一种防火墙状态检测功能的自动化测试系统的制作方法

本发明涉及防火墙检测领域，具体涉及一种防火墙状态检测功能的自动化测试系统。

背景技术：

1、传统的包过滤防火墙，也被称为网络层防火墙，主要基于ip协议的信息进行工作，包括源ip地址、目标ip地址、源端口号、目标端口号以及协议类型等。其主要工作原理是对通过防火墙的数据包进行检查，判断其是否符合预先设定的规则，从而决定是否允许数据包通过。包过滤防火墙的主要优点是处理速度快，因为它仅仅基于ip包头进行过滤，不需要对数据包的内容进行深入分析。但是，这也是其主要的缺点，因为它不能对应用层的攻击进行有效的防护。

2、传统的包过滤防火墙只是通过检测ip包头的相关信息来决定数据流的通过还是拒绝，而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。然而，状态检测技术也有其缺点，例如需要更多的计算资源，因为防火墙需要跟踪和处理大量的状态信息并且通过人工手动进行状态检测功能的验证过程比较复杂，并且人工进行包过滤功能测试效率低，且容易受测试人员技术能力影响而产生错误的测试结果。

技术实现思路

1、针对现有技术中存在的上述问题，现提供一种防火墙状态检测功能的自动化测试系统。

2、具体技术方案如下：一种防火墙状态检测功能的自动化测试系统，分别连接防火墙系统、客户端与服务端，所述防火墙系统设置于所述服务端与所述客户端的连接线路上；其中，包括：

3、策略配置单元，用于对所述防火墙系统进行防火墙策略的配置；

4、连接测试单元，连接所述策略配置单元，用于在所述防火墙系统被配置为仅允许连接报文通过的防火墙策略时，判断所述服务端与所述客户端之间是否成功建立握手连接，输出第一测试结果；

5、所述策略配置单元在所述第一测试结果表示所述客户端与所述服务端成功建立握手连接后，根据所述服务端与所述客户端之间的握手连接过程对所述防火墙系统进行状态表策略的配置；

6、第一测试单元，连接所述策略配置单元，在所述服务端与所述客户端成功建立握手连接后，所述第一测试单元依据所述服务端与所述客户端之间的数据报文传输情况判断所述防火墙系统的状态表策略配置是否正常，输出相应的第二测试结果；

7、所述策略配置单元在所述第二测试结果表示所述防火墙系统的状态表策略配置正常后，清除所述状态表策略；

8、第二测试单元，连接所述策略配置单元，在所述状态表策略被清除后，所述第二测试单元依据所述服务端与所述客户端之间的数据报文传输情况判断所述防火墙系统的状态表策略清除功能是否正常，输出相应的第三测试结果；

9、评价单元，分别连接所述连接测试单元、所述第一测试单元以及所述第二测试单元，用于根据所述第一测试结果、所述第二测试结果和所述第三测试结果对所述防火墙的状态检测功能进行评价。

10、优选的，仅允许连接报文通过的所述防火墙策略为：

11、将所述防火墙系统的工作状态设置为路由工作模式，关闭所述防火墙系统的nat功能，清空所述防火墙系统中的所有已有策略后，先后添加全禁止策略及tcp协议策略；

12、所述全禁止策略表示禁止所有数据报文通过所述防火墙系统；

13、所述tcp协议策略表示仅允许特定格式的所述连接报文通过所述防火墙系统。

14、优选的，仅允许连接报文通过的所述防火墙策略中，所述tcp协议策略中规定的所述连接报文的特定格式包括：

15、特定的目标ip地址、特定的源ip地址、特定的目标端口号、特定的源端口号以及采用tcp协议进行数据报文的传输。

16、优选的，所述连接测试单元包括：

17、第一测试模块，用于在所述防火墙系统被配置为仅允许连接报文通过的所述防火墙策略后，判断所述服务端是否能接收到所述客户端发送的用于建立握手连接的所述连接报文，并输出第一测试子结果；

18、第二测试模块，连接所述第一测试模块，用于当所述第一测试子结果为所述服务端能接收到所述连接报文时，判断所述客户端是否能接收到所述服务端发送的对应于所述连接报文的回应报文，并输出第二测试子结果；

19、第三测试模块，连接所述第二测试模块，用于当所述第二测试子结果为所述客户端能接收到所述回应报文时，再次向所述服务端发送所述连接报文，并输出第三测试子结果；

20、当所述第一测试子结果表示所述服务端未接收到所述连接报文，或者所述第二测试子结果表示所述客户端未接收到所述回应报文，或者所述第三测试子结果表示所述服务端未接收到所述连接报文时，所述第一测试结果表示所述服务端与所述客户端建立握手连接失败，对所述防火墙的状态检测功能的测试失败；

21、当所述第一测试子结果表示所述服务端接收到所述连接报文，以及所述第二测试子结果表示所述客户端接收到所述回应报文，以及所述第三测试子结果表示所述服务端接收到所述连接报文时，所述第一测试结果表示所述服务端与所述客户端建立握手连接成功。

22、优选的，所述服务端与所述客户端建立握手连接的过程中，所述客户端向所述服务端传输所述连接报文，所述服务端向所述客户端反馈响应的回应报文；

23、所述状态表策略中包括对应于所述连接报文及所述回应报文的状态表项；

24、所述第一测试单元测试的所述服务端与所述客户端之间传输的数据报文为对应于所述状态表项的数据报文。

25、优选的，所述第一测试单元包括：

26、第四测试模块，当所述服务端与所述客户端成功建立握手连接时，所述第四发送模块用于判断所述服务端是否接收到所述客户端发送的对应于所述状态表项的数据报文，并输出第四测试子结果；

27、第五测试模块，连接所述第四测试模块，用于当所述第四测试子结果为所述服务端接收到所述数据报文时，判断所述客户端是否接收到所述服务端向所述客户端回应的对应于所述状态表项的数据报文，并输出第五测试子结果；

28、当所述第四测试子结果表示所述服务端未接收到对应于所述状态表项的数据报文，或者所述第五测试子结果表示所述客户端未接收到对应于所述状态表项的数据报文时，所述第二测试结果表示所述防火墙系统的状态表策略配置失败，对所述防火墙的状态检测功能的测试失败；

29、当所述第四测试子结果表示所述服务端接收到对应于所述状态表项的数据报文，以及所述第五测试子结果表示所述客户端接收到对应于所述状态表项的数据报文时，所述第二测试结果表示所述防火墙系统的状态表策略配置成功。

30、优选的，所述第二测试单元包括：

31、第六测试模块，用于当所述状态表策略被删除后，判断所述服务端是否接收到所述客户端发送的对应于所述状态表项的数据报文，并输出第六测试子结果；

32、第七测试模块，连接所述第六测试模块，用于当所述第六测试子结果为所述服务端不能接收到所述数据报文时，判断所述客户端是否接收到所述服务端发送的对应于所述状态表项的数据报文，并输出第七测试子结果；

33、当所述第六测试子结果表示所述服务端接收到对应于所述状态表项的数据报文，或者所述第七测试子结果表示所述客户端接收到对应于所述状态表项的数据报文时，所述第三测试结果表示所述防火墙系统的状态表策略清除功能异常，对所述防火墙的状态检测功能的测试失败；

34、当所述第六测试子结果表示所述服务端未接收到对应于所述状态表项的数据报文，以及所述第七测试子结果表示所述客户端未接收到对应于所述状态表项的数据报文时，所述第三测试结果表示所述防火墙系统的状态表策略清除功能正常。

35、优选的，当所述第一测试结果表示所述服务端与所述客户端成功建立握手连接，以及所述第二测试结果表示所述防火墙系统的状态表策略配置成功，以及所述第三测试结果表示所述防火墙系统的状态表策略清除功能正常时，所述评价单元确认对所述防火墙系统的状态检测功能测试成功。

36、上述技术方案具有如下优点或有益效果：本发明通过对配置过后的防火墙进行三次检测，对防火墙状态检测功能的有效性进行验证进而实现防火墙状态检测功能的自动化测试。