本发明专利技术涉及一种网络设备基线配置检查与修复的方法和系统,所述方法包括以下步骤:获取网络设备配置备份文件;将配置备份文件拆分成元数据;将元数据纳入相匹配的网络设备基线配置检查模型并进行分析,输出网络设备配置待修复的检查结果;采用网络设备基线配置修复脚本对待修复的检查结果进行自动化修复处理。该技术方案解决了大中型网络的网络设备基线配置不合规项难于发现和难于修复的问题,实现了及时高效地管理网络设备基线配置,极大地降低了网络维护人员的工作量,提高了网络系统对的可靠性、稳定性和安全性。稳定性和安全性。稳定性和安全性。
【技术实现步骤摘要】
一种网络设备基线配置检查与修复的方法和系统
[0001]本专利技术涉及网络设备安全检测
,尤其涉及一种网络设备基线配置检查与修复的方法和系统。
技术介绍
[0002]随着网络规模的不断扩展,网络领域的新技术不断涌现,网络设备数量越来越多,网络设备品牌、型号等也越来越杂,由此导致网络设备的配置日益复杂,极易出现基本参数(即配置基线)错配或漏配的情况,从而降低了网络系统的可靠性、稳定性和安全性。目前网络设备基线配置与修复通常采用人工检查和手工修复模式的方式,其不仅工作量巨大,而且效率低,容易出现检查漏项,无法确保严格执行网络配置安全设置要求;由于人工检查方式工作量大,容易导致管理员梳于检查,对网络设备安全现况缺乏了解,降低了网络安全防护能力,且手工修复模式也无法高效地对不合规设备进行修复。因此,如何确定网络设备基线配置的合规性,对不合规的设备如何简单快捷地进行修复一直是大中型网络管理的难题。目前迫切需要一种有效的手段,能够自动化的识别网络设备基线配置的合规性以及对不符合基线配置规范的设备进行自动化修复,确保对网络系统的安全稳定运行。
技术实现思路
[0003]为解决现有技术的不足,本专利技术提出一种网络设备基线配置检查与修复的方法和系统,为实现以上目的,本专利技术所采用的技术方案包括:
[0004]一种网络设备基线配置检查与修复的方法,其特征在于,包括以下步骤:
[0005]获取网络设备配置备份文件;
[0006]将配置备份文件拆分成元数据;
[0007]将元数据纳入相匹配的网络设备基线配置检查模型并进行分析,输出网络设备配置待修复的检查结果;
[0008]采用网络设备基线配置修复脚本对待修复的检查结果进行自动化修复处理。
[0009]进一步地,所述基线配置检查模型通过以下子步骤建立:
[0010]根据网络系统中所有网络设备的基础信息分析所对应的标准配置信息,并根据所述标准配置信息确定网络设备配置安全合规的检查指标;
[0011]根据所述检查指标确定网络设备的基线配置标准;
[0012]根据所述基线配置标准,建立并录入基线配置检查模型。
[0013]进一步地,所述获取网络设备配置备份文件通过从网络设备处定时获取网络设备基础信息及实际配置信息生成。
[0014]进一步地,所述配置备份文件根据管理地址和备份命令进行文件命名。
[0015]进一步地,所述基线配置修复脚本包括根据所述基线配置标准编辑并录入。
[0016]进一步地,所述采用网络设备基线配置修复脚本对待修复的检查结果进行自动化修复处理包括以下子步骤:
和“该”也可包括复数形式。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
[0036]为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
[0037]下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
[0038]实施例一
[0039]如图1所示为本专利技术实施例提供的网络设备基线配置检查与修复的方法流程示意图,包括以下步骤:
[0040]步骤101、获取网络设备配置备份文件;
[0041]优选地,所述获取网络设备配置备份文件通过从网络设备处定时获取网络设备基础信息及实际配置信息生成;
[0042]优选地,所述配置备份文件根据管理地址和备份命令进行文件命名;
[0043]步骤102、将所述配置备份文件拆分成元数据;
[0044]步骤103、将所述元数据自动纳入相匹配的网络设备基线配置检查模型并进行分析,输出网络设备配置待修复的检查结果;
[0045]优选地,所述基线配置检查模型对所述元数据进行检索分析,确定所述元数据是否符合所述基线配置标准,若否,则为待修复状态,并输出所述待修复的检查结果;
[0046]步骤104、采用网络设备基线配置修复脚本对所述待修复的检查结果进行自动化修复处理。
[0047]优选地,所述基线配置修复脚本包括根据所述基线配置标准编辑并录入。
[0048]如图2所示为本专利技术实施例提供的网络设备基线配置检查模型的建立方法流程示意图,所述基线配置检查模型通过以下子步骤建立:
[0049]步骤1031、根据网络系统中所有网络设备的基础信息分析所对应的标准配置信息,并根据所述标准配置信息确定网络设备配置安全合规的检查指标;
[0050]步骤1032、根据所述检查指标确定网络设备的基线配置标准;
[0051]优选的,以思科普通交换机和路由器为例,设置如表1所示的安全合规检查指标及针对每个检查指标设置如表1所示的基线配置标准;
[0052]步骤1033、根据所述基线配置标准,建立并录入基线配置检查模型。
[0053]优选地,分析网络系统中包含的所有网络设备的厂商信息,包括思科、F5、华为、华三、锐捷、山石、信安世纪等,待检查网络设备识别方法为“设备厂商”字段为“思科”或“Cisco”(识别时大写和小写都要覆盖)+“设备名称”字段为“路由器”和“交换机”(不包含N7K和N5K的普通交换机和路由器)。
[0054]针对每个厂商的特点设置待检查的网络设备的类别,如思科的网络设备设置检查数据中心级交换机、防火墙、普通交换机和路由器,华为的网络设备设置检查防火墙、CE系列交换机、S系列交换机、NE系列路由器、AR系列路由器,华三和锐捷的网络设备设置检查路
由器和交换机,F5、山石和信安世纪的网络设备只检查单一产品类别。
[0055]针对每个网络设备的特点设置配置安全合规检查指标,如思科数据中心级交换机的安全合规检查指标包括“本地用户名和密码配置”、“时钟配置”、“NTP配置”、“开启与关闭的feature功能”、“限制登录配置”、“SNMP配置”、“日志服务器配置”等方面,思科防火墙的安全合规检查指标包括“NTP配置”、“默认用户密码修改”、“限制登录配置”、“登录超时时间”、“SNMP配置”、“log配置”、“关闭http”等方面,思科普通交换机和路由器的安全合规检查指标包括“LOG配置”、“时区配置”、“NTP配置”、“关闭TELNET”、“SNMP配置”、“VTY配置”、“VTY ACL配置”、“关闭默认服务”、“console配置”等方面;华为防火墙的安全合规检查指标包括“NTP服务器配置”、“限制登录配置”、“Console配置”、“SSH配置”、“SNMP配置”、“log配置”、“关闭http和telnet”、“关闭特征库更新”等本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络设备基线配置检查与修复的方法,其特征在于,包括以下步骤:获取网络设备配置备份文件;将配置备份文件拆分成元数据;将元数据纳入相匹配的网络设备基线配置检查模型并进行分析,输出网络设备配置待修复的检查结果;采用网络设备基线配置修复脚本对待修复的检查结果进行自动化修复处理。2.如权利要求1所述的方法,其特征在于,所述基线配置检查模型通过以下子步骤建立:根据网络系统中所有网络设备的基础信息分析所对应的标准配置信息,并根据所述标准配置信息确定网络设备配置安全合规的检查指标;根据所述检查指标确定网络设备的基线配置标准;根据所述基线配置标准,建立并录入基线配置检查模型。3.如权利要求1所述的方法,其特征在于,所述获取网络设备配置备份文件通过从网络设备处定时获取网络设备基础信息及实际配置信息生成。4.如权利要求3所述的方法,其特征在于,所述配置备份文件根据管理地址和备份命令进行文件命名。5.如权利要求2所述的方法,其特征在于,所述基线配置修复脚本包括根据所述基线配置标准编辑并录入。6.如权利要求1至5任一项所述的方法,其特征在于,所述采用网络设备基线配置修复脚本对待修复的检查结果进行自动化修复处理包括以下子步骤:结合所述待修复的检查结果和相匹配的所述基线配置...
【专利技术属性】
技术研发人员:高阳,刘明,李妍,
申请(专利权)人:中信银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。