System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 基于IPSec VPN设备多策略自动化测试方法及系统技术方案_技高网
当前位置: 首页 > 专利查询>山东华翼微电子技术股份有限公司专利>正文

基于IPSec VPN设备多策略自动化测试方法及系统技术方案

技术编号:44726175 阅读:3 留言:0更新日期:2025-03-21 17:51
本发明专利技术属于网络安全的技术领域,具体涉及一种基于IPSec VPN设备多策略自动化测试方法及系统。该方法包括:根据IPSec VPN设备的安全策略生成测试网络报文,该测试网络报文包括报头信息和数据信息;控制测试主机与待测网络安全设备所连接的一个网卡发送该测试网络报文,控制测试主机与待测网络安全设备所连接的另一个网卡接收该测试网络报文,并将其确定为目标网络报文;读取并解析该目标网络报文,验证其是否与测试网络报文相符,若结果相符,则记录策略测试通过,否则为测试失败。本方法可根据IPSec VPN设备支持安全策略自动批量生成测试网络报文,实现自动化批量验证IPSec VPN设备支持的最大安全策略数量。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于网络安全的,更具体地,涉及一种基于ipsec vpn设备多策略自动化测试方法及系统。


技术介绍

1、目前业内使用的ipsec网络安全软件、设备等,普遍是使用成对的ipsec vpn设备,通过配置成对的网络策略,通过网络报文五元组信息判断,实现对网络报文的筛选,从而达到安全防护的目的。

2、在ipsec vpn设备实际使用中,因为网络环境的复杂性,配置此类策略的数量较多,尤其对于此类设备的研发企业,要求支持的策略数量甚至达到了几千条。如何在有限的局域网络测试环境中验证此类设备的安全策略是否正确及有效,就变得非常必要。

3、目前业内相关的测试方法多是自动化生成安全策略或自动获取安全策略后比较策略是否符合设置要求。一方面,对于安全策略是否真实有效,即不符合要求的报文无法通过,符合要求的报文可以通过的实际网络连通性的自动化批量测试方法较少。另一方面,如果要测试实际网络的连通性,往往需要真实的硬件环境的支持,这对于一般的网络测试环境,不具备大量测试硬件条件。

4、基于此,亟需设计一种用于ipsec vpn设备中安全策略的正确性及安全通道的连通性进行测试的方法,以实现可自动化批量验证ipsec vpn设备支持的最大安全策略数量。


技术实现思路

1、本专利技术旨在克服上述现有技术的至少一种缺陷,提供一种基于ipsec vpn设备多策略自动化测试方法。

2、本专利技术还公开一种加载有基于ipsec vpn设备多策略自动化测试方法的系统。

3、本专利技术详细的技术方案如下:

4、一种基于ipsec vpn设备多策略自动化测试方法,所述方法包括:

5、s1、根据ipsec vpn设备的安全策略生成相应的测试网络报文,所述测试网络报文包括报头信息和数据信息;

6、s2、控制测试主机与待测网络安全设备所连接的一个网卡发送所述测试网络报文,并控制测试主机与待测网络安全设备所连接的另一个网卡接收所述测试网络报文,将接收到的所述测试网络报文确定为目标网络报文;

7、s3、读取并解析所述目标网络报文,并验证所述目标网络报文是否与所述测试网络报文相符,若结果相符,则记录策略测试通过,否则为测试失败。

8、根据本专利技术优选的,步骤s1中,所述测试网络报文分为合法网络报文和非法网络报文;

9、所述合法网络报文为测试网络报文的五元组信息范围均在对应的所述安全策略的五元组信息范围内;

10、所述非法网络报文为测试网络报文的五元组信息范围中存在至少一个元组信息范围与对应的所述安全策略的五元组信息范围不同;

11、其中,所述测试网络报文和安全策略的五元组信息范围均是指源ip范围、目的ip范围、源端口范围、目的端口范围和协议号范围。

12、根据本专利技术优选的,步骤s1中,所述根据ipsec vpn设备的安全策略生成相应的测试网络报文,具体包括:

13、对ipsec vpn设备的所有安全策略的五元组信息范围进行解析,得到每条安全策略的五元组信息范围解析结果;

14、根据解析结果,选取一条符合所述安全策略的五元组信息范围的五元组信息作为所述合法网络报文的报头信息;以及,选取一条不符合所述安全策略的五元组信息范围的五元组信息作为所述非法网络报文的报头信息;

15、根据解析结果,并基于预设规则生成含有识别码、策略状态、随机数据以及校验码的数据包分别作为所述合法网络报文和非法网络报文的数据信息;

16、其中,所述识别码位于数据信息的头部,为4字节,用于甄别该数据信息所属报文是否为所述合法网络报文或非法网络报文;

17、所述策略状态为4字节,且定义前2个字节为策略编号,后2个字节为标识位,用于标识策略对应生成的网络报文是否合法,其中,定义合法网络报文的标识位为aaaa,定义非法网络报文的标识位为5555;

18、所述随机数据为随机生成的16字节数据;

19、所述校验码位于数据信息的尾部,共8位,为所述识别码、策略状态、随机数据的crc校验数据,用于验证其是否正确。

20、根据本专利技术优选的,步骤s1中,所述选取一条不符合所述安全策略的五元组信息范围的五元组信息作为所述非法网络报文的报头信息,具体包括:

21、将所述安全策略的五元组信息范围中的源ip范围转换为cidr表示法,并找到转换后的ip子网范围,比较转换前的安全策略的源ip范围与转换后的ip子网范围之间是否存在范围间隙,若存在范围间隙,则将范围间隙中的任一个ip作为所述非法网络报文的源ip;

22、若不存在范围间隙,则将所述安全策略的五元组信息范围中的目的ip范围转换为cidr表示法,并找到转换后的ip子网范围,比较转换前的安全策略的目的ip范围与转换后的ip子网范围之间是否存在范围间隙,若存在范围间隙,则将范围间隙中的任一个ip作为所述非法网络报文的目的ip;

23、若没有,则将所述安全策略的五元组信息范围中的源端口范围与0-65535进行比较,找到源端口范围间隙,并取源端口范围间隙中的任一个端口作为所述非法网络报文的源端口;

24、若不存在源端口范围间隙,则将所述安全策略的五元组信息范围中的目的端口范围与0-65535进行比较,找到目的端口范围间隙,并取目的端口范围间隙中的任一个端口作为所述非法网络报文的目的端口;

25、若不存在目的端口范围间隙,则将所述安全策略的五元组信息范围中的协议号范围与0-255比较,找到协议号范围间隙,并取协议号范围间隙中的任一个协议号作为所述非法网络报文的协议号。

26、根据本专利技术优选的,步骤s1还包括:将所述合法网络报文的报头信息中五元组信息的源ip范围与目的ip范围交换、将源端口范围与目的端口范围交换,得到反向合法报头信息;

27、同时更改所述合法网络报文的数据信息中的随机数据,根据更改后的随机数据生成新的校验码,最终得到反向合法数据信息;

28、组合反向合法报头信息和反向合法数据信息,得到反向合法网络报文;

29、以及,将所述非法网络报文的报头信息中五元组信息的源ip范围与目的ip范围交换、将源端口范围与目的端口范围交换,得到反向非法报头信息;

30、同时更改所述非法网络报文的数据信息中的随机数据,根据更改后的随机数据生成新的校验码,最终得到反向非法数据信息;

31、组合反向非法报头信息和反向非法数据信息,得到反向非法网络报文。

32、根据本专利技术优选的,步骤s1还包括:根据所述合法网络报文和非法网络报文的五元组信息中的源ip及对应发送网卡的mac地址分别生成对应的arp通告报文,根据所述反向合法网络报文和反向非法网络报文的五元组信息中的源ip及对应发送网卡的mac地址分别生成对应的反向arp通告报文;所述arp通告报文和反向arp通告报文均用于广播本地的ip地址和mac地址。...

【技术保护点】

1.一种基于IPSec VPN设备多策略自动化测试方法,其特征在于,所述方法包括:

2.根据权利要求1所述的基于IPSec VPN设备多策略自动化测试方法,其特征在于,步骤S1中,所述测试网络报文分为合法网络报文和非法网络报文;

3.根据权利要求2所述的基于IPSec VPN设备多策略自动化测试方法,其特征在于,步骤S1中,所述根据IPSec VPN设备的安全策略生成相应的测试网络报文,具体包括:

4.根据权利要求3所述的基于IPSec VPN设备多策略自动化测试方法,其特征在于,步骤S1中,所述选取一条不符合所述安全策略的五元组信息范围的五元组信息作为所述非法网络报文的报头信息,具体包括:

5.根据权利要求3所述的基于IPSec VPN设备多策略自动化测试方法,其特征在于,步骤S1还包括:将所述合法网络报文的报头信息中五元组信息的源IP范围与目的IP范围交换、将源端口范围与目的端口范围交换,得到反向合法报头信息;

6.根据权利要求5所述的基于IPSec VPN设备多策略自动化测试方法,其特征在于,步骤S1还包括:根据所述合法网络报文和非法网络报文的五元组信息中的源IP及对应发送网卡的MAC地址分别生成对应的ARP通告报文,根据所述反向合法网络报文和反向非法网络报文的五元组信息中的源IP及对应发送网卡的MAC地址分别生成对应的反向ARP通告报文;所述ARP通告报文和反向ARP通告报文均用于广播本地的IP地址和MAC地址。

7.根据权利要求5所述的基于IPSec VPN设备多策略自动化测试方法,其特征在于,步骤S2具体包括:控制测试主机与待测网络安全设备所连接的第一网卡发送所述合法网络报文和非法网络报文,控制测试主机与待测网络安全设备所连接的第二网卡接收所述合法网络报文和非法网络报文并将其保存为目标网络报文;

8.根据权利要求6所述的基于IPSec VPN设备多策略自动化测试方法,其特征在于,步骤S2具体还包括:控制测试主机与待测网络安全设备所连接的第一网卡广播所述ARP通告报文,控制测试主机与待测网络安全设备所连接的第二网卡广播所述反向ARP通告报文。

9.根据权利要求7所述的基于IPSec VPN设备多策略自动化测试方法,其特征在于,步骤S3具体包括:

10.一种实现基于IPSec VPN设备多策略自动化测试方法的系统,其特征在于,所述系统包括:

...

【技术特征摘要】

1.一种基于ipsec vpn设备多策略自动化测试方法,其特征在于,所述方法包括:

2.根据权利要求1所述的基于ipsec vpn设备多策略自动化测试方法,其特征在于,步骤s1中,所述测试网络报文分为合法网络报文和非法网络报文;

3.根据权利要求2所述的基于ipsec vpn设备多策略自动化测试方法,其特征在于,步骤s1中,所述根据ipsec vpn设备的安全策略生成相应的测试网络报文,具体包括:

4.根据权利要求3所述的基于ipsec vpn设备多策略自动化测试方法,其特征在于,步骤s1中,所述选取一条不符合所述安全策略的五元组信息范围的五元组信息作为所述非法网络报文的报头信息,具体包括:

5.根据权利要求3所述的基于ipsec vpn设备多策略自动化测试方法,其特征在于,步骤s1还包括:将所述合法网络报文的报头信息中五元组信息的源ip范围与目的ip范围交换、将源端口范围与目的端口范围交换,得到反向合法报头信息;

6.根据权利要求5所述的基于ipsec vpn设备多策略自动化测试方法,其特征在于,步骤s1还包括:根据所述合法网络报文和非法网络报文的五元组信息中的源ip及...

【专利技术属性】
技术研发人员:李铁李岩于长发李九洲白青贺亓明哲
申请(专利权)人:山东华翼微电子技术股份有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有