[发明专利]一种用于网络安全产品的测试系统及测试方法

说明书

技术领域

本发明属于信息安全技术领域，涉及网络安全产品的测试，特别是涉及一种防火墙、统一威胁管理(Universal Threat Management，UTM)和安全网关的测试装置和测试方法。 

背景技术

防火墙、UTM和安全网关等网络安全产品是计算机网络安全体系的重要组成部分，部署在不同网络(如可信任的企业内部网络和不可信的公共网络)或网络安全域之间。这些网络安全产品作为唯一的强制访问控制点，根据网络安全策略监控流经的网络数据，且自身具有较强的抗攻击能力。但即使这些安全产品通过了权威测评机构的离线仿真测试，获得了认证证书，是合格的安全产品，它们在实际的网络环境应用时，仍有很大的可能性存在管理配置方面的脆弱性，例如，安全策略的配置不当，安全设备被攻击突破，升级导致某些模块失效，等等。因此，随着防火墙、UTM和安全网关这些安全产品的广泛应用，它们的管理配置脆弱性，即策略配置有效性、抗攻击渗透有效性和升级更新有效性正逐渐成为网络安全管理部门和用户关心的问题，对相关测试工具和方法的需求也更为迫切。 

目前，在对防火墙、UTM和安全网关等安全产品的管理配置脆弱性测试方面，各测试评估和安全检查机构普遍采用的方法是手工测试。测试员登录到安全产品上，查看安全产品的管理配置和日志审计情况，以及人工产生各种  网络访问连接来穿越安全产品，然后根据网络访问情况，来判断安全产品是否存在管理配置脆弱性。这种手工的方法虽然能够对安全产品进行一定程度的测试，但却存在以下的不足： 

一、手工测试虽然可以产生穿越安全设备的网络流量，来对管理配置脆弱性进行实时在线的测试，但存在效率低下、环境配置复杂，难以进行大批量的测试或重复测试等诸多问题。 

二、手工测试在对网络安全产品进行实时在线的安全测试时，会受限于目标网络提供的条件，例如，提供的网络服务较少，对目标网络不熟悉。 

三、手工测试需要利用目标网络的设备的来参与测试，在进行某些比如传输恶意代码或执行恶意代码的测试时，可能会引入安全风险而对目标网络造成损害。 

发明内容

本发明的目的是提供一种用于对防火墙、UTM和安全网关等网络安全产品的管理配置脆弱性进行测试的测试系统和测试方法，从而实现了对上述产品的策略配置有效性、抗攻击渗透有效性和升级更新有效性的自动、实时在线检测。 

本发明的用于网络安全产品的测试系统，包括：策略模块，用于测试策略的管理，根据预先设置的规则参数填充测试规则的数据结构链表，生成具体的测试用例，所述测试规则的数据结构包括访问方向、源IP、目的IP、访问端口、规则类型、网络安全产品行为和用户自定义字段；会话生成模块，用于产生测试的网络会话或网络攻击会话，该模块构建客户端和服务端程序，  分别模拟网络安全产品所隔离的两个网络中的主机，客户端和服务端程序依据定制的测试策略调用测试用例对应的测试插件，并把测试用例参数传递给测试插件，测试插件实时生成相应的数据包，并传递给客户端或服务端进行发送，从而生成网络会话或网络攻击会话；结果评判模块，用于评定测试结果，确定网络安全产品的脆弱性，该模块根据网络会话或网络攻击会话的完成情况，以及测试用例中的网络安全产品行为参数，共同评判测试用例的测试结果；会话生成模块和结果评判模块在执行完一个测试用例后，会继续执行测试策略中的下一个测试用例，待测试策略中所有测试用例执行完成以后，此次测试完成；报告模块，用于根据测试结果，生成测试报告。 

其中，该测试系统还进一步包括：管理模块，用于测试环境和参数的配置，以及测试策略的定制。 

本发明的用于网络安全产品的测试方法，包括以下步骤： 

①配置测试策略，根据预先设置的测试规则参数填充测试规则的数据结构链表，生成具体的测试用例，所述测试规则的数据结构包括访问方向、源IP、目的IP、访问端口、规则类型、网络安全产品行为和用户自定义字段； 

②生成网络会话，构建客户端和服务端程序，分别模拟网络安全产品所隔离的两个网络中的主机，客户端和服务端程序依据定制的测试策略调用测试用例对应的测试插件，并把测试用例参数传递给测试插件，测试插件实时生成相应的数据包，并传递给客户端或服务端进行发送，从而生成网络会话或网络攻击会话； 

③结果评判，用于评定测试结果，确定网络安全产品的脆弱性，该模块  根据网络会话或网络攻击会话的完成情况，以及测试用例中的网络安全产品行为参数，共同评判测试用例的测试结果。