CN110392127A - 网络地址空间识别方法及装置 - Google Patents
网络地址空间识别方法及装置 Download PDFInfo
- Publication number
- CN110392127A CN110392127A CN201910753574.9A CN201910753574A CN110392127A CN 110392127 A CN110392127 A CN 110392127A CN 201910753574 A CN201910753574 A CN 201910753574A CN 110392127 A CN110392127 A CN 110392127A
- Authority
- CN
- China
- Prior art keywords
- strategy
- security domain
- address space
- source
- nat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/748—Address table lookup; Address filtering using longest matching prefix
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络地址空间识别方法及装置,其中,该方法包括以下步骤:获取网关设备的路由表和NAT策略;根据所述路由表的目的地址,构建路由表出接口所在的安全域的地址空间;根据NAT策略中的地址空间以及关联的安全域,确定自定义网络类型;根据所述安全域的地址空间和自定义网络类型,确定自定义网络的地址空间。与现有技术相比,该方案通过分析网络设备中的路由表和NAT策略中的地址空间,可以自动识别自定义网络类型将其地址空间。
Description
技术领域
本发明涉及网络识别技术领域,特别涉及一种网络地址空间识别方法及装置。
背景技术
现有的网关设备中,包括防火墙和路由器等设备,一般都有多个网络类型,而不仅仅是内网和外网,尤其是多VPN厂家的场景下,运营商会根据实际的使用情况,划分多个网络类型,不同的网络类型之间的通信需要经过NAT转换。目前的网络类型都是运维管理人员提前规划好的,通过人工手动记录,网关设备本身不能自动识别网络的类型。每次开通一个新的业务(策略),都是需要检测和分析网络中的配置信息,才能确定下发哪种策略,如果不能识别网络类型,那么就不能确定下发哪种策略,这样给运维管理工作以及人员的交替带来极大的困难。
发明内容
本发明实施例提供了一种网络地址空间识别方法及装置,解决了现有技术中无法识别网络类型的技术问题。
本发明实施例提供了一种网络地址空间识别方法,该方法包括:
获取网关设备的路由表和NAT策略;
根据所述路由表的目的地址,构建路由表出接口所在的安全域的地址空间;
根据NAT策略中的地址空间以及关联的安全域,确定自定义网络类型;
根据所述安全域的地址空间和自定义网络类型,确定自定义网络的地址空间。
本发明实施例还提供了一种网络地址空间识别装置,该装置包括:
信息获取模块,用于获取网关设备的路由表和NAT策略;
安全域的地址空间构建模块,用于根据所述路由表的目的地址,构建路由表出接口所在的安全域的地址空间;
自定义网络类型确定模块,用于根据NAT策略中的地址空间以及关联的安全域,确定自定义网络类型;
自定义网络的地址空间确定模块,用于根据所述安全域的地址空间和自定义网络类型,确定自定义网络的地址空间。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述所述方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述所述方法的计算机程序。
在一个实施例中,与现有技术相比,该方案通过分析网络设备中的路由表和NAT策略中的地址空间,可以自动识别自定义网络类型将其地址空间。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络地址空间识别方法流程图(一);
图2是本发明实施例提供的一种路由表的格式示意图;
图3是本发明实施例提供的一种防火墙设备连接示意图(一);
图4是本发明实施例提供的一种防火墙设备连接示意图(二);
图5是本发明实施例提供的一种网络地址空间识别方法流程图(二);
图6是本发明实施例提供的一种网络地址空间识别装置结构框图(一);
图7是本发明实施例提供的一种网络地址空间识别装置结构框图(二)。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
技术术语解释:
NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。
情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。
情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet进行通信。
NAT所需路由器的硬件配置和软件配置:
设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet。外部端口可以为路由器上的任意端口。
在本发明实施例中,基于现有技术存在的不能识别网络类型的问题,本发明提供了一种网络地址空间识别方法,如图1所示,该方法包括:
步骤101:获取网关设备的路由表和NAT策略;
步骤102:根据所述路由表的目的地址,构建路由表出接口所在的安全域的地址空间;
步骤103:根据NAT策略中的地址空间以及关联的安全域,确定自定义网络类型;
步骤104:根据所述安全域的地址空间和自定义网络类型,确定自定义网络的地址空间。
在本发明实施例中,步骤102至步骤104具体包括:
首先根据网关设备中的路由表确定缺省网络的地址空间,即默认所有的安全域开始的时候属于同一个网络,不需要进行NAT地址转换。路由表的目的地址所构建的地址空间,作为路由表出接口所属安全域的地址空间(每个出接口,都只能有一个安全域,安全域下可以有多个接口),其出接口所属的安全域,初始归属于缺省的网络类型;若由路由表的目的地址所构建的地址空间存在交集,则选择优先级最高的路由条目,将其出接口以及出接口所归属的安全域作为后续判断的依据;
进一步的分析网关设备中的NAT策略,NAT策略包括源NAT策略和目的NAT策略。NAT策略的入接口和出接口的所在的安全域,归属不同的网络类型;源NAT策略的入接口所归属的网络为内网,出接口所属的网络为外网。目的NAT策略的入接口为外网,而目的NAT策略的出接口为内网。内网和外网都是相对的,可以为某个公共网络的内网、外网,比如CN2,163,也可以是用户内部自定义的网络。该网络类型被自动分析出来之后,则自动创建网络类型,每个网络类型包含网络类型的名称以及网络类型的内外网属性,以及所关联的安全域。管理人员可以根据实际的网络规划,为网络类型自定义名称。
根据源NAT策略的目的地址,查找匹配的路由表(最长掩码匹配),路由表的出接口即为该源NAT策略的出接口,该出接口所在的安全域,则为源NAT策略的目的安全域;根据源NAT策略的实际通信的源地址和目的地址,匹配安全策略,所命中的安全策略所属的源安全域则为源NAT策略实际所属的源安全域。源NAT的源安全域所属的网络类型为内网,目的安全域所属的网络类型为外网,为其创建网络类型,并区分内外网,最后,将该安全域根据路由表所构建的地址空间,作为该网络类型的地址空间,进一步,安全策略的地址信息可以作为地址空间的补充信息。
根据目的NAT策略转换后的目的地址,查找匹配的路由表(最长掩码匹配),路由表的出接口即为该目的NAT策略的出接口,有些目的NAT策略的入接口或者源安全域能根据目的NAT策略的配置信息自动识别,有的无法自动识别,则需要结合安全策略信息获取。根据目的NAT策略的源地址和转换后的目的地址,查询匹配的安全策略,所命中的安全策略所在的源安全域,则为目的NAT策略所属的源安全域。目的NAT策略所属的源安全域和目的安全域,则属于不同的网络类型,目的NAT的源安全域所属的网络类型为外网,目的安全域所属的网络类型为内网,自动为其建立网络类型并且区分内外网;最后,将该安全域根据路由表所构建的地址空间,作为该网络类型的地址空间;
相邻的两个网关设备直连的接口,归属于相同的网络类型;当网络中有多个设备时,相同的网络类型不需要重复创建。
最后结合路由表的地址空间和NAT策略确定的网络类型,自动获取自定义的网络类型,以及该网络类型下的地址空间和关联的接口信息。
举例说明。
实施例一
首先:扫描网关设备中的路由表,路由表的格式如图2所示;根据路由表的目的地址,为其出接口所在的安全域构建地址空间,地址空间由路由表的目的地址构成,起始,每个安全域归属于缺省的网络类型;若路由表的地址空间存在交集,则选择优先级最高的路由条目,即掩码最长的,将其出接口以及出接口所归属的安全域作为后续判断的依据。
对于如图3所示的防火墙设备,也可以是其他的网关设备,该设备连接了内部的网络,以及核心路由器。其中到达CR即核心路由的路由表(目的地址:171.10.10.0/24,出接口为Tge1,该接口属于安全域untrust),则认为安全域untrust的地址空间为171.10.10.0/24。
第二步:遍历该网络设备上的所有的源NAT策略,源NAT策略的目的地址,查找匹配的路由表(最长掩码匹配),路由表的出接口即为该源NAT策略的出接口,该出接口所在的安全域,则为源NAT策略的目的安全域;根据源NAT策略的实际通信的源地址和目的地址,匹配安全策略,所命中的安全策略所属的源安全域则为源NAT策略实际所属的源安全域。源NAT的源安全域所属的网络类型为内网,目的安全域所属的网络类型为外网,系统为其创建网络类型,并区分内外网,最后,将该安全域根据路由表所构建的地址空间,作为该网络类型的地址空间,进一步,安全策略的地址信息可以作为地址空间的补充信息。进一步源NAT策略的出接口和目的NAT的入接口,即与其他网关设备相连的接口,归属于相同的网络类型。
最后结合路由表的地址空间和NAT策略确定的网络类型,自动识别出自定义的网络类型,以及该网络类型所关联的安全域,以及安全域下的地址空间和关联的接口信息。
实施例二:
首先:扫描网关设备中的路由表,路由表的格式如图2所示;根据路由表的目的地址,为其出接口所在的安全域构建地址空间,地址空间由路由表的目的地址构成,起始,每个安全域归属于缺省的网络类型;若路由表的地址空间存在交集,则选择优先级最高的路由条目,即掩码最长的,将其出接口的以及出接口所归属的安全域作为后续判断的依据。
对于如图4所示的防火墙设备,设备连接了内部的网络,和外部的网络。与内部网络互连的是trust安全域,与外部网络互连的是untrust安全域。外部的主机访问内部网络的服务起,需要进行目的NAT地址转换。从安全角度考虑,内部的服务器地址是不会暴露在网络上的。
第二步:根据目的NAT策略的转换后的目的地址,查找匹配的路由表(最长掩码匹配),路由表的出接口即为该目的NAT策略的出接口,有些目的NAT策略的入接口或者源安全域能根据目的NAT策略的配置信息自动识别,有的无法自动识别,则需要结合安全策略信息获取。根据目的NAT策略的源地址和转换后的目的的地址,查询匹配的安全策略,所命中的安全策略所在的源安全域,则为目的NAT策略所属的源安全域。目的NAT策略所属的源安全域和目的安全域,则属于不同的网络类型,目的NAT的源安全域所属的网络类型为外网,目的安全域所属的网络类型为内网,系统自动为其建立网络类型并且区分内外网;最后,将该安全域根据路由表所构建的地址空间,作为该网络类型的地址空间。
最后结合路由表的地址空间和NAT策略确定的网络类型,自动识别出自定义的网络类型,以及该网络类型所关联的安全域,以及安全域下的地址空间和关联的接口信息。
在本发明实施例中,基于现有技术存在的由于不能识别网络类型,不能确定下发哪种策略,给运维管理工作以及人员的交替带来极大的困难的问题,如图5所示,本发明提出的网络地址空间识别方法还包括:
步骤105:接收业务开通请求,所述业务开通请求包括业务的源地址、目的地址、预申请策略;
步骤106:根据所述自定义网络的地址空间,确定源地址和目的地址所归属的地址空间,根据所归属的地址空间所关联的安全域和安全域所关联的网络类型,确定所述业务的可申请策略(比如安全策略、snat策略,或者dnat策略);如果没有匹配到合适的地址空间,则任务申请的业务不合规,请运维人员重新校验。
步骤107:将所述可申请策略与所述预申请策略进行比较,当所述可申请策略与所述预申请策略一致时,同意业务开通,当所述可申请策略与所述预申请策略不一致时,根据所述预申请策略和所述可申请策略确定进行NAT转换。
比如说,不同的网络类型需要进行snat或者dnat转换,当提交策略申请的时候,如果提交的是snat,但是根据实际网络类型只能提交dnat,可以自动识别出来。
这样,可以根据策略申请的地址信息,自动匹配每个安全域的地址空间,并结合网络类型,对开通的策略进行安全审计,避免出现配置错误,提高策略开通的效率。
基于同一发明构思,本发明实施例中还提供了一种网络地址空间识别装置,如下面的实施例所述。由于网络地址空间识别装置解决问题的原理与网络地址空间识别方法相似,因此网络地址空间识别装置的实施可以参见网络地址空间识别方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图6是本发明实施例的网络地址空间识别装置结构框图,如图6所示,包括:
信息获取模块601,用于获取网关设备的路由表和NAT策略;
安全域的地址空间构建模块602,用于根据所述路由表的目的地址,构建路由表出接口所在的安全域的地址空间;
自定义网络类型确定模块603,用于根据NAT策略中的地址空间,确定自定义网络类型;
自定义网络的地址空间确定模块604,用于根据所述安全域的地址空间和自定义网络类型,确定自定义网络的地址空间。
在本发明实施例中,所述安全域的地址空间构建模块602还用于:
若构建的安全域的地址空间存在交集,选择优先级最高的路由条目,获取所述路由条目对应的出接口及出接口所归属安全域;
所述自定义网络的地址空间确定模块604具体用于:
根据所述路由条目对应的出接口及出接口所归属安全域、自定义网络类型,确定自定义网络的地址空间。
在本发明实施例中,所述NAT策略包括源NAT策略和目的NAT策略;
所述自定义网络类型确定模块603具体用于:
当为源NAT策略时,根据源NAT策略的目的地址,进行最长掩码匹配,确定路由表的出接口为源NAT策略的出接口,路由表的出接口所在的安全域为源NAT策略的目的安全域;
根据源NAT策略的实际通信的源地址和目的地址,匹配安全策略,所命中的安全策略所属的源安全域为源NAT策略的源安全域;
根据源NAT策略的源安全域所属的网络类型为内网,目的安全域所属的网络类型为外网,创建网络类型并区分内外网,将路由表出接口所在安全域的地址空间作为该网络类型的地址空间;
当为目的NAT策略时,根据目的NAT策略的目的地址,进行最长掩码匹配,确定路由表的出接口为目的NAT策略的出接口,路由表的出接口所在的安全域为目的NAT策略的目的安全域;
根据目的NAT策略的源地址和转换后的目的地址,匹配安全策略,所命中的安全策略所属的源安全域为目的NAT策略的源安全域;
根据目的NAT策略的源安全域所属的网络类型为外网,目的安全域所属的网络类型为内网,创建网络类型并区分内外网,将路由表出接口所在安全域的地址空间作为该网络类型的地址空间。
在本发明实施例中,所述自定义网络类型确定模块603具体用于:
当为目的NAT策略时,根据目的NAT策略的配置信息和安全策略信息识别目的NAT策略的入接口或者源安全域。
在本发明实施例中,所述自定义网络的地址空间确定模块604还用于:
根据所述安全域的地址空间和自定义网络类型,确定自定义网络所关联的安全域、安全域下的地址空间和关联的接口信息。
在本发明实施例中,如图7所示,该装置还包括:
业务开通请求接收模块605,用于接收业务开通请求,所述业务开通请求包括业务的源地址、目的地址、预申请策略;
可申请策略确定模块606,用于根据所述自定义网络的地址空间,确定源地址和目的地址所归属的地址空间,根据所归属的地址空间所关联的安全域和安全域所关联的网络类型,确定所述业务的可申请策略;
比较处理模块607,用于将所述可申请策略与所述预申请策略进行比较,当所述可申请策略与所述预申请策略一致时,同意业务开通,当所述可申请策略与所述预申请策略不一致时,根据所述预申请策略和所述可申请策略确定进行NAT转换。本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述所述方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述所述方法的计算机程序。
综上所述,与现有技术不能识别网络类型相比,该方案通过分析网络设备中的路由表和NAT策略中的地址空间,可以自动识别自定义网络类型将其地址空间。与现有技术由于不能识别网络类型,不能确定下发哪种策略,给运维管理工作以及人员的交替带来极大的困难相比,该方案根据策略申请的地址信息,自动匹配每个安全域的地址空间,并结合网络类型,对开通的策略进行安全审计,避免出现配置错误,提高策略开通的效率。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种网络地址空间识别方法,其特征在于,包括:
获取网关设备的路由表和NAT策略;
根据所述路由表的目的地址,构建路由表出接口所在的安全域的地址空间;
根据NAT策略中的地址空间以及关联的安全域,确定自定义网络类型;
根据所述安全域的地址空间和自定义网络类型,确定自定义网络的地址空间。
2.如权利要求1所述的网络地址空间识别方法,其特征在于,还包括:
若构建的安全域的地址空间存在交集,选择优先级最高的路由条目,获取所述路由条目对应的出接口及出接口所归属安全域;
根据所述安全域的地址空间和自定义网络类型,确定自定义网络的地址空间,包括:
根据所述路由条目对应的出接口及出接口所归属安全域、自定义网络类型,确定自定义网络的地址空间。
3.如权利要求1所述的网络地址空间识别方法,其特征在于,所述NAT策略包括源NAT策略和目的NAT策略;
根据NAT策略中的地址空间以及关联的安全域,确定自定义网络类型,包括:
当为源NAT策略时,根据源NAT策略的目的地址,进行最长掩码匹配,确定路由表的出接口为源NAT策略的出接口,路由表的出接口所在的安全域为源NAT策略的目的安全域;
根据源NAT策略的实际通信的源地址和目的地址,匹配安全策略,所命中的安全策略所属的源安全域为源NAT策略的源安全域;
根据源NAT策略的源安全域所属的网络类型为内网,目的安全域所属的网络类型为外网,创建网络类型并区分内外网,将路由表出接口所在安全域的地址空间作为该网络类型的地址空间;
当为目的NAT策略时,根据目的NAT策略转换后的目的地址,进行最长掩码匹配,确定路由表的出接口为目的NAT策略的出接口,路由表的出接口所在的安全域为目的NAT策略的目的安全域;
根据目的NAT策略的源地址和转换后的目的地址,匹配安全策略,所命中的安全策略所属的源安全域为目的NAT策略的源安全域;
根据目的NAT策略的源安全域所属的网络类型为外网,目的安全域所属的网络类型为内网,创建网络类型并区分内外网,将路由表出接口所在安全域的地址空间作为该网络类型的地址空间。
4.如权利要求3所述的网络地址空间识别方法,其特征在于,还包括:
当为目的NAT策略时,根据目的NAT策略的配置信息和安全策略信息识别目的NAT策略的入接口或者源安全域。
5.如权利要求1所述的网络地址空间识别方法,其特征在于,还包括:
根据所述安全域的地址空间和自定义网络类型,确定自定义网络所关联的安全域、安全域下的地址空间和关联的接口信息。
6.如权利要求1所述的网络地址空间识别方法,其特征在于,还包括:
接收业务开通请求,所述业务开通请求包括业务的源地址、目的地址、预申请策略;
根据所述自定义网络的地址空间,确定源地址和目的地址所归属的地址空间,根据所归属的地址空间所关联的安全域和安全域所关联的网络类型,确定所述业务的可申请策略;
将所述可申请策略与所述预申请策略进行比较,当所述可申请策略与所述预申请策略一致时,同意业务开通,当所述可申请策略与所述预申请策略不一致时,根据所述预申请策略和所述可申请策略确定进行NAT转换。
7.一种网络地址空间识别装置,其特征在于,包括:
信息获取模块,用于获取网关设备的路由表和NAT策略;
安全域的地址空间构建模块,用于根据所述路由表的目的地址,构建路由表出接口所在的安全域的地址空间;
自定义网络类型确定模块,用于根据NAT策略中的地址空间以及关联的安全域,确定自定义网络类型;
自定义网络的地址空间确定模块,用于根据所述安全域的地址空间和自定义网络类型,确定自定义网络的地址空间。
8.如权利要求7所述的网络地址空间识别装置,其特征在于,所述安全域的地址空间构建模块还用于:
若构建的安全域的地址空间存在交集,选择优先级最高的路由条目,获取所述路由条目对应的出接口及出接口所归属安全域;
所述自定义网络的地址空间确定模块具体用于:
根据所述路由条目对应的出接口及出接口所归属安全域、自定义网络类型,确定自定义网络的地址空间。
9.如权利要求7所述的网络地址空间识别装置,其特征在于,所述NAT策略包括源NAT策略和目的NAT策略;
所述自定义网络类型确定模块具体用于:
当为源NAT策略时,根据源NAT策略的目的地址,进行最长掩码匹配,确定路由表的出接口为源NAT策略的出接口,路由表的出接口所在的安全域为源NAT策略的目的安全域;
根据源NAT策略的实际通信的源地址和目的地址,匹配安全策略,所命中的安全策略所属的源安全域为源NAT策略的源安全域;
根据源NAT策略的源安全域所属的网络类型为内网,目的安全域所属的网络类型为外网,创建网络类型并区分内外网,将路由表出接口所在安全域的地址空间作为该网络类型的地址空间;
当为目的NAT策略时,根据目的NAT策略转换后的目的地址,进行最长掩码匹配,确定路由表的出接口为目的NAT策略的出接口,路由表的出接口所在的安全域为目的NAT策略的目的安全域;
根据目的NAT策略的源地址和转换后的目的地址,匹配安全策略,所命中的安全策略所属的源安全域为目的NAT策略的源安全域;
根据目的NAT策略的源安全域所属的网络类型为外网,目的安全域所属的网络类型为内网,创建网络类型并区分内外网,将路由表出接口所在安全域的地址空间作为该网络类型的地址空间。
10.如权利要求9所述的网络地址空间识别装置,其特征在于,所述自定义网络类型确定模块具体用于:
当为目的NAT策略时,根据目的NAT策略的配置信息和安全策略信息识别目的NAT策略的入接口或者源安全域。
11.如权利要求7所述的网络地址空间识别装置,其特征在于,所述自定义网络的地址空间确定模块还用于:
根据所述安全域的地址空间和自定义网络类型,确定自定义网络所关联的安全域、安全域下的地址空间和关联的接口信息。
12.如权利要求7所述的网络地址空间识别装置,其特征在于,还包括:
业务开通请求接收模块,用于接收业务开通请求,所述业务开通请求包括业务的源地址、目的地址、预申请策略;
可申请策略确定模块,用于根据所述自定义网络的地址空间,确定源地址和目的地址所归属的地址空间,根据所归属的地址空间所关联的安全域和安全域所关联的网络类型,确定所述业务的可申请策略;
比较处理模块,用于将所述可申请策略与所述预申请策略进行比较,当所述可申请策略与所述预申请策略一致时,同意业务开通,当所述可申请策略与所述预申请策略不一致时,根据所述预申请策略和所述可申请策略确定进行NAT转换。
13.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6任一项所述方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至6任一项所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910753574.9A CN110392127B (zh) | 2019-08-15 | 2019-08-15 | 网络地址空间识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910753574.9A CN110392127B (zh) | 2019-08-15 | 2019-08-15 | 网络地址空间识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110392127A true CN110392127A (zh) | 2019-10-29 |
| CN110392127B CN110392127B (zh) | 2022-01-11 |
Family
ID=68288898
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910753574.9A Active CN110392127B (zh) | 2019-08-15 | 2019-08-15 | 网络地址空间识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110392127B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112333076A (zh) * | 2020-11-25 | 2021-02-05 | 中盈优创资讯科技有限公司 | 通过FlexE通道承载VXLAN业务的方法及装置 |
| CN112448847A (zh) * | 2020-11-13 | 2021-03-05 | 中盈优创资讯科技有限公司 | 一种确定网络资产位置信息的方法及装置 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002084974A2 (en) * | 2001-04-17 | 2002-10-24 | Intel Corporation | Communications protocols operable through network address translation (nat) type devices |
| CN101083565A (zh) * | 2006-05-29 | 2007-12-05 | 腾讯科技(深圳)有限公司 | 一种检测网络类型的方法及系统 |
| CN101729367A (zh) * | 2008-10-30 | 2010-06-09 | 华为技术有限公司 | 实现网络地址转换的方法、设备及系统 |
| WO2010096805A1 (en) * | 2009-02-23 | 2010-08-26 | Xcast Labs, Inc. | Detecting the type of nat firewall using messages |
| CN102164078A (zh) * | 2011-03-25 | 2011-08-24 | 北京星网锐捷网络技术有限公司 | 策略路由方法、装置及系统 |
| CN102984015A (zh) * | 2012-12-21 | 2013-03-20 | 太仓市同维电子有限公司 | 一种网关设备自动识别接入设备类型以及优化服务的方法 |
| CN103152269A (zh) * | 2013-02-26 | 2013-06-12 | 杭州华三通信技术有限公司 | 一种基于nat的报文转发方法和设备 |
| CN103220191A (zh) * | 2013-04-27 | 2013-07-24 | 四川长虹电器股份有限公司 | 多种类型网络的自动切换方法 |
| CN105391639A (zh) * | 2015-10-13 | 2016-03-09 | 深圳市唯传科技有限公司 | 一种物联网智能网关路由方法及系统 |
| CN107579988A (zh) * | 2017-09-25 | 2018-01-12 | 新华三技术有限公司 | 配置安全策略的方法和装置 |
| US20180041470A1 (en) * | 2016-08-08 | 2018-02-08 | Talari Networks Incorporated | Applications and integrated firewall design in an adaptive private network (apn) |
| CN107800709A (zh) * | 2017-11-06 | 2018-03-13 | 杭州迪普科技股份有限公司 | 一种生成网络攻击检测策略的方法及装置 |
| CN109600368A (zh) * | 2018-12-07 | 2019-04-09 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
| CN109743745A (zh) * | 2019-02-19 | 2019-05-10 | 北京三快在线科技有限公司 | 移动网络接入类型识别方法、装置、电子设备及存储介质 |
-
2019
- 2019-08-15 CN CN201910753574.9A patent/CN110392127B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002084974A2 (en) * | 2001-04-17 | 2002-10-24 | Intel Corporation | Communications protocols operable through network address translation (nat) type devices |
| CN1623310A (zh) * | 2001-04-17 | 2005-06-01 | 英特尔公司 | 可经由网络地址转换型设备操作的通信协议 |
| CN101083565A (zh) * | 2006-05-29 | 2007-12-05 | 腾讯科技(深圳)有限公司 | 一种检测网络类型的方法及系统 |
| CN101729367A (zh) * | 2008-10-30 | 2010-06-09 | 华为技术有限公司 | 实现网络地址转换的方法、设备及系统 |
| WO2010096805A1 (en) * | 2009-02-23 | 2010-08-26 | Xcast Labs, Inc. | Detecting the type of nat firewall using messages |
| CN102164078A (zh) * | 2011-03-25 | 2011-08-24 | 北京星网锐捷网络技术有限公司 | 策略路由方法、装置及系统 |
| CN102984015A (zh) * | 2012-12-21 | 2013-03-20 | 太仓市同维电子有限公司 | 一种网关设备自动识别接入设备类型以及优化服务的方法 |
| CN103152269A (zh) * | 2013-02-26 | 2013-06-12 | 杭州华三通信技术有限公司 | 一种基于nat的报文转发方法和设备 |
| CN103220191A (zh) * | 2013-04-27 | 2013-07-24 | 四川长虹电器股份有限公司 | 多种类型网络的自动切换方法 |
| CN105391639A (zh) * | 2015-10-13 | 2016-03-09 | 深圳市唯传科技有限公司 | 一种物联网智能网关路由方法及系统 |
| US20180041470A1 (en) * | 2016-08-08 | 2018-02-08 | Talari Networks Incorporated | Applications and integrated firewall design in an adaptive private network (apn) |
| CN107579988A (zh) * | 2017-09-25 | 2018-01-12 | 新华三技术有限公司 | 配置安全策略的方法和装置 |
| CN107800709A (zh) * | 2017-11-06 | 2018-03-13 | 杭州迪普科技股份有限公司 | 一种生成网络攻击检测策略的方法及装置 |
| CN109600368A (zh) * | 2018-12-07 | 2019-04-09 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
| CN109743745A (zh) * | 2019-02-19 | 2019-05-10 | 北京三快在线科技有限公司 | 移动网络接入类型识别方法、装置、电子设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| ERIC HSIAO-KUANG WU ECT.: "Dynamic adaptive routing for heterogeneous wireless network", 《 GLOBECOM"01. IEEE GLOBAL TELECOMMUNICATIONS CONFERENCE》 * |
| 潘文婵等: "基于防火墙策略路由的网络安全应用研究", 《计算机技术与发展》 * |
| 赵新胜等: "防火墙", 《人民邮电出版社》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112448847A (zh) * | 2020-11-13 | 2021-03-05 | 中盈优创资讯科技有限公司 | 一种确定网络资产位置信息的方法及装置 |
| CN112448847B (zh) * | 2020-11-13 | 2023-08-01 | 中盈优创资讯科技有限公司 | 一种确定网络资产位置信息的方法及装置 |
| CN112333076A (zh) * | 2020-11-25 | 2021-02-05 | 中盈优创资讯科技有限公司 | 通过FlexE通道承载VXLAN业务的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110392127B (zh) | 2022-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6737965B2 (ja) | 仮想ネットワーク検証サービス | |
| US11362986B2 (en) | Resolution of domain name requests in heterogeneous network environments | |
| CN105684391A (zh) | 基于标签的访问控制规则的自动生成 | |
| CN106464736B (zh) | 用于基于云的服务交换的实时配置和管理的互连平台 | |
| CA2946224C (en) | Method and apparatus for automating the building of threat models for the public cloud | |
| CN104320418B (zh) | 提供对远程服务的本地安全网络访问 | |
| CN103856350B (zh) | 面向对象的网络 | |
| KR102545124B1 (ko) | 자동화된 패킷리스 네트워크 도달가능성 분석 | |
| JP4493654B2 (ja) | ネットワーク間の通信のためのセキュリティ・チェック・プログラム | |
| CN109076057A (zh) | 用于通过防火墙保护网络装置的系统和方法 | |
| CN105684357A (zh) | 虚拟机中地址的管理 | |
| CN110392127A (zh) | 网络地址空间识别方法及装置 | |
| CN107800781A (zh) | 一种配置数据处理方法和装置 | |
| CN110400116A (zh) | 一种基于企业办公流转审批的处理方法,装置及系统 | |
| CN110968848A (zh) | 基于用户的权限管理方法、装置及计算设备 | |
| CN109923835A (zh) | 本地与场外的通信 | |
| CN109412955A (zh) | Ipran网络设备间链接关系确定方法及装置 | |
| US10560284B2 (en) | System and methods for mapping a network service path | |
| CN105429996A (zh) | 一种智能发现和定位地址转换设备的方法 | |
| CN107734046A (zh) | 远程操作数据库的方法、服务端、客户端和系统 | |
| EP3920467A1 (en) | Communication coupling verification method, communication coupling verification program, and network verification apparatus | |
| CN106375109A (zh) | 一种交换机配置模拟下发的方法、系统及计算机 | |
| CN107404722A (zh) | 一种用于对用户设备进行无线连接预授权的方法与设备 | |
| CN105871848A (zh) | 一种远程数据管理方法及设备 | |
| CN115834230B (zh) | 一种内部网络穿透配置方法、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 702-2, No. 4811, Cao'an Highway, Jiading District, Shanghai Patentee after: CHINA UNITECHS Address before: 100872 5th floor, Renmin culture building, 59 Zhongguancun Street, Haidian District, Beijing Patentee before: CHINA UNITECHS |