[发明专利]防火墙压力测试方法

说明书

技术领域

本发明涉及一种针对防火墙的压力测试方法，模拟真实的网络数据包流量，利用交互性的测试环境，达到对防火墙进行定量、交互、真实的测试效果。

背景技术

随着计算机技术、现代通信技术和网络技术的发展，尤其是Internet的广泛应用，计算机的应用更加广泛与深入，计算机网络和人们的工作与生活的联系也越来越密切。Internet为人类交换信息，促进科学、技术、文化、教育、生产的发展，提高生活质量提供了极大的便利。由于网络的全球性、开放性、无缝连通性、共享性和动态发展，使任何人都可以自由接入Internet。因此难免有人采用各种攻击手段进行破坏活动，试图穿透别人的系统，窃取重要情报、捣毁电子邮箱、散布破坏性信息、倾泻信息垃圾、进行网络欺诈、释放病毒和发动“黑客站”等活动，对国家、单位和个人的信息安全构成极大的威胁。

因此，计算机信息系统的安全问题变得日益突出和复杂。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题。

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据管理者在防火墙上设定的规则控制(允许，拒绝或监测)出入网络的信息流。它是提供信息安全服务，实现网络和信息安全的基础设施。作为访问控制技术的代表，防火墙产品是目前世界上用得最多的网络安全产品之一。

防火墙是目前使用最为广泛的网络安全产品之一，目前市场上的防火墙产品非常多，划分的标准也比较多，从防火墙所的应用部署位置来分，可分为边界防火墙、个人防火墙和混合防火墙三大类。

边界防火墙一般为分组过滤型防火墙，它位于内、外部网络的边界，所起的作用是对内外部网络实施隔离，保护边界内部网络。它一般是硬件类型或者集成到路由器上，工作方式为包过滤方式，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。它的基本原理如下：

(1)根据网络安全策略，在防火墙中事先设置分组过滤规则。

(2)依据分组过滤规则，对进入防火墙的分组流进行检查。通常需要检查下列分组字段：

1)源IP地址和目的IP地址；

2)TCP，UDP和ICMP等协议类型；

3)源TCP端口和目的TCP端口；

4)源UDP端口和目的UDP端口；

5)ICMP消息类型；

6)输出分组的网络接口。

(3)分组过滤规则一定按顺序排列。当一个分组到达时，按规则的排列顺序依次地运用每个规则对分组进行检查。一旦分组与一个规则相匹配，则不再向下检查其他规则。

(4)如果一个分组与一个拒绝转发的规则相匹配，则该分组将被禁止通过。

(5)如果一个分组与一个允许转发的规则相匹配，则该分组将被允许通过。

(6)如果一个分组不与任何的规则相匹配，则该分组将被禁止通过。这是遵循“一切未被允许的都是禁止的”的原则。

防火墙产品众多，对于防火墙实际性能的测试成为越来越重要的问题，本发明为一种新型的针对边界防火墙的测试方法。

发明内容

以往对于边界防火墙的压力测试基本上是单向，数据包类型单一的测试，发送的测试流量不具有交互性，测试方法比较简单，不能达到既高效、又准确，且真实的效果。

本发明是针对边界防火墙的压力测试。本测试方法的思路如下：

(1)采样测试数据，并对其处理。

用交换机组建局域网，用路由器连接局域网于外网；

b.在局域网和外网上的主机上使用多种网络应用程序产生穿过路由器的网络流量；

c.在路由器上将所有的数据包使用路由器普遍支持的端口映射方式复制发送到一台计算机上，在此计算机上对网络数据包进行保存；

d.将步骤(1)c中保存的网络数据包根据源IP地址，目的IP地址及序列号形成多条测试序列。在计算机网络上的每两个结点之间传输的数据包都是按照IP包中序列号递增的顺序来传输的，因此可按照源IP地址和目的IP地址以及IP包序列号的顺序就可以确定一条数据包的链表，根据以上原理处理在(1).c捕捉到的大量数据包可以得到多条这样的链(设为n条)，形成n条测试序列。建立一个包含n个元素的数组A，对于第x条测试序列，如果该序列的第一个包是由外网发往内网的，则将A的第x个元素置为1，否则将A的第x个元素置为0。