一种包过滤策略的测试方法、装置、系统及设备、介质与流程

本申请涉及网络安全技术领域，特别设计一种包过滤策略的测试方法、装置、系统及设备、介质。

背景技术：

随着互联网的迅速发展和广泛应用，网络攻击也越来越多，为了降低网络攻击带来的风险，包过滤技术成为研究热点之一。其中，包过滤技术是一种数据包分类技术，一般通过匹配传入包过滤设备的数据包的包头信息与包过滤策略，来决策接受或者拒绝传入的数据包。随着用户对网络安全要求的提高，包过滤策略的数目越来越多。

包过滤策略数目的增加虽然可以增加安全性，但同时网络节点的包过滤设备也容易出现单点故障，为了避免故障的出现导致通信中断或网络安全性降低，通常在该网络节点处部署两个包过滤设备，其中一个为主过滤设备，另一个为备过滤设备，主过滤设备上配置包过滤策略后，同步备份到备过滤设备，故障实现时，进行主备切换。

将包过滤策略从主过滤设备同步至的备过滤设备后，相关技术为了保证备过滤设备被切换为主过滤设备时能对流量进行有效过滤，会通过主备切换，将备过滤设备切换成主过滤设备后，向其发送测试流量，然后通过分析测试流量对包过滤策略的命中计数，验证同步后的包过滤策略的有效性。虽然可以验证同步后的包过滤策略的有效性，但是实际操作过程中易出现数据包丢包或者重传的状况。

技术实现要素：

有鉴于此，本申请提供一种包过滤策略的测试方法、装置、系统及设备、介质，不进行包过滤设备之间的主备切换，即可验证备过滤设备上同步后的包过滤策略的有效性，同时可以有效降低数据包的丢包率及重传率。

本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种包过滤策略的测试系统，包括相互连接的主过滤设备、备过滤设备及辅助设备，其中：

所述主过滤设备将其包过滤策略同步至所述备过滤设备；

所述辅助设备接收所述包过滤策略的描述信息，并根据所述描述信息生成与所述包过滤策略对应的acl策略；

所述acl策略对应的动作为：

将流向所述主过滤设备的测试流量，分别向所述主过滤设备与所述备过滤设备发送，以便测试同步后的包过滤策略的有效性。

在一个实施例中，所述描述信息包括所述包过滤策略的源地址与目的地址；所述acl策略对应于所述源地址与所述目的地址。

在一个实施例中，前述系统还包括远端服务器，所述主过滤设备配置包过滤策略时，生成操作日志并向所述远端服务器发送；

所述备过滤设备同步包过滤策略时，生成操作日志并向所述远端服务器发送：

所述远端服务器通过比对接收到的操作日志，确定同步后的包过滤策略的正确性。

根据本申请的第二方面，提供一种包过滤策略的测试系统，包括相互连接的主过滤设备、备过滤设备及辅助设备，其中，所述备过滤设备上同步有所述主过滤设备的包过滤策略；所述辅助设备用于：

接收流向所述主过滤设备的测试流量；

获取与所述测试流量对应的acl策略；所述acl策略与所述包过滤策略对应；所述包过滤策略用于过滤所述测试流量中的数据包；

根据所述acl策略，分别向所述主过滤设备及所述备过滤设备发送所述测试流量，以便测试同步后的包过滤策略的有效性。

在一个实施例中，所述辅助设备将流向所述主过滤设备的测试流量分别向所述主过滤设备与所述备过滤设备发送时，向所述主过滤设备发送所述测试流量；修改所述测试流量的mac地址为所述备过滤设备的mac地址，并向所述备过滤设备发送修改后的测试流量。

在一个实施例中，所述描述信息包括所述包过滤策略的源地址；所述辅助设备获取与所述测试流量对应的acl策略时，读取所述测试流量的源地址与目的地址；获取与所述源地址与所述目的地址对应的acl策略。

在一个实施例中，前述系统还包括远端服务器，所述主过滤设备与所述备过滤设备过滤所述测试流量后，分别生成测试结果并向所述远端服务器发送：

所述远端服务器通过比对接收到的测试结果，确定同步后的包过滤策略的有效性。

根据本申请的第三方面，提供一种包过滤策略的测试方法，包括：

接收包过滤策略的描述信息；所述包过滤策略为主过滤设备向备过滤设备同步的包过滤策略；

根据所述描述信息，生成与所述包过滤策略对应的acl策略；

所述acl策略对应的动作为：

将流向所述主过滤设备的测试流量分别向所述主过滤设备与所述备过滤设备发送，以测试同步后的包过滤策略的有效性。

在一个实施例中，所述描述信息包括所述包过滤策略的源地址与目的地址；所述acl策略对应于所述源地址与所述目的地址。

根据本申请的第四方面，提供一种包过滤策略的测试方法，包括：

接收流向主过滤设备的测试流量；

获取与所述测试流量对应的acl策略；所述acl策略与所述主过滤设备向备过滤设备同步的包过滤策略对应；所述包过滤策略用于过滤所述测试流量中的数据包；

根据所述acl策略，分别向所述主过滤设备及所述备过滤设备发送所述测试流量；以便测试同步后的包过滤策略的有效性。

在一个实施例中，所述描述信息包括所述包过滤策略的源地址；所述获取与所述测试流量对应的acl策略，包括：

读取所述测试流量的源地址与目的地址；

获取与所述源地址与所述目的地址对应的acl策略。

在一个实施例中，所述将流向所述主过滤设备的测试流量分别向所述主过滤设备与所述备过滤设备发送，包括：

向所述主过滤设备发送所述测试流量；

修改所述测试流量的mac地址为所述备过滤设备的mac地址，并向所述备过滤设备发送修改后的测试流量。

根据本申请的第五方面，提供一种包过滤策略的测试装置，包括：

信息接受模块，用于接收包过滤策略的描述信息；所述包过滤策略为主过滤设备向备过滤设备同步的包过滤策略；

acl生成模块，用于根据所述描述信息，生成与所述包过滤策略对应的acl策略；

所述acl策略对应的动作为：

将流向所述主过滤设备的测试流量分别向所述主过滤设备与所述备过滤设备发送，以测试同步后的包过滤策略的有效性。

根据本申请的第六方面，提供一种包过滤策略的测试装置，包括：

流量接收模块，用于接收流向主过滤设备的测试流量；

acl获取模块，用于获取与所述测试流量对应的acl策略；所述acl策略与所述主过滤设备向备过滤设备同步的包过滤策略对应；所述包过滤策略用于过滤所述测试流量中的数据包；

流量发送模块，用于根据所述acl策略，分别向所述主过滤设备及所述备过滤设备发送所述测试流量；以便测试同步后的包过滤策略的有效性。

根据本申请的第七方面，提供一种计算机设备，该计算机设备包括：

处理器；

存储处理器可执行指令的存储器；

其中，所述处理器耦合于所述存储器，用于读取所述存储器存储的程序指令，并作为响应，执行如上所述方法中的操作。

根据本申请的第八方面，提供一个或多个机器可读存储介质，其上存储有指令，当由一个或多个处理器执行时，执行如上所述方法中的操作。

由以上本申请提供的技术方案可见，在主过滤设备的包过滤策略同步至备过滤设备后，根据该被同步的包过滤策略的描述信息生成对应的acl策略，可以在辅助设备接收到流向主过滤设备的测试流量时，不进行主过滤设备与备过滤设备间的主备切换，根据对应的acl策略，将测试流量分别向主过滤设备与备过滤设备发送，进而验证同步后的包过滤策略的有效性，该测试过程省去了主备切换的过程，所以，可以有效避免主备切换导致的丢包，相较于相关技术，在不进行主备切换的情况下既可以快捷测试备过滤设备上同步后的包过滤策略的有效性，也可以有效降低测试流量的丢包率及重传率。

附图说明

图1是本申请一示例性实施例示出的网络架构图；

图2是本申请一示例性实施例示出的包过滤策略的测试系统的网络架构图；

图3是本申请一示例性实施例示出的包过滤策略的测试系统的交互图；

图4是本申请另一示例性实施例示出的包过滤策略的测试系统的交互图；

图5是本申请一示例性实施例示出的包过滤策略的测试方法的示意图；

图6是本申请另一示例性实施例示出的包过滤策略的测试方法的示意图；

图7是本申请一示例性实施例示出的包过滤策略的测试装置的框图；

图8是本申请另一示例性实施例示出的包过滤策略的测试装置的框图；

图9是本申请一示例性实施例示出的计算机设备的硬件结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本申请实施例涉及的主过滤设备与被过滤设备，可以是具有包过滤功能及双机功能的任何网络设备，某些场景下可以为防火墙或过滤路由器等。为了避免包过滤设备出现故障导致通信中断或网络安全性降低，目前的解决方案如图1所示，可以配置两个包过滤设备，其中一个为主过滤设备，另一个为备过滤设备，本例子中以防火墙为例进行示例说明，防火墙120为主过滤设备，防火墙130为备过滤设备，均安装在内部网络与因特网连接的地方，用于控制内部网络与因特网之间的流量(也可以称为数据流)。

其中，防火墙120上创建包过滤策略后，会同步备份到作为备过滤设备的防火墙130，以便在防火墙120出现故障时，将防火墙130切换为主过滤设备，对内部网络与因特网之间的流量进行过滤。

为了保证防火墙130切换为主过滤设备的情况下能有效过滤数据包，需要预先测试防火墙130上包过滤策略的有效性，通常的做法为通过主备切换，将防火墙130切换成主过滤设备后，向其发送测试流量，然后通过分析测试流量对包过滤策略的命中计数，验证同步后的包过滤策略的有效性。

实际操作时，测试端160生成用于测试同步后包过滤策略c的测试流量c，该测试流量c的源地址、目的地址与包过滤策略c的源地址及目的地址相应。

测试端160向辅助设备110发送流向主过滤设备120测试流量c，防火墙130与防火墙120进行主备切换，切换后，防火墙130变为主过滤设备，防火墙120变为备过滤设备，辅助设备110向其连接的主过滤设备，即防火墙130发送测试流量c，防火墙130接收到测试流量c后，根据包过滤策略c对其进行过滤，并生成过滤日志，如果过滤后发现是允许通过的测试流量，则向辅助设备140发送，辅助设备140将其发送到用户端170，相关测试人员可以根据过滤日志中的命中计数验证防火墙130内包过滤策略c的有效性。但是测试过程中数据包的丢包率与重传率较高。本申请的发明人经过反复的研究验证，发现测试过程丢包率与重传率之所以比较高，是因为防火墙130与防火墙120进行主备切换需要耗费一定的时间，该时间内传送的测试流量易发生丢包，这才导致该测试过程的丢包率与重传较高。

为解决上述测试过程中的问题，本申请的发明人提出了一种包过滤策略的测试方法、装置、系统及设备、介质，在主过滤设备的包过滤策略同步至备过滤设备后，根据包过滤策略的描述信息生成对应的acl策略，可以在辅助设备接收到流向主过滤设备的测试流量时，不对主过滤设备与备过滤设备进行主备切换，根据对应的acl策略，将测试流量分别向主过滤设备与备过滤设备发送，进而验证同步后的包过滤策略的有效性，因为该测试过程省去了主备切换的过程，所以，可以有效避免因主备切换导致的丢包，相较于相关技术，在不进行主备切换的情况下既可以快捷测试备过滤设备上同步后的包过滤策略的有效性，也可以有效降低测试流量的丢包率及重传率。

本申请的包过滤策略的测试系统可以如图2所示，包括辅助设备210、主过滤设备220与备过滤设备230，三者通过网络两两相连(相互连接)，这里提到的网络可以是这里提到的网络可以是有线或无线网络，例如，主过滤设备220与备过滤设备230通过心跳线连接。

其中，辅助设备210负责将流量路由到主过滤设备220或备过滤设备230，可以是交换机、路由器等具有路由功能的网络设备。

主过滤设备220与备过滤设备230可以是能够支持包过滤与双机功能的任何网络设备，如防火墙或过滤路由器，图2中只是以防火墙为例进行示例，并非用于限定本申请的主/备过滤设备。这里提到的双机功能，在一个例子中，指两台设备具有主备角色的区别，只有一台设备正常进行流量过滤；另一个例子中，两台设备虽有主备角色的区别，但是两台设备均同时针对不同流量进行过滤。

以防火墙示例的情况下，主过滤设备220与备过滤设备230均可以安装在内部网络与因特网连接的地方，用于控制内部网络与因特网之间的流量(也可以称为数据流)。

一些场景下，主过滤设备220因业务需要，需创建新的包过滤策略，为了便于发生故障时，由备过滤设备230替代主过滤设备220对流量进行过滤，需要将创建的包过滤策略同步至备过滤设备230，另外为了保证备过滤设备230上同步后的包过滤策略能对流量进行有效控制，需要测试同步后的包过滤策略的有效性，而本申请方案为了在不进行主备切换的情况下，测试包过滤策略的有效性，针对同步的包过滤策略，辅助设备210可以先接收被同步的包过滤策略的描述信息。然后根据包过滤策略的描述信息生成acl策略。该acl策略对应的操作为：将流向主过滤设备220的测试流量，分别向主过滤设备220与备过滤设备230发送，以测试同步后的包过滤策略的有效性。某些例子中，这里的描述信息可以由主过滤设备220或备过滤设备230生成并向辅助设备发送。其他例子中也可以通过本领域的其他技术手段实现，对此本申请实施例不做限制。

为了准确地对应测试流量与同步后的包过滤策略，即向主过滤设备220与备过滤设备230精确发送用于测试同步后的包过滤策略的测试流量，某些例子中，描述信息可以包括被同步的包过滤策略的源地址与目的地址，相应的，根据描述信息生成的acl策略，对应于包过滤策略的源地址与目的地址，对应的动作可以描述为：通过+源端口入方向镜像+修改二层头+修改目的mac地址。其中，镜像目的接口为与辅助设备210与备过滤设备230相连的接口。实际的动作可以包括：允许所述测试流量通过，向主过滤设备发送；入方向镜像测试流量的源端口；修改测试流量第二层头目，并修改目的mac地址为备过滤设备230的mac地址，向备过滤设备230发送修改后的测试流量。

这里生成的acl策略为入方向acl策略，其源地址与目的地址可以与待测试的包过滤策略的一致，mac地址为备过滤设备230的mac地址，源地址与目的地址可以是源ip地址与目的ip地址，与通信采取的网络层协议相关。

在其他例子中，为了进一步提高准确性，描述信息可以包括同步的包过滤策略的名称、源地址、目的地址、服务中的协议号或者端口号、生效时间等，相应的，根据描述信息生成的acl策略，对应于包过滤策略的名称、源地址、目的地址、协议、生效时间等，对应的动作可以描述为：通过+源端口入方向镜像+修改二层头+修改目的mac地址。其中，镜像目的接口为与辅助设备210与备过滤设备230相连的接口。实际的动作可以包括：允许所述测试流量通过，向主过滤设备发送；入方向镜像测试流量的源端口；修改测试流量第二层头目，并修改目的mac地址为备过滤设备230的mac地址，向备过滤设备230发送修改后的测试流量。

需要注意的是，生成的acl策略为入方向acl策略，其名称、源地址、目的地址、服务中的协议号或者端口号、生效时间等，可以与待测试的包过滤策略的一致，其mac地址为备过滤设备230的mac地址，源地址与目的地址可以是源ip地址与目的ip地址，与通信采取的网络层协议相关。

辅助设备210生成acl策略后，某一些场景下，本申请实施例可以立即通过辅助设备210完成对同步后的包过滤策略的测试，另一些场景下，本申请实施例也可以间隔一段时间后，再通过辅助设备210挖出对对同步后的包过滤策略的测试，具体测试过程如下：

辅助设备210接收流向所述主过滤设备的测试流量；一例子中，这里的测试流量可以由测试端260对应同步的包过滤策略设置，与同步的包过滤策略具有相应的源地址与目的地址。

辅助设备210获取与所述测试流量对应的acl策略；该acl策略如前所述，与待测的包过滤策略(即前述同步后的包过滤策略)对应；该包过滤策略用于过滤所述测试流量中的数据包。一例子中，可以通过读取测试流量的源地址与目的地址，获取与所述测试流量对应的acl策略。

辅助设备210根据所述acl策略，分别向主过滤设备220及备过滤设备230发送所述测试流量，以便测试同步后的包过滤策略的有效性。

某些例子中，根据前述包过滤策略对应的动作，辅助设备210可以通过修改所述测试流量的mac地址为所述备过滤设备的mac地址，向所述备过滤设备发送修改后的测试流量。

主过滤设备220与备过滤设备230接收测试流量后，具体如何测试包过滤策略的有效性，某些例子中，可以采用本领域惯用的技术手段，如查看备过滤设备230上的包过滤日志，进而判断测试流量对包过滤策略的命中技术是否在预期的范围内，如果在预期范围内，则同步后的包过滤策略有效，备过滤设备230可以通过辅助设备240将测试流量发送至用户端270，其中，为将允许通过的测试流量发送至用户端，主过滤设备220与备过滤设备230分别与辅助设备240连接。

如果不在预期范围内，则同步后的包过滤策略无效，不允许测试流量经辅助设备240到达用户端270。在其他实施例中也可以采取其他方式判断同步后的包过滤策略是否有效，本申请实施例对此不做限制。

由上述实施例可知，本申请提供的包过滤策略的测试系统，在不进行主备切换的情况下既可以快捷测试备过滤设备上同步后的包过滤策略的有效性，也可以有效降低测试流量的丢包率及重传率。以下结合图3及图4分别进一步详细介绍下同步包过滤策略的过程、生成acl策略的过程及根据acl策略测试包过滤策略的过程。

图3示出了本申请提供的包过滤策略的测试系统同步包过滤策略及为了测试包过滤策略有效性生成acl策略的过程中，各设备间的交互操作。

如图3所示，本申请的包过滤策略的测试系统可以包括辅助设备310、主过滤设备320与备过滤设备330，三者通过网络两两相连。主过滤设备320应业务需要，执行步骤s301，创建包过滤策略并生成操作日志；为出现故障时由备过滤设备330替代主过滤设备320对流量进行过滤，主过滤设备320向备过滤设备330发送创建的包过滤策略(s302)，备过滤设备330备份该包过滤策略并生成操作日志(s303)。

在主过滤设备320与备过滤设备330完成包过滤策略的同步后，为了便于后续在不进行主备切换的情况下测试同步后的包过滤策略的有效性，辅助设备310可以接收该包过滤策略的描述信息(s308)，根据该描述信息生成对应的acl策略(步骤s309)。这里提到的描述信息及acl策略如前所述，在此不再赘述。

一例子中，辅助设备310接收的包过滤策略可以由主过滤设备320或备过滤设备330向辅助设备直接发送(步骤s307)，在其他实例子中，也可以由其他设备发送，例如分别连接辅助设备310、主过滤设备320与备过滤设备330的网络设备，向辅助设备310发送。

某些情况下，主过滤设备320与备过滤设备330同步包过滤策略的过程可能出错，导致备过滤设备330上的包过滤策略与主过滤设备320上的包过滤策略不一致，进而影响后续的测试过程，为了避免同步过程出错导致测试失败，本申请实施例中，可以通过人工的方式查看对比两台过滤设备320与330上的包过滤策略的配置，确认两台过滤设备上的包过滤策略一致。

但是，这种通过人工查看的方式较耗时间，尤其是包过滤策略较多的情况下，为此，本申请实施例的包过滤测试系统还可以包括远端服务器350，该远端服务器350可以通过主/备过滤设备320、330与用户端之间的辅助设备，分别与主过滤设备320与备过滤设备330连接。

主过滤设备220可以将创建包过滤策略时生成的操作日志发送至远端服务器350(步骤s304)，备过滤设备330可以将备份包过滤策略时生成的操作日志发送至远端服务器350(步骤s305)。远端服务器350可以通过对比两份操作日志，确定同步后的包过滤策略的正确性(步骤s306)。

对比两份操作日志时，一例子中可以人工查看远端服务器350中两份操作日志的配置参数，来确认同步后的包过滤策略的正确性，但是该方式效率较低，为此，另一例子中，远端服务器350可以创建两个文件夹，如opertion_master与opertion_backup，其中，opertion_master文件夹保存主过滤设备320上配置包过滤策略时的操作日志，opertion_backup文件夹保存备过滤设备330上备份包过滤策略时生成的操作日志。

远端服务器350上安装对比工具，如beyondcompare，通过该工具选中两个文件夹，如opertion_master与opertion_backup这两个文件夹，将两个文件夹中的数据进行对比，验证同步后的包过滤策略的正确性，若一致，则主过滤设备320与备过滤设备330上的包过滤策略的功能正常；若不一致,则根据对比工具提示不一致的地方，判断出未同步的包过滤策略。

图4示出了本申请提供的包过滤策略的测试系统根据acl策略，测试同步后的包过滤策略的有效性的过程中，各设备间的交互操作。

如图4所示，本申请的包过滤策略的测试系统可以包括辅助设备410、主过滤设备420与备过滤设备430，三者通过网络两两相连。

为了保证主过滤设备420出现故障时，备过滤设备430替代主过滤设备420对流量进行过滤，测试端生成用于测试流量，用于测试备过滤设备430上同步后的包过滤策略的有效性，该测试流量与现有测试过程中的测试流量一样，被配置为流向主过滤设备420。

测试端发送测试流量后，辅助设备410接收测试流量(步骤s401)，为了在不进行主备切换的情况下，将流向主过滤设备420的测试流量，发送至主过滤设备420的情况下，也向备过滤设备430发送，辅助设备410根据测试流量获取acl策略(s402)；根据所述acl策略将测试流量分别向主过滤设备420与备过滤设备430发送(s403)。后续的测试过程可以参照本领域惯用的技术手段，也可以采取其他方式，本申请实施例，对此不做限制。这里提到的描述信息及acl策略如前所述，在此不再赘述。

一例子中，主过滤设备420接收测试流量后，按照其包过滤策略过滤测试流量并生成过滤日志(s404)，备过滤设备430接收测试流量后，按照其包过滤策略过滤测试流量并生成过滤日志(s405)。为确定备过滤设备430上同步后的包过滤策略的有效性，本申请可以通过人工的方式查看对比两台过滤设备420与430上的包过滤日志，确认命中技术是否一致，或者查看备过滤设备430上的命中技术是否在预期范围内。

但是，这种通过人工查看的方式较耗时间，尤其是包过滤策略较多的情况下，为此，本申请实施例的包过滤测试系统还可以包括远端服务器450，该远端服务器450可以通过主/备过滤设备420、430与用户端之间的辅助设备，分别与主过滤设备420与备过滤设备430连接。

主过滤设备420可以将过滤测试流量时生成的测试结果发送至远端服务器450(步骤s406)，备过滤设备430可以将备份包过滤策略时生成的测试结果发送至远端服务器450(步骤s407)。远端服务器450可以通过对比两份测试结果，确定同步后的包过滤策略的有效性(步骤s408)。这里的测试结果可以是包过滤日志，含有测试流量对包过滤策略的命中计数

对比两份测试结果时，一例子中，可以人工查看远端服务器450中两份测试结果的命中计数，来确认同步后的包过滤策略的有效性性，但是该方式效率较低，为此，另一例子中，远端服务器450可以创建两个文件夹，如test_master与test_backup，其中，文件夹test_master保存主过滤设备420的测试结果，文件夹test_backup保存备过滤设备430的测试结果，远端服务器450上安装对比工具，如beyondcompare，通过该工具选中两个文件，如test_master与test_backup这两个文件夹，将两个文件夹中的测试结果进行对比，验证同步后的包过滤策略的有效性，若一致，则主过滤设备420与备过滤设备430上的包过滤策略均有效；若不一致，则备过滤设备430上同步后的包过滤策略无效。

由上述实施例可知，本申请的包过滤策略的测试系统，可以克服现有测试方法需要通过人工对比两台设备上的包过滤策略来确认包过滤配置同步的正确性的弊端，无需进行主备倒换，即可测试同步后包过滤策略的有效性，优化了测试同步后包过滤配置的有效性的流程，降低了数据包的丢失率与重传率，能有效提高测试效率，减少网络资源消耗。

以下详细描述下本申请提供的包过滤策略的测试方法与装置。

请参阅图5，图5是本申请一示例性实施例示出的包过滤策略的测试方法的流程图。

图5所示的包过滤策略的测试方法涉及的计算机设备，可以是图2至图4中任一涉及的实施例中的辅助设备，图5所示方法可以应用于辅助设备，包括以下步骤s501-s502：

步骤s501，接收包过滤策略的描述信息；所述包过滤策略为主过滤设备向备过滤设备同步的包过滤策略。

步骤s502，根据所述描述信息，生成与所述包过滤策略对应的acl策略；所述acl策略对应的动作为：将流向所述主过滤设备的测试流量分别向所述主过滤设备与所述备过滤设备发送，以测试同步后的包过滤策略的有效性。

本申请实施例涉及的技术内容与图2至图4涉及的技术内容相应，如描述信息、acl策略、测试流量、包过滤策略、主过滤设备及被过滤设备等，在此不再赘述。

在一个实施例中，所述描述信息包括所述包过滤策略的源地址与目的地址；所述acl策略对应于所述源地址与所述目的地址。以下结合具体的应用场景，说明下本申请实施例涉及的包过滤策略、描述信息及acl策略。

具体的应用场景中，主过滤设备上配置有一条包过滤策略1，源域为trust(靠近测试端的辅助设备sw1与主过滤设备连接的接口所属安全域)，目的域为untrust(靠近用户端的辅助设备sw2与主过滤设备连接的接口所属安全域)，源地址为地址对象192(地址对象中ip地址为192.168.1.10/32)，目的地址为地址对象10(地址对象中ip地址为10.10.1.10/32)，服务为http，动作为直接通过+命中日志。

辅助设备sw1，例如图2所示的辅助设备410根据包过滤策略1，生成对应的入方向acl策略1，其源ip为192.168.1.10/32，目的ip为10.10.1.10/32，协议选择为tcp，源端口为0～65535，目的端口为80，物理端口为测试端与辅助设备sw1连接的接口，动作为：通过+源端口入方向镜像+修改二层头+修改目的mac，镜像目的接口为与备过滤设备相连的接口。

以此类推，主过滤设备上配置多条包过滤策略时，通过心跳口将全部包过滤策略同步给备过滤设备，辅助设备sw1可以相应生成多条入方向acl策略,各项参数都一一对应，如名称、源地址、目的地址等，如前所述，此处不再赘述。

图6所示的包过滤策略的测试方法涉及的计算机设备，可以是图2至图4中任一涉及的实施例中的辅助设备，图6所示方法可以应用于辅助设备，包括以下步骤s601-s603：

步骤s601，接收流向主过滤设备的测试流量；该测试流量如图2至图5涉及的实施例中所述，在此不再赘述。

步骤s602，获取与所述测试流量对应的acl策略；所述acl策略与所述主过滤设备向备过滤设备同步的包过滤策略对应；所述包过滤策略用于过滤所述测试流量中的数据包。

步骤s603，根据所述acl策略，分别向所述主过滤设备及所述备过滤设备发送所述测试流量；以便测试同步后的包过滤策略的有效性。

本申请实施例涉及的技术内容与图2至图5涉及的技术内容相应，如描述信息、acl策略、测试流量、包过滤策略、主过滤设备及被过滤设备等，在此不再赘述。

在一个实施例中，所述描述信息包括所述包过滤策略的源地址；所述获取与所述测试流量对应的acl策略，包括：

读取所述测试流量的源地址与目的地址；

获取与所述源地址与所述目的地址对应的acl策略。

在另一个实施例中，所述将流向所述主过滤设备的测试流量分别向所述主过滤设备与所述备过滤设备发送，包括：

向所述主过滤设备发送所述测试流量；

修改所述测试流量的mac地址为所述备过滤设备的mac地址，并向所述备过滤设备发送修改后的测试流量。

其中，为保证主/备过滤设备与远端服务器及测试端间可以进行正常网络通信，主、备过滤设备上除同步有包过滤策略外，其源目安全域选择与测试流量发起方(测试端)、测试流量接收方(用户端)对应的安全域，确保测试端生成的测试流量经过主/备过滤设备时能命中包过滤策略，然后根据包过滤策略动作进行转发。

与前述方法实施例相对应，本申请还提供了装置的实施例。

参见图7，图7是本申请一示例性实施例示出的包过滤策略的测试装置的框图，该测试装置可以应用于图2至4中所示的辅助设备，该装置包括：信息接受模块710与acl生成模块720。

其中，信息接受模块710，用于接收包过滤策略的描述信息；所述包过滤策略为主过滤设备向备过滤设备同步的包过滤策略。

acl生成模块720，用于根据所述描述信息，生成与所述包过滤策略对应的acl策略；所述acl策略对应的动作为：

将流向所述主过滤设备的测试流量分别向所述主过滤设备与所述备过滤设备发送，以测试同步后的包过滤策略的有效性。

本实施例涉及的技术内容与前述方法、系统实施例相应，在此不再赘述。

一例子中，所述描述信息包括所述包过滤策略的源地址与目的地址；所述acl策略对应于所述源地址与所述目的地址。

参见图8，图8是本申请一示例性实施例示出的包过滤策略的测试装置的框图，该测试装置可以应用于图2至4中所示的辅助设备，该装置包括：流量接收模块810、acl获取模块820与流量发送模块830。

其中，流量接收模块810，用于接收流向主过滤设备的测试流量。

acl获取模块820，用于获取与所述测试流量对应的acl策略；所述acl策略与所述主过滤设备向备过滤设备同步的包过滤策略对应；所述包过滤策略用于过滤所述测试流量中的数据包。

流量发送模块830，用于根据所述acl策略，分别向所述主过滤设备及所述备过滤设备发送所述测试流量；以便测试同步后的包过滤策略的有效性。

本实施例涉及的技术内容与前述方法、系统实施例相应，在此不再赘述。

一例子中，所述描述信息包括所述包过滤策略的源地址；acl获取模块820还可以用于：

读取所述测试流量的源地址与目的地址；

获取与所述源地址与所述目的地址对应的acl策略。

另一例子中，流量发送模块830还可以用于：

向所述主过滤设备发送所述测试流量；

修改所述测试流量的mac地址为所述备过滤设备的mac地址，并向所述备过滤设备发送修改后的测试流量。

由以上本申请提供的技术方案可见，在主过滤设备的包过滤策略不同到备过滤设备后，根据包过滤策略的描述信息生成对应的acl策略，可以在辅助设备接收到流向主过滤设备的测试流量时，无需对主过滤设备与备过滤设备进行主备切换，即可以根据对应的acl策略，将测试流量分别向主过滤设备与备过滤设备发送进而验证同步后的包过滤策略的有效性，因为省去了主备切换的过程，所以，可以有效避免因主备切换过程中丢失的数据包，相对相关技术，在不进行主备切换的情况下，既可以快捷测试备过滤设备上同步后的包过滤策略的有效性，也可以有效降低测试流量的丢包率及重传率。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本申请包过滤策略的测试装置的实施例可以应用在计算机设备上。具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现中，计算机设备为计算机，计算机的具体形式可以是路由器、交换机、防火墙等支持acl策略或支持双机功能与包过滤策略的计算机设备中的至少一种或几种的组合。

装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在计算机设备的处理器将非易失性存储器等可读存储介质中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图9所示，为本申请包过滤策略的测试装置所在终端设备的一种硬件结构图，除了图9所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的计算机设备通常根据该计算机设备的实际功能，还可以包括其他硬件，对此不再赘述。其中，内存和非易失性存储器是计算机可读的存储器，终端设备的存储器可以存储处理器可执行的程序指令；处理器可以耦合存储器，用于读取所述存储介质存储的程序指令，并作为响应，执行以上任一实施例中包过滤策略的测试方法中的操作。

在其他实施例中，处理器所执行的操作可以参考以上所述包过滤策略的测试方法的实施例中相关的描述，在此不予赘述。

此外，本申请实施例还提供一种机器可读存储介质(计算机设备的存储器)，所述可读存储介质中存储有程序指令，所述程序指令包括以上所述包过滤策略的测试方法的各步骤对应的指令。当由一个或多个处理器执行时，使得处理器执行以上所述包过滤策略的测试方法中的操作。

本申请实施例可采用在一个或多个其中包含有程序代码的可读存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。计算机可用可读存储介质包括永久性和非永久性、可移动和非可移动媒体，可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。机器可读存储介质的例子包括但不限于：相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。