备,通过任务调度进程清空下发至目标防火墙的防护测试规则,并通过任务调度进程更新数据库中调度任务的任务状态。
具体地,在主节点通过任务调度进程将防护测试规则下发至目标防火墙,以及将防护测试任务下发至访问设备后,任务调度进程可设置为阻塞状态,此时通过第二请求响应服务进程接收从节点上传的访问结果,根据访问结果更新调度任务的任务状态。
举例说明,继续参照图5,可以看到,通过第二请求响应服务进程接收访问模拟设备上传的访问结果,根据访问结果更新调度任务的任务状态。
在一个具体的实施例中,任务调度进程和第二请求响应服务进程可以是请求-响应协议,比如HTTP(HyperText Transfer Protocol,超文本传输协议)等。
本实施例中,通过任务调度进程和第二请求响应服务进程的配合,使得访问模拟设备经由目标防火墙向被访问模拟设备发起访问请求,以测试目标防火墙的防护测试规则是否生效。
在一个实施例中,该方法还包括:通过任务调度进程将调度任务传递至任务检查进程;通过任务检查进程查找与调度任务相对应的访问日志,并根据查找结果确定目标防火墙在目标防护策略下的日志记录测试结果。
其中,访问日志用于记录经由目标防火墙的访问记录。
在一个具体的实施例中,访问日志可存储在搜索服务器中,比如Elasticsearch等。
在一个具体的实施例中,访问日志可包括流量日志、击中日志等。流量日志是经由目标防火墙的请求访问记录,其至少包括访问模拟设备、被访问模拟设备及请求访问次数。击中日志是目标防火墙的成功防护记录,比如在防护类型为阻止访问时,访问模拟设备未成功访问被访问模拟设备,将该条访问记录计入击中日志中。
具体地,主节点还包括任务检查进程。任务检查进程用于确定目标防火墙在目标防护策略下的日志记录测试结果,以查验访问日志是否存在漏写的情况;并且,任务检查进程将日志记录测试结果写入数据库。
举例说明,继续参照图5,可以看到,主节点通过任务检查进程在搜索服务器中查找与调度任务相对应的访问日志,根据查找结果确定目标防火墙在目标防护策略下的日志记录测试结果,并通过任务检查进程将日志记录测试结果写入数据库。
在一个具体的实施例中,日志记录测试结果可以是日志写入成功率。通过日志写入成功率来量化日志记录测试结果。该日志写入成功率可由任务检查进程基于查找结果和访问次数分析得到。
本实施例中,由于查验日志耗费大量时间,任务调度进程和任务检查进程分别执行不同的任务,其中通过任务检查进程查验访问日志是否存在漏写的情况,从而提高防火墙性能测试效率。
在一个实施例中,控制访问设备经由目标防火墙访问被访问设备,包括:控制访问设备经由目标防火墙向被访问设备发送访问信息,以使被访问设备向访问设备反馈应答信息;访问信息和应当信息用于判定访问设备是否成功访问被访问设备。
其中,访问信息可以是由数字、字母、文字等至少一种元素所构成的数据包。
具体地,访问模拟设备与被访问模拟设备之间的拨测过程包括建立连接、收发数据包和关闭连接。参照图6,图6为一个实施例中访问模拟设备与被访问模拟设备的通信示意图。可以看到,访问模拟设备与被访问模拟设备之间先建立连接,接着由访问模拟设备向被访问模拟设备发送访问信息,被访问模拟设备在接收到访问信息时,向访问模拟设备反馈应答信息。当访问信息和应答信息一致时,判定访问模拟设备成功访问被访问模拟设备,当访问信息和应答信息不一致时,判定访问模拟设备访问被访问模拟设备失败。
本实施例中,通过访问信息和应答信息检测访问设备是否成功访问被访问设备,提高了对目标防火墙测试的准确性。
本申请还提供一种应用场景,该应用场景应用上述的防火墙测试方法。该应用场景具体可以是:目标防火墙在企业内部网络的服务器与外部网络的服务器之间形成保护屏障,以保护企业内部网络的服务器的数据安全。
具体地,参照图7,该防火墙测试方法在该应用场景的应用如下:
步骤702,从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略。
具体地,主节点通过任务调度进程从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略。
步骤704,根据目标防护策略生成调度任务,基于调度任务从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备,以及至少一个用于模拟被访问设备的模拟设备。
具体地,主节点通过任务调度进程,根据目标防护策略生成调度任务,基于调度任务从模拟设备集合中选取至少一个访问模拟设备,以及至少一个被访问模拟设备。
并且,主节点通过任务调度进程在数据库中创建与调度任务相对应的任务记录,以更新调度任务的任务状态。
步骤706,获取访问设备的访问参数及被访问设备的被访问参数,根据防护类型、访问参数和被访问参数,生成防护测试规则下发至目标防火墙,以使目标防火墙按照防护测试规则,针对访问设备对于被访问设备的访问进行处理。
步骤708,根据被访问参数生成防护测试任务下发至访问设备,以使访问设备按照防护测试任务,经由目标防火墙访问被访问设备。
具体地,主节点根据被访问参数生成防护测试任务,将防护测试任务下发至访问设备的第一请求响应服务进程,以使第一请求响应服务进程将防护测试任务添加至访问设备的任务队列后,触发访问设备的拨测进程从任务队列中依次读取防护测试任务并执行,并触发第一请求响应服务进程在防护测试任务执行完成后上报访问结果。
在一个具体的实施例中,主节点获取目标防火墙在目标防护策略下的防护测试预期结果,根据访问次数、被访问参数和防护测试预期结果生成防护测试任务,将防护测试任务下发至访问设备,以使访问设备根据对被访问设备的访问结果和防护测试预期结果,确定目标防火墙的防护成功率,防护成功率用于量化目标防火墙在目标防护策略下的防护测试结果。这样,在防护测试任务执行完成后,从节点可将防护成功率返回至主节点,避免多次返回访问结果,节省了计算机资源。
步骤710,根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙在目标防护策略下的防护测试结果。
在一个具体的实施例中,主节点接收从节点上传的访问结果,根据访问结果确定目标防火墙的防护成功率,根据防护成功率确定目标防火墙在目标防护策略下的防护测试结果。
在一个具体的实施例中,在防护测试规则下发至目标防火墙以及防护测试任务下发至访问设备后,将任务调度进程设置为阻塞状态;通过第二请求响应服务进程接收访问结果,并根据访问结果更新调度任务的任务状态;当调度任务的任务状态为完成状态时,解除任务调度进程的阻塞状态,通过任务调度进程清空下发至目标防火墙的防护测试规则,并且,返回从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略的步骤。
在一个具体的实施例中,通过任务调度进程将调度任务传递至任务检查进程,通过任务检查进程查找与调度任务相对应的访问日志,并根据查找结果确定目标防火墙在目标防护策略下的日志记录测试结果。
本实施例提供的防火墙测试方法,可针对防火墙的各种防护策略进行自动化测试,提高了防火墙测试的全面性,极大地降低了出现安全隐患的可能性。
应该理解的是,虽然图2、图7的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2、图7中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图8所示,提供了一种防火墙测试装置,该装置可以采用软件模块或硬件模块,或者是二者的结合成为计算机设备的一部分,该装置具体包括:选取模块802、控制模块804和确定模块806,其中:
选取模块802,用于从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略;
选取模块802,还用于按照目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备;
控制模块804,用于控制访问设备经由目标防火墙访问被访问设备;
确定模块806,用于根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙在目标防护策略下的防护测试结果。
在一个实施例中,选取模块802,还用于:根据目标防护策略生成调度任务;基于调度任务,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备;创建与调度任务相对应的任务记录,以更新调度任务的任务状态;防火墙测试装置还包括返回模块,返回模块,用于:当调度任务的任务状态为完成状态时,返回从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略的步骤。
在一个实施例中,控制模块804,还用于:获取访问设备的访问参数及被访问设备的被访问参数;根据防护类型、访问参数和被访问参数,生成防护测试规则下发至目标防火墙,以使目标防火墙按照防护测试规则,针对访问设备对于被访问设备的访问进行处理;根据被访问参数生成防护测试任务下发至访问设备,以使访问设备按照防护测试任务,经由目标防火墙访问被访问设备。
在一个实施例中,控制模块804,还用于:根据被访问参数生成防护测试任务;将防护测试任务下发至访问设备的第一请求响应服务进程,以使第一请求响应服务进程将防护测试任务添加至访问设备的任务队列后,触发访问设备的拨测进程从任务队列中依次读取防护测试任务并执行,并触发第一请求响应服务进程在防护测试任务执行完成后上报访问结果。
在一个实施例中,防火墙测试装置还包括执行模块、设置模块、更新模块和解除模块,执行模块,用于:通过任务调度进程执行基于调度任务,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备的步骤,以及创建与调度任务相对应的任务记录,以更新调度任务的任务状态的步骤;设置模块,用于:在防护测试规则下发至目标防火墙以及防护测试任务下发至访问设备后,将任务调度进程设置为阻塞状态;更新模块,用于:通过第二请求响应服务进程接收访问结果,并根据访问结果更新调度任务的任务状态;解除模块,用于:当调度任务的任务状态为完成状态时,解除任务调度进程的阻塞状态,通过任务调度进程清空下发至目标防火墙的防护测试规则。
在一个实施例中,防火墙测试装置还包括传递模块和查找模块,传递模块,用于:通过任务调度进程将调度任务传递至任务检查进程;查找模块,用于:通过任务检查进程查找与调度任务相对应的访问日志,并根据查找结果确定目标防火墙在目标防护策略下的日志记录测试结果。
在一个实施例中,控制模块804,还用于:获取目标防火墙在目标防护策略下的防护测试预期结果;根据访问次数、被访问参数和防护测试预期结果生成防护测试任务;将防护测试任务下发至访问设备,以使访问设备根据对被访问设备的访问结果和防护测试预期结果,确定目标防火墙的防护成功率;防护成功率用于量化目标防火墙在目标防护策略下的防护测试结果。
在一个实施例中,确定模块806,还用于:根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙的防护成功率;根据防护成功率确定目标防火墙在目标防护策略下的防护测试结果。
在一个实施例中,目标防护策略包括防护类型;在防护类型为阻止访问时,访问设备未成功访问被访问设备表示防护成功,访问设备成功访问被访问设备表示防护失败;在防护类型为允许访问时,访问设备成功访问被访问设备时表示防护成功,访问设备未成功访问被访问设备表示防护失败。
在一个实施例中,控制模块804,还用于:控制访问设备经由目标防火墙向被访问设备发送访问信息,以使被访问设备向访问设备反馈应答信息;访问信息和应当信息用于判定访问设备是否成功访问被访问设备。
关于防火墙测试装置的具体限定可以参见上文中对于防火墙测试方法的限定,在此不再赘述。上述防火墙测试装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
上述防火墙测试装置,从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略,按照目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备,控制访问设备经由目标防火墙访问被访问设备,并根据访问设备对被访问设备进行访问的访问结果,确定目标防火墙在目标防护策略下的防护测试结果。这样,可针对防火墙的各种防护策略进行自动化测试,提高了防火墙测试的全面性,极大地降低了出现安全隐患的可能性。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储防火墙测试数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种防火墙测试方法。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (15)
1.一种防火墙测试方法,其特征在于,所述方法包括:
从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略;
按照所述目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备;
控制所述访问设备经由所述目标防火墙访问所述被访问设备;
根据所述访问设备对所述被访问设备进行访问的访问结果,确定所述目标防火墙在所述目标防护策略下的防护测试结果。
2.根据权利要求1所述的方法,其特征在于,所述按照所述目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备,包括:
根据所述目标防护策略生成调度任务;
基于所述调度任务,从所述模拟设备集合中选取至少一个用于模拟所述访问设备的模拟设备以及至少一个用于模拟所述被访问设备的模拟设备;
创建与所述调度任务相对应的任务记录,以更新所述调度任务的任务状态;
所述方法还包括:
当所述调度任务的任务状态为完成状态时,返回所述从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略的步骤。
3.根据权利要求2所述的方法,其特征在于,所述控制所述访问设备经由所述目标防火墙访问所述被访问设备,包括:
获取所述访问设备的访问参数及所述被访问设备的被访问参数;
根据防护类型、所述访问参数和所述被访问参数,生成防护测试规则下发至所述目标防火墙,以使所述目标防火墙按照所述防护测试规则,针对所述访问设备对于所述被访问设备的访问进行处理;
根据所述被访问参数生成防护测试任务下发至所述访问设备,以使所述访问设备按照所述防护测试任务,经由所述目标防火墙访问所述被访问设备。
4.根据权利要求3所述的方法,其特征在于,所述根据所述被访问参数生成防护测试任务下发至所述访问设备,以使所述访问设备按照所述防护测试任务,经由所述目标防火墙访问所述被访问设备,包括:
根据所述被访问参数生成所述防护测试任务;
将所述防护测试任务下发至所述访问设备的第一请求响应服务进程,以使所述第一请求响应服务进程将所述防护测试任务添加至所述访问设备的任务队列后,触发所述访问设备的拨测进程从所述任务队列中依次读取防护测试任务并执行,并触发所述第一请求响应服务进程在防护测试任务执行完成后上报访问结果。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
通过任务调度进程执行所述基于所述调度任务,从所述模拟设备集合中选取至少一个用于模拟所述访问设备的模拟设备以及至少一个用于模拟所述被访问设备的模拟设备的步骤,以及所述创建与所述调度任务相对应的任务记录,以更新所述调度任务的任务状态的步骤;
在所述防护测试规则下发至所述目标防火墙以及所述防护测试任务下发至所述访问设备后,将所述任务调度进程设置为阻塞状态;
通过第二请求响应服务进程接收所述访问结果,并根据所述访问结果更新所述调度任务的任务状态;
当所述调度任务的任务状态为完成状态时,解除所述任务调度进程的阻塞状态,通过所述任务调度进程清空下发至所述目标防火墙的防护测试规则。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
通过所述任务调度进程将所述调度任务传递至任务检查进程;
通过所述任务检查进程查找与所述调度任务相对应的访问日志,并根据查找结果确定所述目标防火墙在所述目标防护策略下的日志记录测试结果。
7.根据权利要求3所述的方法,其特征在于,所述根据所述被访问参数生成防护测试任务下发至所述访问设备,以使所述访问设备按照所述防护测试任务,经由所述目标防火墙访问所述被访问设备,包括:
获取所述目标防火墙在所述目标防护策略下的防护测试预期结果;
根据访问次数、所述被访问参数和所述防护测试预期结果生成所述防护测试任务;
将所述防护测试任务下发至所述访问设备,以使所述访问设备根据对所述被访问设备的访问结果和所述防护测试预期结果,确定所述目标防火墙的防护成功率;所述防护成功率用于量化所述目标防火墙在所述目标防护策略下的防护测试结果。
8.根据权利要求1所述的方法,其特征在于,所述根据所述访问设备对所述被访问设备进行访问的访问结果,确定所述目标防火墙在所述目标防护策略下的防护测试结果,包括:
根据所述访问设备对所述被访问设备进行访问的访问结果,确定所述目标防火墙的防护成功率;
根据所述防护成功率确定所述目标防火墙在所述目标防护策略下的防护测试结果。
9.根据权利要求8所述的方法,其特征在于,所述目标防护策略包括防护类型;在所述防护类型为阻止访问时,所述访问设备未成功访问所述被访问设备表示防护成功,所述访问设备成功访问所述被访问设备表示防护失败;在所述防护类型为允许访问时,所述访问设备成功访问所述被访问设备时表示防护成功,所述访问设备未成功访问所述被访问设备表示防护失败。
10.根据权利要求9所述的方法,其特征在于,所述控制所述访问设备经由所述目标防火墙访问所述被访问设备,包括:
控制所述访问设备经由所述目标防火墙向所述被访问设备发送访问信息,以使所述被访问设备向所述访问设备反馈应答信息;所述访问信息和所述应当信息用于判定所述访问设备是否成功访问所述被访问设备。
11.一种防火墙测试装置,其特征在于,所述装置包括:
选取模块,用于从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略;
所述选取模块,还用于按照所述目标防护策略,从模拟设备集合中选取至少一个用于模拟访问设备的模拟设备以及至少一个用于模拟被访问设备的模拟设备;
控制模块,用于控制所述访问设备经由所述目标防火墙访问所述被访问设备;
确定模块,用于根据所述访问设备对所述被访问设备进行访问的访问结果,确定所述目标防火墙在所述目标防护策略下的防护测试结果。
12.根据权利要求11所述的装置,其特征在于,所述选取模块,还用于:根据所述目标防护策略生成调度任务;基于所述调度任务,从所述模拟设备集合中选取至少一个用于模拟所述访问设备的模拟设备以及至少一个用于模拟所述被访问设备的模拟设备;创建与所述调度任务相对应的任务记录,以更新所述调度任务的任务状态;返回模块,用于当所述调度任务的任务状态为完成状态时,返回所述从目标防火墙的多于一种防护策略中,选取用于测试的目标防护策略的步骤。
13.根据权利要求11所述的装置,其特征在于,所述目标防护策略包括防护类型;所述控制模块,还用于:获取所述访问设备的访问参数及所述被访问设备的被访问参数;根据所述防护类型、所述访问参数和所述被访问参数,生成防护测试规则下发至所述目标防火墙,以使所述目标防火墙按照所述防护测试规则,针对所述访问设备对于所述被访问设备的访问进行处理;根据所述被访问参数生成防护测试任务下发至所述访问设备,以使所述访问设备按照所述防护测试任务,经由所述目标防火墙访问所述被访问设备。
14.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至10中任一项所述的方法的步骤。
15.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至10中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011285261.4A CN112398857B (zh) | 2020-11-17 | 2020-11-17 | 防火墙测试方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011285261.4A CN112398857B (zh) | 2020-11-17 | 2020-11-17 | 防火墙测试方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112398857A true CN112398857A (zh) | 2021-02-23 |
| CN112398857B CN112398857B (zh) | 2023-07-25 |
Family
ID=74600518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011285261.4A Active CN112398857B (zh) | 2020-11-17 | 2020-11-17 | 防火墙测试方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112398857B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113391967A (zh) * | 2021-06-16 | 2021-09-14 | 杭州迪普科技股份有限公司 | 防火墙的包过滤测试方法及装置 |
| CN114448665A (zh) * | 2021-12-22 | 2022-05-06 | 天翼云科技有限公司 | 一种web应用防火墙规则检测方法、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101115057A (zh) * | 2006-07-27 | 2008-01-30 | 中兴通讯股份有限公司 | 基于策略管理的防火墙系统和调度方法 |
| CN103746885A (zh) * | 2014-01-28 | 2014-04-23 | 中国人民解放军信息安全测评认证中心 | 一种面向下一代防火墙的测试系统和测试方法 |
| US9553845B1 (en) * | 2013-09-30 | 2017-01-24 | F5 Networks, Inc. | Methods for validating and testing firewalls and devices thereof |
| CN109067779A (zh) * | 2018-09-17 | 2018-12-21 | 平安科技(深圳)有限公司 | 基于安全防护的优化防火墙的方法、装置及计算机设备 |
| CN111641601A (zh) * | 2020-05-12 | 2020-09-08 | 中信银行股份有限公司 | 防火墙管理方法、装置、设备及存储介质 |
-
2020
- 2020-11-17 CN CN202011285261.4A patent/CN112398857B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101115057A (zh) * | 2006-07-27 | 2008-01-30 | 中兴通讯股份有限公司 | 基于策略管理的防火墙系统和调度方法 |
| US9553845B1 (en) * | 2013-09-30 | 2017-01-24 | F5 Networks, Inc. | Methods for validating and testing firewalls and devices thereof |
| CN103746885A (zh) * | 2014-01-28 | 2014-04-23 | 中国人民解放军信息安全测评认证中心 | 一种面向下一代防火墙的测试系统和测试方法 |
| CN109067779A (zh) * | 2018-09-17 | 2018-12-21 | 平安科技(深圳)有限公司 | 基于安全防护的优化防火墙的方法、装置及计算机设备 |
| CN111641601A (zh) * | 2020-05-12 | 2020-09-08 | 中信银行股份有限公司 | 防火墙管理方法、装置、设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113391967A (zh) * | 2021-06-16 | 2021-09-14 | 杭州迪普科技股份有限公司 | 防火墙的包过滤测试方法及装置 |
| CN114448665A (zh) * | 2021-12-22 | 2022-05-06 | 天翼云科技有限公司 | 一种web应用防火墙规则检测方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112398857B (zh) | 2023-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11017107B2 (en) | Pre-deployment security analyzer service for virtual computing resources | |
| US10904277B1 (en) | Threat intelligence system measuring network threat levels | |
| Zhang et al. | An IoT honeynet based on multiport honeypots for capturing IoT attacks | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| Wang et al. | ThingPot: an interactive Internet-of-Things honeypot | |
| US12058148B2 (en) | Distributed threat sensor analysis and correlation | |
| US11637861B2 (en) | Reachability graph-based safe remediations for security of on-premise and cloud computing environments | |
| CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
| Pacheco et al. | Anomaly behavior analysis for IoT network nodes | |
| CN112398857B (zh) | 防火墙测试方法、装置、计算机设备和存储介质 | |
| Djap et al. | Xb-pot: Revealing honeypot-based attacker’s behaviors | |
| CN111262875B (zh) | 服务器安全监测方法、装置、系统及存储介质 | |
| Baiardi et al. | Twin based continuous patching to minimize cyber risk | |
| US20080072321A1 (en) | System and method for automating network intrusion training | |
| Futoransky et al. | Simulating cyber-attacks for fun and profit | |
| CN114189383A (zh) | 封禁方法、装置、电子设备、介质和计算机程序产品 | |
| CN111245800B (zh) | 网络安全测试方法和装置、存储介质、电子装置 | |
| Peacock et al. | An exploration of some security issues within the BACnet protocol | |
| CN116915516B (zh) | 软件跨云交付方法、中转服务器、目标云及存储介质 | |
| KR20210106896A (ko) | 보안 통제 관리 시스템 및 그 방법 | |
| KR101458930B1 (ko) | 멀티 노드를 이용하는 스마트 단말 퍼징 장치 및 그 방법 | |
| Pacheco et al. | Security framework for IoT cloud services | |
| Karmakar et al. | A trust-aware openflow switching framework for software defined networks (SDN) | |
| WO2023038957A1 (en) | Monitoring a software development pipeline | |
| Mughal et al. | A centralized reputation management scheme for isolating malicious controller (s) in distributed software-defined networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40038347 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |