防火墙隐性NAT故障判断的方法及装置制造方法及图纸

本发明专利技术公开一种防火墙隐性NAT故障判断的方法及装置，能够实现防火墙隐性NAT故障的判断。该方法包括：S10、周期性统计防火墙设备的TCP会话数量和UDP会话数量，并计算当前周期统计的TCP会话数量和UDP会话数量的比值；S11、根据所述比值确定所述防火墙设备是否存在隐性NAT故障。

Method and device for judgment of hidden NAT fault in firewall

The invention discloses a method and a device for judging the hidden NAT fault of a firewall, so as to realize the judgment of the hidden NAT fault of the firewall. The method includes: the number of TCP sessions and the number of UDP sessions of S10, periodic statistical firewall devices, and the ratio of the number of TCP sessions and the number of UDP sessions in the current cycle statistics; S11, determines whether the firewall device has a hidden NAT failure according to the ratio.

【技术实现步骤摘要】
防火墙隐性NAT故障判断的方法及装置
本专利技术涉及移动通信技术核心网领域，具体涉及一种防火墙隐性NAT故障判断的方法及装置。
技术介绍
在移动通信核心网领域或者其他防火墙NAT(NetworkAddressTranslation，网络地址转换)应用的领域，由于NAT功能的应用，使得少量的公有IP地址代表较多的私有IP地址，有助于减缓可用的IP地址空间的枯竭。而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的终端(或计算机)。NAT的基本流程图如图1所示。由于NAT功能的应用，使得不可避免的存在一些NAT转换问题导致系统资源不足的问题，从而引起防火墙故障，造成业务的不可用。而目前对防火墙的监控主要是对端口告警的监控，一些领域也引入了对Session(会话)数量的监控。现有对防火墙NAT功能的监控还停留在对session数量的监控，判定其是否超出门限、是否激增等。但由于转换错误、网络攻击或者系统错误等原因，可能导致防火器会话数量缓慢变化并触发设备故障。目前缺少挖掘该类故障判断的方法及装置。
技术实现思路
有鉴于此，本专利技术提供一种防火墙隐性NAT故障判断的方法及装置，能够实现防火墙隐性NAT故障的判断。一方面，本专利技术实施例提出一种防火墙隐性NAT故障判断的方法，包括：S10、周期性统计防火墙设备的TCP会话数量和UDP会话数量，并计算当前周期统计的TCP会话数量和UDP会话数量的比值；S11、根据所述比值确定所述防火墙设备是否存在隐性NAT故障。另一方面，本专利技术实施例提出一种防火墙隐性NAT故障判断的方法，包括：S20、周期性统计防火墙设备的half-open会话数量和half-close会话数量；S21、根据所述half-open会话数量和half-close会话数量确定所述防火墙设备是否存在隐性NAT故障。另一方面，本专利技术实施例提出一种防火墙隐性NAT故障判断的装置，包括：第一统计单元，用于周期性统计防火墙设备的TCP会话数量和UDP会话数量，并计算当前周期统计的TCP会话数量和UDP会话数量的比值；第一确定单元，用于根据所述比值确定所述防火墙设备是否存在隐性NAT故障。另一方面，本专利技术实施例提出一种防火墙隐性NAT故障判断的装置，包括：第二统计单元，用于周期性统计防火墙设备的half-open会话数量和half-close会话数量；第二确定单元，用于根据所述half-open会话数量和half-close会话数量确定所述防火墙设备是否存在隐性NAT故障。在防火墙的NAT会话中，最主要的会话是TCP和UDP会话，这两种会话的数量和业务量紧密相关，同时也和TCP和UDP的老化时间相关，但在应用中，TCP和UDP的老化时间通常保持不变(紧急情况可能调整)。所以一般情况下业务量基本决定了TCP和UDP会话的数量。在TCP的会话类型里面，除了currentTCPsession外，还存在half-open(半开)和half-close(半关闭)两种会话。由于网络攻击(比如syn攻击)或者系统BUG等，可能造成half-open会话的增加。由于系统BUG(比如FIN_WAIT状态老化时间过长连接)等，可能造成half-close会话的增加。在一定规模的业务量下，短时间内会话模型基本保持不变，即TCP和UDP会话的占比会处于一定的比例，所以可以通过对TCP会话和UDP会话占比的分析来判断设备的运行状态。而对于具备查看half-open和half-close的设备，则可以通过分析这两种会话的波动情况来判断设备状态。本专利技术具有如下有益效果：一方面，基于当存在一定业务量时，TCP和UDP会话占比会基本保持一定的比例，而当出现系统BUG、网络攻击等会造成TCP和UDP会话占比的波动的规律，可以通过统计分析的方法对TCP和UDP会话的占比进行分析，能够实现防火墙隐性NAT故障的判断；另一方面，基于当出现系统BUG、网络攻击等会造成half-open会话或者half-close会话激增的规律，对于具备查看half-open和half-close的防火墙设备，可以通过分析half-open会话、half-close会话的波动情况，能够实现防火墙隐性NAT故障的判断。附图说明图1为NAT的基本流程示意图；图2为本专利技术防火墙隐性NAT故障判断的方法一实施例的流程示意图；图3为本专利技术防火墙隐性NAT故障判断的方法另一实施例的流程示意图；图4为本专利技术防火墙隐性NAT故障判断的装置一实施例的结构示意图；图5为本专利技术防火墙隐性NAT故障判断的装置另一实施例的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。参看图2，本实施例公开一种防火墙隐性NAT故障判断的方法，包括：S10、周期性统计防火墙设备的TCP会话数量和UDP会话数量，并计算当前周期统计的TCP会话数量和UDP会话数量的比值；需要说明的是，可以通过第三方服务器统计防火墙设备的TCP会话数量和UDP会话数量。S11、根据所述比值确定所述防火墙设备是否存在隐性NAT故障。本实施例中，在进行防火墙设备是否存在隐性NAT故障的判断时，可以通过判断当前周期统计的TCP会话数量和UDP会话数量的比值相比前一周期统计的TCP会话数量和UDP会话数量的比值增加的比率是否不小于第一阈值、所述比值相比当前周期之前预设时间段内各个周期统计的TCP会话数量和UDP会话数量的比值的均值增加的比率是否不小于第二阈值，以及所述比值相比其它至少一台同型号同配置的防火墙设备当前周期统计的TCP会话数量和UDP会话数量的比值的统计值增加的比率是否不小于第三阈值实现，当所述比值相比前一周期统计的TCP会话数量和UDP会话数量的比值增加的比率不小于第一阈值、所述比值相比当前周期之前预设时间段内各个周期统计的TCP会话数量和UDP会话数量的比值的均值增加的比率不小于第二阈值或者所述比值相比其它至少一台同型号同配置的防火墙设备当前周期统计的TCP会话数量和UDP会话数量的比值的统计值增加的比率不小于第三阈值时，确定所述防火墙设备存在隐性NAT故障。需要说明的是，所述预设时间段可以为一个星期，五天等，具体可以根据需要设置，此处不再赘述。所述统计值可以根据需要设置，一般为平均值、方差。所述第一阈值、第二阈值和第三阈值具体可以通过实验获取，一般取值为30％-60％。此外，当确定出防火墙设备存在隐性NAT故障时，还可以进行预警，以提醒用户进行设备故障的处理，从而避免业务的影响。本专利技术实施例提供的防火墙隐性NAT故障判断的方法，基于当存在一定业务量时，TCP和UDP会话占比会基本保持一定的比例，而当出现系统BUG、网络攻击等会造成TCP和UDP会话占比的波动的规律，可以通过统计分析的方法对TCP和UDP会话的占比进行分析，能够实现防火墙隐性NAT故障的判断。参看图3，本实施例公开一种防火墙隐性NAT故障判断的方法，包括：S20、周期性统计防火墙设备的本文档来自技高网...

【技术保护点】
一种防火墙隐性NAT故障判断的方法，其特征在于，包括：S10、周期性统计防火墙设备的TCP会话数量和UDP会话数量，并计算当前周期统计的TCP会话数量和UDP会话数量的比值；S11、根据所述比值确定所述防火墙设备是否存在隐性NAT故障。

【技术特征摘要】
1.一种防火墙隐性NAT故障判断的方法，其特征在于，包括：S10、周期性统计防火墙设备的TCP会话数量和UDP会话数量，并计算当前周期统计的TCP会话数量和UDP会话数量的比值；S11、根据所述比值确定所述防火墙设备是否存在隐性NAT故障。2.根据权利要求1所述的方法，其特征在于，所述S11，包括：根据所述比值判断所述防火墙设备是否满足如下条件中的一个条件，若满足，则确定所述防火墙设备存在隐性NAT故障；其中，所述条件包括：所述比值相比前一周期统计的TCP会话数量和UDP会话数量的比值增加的比率不小于第一阈值；和所述比值相比当前周期之前预设时间段内各个周期统计的TCP会话数量和UDP会话数量的比值的均值增加的比率不小于第二阈值；和所述比值相比其它至少一台同型号同配置的防火墙设备当前周期统计的TCP会话数量和UDP会话数量的比值的统计值增加的比率不小于第三阈值。3.一种防火墙隐性NAT故障判断的方法，其特征在于，包括：S20、周期性统计防火墙设备的half-open会话数量和half-close会话数量；S21、根据所述half-open会话数量和half-close会话数量确定所述防火墙设备是否存在隐性NAT故障。4.根据权利要求3所述的方法，其特征在于，所述S21，包括：根据所述half-open会话数量和half-close会话数量判断所述防火墙设备是否满足如下条件中的一个条件，若满足，则确定所述防火墙设备存在隐性NAT故障；其中，所述条件包括：所述half-open会话数量相比前一周期统计的half-open会话数量增加的比率不小于第四阈值；和所述half-close会话数量相比前一周期统计的half-close会话数量增加的比率不小于第五阈值；和所述half-open会话数量相比当前周期之前预设时间段内各个周期统计的half-open会话数量的均值增加的比率不小于第六阈值；和所述half-close会话数量相比当前周期之前预设时间段内各个周期统计的half-close会话数量的均值增加的比率不小于第七阈值；和所述half-open会话数量相比其它至少一台同型号同配置的防火墙设备当前周期统计的half-open会话数量的统计值增加的比率不小于第八阈值；和所述half-close会话数量相比其它至少一台同型号同配置的防火墙设备当前周期统计的half-close会话数量的统计值增加的比率不小于第九阈值。5.一种防火墙隐性NAT故障判...

【专利技术属性】
技术研发人员：王业亮，
申请(专利权)人：中国移动通信集团公司，中国移动通信集团湖南有限公司，
类型：发明
国别省市：北京,11