本申请提供一种基于防火墙配置的网络连通性分析系统及其分析方法,包括获取模块、知识库、解析模块、访问路径分析模块、访问规则检查模块以及网络连通性检查模块;其中,所述获取模块用于获取防火墙的配置信息;所述解析模块用于将获取模块获取到的防火墙配置信息根据知识库进行解析,所述防火墙配置信息包括路由配置、接口配置和放行规则;所述访问路径分析模块用于检查业务访问的源端到目的端是否有可达访问路径;访问规则检查用于检查可达访问路径上的防火墙是否存在放行规则;所述网络连通性检查模块用于根据访问路径分析模块和访问规则检查模块的检查结果,对目的网络的网络连通性进行判断。本申请能够快速分析定位网络连通故障问题。络连通故障问题。络连通故障问题。
【技术实现步骤摘要】
一种基于防火墙配置的网络连通性分析系统及分析方法
[0001]本申请涉及信息安全
,尤其涉及一种基于防火墙配置的网络连通性分析系统及分析方法。
技术介绍
[0002]随着防火墙(泛指能够基于五元组策略进行访问控制的防火墙、路由器等设备)的广泛部署,访问控制规则作为此类设备的关键配置,也成为影响网络连通性的因素之一,如果设置了错误的访问控制规则配置,网络则无法连通,就会阻断正常的业务访问,甚至引起重大安全事故。
[0003]目前对防火墙访问控制规则的研究和应用主要集中在访问控制规则本身存在的问题上,例如访问控制规则存在的冗余、冲突、宽松等问题,而现有技术中缺少从访问控制规则对网络连通性影响的角度进行的研究,特别是从访问路径上多台防火墙访问控制规则的一致性方向进行研究。例如,申请号为CN201410557892.5、CN201610571681.6、CN201210583968.2的专利申请,都是围绕单个防火墙访问控制规则存在的问题提出分析优化方法,或者类似申请号为CN201410773170.3的专利申请,虽然提出冲突策略的分析方法,但也仅针对单个设备自身的冲突策略进行分析。因此,需要一种对访问路径上多台防火墙访问控制规则的一致性进行分析的方案。
技术实现思路
[0004]为了解决问题,本申请提供一种基于防火墙配置的网络连通性分析系统,其特征在于,包括获取模块、知识库、解析模块、访问路径分析模块、访问规则检查模块以及网络连通性检查模块;其中,所述获取模块用于获取防火墙的配置信息;所述解析模块用于将获取模块获取到的防火墙配置信息根据知识库进行解析,所述防火墙配置信息包括路由配置、接口配置和放行规则;所述访问路径分析模块用于检查业务访问的源端到目的端是否有可达访问路径;访问规则检查用于检查可达访问路径上的防火墙是否存在放行规则;所述网络连通性检查模块用于根据访问路径分析模块和访问规则检查模块的检查结果,对目的网络的网络连通性进行判断。
[0005]本申请还提供一种使用如上述的基于防火墙配置的网络连通性分析系统的分析方法,其步骤包括:
[0006]S1,获取目标网络中全部防火墙的配置信息;其中,所述配置信息包括路由配置、接口配置和放行规则;
[0007]S2,基于知识库将获取到的防火墙配置信息解析成统一的配置格式;
[0008]S3,对于给定的业务访问,分析所述业务访问的源端到目的端的访问路径,当至少存在一条访问路径使所述业务访问的源端到目的端可达时,将所述可达路径设置为所述业务访问的源端到目的端的可达访问路径,并记录可达访问路径上经过的防火墙;
[0009]S4,根据防火墙的配置信息,查询源端到目的端的可达访问路径上的防火墙是否
存在放行规则,当至少有一条可达访问路径上的所有防火墙都存在放行规则时,所述源端到目的端为网络连通状态。
[0010]其中,在步骤S1中,配置获取的方式为:SSH登录到防火墙后台,利用防火墙后台提供的配置读取命令,同步防火墙的配置信息。
[0011]其中,在步骤S3中,分析所述业务访问的源端到目的端的访问路径的方法包括:
[0012]步骤S31,遍历目标网络中每台防火墙的配置信息,获得接口配置,根据接口的网络地址,找到能够与业务访问的源端的IP地址所匹配的防火墙A;
[0013]步骤S32,根据业务访问的目的端的IP地址,查找防火墙A的路由配置,找到可达目的端的路由;
[0014]步骤S33,根据可达目的端的路由,获得防火墙A的下一跳防火墙B的接口地址,若下一跳防火墙B的接口地址与目的端IP地址能够匹配,则得到业务访问的可达访问路径为依次通过A和B;
[0015]若下一跳防火墙B的接口地址与目的端不匹配,循环本步骤,直到获得接口地址与目的端能够匹配的防火墙,得到业务访问的可达访问路径。
[0016]其中,在步骤S3中,当防火墙为透明桥模式时,需先手动配置与其他防火墙的连接关系。
[0017]其中,在步骤S4中,当所有可达访问路径上的所有防火墙都不同时存在放行规则时,记录所有没有放行规则的防火墙。
[0018]其中,在步骤S31中,根据网络接口的子网掩码找到与业务访问的源端 IP地址所匹配的防火墙。
[0019]本申请实现的有益效果如下:
[0020]本申请在对新防火墙上线前的路由、接口、访问控制规则能够进行有效性验证,能够降低设备上线后因路由、接口、访问控制规则配置错误引起业务访问失败的风险。能够及时对网络连通性问题定位,当网络连通性出现问题时,能够快速分析定位出路由、接口、访问控制规则方面的配置问题,定点进行处理,可有缩短故障处置时间。
附图说明
[0021]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域技术人员来讲,还可以根据这些附图获得其他的附图。
[0022]图1为对业务访问的可达路径分析示意图。
[0023]图2为基于防火墙配置的网络连通性分析系统的构成图。
[0024]图3为基于防火墙配置的网络连通性分析系统的分析方法的流程图。
具体实施方式
[0025]下面结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都
属于本申请保护的范围。
[0026]基于“纵深防御”这一网络安全建设理念,在实际的网络环境中,特定的业务访问通常会经过多个防火墙,实际的业务访问能否成功,主要取决于两大因素:一是路由是否可达;二是整体访问控制规则的配置,即访问路径上的每一台防火墙都必须配置了相应的放行规则。
[0027]根据上述理念,本申请提出的基于防火墙配置的网络连通性的分析过程具体包括了对访问路径的分析和对访问控制规则的分析两部分,其中,分析所需要的数据全部基于防火墙的配置。其中访问路径分析用于检查路由是否可达,访问控制规则分析用于检查访问路径上的每台防火墙是否配置了放行规则,具体分析方法如下:
[0028]1)获取目标网络中全部防火墙的路由、接口、访问控制规则等配置信息。例如,可以使用的配置获取的方式为:SSH登录到防火墙后台,利用防火墙后台提供的配置读取命令(例如show running
‑
config),自动同步防火墙的配置信息。
[0029]2)获取到所需配置信息后,基于一个知识库从获取到的防火墙配置信息中解析出路由、接口、访问控制规则等配置信息,并形成统一格式。知识库定义了不同类型防火墙配置的格式,这是因为不同厂商或者同一厂商不同系列防火墙配置的格式不相同,因此需要根据防火墙对应的配置格式从配置信息中解析出所需要的信息。
[0030]3)对于一个本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于防火墙配置的网络连通性分析系统,其特征在于,包括获取模块、知识库、解析模块、访问路径分析模块、访问规则检查模块以及网络连通性检查模块;其中,所述获取模块用于获取防火墙的配置信息;所述解析模块用于将获取模块获取到的防火墙配置信息根据知识库进行解析,所述防火墙配置信息包括路由配置、接口配置和放行规则;所述访问路径分析模块用于检查业务访问的源端到目的端是否有可达访问路径;访问规则检查用于检查可达访问路径上的防火墙是否存在放行规则;所述网络连通性检查模块用于根据访问路径分析模块和访问规则检查模块的检查结果,对目的网络的网络连通性进行判断。2.一种使用如权利要求1所述的基于防火墙配置的网络连通性分析系统的分析方法,其步骤包括:S1,获取目标网络中全部防火墙的配置信息;其中,所述配置信息包括路由配置、接口配置和放行规则;S2,基于知识库将获取到的防火墙配置信息解析成统一的配置格式;S3,对于给定的业务访问,分析所述业务访问的源端到目的端的访问路径,当至少存在一条访问路径使所述业务访问的源端到目的端可达时,将所述可达路径设置为所述业务访问的源端到目的端的可达访问路径,并记录可达访问路径上经过的防火墙;S4,根据防火墙的配置信息,查询源端到目的端的可达访问路径上的防火墙是否存在放行规则,当至少有一条可达访问路径上的所有防火墙都存在放行规则时,所述源端到目的端为网络连通状态。3.如权利要求2所述的基于防火墙配置的网络连通性分析方法,其特征在...
【专利技术属性】
技术研发人员:徐昭兴,马俊闯,成蓉蓉,陈传明,柴忠,
申请(专利权)人:北京网御星云信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。