CN115604160A - 网络检测处理方法及装置、电子设备、存储介质 - Google Patents
网络检测处理方法及装置、电子设备、存储介质 Download PDFInfo
- Publication number
- CN115604160A CN115604160A CN202110779621.4A CN202110779621A CN115604160A CN 115604160 A CN115604160 A CN 115604160A CN 202110779621 A CN202110779621 A CN 202110779621A CN 115604160 A CN115604160 A CN 115604160A
- Authority
- CN
- China
- Prior art keywords
- network
- detection
- service
- deployed
- detection result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请的实施例揭示了一种网络检测处理方法及装置、电子设备、存储介质。该方法包括:部署有探测服务的网络设备根据部署有控制服务的网络设备下发的设备探测指令,探测其他网络设备的存活状态,并上报设备探测结果,进而部署有控制服务的网络设备根据设备探测结果确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态,得到网络连接状态探测结果,进而将网络连接状态探测结果与设定的网络访问控制策略进行比对,得到第一比对结果,其中网络访问控制策略用于表示针对网络设备设置的网络管控策略,进而根据可以第一比对结果确定网络访问控制策略是否失效。本申请实施例的技术方案极大地优化了网络检测处理方案。
Description
技术领域
本申请涉及计算机网络技术领域,具体而言,涉及一种网络检测处理方法及装置、电子设备、计算机可读存储介质。
背景技术
相关技术中对于管控设备例如防火墙、网关通常配置有网络访问控制策略,其中,网络访问控制策略用于对网络设备如部署于网络中的服务器主机进行管控。目前,都是由相关工作人员去测试网络设备之间的连接状态,进而与网络访问控制策略进行比较,但是这样由人工一一去进行比较的方式,效率较低;并且相关工作人员必须具备识别不同网络访问控制策略的专业知识,这对相关工作人员的要求也相对较高。
发明内容
为解决上述技术问题,本申请的实施例提供了一种网络检测处理方法及装置、电子设备、计算机可读存储介质,进而至少在一定程度上可以提升确定网络访问控制策略是否失效的效率。
根据本申请实施例的一个方面,提供了一种网络检测处理方法,包括:接收部署有探测服务的网络设备所上报的设备探测结果,所述设备探测结果用于表示所述探测服务探测到的其它网络设备的存活状态;根据所述设备探测结果确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态,得到网络连接状态探测结果;将所述网络连接状态探测结果与设定的网络访问控制策略进行比对,得到第一比对结果;其中,所述网络访问控制策略用于表示针对网络设备设置的网络管控策略;根据所述第一比对结果确定所述网络访问控制策略是否失效。
根据本申请实施例的一个方面,提供了一种网络检测处理方法,包括:接收部署有控制服务的网络设备所下发的设备探测指令,所述设备探测指令用于指示部署有探测服务的网络设备探测其它网络设备的存活状态;根据所述设备探测指令对所述其它网络设备的存活状态进行探测,得到设备探测结果;上报所述设备探测结果至所述部署有控制服务的网络设备,以使所述部署有控制服务的网络设备根据所述设备探测结果确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态,以根据网络连接状态探测结果确定网络访问控制策略是否失效。
根据本申请实施例的一个方面,提供了一种网络检测处理装置,包括:第一接收模块,配置为接收部署有探测服务的网络设备所上报的设备探测结果,所述设备探测结果用于表示所述探测服务探测到的其它网络设备的存活状态;第一确定模块,配置为根据所述设备探测结果确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态,得到网络连接状态探测结果;比对模块,配置为将所述网络连接状态探测结果与设定的网络访问控制策略进行比对,得到第一比对结果;其中,所述网络访问控制策略用于表示针对网络设备设置的网络管控策略;第二确定模块,配置为根据所述第一比对结果确定所述网络访问控制策略是否失效。
在本申请的一些实施例中,基于前述方案,部署有探测服务的网络设备的数量有多个;第一接收模块,还配置为接收部署有探测服务的各个网络设备所上报的设备探测结果;比对模块,还配置为根据部署有探测服务的各个网络设备上报的设备探测结果,确定各个网络设备之间的网络连接状态,得到网络连接状态探测结果。
在本申请的一些实施例中,基于前述方案,第一确定模块,还配置为若所述设备探测结果表示所述其它网络设备处于存活状态,则确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态为连接状态;若所述设备探测结果表示所述其它网络设备处于非存活状态,则确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态为断开状态。
在本申请的一些实施例中,基于前述方案,所述网络检测处理装置还包括:第一接收单元,配置为接收所述部署有探测服务的网络设备所上报的端口探测结果;其中,所述端口探测结果用于表示所述探测服务探测到的处于存活状态的网络设备的端口开放状态;第一确定单元,配置为根据所述端口探测结果确定所述部署有探测服务的网络设备与所述处于存活状态的网络设备之间的端口连接状态,得到端口连接状态探测结果;比对单元,配置为将所述端口连接状态探测结果与设定的应用层访问控制策略进行比对,得到第二比对结果;其中,所述应用层访问控制策略用于表示针对网络设备的端口设置的访问管控策略;第二确定单元,配置为根据所述第二比对结果确定所述应用层访问控制策略是否失效。
在本申请的一些实施例中,基于前述方案,所述网络检测处理装置还包括:第一部署单元,配置为根据接收到的第一输入操作为网络设备部署控制服务,得到部署有控制服务的网络设备;其中,所述控制服务用于执行以下至少一种操作:接收第二输入操作生成设备探测指令,以触发所述探测服务执行设备探测操作;接收第三输入操作生成端口探测指令,以触发所述探测服务执行端口探测操作。
在本申请的一些实施例中,基于前述方案,所述网络检测处理装置还包括:生成单元,配置为在所述根据部署有探测服务的各个网络设备上报的设备探测结果,确定各个网络设备之间的网络连接状态,得到网络连接状态探测结果之后,根据所述部署有探测服务的各个网络设备上报的设备探测结果,统计得到满足预设探测条件的统计数据,并生成日志报告。
根据本申请实施例的一个方面,提供了一种网络检测处理装置,包括:第二接收模块,配置为接收部署有控制服务的网络设备所下发的设备探测指令,所述设备探测指令用于指示部署有探测服务的网络设备探测其它网络设备的存活状态;探测模块,配置为根据所述设备探测指令对所述其它网络设备的存活状态进行探测,得到设备探测结果;上报模块,配置为上报所述设备探测结果至所述部署有控制服务的网络设备,以使所述部署有控制服务的网络设备根据所述设备探测结果确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态,以根据网络连接状态探测结果确定网络访问控制策略是否失效。
在本申请的一个实施例中,探测模块,还配置为根据所述设备探测指令,向所述其它网络设备发送多种通信协议的通信协议包,以对所述其它网络设备的存活状态进行探测,得到多个通信协议分别对应的设备探测结果;其中,各个所述通信协议对应的设备探测结果用于确定各个所述通信协议的网络访问控制策略是否失效。
在本申请的一个实施例中,其它网络设备的数量为多个;探测模块包括:分组单元,配置为对多个所述其它网络设备进行分组,得到多个组;探测子单元,配置为根据所述设备探测指令分别对每个组中包括的其它网络设备的存活状态进行探测,得到所述设备探测结果;其中,不同组对应的探测时间段不同。
在本申请的一个实施例中,所述网络检测处理装置还包括:
第二接收单元,配置为接收所述部署有控制服务的网络设备所下发的端口探测指令;其中,所述端口探测指令用于指示部署有探测服务的网络设备探测处于存活状态的网络设备的端口开放状态;探测单元,配置为根据所述端口探测指令对所述处于存活状态的网络设备的端口开放状态进行探测,得到端口探测结果;上报单元,配置为上报所述端口探测结果至所述部署有控制服务的网络设备,以使所述部署有控制服务的网络设备根据所述端口探测结果确定所述部署有探测服务的网络设备与所述存活网络设备之间的端口连接状态,以根据端口连接状态探测结果确定应用层访问控制策略是否失效。
在本申请的一个实施例中,网络检测处理装置还包括:
第二部署单元,配置为根据接收到的第四输入操作为网络设备部署探测服务,得到部署有探测服务的网络设备;其中,所述探测服务用于执行以下至少一种操作:根据接收到的设备探测指令执行设备探测操作;根据接收到的端口探测指令执行端口探测操作。
根据本申请实施例的一个方面,提供了一种电子设备,包括处理器及存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现如上实施例中所述的网络检测处理方法。
根据本申请实施例的一个方面,提供了一种计算机可读存储介质,其上存储有计算机可读指令,当所述计算机可读指令被计算机的处理器执行时,使计算机执行如上实施例中所述的网络检测处理方法。
根据本申请实施例的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实施例中提供的网络检测处理方法。
在本申请的一些实施例提供的技术方案中,部署有探测服务的网络设备可看作客户端,部署有控制服务的网络设备可看作服务端;其中,客户端根据服务端下发的设备探测指令,探测其他客户端的存活状态,并上报设备探测结果,进而服务端根据设备探测结果确定客户端与其它客户端之间的网络连接状态,得到网络连接状态探测结果,进而将网络连接状态探测结果与设定的网络访问控制策略进行比对,得到第一比对结果,其中网络访问控制策略用于表示针对网络设备设置的网络管控策略,进而根据可以第一比对结果确定网络访问控制策略是否失效。也即,本申请通过探测服务和控制服务的部署,其所部署在的网络设备之间是可以实现相互探测的,并且可以将探测到的设备探测结果与设定的网络访问控制策略进行比对,从而以准确、快速地确定出网络访问控制策略是否失效,避免了由人工判定所带来的误差,相对于人工去确定网络访问控制策略是否失效而言,效率也更高;同时相关工作人员也无需同时具备识别多种不同网络访问控制策略的专业知识,对相关工作人员的要求相对较低;并且控制服务和探测服务开发完成后部署于网络设备中,不用对网络设备中的其他服务进行调整和修改,耦合性低,也方便后期的维护,可维护性强。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术者来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本申请的一示例性实施例示出的数据共享系统的结构示意图;
图2是本申请的一示例性实施例示出的数据共享系统中各区块的连接关系的示意图;
图3示出了可以应用本申请实施例的技术方案的示例性系统架构的示意图。
图4示出了根据本申请的一个实施例的网络检测处理方法的流程图。
图5示出了根据本申请的一个实施例的网络检测处理方法的流程图。
图6示出了根据本申请的一个实施例的网络检测处理方法的流程图。
图7示出了根据本申请的一个实施例的网络检测处理方法的流程图。
图8示出了根据本申请的一个实施例的系统架构示意图。
图9示出了根据本申请的一个实施例的系统架构示意图。
图10示出了根据本申请的一个实施例的数据库集群架构正常工作时的示意图。
图11示出了根据本申请的一个实施例的数据库集群架构发生故障时的示意图。
图12示出了根据本申请的一个实施例的数据库集群架构故障修复后的示意图。
图13示出了根据本申请的一个实施例的日志模块存储的示意图。
图14示出了根据本申请的一个实施例的网络检测处理装置的框图。
图15示出了根据本申请的一个实施例的网络检测处理装置的框图。
图16示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相相同的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相相同的装置和方法的例子。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
需要说明的是:在本申请中提及的“多个”是指两个或者两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
在介绍本申请实施例的技术方案之前,先介绍一种数据共享系统。
请参阅图1所示的数据共享系统,数据共享系统100是指用于进行节点与节点之间数据共享的系统,该数据共享系统中可以包括多个节点1001,多个节点1001可以是指数据共享系统中接入网络中的任意形式的网络设备。每个节点1001在进行正常工作可以接收到输入信息,并基于接收到的输入信息维护该数据共享系统内的共享数据。为了保证数据共享系统内的信息互通,数据共享系统中的每个节点之间可以存在信息连接,节点之间可以通过上述信息连接进行信息传输。例如,当数据共享系统中的任意节点接收到输入信息时,数据共享系统中的其他节点便根据共识算法获取该输入信息,将该输入信息作为共享数据中的数据进行存储,使得数据共享系统中全部节点上存储的数据均一致。
对于数据共享系统中的每个节点,均具有与其对应的节点标识,而且数据共享系统中的每个节点均可以存储有数据共享系统中其他节点的节点标识,以便后续根据其他节点的节点标识,将生成的区块广播至数据共享系统中的其他节点。每个节点中可维护一个如下表所示的节点标识列表,将节点名称和节点标识对应存储至该节点标识列表中。其中,节点标识可为IP(Internet Protocol,网络之间互联的协议)地址以及其他任一种能够用于标识该节点的信息。
数据共享系统中的每个节点均存储一条相同的区块链。区块链由多个区块组成,例如请参阅图2,区块链由多个区块组成,创始块中包括区块头和区块主体,区块头中存储有输入信息特征值、版本号、时间戳和难度值,区块主体中存储有输入信息;创始块的下一区块以创始块为父区块,下一区块中同样包括区块头和区块主体,区块头中存储有当前区块的输入信息特征值、父区块的区块头特征值、版本号、时间戳和难度值,并以此类推,使得区块链中每个区块中存储的区块数据均与父区块中存储的区块数据存在关联,保证了区块中输入信息的安全性。
数据共享系统中每个节点可以是服务器,也可以是终端设备。服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算(Cloud Computing)、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端设备可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。每个节点之间可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
前述的云计算是指IT基础设施的交付和使用模式,具体指通过网络以按需、易扩展的方式获得所需资源;广义云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关,也可是其他服务。云计算是网格计算(Grid Computing)、分布式计算(Distributed Computing)、并行计算(ParallelComputing)、效用计算(Utility Computing)、网络存储(Network StorageTechnologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物。随着互联网、实时数据流、连接设备多样化的发展,以及搜索服务、社会网络、移动商务和开放协作等需求的推动,云计算迅速发展起来。不同于以往的并行分布式计算,云计算的产生从理念上将推动整个互联网模式、企业管理模式发生革命性的变革。
基于前述所介绍的数据共享系统,以及相关技术中网络访问控制策略的校对效率低等的问题,本申请的实施例提供一种网络检测处理方法。具体而言,在本申请的一个应用场景中,请参阅图3,数据共享系统100根据所处的子网不同,可以分为多个子数据共享系统(图3中示出三个子数据共享系统,分别为第一子数据共享系统101,第二子数据共享系统102,第三子数据共享系统103),其中每个数据共享系统可以对应一个业务处理。
举例说明,例如设三个数据共享系统都部署于局域网A中,具体地,第一子数据共享系统101部署于局域网A的子网a1中,第二子数据共享系统102部署于局域网A的子网a2中,第三子数据共享系统103部署于局域网A的子网a3中。
其中,当第一子数据共享系统中某一节点上部署的探测服务接收到另一节点(可以是第一子数据共享系统中的节点,可以是其他数据共享系统中的节点,如第二子数据共享系统、第三子数据共享系统)上部署的控制服务下发的设备探测指令,根据设备探测指令对第二子数据共享系统和/或第三子数据共享系统中多个节点的存活状态进行探测,得到设备探测结果,并将探测结果上报给该另一节点。
其中,另一节点上部署的控制服务接收到某一节点上部署的探测服务上报的设备探测结果,根据设备探测结果确定第一子数据共享系统中某一节点与第二子数据共享系统和/或第三子数据共享系统中多个节点之间的网络连接状态,得到网络连接状态探测结果,并将网络连接状态探测结果与设定的网络访问控制策略进行比对,得到第一比对结果,进而根据第一比对结果确定网络访问控制策略是否失效。
基于图3所示应用场景,在采用了本申请实施例的技术方案之后,网络访问控制策略的校对效率、准确率高,且相关工作人员也无需掌握过多网络访问控制策略的专业知识,对相关工作人员的要求较低,极大地简化了网络访问控制策略的校对门槛。
以下对本申请实施例的技术方案的各种实现细节进行详细阐述:
图4示出了根据本申请的一个实施例的网络检测处理方法的流程图,该网络检测处理方法可以由共享系统中的任一节点(其上部署有探测服务)来执行,在具体实现时比如可以是服务器、用户终端等网络设备。请参阅图4,该网络检测处理方法至少包括步骤S410至步骤S430,详细介绍如下:
步骤S410,接收部署有控制服务的网络设备所下发的设备探测指令,设备探测指令用于指示部署有探测服务的网络设备探测其它网络设备的存活状态。
本申请实施例中部署有探测服务的网络设备接收部署有控制服务的网络设备所下发的设备探测指令,以去探测其他网络设备的存活状态。
需要说明的是,本申请实施例中的网络设备部署有控制服务,其中控制服务是软件开发工程师所开发的一个用于控制各个网络设备进行探测的服务,并在开发完成之后预先将其安装于网络设备中。在本申请的一个实施例中,可以是在接收到第一输入操作时为网络设备部署控制服务,从而以得到部署有控制服务的网络设备。
需要说明的是,本申请实施例中的网络设备部署有探测服务,其中探测服务同样是软件开发工程师所开发的一个用于进行各个网络设备之间互相进行探测的服务,并在开发完成之后将其安装于网络设备中。在本申请的一个实施例中,可以是在接收到第四输入操作时为网络设备部署探测服务,从而以得到部署有探测服务的网络设备。
可以理解的是,控制服务和探测服务之间是相互配合的,两者进行相应的数据交互,并且两者之间涉及到的所有数据的交互的执行主体可以都是控制服务和探测服务,即控制服务直接下发设备探测指令至探测服务,进而探测服务根据设备探测指令对其他网络设备的存活状态进行探测,并得到对应的设备探测结果,进而探测服务直接将设备探测结果上报给控制服务,控制服务再根据设备探测结果确定网络访问控制策略是否失效。这样能够自动实现网络访问控制策略的比对,而无需工作人员人工去一一进行比对;并且由于控制服务和探测服务都是单独进行开发的,只需将其部署于网络设备中即可,不用对网络设备中的其他服务进行调整和修改,耦合性低,并且也方便后期的维护,可维护性强。
在本申请的一个实施例中,控制服务可以用于接收第二输入操作生成设备探测指令,并将该设备探测指令发送至探测服务;相应地,探测服务接收到控制服务发送的设备探测指令,并根据该设备探测指令执行设备探测操作。
在本申请的一个实施例中,控制服务可以用于接收第三输入操作生成端口探测指令,并将该端口探测指令发送至探测服务;相应地,探测服务接收到控制服务发送的端口探测指令,并根据该端口探测指令执行端口探测操作。
在本申请的一个实施例中,控制服务可以用于接收第二输入操作生成设备探测指令,并将该设备探测指令发送至探测服务;相应地,探测服务接收到控制服务发送的设备探测指令,并根据该设备探测指令执行设备探测操作;同时,控制服务还可以用于接收第三输入操作生成端口探测指令,并将该端口探测指令发送至探测服务;相应地,探测服务接收到控制服务发送的端口探测指令,并根据该端口探测指令执行端口探测操作。
其中,由于探测服务是实现执行探测操作的服务,因此,针对每个子网的数据共享系统中的各个网络设备都是可以部署探测服务的,这样可以实现每个子网的数据共享系统中的所有网络设备都能主动去进行探测,以得到相对于本身网络设备而言,其他子网的数据共享系统中的各个网络设备的存活状态。而由于控制服务是触发探测服务的服务,因此,针对每个子网的数据共享系统中的所有网络设备中可以只有一个网络设备部署控制服务,即部署控制服务的网络设备的数量和子网的数量相同;当然针对每个子网的数据共享系统中的所有网络设备中也可以有多个网络设备都部署控制服务,即部署控制服务的网络设备的数量和子网的数量不相同,本申请在此不做限制。
举例说明,例如承接上述示例,第一数据共享系统部署于局域网A的子网a1中,第二数据共享系统部署于局域网A的子网a2中,第三数据共享系统部署于局域网A的子网a3中。其中第一数据共享系统包括的网络设备为b1-b10,第二数据共享系统包括的网络设备为b11-b20,第三数据共享系统包括的网络设备为b21-b30,则可以为b1-b10、b11-b20、b21-b30这30个网络设备均部署探测服务,当然也可以指定部署探测服务的网络设备,如为b1-b5、b11-b15、b21-b25这15个网络设备部署探测服务,而对于b6-b10、b16-b20、b26-b30这15个网络设备则无需部署探测服务。同时为b1、b11、b21这3个网络设备部署控制服务。可以理解的是,在为b1-b10、b11-b20、b21-b30均部署探测服务,以及为b1、b11、b21部署控制服务的情况下,以子网a1中的b1为例,部署在其上的探测服务接收到同时部署在其上的控制服务下发的设备探测指令时,探测服务去探测子网a2中的b11-b20的存活状态以及去探测子网a3中的b21-b30的存活状态,得到b11-b20、b21-b30的探测结果;同理对于每个网络设备而言都是类似的,这里不再赘述。
值得注意的是,本申请实施例中此处以及下述所示例中的网络设备用b1…bn进行表示,主要是为了便于说明网络设备之间互相探测的过程,网络设备可以对应于共享系统中的任一节点1001。
需要说明的是,本申请实施例中其他网络设备指的是不同于部署有探测服务的网络设备所在网络的网络中的网络设备,例如部署有探测服务的网络设备所在的网络为子网a1,那么其他网络设备是不同于子网a1的其他子网如子网a2和子网a3中的网络设备。
需要说明的是,本申请实施例中网络设备的存活状态指的是网络设备在网络中的是否可以探测到的状态,如果可以探测到,则表示该网络设备是存活的,如果不可以探测到,则表示该网络设备是非存活的。
步骤S420,根据设备探测指令对其它网络设备的存活状态进行探测,得到设备探测结果。
相应地,部署有探测服务的网络设备接收部署有控制服务的网络设备所下发的设备探测指令后,根据设备探测指令对其他网络设备的存活状态进行探测,从而得到设备探测结果。
在本申请的一个实施例中,根据设备探测指令对其它网络设备的存活状态进行探测,得到设备探测结果,可以包括:根据探测指令,向其它网络设备发送多种通信协议的通信协议包,以对其它网络设备的存活状态进行探测,得到多个通信协议分别对应的设备探测结果;其中,各个通信协议对应的设备探测结果用于确定各个通信协议的网络访问控制策略是否失效。
也即,探测服务根据控制服务下发的设备探测指令,向其他网络设备发送多种通信协议的通信协议包,来对其他网络设备的存活状态进行探测,从而得到多个通信协议分别对应的设备探测结果;由于能够得到多个通信协议分别对应的设备探测结果,因此能够根据多个通信协议分别对应的设备探测结果去和对应通信协议的网络访问控制策略进行比较,从而实现了不同通信协议的网络访问控制策略的比对。
其中,本申请实施例中的多种通信协议可以是Netbios协议(NetBIOS ServicesProtocols,网络基本输入/输出系统协议)、ICMP协议(Internet Control MessageProtocol,Internet控制报文协议)、UDP协议(User Datagram Protocol,用户数据报协议)、ARP协议(Address Resolution Protocol,地址解析协议)、SNMP协议(简单网络管理协议)以及SMB(Server Message Block,服务器信息块)协议等。可以理解的是,多种通信协议可以是Netbios协议、ICMP协议、UDP协议、ARP协议、SNMP协议以及SMB协议中的任意两种,并且通信协议还可以其他的通信协议,本申请在此不做限制。
针对Netbios协议探测:Netbios协议是IBM开发的一种在局域网上的程序可以使用的应用程序编程接口(API),系统可以利用WINS服务(Windows Internet Name Service,Windows网络名称服务)、广播及Lmhost(LAN Manager Hosts)文件等多种模式将NetBIOS名(基于NETBIOS协议获得计算机名称)解析为相应IP地址,实现信息通讯。
针对ICMP协议探测:ICMP协议是TCP/IP协议族的一个子协议,用于在IP主机(即网络设备主机,下同)、路由器之间传递控制消息,包括网络通不通、主机是否可达、路由是否可用等网络本身的消息,本地主机对目标主机发送ICMP报文通常会得到目标主机的回应,利用这个特性可以判断目标IP主机是否存在,达到主机存活探测的目的。
针对UDP协议探测:UDP协议是一种无连接的协议,在IP协议的上一层也就是第四层传输层工作,其通过对目标主机的某些特定的端口发送UDP报文通常会得到目标主机的回应。
针对ARP协议探测:ARP是通过解析网路层地址来找寻数据链路层地址的局域网传输协议,主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机;如果接收返回消息,就可以获取到目标IP的物理地址,也就直接证明了目标IP主机的存在,实现了主机存活的探测。
针对SNMP协议探测:SNMP主要用于网络设备的管理,是一种简单网络管理协议,属于TCP/IP五层协议中的应用层协议。SNMP协议将网络内的主机分为SNMP管理站和SNMP代理,作为中心节点的SNMP管理站的主机负责收集维护各个SNMP代理主机的信息,实现对SNMP代理的网络管理。通过在网络内组织起SNMP网络关系,可以将网络中所有的主机纳入统一的一张管理网络中,也就是能够收集主机存活的数据,以达到主机存活探测的目的。
针对SMB协议探测:SMB是微软和英特尔制定的协议,主要是作为Microsoft网络的通讯协议。SMB使用了NetBIOS的API(Application Program Interface,应用程序接口)。另外,它是一个开放性的协议,允许了协议扩展——使得它变得更大而且复杂。在SMB协议中,计算机为了访问网络资源,就需要了解网络上存在的资源列表。因此SMB协议具备了发现主机的能力,从而可以进行主机存活的探测。
举例说明,例如承接上述示例,在为b1-b10、b11-b20、b21-b30部署探测服务,以及为b1、b11、b21部署控制服务的情况下,以子网a1中的b1为例;请参阅下表1,其中b1上部署的探测服务通过多种通信协议探测了网络设备b11-b20、b21-b30,从而得到了多个通信协议分别对应的设备探测结果。
表1
在本申请的一个实施例中,若其它网络设备的数量为多个;则根据设备探测指令对其它网络设备的存活状态进行探测,得到设备探测结果,可以包括:对多个其它网络设备进行分组,得到多个组;根据设备探测指令分别对每个组中包括的其它网络设备的存活状态进行探测,得到设备探测结果;其中,不同组对应的探测时间段不同。
也即,如果其他网络设备的数量为多个,则可以先对多个其他网络设备进行分组,后续再在不同探测时间段分别对各组进行探测,以实现错峰探测。可以理解的是,如果同时对多个其他网络设备进行探测,那么其他网络设备的数量越多,则所需带宽则会越多,网络负载的压力也就越大,并且可能会由于网络负载压力大导致影响网络设备的业务正常工作;因此,本申请实施例中通过错峰探测则可以降低网络负载的压力,同时避免影响网络设备的业务正常工作的情况,保证了在实现探测的同时网络设备的业务能够正常工作。
举例说明,例如承接上述示例,在为b1-b10、b11-b20、b21-b30部署探测服务,以及为b1、b11、b21部署控制服务的情况下,以子网a1中的b1为例,b1上部署的探测服务需要探测的网络设备为b11-b20、b21-b30这20个网络设备,其中可以每预设数量个网络设备划分为一组;请参阅下表2,每5个网络设备划分为一组,即划分4个组,组1为b11-b15、组2为b16-b20、组3为b21-b25、组4为b25-b30,其中组1对应的探测时间段为t1-t2,组2对应的探测时间段为t2-t3,组3对应的探测时间段为t3-t4,组4对应的探测时间段为t4-t5。
探测时间段 | 组 |
t1<t≤t2 | b11-b15 |
t2<t≤t3 | b16-b20 |
t3<t≤t4 | b21-b25 |
t4<t≤t5 | b25-b30 |
表2
可以理解的是,这里仅是以一个网络设备上部署的探测服务探测其他网络设备的存活状态的过程为示例,相应地,多个网络设备上部署的探测服务同时探测其他网络设备的过程类似,这里不再赘述。其中,当多个网络设备上部署的探测服务同时探测其他网络设备时,分组的优势则更为明显,更能降低网络负载的压力。
步骤S430,上报设备探测结果至部署有控制服务的网络设备,以使部署有控制服务的网络设备根据设备探测结果确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态,以根据网络连接状态探测结果确定网络访问控制策略是否失效。
相应地,部署有探测服务的网络设备根据设备探测指令对其它网络设备的存活状态进行探测,得到设备探测结果后,便可以上报设备探测结果至部署有控制服务的网络设备,这样部署有控制服务的网络设备在接收到设备探测结果后,就可以根据设备探测结果确定部署有探测服务的网络设备与其他网络设备之间的网络连接状态,从而确定出网络访问控制策略是否失效(具体请参见下述实施例)。
图4所示实施例是从部署有探测服务的网络设备的角度进行的阐述,以下结合图5从部署有控制服务的网络设备的角度对本申请实施例的技术方案的实现细节进行详细阐述:
图5示出了根据本申请的一个实施例的网络检测处理方法的流程图,该网络检测处理方法可以由共享系统中的任一节点(其上部署有控制服务)来执行,在具体实现时比如可以是服务器、用户终端等网络设备。请参阅图5所示,该网络检测处理方法至少包括步骤S510至步骤S540,详细介绍如下:
步骤S510,接收部署有探测服务的网络设备所上报的设备探测结果,设备探测结果用于表示探测服务探测到的其它网络设备的存活状态。
本申请实施例中部署有控制服务的网络设备接收部署有探测服务的网络设备所上报的设备探测结果,以获知针对部署有探测服务的网络设备而言,其他网络设备的存活状态。
步骤S520,根据设备探测结果确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态,得到网络连接状态探测结果。
相应地,部署有控制服务的网络设备根据设备探测结果确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态,得到网络连接状态探测结果。
在本申请的一个实施例中,根据设备探测结果确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态,可以包括以下两种情况:
情况一,若设备探测结果表示其它网络设备处于存活状态,则确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态为连接状态。
也即,如果设备探测结果表示其它网络设备处于存活状态,则此时可以确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态为连接状态,相应地,得到的是网络连接状态探测结果。
举例说明,例如承接上述示例,在为b1-b10、b11-b20、b21-b30部署探测服务,以及为b1、b11、b21部署控制服务的情况下,以子网a1中的b1为例,b1上部署的探测服务探测了网络设备b11-b20、b21-b30(即其他网络设备),并分别得到了网络设备b11-b20、b21-b30这20个网络设备的设备探测结果,其中设这20个探测结果中b11、b12以及b30这3个网络设备的设备探测结果表示处于存活状态,则此时确定b1与b11、b12以及b30这3个网络设备之间的网络连接状态为连接状态。
情况二,若设备探测结果表示其它网络设备处于非存活状态,则确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态为断开状态。
也即,如果设备探测结果表示其它网络设备处于非存活状态,则此时可以确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态为断开状态,相应地,得到的是网络断开状态探测结果。
举例说明,例如承接上述示例,在为b1-b10、b11-b20、b21-b30部署探测服务,以及为b1、b11、b21部署控制服务的情况下,以子网a1中的b1为例,b1上部署的探测服务探测了网络设备b11-b20、b21-b30(即其他网络设备),并分别得到了网络设备b11-b20、b21-b30这20个网络设备的设备探测结果,其中设这20个探测结果中b13-b20以及b21-b29这17个网络设备的设备探测结果表示处于非存活状态,则此时确定b13-b20以及b21-b29这17个网络设备之间的网络连接状态为断开状态。
在本申请的一个实施例中,若部署有探测服务的网络设备的数量有多个;则接收部署有探测服务的网络设备所上报的设备探测结果,包括:接收部署有探测服务的各个网络设备所上报的设备探测结果;相应地,根据设备探测结果确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态,得到网络连接状态探测结果,包括:根据部署有探测服务的各个网络设备上报的设备探测结果,确定各个网络设备之间的网络连接状态,得到网络连接状态探测结果。
也即,如果部署有探测服务的网络设备的数量有多个,那么是接收部署有探测服务的各个网络设备所上报的设备探测结果,进而根据部署有探测服务的各个网络设备上报的设备探测结果,确定各个网络设备之间的网络连接状态,得到网络连接状态探测结果。
举例说明,例如承接上述示例,在为b1-b10、b11-b20、b21-b30部署探测服务,以及为b1、b11、b21部署控制服务的情况下,子网a1中的b1上部署的控制服务下发设备探测指令至b1-b10上部署的探测服务,则b1-b10上部署的探测服务分别对网络设备b11-b20、b21-b30进行探测,得到针对b1而言的b11-b20、b21-b30这20个网络设备的设备探测结果并上报给b1(由于b1上同时部署探测服务和控制服务,此时是探测服务将设备探测结果发送给控制服务),得到针对b2而言的b11-b20、b21-b30这20个网络设备的设备探测结果并上报给b1……得到针对b10而言的b11-b20、b21-b30这20个网络设备的设备探测结果并上报给b1。
同理,子网a2中的b11上部署的控制服务下发设备探测指令至b11-b20上部署的探测服务,则b11-b20上部署的探测服务分别对网络设备b1-b10、b21-b30进行探测,得到针对b11而言的b1-b10、b21-b30这20个网络设备的设备探测结果并上报给b11(由于b11上同时部署探测服务和控制服务,此时是探测服务将设备探测结果发送给控制服务),得到针对b12而言的b1-b10、b21-b30这20个网络设备的设备探测结果并上报给b11……得到针对b13而言的b1-b10、b21-b30这20个网络设备的设备探测结果并上报给b11。
同理,子网a3中的b21上部署的控制服务下发设备探测指令至b21-b30上部署的探测服务,则b21-b30上部署的探测服务分别对网络设备b1-b10、b11-b20进行探测,得到针对b21而言的b1-b10、b11-b20这20个网络设备的设备探测结果并上报给b21(由于b21上同时部署探测服务和控制服务,此时是探测服务将设备探测结果发送给控制服务),得到针对b12而言的b1-b10、b11-b20这20个网络设备的设备探测结果并上报给b21……得到针对b13而言的b1-b10、b11-b20这20个网络设备的设备探测结果并上报给b21。
在本申请的一个实施例中,在根据部署有探测服务的各个网络设备上报的设备探测结果,确定各个网络设备之间的网络连接状态,得到网络连接状态探测结果之后,方法还包括:根据部署有探测服务的各个网络设备上报的设备探测结果,统计得到满足预设探测条件的统计数据,并生成日志报告。
也即,部署有控制服务的网络设备可以根据部署有探测服务的各个网络设备上报的设备探测结果,统计得到满足预设探测条件的统计数据,并生成日志报告。
其中,预设探测条件可以从暴露面进行考虑,以暴露面由大到小的顺序进行排序,并选取排序在前的预设位数的网络设备;可以理解的是,暴露面指的是网络设备被其他网络设备探测到存活的其他网络设备的数量,其他网络设备的数量越多,则表征该网络设备的暴露面越大,其他网络设备的数量越少,则表征该网络设备的暴露面越小。例如设网络设备b1被其他10个网络设备探测到存活记作b1(10),同理得到b3(8)、b2(7)、b8(5)、b9(5)、b10(4)、b4(3)、b7(2)、b5(0)、b6(0),则如果选取排序在前5的网络设备是b1、b3、b2、b8、b9。
其中,预设探测条件可以从自由度进行考虑,以自由度由大到小的顺序进行排序,并选取排序在前的预设位数的网络设备;可以理解的是,自由度指的是网络设备去探测到存活的其他网络设备的数量,其他网络设备的数量越多,则表征该网络设备的自由度越大,其他网络设备的数量越少,则表征该网络设备的自由度越小。例如设网络设备b1去探测到存活的其他10个网络设备探测到记作b1(10)’,同理得到b3(9)’、b2(8)’、b8(6)’、b9(6)’、b10(4)’、b4(3)’、b7(1)’、b5(1)’、b6(0)’,则如果选取排序在前5的网络设备是b1、b3、b2、b8、b9。
其中,预设探测条件可以从协议泄露风险进行考虑,以协议泄露风险由大到小的顺序进行排序,并选取排序在前的预设位数的网络设备;可以理解的是,协议泄露风险指的是网络设备被其他网络通过通信协议探测到存活的通信协议的数量,通信协议的数量越多,则表征该网络设备的协议泄露风险越大,通信协议的数量越少,则表征该网络设备的自由度越小。例如设网络设备b1被其他5中通信协议探测到存活记作b1’(5),同理得到b3’(5)、b2’(5)、b8’(4)、b9’(4)、b10’(3)、b4’(3)、b7’(2)、b5’(1)、b6’(1),则如果选取排序在前5的网络设备是b1、b3、b2、b8、b9。
值得注意的是,这里所示例的只是几种预设探测条件,在实际应用中,可以根据具体应用场景进行灵活调整,本申请在此不做限制。
步骤S530,将网络连接状态探测结果与设定的网络访问控制策略进行比对,得到第一比对结果;其中,网络访问控制策略用于表示针对网络设备设置的网络管控策略。
相应地,部署有控制服务的网络设备根据设备探测结果确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态,得到网络连接状态探测结果后,将网络连接状态探测结果与设定的网络访问控制策略进行比对,得到第一比对结果。
可以理解的是,如果网络连接状态探测结果与设定的网络访问控制策略比对不一致,则得到不一致的第一比对结果,如果网络连接状态探测结果与设定的网络访问控制策略比对一致,则得到一致的第一比对结果。
在本申请的一个实施例中,如果获取到的是多个通信协议分别对应的设备探测结果,则需要将各个通信协议分别对应的设备探测结果与各个通信协议的网络访问控制策略进行比对,从而来确定各个通信协议的网络访问控制策略是否失效。
举例说明,例如承接上述示例,在为b1-b10、b11-b20、b21-b30部署探测服务,以及为b1、b11、b21部署控制服务的情况下,以子网a1中的b1为例,b1上部署的探测服务通过多种通信协议探测了网络设备b11-b20、b21-b30,得到了多个通信协议分别对应的设备探测结果并发送至b1上部署的控制服务。其中以b1上部署的探测服务探测b11为例,设b1上部署的探测服务通过前述的6个通信协议均探测到存活的b11,即表征b1和b11在Netbios协议、ICMP协议、UDP协议、ARP协议、SNMP协议以及SMB协议下得到的都是网络连接状态的探测结果,而在实际使用的Netbios协议、ICMP协议以及UDP协议中记载了b1和b11是网络连接的,以及在ARP协议、SNMP协议以及SMB协议中却并未记载b1和b11是网络连接的;因此,将对应通信协议依次进行比对,针对Netbios协议、ICMP协议以及UDP协议得到的是一致的比对结果,而针对ARP协议、SNMP协议以及SMB协议则得到的是不一致的比对结果;进一步地,可以确定在Netbios协议、ICMP协议、UDP协议中记载的b1和b11之间网络连接未失效,而ARP协议、SNMP协议以及SMB协议中b1和b11之间网络连接已失效。
步骤S540,根据第一比对结果确定网络访问控制策略是否失效。
相应地,部署有控制服务的网络设备将网络连接状态探测结果与设定的网络访问控制策略进行比对,得到第一比对结果后,便可以根据第一比对结果确定网络访问控制策略是否失效。
可以理解的是,如果网络连接状态探测结果与设定的网络访问控制策略比对不一致,则得到不一致的第一比对结果,此时可以确定网络访问控制策略失效;如果网络连接状态探测结果与设定的网络访问控制策略比对一致,则得到一致的第一比对结果,此时可以确定网络访问控制策略未失效。
本申请实施例中通过探测服务和控制服务的部署,其所部署在的网络设备之间是可以实现相互探测的,并且可以将探测到的设备探测结果与设定的网络访问控制策略进行比对,从而以准确、快速地确定出网络访问控制策略是否失效,避免了由人工判定所带来的误差,相对于人工去确定网络访问控制策略是否失效而言,效率也更高;同时相关工作人员也无需同时具备识别多种不同网络访问控制策略的专业知识,对相关工作人员的要求相对较低;并且控制服务和探测服务开发完成后部署于网络设备中,不用对网络设备中的其他服务进行调整和修改,耦合性低,也方便后期的维护,可维护性强。
请参阅图6,图6是本申请的一个实施例示出的网络检测处理方法的流程图,该网络检测处理方法可以由共享系统中的任一节点(其上部署有探测服务)来执行,在具体实现时比如可以是服务器、用户终端等网络设备。如图6所示,方法还可以包括步骤S440至步骤S460(其中步骤S440至步骤S460的执行顺序可以在图4所示的步骤S430之后),详细介绍如下:
步骤S440,接收部署有控制服务的网络设备所下发的端口探测指令;其中,端口探测指令用于指示部署有探测服务的网络设备探测处于存活状态的网络设备的端口开放状态。
可以理解的是,网络设备的端口可以有0-65535个,不同端口所对应的服务/功能/任务不同;因此,为了知晓网络设备的哪些端口是处于开放状态,则可以对端口开放状态予以探测。
在本申请的一个实施例中,探测服务可以探测处于存活状态的网络设备的部分/指定端口的开放状态;例如对端口0-30000进行探测,而不用去探测端口30000-65535。
在本申请的一个实施例中,探测服务可以探测处于存活状态的网络设备的所有端口的开放状态;例如对端口0-65535进行探测。
在本申请的一个实施例中,探测服务可以先根据接收到的设备探测指令去探测其它网络设备的存活状态,从而可以知晓其它网络设备中哪些网络设备是处于存活状态的,哪些网络设备是处于非存活状态的,进而再根据接收到的端口探测指令去探测处于存活状态的网络设备的端口开放状态。
在本申请的一个实施例中,控制服务也可以直接根据接收到的端口探测指令去探测处于存活状态的网络设备的端口开放状态,此种情况下,可以是探测服务事先已知晓哪些网络设备处于存活状态,或者也可以是探测服务事先不知晓哪些网络设备处于存活状态。
步骤S450,根据端口探测指令对处于存活状态的网络设备的端口开放状态进行探测,得到端口探测结果。
相应地,部署有探测服务的网络设备接收部署有控制服务的网络设备所下发的端口探测指令后,根据端口探测指令对处于存活状态的网络设备的端口开放状态进行探测,从而得到端口探测结果。
需要说明的是,本申请实施例中处于存活状态的网络设备的数量可以是一个或多个。
举例说明,例如以子网a1中的b1为例,部署在其上的探测服务去探测了网络设备b11-b20、b21-b30,并分别得到了网络设备b11-b20、b21-b30这20个网络设备的设备探测结果;其中设这20个探测结果中b11、b12以及b30这3个网络设备的设备探测结果表示处于存活状态,则后续探测服务需要根据端口探测指令去探测b11、b12以及b30各自的端口,以得到针对b11、b12以及b30对应的端口探测结果;相应地,这20个探测结果中b13-b20以及b21-b29这17个网络设备的设备探测结果表示处于非存活状态,则后续探测服务无需去探测b13-b20以及b21-b29各自的端口。
本申请实施例中可以通过以下三种方式实现对处于存活状态的网络设备的端口开放状态的探测:
方式一,全连接扫描:全连接扫描是通过在探测方发起的、尝试进行一次完整的TCP连接的探测服务,如果建立了完整的握手过程,则证明端口是开放的。建立全连接的扫描方式实现上比较简单,依靠多线程并发技术便可以实现较高效率的端口探测。这种全连接扫描的方式对系统主机的硬件CPU、内存以及网络带宽要求相对较高,而且由于使用了传统的系统TCP/IP协议栈,同一时刻能对外保持的连接数量受到了一定限制。
方式二,半连接扫描:TCP SYN(Synchronize Sequence Numbers,同步序列编号)是利用三次握手的特点专门设计的,扫描器通过向被探测方发送一个探测数据包请求建立SYN连接,如果没有收到SYN/ACK确认报文,而是收到了RST数据报文,就得知该端口并没有打开,即该端口并没有处于开放状态;而如果收到了SYN/ACK报文,确认被探测方端口开放后,不再回复SYN数据包完成三次握手,而是发送RST数据包终止此次连接请求。这种半连接扫描的方式相对于全连接扫描的方式而言,通过及时终止连接进行扫描的方式,可以相对弥补协议栈连接数的限制问题;并且由于没有建立完整的TCP握手过程,被探测方不会留下建立连接的记录,因而具有更好的隐蔽性;但在实现上相对复杂,需要根据连接状态构造新的状态位数据包。
方式三,无状态端口扫描:由于传统的端口扫描技术依靠TCP的三次握手去连接,TCP协议是一个面向连接的、可靠的传输协议,TCP连接建立的各个过程都需要保存许多状态,正是由于操作系统在底层实现了这些状态的存储,才使得在应用层能更方便的对数据进行处理,但是这种方便、可靠的同时随之而来的较多的系统资源。其中在传统的操作系统中,TCP/IP协议栈能同时保持的连接数也就几十或几百,即便是一些网络应用服务器,默认保持的连接数只有几千左右,所以传统的扫描技术在面对应用层使用上万的连接进行扫描时,很容易就达到了连接数的上限,在扫描速度上受到了较大的限制。因此本申请实施例中从不需要系统关心TCP连接的状态出发,用于探测所建立的所有连接,已不再占用操作系统的TCP/IP协议栈资源,而是探测服务在底层直接进行管理和维持,不需要操作系统对连接状态进行会话组包,在实现上是把关键的状态位及数据信息通过探测服务直接放在数据包的本身。这样通过改进的探测服务直接从底层进行数据组包,并对连接进行维持和管理,连接数量的限制由探测服务所分配的资源决定,可以分配足够多的资源,大大提升了连接数量上限,从而提升了扫描速度。
步骤S460,上报端口探测结果至部署有控制服务的网络设备,以使部署有控制服务的网络设备根据端口探测结果确定部署有探测服务的网络设备与存活网络设备之间的端口连接状态,以根据端口连接状态探测结果确定应用层访问控制策略是否失效。
相应地,部署有探测服务的网络设备根据端口探测指令对处于存活状态的网络设备的端口开放状态进行探测,得到端口探测结果后,便可以上报端口探测结果至部署有控制服务的网络设备,这样部署有控制服务的网络设备在接收到端口探测结果后,就可以根据端口探测结果确定部署有探测服务的网络设备与存活网络设备之间的端口连接状态,从而确定出应用层访问控制策略是否失效(具体请参见下述实施例)。
值得注意的是,本申请实施例中步骤S440至步骤S460的执行顺序可以与图4所示的某些步骤并行执行,例如步骤S440和步骤S410并行执行,步骤S450和步骤S420并行执行,步骤S460和步骤S430并行执行,在实际应用中,各步骤的执行顺序可以进行灵活调整。
图6所示实施例是从部署有探测服务的网络设备的角度进行的阐述,以下结合图7从部署有控制服务的网络设备的角度对本申请实施例的技术方案的实现细节进行详细阐述:
图7示出了根据本申请的一个实施例的网络检测处理方法的流程图,该网络检测处理方法可以由共享系统中的任一节点(其上部署有控制服务)来执行,在具体实现时比如可以是服务器、用户终端等网络设备。请参阅图7所示,该网络检测处理方法至少包括步骤S550至步骤S580(其中步骤S550至步骤S580的执行顺序可以在图5所示的步骤S540之后),详细介绍如下:
步骤S550,接收部署有探测服务的网络设备所上报的端口探测结果;其中,端口探测结果用于表示探测服务探测到的处于存活状态的网络设备的端口开放状态。
本申请实施例中部署有控制服务的网络设备接收部署有探测服务的网络设备所上报的端口探测结果,以获知针对部署有探测服务的网络设备而言,处于存活状态的网络设备的端口的开放状态。
步骤S560,根据端口探测结果确定部署有探测服务的网络设备与处于存活状态的网络设备之间的端口连接状态,得到端口连接状态探测结果。
相应地,部署有控制服务的网络设备根据端口探测结果确定部署有探测服务的网络设备与处于存活状态的网络设备之间的端口连接状态,得到端口连接状态探测结果。
在本申请的一个实施例中,根据端口探测结果确定部署有探测服务的网络设备与处于存活状态的网络设备之间的端口连接状态,得到端口连接状态探测结果,可以包括以下两种情况:
情况一,若端口探测结果表示端口处于开放状态,则确定部署有探测服务的网络设备与处于存活状态的网络设备之间的端口连接状态为连接状态。
也即,如果端口探测结果表示处于存活状态的网络设备的端口处于连接状态,则此时可以确定部署有探测服务的网络设备与处于存活状态的网络设备的端口之间的端口连接状态为连接状态,相应地,得到的是端口连接状态探测结果。
举例说明,设b1上部署的探测服务上报给控制服务的探测存活b11的0-65535个端口的端口探测结果中,0-30000个端口对应的端口探测结果表示0-30000个端口处于连接状态,则此时确定b1与b11的0-30000个端口之间的端口连接状态为连接状态。
情况二,若端口探测结果表示端口处于关闭状态,则确定部署有探测服务的网络设备与处于存活状态的网络设备之间的端口连接状态为断开状态。
也即,如果端口探测结果表示处于存活状态的网络设备的端口处于断开状态,则此时可以确定部署有探测服务的网络设备与处于存活状态的网络设备的端口之间的端口连接状态为断开状态,相应地,得到的是端口断开状态探测结果。
举例说明,设b1上部署的探测服务上报给控制服务的探测存活b11的0-65535个端口的端口探测结果中,30000-65535个端口对应的端口探测结果表示30000-65535个端口处于连接状态,则此时确定b1与b11的30000-65535个端口之间的端口连接状态为连接状态。
值得注意的是,这里所示例的只是探测服务去探测一个存活网络设备的端口,通常而言,存活网络设备的数量为多个,在实际应用中,需要根据具体的存活网络设备数量为准。
在本申请的一个实施例中,在根据部署有探测服务的各个网络设备上报的端口探测结果,确定各个网络设备之间的端口连接状态,得到端口连接状态探测结果之后,方法还包括:根据部署有探测服务的各个网络设备上报的端口探测结果,统计得到满足预设探测条件的统计数据,并生成日志报告。
也即,部署有控制服务的网络设备可以根据部署有探测服务的各个网络设备上报的端口探测结果,统计得到满足预设探测条件的统计数据,并生成日志报告。其中,预设探测条件同样可以从暴露面、自由度等进行考虑,同上述实施例中所介绍,这里不再重复赘述。
步骤S570,将端口连接状态探测结果与设定的应用层访问控制策略进行比对,得到第二比对结果;其中,应用层访问控制策略用于表示针对网络设备的端口设置的访问管控策略。
相应地,部署有控制服务的网络设备根据端口探测结果确定部署有探测服务的网络设备与处于存活状态的网络设备之间的端口连接状态,得到端口连接状态探测结果后,将端口连接状态探测结果与设定的应用层访问控制策略进行比对,得到第二比对结果。
可以理解的是,如果端口连接状态探测结果与设定的应用层访问控制策略比对不一致,则得到不一致的第二比对结果,如果端口连接状态探测结果与设定的应用层访问控制策略比对一致,则得到一致的第二比对结果。
步骤S580,根据第二比对结果确定应用层访问控制策略是否失效。
相应地,部署有控制服务的网络设备将端口连接状态探测结果与设定的应用层访问控制策略进行比对,得到第二比对结果后,便可以根据第二比对结果确定应用层访问控制策略是否失效。
可以理解的是,如果端口连接状态探测结果与设定的应用层访问控制策略比对不一致,则得到不一致的第二比对结果,此时可以确定应用层访问控制策略失效;如果端口连接状态探测结果与设定的应用层访问控制策略比对一致,则得到一致的第二比对结果,此时可以确定应用层访问控制策略未失效。
值得注意的是,本申请实施例中步骤S550至步骤S580的执行顺序可以与图5所示的某些步骤并行执行,例如步骤S550和步骤S510并行执行,步骤S560和步骤S520并行执行,步骤S570和步骤S530并行执行,步骤S580和步骤S540并行执行,在实际应用中,各步骤的执行顺序可以进行灵活调整。
本申请实施例中通过探测服务和控制服务的部署,其所部署在的网络设备除了可以实现网络设备的存活状态的探测之外,还可以实现存活网络设备的端口的开放状态的探测,并且可以将探测到的端口探测结果与设定的应用层访问控制策略进行比对,从而以准确、快速地确定出应用层访问控制策略是否失效,避免了由人工判定所带来的误差,相对于人工去确定应用层访问控制策略是否失效而言,效率也更高,同时相关工作人员也无需同时具备识别多种不同应用层访问控制策略的专业知识,对相关工作人员的要求相对较低。
以上分别从部署有探测服务的网络设备和部署有控制服务的网络设备的角度对本申请实施例的技术方案进行了阐述,以下以网络设备为服务器主机为例,对本申请实施例的一个具体应用场景进行详细说明:
请参阅图8,针对企业内网中的多个子网而言,每个子网中有一个服务器主机中部署有控制模块801(即控制服务)、日志模块802以及存储模块803(此服务器主机中也可以同时部署探测模块804),其他服务器主机中均部署有探测模块804(即探测服务)。
其中,控制模块801:单独部署在相应服务器主机上的功能模块,控制模块801的主要工作内容是:设备存活状态探测任务编制下发,端口开放性探测任务编制下发,数据汇总分析和输出评估报告;控制模块801通过控制探测模块的工作来获取服务器主机之间网络互通的信息,从而进行网络访问控制策略失效的发现,以及来获取存活主机的端口互通的信息,从而进行应用层访问控制策略失效的发现。
其中,日志模块802:记录整个系统工作过程中的所有行为日志。
其中,存储模块803:存储整个系统工作过程中的所有作业数据。
其中,探测模块804:部署在每一台服务器主机上的功能模块,探测模块804主要的工作内容是:身份注册,执行控制模块801下发的指令如设备探测指令和端口探测指令,并上报对应的执行结果。
本申请的一个实施例中,探测模块804的身份注册可以是在探测模块804部署在服务器主机上并进行启动时,向控制模块801发送身份注册消息,从而宣告自身的身份;其中身份注册信息可以包括IP地址,主机名和注册时间等,数据结构如下所示:
本申请的一个实施例中,探测模块804可以周期性地请求控制模块801的命令下发接口,从命令下发接口中读取需要执行的指令并执行;其中命令信息可以包括执行时间,目标IP,执行命令等,数据结构如下所示:
本申请的一个实施例中,探测模块804可以将每次命令执行结果(如设备探测结果、端口探测结果)通过接口请求的方式上报给控制模块801;其中上报的信息可以包括执行时间,执行结果和本地IP等,数据结构如下所示。
本申请的一个实施例中,控制模块801和探测模块804之间涉及到的所有数据的交互的执行主体除了控制模块801和探测模块804之外,还可以是服务器主机上的其他模块。例如请参阅图9,服务器主机1上部署的控制模块801将设备探测指令发送至服务器主机1上的转发模块805a,进而由转发模块805a将设备探测指令转发至服务器主机2上部署的转发模块805b,进而探测模块804根据设备探测指令对其他服务器主机的存活状态进行探测,并得到对应的设备探测结果,进而探测模块804将设备探测结果上报给的转发模块805b,并由转发模块805b将设备探测结果上报至转发模块805a,并由转发模块805a将设备探测结果发送至控制模块801,控制模块801再根据设备探测结果确定网络访问控制策略是否失效。
本申请的一个实施例中,存储模块803可以是数据库集群构成;数据库架构采用一主一备的方式,以保证数据不会丢失,其中请参阅图10,正常工作时A库作为主库承载所有的数据读写工作,B库作为备库从A库将同步数据进行备份;其中请参阅图11,当A库发生故障时,无法对外提供数据读写服务,此时数据读写服务由B库来承担,同时AB库之间的数据同步中断;其中请参阅图12,当A库故障修复后,此时角色已经切换成备库,从B库将同步数据进行备份,同时B库将作为主库角色承担数据读写的工作。
本申请的一个实施例中,请参阅图13,日志模块802可以将运行日志存储到存储模块803的日志服务器(即上述的数据库)中,同时本地以文本的方式再存储一份,以保证数据不会丢失。
其中,请参阅下表3,日志模块802记录的日志等级可以分为至少以下几种:
表3
其中,请参阅下表4,日志模块802记录的日志根据日志内容可以分为至少以下几种:
分类 | 说明 |
配置日志 | 记录用户新增,删除,修改配置的行为。 |
监控日志 | 记录监控模块每次探测目标站点证书有效性的操作行为。 |
告警日志 | 记录告警模块每次对外告警动作的行为。 |
运行日志 | 用于记录整个系统后台运行过程中的行为。 |
表4
本申请实施例中通过控制服务的注册,在注册后才能进行相应探测,保证了数据的安全性;同时通过主用和备用的数据库架构来存储,保证了探测过程中数据不易丢失;并且通过得到的各种日志,可以分析得出探测过程中系统的相关问题,方便进行问题排查和修复。
图14是本申请的一个实施例示出的网络检测处理装置的框图,如图14所示,该装置包括:
第一接收模块1401,配置为接收部署有探测服务的网络设备所上报的设备探测结果,设备探测结果用于表示探测服务探测到的其它网络设备的存活状态;
第一确定模块1402,配置为根据设备探测结果确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态,得到网络连接状态探测结果;
比对模块1403,配置为将网络连接状态探测结果与设定的网络访问控制策略进行比对,得到第一比对结果;其中,网络访问控制策略用于表示针对网络设备设置的网络管控策略;
第二确定模块1404,配置为根据第一比对结果确定网络访问控制策略是否失效。
在本申请的一个实施例中,部署有探测服务的网络设备的数量有多个;第一接收模块1401,还配置为接收部署有探测服务的各个网络设备所上报的设备探测结果;比对模块1403,还配置为根据部署有探测服务的各个网络设备上报的设备探测结果,确定各个网络设备之间的网络连接状态,得到网络连接状态探测结果。
在本申请的一个实施例中,第一确定模块1402,还配置为若设备探测结果表示其它网络设备处于存活状态,则确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态为连接状态;若设备探测结果表示其它网络设备处于非存活状态,则确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态为断开状态。
在本申请的一个实施例中,该装置还包括:
第一接收单元,配置为接收部署有探测服务的网络设备所上报的端口探测结果;其中,端口探测结果用于表示探测服务探测到的处于存活状态的网络设备的端口开放状态;第一确定单元,配置为根据端口探测结果确定部署有探测服务的网络设备与处于存活状态的网络设备之间的端口连接状态,得到端口连接状态探测结果;比对单元,配置为将端口连接状态探测结果与设定的应用层访问控制策略进行比对,得到第二比对结果;其中,应用层访问控制策略用于表示针对网络设备的端口设置的访问管控策略;第二确定单元,配置为根据第二比对结果确定应用层访问控制策略是否失效。
在本申请的一个实施例中,该装置还包括:
第一部署单元,配置为根据接收到的第一输入操作为网络设备部署控制服务,得到部署有控制服务的网络设备;其中,控制服务用于执行以下至少一种操作:接收第二输入操作生成设备探测指令,以触发探测服务执行设备探测操作;接收第三输入操作生成端口探测指令,以触发探测服务执行端口探测操作。
在本申请的一个实施例中,该装置还包括:
生成单元,配置为在根据部署有探测服务的各个网络设备上报的设备探测结果,确定各个网络设备之间的网络连接状态,得到网络连接状态探测结果之后,根据部署有探测服务的各个网络设备上报的设备探测结果,统计得到满足预设探测条件的统计数据,并生成日志报告。
图15是本申请的一个实施例示出的网络检测处理装置的框图,如图15所示,该装置包括:
第二接收模块1501,配置为接收部署有控制服务的网络设备所下发的设备探测指令,设备探测指令用于指示部署有探测服务的网络设备探测其它网络设备的存活状态;
探测模块1502,配置为根据设备探测指令对其它网络设备的存活状态进行探测,得到设备探测结果;
上报模块1503,配置为上报设备探测结果至部署有控制服务的网络设备,以使部署有控制服务的网络设备根据设备探测结果确定部署有探测服务的网络设备与其它网络设备之间的网络连接状态,以根据网络连接状态探测结果确定网络访问控制策略是否失效。
在本申请的一个实施例中,探测模块1502,还配置为根据设备探测指令,向其它网络设备发送多种通信协议的通信协议包,以对其它网络设备的存活状态进行探测,得到多个通信协议分别对应的设备探测结果;其中,各个通信协议对应的设备探测结果用于确定各个通信协议的网络访问控制策略是否失效。
在本申请的一个实施例中,其它网络设备的数量为多个;探测模块1502包括:分组单元,配置为对多个其它网络设备进行分组,得到多个组;探测子单元,配置为根据设备探测指令分别对每个组中包括的其它网络设备的存活状态进行探测,得到设备探测结果;其中,不同组对应的探测时间段不同。
在本申请的一个实施例中,该装置还包括:
第二接收单元,还配置为接收部署有控制服务的网络设备所下发的端口探测指令;其中,端口探测指令用于指示部署有探测服务的网络设备探测处于存活状态的网络设备的端口开放状态;探测单元,配置为根据端口探测指令对处于存活状态的网络设备的端口开放状态进行探测,得到端口探测结果;上报单元,配置为上报端口探测结果至部署有控制服务的网络设备,以使部署有控制服务的网络设备根据端口探测结果确定部署有探测服务的网络设备与存活网络设备之间的端口连接状态,以根据端口连接状态探测结果确定应用层访问控制策略是否失效。
在本申请的一个实施例中,该装置还包括:
第二部署单元,配置为根据接收到的第四输入操作为网络设备部署探测服务,得到部署有探测服务的网络设备;其中,探测服务用于执行以下至少一种操作:根据接收到的设备探测指令执行设备探测操作;根据接收到的端口探测指令执行端口探测操作。
需要说明的是,上述实施例所提供的装置与上述实施例所提供的方法属于同一构思,其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述,此处不再赘述。
本申请的实施例还提供了一种电子设备,包括处理器和存储器,其中,存储器上存储有计算机可读指令,该计算机可读指令被处理器执行时实现如前的网络检测处理方法。
图16示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图16示出的电子设备的计算机系统1600仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图16所示,计算机系统1600包括中央处理单元(Central Processing Unit,CPU)1601,其可以根据存储在只读存储器(Read-Only Memory,ROM)1602中的程序或者从储存部分1608加载到随机访问存储器(Random Access Memory,RAM)1603中的程序而执行各种适当的动作和处理,例如执行上述实施例中的方法。在RAM 1603中,还存储有系统操作所需的各种程序和数据。CPU 1601、ROM 1602以及RAM 1603通过总线1604彼此相连。输入/输出(Input/Output,I/O)接口1605也连接至总线1604。
以下部件连接至I/O接口1605:包括键盘、鼠标等的输入部分1606;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分1607;包括硬盘等的储存部分1608;以及包括诸如LAN(Local AreaNetwork,局域网)卡、调制解调器等的网络接口卡的通信部分1609。通信部分1609经由诸如因特网的网络执行通信处理。驱动器1610也根据需要连接至I/O接口1605。可拆卸介质1611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1610上,以便于从其上读出的计算机程序根据需要被安装入储存部分1608。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中,该计算机程序可以通过通信部分1609从网络上被下载和安装,和/或从可拆卸介质1611被安装。在该计算机程序被中央处理单元(CPU)1601执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
本申请的另一方面还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如前所述的网络检测处理方法。该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的,也可以是单独存在,而未装配入该电子设备中。
本申请的另一方面还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各个实施例中提供的网络检测处理方法。
上述内容,仅为本申请的较佳示例性实施例,并非用于限制本申请的实施方案,本领域普通技术人员根据本申请的主要构思和精神,可以十分方便地进行相应的变通或修改,故本申请的保护范围应以权利要求书所要求的保护范围为准。
Claims (15)
1.一种网络检测处理方法,其特征在于,所述方法包括:
接收部署有探测服务的网络设备所上报的设备探测结果,所述设备探测结果用于表示所述探测服务探测到的其它网络设备的存活状态;
根据所述设备探测结果确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态,得到网络连接状态探测结果;
将所述网络连接状态探测结果与设定的网络访问控制策略进行比对,得到第一比对结果;其中,所述网络访问控制策略用于表示针对网络设备设置的网络管控策略;
根据所述第一比对结果确定所述网络访问控制策略是否失效。
2.如权利要求1所述的方法,其特征在于,部署有探测服务的网络设备的数量有多个;所述接收部署有探测服务的网络设备所上报的设备探测结果,包括:接收部署有探测服务的各个网络设备所上报的设备探测结果;
所述根据所述设备探测结果确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态,得到网络连接状态探测结果,包括:
根据部署有探测服务的各个网络设备上报的设备探测结果,确定各个网络设备之间的网络连接状态,得到网络连接状态探测结果。
3.如权利要求2所述的方法,其特征在于,在所述根据部署有探测服务的各个网络设备上报的设备探测结果,确定各个网络设备之间的网络连接状态,得到网络连接状态探测结果之后,所述方法还包括:
根据所述部署有探测服务的各个网络设备上报的设备探测结果,统计得到满足预设探测条件的统计数据,并生成日志报告。
4.如权利要求1所述的方法,其特征在于,所述根据所述设备探测结果确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态,包括:
若所述设备探测结果表示所述其它网络设备处于存活状态,则确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态为连接状态;
若所述设备探测结果表示所述其它网络设备处于非存活状态,则确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态为断开状态。
5.如权利要求1-4中任一项所述的方法,其特征在于,所述方法还包括:
接收所述部署有探测服务的网络设备所上报的端口探测结果;其中,所述端口探测结果用于表示所述探测服务探测到的处于存活状态的网络设备的端口开放状态;
根据所述端口探测结果确定所述部署有探测服务的网络设备与所述处于存活状态的网络设备之间的端口连接状态,得到端口连接状态探测结果;
将所述端口连接状态探测结果与设定的应用层访问控制策略进行比对,得到第二比对结果;其中,所述应用层访问控制策略用于表示针对网络设备的端口设置的访问管控策略;
根据所述第二比对结果确定所述应用层访问控制策略是否失效。
6.如权利要求1-4中任一项所述的方法,其特征在于,所述方法还包括:
根据接收到的第一输入操作为网络设备部署控制服务,得到部署有控制服务的网络设备;
其中,所述控制服务用于执行以下至少一种操作:
接收第二输入操作生成设备探测指令,以触发所述探测服务执行设备探测操作;
接收第三输入操作生成端口探测指令,以触发所述探测服务执行端口探测操作。
7.一种网络检测处理方法,其特征在于,所述方法包括:
接收部署有控制服务的网络设备所下发的设备探测指令,所述设备探测指令用于指示部署有探测服务的网络设备探测其它网络设备的存活状态;
根据所述设备探测指令对所述其它网络设备的存活状态进行探测,得到设备探测结果;
上报所述设备探测结果至所述部署有控制服务的网络设备,以使所述部署有控制服务的网络设备根据所述设备探测结果确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态,以根据网络连接状态探测结果确定网络访问控制策略是否失效。
8.如权利要求7所述的方法,其特征在于,所述根据所述设备探测指令对所述其它网络设备的存活状态进行探测,得到设备探测结果,包括:
根据所述设备探测指令,向所述其它网络设备发送多种通信协议的通信协议包,以对所述其它网络设备的存活状态进行探测,得到多个通信协议分别对应的设备探测结果;其中,各个所述通信协议对应的设备探测结果用于确定各个所述通信协议的网络访问控制策略是否失效。
9.如权利要求7所述的方法,其特征在于,所述其它网络设备的数量为多个;所述根据所述设备探测指令对所述其它网络设备的存活状态进行探测,得到设备探测结果,包括:
对多个所述其它网络设备进行分组,得到多个组;
根据所述设备探测指令分别对每个组中包括的其它网络设备的存活状态进行探测,得到所述设备探测结果;其中,不同组对应的探测时间段不同。
10.如权利要求7-9中任一项所述的方法,其特征在于,所述方法还包括:
接收所述部署有控制服务的网络设备所下发的端口探测指令;其中,所述端口探测指令用于指示部署有探测服务的网络设备探测处于存活状态的网络设备的端口开放状态;
根据所述端口探测指令对所述处于存活状态的网络设备的端口开放状态进行探测,得到端口探测结果;
上报所述端口探测结果至所述部署有控制服务的网络设备,以使所述部署有控制服务的网络设备根据所述端口探测结果确定所述部署有探测服务的网络设备与所述存活网络设备之间的端口连接状态,以根据端口连接状态探测结果确定应用层访问控制策略是否失效。
11.如权利要求7-9中任一项所述的方法,其特征在于,所述方法还包括:
根据接收到的第四输入操作为网络设备部署探测服务,得到部署有探测服务的网络设备;
其中,所述探测服务用于执行以下至少一种操作:
根据接收到的设备探测指令执行设备探测操作;
根据接收到的端口探测指令执行端口探测操作。
12.一种网络检测处理装置,其特征在于,所述装置包括:
第一接收模块,配置为接收部署有探测服务的网络设备所上报的设备探测结果,所述设备探测结果用于表示所述探测服务探测到的其它网络设备的存活状态;
第一确定模块,配置为根据所述设备探测结果确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态,得到网络连接状态探测结果;
比对模块,配置为将所述网络连接状态探测结果与设定的网络访问控制策略进行比对,得到第一比对结果;其中,所述网络访问控制策略用于表示针对网络设备设置的网络管控策略;
第二确定模块,配置为根据所述第一比对结果确定所述网络访问控制策略是否失效。
13.一种网络检测处理装置,其特征在于,所述装置包括:
第二接收模块,配置为接收部署有控制服务的网络设备所下发的设备探测指令,所述设备探测指令用于指示部署有探测服务的网络设备探测其它网络设备的存活状态;
探测模块,配置为根据所述设备探测指令对所述其它网络设备的存活状态进行探测,得到设备探测结果;
上报模块,配置为上报所述设备探测结果至所述部署有控制服务的网络设备,以使所述部署有控制服务的网络设备根据所述设备探测结果确定所述部署有探测服务的网络设备与所述其它网络设备之间的网络连接状态,以根据网络连接状态探测结果确定网络访问控制策略是否失效。
14.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-6中任一项所述的网络检测处理方法,或者实现如权利要求7-11中任一项所述的网络检测处理方法。
15.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述的网络检测处理方法,或者实现如权利要求7-11中任一项所述的网络检测处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110779621.4A CN115604160A (zh) | 2021-07-09 | 2021-07-09 | 网络检测处理方法及装置、电子设备、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110779621.4A CN115604160A (zh) | 2021-07-09 | 2021-07-09 | 网络检测处理方法及装置、电子设备、存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115604160A true CN115604160A (zh) | 2023-01-13 |
Family
ID=84841592
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110779621.4A Pending CN115604160A (zh) | 2021-07-09 | 2021-07-09 | 网络检测处理方法及装置、电子设备、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115604160A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116170235A (zh) * | 2023-04-24 | 2023-05-26 | 北京中安星云软件技术有限公司 | 一种数据库优化访问方法、系统、设备及介质 |
-
2021
- 2021-07-09 CN CN202110779621.4A patent/CN115604160A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116170235A (zh) * | 2023-04-24 | 2023-05-26 | 北京中安星云软件技术有限公司 | 一种数据库优化访问方法、系统、设备及介质 |
CN116170235B (zh) * | 2023-04-24 | 2023-08-25 | 北京中安星云软件技术有限公司 | 一种数据库优化访问方法、系统、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11706102B2 (en) | Dynamically deployable self configuring distributed network management system | |
US11095524B2 (en) | Component detection and management using relationships | |
US10917322B2 (en) | Network traffic tracking using encapsulation protocol | |
JP4633426B2 (ja) | 保証された分散型の障害通知を提供する方法 | |
US8094585B2 (en) | Membership management of network nodes | |
US7860016B1 (en) | Method and apparatus for configuration and analysis of network routing protocols | |
US10033602B1 (en) | Network health management using metrics from encapsulation protocol endpoints | |
CN105024855A (zh) | 分布式集群管理系统和方法 | |
CN103368827B (zh) | 基于vc++的局域网即时通讯系统和方法 | |
JP2010541441A (ja) | 分散ネットワーク内の無許可ルータを検出するためのコンピュータによって実行される方法、データ処理システム、およびコンピュータ・プログラム(ルータ検出) | |
Dunagan et al. | Fuse: Lightweight guaranteed distributed failure notification | |
CN107172230B (zh) | 基于第三方数据库实现业务节点通讯地址发现的方法 | |
CN115604160A (zh) | 网络检测处理方法及装置、电子设备、存储介质 | |
US7792045B1 (en) | Method and apparatus for configuration and analysis of internal network routing protocols | |
US11172470B1 (en) | System, security and network management using self-organizing communication orbits in distributed networks | |
US11595471B1 (en) | Method and system for electing a master in a cloud based distributed system using a serverless framework | |
CN111314427A (zh) | 一种区块链全部节点信息的获取方法、设备和存储介质 | |
WO2016091141A1 (zh) | 信息采集方法及装置 | |
CN115426258A (zh) | 信息配置方法、装置、交换机及可读存储介质 | |
US10148518B2 (en) | Method and apparatus for managing computer system | |
EP1654653B1 (en) | Active storage area network discovery system and method | |
Wang et al. | Churn-Tolerant Leader Election Protocols | |
CN113010337B (zh) | 故障检测方法、总控节点、工作节点及分布式系统 | |
CN117675899A (zh) | 代理服务系统、消息转发方法、电子设备和存储介质 | |
CN117914738A (zh) | 网关管理方法及装置、电子设备、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40079487 Country of ref document: HK |