CN105978881B - ip地址所经过的防火墙的查询方法及系统 - Google Patents

ip地址所经过的防火墙的查询方法及系统 Download PDF

Info

Publication number
CN105978881B
CN105978881B CN201610319198.9A CN201610319198A CN105978881B CN 105978881 B CN105978881 B CN 105978881B CN 201610319198 A CN201610319198 A CN 201610319198A CN 105978881 B CN105978881 B CN 105978881B
Authority
CN
China
Prior art keywords
firewall
array
address
interface
passed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610319198.9A
Other languages
English (en)
Other versions
CN105978881A (zh
Inventor
郑晨
吴善鹏
田国华
雷兵
朱志博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Ctrip Business Co Ltd
Original Assignee
Shanghai Ctrip Business Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Ctrip Business Co Ltd filed Critical Shanghai Ctrip Business Co Ltd
Priority to CN201610319198.9A priority Critical patent/CN105978881B/zh
Publication of CN105978881A publication Critical patent/CN105978881A/zh
Application granted granted Critical
Publication of CN105978881B publication Critical patent/CN105978881B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种ip地址所经过的防火墙的查询方法及系统,查询方法包括:S1、构建防火墙信息库,其中存储有源地址数组、目的地址数组、防火墙数组、防火墙路由数组以及防火墙接口数组;S2、接收输入的ip地址,包括目标源地址及目标目的地址;S3、查询与目标源地址相匹配的第一防火墙路由数组、第一防火墙接口数组及第一防火墙数组;S4、查询与目标目的地址相匹配的第二防火墙路由数组、第二防火墙接口数组及第二防火墙数组;S5、从第一、第二防火墙数组中删除当第一、第二防火墙接口数组相同时所对应的防火墙数组;S6、提取第一、第二防火墙数组的交集。本发明能自动化查询两个ip地址经过的防火墙,提高了查询准确率。

Description

ip地址所经过的防火墙的查询方法及系统
技术领域
本发明涉及一种ip地址所经过的防火墙的查询方法及系统,特别是涉及一种用于判断两个ip地址所经过的防火墙的查询方法及系统。
背景技术
随着互联网的高速发展,网络中会出现各种类型的攻击,大型企业往往会使用较多的网络防火墙设备,在防火墙较多的情况下,安全工程师往往也难以准确判断两个ip(网络之间互连的协议)地址是否要经过防火墙,或者经过哪台或哪几台防火墙,往往只能根据经验去模糊判断,或者根据整理的列表去查询,导致费时费力,还有可能做出错误的判断,甚至对业务生产系统带来影响。
发明内容
本发明要解决的技术问题是为了克服现有技术中ip地址经过防火墙需要人为判断导致费时费力并有可能做出错误判断的缺陷,提供一种ip地址所经过的防火墙的查询方法及系统。
本发明是通过下述技术方案来解决上述技术问题的:
本发明提供了一种ip地址所经过的防火墙的查询方法,其特点在于,包括以下步骤:
S1、构建防火墙信息库,所述防火墙信息库中存储有多个防火墙策略信息,每个防火墙策略信息均包括源地址数组、目的地址数组、防火墙数组、防火墙路由数组以及防火墙接口数组;
S2、接收输入的ip地址,所述ip地址包括目标源地址以及目标目的地址;
S3、从所述防火墙信息库中查询出与所述目标源地址相匹配的第一防火墙路由数组,并根据所述第一防火墙路由数组查询出对应的第一防火墙接口数组以及第一防火墙数组;
S4、从所述防火墙信息库中查询出与所述目标目的地址相匹配的第二防火墙路由数组,并根据所述第二防火墙路由数组查询出对应的第二防火墙接口数组以及第二防火墙数组;
S5、分别从所述第一防火墙数组以及所述第二防火墙数组中删除当所述第一防火墙接口数组与所述第二防火墙接口数组相同时所对应的防火墙数组;
S6、提取所述第一防火墙数组和所述第二防火墙数组的交集。
较佳地,步骤S3中按照最长掩码匹配原则查询所述第一防火墙路由数组。
较佳地,步骤S4中按照最长掩码匹配原则查询所述第二防火墙路由数组。
本发明的目的在于还提供了一种ip地址所经过的防火墙的查询系统,其特点在于,包括:
防火墙信息库,用于存储多个防火墙策略信息,每个防火墙策略信息均包括源地址数组、目的地址数组、防火墙数组、防火墙路由数组以及防火墙接口数组;
接收模块,用于接收输入的ip地址,所述ip地址包括目标源地址以及目标目的地址;
第一查询模块,用于从所述防火墙信息库中查询出与所述目标源地址相匹配的第一防火墙路由数组,并根据所述第一防火墙路由数组查询出对应的第一防火墙接口数组以及第一防火墙数组;
第二查询模块,用于从所述防火墙信息库中查询出与所述目标目的地址相匹配的第二防火墙路由数组,并根据所述第二防火墙路由数组查询出对应的第二防火墙接口数组以及第二防火墙数组;
删除模块,用于分别从所述第一防火墙数组以及所述第二防火墙数组中删除当所述第一防火墙接口数组与所述第二防火墙接口数组相同时所对应的防火墙数组;
提取模块,用于提取所述第一防火墙数组和所述第二防火墙数组的交集。
较佳地,所述第一查询模块用于按照最长掩码匹配原则查询所述第一防火墙路由数组。
较佳地,所述第二查询模块用于按照最长掩码匹配原则查询所述第二防火墙路由数组。
本发明的积极进步效果在于:本发明能够自动化地查询两个ip地址所经过的防火墙,并且为查询两个ip地址所经过的防火墙提供了统一的查询接口,提高了查询及判断的准确率以及防火墙的管理效率,降低了工作量,使得查询步骤标准化,提高了策略查询的准确性。
附图说明
图1为本发明的较佳实施例的ip地址所经过的防火墙的查询方法的流程图。
图2为本发明的较佳实施例的ip地址所经过的防火墙的查询系统的模块示意图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
如图1所示,本发明的ip地址所经过的防火墙的查询方法包括以下步骤:
步骤101、构建防火墙信息库,所述防火墙信息库中存储有多个防火墙策略信息,每个防火墙策略信息均包括源地址数组(ip(srcip))、目的地址数组(ip(dstip))、防火墙数组(fwobj)、防火墙路由数组(route)以及防火墙接口数组(interface);
本发明中主要是对现有网络中的线上防火墙的配置进行获取和解析出组成防火墙策略的要素信息,这样就可以将多品牌的防火墙的信息抽象为统一的表示信息,为本发明中的查询方法提供了基础数据。
步骤102、接收输入的ip地址,所述ip地址包括目标源地址(src_ip)以及目标目的地址(dst_ip);
步骤103、从所述防火墙信息库中取出防火墙路由数组(route),与所述目标源地址(src_ip)按照最长掩码匹配原则,从所述防火墙信息库中查询出与所述目标源地址相匹配的第一防火墙路由数组,并根据所述第一防火墙路由数组查询出对应的第一防火墙接口数组(interface1)以及第一防火墙数组(fwobj1);
步骤104、从所述防火墙信息库中取出防火墙路由数组(route),与所述目标目的地址(dst_ip)按照最长掩码匹配原则,从所述防火墙信息库中查询出与所述目标目的地址相匹配的第二防火墙路由数组,并根据所述第二防火墙路由数组查询出对应的第二防火墙接口数组(interface2)以及第二防火墙数组(fwobj2);
步骤105、分别从所述第一防火墙数组(fwobj1)以及所述第二防火墙数组(fwobj2)中删除当所述第一防火墙接口数组与所述第二防火墙接口数组相同时(即interface1=interface2)所对应的防火墙数组;
步骤106、提取所述第一防火墙数组(fwobj1)和所述第二防火墙数组(fwobj2)的交集(fwobj3),即是所述目标源地址(src_ip)和所述目标目的地址(dst_ip)所经过的防火墙,从而实现了防火墙的查询。
如图2所示,本发明的ip地址所经过的防火墙的查询系统包括防火墙信息库1、接收模块2、第一查询模块3、第二查询模块4、删除模块5以及提取模块6。
其中,所述防火墙信息库1用于存储多个防火墙策略信息,每个防火墙策略信息均包括源地址数组、目的地址数组、防火墙数组、防火墙路由数组以及防火墙接口数组;所述接收模块2用于接收输入的ip地址,所述ip地址包括目标源地址以及目标目的地址;所述第一查询模块3用于从所述防火墙信息库中查询出与所述目标源地址相匹配的第一防火墙路由数组,并根据所述第一防火墙路由数组查询出对应的第一防火墙接口数组以及第一防火墙数组;所述第二查询模块4用于从所述防火墙信息库中查询出与所述目标目的地址相匹配的第二防火墙路由数组,并根据所述第二防火墙路由数组查询出对应的第二防火墙接口数组以及第二防火墙数组;所述删除模块5用于分别从所述第一防火墙数组以及所述第二防火墙数组中删除当所述第一防火墙接口数组与所述第二防火墙接口数组相同时所对应的防火墙数组;所述提取模块6用于提取所述第一防火墙数组和所述第二防火墙数组的交集,即查询并获得所述目标源地址和所述目标目的地址所经过的防火墙。
优选地,所述第一查询模块3可以按照最长掩码匹配原则查询所述第一防火墙路由数组,所述第二查询模块4可以按照最长掩码匹配原则查询所述第二防火墙路由数组。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。

Claims (6)

1.一种ip地址所经过的防火墙的查询方法,其特征在于,包括以下步骤:
S1、构建防火墙信息库,所述防火墙信息库中存储有多个防火墙策略信息,每个防火墙策略信息均包括源地址数组、目的地址数组、防火墙数组、防火墙路由数组以及防火墙接口数组;
S2、接收输入的ip地址,所述ip地址包括目标源地址以及目标目的地址;
S3、从所述防火墙信息库中查询出与所述目标源地址相匹配的第一防火墙路由数组,并根据所述第一防火墙路由数组查询出对应的第一防火墙接口数组以及第一防火墙数组;
S4、从所述防火墙信息库中查询出与所述目标目的地址相匹配的第二防火墙路由数组,并根据所述第二防火墙路由数组查询出对应的第二防火墙接口数组以及第二防火墙数组;
S5、分别从所述第一防火墙数组以及所述第二防火墙数组中删除当所述第一防火墙接口数组与所述第二防火墙接口数组相同时所对应的防火墙数组;
S6、提取所述第一防火墙数组和所述第二防火墙数组的交集。
2.如权利要求1所述的ip地址所经过的防火墙的查询方法,其特征在于,步骤S3中按照最长掩码匹配原则查询所述第一防火墙路由数组。
3.如权利要求1所述的ip地址所经过的防火墙的查询方法,其特征在于,步骤S4中按照最长掩码匹配原则查询所述第二防火墙路由数组。
4.一种ip地址所经过的防火墙的查询系统,其特征在于,包括:
防火墙信息库,用于存储多个防火墙策略信息,每个防火墙策略信息均包括源地址数组、目的地址数组、防火墙数组、防火墙路由数组以及防火墙接口数组;
接收模块,用于接收输入的ip地址,所述ip地址包括目标源地址以及目标目的地址;
第一查询模块,用于从所述防火墙信息库中查询出与所述目标源地址相匹配的第一防火墙路由数组,并根据所述第一防火墙路由数组查询出对应的第一防火墙接口数组以及第一防火墙数组;
第二查询模块,用于从所述防火墙信息库中查询出与所述目标目的地址相匹配的第二防火墙路由数组,并根据所述第二防火墙路由数组查询出对应的第二防火墙接口数组以及第二防火墙数组;
删除模块,用于分别从所述第一防火墙数组以及所述第二防火墙数组中删除当所述第一防火墙接口数组与所述第二防火墙接口数组相同时所对应的防火墙数组;
提取模块,用于提取所述第一防火墙数组和所述第二防火墙数组的交集。
5.如权利要求4所述的ip地址所经过的防火墙的查询系统,其特征在于,所述第一查询模块用于按照最长掩码匹配原则查询所述第一防火墙路由数组。
6.如权利要求4所述的ip地址所经过的防火墙的查询系统,其特征在于,所述第二查询模块用于按照最长掩码匹配原则查询所述第二防火墙路由数组。
CN201610319198.9A 2016-05-13 2016-05-13 ip地址所经过的防火墙的查询方法及系统 Active CN105978881B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610319198.9A CN105978881B (zh) 2016-05-13 2016-05-13 ip地址所经过的防火墙的查询方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610319198.9A CN105978881B (zh) 2016-05-13 2016-05-13 ip地址所经过的防火墙的查询方法及系统

Publications (2)

Publication Number Publication Date
CN105978881A CN105978881A (zh) 2016-09-28
CN105978881B true CN105978881B (zh) 2019-05-31

Family

ID=56992635

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610319198.9A Active CN105978881B (zh) 2016-05-13 2016-05-13 ip地址所经过的防火墙的查询方法及系统

Country Status (1)

Country Link
CN (1) CN105978881B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640532B (zh) * 2022-03-29 2023-03-24 联想(北京)有限公司 一种处理方法、装置及电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102413012A (zh) * 2011-11-21 2012-04-11 上海交通大学 计算机网络连通性自动分析系统
CN103905406A (zh) * 2012-12-28 2014-07-02 中国移动通信集团公司 一种失效的防火墙策略检测方法和装置
CN105071991A (zh) * 2015-08-11 2015-11-18 携程计算机技术(上海)有限公司 多个防火墙的ip连通性的测试方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102413012A (zh) * 2011-11-21 2012-04-11 上海交通大学 计算机网络连通性自动分析系统
CN103905406A (zh) * 2012-12-28 2014-07-02 中国移动通信集团公司 一种失效的防火墙策略检测方法和装置
CN105071991A (zh) * 2015-08-11 2015-11-18 携程计算机技术(上海)有限公司 多个防火墙的ip连通性的测试方法

Also Published As

Publication number Publication date
CN105978881A (zh) 2016-09-28

Similar Documents

Publication Publication Date Title
CN104734964B (zh) 报文处理方法、节点及系统
CN103259726B (zh) 存储和发送mac地址表项的方法、设备及系统
CN104717137A (zh) 管理覆盖网络中的数据流的方法和系统
CN105684391A (zh) 基于标签的访问控制规则的自动生成
CN107113322A (zh) 创建和管理可迁移式逻辑业务链的硬件和软件方法
CN103546380B (zh) 一种基于策略路由的报文转发方法和装置
CN102780601A (zh) 管理虚拟网络的方法与系统
US10164908B2 (en) Filtration of network traffic using virtually-extended ternary content-addressable memory (TCAM)
CN101707619A (zh) 报文过滤方法、装置及网络设备
CN104937897B (zh) 用于消除对网络数据包的冗余安全分析的系统和方法
KR102061833B1 (ko) 사이버 침해 사고 조사 장치 및 방법
CN102780779A (zh) 一种园区网出口p2p流量优化方法、装置及网关设备
CN105827649A (zh) 防火墙策略的自动生成方法及系统
CN105681199B (zh) 一种车载总线中报文数据的处理方法及装置
CN103051535A (zh) 一种数据接入方法、装置及数据接入系统
CN104038384A (zh) 一种基于gbf的追踪溯源系统及其工作方法
CN107995032B (zh) 一种基于云数据中心搭建网络实验平台的方法及装置
CN105978881B (zh) ip地址所经过的防火墙的查询方法及系统
CN104050038B (zh) 一种基于策略感知的虚拟机迁移方法
CN105071991B (zh) 多个防火墙的ip连通性的测试方法
CN106302837B (zh) 一种光网络单元的mac地址表管理方法及装置
CN105681327B (zh) 防火墙策略的自动查询方法及系统
CN118118268A (zh) 一种网络资产识别方法、装置以及处理设备
CN106059882A (zh) 一种路由插入的方法及装置
CN103442096A (zh) 基于移动互联网的nat转换方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant