全流量存储回溯分析系统中NAT规则优化配置方法技术方案

本发明专利技术属于全流量存储回溯分析系统的优化配置方法技术领域，具体涉及一种全流量存储回溯分析系统中NAT规则优化配置方法，包括如下步骤：建立基于(ip，port)的映射规则；worker线程对内网口流量进行处理；worker线程对外网口流量进行处理；在未确定sessionA和sessionB的NAT映射关系前，构建NAT映射表；根据NAT映射表，识别sessionA和sessionB的NAT映射关系；流量分析与存储流程。本发明专利技术基于内网口和外网口同时进行全流量存储的具有NAT规则配置的场景，优化设计流量分析与存储，使用户可以清晰获得NAT规则，同时大幅提升整体性能。同时大幅提升整体性能。同时大幅提升整体性能。

【技术实现步骤摘要】
全流量存储回溯分析系统中NAT规则优化配置方法


[0001]本专利技术属于全流量存储回溯分析系统的优化配置方法
，具体涉及一种全流量存储回溯分析系统中NAT规则优化配置方法。

技术介绍

[0002]对于安全厂商而言，全流量存储回溯分析系统是具有数据包采集、协议解码与分析、流量统计、故障诊断与性能管理等多种功能为一体的网络分析产品，能够提供高精度网络诊断分析，多层次展现网络通讯全景，有效地帮助网络管理者梳理网络应用。
[0003]当环境为办公网、生产网、政务内外网和数据中心时，通常设计为将全流量存储回溯分析设备以对流量镜像或分光的方式旁路部署在需监测网络流量的出入口。以图1为例，则是部署在内网出口与防火墙之间，从而采集上行和下行的流量。
[0004]不过以图2的网络流量的出入口部署具有NAT功能的网关设备为例，假设按图1的方式仅部署一台全流量回溯系统A(部署在内网出入口与设备之间)，但是如果网关设备出现异常丢包，那么就会出现全流量回溯系统无法捕捉到防火墙—>外网，以及外网—>防火墙之间的丢弃的报文。而对于客户而言，解决这个问题需要在防火墙与外网口之间再部署一台全流量回溯系统B，那么一共需要两台全流量回溯系统，相对而言対客户而言开销巨大。
[0005]而通用的全流量存储系统如果监督内网口和外网口，由于同一流量分别通过内网口和外网口，也就是一个会话的报文均存在两份，如果仅是存储功能则仅仅是将存储功能做了两份，但是现在的流量存储系统都包含流量识别功能，而流量分析识别是基于会话的，这种场景就需要同一会话的两个方向的报文均为两份，这种特殊场景通用的流量存储回溯系统是不支持的，再或者就是将其分为两个会话分别识别(内网口的上下行流量一个会话，外网口的上下行一个会话)，相当于同一流量分析两次。
[0006]另外，对于涉及到NAT设备，如果使用图3部署，由于大多数情况下用户均配置了NAT规则，这使得内网口与外网口的流量不同，这使得在发生丢包现象或者流量异常时，全流量存储回溯设备需要给出流量的NAT规则关系图，而这一功能绝大多数厂商均不支持，需要用户手动分析内网口镜像流量和外网口口镜像流量，手动分析NAT规则图。

技术实现思路

[0007]为了解决上述技术问题，本专利技术提供一种全流量存储回溯分析系统中NAT规则优化配置方法，基于内网口和外网口同时进行全流量存储的具有NAT规则配置的场景，优化设计流量分析与存储，使用户可以清晰获得NAT规则，同时大幅提升整体性能。
[0008]本专利技术是这样实现的，提供一种全流量存储回溯分析系统中NAT规则优化配置方法，基于同一会话的内网口流量和外网口流量的NAT规则进行优化配置，具体包括如下步骤：
[0009]1)建立基于(ip，port)的映射规则：
[0010]内网口流量根据对应情况下的(ip，port)确定worker线程序号，外网口流量根据对应情况下的(ip，port)确定worker线程序号，建立(ip，port)与worker线程的对应关系，并配置到内网口和外网口的网卡中，确保同一会话的内网口流量和外网口流量被同一个worker线程处理；
[0011]2)worker线程对内网口流量进行处理：
[0012]worker线程收到内网口流量时，对内网口流量构建sessionA，sessionA的键值key为报文五元组；
[0013]3)worker线程对外网口流量进行处理：
[0014]worker线程收到外网口流量时，对外网口流量构建sessionB，sessionB的键值key为报文五元组；
[0015]4)在未确定sessionA和sessionB的NAT映射关系前，构建NAT映射表，NAT映射表设计为(key，value)，其中key为(ip，port)，value为两个地址链表，分别为sessionA地址链表和sessionB地址链表；根据步骤1)的配置，所有以key为基础的会话都被分配到同一worker线程；
[0016]5)根据NAT映射表，识别sessionA和sessionB的NAT映射关系：
[0017]501)当worker线程收到内网口流量时：
[0018]5011)如果是新建会话，则构建sessionAx，如果查找到该会话，但经过多个报文后，仍未识别出NAT映射会话对应的sessionB，在这两种情况下，则将sessionAx的内容与NAT映射表中sessionB的所有链表地址进行匹配；
[0019]5012)如果成功查找到sessionBy，则对sessionAx与sessionBy做如下操作：
[0020]将sessionBy的地址记录到sessionAx的NAT映射会话地址中；
[0021]将sessionAx的地址记录到sessionBy的NAT映射会话地址中；
[0022]从NAT映射表中的sessionB的地址链表中删除sessionBy的地址；
[0023]记录NAT映射关系(sip，transip)；
[0024]5013)如果查找失败，则将sessionA的地址挂入到NAT映射表中的sessionA的地址链表中；
[0025]502)当worker线程收到外网口流量时：
[0026]5021)如果是新建会话，则构建sessionBx，如果查找到该会话，但经过多个报文后，仍未识别出NAT映射会话对应的sessionA，在这两种情况下，则将sessionBx的内容与NAT映射表中sessionA的所有链表地址进行匹配；
[0027]5022)如果成功查找到sessionAy，则对sessionBx与sessionAy做如下操作：
[0028]将sessionAy的地址记录到sessionBx的NAT映射会话地址中；
[0029]将sessionBx的地址记录到sessionAy的NAT映射会话地址中；
[0030]从NAT映射表中的sessionA的地址链表中删除sessionAy的地址；
[0031]记录NAT映射关系(sip，transip)；
[0032]5023)如果查找失败，则将sessionBx的地址挂入到NAT映射表中的sessionB的地址链表中；
[0033]6)流量分析与存储流程：
[0034]601)对外网口流量进行流量分析，设计为完整存储：
[0035]602)对内网口流量进行增量处理，对比外网口流量进行增量存储。
[0036]优选地：
[0037]如果是sNAT，则所述步骤1)中，是建立基于服务端的(ip，port)的映射规则：内网口流量根据(dip，dport)确定worker线程序号，外网口流量根据(sip，sport)确定worker线程序号，建立服务端的(ip，port)与worker线程的对应关系；
[0038]如果是dNAT，则所述步骤本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.全流量存储回溯分析系统中NAT规则优化配置方法，其特征在于，基于同一会话的内网口流量和外网口流量的NAT规则进行优化配置，具体包括如下步骤：1)建立基于(ip，port)的映射规则：内网口流量根据对应情况下的(ip，port)确定worker线程序号，外网口流量根据对应情况下的(ip，port)确定worker线程序号，建立(ip，port)与worker线程的对应关系，并配置到内网口和外网口的网卡中，确保同一会话的内网口流量和外网口流量被同一个worker线程处理；2)worker线程对内网口流量进行处理：worker线程收到内网口流量时，对内网口流量构建sessionA，sessionA的键值key为报文五元组；3)worker线程对外网口流量进行处理：worker线程收到外网口流量时，对外网口流量构建sessionB，sessionB的键值key为报文五元组；4)在未确定sessionA和sessionB的NAT映射关系前，构建NAT映射表，NAT映射表设计为(key，value)，其中key为(ip，port)，value为两个地址链表，分别为sessionA地址链表和sessionB地址链表；根据步骤1)的配置，所有以key为基础的会话都被分配到同一worker线程；5)根据NAT映射表，识别sessionA和sessionB的NAT映射关系：501)当worker线程收到内网口流量时：5011)如果是新建会话，则构建sessionAx，如果查找到该会话，但经过多个报文后，仍未识别出NAT映射会话对应的sessionB，在这两种情况下，则将sessionAx的内容与NAT映射表中sessionB的所有链表地址进行匹配；5012)如果成功查找到sessionBy，则对sessionAx与sessionBy做如下操作：将sessionBy的地址记录到sessionAx的NAT映射会话地址中；将sessionAx的地址记录到sessionBy的NAT映射会话地址中；从NAT映射表中的sessionB的地址链表中删除sessionBy的地址；记录NAT映射关系(sip，transip)；5013)如果查找失败，则将sessionAx的地址挂入到NAT映射表中的sessionA的地址链表中；502)当worker线程收到外网口流量时：5021)如果是新建会话，则构建sessionBx，如果查找到该会话，但经过多个报文后，仍未识别出NAT映射会话对应的sessionA，在这两种情况下，则将sessionBx的内容与NAT映射表中sessionA的所有链表地址进行匹配；5022)如果成功查找到sessionAy，则对sessionBx与sessionAy做如下操作：将sessionAy的地址记录到sessionBx的NAT映射会话地址中；将sessionBx的地址记录到sessionAy的NAT映射会话地址中；从NAT映射表中的sessionA的地址链表中删除sessionAy的地址；记录NAT映射关系(sip，transip)；5023)如果查找失败，则将sessionBx的地址...

【专利技术属性】
技术研发人员：曲武，
申请(专利权)人：金睛云华沈阳科技有限公司，
类型：发明
国别省市：