[发明专利]一种针对包过滤设备大容量规则表的自动化测试方法

权利要求书

1.一种针对包过滤设备大容量规则表的自动化测试方法，其特征在于，通过脚本生成随机网络五元组表作为资源池，调用包过滤设备API接口从资源池中随机选择五元组进行规则配置，调用网络测试仪的自动化接口从资源池中随机选择五元组进行流量配置，根据过滤结果来验证包过滤设备在大容量规则表下的生效情况；

随机网络五元组生成方法

本方法是用python脚本语言进行编写，可以在Windows和Linux系统上方便的执行，主要分为生成各元组列表和组合各元组列表值两个部分；

源端口和目的端口可以重复，所以放在一个列表中，即0～65535，共65536个元素；传输层协议常见的有TCP、UDP，放在一个列表中，共2个元素；源IP和目的IP的列表生成方法如下：

首先接收用户输入的五元组总条数num_list、源IP起始地址sip_start、目的IP起始地址dip_start；

然后计算源IP的最大步进值和最小步进值：将最大IP 255.255.255.255和sip_start转换为整型int_sip_start，然后相减，再除以num_list并向下取整，得到计算源IP的最大步进值；计算源IP的最小步进值=1；目的IP的最大步进值和最小步进值的计算方法与源IP相同；

最后生成随机的源IP列表：源IP列表开头的元素即为sip_start，第二个元素为最小步进值与最大步进值*1.8之间的随机值加上一个元素的整型值，然后转换为点分十进制表示，依次类推得到num_list个元素，组成源IP列表； 目标IP列表的生成方法与源IP相同；

由于包过滤规则常分为以下6种：只匹配源IP、只匹配目的IP、匹配源IP+目的IP、匹配源IP+源端口+协议、匹配目的IP+目的端口+协议、匹配全五元组，所以在组合各元组列表值时也要随机组成以上6种格式；

组合方法如下：

接收用户输入的包过滤设备中要配置的规则条数num，则五元组资源池中未命中规则的条数即为num_list-num；

取0～num_list-1之间的随机值，源IP列表中对应位置的元素即为目标值，目的IP取值方法相同；取0～65535之间的随机值，源端口列表中对应位置的元素即为目标值，目的端口取值方法相同；取0～1之间的随机值，协议列表中对应位置的元素即为目标值；

取1～6之间的随机值，如为1则之前取的目的IP改为0.0.0.0，源端口、目的端口和协议值均改为0 ；如为2则之前取的源IP改为0.0.0.0，源端口、目的端口和协议值均改为0；如为3则之前取的源端口、目的端口和协议值均改为0；如为4则目的IP、目的端口和协议值均改为0 ；如为5则源IP、源端口和协议值均改为0；如为6则不改；

然后将源IP和目的IP从对应列表中删除，num_list减一，然后依此循环，直到生成num条，即得到包过滤规则对应的num条五元组，记为表A；

之后继续循环，直到num_list等于0，即得到未命中规则的num_list -num条五元组，记为表B。

2.根据权利要求1所述的方法，其特征在于，

测试总体方法

编写脚本程序读取表A，作为参数向包过滤设备规则配置API接口传递，如通过Web配置，可构造HTTP请求报文，以完成大规模规则表的配置；

编写脚本读取表A或B，作为参数向网络测试仪表的流量配置API接口传递，以完成大规模随机流量配置；然后调用流量发生API接口向包过滤设备发送随机流量，并将过滤后的包抓取保存；如读取的为表A，则全部被丢弃，如读取的为表B，则全部被通过并抓取到。