一种测试设备的系统及方法与流程

1.本技术涉及工业互联网技术领域，尤其涉及一种测试设备的系统及方法。


背景技术：

2.互联网技术被广泛应用在工业领域。例如，互联网技术可被应用在工业领域的工控系统中，以实现控制工控系统中的工业设备的运行。互联网技术的应用可提升工控系统的控制效率，但也容易引起网络安全问题。
3.其中，工控系统中的工业安全网关是维护工控系统的网络安全的重要部件。工业安全网关在正式应用于工控系统之前，需要对工业安全网关进行安全测试，以保证工业安全网关能够在工控系统中实现安全防护的作用。
4.目前，一般采用手动方式测试工业安全网关的安全性。具体的，工作人员手动创建测试报文，并将测试报文发送给工业安全网关，以模拟工业系统中的工业设备向工业安全网关发送报文的过程，进而人工确定工业安全网关的测试结果。但手动创建测试报文以及发送测试报文等效率较低，也就导致测试工业安全网关的效率低。


技术实现要素：

5.本技术提供一种测试设备的系统及方法，用于提高测试设备的效率。
6.第一方面，本技术实施例提供一种测试设备的系统，所述测试设备的系统包括第一客户端设备、第一被测试设备、服务端设备和测试设备，其中：所述第一客户端设备，用于发送第一测试报文，所述第一测试报文的目的地址为所述服务端设备；所述第一被测试设备，用于接收来自所述第一客户端设备的所述第一测试报文，以及将所述第一测试报文与策略进行匹配，并根据匹配结果，确定是否将所述第一测试报文发送给所述服务端设备，所述策略用于指示所述第一被测试设备放行的报文所需满足的规则；所述服务端设备，用于在所述第一测试报文与所述策略匹配的情况下，接收来自所述第一被测试设备的所述第一测试报文；所述测试设备，用于根据所述第一被测试设备的第一日志信息、所述第一测试报文、以及所述策略，确定所述第一被测试设备的安全测试结果，所述第一日志信息用于指示所述第一被测试设备将所述第一测试报文发送给所述服务端设备，或者所述第一被测试设备没有将所述第一测试报文发送给所述服务端设备。
7.在本技术实施例中，第一客户端设备向第一被测试设备发送第一测试报文，第一被测试设备根据策略判断是否将第一测试报文转发给服务端设备，进而测试设备可根据第一被测试设备的第一日志信息、策略和第一测试报文，确定第一被测试设备的安全测试结果，提供了一种自动测试被测试设备的系统。并且，无需手动创建测试报文以及发送报文，以及人工确定被测试设备的测试结果，提高了测试设备的效率。
8.在一种可能的实施方式中，所述第一客户端设备，还用于发送至少一个第二测试报文；所述第一被测试设备，还用于将所述至少一个第二测试报文转发给所述服务端设备，并根据所述至少一个第二测试报文，学习得到所述策略；所述服务端设备，还用于接收所述
至少一个第二测试报文。
9.在该实施方式中，第一客户端设备通过第一被测试设备发送一个或多个第二测试报文，第一被测试设备实时基于这一个或多个第二测试报文，学习获得策略，无需手动给第一被测试设备配置策略，也有利于提高测试设备的效率。并且，提供了一种被测试设备学习策略的一种方式。
10.在一种可能的实施方式中，所述第一被测试设备还用于若所述第一测试报文与所述策略不匹配，则丢弃所述第一测试报文。
11.在该实施方式中，第一被测试设备将与策略不匹配的第一测试报文丢弃，避免服务端设备接收到不符合规则的报文，模拟第一被测试设备应用于工业系统中的场景，也就有利于获得更为准确的测试结果。并且，使得第一被测试设备应用于工业系统中时，可提高工业系统的安全性。
12.在一种可能的实施方式中，所述测试设备具体用于，若所述第一日志信息指示所述第一被测试设备将所述第一测试报文发送给所述服务端设备，且确定所述第一测试报文与所述策略匹配，或者，若确定所述第一被测试设备丢弃所述第一测试报文，并且所述策略与所述第一测试报文不匹配，则确定所述第一被测试设备的安全测试结果为第一结果，所述第一结果用于指示所述第一被测试设备通过安全测试。
13.在该实施方式中，测试设备可根据第一日志信息、策略和第一测试报文，确定出第一被测试设备是否将第一测试报文发送给服务端设备的结果，以及第一测试报文与策略的匹配结果是否匹配，进而确定出第一被测试设备的安全测试结果，提供了一种自动获得第一被测试设备的安全测试结果的方案，提高测试设备的处理效率。
14.在一种可能的实施方式中，所述测试设备还用于确定所述服务端设备的第一通信协议；将所述第一被测试设备的通信协议配置为所述第一通信协议。
15.在该实施方式中，测试设备将第一被测试设备的通信协议设置为与服务端设备的通信协议相同，换言之，第一被测试设备的通信协议可根据服务端设备的通信协议灵活调整，能够避免了因第一被测试设备与服务端设备通信协议不同导致无法进行通信，甚至于测试系统瘫痪的情况出现。并且，可测试出不同通信协议下的第一被测试设备的安全测试结果。
16.在一种可能的实施方式中，所述系统还包括第二被测试设备和第二客户端设备，其中，所述第二被测试设备与所述第一被测试设备属于同一种设备类型，且所述第二被测试设备与所述第一被测试设备的网络模式不同；所述第二客户端设备，用于发送第三测试报文，所述第三测试报文的目的地址为所述服务端设备；所述第二被测试设备，用于接收来自所述第二客户端设备的所述第三测试报文，以及将所述第三测试报文与所述策略进行匹配，并根据匹配结果，确定是否将所述第三测试报文发送给所述服务端设备，所述策略用于指示所述第二被测试设备放行的报文所需满足的规则；所述服务端设备，用于在所述第三测试报文与所述策略匹配的情况下，接收来自所述第二被测试设备的所述第三测试报文；所述测试设备，用于根据所述第二被测试设备的日志信息、所述第三测试报文、以及所述策略，确定所述第二被测试设备的安全测试结果，所述日志信息指示所述第二被测试设备将所述第三测试报文发送给所述服务端设备，或者所述第二被测试设备没有将所述第三测试报文发送给所述服务端设备。
17.在该实施方式中，由于测试设备可同时测试同一种类型的在不同网络模式下的两个被测试设备，从而可一次性获得同一种类型的被测试设备在不同网络模式下的测试结果，该测试设备的系统一方面可支持同时测试多个被测试设备，有利于降低测试成本，另一方面，可支持一次性测试同一种类型的被测试设备的多方面的测试结果，有利于节省测试所需时间，可进一步提高测试效率。
18.在一种可能的实施方式中，所述测试设备还具体用于，若所述第二日志信息指示所述第二被测试设备将所述第三测试报文发送给所述服务端设备，且确定所述第三测试报文与所述策略匹配，或者，若确定所述第二被测试设备丢弃所述第三测试报文，并且所述策略与所述第三测试报文不匹配，则确定所述第二被测试设备的安全测试结果为第一结果，所述第一结果用于指示所述第二被测试设备通过安全测试。
19.在该实施方式中，测试设备可基于第二被测试设备的第二日志信息、第三测试报文和策略，确定出第二被测试设备的安全测试结果，无需人为的查看第二被测试设备的第二日志信息以及第二客户端设备发送的第三测试报文，也无需人为分析安全测试结果，简化了测试过程，并且节省了大量的时间。
20.在一种可能的实施方式中，所述服务端设备为可编程逻辑控制器plc。
21.在该实施方式中，服务端设备可为plc，而plc为工业领域中的常用的工业设备，因此，plc能够向被测试设备发送真实的报文，使得被测试设备能够在真实的工业场景下完成各项测试，测试结果也更加准确。
22.在一种可能的实施方式中，在所述第一客户端设备发送第一测试报文之前，确定所述第一客户端设备与所述服务端设备之间通信正常。
23.在该实施方式中，需要先确定第一客户端设备与服务端设备之间能够正常通信，再发送第一测试报文。如此，当第一被测试设备的安全测试结果不通过时，对安全测试不通过的原因进行查找时，可先排除第一客户端设备和服务端设备对测试结果的影响，简化了排查问题的步骤，节省时间，进一步加快了测试进程。
24.第二方面，本技术实施例提供一种测试设备的方法，包括：第一客户端设备发送第一测试报文，所述第一测试报文的目的地址为所述服务端设备；第一被测试设备接收来自所述第一客户端设备的所述第一测试报文，以及将所述第一测试报文与策略进行匹配，并根据匹配结果，确定是否将所述第一测试报文发送给所述服务端设备，所述策略用于指示所述第一被测试设备放行的报文所需满足的规则；服务端设备在所述第一测试报文与所述策略匹配的情况下，接收来自所述第一被测试设备的所述第一测试报文；测试设备根据所述第一被测试设备的第一日志信息、所述第一测试报文、以及所述策略，确定所述第一被测试设备的安全测试结果，所述第一日志信息用于指示所述第一被测试设备将所述第一测试报文发送给所述服务端设备，或者所述第一被测试设备没有将所述第一测试报文发送给所述服务端设备。
25.在一种可能的实施方式中，所述方法还包括：所述第一客户端设备向所述服务端设备发送至少一个第二测试报文；所述第一被测试设备接收所述至少一个第二测试报文，向所述服务端设备发送所述至少一个第二测试报文，并基于所述至少一个第二测试报文，学习得到策略；所述服务端设备接收所述至少一个第二测试报文。
26.在一种可能的实施方式中，所述方法还包括：所述第一被测试设备若确定所述第
一测试报文与所述策略不匹配，则丢弃所述第一测试报文。
27.在一种可能的实施方式中，所述方法还包括：所述测试设备确定所述服务端设备的第一通信协议；将所述第一被测试设备的通信协议配置为所述第一通信协议。
28.在一种可能的实施方式中，所述方法还包括：在所述第一客户端设备发送所述第一测试报文之前，所述测试设备确定所述第一客户端设备与所述服务端设备之间通信正常。
29.第三方面，本技术实施例提供一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行上述第二方面中的任一方法。
30.第四方面，本技术实施例提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得上述第二方面中的任一方法被实现。
31.第二方面至第四方面的有益效果可参照前文第一方面所述，此处不再赘述。
附图说明
32.图1为本技术实施例提供的一种测试设备的系统的结构示意图一；
33.图2为本技术实施例提供的一种测试设备的系统的结构示意图二；
34.图3为本技术实施例提供的一种测试设备的系统的结构示意图三；
35.图4为本技术实施例提供的一种测试设备的系统的部署示意图；
36.图5为本技术实施例提供的一种测试设备的方法流程图。
具体实施方式
37.为了更好的理解本技术实施例提供的技术方案，下面将结合说明书附图以及具体的实施方式进行详细地说明。
38.工业安全网关在投入使用之前，均会进行安全测试。而目前采用的工业安全网关的测试方法是通过人为实现的。需要手动创建测试报文，并将测试报文发送给工业安全网关，以此来进行安全测试。并且，还需人为的确定工业安全网关的测试结果。也就是说，在整个测试过程中，均需由人工进行操作，需要耗费大量的时间，进而导致测试工业安全网关的效率低。
39.鉴于此，本技术实施例提供一种测试设备的系统，用于提高测试设备的效率。请参照图1，为该测试设备的系统的结构示意图。
40.如图1所示，该测试设备的系统100包括测试设备101、第一客户端设备102、第一被测试设备103和服务端设备104。
41.其中，测试设备101可通过具有计算功能的设备的实现，例如服务器或个人计算机等。第一客户端设备102例如为安装有软件程序或软件模块的设备，如终端设备，终端设备具体例如个人计算机(personal computer，pc)。服务端设备104用于为软件程序或软件模块提供服务，服务端设备例如为服务器、个人计算机或可编程逻辑控制器(programmable logic controller，plc)等。其中，服务器可以是云服务器或实体服务器等。第一被测试设备103可以是任意类型的具有转发功能的设备，例如，网关设备或路由器设备等。
42.其中，测试设备101可分别与第一客户端设备102、第一被测试设备103、和服务端
设备104通信。第一客户端设备102与第一被测试设备103之间可互相通信。服务端设备104可与第一被测试设备103进行通信。其中，本技术实施例中的通信可以是无线通信或有线通信。无线通信例如为通过无线保真(wireless fidelity，wi-fi)或广域网等方式进行通信，有线通信例如为通过光缆或电缆等方式进行通信。
43.第一客户端设备102用于通过第一被测试设备103向服务端设备104发送第一测试报文。第一被测试设备103用于接收来自第一客户端设备102的第一测试报文，并确定是否将第一测试报文发送给服务端设备104。其中，第一测试报文的目的地址为服务端设备104的地址。
44.示例性的，在测试开始时，第一客户端设备102可自动创建测试报文。例如，第一客户端设备102根据服务端设备104的地址，对第一数据进行封装，以获得第一测试报文。进而，第一客户端设备102通过第一被测试设备103发送第一测试报文。需要说明的是，第一客户端设备102可向服务端设备104发送多个测试报文，本技术实施例中是以第一测试报文为例进行介绍。
45.其中，第一客户端设备102可被预配置有服务端设备104的地址。该第一数据例如是第一客户端设备102从网页上采集的，或者预存在第一客户端设备102中。
46.第一被测试设备103接收第一测试报文之后，可根据策略，确定是否将第一测试报文转发给服务端设备104。如果第一测试报文与策略匹配，则第一被测试设备103确定将第一测试报文发送给服务端设备104。如果第一测试报文与策略不匹配，则确定不将第一测试报文发送给服务端设备104，即丢弃第一测试报文。策略用于指示第一被测试设备103放行的报文所需满足的规则。换言之，满足该策略的报文，则第一被测试设备103会放行；不满足该策略的报文，则第一被测试设备103不会放行。
47.可选的，策略包括被放行报文的源地址、目的地址和协议类型等。目的地址和源地址例如为网络协议(internet protocol，ip)。协议类型例如开放平台通信统一架构(object linking and embedding for process control-unified architecture，opc ua)协议、modbus协议或s7 communication(s7_comm)协议。modbus协议是一种应用层消息传递协议，主要用于提供不同类型的总线或网络上连接的设备之间的客户端或服务器通信。s7_comm协议主要用于plc之间的数据交换。
48.例如，一种策略如下表1所示。
49.表1
50.源地址目的地址协议类型第一客户端设备102服务端设备104opc ua协议第一客户端设备102服务端设备104opc ua协议
51.如上述表1所示，如果第一测试报文的目的地址为服务端设备104，源地址为第一客户端设备102，则第一被测试设备103确定第一测试报文与表1的策略匹配，并确定将第一测试报文转发给服务端设备104。
52.例如，服务端设备104还可与工业设备相连。工业设备包括电机，电机例如为步进电机等。这种情况下，第一测试报文包括控制服务端设备104运转的指令，第一测试报文中至少包括状态信息指令，状态信息指令用于指示服务端设备104采集电机的状态信息，状态信息包括电机的运转情况和/或温度等。服务端设备104采集电机的状态信息后，将状态信
息进行封装，获得第五测试报文，并将第五测试报文发送给第一客户端设备102。
53.以协议类型为opc ua协议为例，第一测试报文的消息类型可包括00hel、05opn、04msg和06clo。第一测试报文可例如为读请求(readrequest)、写请求(writerequest)、发布请求(publishrequest)、创建监控项目请求(createmonitoreditemsrequest)、修改监控项目请求(modifymonitoreditemsrequest)和设置监控模式请求(setmonitoringmoderequest)等。
54.表2消息类型
55.00hel为第一客户端设备与服务端设备之间数据开始传输的标志05opn为服务端设备通过发送消息打开(open，opn)响应04msg指示第一客户端设备与服务端设备可以开始交换消息(msg)06clo在会话结束时，将发送消息关闭(close，clo)，然后终止连接
56.进而，在第一被测试设备103放行或丢弃第一测试报文之后，测试设备101可用于根据第一被测试设备103的第一日志信息、第一测试报文和策略，确定第一被测试设备103的测试结果。其中，第一日志信息是第一被测试设备103中记录处理第一测试报文的过程涉及的信息。
57.第一被测试设备103在处理完(如转发或丢弃)第一测试报文之后，可向测试设备101发送响应消息，该响应消息用于表示第一被测试设备103处理完第一测试报文。或者，测试设备101可实时获取第一被测试设备103的第一日志信息，并根据第一日志信息确定第一被测试设备103的已处理完第一测试报文。
58.测试设备101获得第一被测试设备103的第一日志信息之后，可以确定第一被测试设备103是否将第一测试报文发送给服务端设备104的结果，为了便于描述，将该结果称为转发结果，该转发结果具体包括第一被测试设备103将第一测试报文转发给服务端设备104，或者没有将第一测试报文转发给服务端设备104。
59.另外，测试设备101还可从第一日志信息中获得第一测试报文，或者从第一客户端设备102或第一被测试设备103获得第一测试报文。
60.具体的，测试设备101利用抓包工具对第一客户端设备102接收或发送的报文进行抓包，得到抓包数据结果。其中，抓包工具可以是预配置在测试设备101中的。进而测试设备101可根据抓包数据结果获得第一测试报文。或者，测试设备101还可利用抓包工具对第一被测试设备103从第一客户端设备102接收的第一测试报文进行抓包，获得第一测试报文。
61.同理，测试设备101还可获得第一被测试设备103的策略。其中，测试设备101获得第一被测试设备103的策略的方式可参照前文测试设备101获得第一测试报文的方式，此处不再列举。
62.进而，测试设备101可根据转发结果，以及第一测试报文与第一被测试设备103的策略的匹配结果，确定第一被测试设备103的安全测试结果。
63.示例性的，如果转发结果表示第一被测试设备103转发了第一测试报文，以及第一测试报文与第一被测试设备103的策略匹配；或者，如果转发结果表示第一被测试设备103未转发第一测试报文，以及第一测试报文与第一被测试设备103的策略不匹配，则测试设备101确定第一被测试设备103的安全测试结果为第一结果，第一结果用于指示第一被测试设备103通过了安全测试。
64.如果转发结果表示第一被测试设备103转发了第一测试报文，以及第一测试报文与第一被测试设备103的策略不匹配；或者，转发结果表示第一被测试设备103未转发第一测试报文，以及第一测试报文与第一被测试设备103的策略匹配，则确定第一被测试设备103的安全测试结果为第二结果。第二结果表示即第一被测试设备103未通过安全测试。
65.作为一个示例，前文中的第一被测试设备103中的策略可以是预配置在第一被测试设备103中的。或者，策略可以是第一被测试设备103学习得到的。
66.下面对第一被测试设备103学习策略的方式进行介绍。
67.示例性的，第一客户端设备102通过第一被测试设备103向服务端设备104发送至少一个第二测试报文。在本技术实施例中，这至少一个第二测试报文可均为放行报文，放行报文可理解为预设的第一被测试设备103会放行的报文。
68.第一被测试设备103接收到这至少一个第二测试报文，并将这至少一个第二测试报文转发给服务端设备104。第一被测试设备103可学习这至少一个第二测试报文，从而获得第一被测试设备103的策略。
69.例如，第一被测试设备103可识别并存储这至少一个第二测试报文的源地址、目标地址和协议类型，进而第一被测试设备103可将这至少一个第二测试报文中的每个第二测试报文的源地址、目标地址和协议类型关联存储，也就获得了策略。
70.其中，第二测试报文对应的消息类型可参照前文第一测试报文对应的消息类型内容，以及第二测试报文对应的服务名可参照前文第一测试报文对应的服务名。
71.在一种可能的实施方式中，测试设备101还可在第一客户端设备102发送第一测试报文之前，确定服务端设备104的第一通信协议，并将第一被测试设备103的通信协议配置为第一通信协议。
72.第一通信协议为工业协议等，工业协议例如为opc ua协议、modbus协议、s7_comm协议等。
73.可选的，测试设备101还可确定第一客户端设备102的通信协议，并将第一被测试设备103的通信协议配置为与第一客户端设备102相同的一种通信协议。第一客户端设备102的通信协议与服务端设备104的通信协议为同一种通信协议。
74.在一种可能的实施方式中，测试设备101可测试第一客户端设备102与服务端设备104之间的通信正常。
75.示例性的，在接入第一被测试设备103之前，第一客户端设备102向服务端设备104发送第四测试报文，测试设备101分别使用抓包工具在服务端设备104和第一客户端设备102抓包第四测试报文，如果测试设备101在服务端设备104和第一客户端设备102均抓包获取到了第四测试报文，则确定服务端设备104接收到了来自第一客户端设备102的第四测试报文，即确定第一客户端设备102与服务端设备104之间通信正常。
76.或者，测试设备101还可测试第一客户端设备102和服务端设备104之间能否通过第一被测试设备103正常通信。
77.具体的，第一客户端设备102向服务端设备104发送第四测试报文，第一被测试设备103接收到第四测试报文后，将第四测试报文转发给服务端设备104，测试设备101使用抓包工具对该通信过程中的报文进行抓包，并根据抓包结果，确定第一客户端设备102和服务端设备104之间能够通过第一被测试设备103正常通信。
78.由于测试设备的系统可能用于测试多个被测试设备，下面以测试设备的系统还用于测试第二被测试设备为例，对测试设备的系统的结构进行介绍。
79.请参照图2，为本技术实施例提供的一种测试设备的系统的结构示意图二。如图2所示，图2中的测试设备的系统200包括测试设备201、第一客户端设备202、第二客户端设备203、第一被测试设备204、第二被测试设备205和服务端设备206。测试设备201例如为图1所示的测试设备101，第一客户端设备202例如为图1所示的第一客户端设备102，第一被测试设备204例如为图1所示的第一被测试设备103，服务端设备206例如为图1所示的服务端设备104。其中，测试设备201、第一客户端设备202、第一被测试设备204、服务端设备206可参照前文图1论述的内容，此处不再赘述。
80.第二客户端设备203、第一被测试设备204、第二被测试设备205和服务端设备206通信。第一客户端设备202与第一被测试设备204之间可互相通信。第二客户端设备203与第二被测试设备205之间可互相通信。服务端设备206可与第一被测试设备204和第二被测试设备205进行通信。其中，本技术实施例中的通信可以是无线通信或有线通信。无线通信和有线通信的实现方式可参照前文。
81.可选的，第一被测试设备204和第二被测试设备205可以是同一种类型的设备，或者是不同种类型的设备。
82.下面以测试设备测试第二被测试设备的过程进行介绍。
83.第二客户端设备203用于通过第二被测试设备205向服务端设备206发送第三测试报文。第二被测试设备205用于接收来自第二客户端设备203的第三测试报文，并基于策略确定是否将第三测试报文发送给服务端设备206。其中，第三测试报文的目的地址为服务端设备206的地址。其中，第二客户端设备203可被预配置有服务端设备206的地址。
84.示例性的，第二客户端设备203可自动创建测试报文，具体可参照前文创建第一测试报文的具体过程，此处不再赘述。
85.第二被测试设备205在接收第三测试报文之后，可将第三测试报文与策略匹配，根据匹配结果，判断是否将第三测试报文发送给服务端设备206。如果第二被测试设备205确定第三测试报文与策略匹配，则将第三测试报文发送给服务端设备206。如果第二被测试设备205确定第三测试报文与策略不匹配，则丢弃第三测试报文。策略用于指示第二被测试设备205放行的报文所需满足的规则。
86.其中，第二被测试设备205的策略可参照前文第一被测试设备103的策略，以及第二被测试设备205获得策略的内容可参照前文第一被测试设备103获得策略的内容，此处不再赘述。需要说明的是，第二被测试设备205的策略与第一被测试设备103的策略可以是不同的，或者可以是相同的。
87.在第二被测试设备205放行或丢弃第一测试报文之后，测试设备201便可根据第二被测试设备205的第二日志信息、第三测试报文和策略，确定第二被测试设备205的安全测试结果。其中，第二日志信息是第二被测试设备205中记录处理第二测试报文的过程涉及的信息。测试设备202确定第二被测试设备205的安全测试结果的具体过程可参照前文第一被测试设备103的安全测试结果的确定过程，此处不再赘述。
88.在一种可能的实施方式中，测试设备201可同时测试第一被测试设备204和第二被测试设备205。
89.这种情况下，测试设备201可将第一被测试设备204和第二被测试设备205配置为不同的网络模式。网络模式可理解为被测试设备对报文进行处理的方式，具体包括被测试设备的转发报文的模式。
90.例如，测试设备201可将第一被测试设备204配置为二层转发模式。其中，二层转发模式用于指示第一被测试设备204在接收到报文时，获得报文的mac地址，进行本地转发或广播。测试设备201将第二被测试设备205配置为三层转发模式，三层转发模式用于指示第二被测试设备205在接收到报文时，获得报文的ip地址，进行本地转发。
91.在一种可能的实施方式中，在第二客户端设备203发送第一测试报文之前，测试设备201还用于确定第一客户端设备202和第二客户端设备203与服务端设备206之间通信正常。
92.示例性的，测试设备201还用于确定第一客户端设备202与服务端设备206之间通信正常的方式可参照前文论述的内容，此处不再赘述。
93.测试设备201确定第二客户端设备203与服务端设备206之间可正常通信的具体过程可参照前文测试设备201测试第一客户端设备202与服务端设备206之间通信方式的内容，此处不再列举。
94.在一种可能的实施方式中，测试设备的系统中的各设备之间还可以通过交换机通信。
95.请参照图3，测试设备的系统300中还包括第一交换机302、第二交换机305和第三交换机308。第一交换机302用于测试设备301与第一客户端设备303和第二客户端设备304之间通信。第二交换机305用于第一客户端设备303和第一被测试设备306之间通信，以及第二客户端设备304和第二被测试设备307之间通信。第三交换机308用于第一被测试设备306和第二被测试设备307与服务端设备309之间通信。
96.需要说明的是，测试设备的系统300可实现前文测试设备的系统100和测试设备的系统200所述的功能，具体实施方式可参照前文所述，此处不再赘述。
97.在图3所示的测试设备的系统中，测试设备可同时测试多个被测试设备，还将这多个被测试设备配置为不同的网络模式或是配置不同的通信协议，相应的，为便于监测，还可增加测试设备和客户端设备的数量，即可达到同时测试多个被测试设备的目的，有利于提高测试效率。
98.下面结合图4所示的一种测试设备的系统的部署示意图，对本技术提供的一种测试设备的系统进行举例说明。
99.在图4中，以测试设备为第一终端设备401和第二终端设备402，第一客户端设备为第三终端设备404，第二客户端设备为第四终端设备405，第一被测试设备为第一工业安全网关407，第二被测试设备为第二工业安全网关408，服务端设备为plc410为例进行介绍。其中，交换机403例如为图3所示的第一交换机302，交换机406例如为图3所示的第二交换机305，交换机409例如为图3所示的第三交换机308。
100.在图4所示的实施例中，是以测试设备包括两个终端设备为例，具体包括第一终端设备401和第二终端设备402，这两个终端设备可以是同种类型的设备。
101.在图4所示的实施例中，第一终端设备401设备可将第一工业安全网关407配置的网络模式为二层转发模式，以及将第二工业安全网关408配置的网络模式为三层转发模式。
102.下面结合图4所示的测试设备的系统的结构示意图，对测试第一工业安全网关407和第二工业安全网关408的过程进行介绍。
103.第三终端设备404通过第一工业安全网关407向plc410发送第一测试报文。
104.第一工业安全网关407接收到第一测试报文。第一工业安全网关407将第一测试报文与策略匹配，若匹配成功，则将第一测试报文发送给plc410；若匹配不成功，则将第一测试报文丢弃，不向plc410发送第一测试报文。
105.在图4所示的实施例中，以第一测试报文与策略匹配为例，这种情况下，plc410接收第一测试报文。
106.可选的，第四终端设备405通过第二工业安全网关408向plc410发送第三测试报文。
107.第二工业安全网关408接收到第三测试报文之后，将第三测试报文与策略进行匹配，如果第三测试报文与策略匹配，则将第三测试报文发送给plc410；如果不匹配，则丢弃第三测试报文。第二工业安全网关408确定第三测试报文与策略匹配的具体过程可参照前文所述，此处不再赘述。
108.plc410在第二工业安全网关408确定第三测试报文与策略匹配的情况下，接收第三测试报文。plc410可根据第三测试报文，向第四终端设备发送状态信息，状态信息的具体内容可参照前文所述，此处不再赘述。
109.第一终端设备401根据第一工业安全网关407的第一日志信息、第一测试报文和策略，确定第一工业安全网关407的安全测试结果。
110.第一终端设备401确定第一工业安全网关的具体内容可参照前文所述，此处不再重复赘述。
111.可选的，第二终端设备402可根据第二工业安全网关408的第二日志信息、第三测试报文以及策略确定第二工业安全网关408的安全测试结果。第二终端设备402确定第二工业安全网关408的安全测试结果的具体过程可参照前文第一被测试设备103的安全测试结果的确定过程，此处不再赘述。
112.本技术实施例提供一种测试设备的方法，该方法可应用于测试设备的系统中。测试设备的系统例如为前文图1至图3中的任一的测试设备的系统。请参照图5，图5为本技术实施例提供的测试设备的方法流程图。下面将结合图5对该方法进行具体说明。
113.s501，第一客户端设备向第一被测试设备发送第一测试报文。相应的，第一被测试设备接收第一测试报文。
114.第一测试报文的具体内容可参照前文所述，此处不再赘述。
115.s502，第一被测试设备确定第一测试报文与策略匹配。
116.第一被测试设备根据第一测试报文的源地址、目标地址和协议类型，确定第一测试报文与策略匹配。策略用于指示第一被测试设备放行的报文所需满足的规则。匹配的具体过程可参照前文所述，此处不再赘述。
117.可选的，第一被测试设备在接收第一测试报文之前，还需学习得到策略。
118.具体的，第一客户端设备通过第一被测试设备向服务端设备发送至少一个第二测试报文，第一被测试设备接收这至少一个第二测试报文，将这至少一个第二测试报文发送给服务端设备，并根据这至少一个第二测试报文，学习得到策略。策略的具体学习过程可参
照前文所述，此处不再赘述。
119.s503，第一被测试设备向服务端设备发送第一测试报文。相应的，第一客户端设备接收第一测试报文。
120.第一被测试设备是在确定第一测试报文与策略匹配的情况下，确定将第一测试报文发送给服务端设备。
121.可选的，如果第一被测试设备确实第一测试报文与策略不匹配，则将第一测试报文丢弃，即服务端设备无法接收到第一测试报文。
122.s504、第一被测试设备向测试设备发送第一日志信息和策略。相应的，测试设备接收第一日志信息和策略。
123.第一日志信息用于指示第一被测试设备将第一测试报文发送给服务端设备，或者第一被测试设备没有将第一测试报文发送给服务端设备。第一日志信息和策略可以是第一被测试设备在测试设备的控制下发送的，也可以是被预配置有第一指令，第一指令用于指示第一被测试设备在相同的时间间隔内向测试设备发送最新的第一日志信息和策略。
124.s505、测试设备根据第一测试报文、第一日志信息以及策略，确定第一被测试设备的安全测试结果为第一结果。
125.第一结果用于指示第一被测试设备通过安全测试。
126.第一测试报文可以是测试设备使用抓包工具从服务端设备、第一被测试设备或第一客户端设备处抓包得到的，也可以是从第一日志信息中解析得到的。
127.测试设备确定第一被测试设备的具体过程可参照前文所述，此处不再赘述。
128.在执行s501-s505之前，测试设备还需确定服务端设备和第一客户端设备之间可正常通信。并且，测试设备还需确定服务端设备或第一客户端设备的第一通信协议，将第一被测试设备的通信协议配置为第一通信协议。
129.需要说明的是，上述方法也适用于第二被测试设备的安全测试，并且当测试设备的系统中，存在多个被测试设备时，上述方法仍适用于这多个被测试设备。
130.本技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，当所述计算机指令在计算机上运行时，使得计算机执行如前文任一所述的测试设备的方法，例如实现图5实施例所示的方法。
131.本技术实施例提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述如前文任一所述的测试设备的方法，例如实现图5实施例所示的方法。
132.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
133.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流
程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
134.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
135.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
136.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。