[发明专利]包过滤策略的验证装置及方法

说明书

本公开涉及一种包过滤策略的验证方法、装置、电子设备及计算机可读介质。该方法包括：获取来自被测设备测试流量，所述测试流量经由所述被测设备包过滤处理；获取所述测试流量中报文的预设字段中的策略数据；在所述策略数据满足预设策略时，确定所述报文对应的包过滤策略失效；根据所述策略数据确定失效的包过滤策略的策略标识。本申请涉及的包过滤策略的验证方法、装置、电子设备及计算机可读介质，能够提高测试效率，特别是在大规模包过滤策略场景中，能够自动准确快速的提取失效的包过滤策略，节约时间成本和人力成本。

技术领域

本公开涉及计算机信息处理领域，具体而言，涉及一种包过滤策略的验证方法、装置、电子设备及计算机可读介质。

背景技术

硬件防火墙在现网的使用中，最常用的就是包过滤功能，基于报文的五元组控制各种流量的阻断与放通，对于现网来说，上万条或者几万条包过滤策略。对于大规模包过滤策略的测试，传统测试方法是根据包过滤信息，构造测试流量，将测试流量发送到被测试设备，根据对端收到的报文个数以及报文头部信息，查找设备包过滤策略，最终确认包过滤是否生效。

现有的测试方法为根据包过滤信息，构造测试流量，将测试流量发送到被测试设备，被测试设备根据包过滤测试例进行放通或者阻断测试流量，根据收到的报文个数以及报文头部信息，查找设备包过滤策略，最终确认包过滤是否生效，尤其是遇到上万条包过滤策略中有几条策略不生效时，要根据接收到的报文五元组信息与包过滤策略进行对比。该方案在报文五元组信息与包过滤策略进行对比过程中，会浪费很多时间，测试效率低下。

因此，需要一种新的包过滤策略的验证方法、装置、电子设备及计算机可读介质。

在所述背景技术部分公开的上述信息仅用于加强对本申请的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

有鉴于此，本申请提供一种包过滤策略的验证方法、装置、电子设备及计算机可读介质，能够提高测试效率，特别是在大规模包过滤策略场景中，能够自动准确快速的提取失效的包过滤策略，节约时间成本和人力成本。

本申请的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本申请的实践而习得。

根据本申请的一方面，提出一种包过滤策略的验证方法，该方法包括：获取来自被测设备测试流量，所述测试流量经由所述被测设备包过滤处理；获取所述测试流量中报文的预设字段中的策略数据；在所述策略数据满足预设策略时，确定所述报文对应的包过滤策略失效；根据所述策略数据确定失效的包过滤策略的策略标识。

在本申请的一种示例性实施例中，还包括：获取被测设备的包过滤信息；基于所述包过滤信息生成策略数据；基于所述策略数据生成测试流量；将所述测试流量发送至被测设备以便所述被测设备进行包过滤处理。

在本申请的一种示例性实施例中，获取被测设备的包过滤信息，包括：基于所述被测设备的web页面的包过滤策略生成所述包过滤信息；和/或基于所述被测设备的包过滤策略配置文件生成所述包过滤信息；和/或基于命令行获取所述被测设备所述包过滤信息。

在本申请的一种示例性实施例中，基于所述包过滤信息生成策略数据，包括：由所述包过滤信息中提取包过滤策略的策略标识和策略动作；基于所述策略标识和所述策略动作生成所述策略数据。

在本申请的一种示例性实施例中，基于所述策略标识和所述策略动作生成所述策略数据，包括：将所述策略标识转换为四字节数值；将所述策略动作转换为单字节数值。

在本申请的一种示例性实施例中，基于所述策略数据生成测试流量，包括：为所述策略数据中每一个包过滤策略分别构建测试报文；将所述策略数据写入测试报文的data字段；基于多个测试报文生成所述测试流量。

在本申请的一种示例性实施例中，获取所述测试流量中报文的预设字段中的策略数据，包括：获取所述测试流量中报文的data字段的所述策略数据。