CN111683044A - 一种正向隔离装置策略自动检测方法及装置 - Google Patents

Abstract

本发明公开了一种正向隔离装置策略自动检测方法及装置，包括以下过程：获取被测策略的参数；所述参数包括内网侧参数和外网侧参数；根据策略的内外网侧参数确定内网侧主机和外网侧主机的通信地址；模拟内网侧主机和外网侧主机之间的网络通信，并传输正向传输报文和反向应答报文；若通信失败、或未接收到正向传输或反向应答报文，则判断被测策略未生效。本发明实现自动检测每条策略是否生效，并对未生效的策略进行故障诊断，一方面保证正向隔离装置的业务可靠性，另一方面提高正向隔离装置维护管理的效率。

Description

一种正向隔离装置策略自动检测方法及装置

技术领域

本发明属于电力系统正向隔离装置技术领域，具体涉及一种正向隔离装置策略自动检测方法及装置。

背景技术

正向隔离装置是安放在生产控制区(安全区I和安全区Ⅱ)和信息管理区(安全区Ⅲ和安全区Ⅳ)之间的隔离装置。正向隔离装置对接收到的所有数据包进行检查，从报文提取信息与配置的策略逐条对比，对与策略匹配的报文进行转发，对与策略不匹配的报文直接丢弃。

在实际的应用场景中，正向隔离装置中配置的策略可能有数百条，如果其中某条的策略未生效，则会导致对应的业务无法正常运行。

目前没有一种自动检测正向隔离装置中配置的策略是否生效的方法，采用手动策略检测效率极低，不进行策略检测直接现场部署，装置运行不正常风险较大。

发明内容

本发明的目的在于克服现有技术中的不足，提供了一种正向隔离装置策略自动检测方法，高效验证验证正向隔离装置中配置的策略是否生效，避免装置运行时由于策略不生效导致运行不正常的情况，保证正向隔离装置的业务可靠性。

为解决上述技术问题，本发明提供了一种正向隔离装置策略自动检测方法，其特征是，包括以下过程：

获取被测策略的参数；所述参数包括内网侧参数和外网侧参数；

根据策略的内外网侧参数确定内网侧主机和外网侧主机的通信地址；

模拟内网侧主机和外网侧主机之间的网络通信，并传输正向传输报文和反向应答报文；若通信失败、或未接收到正向传输或反向应答报文，则判断被测策略未生效。

进一步的，所述内网侧参数包括：[源IP地址]、[虚拟外网IP]、[源端口]、[内网是否路由]和[内网网关地址]；所述外网侧参数包括：[目的IP地址]、[虚拟内网IP]、[目的端口]、[外网是否路由]和[外网网关地址]。

进一步的，所述根据策略的内外网侧参数确定内网侧主机和外网侧主机的通信地址，包括：

根据内网侧参数[内网是否路由]，新增地址[IP1]作为内网侧主机IP地址：如果[内网是否路由]为是，则[IP1]为[内网网关地址]，如果[内网是否路由]为否，则[IP1]为[源IP地址]；

根据外网侧参数[外网是否路由]，新增地址[IP2]作为外网侧主机IP地址：如果[外网是否路由]为是，则[IP2]为[外网网关地址]，如果[外网是否路由]为否，则[IP2]为[目的IP地址]。

进一步的，所述模拟内网侧主机和外网侧主机之间的网络通信，并传输正向传输报文和反向应答报文；若通信失败、或未接收到正向传输或反向应答报文，则判断被测策略未生效，包括：

模拟外网侧主机作为服务端，开启Socket1([IP2]：[目的端口])监听；

模拟内网侧主机作为客户端，向正向隔离装置发起对应类型的连接Socket2([虚拟外网IP]：[目的端口])；

若Socket2建立失败，说明模拟内网侧主机和外网侧主机建立网络连接失败，则判断被测策略未生效；

若Socket2建立成功，则根据策略参数构造模拟内网侧主机向外网侧主机正向传输报文，传输报文的源IP为[IP1]，目的IP为[IP2]，源端口为[源端口]，目的端口为[目的端口]，通过Socket2发送到正向隔离装置上；

若外网侧主机未接收到正向传输报文，说明正向传输链路不通，说明被测策略未生效；若收到正向传输报文，说明正向传输链路正常；

外网侧主机根据被测策略参数模拟外网侧主机向内网侧主机发送单字节应答报文，应答报文的源IP为[IP2]，目的IP为[IP1]，源端口为[目的端口]，目的端口为[源端口]，通过Socket1发送到正向隔离装置上；

若内网侧主机未收到单字节应答报文，说明反向传输链路不通，说明被测策略未生效；若收到单字节应答报文，说明正向和反向传输链路均正常，则被测策略生效。

进一步的，若被测策略未生效，还包括故障诊断，具体包括：

如果在建立连接时失败，说明模拟内网侧主机和外网侧主机建立连接失败，检查正向隔离装置上的网络配置：

①检查与正向隔离装置的虚拟外网IP地址之间网络是否相通，如不相通，记录故障点：网络连接失败，内网网络错误；

②检查与正向隔离装置的虚拟内网IP地址之间网络是否相通，如不相通，记录故障点：网络连接失败，外网网络错误；

③检查正向隔离装置的协议端口监听是否打开，如未打开，记录故障点：

网络连接失败，监听端口未打开；

④若上述检查均通过，记录故障点：网络连接失败，网络正常但链路建立失败；

如果建立连接成功，但内网侧主机未接收到传输报文，说明正向传输链路不通，记录故障点：正向传输链路不通；

如果外网侧主机接收到传输报文，但内网侧主机未接收到应答报文，说明反向传输链路不通，记录故障点：反向传输链路不通。

相应的，本发明还提供了一种正向隔离装置策略自动检测装置，包括策略参数获取模块、模拟通信地址确定模块和模拟通讯模块，其中：

策略参数获取模块，用于获取被测策略的参数；所述参数包括内网侧参数和外网侧参数；

模拟通信地址确定模块，用于根据策略的内外网侧参数确定内网侧主机和外网侧主机的通信地址；

模拟通讯模块，用于模拟内网侧主机和外网侧主机之间的网络通信，并传输正向传输报文和反向应答报文；若通信失败、或未接收到正向传输或反向应答报文，则判断被测策略未生效。

进一步的，策略参数获取模块中，所述内网侧参数包括：[源IP地址]、[虚拟外网IP]、[源端口]、[内网是否路由]和[内网网关地址]；所述外网侧参数包括：[目的IP地址]、[虚拟内网IP]、[目的端口]、[外网是否路由]和[外网网关地址]。

进一步的，模拟通信地址确定模块中，所述根据策略的内外网侧参数确定内网侧主机和外网侧主机的通信地址，包括：

根据内网侧参数[内网是否路由]，新增地址[IP1]作为内网侧主机IP地址：如果[内网是否路由]为是，则[IP1]为[内网网关地址]，如果[内网是否路由]为否，则[IP1]为[源IP地址]；

根据外网侧参数[外网是否路由]，新增地址[IP2]作为外网侧主机IP地址：如果[外网是否路由]为是，则[IP2]为[外网网关地址]，如果[外网是否路由]为否，则[IP2]为[目的IP地址]。

进一步的，模拟通讯模块中，所述模拟内网侧主机和外网侧主机之间的网络通信，并传输正向传输报文和反向应答报文；若通信失败、或未接收到正向传输或反向应答报文，则判断被测策略未生效，包括：

模拟外网侧主机作为服务端，开启Socket1([IP2]：[目的端口])监听；

模拟内网侧主机作为客户端，向正向隔离装置发起对应类型的连接Socket2([虚拟外网IP]：[目的端口])；

若Socket2建立失败，说明模拟内网侧主机和外网侧主机建立网络连接失败，则判断被测策略未生效；

若Socket2建立成功，则根据策略参数构造模拟内网侧主机向外网侧主机正向传输报文，传输报文的源IP为[IP1]，目的IP为[IP2]，源端口为[源端口]，目的端口为[目的端口]，通过Socket2发送到正向隔离装置上；

若外网侧主机未接收到正向传输报文，说明正向传输链路不通，说明被测策略未生效；若收到正向传输报文，说明正向传输链路正常，

外网侧主机根据被测策略参数模拟外网侧主机向内网侧主机发送单字节应答报文，应答报文的源IP为[IP2]，目的IP为[IP1]，源端口为[目的端口]，目的端口为[源端口]，通过Socket1发送到正向隔离装置上；

若内网侧主机未收到单字节应答报文，说明反向传输链路不通，说明被测策略未生效；若收到单字节应答报文，说明正向和反向传输链路均正常，则被测策略生效。

进一步的，还包括故障诊断模块，所述故障诊断模块，用于当被测策略未生效时进行故障诊断，具体包括：

如果在建立Socket2连接时失败，说明模拟内网侧主机和外网侧主机建立连接失败，检查正向隔离装置上的网络配置：

①检查与正向隔离装置的虚拟外网IP地址之间网络是否相通，如不相通，记录故障点：网络连接失败，内网网络错误；

②检查与正向隔离装置的虚拟内网IP地址之间网络是否相通，如不相通，记录故障点：网络连接失败，外网网络错误；

③检查正向隔离装置的协议端口监听是否打开，如未打开，记录故障点：

网络连接失败，监听端口未打开；

④若上述检查均通过，记录故障点：网络连接失败，网络正常但链路建立失败；

如果建立Socket2连接成功，但内网侧主机未接收到传输报文，说明正向传输链路不通，记录故障点：正向传输链路不通；

如果外网侧主机接收到传输报文，但内网侧主机未接收到应答报文，说明反向传输链路不通，记录故障点：反向传输链路不通。

与现有技术相比，本发明所达到的有益效果是：通过批量解析正向隔离装置的策略配置文件，自动检测每条策略是否生效，并对未生效的策略进行故障诊断，一方面保证正向隔离装置的业务可靠性，另一方面提高正向隔离装置维护管理的效率。

附图说明

图1为本发明方法组网图；

图2为本发明方法技术流程图；

图3为本发明方法模拟通信地址流程图；

图4为本发明方法故障诊断流程图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

本发明的发明构思是：模拟内网侧主机和外网侧主机的通信参数、构造正向传输报文和反向应答报文模拟内网侧主机和外网侧主机之间的网络通信，在网络通信过程中动态判断正向隔离装置策略是否生效，如果策略未生效，通过通信过程动态分析和网络检测进行故障诊断，以供后续维护及定位。

参见图1所示，正向隔离装置是放置在生产控制区(内网侧)和信息管理区(外网侧)之间的隔离装置，内网侧主机发送报文至外网侧主机属于正向传输，外网侧主机发送报文至内网侧主机属于反向传输，正向隔离装置根据配置的策略对内网侧主机和外网侧主机之间的传输报文进行过滤和筛查，只允许与策略匹配的报文正向传输或反向传输。策略自动检测系统部署在与正向隔离装置连接的服务器上，部署服务器与正向隔离装置的内网口和外网口均连接，策略自动检测系统包括内网模块和外网模块，内网模块模拟内网侧主机通信，外网模块模拟外网侧主机通信。

基于此系统的本发明的一种正向隔离装置策略自动检测方法，具体参见如图1所示，自动检测系统导入策略配置文件，对配置文件中的所有策略进行逐条测试。本发明实施例中针对某一被测策略的测试过程详细描述本发明内容，被测策略的自动检测过程包括以下步骤：

步骤1，获取被测策略的参数；

被测策略包含如下参数：[协议类型]；内网侧参数：[源IP地址]、[虚拟外网IP]、[源端口]、[内网是否路由]、[内网网关地址]；外网侧参数：[目的IP地址]、[虚拟内网IP]、[目的端口]、[外网是否路由]、[外网网关地址]。

步骤2，根据被测策略的参数，模拟配置内网侧主机和外网侧主机的通信IP地址。

如图3所示，具体过程为：

2-1)内网模块根据内网侧参数[内网是否路由]，新增地址[IP1]作为内网侧主机IP地址：如果[内网是否路由]为是，则[IP1]为[内网网关地址]，如果[内网是否路由]为否，则[IP1]为[源IP地址]。

2-2)外网模块根据外网侧参数[外网是否路由]，新增地址[IP2]作为外网侧主机IP地址：如果[外网是否路由]为是，则[IP2]为[外网网关地址]，如果[外网是否路由]为否，则[IP2]为[目的IP地址]。

步骤3，根据被测策略的参数，模拟内网侧主机和外网侧主机之间的网络通信，在模拟通信的过程中动态的判断被测策略是否生效。

如图2所示，具体包括：

3-1)外网模块模拟外网侧主机作为服务端，开启Socket1([IP2]：[目的端口])监听。

3-2)内网模块模拟内网侧主机作为客户端，根据策略的[协议类型](TCP或UDP)向正向隔离装置发起对应类型的连接Socket2([虚拟外网IP]：[目的端口])。

3-3)若Socket2建立失败，说明模拟内网侧主机和外网侧主机建立网络连接失败，说明被测策略未生效；若Socket2建立成功，则内网模块根据策略中配置的网络参数构造模拟内网侧主机向外网侧主机正向传输报文，传输报文的源IP为[IP1]，目的IP为[IP2]，源端口为[源端口]，目的端口为[目的端口]，通过Socket2发送到正向隔离装置上。

3-4)若外网模块未接收到正向传输报文，说明正向传输链路不通，说明被测策略未生效；若收到正向传输报文，说明正向传输链路正常，外网模块根据被测策略中配置的网络参数模拟外网侧主机向内网侧主机发送单字节(全0或者全F)应答报文，应答报文的源IP为[IP2]，目的IP为[IP1]，源端口为[目的端口]，目的端口为[源端口]，通过Socket1发送到正向隔离装置上。

3-5)若内网模块未收到单字节应答报文，说明反向传输链路不通，说明被测策略未生效；若收到单字节应答报文，说明正向和反向传输链路均正常，则被测策略生效。

步骤4，如果被测策略未生效，根据如下步骤进行故障诊断以供后续的维护和定位。

如图4所示，具体包括：

4-1)如果在内网模块建立Socket2连接时失败，说明模拟内网侧主机和外网侧主机建立连接失败，检查正向隔离装置上的网络配置：

①检查正向隔离装置策略自动检测系统与正向隔离装置的虚拟外网IP地址之间网络是否相通，如不相通，记录故障点：网络连接失败，内网网络错误；

②检查正向隔离装置策略自动检测系统与正向隔离装置的虚拟内网IP地址之间网络是否相通，如不相通，记录故障点：网络连接失败，外网网络错误；

③检查正向隔离装置的协议端口监听是否打开，如未打开，记录故障点：网络连接失败，监听端口未打开；

④若上述检查均通过，记录故障点：网络连接失败，网络正常但链路建立失败；

4-2)如果内网侧主机建立Socket2连接成功，但外网侧主机未接收到传输报文，说明正向传输链路不通，记录故障点：正向传输链路不通。

4-3)如果外网侧主机接收到传输报文，但内网侧主机未接收到应答报文，说明反向传输链路不通，记录故障点：反向传输链路不通。

本发明的一种正向隔离装置策略的自动检测技术的实现方法，通过批量解析正向隔离装置的策略配置文件，模拟内外网侧服务器的网络通信，自动生成检测每条策略是否生效，并对未生效的策略进行故障诊断，一方面保证正向隔离装置的业务可靠性，另一方面提高正向隔离装置维护管理的效率。

相应的，本发明还提供了一种正向隔离装置策略自动检测装置，包括策略参数获取模块、模拟通信地址确定模块和模拟通讯模块，其中：

策略参数获取模块，用于获取被测策略的参数；所述参数包括内网侧参数和外网侧参数；

模拟通信地址确定模块，用于根据策略的内外网侧参数确定内网侧主机和外网侧主机的通信地址；

模拟通讯模块，用于模拟内网侧主机和外网侧主机之间的网络通信，并传输正向传输报文和反向应答报文；若通信失败、或未接收到正向传输或反向应答报文，则判断被测策略未生效。

进一步的，策略参数获取模块中，所述内网侧参数包括：[源IP地址]、[虚拟外网IP]、[源端口]、[内网是否路由]和[内网网关地址]；所述外网侧参数包括：[目的IP地址]、[虚拟内网IP]、[目的端口]、[外网是否路由]和[外网网关地址]。

进一步的，模拟通信地址确定模块中，所述根据策略的内外网侧参数确定内网侧主机和外网侧主机的通信地址，包括：

1)根据内网侧参数[内网是否路由]，新增地址[IP1]作为内网侧主机IP地址：如果[内网是否路由]为是，则[IP1]为[内网网关地址]，如果[内网是否路由]为否，则[IP1]为[源IP地址]；

2)根据外网侧参数[外网是否路由]，新增地址[IP2]作为外网侧主机IP地址：如果[外网是否路由]为是，则[IP2]为[外网网关地址]，如果[外网是否路由]为否，则[IP2]为[目的IP地址]。

进一步的，模拟通讯模块中，所述模拟内网侧主机和外网侧主机之间的网络通信，若通信失败则判断被测策略未生效，包括：

模拟外网侧主机作为服务端，开启Socket1([IP2]：[目的端口])监听；

模拟内网侧主机作为客户端，向正向隔离装置发起对应类型的连接Socket2([虚拟外网IP]：[目的端口])；

若Socket2建立失败，说明模拟内网侧主机和外网侧主机建立网络连接失败，则判断被测策略未生效。

进一步的，还包括故障诊断模块，所述故障诊断模块，用于当被测策略未生效时进行故障诊断，具体包括：

1)如果在建立Socket2连接时失败，说明模拟内网侧主机和外网侧主机建立连接失败，检查正向隔离装置上的网络配置：

①检查与正向隔离装置的虚拟外网IP地址之间网络是否相通，如不相通，记录故障点：网络连接失败，内网网络错误；

②检查与正向隔离装置的虚拟内网IP地址之间网络是否相通，如不相通，记录故障点：网络连接失败，外网网络错误；

③检查正向隔离装置的协议端口监听是否打开，如未打开，记录故障点：网络连接失败，监听端口未打开；

④若上述检查均通过，记录故障点：网络连接失败，网络正常但链路建立失败；

2)如果建立Socket2连接成功，但内网侧主机未接收到传输报文，说明正向传输链路不通，记录故障点：正向传输链路不通。

3)如果外网侧主机接收到传输报文，但内网侧主机未接收到应答报文，说明反向传输链路不通，记录故障点：反向传输链路不通。

实施例

如图2所示，为本发明方法具体实施流程图，以策略P1为例，策略P1的参数为：[协议类型：TCP]、[源IP地址：192.168.10.2]、[虚拟外网IP：192.168.10.1]、[虚拟外网IP掩码：255.255.255.0]、[源端口：1000]、[内网是否路由：否]、[内网网关地址：0.0.0.0]、[目的IP：192.168.30.2]、[虚拟内网IP：192.168.20.1]、[虚拟内网IP掩码：255.255.255.0]、[目的端口：2000]、[外网是否路由：是]、[外网网关地址：192.168.20.2]，具体实施包括以下的步骤：

1)在正向隔离装置的自动检测系统上导入装置上的策略配置文件，解析策略P1的参数。

2)内网、外网模块根据策略参数配置部署内网侧主机和外网侧主机的IP地址。例中内网路由为否，新增本地IP1为源IP地址，即[IP1:192.168.10.2]，外网路由为是，新增本地IP2为外网网关地址，即[IP2:192.168.20.2]。

3)正向隔离装置策略自动检测系统建立内外网侧主机网络连接、构造传输及应答报文模拟内网侧主机和外网侧主机的网络通信。

3-a)外网模块作为服务端，开启Socket1([IP2]：[目的端口])监听，即开启Socket1(192.168.20.2：2000)监听。

3-b)内网模块作为客户端，根据策略的[协议类型](TCP或UDP)向正向隔离装置发起对应类型的连接Socket2([虚拟外网IP]：[目的端口])，即发起TCP类型的Socket2(192.168.20.1：2000)连接。

3-c)若Socket2建立失败，则策略未生效；若2建立成功后，内网模块根据策略中配置的网络参数构造传输报文，传输报文的源IP为[IP1：192.168.10.2]，目的IP为[IP2：192.168.20.2]，源端口为[源端口：1000]，目的端口为[目的端口：2000]；

3-d)若Socket1未收到测试报文，则策略未生效；若收到测试报文后，则外网模块进行单字节(全0或者全F)应答，应答报文的源IP为[IP2：192.168.20.2]，目的IP为[IP1：192.168.10.2]，源端口为[源端口：2000]，目的端口为[目的端口：1000]。

3-e)若Socket2未接收到单字节应答报文，则策略未生效；若接收到单字节应答报文，则说明策略生效。

4)如果本例中策略未生效，根据如下步骤进行故障诊断以供后续的维护和定位。

4-a)如果在内网模块建立Socket2连接时失败，检查正向隔离装置上的网络配置：

①检查正向隔离装置策略自动检测系统与正向隔离装置的虚拟外网IP地址：192.168.10.1之间网络是否相通，如不相通，记录故障点：内网网络错误；

②检查正向隔离装置策略自动检测系统与正向隔离装置的虚拟内网IP地址：192.168.20.1之间网络是否相通，如不相通，记录故障点：内网网络错误；

③检查正向隔离装置的协议端口192.168.10.1：2000(TCP)监听是否打开，如未打开，记录故障点：监听端口未打开；

④若上述检查均通过，记录故障点：网络连接失败，网络正常但链路建立失败；

4-b)如果内网模块建立Socket2连接成功，但外网模块未接收到传输报文，记录故障点：正向传输链路不通。

4-c)如果外网模块接收到传输报文，但内网模块未接收到应答报文，记录故障点：反向传输链路不通。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。

Claims (10)

1.一种正向隔离装置策略自动检测方法，其特征是，包括以下过程：

获取被测策略的参数；所述参数包括内网侧参数和外网侧参数；

根据策略的内外网侧参数确定内网侧主机和外网侧主机的通信地址；

模拟内网侧主机和外网侧主机之间的网络通信，并传输正向传输报文和反向应答报文；若通信失败、或未接收到正向传输或反向应答报文，则判断被测策略未生效。

2.根据权利要求1所述的一种正向隔离装置策略自动检测方法，其特征是，所述内网侧参数包括：[源IP地址]、[虚拟外网IP]、[源端口]、[内网是否路由]和[内网网关地址]；所述外网侧参数包括：[目的IP地址]、[虚拟内网IP]、[目的端口]、[外网是否路由]和[外网网关地址]。

3.根据权利要求2所述的一种正向隔离装置策略自动检测方法，其特征是，所述根据策略的内外网侧参数确定内网侧主机和外网侧主机的通信地址，包括：

根据内网侧参数[内网是否路由]，新增地址[IP1]作为内网侧主机IP地址：如果[内网是否路由]为是，则[IP1]为[内网网关地址]，如果[内网是否路由]为否，则[IP1]为[源IP地址]；

根据外网侧参数[外网是否路由]，新增地址[IP2]作为外网侧主机IP地址：如果[外网是否路由]为是，则[IP2]为[外网网关地址]，如果[外网是否路由]为否，则[IP2]为[目的IP地址]。

4.根据权利要求3所述的一种正向隔离装置策略自动检测方法，其特征是，所述模拟内网侧主机和外网侧主机之间的网络通信，并传输正向传输报文和反向应答报文；若通信失败、或未接收到正向传输或反向应答报文，则判断被测策略未生效，包括：

模拟外网侧主机作为服务端，开启Socket1（[IP2]：[目的端口]）监听；

模拟内网侧主机作为客户端，向正向隔离装置发起对应类型的连接Socket2（[虚拟外网IP]：[目的端口]）；

若Socket2建立失败，说明模拟内网侧主机和外网侧主机建立网络连接失败，则判断被测策略未生效；

若Socket2建立成功，则根据策略参数构造模拟内网侧主机向外网侧主机正向传输报文，传输报文的源IP为[IP1]，目的IP为[IP2]，源端口为[源端口]，目的端口为[目的端口]，通过Socket2发送到正向隔离装置上；

若外网侧主机未接收到正向传输报文，说明正向传输链路不通，说明被测策略未生效；若收到正向传输报文，说明正向传输链路正常，

外网侧主机根据被测策略参数模拟外网侧主机向内网侧主机发送单字节应答报文，应答报文的源IP为[IP2]，目的IP为[IP1]，源端口为[目的端口]，目的端口为[源端口]，通过Socket1发送到正向隔离装置上；

若内网侧主机未收到单字节应答报文，说明反向传输链路不通，说明被测策略未生效；若收到单字节应答报文，说明正向和反向传输链路均正常，则被测策略生效。

5.根据权利要求1所述的一种正向隔离装置策略自动检测方法，其特征是若被测策略未生效，还包括故障诊断，具体包括：

如果在建立连接时失败，说明模拟内网侧主机和外网侧主机建立连接失败，检查正向隔离装置上的网络配置：

①检查与正向隔离装置的虚拟外网IP地址之间网络是否相通，如不相通，记录故障点：网络连接失败，内网网络错误；

②检查与正向隔离装置的虚拟内网IP地址之间网络是否相通，如不相通，记录故障点：网络连接失败，外网网络错误；

③检查正向隔离装置的协议端口监听是否打开，如未打开，记录故障点：网络连接失败，监听端口未打开；

④若上述检查均通过，记录故障点：网络连接失败，网络正常但链路建立失败；

如果建立连接成功，但内网侧主机未接收到传输报文，说明正向传输链路不通，记录故障点：正向传输链路不通；

如果外网侧主机接收到传输报文，但内网侧主机未接收到应答报文，说明反向传输链路不通，记录故障点：反向传输链路不通。

6.一种正向隔离装置策略自动检测装置，其特征是，包括策略参数获取模块、模拟通信地址确定模块和模拟通讯模块，其中：

策略参数获取模块，用于获取被测策略的参数；所述参数包括内网侧参数和外网侧参数；

模拟通信地址确定模块，用于根据策略的内外网侧参数确定内网侧主机和外网侧主机的通信地址；

模拟通讯模块，用于模拟内网侧主机和外网侧主机之间的网络通信，并传输正向传输报文和反向应答报文；若通信失败、或未接收到正向传输或反向应答报文，则判断被测策略未生效。

7.根据权利要求6所述的一种正向隔离装置策略自动检测装置，其特征是，策略参数获取模块中，所述内网侧参数包括：[源IP地址]、[虚拟外网IP]、[源端口]、[内网是否路由]和[内网网关地址]；所述外网侧参数包括：[目的IP地址]、[虚拟内网IP]、[目的端口]、[外网是否路由]和[外网网关地址]。

8.根据权利要求7所述的一种正向隔离装置策略自动检测装置，其特征是，模拟通信地址确定模块中，所述根据策略的内外网侧参数确定内网侧主机和外网侧主机的通信地址，包括：

根据内网侧参数[内网是否路由]，新增地址[IP1]作为内网侧主机IP地址：如果[内网是否路由]为是，则[IP1]为[内网网关地址]，如果[内网是否路由]为否，则[IP1]为[源IP地址]；

根据外网侧参数[外网是否路由]，新增地址[IP2]作为外网侧主机IP地址：如果[外网是否路由]为是，则[IP2]为[外网网关地址]，如果[外网是否路由]为否，则[IP2]为[目的IP地址]。

9.根据权利要求8所述的一种正向隔离装置策略自动检测装置，其特征是，模拟通讯模块中，所述模拟内网侧主机和外网侧主机之间的网络通信，并传输正向传输报文和反向应答报文；若通信失败、或未接收到正向传输或反向应答报文，则判断被测策略未生效，包括：

模拟外网侧主机作为服务端，开启Socket1（[IP2]：[目的端口]）监听；

模拟内网侧主机作为客户端，向正向隔离装置发起对应类型的连接Socket2（[虚拟外网IP]：[目的端口]）；

若Socket2建立失败，说明模拟内网侧主机和外网侧主机建立网络连接失败，则判断被测策略未生效；

若Socket2建立成功，则根据策略参数构造模拟内网侧主机向外网侧主机正向传输报文，传输报文的源IP为[IP1]，目的IP为[IP2]，源端口为[源端口]，目的端口为[目的端口]，通过Socket2发送到正向隔离装置上；

若外网侧主机未接收到正向传输报文，说明正向传输链路不通，说明被测策略未生效；若收到正向传输报文，说明正向传输链路正常，

外网侧主机根据被测策略参数模拟外网侧主机向内网侧主机发送单字节应答报文，应答报文的源IP为[IP2]，目的IP为[IP1]，源端口为[目的端口]，目的端口为[源端口]，通过Socket1发送到正向隔离装置上；

若内网侧主机未收到单字节应答报文，说明反向传输链路不通，说明被测策略未生效；若收到单字节应答报文，说明正向和反向传输链路均正常，则被测策略生效。

10.根据权利要求6所述的一种正向隔离装置策略自动检测装置，其特征是，还包括故障诊断模块，所述故障诊断模块，用于当被测策略未生效时进行故障诊断，具体包括：

如果在建立连接时失败，说明模拟内网侧主机和外网侧主机建立连接失败，检查正向隔离装置上的网络配置：

①检查与正向隔离装置的虚拟外网IP地址之间网络是否相通，如不相通，记录故障点：网络连接失败，内网网络错误；

②检查与正向隔离装置的虚拟内网IP地址之间网络是否相通，如不相通，记录故障点：网络连接失败，外网网络错误；

③检查正向隔离装置的协议端口监听是否打开，如未打开，记录故障点：网络连接失败，监听端口未打开；

④若上述检查均通过，记录故障点：网络连接失败，网络正常但链路建立失败；

如果建立连接成功，但内网侧主机未接收到传输报文，说明正向传输链路不通，记录故障点：正向传输链路不通；

如果外网侧主机接收到传输报文，但内网侧主机未接收到应答报文，说明反向传输链路不通，记录故障点：反向传输链路不通。

Images