CN111464552A - 一种基于包过滤规则的防火墙自动化测试*** - Google Patents
一种基于包过滤规则的防火墙自动化测试*** Download PDFInfo
- Publication number
- CN111464552A CN111464552A CN202010282261.2A CN202010282261A CN111464552A CN 111464552 A CN111464552 A CN 111464552A CN 202010282261 A CN202010282261 A CN 202010282261A CN 111464552 A CN111464552 A CN 111464552A
- Authority
- CN
- China
- Prior art keywords
- test
- rule
- packet filtering
- firewall
- system based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种基于包过滤规则的防火墙自动化测试***,包过滤规则的每个字段编写为一个测试用例,然后将测试用例脚本化,所述测试用例变为测试脚本。依次执行所有测试用例,测试用例在页面上创建规则并其下发到工业设备上,然后校验是否下发成功,并对下发成功的规则与调用模拟工具产生的报文相匹配,测试用例自动将测试结果回填,并生成测试报告。本发明实施例提供一种基于包过滤规则的防火墙自动化测试***,以解决现有技术中由于人工对包过滤规则测试,而导致的测试效率低下、失误率高和测试时间延长的问题。
Description
技术领域
本发明实施例涉及防火墙技术领域,具体涉及一种基于包过滤规则的防火墙自动化测试***。
背景技术
随着信息技术的发展,工业控制***逐步走向联网化。很多工业控制协议逐渐运行于工业以太网上,针对工业控制行业的政策法规及技术要求越来越高。
工控防火墙通过对工业控制***边界及工业控制***内部不同控制区域之间进行边界防护,因此,包过滤规则的准确性及稳定性尤其重要。但是由于工控行业专有协议及网络环境复杂多变,手动测试耗费人力较大,因此使用自动化测试包过滤规则的准确性及稳定性具有较高的应用价值。
现有包过滤规则测试主要是人工操作,通过点击客户端工具模拟发放不同类型报文经过防火墙等设备,测试是否符合防火墙的策略配置,以此来验证防火墙等工业控制安全设备是否能够起到精准的边界防护作用。但是人工手动测试效率低下,且人工操作极易出现失误,且包过滤规则数目较大时,使测试时间严重延长,甚至影响产品的发布。
发明内容
为此,本发明实施例提供一种基于包过滤规则的防火墙自动化测试***,以解决现有技术中由于人工对包过滤规则测试,而导致的测试效率低下、失误率高和测试时间延长的问题。
为了实现上述目的,本发明实施例提供如下技术方案:
根据本发明实施例的一种基于包过滤规则的防火墙自动化测试***,包括以下步骤:
S101、首先将工业控制***的防火墙的工作模式切换为防护模式;
S102、将包过滤规则的每个字段编写为一个测试用例,然后将测试用例脚本化,所述测试用例变为测试脚本;
S103、依次执行所有测试用例,测试用例在页面上创建规则并其下发到工业设备上;
S104、通过测试脚本自动校验规则是否下发成功,若规则下发失败,则打印错误结果并保存相应日志;若规则下发成功,继续校验下发的规则是否与测试用例相符;
S105、所述规则下发成功,调用模拟工具,所述工业控制***产生与测试用例相匹配的报文数据;
S106、通过测试脚本校验规则与报文数据是否匹配,若匹配失败,则将错误结果打印并保存在相应日志中;若匹配成功,则继续执行下一测试用例;
S107、测试用例自动将测试结果回填,并生成测试报告。
进一步地,在步骤S101中,所述防火墙的工作模式包括全通模式、验证模式和防护模式。
进一步地,在步骤S103中,所述规则包括前台规则和后台规则。
进一步地,在步骤S102中,所述测试用例包括功能用例、性能用例和/ 或稳定用例。
进一步地,在步骤S105中,所述模拟工具选用modscan调试工具。
本发明实施例具有如下优点:
本发明专利公开了一种基于包过滤规则的防火墙自动化测试***,通过包过滤规则各字段的组合,使用自动化测试脚本自动发送所有类型报文,节省了人力点击耗费的时间以及避免失误。本发明自动创建防火墙规则,自动校验匹配结果,一键式输出测试报告,一目了然,使不熟悉协议的人也能完成测试。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实提供的一种基于包过滤规则的防火墙自动化测试***的流程图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明公开了一种基于包过滤规则的防火墙自动化测试***,包括以下步骤:首先将工业控制***的防火墙的工作模式切换为防护模式;将包过滤规则的每个字段编写为一个测试用例,然后将测试用例脚本化,所述测试用例变为测试脚本;依次执行所有测试用例,测试用例在页面上创建规则并其下发到工业设备上;通过测试脚本自动校验规则是否下发成功,若规则下发失败,则打印错误结果并保存相应日志;若规则下发成功,继续校验下发的规则是否与测试用例相符;所述规则下发成功,调用模拟工具,所述工业控制***产生与测试用例相匹配的报文数据;通过测试脚本校验规则与报文数据是否匹配,若匹配失败,则将错误结果打印并保存在相应日志中;若匹配成功,则继续执行下一测试用例;测试用例自动将测试结果回填,并生成测试报告。根据包过滤规则各字段的组合,使用自动化测试脚本自动发送所有类型报文,节省了人力点击耗费的时间以及避免失误。自动创建防火墙规则,自动校验匹配结果,一键式输出测试报告,一目了然,使不熟悉协议的人也能完成测试。
防火墙的工作模式包括全通模式、验证模式和防护模式。规则包括前台规则和后台规则。测试用例包括功能用例、性能用例和/或稳定用例。模拟工具选用modscan调试工具。
实施例一:
将工业控制***的防火墙的工作模式切换为防护模式;将包过滤规则中的源IP、目的IP设置成模拟工具两端的实际IP,源端口不填,服务选择modbus,动作允许,不选择时间对象;在页面上创建此规则下发,下发成功后,在后台用命令查询规则字段是否正确;使用模拟工具构造modbus报文通过工业设备,从页面或后台查看规则匹配次数增加,modbus报文正常通过,则测试用例通过,否则测试用例失败。
实施例二:
将工业控制***的防火墙的工作模式切换为防护模式;将包过滤规则中的源IP、目的IP设置成模拟工具两端的实际IP,源端口不填,服务选择modbus,丢弃允许,不选择时间对象;在页面上创建此规则下发,下发成功后,在后台用命令查询规则字段是否正确;使用模拟工具构造modbus报文通过工业设备,从页面或后台查看规则匹配次数增加,modbus报文正常通过,则测试用例通过,否则测试用例失败。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (5)
1.一种基于包过滤规则的防火墙自动化测试***,其特征在于,包括以下步骤:
S101、首先将工业控制***的防火墙的工作模式切换为防护模式;
S102、将包过滤规则的每个字段编写为一个测试用例,然后将测试用例脚本化,所述测试用例变为测试脚本;
S103、依次执行所有测试用例,测试用例在页面上创建规则并其下发到工业设备上;
S104、通过测试脚本自动校验规则是否下发成功,若规则下发失败,则打印错误结果并保存相应日志;若规则下发成功,继续校验下发的规则是否与测试用例相符;
S105、所述规则下发成功,调用模拟工具,所述工业控制***产生与测试用例相匹配的报文数据;
S106、通过测试脚本校验规则与报文数据是否匹配,若匹配失败,则将错误结果打印并保存在相应日志中;若匹配成功,则继续执行下一测试用例;
S107、测试用例自动将测试结果回填,并生成测试报告。
2.根据权利要求1所述的一种基于包过滤规则的防火墙自动化测试***,其特征在于:在步骤S101中,所述防火墙的工作模式包括全通模式、验证模式和防护模式。
3.根据权利要求1所述的一种基于包过滤规则的防火墙自动化测试***,其特征在于:在步骤S103中,所述规则包括前台规则和后台规则。
4.根据权利要求1所述的一种基于包过滤规则的防火墙自动化测试***,其特征在于:在步骤S102中,所述测试用例包括功能用例、性能用例和/或稳定用例。
5.根据权利要求1所述的一种基于包过滤规则的防火墙自动化测试***,其特征在于:在步骤S105中,所述模拟工具选用modscan调试工具。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010282261.2A CN111464552B (zh) | 2020-04-11 | 2020-04-11 | 一种基于包过滤规则的防火墙自动化测试*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010282261.2A CN111464552B (zh) | 2020-04-11 | 2020-04-11 | 一种基于包过滤规则的防火墙自动化测试*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111464552A true CN111464552A (zh) | 2020-07-28 |
| CN111464552B CN111464552B (zh) | 2022-11-15 |
Family
ID=71681050
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010282261.2A Active CN111464552B (zh) | 2020-04-11 | 2020-04-11 | 一种基于包过滤规则的防火墙自动化测试*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111464552B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112260886A (zh) * | 2020-09-22 | 2021-01-22 | 武汉思普崚技术有限公司 | 一种防火墙设备稳定性测试方法、存储介质及*** |
| CN113391967A (zh) * | 2021-06-16 | 2021-09-14 | 杭州迪普科技股份有限公司 | 防火墙的包过滤测试方法及装置 |
| CN114257426A (zh) * | 2021-12-09 | 2022-03-29 | 山石网科通信技术股份有限公司 | 背景流量生成方法、装置、电子设备和存储介质 |
| CN115174219A (zh) * | 2022-07-06 | 2022-10-11 | 哈尔滨工业大学(威海) | 一种可适配多种工业防火墙的管理*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108197021A (zh) * | 2017-12-28 | 2018-06-22 | 深圳市彬讯科技有限公司 | 一种web***自动化测试方法、装置、设备及存储介质 |
| CN108196825A (zh) * | 2017-12-28 | 2018-06-22 | 新华三大数据技术有限公司 | 软件项目的构建方法及*** |
| CN109254912A (zh) * | 2018-08-13 | 2019-01-22 | 北京金堤科技有限公司 | 一种自动化测试的方法及装置 |
| CN110618942A (zh) * | 2019-09-20 | 2019-12-27 | 北京天地和兴科技有限公司 | 一种工业控制协议细粒度控制的快速测试方法 |
| CN110677322A (zh) * | 2019-09-27 | 2020-01-10 | 杭州九略智能科技有限公司 | 一种基于Python语言的工控安全设备自动化测试***及方法 |
-
2020
- 2020-04-11 CN CN202010282261.2A patent/CN111464552B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108197021A (zh) * | 2017-12-28 | 2018-06-22 | 深圳市彬讯科技有限公司 | 一种web***自动化测试方法、装置、设备及存储介质 |
| CN108196825A (zh) * | 2017-12-28 | 2018-06-22 | 新华三大数据技术有限公司 | 软件项目的构建方法及*** |
| CN109254912A (zh) * | 2018-08-13 | 2019-01-22 | 北京金堤科技有限公司 | 一种自动化测试的方法及装置 |
| CN110618942A (zh) * | 2019-09-20 | 2019-12-27 | 北京天地和兴科技有限公司 | 一种工业控制协议细粒度控制的快速测试方法 |
| CN110677322A (zh) * | 2019-09-27 | 2020-01-10 | 杭州九略智能科技有限公司 | 一种基于Python语言的工控安全设备自动化测试***及方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112260886A (zh) * | 2020-09-22 | 2021-01-22 | 武汉思普崚技术有限公司 | 一种防火墙设备稳定性测试方法、存储介质及*** |
| CN112260886B (zh) * | 2020-09-22 | 2022-06-24 | 武汉思普崚技术有限公司 | 一种防火墙设备稳定性测试方法、存储介质及*** |
| CN113391967A (zh) * | 2021-06-16 | 2021-09-14 | 杭州迪普科技股份有限公司 | 防火墙的包过滤测试方法及装置 |
| CN113391967B (zh) * | 2021-06-16 | 2023-02-07 | 杭州迪普科技股份有限公司 | 防火墙的包过滤测试方法及装置 |
| CN114257426A (zh) * | 2021-12-09 | 2022-03-29 | 山石网科通信技术股份有限公司 | 背景流量生成方法、装置、电子设备和存储介质 |
| CN114257426B (zh) * | 2021-12-09 | 2024-05-03 | 山石网科通信技术股份有限公司 | 背景流量生成方法、装置、电子设备和存储介质 |
| CN115174219A (zh) * | 2022-07-06 | 2022-10-11 | 哈尔滨工业大学(威海) | 一种可适配多种工业防火墙的管理*** |
| CN115174219B (zh) * | 2022-07-06 | 2024-04-19 | 哈尔滨工业大学(威海) | 一种可适配多种工业防火墙的管理*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111464552B (zh) | 2022-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111464552B (zh) | 一种基于包过滤规则的防火墙自动化测试*** | |
| CN109802852B (zh) | 应用于网络靶场的网络仿真拓扑的构建方法及*** | |
| CN108366067B (zh) | 电力***通用服务协议一致性测试***及方法 | |
| CN101841436B (zh) | Ipfix服务器性能的测试方法、装置和*** | |
| CN110249593A (zh) | 根据变电站拓扑规范配置ied过程总线网络交换机的***和方法 | |
| CN104980317A (zh) | 一种调度数据网设备的自动测试***及测试方法 | |
| CN113612654B (zh) | 一种基于数据库的车载网关功能测试方法 | |
| CN105162646A (zh) | 一种多协议接口测试***及方法 | |
| Magro et al. | Safety related functions with IEC 61850 GOOSE messaging | |
| CN110618942A (zh) | 一种工业控制协议细粒度控制的快速测试方法 | |
| US20190129392A1 (en) | Method, device, and computer program for configuring an intelligent electronic device | |
| CN110677322B (zh) | 一种基于Python语言的工控安全设备自动化测试***及方法 | |
| KR20010057434A (ko) | 임의 가상망 생성에 기반한 라우팅 시험 방법 | |
| Borsatti et al. | Performance of service function chaining on the OpenStack cloud platform | |
| Quincozes et al. | Survey and Comparison of SDN Controllers for Teleprotection and Control Power Systems. | |
| CN105515890A (zh) | OpenFlow协议一致性测试方法与设备 | |
| CN104426715A (zh) | 一种分布式测试工具控制方法 | |
| Miller et al. | Structural analysis of protocol specifications and generation of maximal fault coverage conformance test sequences | |
| EP1787426A1 (en) | Communications system | |
| CN108062033B (zh) | 基于Linux***的工业协议自动化仿真测试***及方法 | |
| US11665165B2 (en) | Whitelist generator, whitelist evaluator, whitelist generator/evaluator, whitelist generation method, whitelist evaluation method, and whitelist generation/evaluation method | |
| CN114666200A (zh) | 一种智能变电站网络的环路检测方法、装置及存储介质 | |
| Sestito et al. | Case of study of a Profinet network using ring topology | |
| CN114338409A (zh) | 验证自动化***的以太网配置的方法 | |
| CN103268274B (zh) | 一种基于现场总线实验平台的测试方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |