CN103067395A - 诊断网络防火墙的方法及装置 - Google Patents
诊断网络防火墙的方法及装置 Download PDFInfo
- Publication number
- CN103067395A CN103067395A CN201210591994XA CN201210591994A CN103067395A CN 103067395 A CN103067395 A CN 103067395A CN 201210591994X A CN201210591994X A CN 201210591994XA CN 201210591994 A CN201210591994 A CN 201210591994A CN 103067395 A CN103067395 A CN 103067395A
- Authority
- CN
- China
- Prior art keywords
- packet
- data
- diagnostic
- network firewall
- process data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种诊断网络防火墙的方法及装置。其中,该方法包括:将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第一过程数据;将第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为第一过程数据中与预设诊断数据相匹配的数据;对第二过程数据进行诊断,得到诊断结果。通过本发明,实现了准确快速定位网络故障的原因,并给出相关的解决方案的效果,帮助用户准确、快速、自动定位和分析网络防火墙自身配置、设置等导致第一数据包转发不正确出现的问题,从而建议用户更改设置以使第一数据包准确转发。
Description
技术领域
本发明涉及数据处理领域,具体而言,涉及一种诊断网络防火墙的方法及装置。
背景技术
当网络防火墙当自身出现配置不正确、数据包处理不当等问题以及网络防火墙设备上线之前需要验证配置和数据包能否正确处理时,需要对数据包在网络防火墙中每一步处理过程进行跟踪并及时记录下相关结果,并在出现问题的地方进行综合分析,给出诊断结果,分析其错误原因和处理建议。
目前,有两种方法对来分析和定位配置错误、数据包处理不当等问题。第一种方法,通过查看网络防火墙的配置、调试信息、日志手动定位和分析相关问题,只要是,当现有的网络防火墙设备中当出现配置问题和数据包处理错误时,管理员通过查看相关配置以及通过网络防火墙上相关调试信息和日志手动来定位和分析此类问题,但是采用该方法没有一套完整数据包路径检测系统来帮助管理员自动通过数据包在网络防火墙中通过每一模块的路径跟踪来诊断问题所在。
第二种方法为通过实验室复现现象方法来手动分析和定位配置错误、数据包处理不当等问题,即当数据包处理不正确时,通过实验室来模拟真实环境和相关配置来复现一模一样的现象来分析和定位相关网络防火墙自身出现的问题,但是采用该种方法需要消耗相当大的人力、物力去实现,成本和代价较高,并也要手动去分析问题的原因所在,无法自动来诊断和定位。
针对现有技术中对通过网络防火墙的数据包的诊断不准确,从而导致数据报文转发不正确的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术对通过网络防火墙的数据包的诊断不准确,从而导致数据报文转发不正确的问题,目前尚未提出有效的解决方案,为此,本发明的主要目的在于提供一种诊断网络防火墙的方法及装置,以解决上述问题。
为了实现上述目的,根据本发明的一个方面,提供了一种诊断网络防火墙的方法,该方法包括:将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第一过程数据;将第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为第一过程数据中与预设诊断数据相匹配的数据;对第二过程数据进行诊断,得到诊断结果。
进一步地,对第二过程数据进行诊断,得到诊断结果的步骤包括:查询获取第二过程数据的标识信息;读取与标识信息所对应的第一报文信息,第一报文信息为第一数据包的报文信息;对第一报文信息和第一配置参数进行对比分析,以获取诊断参数,其中,第一配置参数是网络防火墙的配置参数;保存第二过程数据、标识信息以及诊断参数,得到诊断结果。
进一步地,将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第一过程数据的步骤包括:获取对第一数据包进行过滤的过滤条件;根据过滤条件对通过网络防火墙的第一数据包进行过滤处理,以获取第一数据包中符合过滤条件的第二数据包;将网络防火墙对第二数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第一过程数据。
进一步地,获取通过网络防火墙的实时数据包,并将实时数据包作为第一数据包;或者,生成模拟数据包,并使模拟数据包通过网络防火墙以便网络防火墙将模拟数据包作为第一数据包;或者,解析预设数据包,并将解析后的预设数据包在网络防火墙中回放,以便网络防火墙将处理后的预设数据包作为第一数据包。
进一步地,对第二过程数据进行诊断,得到诊断结果的步骤包括:获取诊断时间;判断诊断时间是否达到预设诊断时间;在诊断时间达到预设诊断时间的情况下,对第二过程数据进行诊断,得到诊断结果。
为了实现上述目的,根据本发明的另一方面,提供了一种诊断网络防火墙的装置,该装置包括:第一处理模块,用于将网络防火墙对第一数据包进行解封装和检测处理的处理过程进行记录,以获取处理过程中产生的过程数据;第二处理模块,用于将第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为第一过程数据中与预设诊断数据相匹配的数据;第三处理模块,用于对第二过程数据进行诊断,得到诊断结果。
进一步地,第三处理模块包括:第一获取模块,用于查询获取第二过程数据的标识信息;读取模块,用于读取与标识信息所对应的第一报文信息,第一报文信息为第一数据包的报文信息;分析模块,用于对第一报文信息和第一配置参数进行对比分析,以获取诊断参数,其中,第一配置参数是网络防火墙的配置参数;保存模块,用于保存第二过程数据、标识信息以及诊断参数,得到诊断结果。
进一步地,第一处理模块包括:第二获取模块,用于获取对第一数据包进行过滤的过滤条件;过滤模块,用于根据过滤条件对通过网络防火墙的第一数据包进行过滤处理,以获取第一数据包中符合过滤条件的第二数据包;第四处理模块,用于将网络防火墙对第二数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第一过程数据。
进一步地,装置包括:第三获取模块,用于获取通过网络防火墙的实时数据包,并将实时数据包作为第一数据包;第一子处理模块,用于生成模拟数据包,并使模拟数据包通过网络防火墙以便网络防火墙将模拟数据包作为第一数据包;第二子处理模块,用于解析预设数据包,并将解析后的预设数据包在网络防火墙中回放,以便网络防火墙将处理后的预设数据包作为第一数据包。
进一步地,第三处理模块包括:第四获取模块,用于获取诊断时间;检测模块,用于检测诊断时间是否达到预设诊断时间;第五处理模块,用于在诊断时间达到预设诊断时间的情况下,对第二过程数据进行诊断,得到诊断结果。
通过本发明,通过对网络防火墙处理第一数据包的处理过程进行记录,对网络防火墙中的每一步相关模块的处理过程都会进行相关记录和分析,并在出现第一数据包丢弃或第一数据包在某个模块处理出错时会进行综合分析,获取诊断结果,解决了现有技术中对通过网络防火墙的数据包的诊断不准确,从而导致数据报文转发不正确的问题,实现了准确快速定位网络故障的原因,并给出相关的解决方案的效果,帮助用户准确、快速、自动定位和分析网络防火墙自身配置、设置等导致第一数据包转发不正确出现的问题,从而建议用户更改设置以使第一数据包准确转发。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的诊断网络防火墙的装置的结构示意图;
图2是根据本发明实施例的诊断网络防火墙的方法的流程图;
图3是根据图2所示实施例的根据模拟数据包诊断网络防火墙的系统结构图;
图4是根据图3所示实施例的过滤条件配置的示意图;
图5是根据本发明实施例的网络防火墙对数据包的处理过程的示意图;
图6是根据图2所示实施例的根据实时数据包过滤条件的示意图;以及
图7是根据图2所示实施例的根据预设数据包过滤条件的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
图1是根据本发明实施例的诊断网络防火墙的装置的结构示意图。如图1所示,该装置包括:第一处理模块10,用于将网络防火墙对第一数据包进行解封装和检测处理的处理过程进行记录,以获取处理过程中产生的过程数据;第二处理模块30,用于将第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为第一过程数据中与预设诊断数据相匹配的数据;第三处理模块50,用于对第二过程数据进行诊断,得到诊断结果。
采用本发明,通过第一处理模块将网络防火墙对第一数据包进行解封装和检测处理的处理过程进行记录,以获取所述处理过程中产生的过程数据,然后第二处理模块将过程数据与预设诊断数据进行对比,以获取过程数据中与预设诊断数据相一致的第二过程数据,并通过第三处理模块对所述第二过程数据进行诊断,得到诊断结果。通过对网络防火墙处理第一数据包的处理过程进行记录,对网络防火墙中的每一步相关模块的处理过程都会进行相关记录和分析,并在出现第一数据包丢弃或第一数据包在某个模块处理出错时会进行综合分析,获取诊断结果,解决了现有技术中对通过网络防火墙的数据包的诊断不准确,从而导致数据报文转发不正确的问题,实现了准确快速定位网络故障的原因,并给出相关的解决方案的效果,帮助用户准确、快速、自动定位和分析网络防火墙自身配置、设置等导致第一数据包转发不正确出现的问题,从而建议用户更改设置以使第一数据包准确转发。
根据本发明的上述实施例,第三处理模块可以包括:第一获取模块,用于获取第二过程数据的标识信息;读取模块,用于读取与标识信息所对应的第一报文信息,第一报文信息为第一数据包的报文信息;分析模块,用于对第一报文信息和第一配置参数进行对比分析,以获取诊断参数,第一配置参数是网络防火墙的配置参数;保存模块,用于保存第二过程数据、标识信息以及诊断参数,得到诊断结果。
其中,预设诊断第一数据包括网络防火墙与第一数据包中断通信的数据,诊断参数包括用于修改第一配置参数的修改数据,使用修改数据修改第一配置参数以使网络防火墙与所述第一数据包恢复通信。
在本发明的上述实施例中,装置可以包括:第二获取模块,用于获取对第一数据包进行过滤的过滤条件;过滤模块,用于根据过滤条件对通过网络防火墙的第一数据包进行过滤处理,以获取第一数据包中符合过滤条件的第二数据包;第四处理模块,用于将网络防火墙对第二数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第一过程数据。
根据本发明的上述实施例,第一数据包包括:实时数据包、模拟数据包以及预设数据包中的至少一个数据包,其中,装置还包括:第三获取模块,用于获取通过网络防火墙的实时数据包,并将实时数据包作为第一数据包;第一子处理模块,用于生成模拟数据包,并使模拟数据包通过网络防火墙以便网络防火墙将模拟数据包作为第一数据包;第二子处理模块,用于解析预设数据包,并将解析后的预设数据包在网络防火墙中回放,以便网络防火墙将处理后的预设数据包作为第一数据包。
在本发明的上述实施例中,第三处理模块50可以包括:第四获取模块,用于获取诊断时间;检测模块,用于检测诊断时间是否达到预设诊断时间;第五处理模块,用于在诊断时间达到预设诊断时间的情况下,对第二过程数据进行诊断,得到诊断结果。
图2是根据本发明实施例的诊断网络防火墙的方法的流程图,如图2所示该方法包括如下步骤:
步骤S102,将网络防火墙对第一数据包进行解封装和检测处理的处理过程进行记录,以获取处理过程中产生的过程数据。
步骤S104,将第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为第一过程数据中与预设诊断数据相匹配的数据。
步骤S106,对第二过程数据进行诊断,得到诊断结果。
采用本发明,通过将网络防火墙对第一数据包进行解封装和检测处理的处理过程进行记录,以获取所述处理过程中产生的过程数据,然后将过程数据与预设诊断数据进行对比,以获取过程数据中与预设诊断数据相一致的第二过程数据,并对第二过程数据进行诊断,得到诊断结果。通过对网络防火墙处理第一数据包的处理过程进行记录,对网络防火墙中的每一步相关模块的处理过程都会进行相关记录和分析,并在出现第一数据包丢弃或第一数据包在某个模块处理出错时会进行综合分析,得到诊断结果,并根据相关分析情况给出针对该错误的处理建议,帮助用户正确诊断出本次第一数据包出错的原因,解决了现有技术中对通过网络防火墙的数据包的诊断不准确,从而导致数据报文转发不正确的问题,实现了准确快速定位网络故障的原因,并给出相关的解决方案的效果,帮助用户准确、快速、自动定位和分析网络防火墙自身配置、设置等导致第一数据包转发不正确出现的问题,从而建议用户更改设置以使第一数据包准确转发。
其中,预设诊断数据可以是通过学习模式得到的防火墙不能正常转发第一数据包的各个处理过程产生的异常过程数据,预设诊断数据可以包括预设的网络防火墙在对第一数据包进行解封装和检测处理过程中丢弃第一数据包的数据、也可以包括网络防火墙将第一数据包转发错误的数据。通过记录网络防火墙对第一数据包处理过程的记录,获取第一过程数据,并将与预设诊断数据匹配的第一过程数据提取出来,以获取第二过程数据,然后分析第二过程数据,以分析网络防火墙中各处理模块对第二过程数据的处理过程的数据信息,从而自动定位和解决问题,并给出诊断报告。
具体地,系统在执行记录网络防火墙对第一数据包进行解封装和检测处理的处理过程,并获取过程数据的步骤中,会实时记录第一数据包流经网络防火墙的从入接口到出接口的每一个模块的处理过程,并通过动态流程图形式真实地展现给用户。并且在获取到过程数据之后,将过程数据与预设诊断数据进行匹配处理,当出现第一数据包处理不当等与预设诊断数据一致的第二过程数据时,系统会将该第二过程数据标识出来,具体地,当某个模块第一数据包正常通过时,用绿灯来显示,当第一数据包通过但是该模块仍存在一定问题时用黄灯表示,当第一数据包未能通过时用红灯来表示并流程图会停止在该模块上。
在上述实施例中,动态流程图可以使得用户了解第一数据包在网络防火墙中处理第一数据包的流程动态过程,并且便于在网络防火墙对第一数据包的处理出现问题时能智能分析并给出参考建议,以便于用户及时地获取准确的诊断结果,并依据该诊断结果解决问题。
通过本申请的上述实施例,用动态流程图形式展现第一数据包通过网络防火墙各模块的路径情况,有助于用户了解网络防火墙内部处理第一数据包过程,将网络防火墙变成白盒。
根据本发明的上述实施例,对第二过程数据进行诊断,得到诊断结果的步骤可以包括:获取与第二过程数据相对应的标识信息;读取与标识信息所对应的第一报文信息,第一报文信息为第一数据包的报文信息;对第一报文信息和第一配置参数进行对比分析,以获取诊断参数,第一配置参数是网络防火墙的配置参数;保存第二过程数据、标识信息以及诊断参数,得到诊断结果。
具体地,当记录到的网络防火墙对第一数据包处理过程的过程数据中出现第二过程数据时,获取与第二过程数据相对应的标识信息,该标识信息可以是错误代码,如:1或12等用阿拉伯数字表示的错误类型,该标识信息还可以是错误类型的语言描述,如图7中所示的“被路由规则阻断”,在获取标志信息之后读取该标识信息号对应的第一报文信息,该第一报文信息可以是预存的第一数据包的报文信息,也可以包括预存的网络防火墙可以正确转发该第一数据包的配置参数,还可以包括通过该网络防火墙的所有流量;然后将第一报文信息与网络防火墙的第一配置参数进行对比分析,以获取诊断参数。其中的诊断参数可以包括:该第一数据包不可以正常通过该网络防火墙的原因,以及该网络防火墙正常通过该第一数据包应有的配置参数,诊断参数还可以包括给与用户的修改第一配置参数的修改参数,也即修改建议。其中,报文信息可以包括第一数据包的IP地址、协议以及报文内容。
其中的第二过程数据还可以是网络防火墙丢弃第一数据包的过程数据。
其中,诊断参数还可以包括:第一报文信息以及第一配置参数,即:出现错误的配置参数如策略配置、NAT配置等;诊断参数还可以包括:参考建议,如上述的修改建议,帮助用户正确诊断出本次第一数据包出错的原因,以供用户使用参考建议调整网络防火墙配置等来解决第一数据包不能正常转发的问题。
另外,诊断结果还可以包括:与第二过程数据相对应的网络防火墙的处理模块的详细信息,如:源地址、目的地址。
具体地,系统还可以根据诊断结果给出诊断报告,诊断报告中会包含第二过程数据、标识信息以及诊断参数,还可以包括第一数据包在网络防火墙中处理的动态流程图、诊断时间,检测结果中会给出本次检测中第一数据包是否通过网络防火墙所有模块处理的结果。
根据本发明的上述实施例,将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第一过程数据的步骤可以包括:接收对第一数据包进行过滤的过滤条件;根据过滤条件对通过网络防火墙的第一数据包进行过滤处理,以获取第一数据包中符合过滤条件的第二数据包;将网络防火墙对第二数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第一过程数据。
根据本发明的上述实施例,第一数据包包括:实时数据包、模拟数据包以及预设数据包中的至少一个数据包,其中,在根据过滤条件对通过网络防火墙的数据包进行过滤处理,以获取符合过滤条件的数据包之前,方法还包括:获取通过网络防火墙的实时数据包:生成模拟数据包,以使模拟数据包通过网络防火墙;解析预设数据包,并将解析后的预设数据包在网络防火墙中回放。
具体地,在开启诊断后,网络防火墙根据过滤条件对经过网络防火墙的第一数据包(真实的和模拟的流量)进行过滤,然后记录网络防火墙中每一个处理模块对符合条件的第一数据包进行处理的处理过程(如:第一数据包的通过情况),当第一数据包在某个模块出现问题时,系统获取到第二过程数据,然后根据第二过程数据获取诊断参数,(如:第一数据包不能通过的错误原因及解决问题的建议)。
具体地,本发明中的第一数据包可以包括实时数据包、模拟数据包或预设数据包,由于这三种第一数据包的生成方式不同,用户也可以根据自己的需求在不同的诊断处理中使用不同的第一数据包。其中,具体地,可以获取通过网络防火墙的实时数据包,并将实时数据包作为第一数据包;或者,生成模拟数据包,并使模拟数据包通过网络防火墙以便网络防火墙将模拟数据包作为第一数据包;或者,解析预设数据包,并将解析后的预设数据包在网络防火墙中回放,以便网络防火墙将处理后的预设数据包作为第一数据包。
图3是根据图2所示实施例的根据模拟数据包诊断网络防火墙的系统结构图。图4是根据图3所示实施例的过滤条件配置的示意图。图5是根据本发明所示实施例的网络防火墙对数据包的处理过程的示意图。
模拟数据包是根据用户的需求而生成的,具体地,系统获取到用户的过滤条件之后,根据用户的过滤条件生成模拟数据包,目前系统只支持TCP、UDP、ICMP格式的第一数据包,该第一数据包流经网络防火墙,模拟真实的流量来进行相关问题的诊断。通过该种第一数据包可以使得用户在设备未上线时诊断网络防火墙配置以及网络防火墙对真实流量处理是否正确,从而保证设置上线时万无一失。其中,如图4所示,在进行“新建模拟检测”时,也即通过记录网络防火墙对模拟数据包的处理,完成对网络防火墙的诊断,该种诊断手段中,设置的过滤条件可以包括第一数据包的诊断接口、源地址、目的地址、协议、源端口、目的端口。
例如,某公司新购一台web服务器,如图3所示的网络环境已搭建完成,该架构中办公终端区以及测试终端区通过防火墙与服务器区连接,在该网络环境中,设备未到位之前,管理员需要检测web服务器到位后能否立即投入使用,可以使用网络防火墙对模拟数据包的处理过程来验证web服务器上线前网络情况。
如图5所示,模拟数据包通过入接口进入网络防火墙,在网络防火墙验证模拟数据包中的数据报文为合法报文之后,攻击防护模块对该数据包进行攻击检测,然后对该数据包进行会话匹配,如果该数据包中携带的会话为阻断型会话,则允许其进行会话,或者找到匹配的会话,在找到匹配的会话之后,策略匹配对该模拟数据包进行策略匹配处理;如果没有匹配的会话,则进入防火墙工作模式匹配,对该会话进行匹配。
其中,如果进入的是透明的匹配模式,则对该模拟数据包进行MAC检查,如果进入的是路由模式,则在对该数据包中的地址进行转换处理之后,检测该路由配置。在执行上述步骤之后,如果数据包的会话受到限制,则创建会话,然后进行策略匹配、安全策略处理以及ARP防护检测,模拟检测结束。在本发明的上述实施例中,需要将上述的防火墙中各个处理模块对模拟数据包的处理过程中产生的第一过程数据全部记录下来,然后对第一过程数据进行分析处理。在图5所示的实施例中,对web服务器进行了检测,模拟数据包完成了所有的解封装和检测处理,并且在整个网络防火墙对模拟数据包进行处理的过程都没有出现第二过程数据,则网络防火墙在对该数据包进行处理的过程中没有出现异常的处理情况。
图6是根据图2所示实施例的根据实时数据包过滤条件的示意图。
实时数据包即为网络中实时生成的第一数据包,用户可以在在线诊断中使用。具体地,用户可以设置需要诊断的第一数据包的过滤条件,然后根据用户设置的过滤条件,系统对流经网络防火墙的实时数据包(即从网络防火墙流过的真实的流量)进行路径检测,然后在实时数据包不能准确转发的情况下,自动分析实时数据包在网络防火墙中出现问题的原因所在。其中,如图6所示,进行“新建在线检测”时,也即通过记录网络防火墙对实时数据包的处理,完成对网络防火墙的诊断,该种诊断手段中,设置的过滤条件可以过滤条件包括实时数据包的诊断接口、源地址、用户、URL、源端口、目的端口、协议、应用。
同样地,在如图5所示的防火墙对数据包的处理过程中,实时数据包通过入接口进入网络防火墙,在网络防火墙验证实时数据包中的数据报文为合法报文之后,攻击防护模块对该数据包进行攻击检测,然后对该数据包进行会话匹配,如果该数据包中携带的会话为阻断型会话,则允许其进行会话,或者找到匹配的会话,在找到匹配的会话之后,策略匹配对该实时数据包进行策略匹配处理;如果没有匹配的会话,则进入防火墙工作模式匹配,对该会话进行匹配。
其中,如果进入的是透明的匹配模式,则对该实时数据包进行MAC检查,如果进入的是路由模式,则在对该数据包中的地址进行转换处理之后,检测该路由配置。在执行上述步骤之后,如果数据包的会话受到限制,则创建会话,然后进行策略匹配、安全策略处理以及ARP防护处理,在本发明的上述实施例中,需要将上述的防火墙中各个处理模块对实时数据包的处理过程中产生的第一过程数据全部记录下来,然后对第一过程数据进行分析处理。如果在记录的图5所示的处理过程中,发现网络防火墙在对实时数据包进行路由检测的过程中出现了第二过程数据,获取实时数据包被路由规则阻断的错误详情,然后获取实时数据包的第一报文信息和网络防火墙的路由设置信息,并根据该两个信息的对比结果获取诊断参数,诊断参数包括:实时数据包未能通过的错误原因“无法找到目的地的路由,报文被丢弃”,以及解决问题的建议“请检查该报文目的地址路由是否有效”,另外,还可以获取该第二过程数据对应的标识信息。
图7是根据图2所示实施例的根据预设数据包过滤条件的示意图。
在使用预设数据包时,系统会将导入的预设数据包进行解析,根据文件模拟该预设数据包的交互情况,并在网络防火墙中回放,然后根据接收到的过滤条件,对预设数据包进行诊断,获取用户定位的该预设数据包所模拟的真实流量中的问题,并可以帮用户在设备上线之前模拟真实流量交互情况。其中,预设数据包可以是用户预设的抓包文件(pcap格式),如图7所示,在进行“新建导入检测”时,也即通过记录网络防火墙对实时数据包的处理,完成对网络防火墙的诊断,在该种诊断手段中,设置的过滤条件可以是诊断接口、源地址、目的地址、源端口、目的端口、应用、协议。其中的回放,即为使用预设数据包中的数据再现网络防火墙与第一数据包进行交互、网络防火墙对第一数据包进行解封装和检测处理等的通信过程。
例如,某公司员工在办公终端区不能访问FTP服务器,但员工无权限登录到设备上查看原因。这时可以在自己PC上用第三方软件抓取访问FTP服务器的第一数据包,然后传给管理员,管理员可以通过预设数据包检测查看具体原因。
如图5所示,预设数据包通过入接口进入网络防火墙,在网络防火墙验证预设数据包中的数据报文为合法报文之后,攻击防护模块对该数据包进行攻击检测,然后对该数据包进行会话匹配,如果该数据包中携带的会话为阻断型会话,则允许其进行会话,或者找到匹配的会话,在找到匹配的会话之后,策略匹配对该预设数据包进行策略匹配处理;如果没有匹配的会话,则进入防火墙工作模式匹配,对该会话进行匹配。
其中,如果进入的是透明的匹配模式,则对该预设数据包进行MAC检查,如果进入的是路由模式,则在对该数据包中的地址进行转换处理之后,检测该路由配置。在执行上述步骤之后,如果数据包的会话受到限制,则创建会话,然后进行策略匹配、安全策略处理以及ARP防护处理,在本发明的上述实施例中,需要将上述的防火墙中各个处理模块对预设数据包的处理过程中产生的第一过程数据全部记录下来,然后对第一过程数据进行分析处理。
如果在记录的图5所示的处理过程中,发现网络防火墙在对预设数据包进行安全策略检测的过程中出现了第二过程数据,获取预设数据包被路由规则阻断的错误详情:“数据包被安全策略规则阻断”,然后获取预设数据包的第一报文信息和网络防火墙的安全策略设置信息,并根据该两个信息的对比结果获取诊断参数,诊断参数包括:预设数据包未能通过的错误原因“数据包被安全策略拒绝”,以及解决问题的建议“请检查该数据报文的安全策略”,另外,还可以获取该第二过程数据对应的标识信息。
由上可知,系统可以通过上述三种第一数据包通过三种诊断手段根据相关过滤条件来对模拟或真实的流经网络防火墙的流量进行过滤和路径跟踪检测,从而可以使得用户在设备上线前或设备使用中准确、快速、自动定位和分析网络防火墙自身配置、设置等导致第一数据包转发不正确出现的问题,并且分析出现的问题,并给出参考建议。
另外,在使用三种不同的诊断手段对网络防火墙进行诊断的过程中,还会实时给出当前时间及对当前第一数据包诊断的情况,这其中包含:模拟数据包在每个模块中的通过情况,实时数据包和预设数据包的通过和未通过的第一数据包数目的情况。其中,在根据实时数据包进行诊断的过程中,系统还可以实时抓取符合过滤条件的实时数据包,而在根据模拟数据包进行诊断时则可以根据用户的过滤条件自动生成第一数据包的抓包文件,在诊断过程中生成的这些抓包文件可以在诊断结束后通过抓包文件导出,以供用户查看。
由于本发明可以根据三种第一数据包对网络防火墙进行诊断,则在诊断之前,本系统可以通过获取用户的诊断请求选择针对不同第一数据包的诊断手段,如诊断真实的流量问题的诊断请求选择在线检测,诊断网络防火墙对实时数据包的处理过程,模拟真实流量或上线前检测设备是否正确可用,可以选择模拟检测或导入检测,并诊断网络防火墙对模拟数据包或预设数据包的处理过程。
根据本发明的上述实施例,第二过程数据进行诊断,得到诊断结果的步骤还可以包括:获取诊断时间;检测诊断时间是否达到预设诊断时间;在诊断时间达到预设诊断时间的情况下,对第二过程数据进行诊断,得到诊断结果。其中,预设诊断时间可以为30分钟,也可以为24小时,还可以为30分钟至24小时之间的任意一个时间范围。
其中,用户还可以通过获取第二过程数据的数量结束诊断,也即出现一定数量的错误的时候,系统就会自动结束诊断并给出诊断报告。另外,用户也可以手动来停止某次诊断,通过用户手动或通过检测诊断时间而停止诊断时,不管诊断过程中是否有问题出现,系统都会自动停止并给出诊断报告。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
从以上的描述中,可以看出,本发明实现了如下技术效果:通过本发明,对网络防火墙处理第一数据包的处理过程进行记录,对网络防火墙中的每一步相关模块的处理过程都会进行相关记录和分析,并在出现第一数据包丢弃或第一数据包在某个模块处理出错时会进行综合分析,获取诊断结果,并根据相关分析情况给出针对该错误的处理建议,帮助用户正确诊断出本次第一数据包出错的原因,解决了现有技术中对通过网络防火墙的第一数据包的诊断不准确,从而导致数据报文转发不正确的问题,实现了准确快速定位网络故障的原因,并给出相关的解决方案的效果,帮助用户准确、快速、自动定位和分析网络防火墙自身配置、设置等导致第一数据包转发不正确出现的问题,从而建议用户更改设置以使第一数据包准确转发。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种诊断网络防火墙的方法,其特征在于,包括:
将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取所述处理过程中产生的第一过程数据;
将所述第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为所述第一过程数据中与所述预设诊断数据相匹配的数据;
对所述第二过程数据进行诊断,得到诊断结果。
2.根据权利要求1所述的方法,其特征在于,对所述第二过程数据进行诊断,得到诊断结果的步骤包括:
查询获取所述第二过程数据的标识信息;
读取与所述标识信息所对应的第一报文信息,所述第一报文信息为所述第一数据包的报文信息;
对所述第一报文信息和第一配置参数进行对比分析,以获取诊断参数,其中,所述第一配置参数是所述网络防火墙的配置参数;
保存所述第二过程数据、所述标识信息以及所述诊断参数,得到所述诊断结果。
3.根据权利要求1所述的方法,其特征在于,将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取所述处理过程中产生的第一过程数据的步骤包括:
获取对所述第一数据包进行过滤的过滤条件;
根据所述过滤条件对通过所述网络防火墙的第一数据包进行过滤处理,以获取所述第一数据包中符合所述过滤条件的第二数据包;
将网络防火墙对所述第二数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取所述处理过程中产生的所述第一过程数据。
4.根据权利要求3所述的方法,其特征在于,所述网络防火墙通过以下方法获取所述第一数据包:
获取通过所述网络防火墙的所述实时数据包,并将所述实时数据包作为所述第一数据包;或者,
生成模拟数据包,并使所述模拟数据包通过所述网络防火墙以便所述网络防火墙将所述模拟数据包作为所述第一数据包;或者,
解析预设数据包,并将解析后的预设数据包在所述网络防火墙中回放,以便所述网络防火墙将所述处理后的预设数据包作为所述第一数据包。
5.根据权利要求1所述的方法,其特征在于,对所述第二过程数据进行诊断,得到诊断结果的步骤包括:
获取诊断时间;
判断所述诊断时间是否达到预设诊断时间;
在所述诊断时间达到所述预设诊断时间的情况下,对所述第二过程数据进行诊断,得到所述诊断结果。
6.一种诊断网络防火墙的装置,其特征在于,包括:
第一处理模块,用于将网络防火墙对第一数据包进行解封装和检测处理的处理过程进行记录,以获取所述处理过程中产生的过程数据;
第二处理模块,用于将所述第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为所述第一过程数据中与所述预设诊断数据相匹配的数据;
第三处理模块,用于对所述第二过程数据进行诊断,得到诊断结果。
7.根据权利要求6所述的装置,其特征在于,所述第三处理模块包括:
第一获取模块,用于查询获取所述第二过程数据的标识信息;
读取模块,用于读取与所述标识信息所对应的第一报文信息,所述第一报文信息为所述第一数据包的报文信息;
分析模块,用于对所述第一报文信息和第一配置参数进行对比分析,以获取诊断参数,其中,所述第一配置参数是所述网络防火墙的配置参数;
保存模块,用于保存所述第二过程数据、所述标识信息以及所述诊断参数,得到所述诊断结果。
8.根据权利要求6所述的装置,其特征在于,所述第一处理模块包括:
第二获取模块,用于获取对所述第一数据包进行过滤的过滤条件;
过滤模块,用于根据所述过滤条件对通过所述网络防火墙的第一数据包进行过滤处理,以获取所述第一数据包中符合所述过滤条件的第二数据包;
第四处理模块,用于将网络防火墙对所述第二数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取所述处理过程中产生的第一过程数据。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第三获取模块,用于获取通过所述网络防火墙的所述实时数据包,并将所述实时数据包作为所述第一数据包;
第一子处理模块,用于生成模拟数据包,并使所述模拟数据包通过所述网络防火墙以便所述网络防火墙将所述模拟数据包作为所述第一数据包;
第二子处理模块,用于解析预设数据包,并将解析后的预设数据包在所述网络防火墙中回放,以便所述网络防火墙将所述处理后的预设数据包作为所述第一数据包。
10.根据权利要求6所述的装置,其特征在于,所述第三处理模块包括:
第四获取模块,用于获取诊断时间;
检测模块,用于检测所述诊断时间是否达到预设诊断时间;
第五处理模块,用于在所述诊断时间达到所述预设诊断时间的情况下,对所述第二过程数据进行诊断,得到诊断结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210591994.XA CN103067395B (zh) | 2012-12-31 | 2012-12-31 | 诊断网络防火墙的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210591994.XA CN103067395B (zh) | 2012-12-31 | 2012-12-31 | 诊断网络防火墙的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103067395A true CN103067395A (zh) | 2013-04-24 |
| CN103067395B CN103067395B (zh) | 2016-03-30 |
Family
ID=48109857
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210591994.XA Active CN103067395B (zh) | 2012-12-31 | 2012-12-31 | 诊断网络防火墙的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103067395B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701645A (zh) * | 2013-12-26 | 2014-04-02 | 成都科来软件有限公司 | 一种网络对象显示方法及系统 |
| CN111262879A (zh) * | 2020-02-13 | 2020-06-09 | 武汉思普崚技术有限公司 | 一种基于仿真路径分析的防火墙安全策略开通方法及装置 |
| CN112422495A (zh) * | 2019-08-21 | 2021-02-26 | 丰田自动车株式会社 | 判定装置、判定系统、存储程序的存储介质以及判定方法 |
| CN114143088A (zh) * | 2021-11-30 | 2022-03-04 | 北京天融信网络安全技术有限公司 | 网络故障诊断方法、装置、设备及计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060017562A1 (en) * | 2004-07-20 | 2006-01-26 | Bachelder Aaron D | Distributed, roadside-based real-time ID recognition system and method |
| CN101056198A (zh) * | 2006-04-10 | 2007-10-17 | 华为技术有限公司 | 一种信息安全管理平台 |
| CN101242260A (zh) * | 2007-02-08 | 2008-08-13 | 北京天融信网络安全技术有限公司 | 防火墙系统自动修复方法 |
| CN101447898A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 一种用于网络安全产品的测试系统及测试方法 |
| CN101989919A (zh) * | 2009-08-06 | 2011-03-23 | 中兴通讯股份有限公司 | 本地诊断和维护软件系统及相应的诊断、维护方法及系统 |
| CN102137416A (zh) * | 2010-12-16 | 2011-07-27 | 华为软件技术有限公司 | 一种网络设备故障分析方法及装置 |
-
2012
- 2012-12-31 CN CN201210591994.XA patent/CN103067395B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060017562A1 (en) * | 2004-07-20 | 2006-01-26 | Bachelder Aaron D | Distributed, roadside-based real-time ID recognition system and method |
| CN101056198A (zh) * | 2006-04-10 | 2007-10-17 | 华为技术有限公司 | 一种信息安全管理平台 |
| CN101242260A (zh) * | 2007-02-08 | 2008-08-13 | 北京天融信网络安全技术有限公司 | 防火墙系统自动修复方法 |
| CN101447898A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 一种用于网络安全产品的测试系统及测试方法 |
| CN101989919A (zh) * | 2009-08-06 | 2011-03-23 | 中兴通讯股份有限公司 | 本地诊断和维护软件系统及相应的诊断、维护方法及系统 |
| CN102137416A (zh) * | 2010-12-16 | 2011-07-27 | 华为软件技术有限公司 | 一种网络设备故障分析方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701645A (zh) * | 2013-12-26 | 2014-04-02 | 成都科来软件有限公司 | 一种网络对象显示方法及系统 |
| CN112422495A (zh) * | 2019-08-21 | 2021-02-26 | 丰田自动车株式会社 | 判定装置、判定系统、存储程序的存储介质以及判定方法 |
| CN111262879A (zh) * | 2020-02-13 | 2020-06-09 | 武汉思普崚技术有限公司 | 一种基于仿真路径分析的防火墙安全策略开通方法及装置 |
| CN114143088A (zh) * | 2021-11-30 | 2022-03-04 | 北京天融信网络安全技术有限公司 | 网络故障诊断方法、装置、设备及计算机可读存储介质 |
| CN114143088B (zh) * | 2021-11-30 | 2024-02-09 | 天融信雄安网络安全技术有限公司 | 网络故障诊断方法、装置、设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103067395B (zh) | 2016-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20160036636A1 (en) | Systems and methods for network management | |
| EP2976865B1 (en) | Firewall testing | |
| CN105721188A (zh) | 防火墙策略核查方法及系统 | |
| CN108370370A (zh) | 用于被动评估工业边界安全的系统和方法 | |
| CN108092854B (zh) | 基于iec61375协议的列车级以太网设备的测试方法及装置 | |
| CN103067395B (zh) | 诊断网络防火墙的方法及装置 | |
| CN106230780B (zh) | 一种智能变电站信息及控制系统安全分析评估平台 | |
| CN101902367A (zh) | 一种产生测试用例的方法及装置 | |
| CN103581185B (zh) | 对抗免杀测试的云查杀方法、装置及系统 | |
| CN106921676A (zh) | 一种基于OPCClassic的入侵检测方法 | |
| CN105515909B (zh) | 一种数据采集测试方法和装置 | |
| Hahn et al. | An evaluation of cybersecurity assessment tools on a SCADA environment | |
| CN108206769A (zh) | 过滤网络质量告警的方法、装置、设备和介质 | |
| Marchetto et al. | A framework for verification-oriented user-friendly network function modeling | |
| CN102299821A (zh) | 一种网络病毒监控设备测试系统及方法 | |
| Hoffman et al. | Testing iptables | |
| Tacliad et al. | DoS exploitation of allen-bradley's legacy protocol through fuzz testing | |
| CN109189679A (zh) | 接口测试方法及系统、电子设备、存储介质 | |
| CN108712308A (zh) | 虚拟网络中检测网络设备的方法和装置 | |
| CN116955097A (zh) | 测试流程的展示方法、装置和测试流程展示系统 | |
| Amrein et al. | Security intelligence for industrial control systems | |
| CN110266554A (zh) | 一种私有通信协议的测试方法 | |
| CN115795475A (zh) | 软件系统风险的确定方法、装置及电子设备 | |
| CN101453454A (zh) | 网络攻击检测内部追踪方法 | |
| Catal et al. | Visualization of traffic flows in a simulated network environment to investigate abnormal network behavior in complex network infrastructures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 215163 Jiangsu city of Suzhou province high tech Industrial Development Zone, kolding Road No. 78 Su Gaoxin Software Park Building 7 layer 3 Applicant after: HILLSTONE NETWORKS Address before: 215163 Jiangsu city of Suzhou province high tech Zone (Suzhou city) kolding Road No. 78 Gaoxin Software Park Building 7 floor 3 Applicant before: Suzhou Shanshi Network Co., Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: SUZHOU SHANSHI NETWORK CO., LTD. TO: HILLSTONE NETWORKS COMMUNICATION TECHNOLOGY CO., LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160824 Address after: 100083 Beijing city Haidian District Wangzhuang Road No. 1 Building No. 4 hospital (Tsinghua Tongfang Technology Plaza, D block 6 layer 0615) Patentee after: BEIJING HILLSTONE NETWORKS INFORMATION TECHNOLOGY CO., LTD. Address before: 215163 Jiangsu city of Suzhou province high tech Industrial Development Zone, kolding Road No. 78 Su Gaoxin Software Park Building 7 layer 3 Patentee before: HILLSTONE NETWORKS |