[发明专利]一种验证安全策略的方法和装置

权利要求书

1.一种验证安全策略的方法，其特征在于，所述方法用于测试装置，所述测试装置用于验证被测设备上的多条安全策略；所述方法包括：

创建多条地址对象；

创建多条自定义服务对象，其中每条所述自定义服务对象包括协议、目的端口、源端口；

根据所述多条地址对象和所述多条自定义服务对象生成所述多条安全策略，其中每条所述安全策略包括：源地址，目的地址，协议，目的端口，源端口，操作；

以每次发送一条数据流的方式向所述被测设备发送多条数据流，其中所述多条数据流与所述多条安全策略一一对应，所述被测设备包括防火墙；

从第一条安全策略的匹配结果开始，依次读取每条安全策略的匹配结果，其中所述匹配结果是所述被测设备收到每条数据流后将所收到的数据流与所述多条安全策略逐条匹配后记录的匹配结果；每次读取时等待预设时长，若超出所述预设时长未返回匹配结果，则触发预设操作；

根据所述匹配结果确定所述多条安全策略的验证结果。

2.根据权利要求1所述的方法，其特征在于，向所述被测设备发送多条数据流，包括：

创建与每条安全策略对应的数据包，其中每个所述数据包包括源地址，目的地址，协议，源端口，目的端口；

每次将与一条安全策略对应的数据包发送给所述被测设备，以及，接收所述被测设备转发的所述数据包，以形成通过所述被测设备的一条数据流。

3.根据权利要求2所述的方法，其特征在于，一条所述数据流中包括一个数据包或者多个相同的数据包。

4.根据权利要求1所述的方法，其特征在于，根据所述匹配结果确定所述多条安全策略的验证结果，包括：

将每条安全策略的匹配结果与对应的预设值比较；

根据比较结果确定所述验证结果。

5.一种验证安全策略的装置，其特征在于，所述装置用于验证被测设备上的多条安全策略；所述装置包括：

发包及收包单元，用于以每次发送一条数据流的方式向所述被测设备发送多条数据流，其中所述多条数据流与所述多条安全策略一一对应，所述被测设备包括防火墙；

测试单元，用于创建多条地址对象；创建多条自定义服务对象，其中每条所述自定义服务对象包括协议、目的端口、源端口；根据所述多条地址对象和所述多条自定义服务对象生成所述多条安全策略，其中每条所述安全策略包括：源地址，目的地址，协议，目的端口，源端口，操作；用于从第一条安全策略的匹配结果开始，依次读取每条安全策略的匹配结果，其中所述匹配结果是所述被测设备收到每条数据流后将所收到的数据流与所述多条安全策略逐条匹配后记录的匹配结果；每次读取时等待预设时长，若超出所述预设时长未返回匹配结果，则触发预设操作；根据所述匹配结果确定所述多条安全策略的验证结果。

6.根据权利要求5所述的装置，其特征在于，所述发包及收包单元具体用于：

创建与每条安全策略对应的数据包，其中每个所述数据包包括源地址，目的地址，协议，目的端口，源端口；每次将与一条安全策略对应的数据包发送给所述被测设备，以及，接收所述被测设备转发的所述数据包，以形成通过所述被测设备的一条数据流。

7.根据权利要求6所述的装置，其特征在于，一条所述数据流中包括一个数据包或者多个相同的数据包。

8.根据权利要求5所述的装置，其特征在于，所述测试单元在根据所述匹配结果确定所述多条安全策略的验证结果时，具体用于：

将每条安全策略的匹配结果与对应的预设值比较；根据比较结果确定所述验证结果。