本发明专利技术公开了一种诊断网络防火墙的方法及装置。其中,该方法包括:将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第一过程数据;将第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为第一过程数据中与预设诊断数据相匹配的数据;对第二过程数据进行诊断,得到诊断结果。通过本发明专利技术,实现了准确快速定位网络故障的原因,并给出相关的解决方案的效果,帮助用户准确、快速、自动定位和分析网络防火墙自身配置、设置等导致第一数据包转发不正确出现的问题,从而建议用户更改设置以使第一数据包准确转发。
【技术实现步骤摘要】
本专利技术涉及数据处理领域,具体而言,涉及ー种诊断网络防火墙的方法及装置。
技术介绍
当网络防火墙当自身出现配置不正确、数据包处理不当等问题以及网络防火墙设备上线之前需要验证配置和数据包能否正确处理时,需要对数据包在网络防火墙中每一歩处理过程进行跟踪并及时记录下相关结果,并在出现问题的地方进行综合分析,给出诊断结果,分析其错误原因和处理建议。目前,有两种方法对来分析和定位配置错误、数据包处理不当等问题。第一种方法,通过查看网络防火墙的配置、调试信息、日志手动定位和分析相关问题,只要是,当现有的网络防火墙设备中当出现配置问题和数据包处理错误时,管理员通过查看相关配置以及通过网络防火墙上相关调试信息和日志手动来定位和分析此类问题,但是采用该方法没有ー套完整数据包路径检测系统来帮助管理员自动通过数据包在网络防火墙中通过每ー模块的路径跟踪来诊断问题所在。第二种方法为通过实验室复现现象方法来手动分析和定位配置错误、数据包处理不当等问题,即当数据包处理不正确时,通过实验室来模拟真实环境和相关配置来复现ー模ー样的现象来分析和定位相关网络防火墙自身出现的问题,但是采用该种方法需要消耗相当大的人力、物力去实现,成本和代价较高,并也要手动去分析问题的原因所在,无法自动来诊断和定位。针对现有技术中对通过网络防火墙的数据包的诊断不准确,从而导致数据报文转发不正确的问题,目前尚未提出有效的解决方案
技术实现思路
针对相关技术对通过网络防火墙的数据包的诊断不准确,从而导致数据报文转发不正确的问题,目前尚未提出有效的解决方案,为此,本专利技术的主要目的在于提供一种诊断网络防火墙的方法及装置,以解决上述问题。为了实现上述目的,根据本专利技术的ー个方面,提供了ー种诊断网络防火墙的方法,该方法包括将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第一过程数据;将第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为第一过程数据中与预设诊断数据相匹配的数据;对第二过程数据进行诊断,得到诊断結果。进ー步地,对第二过程数据进行诊断,得到诊断结果的步骤包括查询获取第二过程数据的标识信息;读取与标识信息所对应的第一报文信息,第一报文信息为第一数据包的报文信息;对第一报文信息和第一配置參数进行对比分析,以获取诊断參数,其中,第一配置參数是网络防火墙的配置參数;保存第二过程数据、标识信息以及诊断參数,得到诊断结果。进ー步地,将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第一过程数据的步骤包括获取对第一数据包进行过滤的过滤条件;根据过滤条件对通过网络防火墙的第一数据包进行过滤处理,以获取第一数据包中符合过滤条件的第二数据包;将网络防火墙对第二数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第一过程数据。进ー步地,获取通过网络防火墙的实时数据包,并将实时数据包作为第一数据包;或者,生成模拟数据包,并使模拟数据包通过网络防火墙以便网络防火墙将模拟数据包作为第一数据包;或者,解析预设数据包,并将解析后的预设数据包在网络防火墙中回放,以便网络防火墙将处理后的预设数据包作为第一数据包。进ー步地,对第二过程数据进行诊断,得到诊断结果的步骤包括获取诊断时间;判断诊断时间是否达到预设诊断时间;在诊断时间达到预设诊断时间的情况下,对第二过程数据进行诊断,得到诊断結果。为了实现上述目的,根据本专利技术的另一方面,提供了ー种诊断网络防火墙的装置,该装置包括第一处理模块,用于将网络防火墙对第一数据包进行解封装和检测处理的处理过程进行记录,以获取处理过程中产生的过程数据;第二处理模块,用于将第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为第一过程数据中与预设诊断数据相匹配的数据;第三处理模块,用于对第二过程数据进行诊断,得到诊断结果。进ー步地,第三处理模块包括第一获取模块,用于查询获取第二过程数据的标识信息;读取模块,用于读取与标识信息所对应的第一报文信息,第一报文信息为第一数据包的报文信息;分析模块,用于对第一报文信息和第一配置參数进行对比分析,以获取诊断參数,其中,第一配置參数是网络防火墙的配置參数;保存模块,用于保存第二过程数据、标识信息以及诊断參数,得到诊断結果。进ー步地, 第一处理模块包括第二获取模块,用于获取对第一数据包进行过滤的过滤条件;过滤模块,用于根据过滤条件对通过网络防火墙的第一数据包进行过滤处理,以获取第一数据包中符合过滤条件的第二数据包;第四处理模块,用于将网络防火墙对第二数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取处理过程中产生的第ー过程数据。进ー步地,装置包括第三获取模块,用于获取通过网络防火墙的实时数据包,并将实时数据包作为第一数据包;第一子处理模块,用于生成模拟数据包,并使模拟数据包通过网络防火墙以便网络防火墙将模拟数据包作为第一数据包;第ニ子处理模块,用于解析预设数据包,并将解析后的预设数据包在网络防火墙中回放,以便网络防火墙将处理后的预设数据包作为第一数据包。进ー步地,第三处理模块包括第四获取模块,用于获取诊断时间;检测模块,用于检测诊断时间是否达到预设诊断时间;第五处理模块,用于在诊断时间达到预设诊断时间的情况下,对第二过程数据进行诊断,得到诊断結果。通过本专利技术,通过对网络防火墙处理第一数据包的处理过程进行记录,对网络防火墙中的每ー步相关模块的处理过程都会进行相关记录和分析,并在出现第一数据包丢弃或第一数据包在某个模块处理出错时会进行综合分析,获取诊断结果,解决了现有技术中对通过网络防火墙的数据包的诊断不准确,从而导致数据报文转发不正确的问题,实现了准确快速定位网络故障的原因,并给出相关的解决方案的效果,帮助用户准确、快速、自动定位和分析网络防火墙自身配置、设置等导致第一数据包转发不正确出现的问题,从而建议用户更改设置以使第一数据包准确转发。附图说明此处所说明的附图用来提供对本专利技术的进ー步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中图1是根据本专利技术实施例的诊断网络防火墙的装置的结构示意图;图2是根据本专利技术实施例的诊断网络防火墙的方法的流程图;图3是根据图2所示实施例的根据模拟数据包诊断网络防火墙的系统结构图;图4是根据图3所示实施例的过滤条件配置的示意图;图5是根据本专利技术实施例的网络防火墙对数据包的处理过程的示意图;图6是根据图2所示实施例的根据实时数据包过滤条件的示意图;以及图7是根据图2所示实施例的根据预设数据包过滤条件的示意图。具体实施例方式需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将參考附图并结合实施例 来详细说明本专利技术。图1是根据本专利技术实施例的诊断网络防火墙的装置的结构示意图。如图1所示,该装置包括第一处理模块10,用于将网络防火墙对第一数据包进行解封装和检测处理的处理过程进行记录,以获取处理过程中产生的过程数据;第二处理模块30,用于将第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为第一过程数据中与预设诊断数据相匹配的数本文档来自技高网...
【技术保护点】
一种诊断网络防火墙的方法,其特征在于,包括:将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取所述处理过程中产生的第一过程数据;将所述第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为所述第一过程数据中与所述预设诊断数据相匹配的数据;对所述第二过程数据进行诊断,得到诊断结果。
【技术特征摘要】
1.ー种诊断网络防火墙的方法,其特征在于,包括 将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取所述处理过程中产生的第一过程数据; 将所述第一过程数据与预设诊断数据进行对比,以获取第二过程数据,其中,第二过程数据为所述第一过程数据中与所述预设诊断数据相匹配的数据; 对所述第二过程数据进行诊断,得到诊断結果。2.根据权利要求1所述的方法,其特征在干,对所述第二过程数据进行诊断,得到诊断结果的步骤包括 查询获取所述第二过程数据的标识信息; 读取与所述标识信息所对应的第一报文信息,所述第一报文信息为所述第一数据包的报文信息; 对所述第一报文信息和第一配置參数进行对比分析,以获取诊断參数,其中,所述第一配置參数是所述网络防火墙的配置參数; 保存所述第二过程数据、所述标识信息以及所述诊断參数,得到所述诊断結果。3.根据权利要求1所述的方法,其特征在干,将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取所述处理过程中产生的第一过程数据的步骤包括 获取对所述第一数据包进行过滤的过滤条件; 根据所述过滤条件对通过所述网络防火墙的第一数据包进行过滤处理,以获取所述第一数据包中符合所述过滤条件的第二数据包; 将网络防火墙对所述第二数据包进行解封装和检测处理的处理过程中的数据进行记录,以获取所述处理过程中产生的所述第一过程数据。4.根据权利要求3所述的方法,其特征在于,所述网络防火墙通过以下方法获取所述第一数据包 获取通过所述网络防火墙的所述实时数据包,并将所述实时数据包作为所述第一数据包;或者, 生成模拟数据包,并使所述模拟数据包通过所述网络防火墙以便所述网络防火墙将所述模拟数据包作为所述第一数据包;或者, 解析预设数据包,并将解析后的预设数据包在所述网络防火墙中回放,以便所述网络防火墙将所述处理后的预设数据包作为所述第一数据包。5.根据权利要求1所述的方法,其特征在干,对所述第二过程数据进行诊断,得到诊断结果的步骤包括 获取诊断时间; 判断所述诊断时间是否达到预设诊断时间; 在所述诊断时间达到所述预设诊断时间的情况下,对所述第二过程数据进行诊断,得到所述诊断結果。6.ー种诊断网络防火墙的...
【专利技术属性】
技术研发人员:胡仁豪,
申请(专利权)人:苏州山石网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。