The invention discloses a method and a device for judging the hidden NAT fault of a firewall, so as to realize the judgment of the hidden NAT fault of the firewall. The method includes: the number of TCP sessions and the number of UDP sessions of S10, periodic statistical firewall devices, and the ratio of the number of TCP sessions and the number of UDP sessions in the current cycle statistics; S11, determines whether the firewall device has a hidden NAT failure according to the ratio.
【技术实现步骤摘要】
防火墙隐性NAT故障判断的方法及装置
本专利技术涉及移动通信技术核心网领域,具体涉及一种防火墙隐性NAT故障判断的方法及装置。
技术介绍
在移动通信核心网领域或者其他防火墙NAT(NetworkAddressTranslation,网络地址转换)应用的领域,由于NAT功能的应用,使得少量的公有IP地址代表较多的私有IP地址,有助于减缓可用的IP地址空间的枯竭。而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的终端(或计算机)。NAT的基本流程图如图1所示。由于NAT功能的应用,使得不可避免的存在一些NAT转换问题导致系统资源不足的问题,从而引起防火墙故障,造成业务的不可用。而目前对防火墙的监控主要是对端口告警的监控,一些领域也引入了对Session(会话)数量的监控。现有对防火墙NAT功能的监控还停留在对session数量的监控,判定其是否超出门限、是否激增等。但由于转换错误、网络攻击或者系统错误等原因,可能导致防火器会话数量缓慢变化并触发设备故障。目前缺少挖掘该类故障判断的方法及装置。
技术实现思路
有鉴于此,本专利技术提供一种防火墙隐性NAT故障判断的方法及装置,能够实现防火墙隐性NAT故障的判断。一方面,本专利技术实施例提出一种防火墙隐性NAT故障判断的方法,包括:S10、周期性统计防火墙设备的TCP会话数量和UDP会话数量,并计算当前周期统计的TCP会话数量和UDP会话数量的比值;S11、根据所述比值确定所述防火墙设备是否存在隐性NAT故障。另一方面,本专利技术实施例提出一种防火墙隐性NAT故障判断的方法,包括:S20、周期性统计防火墙设备的 ...
【技术保护点】
一种防火墙隐性NAT故障判断的方法,其特征在于,包括:S10、周期性统计防火墙设备的TCP会话数量和UDP会话数量,并计算当前周期统计的TCP会话数量和UDP会话数量的比值;S11、根据所述比值确定所述防火墙设备是否存在隐性NAT故障。
【技术特征摘要】
1.一种防火墙隐性NAT故障判断的方法,其特征在于,包括:S10、周期性统计防火墙设备的TCP会话数量和UDP会话数量,并计算当前周期统计的TCP会话数量和UDP会话数量的比值;S11、根据所述比值确定所述防火墙设备是否存在隐性NAT故障。2.根据权利要求1所述的方法,其特征在于,所述S11,包括:根据所述比值判断所述防火墙设备是否满足如下条件中的一个条件,若满足,则确定所述防火墙设备存在隐性NAT故障;其中,所述条件包括:所述比值相比前一周期统计的TCP会话数量和UDP会话数量的比值增加的比率不小于第一阈值;和所述比值相比当前周期之前预设时间段内各个周期统计的TCP会话数量和UDP会话数量的比值的均值增加的比率不小于第二阈值;和所述比值相比其它至少一台同型号同配置的防火墙设备当前周期统计的TCP会话数量和UDP会话数量的比值的统计值增加的比率不小于第三阈值。3.一种防火墙隐性NAT故障判断的方法,其特征在于,包括:S20、周期性统计防火墙设备的half-open会话数量和half-close会话数量;S21、根据所述half-open会话数量和half-close会话数量确定所述防火墙设备是否存在隐性NAT故障。4.根据权利要求3所述的方法,其特征在于,所述S21,包括:根据所述half-open会话数量和half-close会话数量判断所述防火墙设备是否满足如下条件中的一个条件,若满足,则确定所述防火墙设备存在隐性NAT故障;其中,所述条件包括:所述half-open会话数量相比前一周期统计的half-open会话数量增加的比率不小于第四阈值;和所述half-close会话数量相比前一周期统计的half-close会话数量增加的比率不小于第五阈值;和所述half-open会话数量相比当前周期之前预设时间段内各个周期统计的half-open会话数量的均值增加的比率不小于第六阈值;和所述half-close会话数量相比当前周期之前预设时间段内各个周期统计的half-close会话数量的均值增加的比率不小于第七阈值;和所述half-open会话数量相比其它至少一台同型号同配置的防火墙设备当前周期统计的half-open会话数量的统计值增加的比率不小于第八阈值;和所述half-close会话数量相比其它至少一台同型号同配置的防火墙设备当前周期统计的half-close会话数量的统计值增加的比率不小于第九阈值。5.一种防火墙隐性NAT故障判...
【专利技术属性】
技术研发人员:王业亮,
申请(专利权)人:中国移动通信集团公司,中国移动通信集团湖南有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。