專利名稱:診斷網(wǎng)絡(luò)防火墻的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)處理領(lǐng)域,具體而言����,涉及ー種診斷網(wǎng)絡(luò)防火墻的方法及裝置。
背景技術(shù):
當(dāng)網(wǎng)絡(luò)防火墻當(dāng)自身出現(xiàn)配置不正確��、數(shù)據(jù)包處理不當(dāng)?shù)葐栴}以及網(wǎng)絡(luò)防火墻設(shè)備上線之前需要驗(yàn)證配置和數(shù)據(jù)包能否正確處理時(shí)�,需要對數(shù)據(jù)包在網(wǎng)絡(luò)防火墻中每一歩處理過程進(jìn)行跟蹤并及時(shí)記錄下相關(guān)結(jié)果,并在出現(xiàn)問題的地方進(jìn)行綜合分析����,給出診斷結(jié)果,分析其錯誤原因和處理建議���。目前���,有兩種方法對來分析和定位配置錯誤�、數(shù)據(jù)包處理不當(dāng)?shù)葐栴}�。第一種方法,通過查看網(wǎng)絡(luò)防火墻的配置�����、調(diào)試信息����、日志手動定位和分析相關(guān)問題,只要是�����,當(dāng)現(xiàn)有的網(wǎng)絡(luò)防火墻設(shè)備中當(dāng)出現(xiàn)配置問題和數(shù)據(jù)包處理錯誤時(shí)�,管理員通過查看相關(guān)配置以及通過網(wǎng)絡(luò)防火墻上相關(guān)調(diào)試信息和日志手動來定位和分析此類問題,但是采用該方法沒有ー套完整數(shù)據(jù)包路徑檢測系統(tǒng)來幫助管理員自動通過數(shù)據(jù)包在網(wǎng)絡(luò)防火墻中通過每ー模塊的路徑跟蹤來診斷問題所在���。第二種方法為通過實(shí)驗(yàn)室復(fù)現(xiàn)現(xiàn)象方法來手動分析和定位配置錯誤�、數(shù)據(jù)包處理不當(dāng)?shù)葐栴}��,即當(dāng)數(shù)據(jù)包處理不正確時(shí)���,通過實(shí)驗(yàn)室來模擬真實(shí)環(huán)境和相關(guān)配置來復(fù)現(xiàn)ー模ー樣的現(xiàn)象來分析和定位相關(guān)網(wǎng)絡(luò)防火墻自身出現(xiàn)的問題�����,但是采用該種方法需要消耗相當(dāng)大的人力����、物力去實(shí)現(xiàn)����,成本和代價(jià)較高,并也要手動去分析問題的原因所在����,無法自動來診斷和定位。針對現(xiàn)有技術(shù)中對通過網(wǎng)絡(luò)防火墻的數(shù)據(jù)包的診斷不準(zhǔn)確���,從而導(dǎo)致數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)不正確的問題��,目前尚未提出有效的解決方案
發(fā)明內(nèi)容
針對相關(guān)技術(shù)對通過網(wǎng)絡(luò)防火墻的數(shù)據(jù)包的診斷不準(zhǔn)確��,從而導(dǎo)致數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)不正確的問題����,目前尚未提出有效的解決方案����,為此����,本發(fā)明的主要目的在于提供一種診斷網(wǎng)絡(luò)防火墻的方法及裝置�,以解決上述問題��。為了實(shí)現(xiàn)上述目的,根據(jù)本發(fā)明的ー個(gè)方面��,提供了ー種診斷網(wǎng)絡(luò)防火墻的方法��,該方法包括將網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程中的數(shù)據(jù)進(jìn)行記錄���,以獲取處理過程中產(chǎn)生的第一過程數(shù)據(jù)����;將第一過程數(shù)據(jù)與預(yù)設(shè)診斷數(shù)據(jù)進(jìn)行對比���,以獲取第二過程數(shù)據(jù)�����,其中�����,第二過程數(shù)據(jù)為第一過程數(shù)據(jù)中與預(yù)設(shè)診斷數(shù)據(jù)相匹配的數(shù)據(jù)�����;對第二過程數(shù)據(jù)進(jìn)行診斷�����,得到診斷結(jié)果�����。進(jìn)ー步地�����,對第二過程數(shù)據(jù)進(jìn)行診斷���,得到診斷結(jié)果的步驟包括查詢獲取第二過程數(shù)據(jù)的標(biāo)識信息;讀取與標(biāo)識信息所對應(yīng)的第一報(bào)文信息����,第一報(bào)文信息為第一數(shù)據(jù)包的報(bào)文信息���;對第一報(bào)文信息和第一配置參數(shù)進(jìn)行對比分析,以獲取診斷參數(shù)���,其中��,第一配置參數(shù)是網(wǎng)絡(luò)防火墻的配置參數(shù)���;保存第二過程數(shù)據(jù)、標(biāo)識信息以及診斷參數(shù)�����,得到診斷結(jié)果�����。
進(jìn)ー步地����,將網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程中的數(shù)據(jù)進(jìn)行記錄,以獲取處理過程中產(chǎn)生的第一過程數(shù)據(jù)的步驟包括獲取對第一數(shù)據(jù)包進(jìn)行過濾的過濾條件�����;根據(jù)過濾條件對通過網(wǎng)絡(luò)防火墻的第一數(shù)據(jù)包進(jìn)行過濾處理,以獲取第一數(shù)據(jù)包中符合過濾條件的第二數(shù)據(jù)包����;將網(wǎng)絡(luò)防火墻對第二數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程中的數(shù)據(jù)進(jìn)行記錄��,以獲取處理過程中產(chǎn)生的第一過程數(shù)據(jù)���。進(jìn)ー步地��,獲取通過網(wǎng)絡(luò)防火墻的實(shí)時(shí)數(shù)據(jù)包���,并將實(shí)時(shí)數(shù)據(jù)包作為第一數(shù)據(jù)包;或者���,生成模擬數(shù)據(jù)包�,并使模擬數(shù)據(jù)包通過網(wǎng)絡(luò)防火墻以便網(wǎng)絡(luò)防火墻將模擬數(shù)據(jù)包作為第一數(shù)據(jù)包����;或者,解析預(yù)設(shè)數(shù)據(jù)包��,并將解析后的預(yù)設(shè)數(shù)據(jù)包在網(wǎng)絡(luò)防火墻中回放,以便網(wǎng)絡(luò)防火墻將處理后的預(yù)設(shè)數(shù)據(jù)包作為第一數(shù)據(jù)包�����。進(jìn)ー步地�����,對第二過程數(shù)據(jù)進(jìn)行診斷��,得到診斷結(jié)果的步驟包括獲取診斷時(shí)間���;判斷診斷時(shí)間是否達(dá)到預(yù)設(shè)診斷時(shí)間��;在診斷時(shí)間達(dá)到預(yù)設(shè)診斷時(shí)間的情況下�,對第二過程數(shù)據(jù)進(jìn)行診斷����,得到診斷結(jié)果。為了實(shí)現(xiàn)上述目的�����,根據(jù)本發(fā)明的另一方面����,提供了ー種診斷網(wǎng)絡(luò)防火墻的裝置����,該裝置包括第一處理模塊��,用于將網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程進(jìn)行記錄�,以獲取處理過程中產(chǎn)生的過程數(shù)據(jù);第二處理模塊�,用于將第一過程數(shù)據(jù)與預(yù)設(shè)診斷數(shù)據(jù)進(jìn)行對比�,以獲取第二過程數(shù)據(jù),其中�����,第二過程數(shù)據(jù)為第一過程數(shù)據(jù)中與預(yù)設(shè)診斷數(shù)據(jù)相匹配的數(shù)據(jù)�����;第三處理模塊���,用于對第二過程數(shù)據(jù)進(jìn)行診斷���,得到診斷結(jié)果。進(jìn)ー步地,第三處理模塊包括第一獲取模塊����,用于查詢獲取第二過程數(shù)據(jù)的標(biāo)識信息;讀取模塊�,用于讀取與標(biāo)識信息所對應(yīng)的第一報(bào)文信息,第一報(bào)文信息為第一數(shù)據(jù)包的報(bào)文信息�;分析模塊,用于對第一報(bào)文信息和第一配置參數(shù)進(jìn)行對比分析���,以獲取診斷參數(shù)����,其中���,第一配置參數(shù)是網(wǎng)絡(luò)防火墻的配置參數(shù)�;保存模塊�����,用于保存第二過程數(shù)據(jù)���、標(biāo)識信息以及診斷參數(shù)��,得到診斷結(jié)果����。進(jìn)ー步地, 第一處理模塊包括第二獲取模塊��,用于獲取對第一數(shù)據(jù)包進(jìn)行過濾的過濾條件�;過濾模塊,用于根據(jù)過濾條件對通過網(wǎng)絡(luò)防火墻的第一數(shù)據(jù)包進(jìn)行過濾處理�����,以獲取第一數(shù)據(jù)包中符合過濾條件的第二數(shù)據(jù)包���;第四處理模塊,用于將網(wǎng)絡(luò)防火墻對第二數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程中的數(shù)據(jù)進(jìn)行記錄��,以獲取處理過程中產(chǎn)生的第ー過程數(shù)據(jù)�。進(jìn)ー步地,裝置包括第三獲取模塊���,用于獲取通過網(wǎng)絡(luò)防火墻的實(shí)時(shí)數(shù)據(jù)包�����,并將實(shí)時(shí)數(shù)據(jù)包作為第一數(shù)據(jù)包����;第一子處理模塊,用于生成模擬數(shù)據(jù)包���,并使模擬數(shù)據(jù)包通過網(wǎng)絡(luò)防火墻以便網(wǎng)絡(luò)防火墻將模擬數(shù)據(jù)包作為第一數(shù)據(jù)包���;第ニ子處理模塊,用于解析預(yù)設(shè)數(shù)據(jù)包��,并將解析后的預(yù)設(shè)數(shù)據(jù)包在網(wǎng)絡(luò)防火墻中回放���,以便網(wǎng)絡(luò)防火墻將處理后的預(yù)設(shè)數(shù)據(jù)包作為第一數(shù)據(jù)包�����。進(jìn)ー步地�����,第三處理模塊包括第四獲取模塊���,用于獲取診斷時(shí)間�;檢測模塊�,用于檢測診斷時(shí)間是否達(dá)到預(yù)設(shè)診斷時(shí)間;第五處理模塊���,用于在診斷時(shí)間達(dá)到預(yù)設(shè)診斷時(shí)間的情況下��,對第二過程數(shù)據(jù)進(jìn)行診斷�����,得到診斷結(jié)果�。通過本發(fā)明���,通過對網(wǎng)絡(luò)防火墻處理第一數(shù)據(jù)包的處理過程進(jìn)行記錄�����,對網(wǎng)絡(luò)防火墻中的每ー步相關(guān)模塊的處理過程都會進(jìn)行相關(guān)記錄和分析,并在出現(xiàn)第一數(shù)據(jù)包丟棄或第一數(shù)據(jù)包在某個(gè)模塊處理出錯時(shí)會進(jìn)行綜合分析����,獲取診斷結(jié)果,解決了現(xiàn)有技術(shù)中對通過網(wǎng)絡(luò)防火墻的數(shù)據(jù)包的診斷不準(zhǔn)確��,從而導(dǎo)致數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)不正確的問題,實(shí)現(xiàn)了準(zhǔn)確快速定位網(wǎng)絡(luò)故障的原因�����,并給出相關(guān)的解決方案的效果����,幫助用戶準(zhǔn)確、快速��、自動定位和分析網(wǎng)絡(luò)防火墻自身配置���、設(shè)置等導(dǎo)致第一數(shù)據(jù)包轉(zhuǎn)發(fā)不正確出現(xiàn)的問題��,從而建議用戶更改設(shè)置以使第一數(shù)據(jù)包準(zhǔn)確轉(zhuǎn)發(fā)���。
此處所說明的附圖用來提供對本發(fā)明的進(jìn)ー步理解,構(gòu)成本申請的一部分�����,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明���,并不構(gòu)成對本發(fā)明的不當(dāng)限定����。在附圖中圖1是根據(jù)本發(fā)明實(shí)施例的診斷網(wǎng)絡(luò)防火墻的裝置的結(jié)構(gòu)示意圖;圖2是根據(jù)本發(fā)明實(shí)施例的診斷網(wǎng)絡(luò)防火墻的方法的流程圖��;圖3是根據(jù)圖2所示實(shí)施例的根據(jù)模擬數(shù)據(jù)包診斷網(wǎng)絡(luò)防火墻的系統(tǒng)結(jié)構(gòu)圖���;圖4是根據(jù)圖3所示實(shí)施例的過濾條件配置的示意圖���;圖5是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)防火墻對數(shù)據(jù)包的處理過程的示意圖;圖6是根據(jù)圖2所示實(shí)施例的根據(jù)實(shí)時(shí)數(shù)據(jù)包過濾條件的示意圖�����;以及圖7是根據(jù)圖2所示實(shí)施例的根據(jù)預(yù)設(shè)數(shù)據(jù)包過濾條件的示意圖�。
具體實(shí)施例方式需要說明的是,在不沖突的情況下��,本申請中的實(shí)施例及實(shí)施例中的特征可以相互組合�。下面將參考附圖并結(jié)合實(shí)施例 來詳細(xì)說明本發(fā)明。圖1是根據(jù)本發(fā)明實(shí)施例的診斷網(wǎng)絡(luò)防火墻的裝置的結(jié)構(gòu)示意圖�����。如圖1所示�,該裝置包括第一處理模塊10,用于將網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程進(jìn)行記錄�����,以獲取處理過程中產(chǎn)生的過程數(shù)據(jù)���;第二處理模塊30��,用于將第一過程數(shù)據(jù)與預(yù)設(shè)診斷數(shù)據(jù)進(jìn)行對比��,以獲取第二過程數(shù)據(jù)��,其中�����,第二過程數(shù)據(jù)為第一過程數(shù)據(jù)中與預(yù)設(shè)診斷數(shù)據(jù)相匹配的數(shù)據(jù)�;第三處理模塊50�����,用于對第二過程數(shù)據(jù)進(jìn)行診斷�,得到診斷結(jié)果。采用本發(fā)明,通過第一處理模塊將網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程進(jìn)行記錄��,以獲取所述處理過程中產(chǎn)生的過程數(shù)據(jù)����,然后第二處理模塊將過程數(shù)據(jù)與預(yù)設(shè)診斷數(shù)據(jù)進(jìn)行對比,以獲取過程數(shù)據(jù)中與預(yù)設(shè)診斷數(shù)據(jù)相一致的第二過程數(shù)據(jù)��,并通過第三處理模塊對所述第二過程數(shù)據(jù)進(jìn)行診斷����,得到診斷結(jié)果。通過對網(wǎng)絡(luò)防火墻處理第一數(shù)據(jù)包的處理過程進(jìn)行記錄�����,對網(wǎng)絡(luò)防火墻中的每ー步相關(guān)模塊的處理過程都會進(jìn)行相關(guān)記錄和分析���,并在出現(xiàn)第一數(shù)據(jù)包丟棄或第一數(shù)據(jù)包在某個(gè)模塊處理出錯時(shí)會進(jìn)行綜合分析����,獲取診斷結(jié)果�,解決了現(xiàn)有技術(shù)中對通過網(wǎng)絡(luò)防火墻的數(shù)據(jù)包的診斷不準(zhǔn)確,從而導(dǎo)致數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)不正確的問題�,實(shí)現(xiàn)了準(zhǔn)確快速定位網(wǎng)絡(luò)故障的原因����,并給出相關(guān)的解決方案的效果����,幫助用戶準(zhǔn)確�����、快速���、自動定位和分析網(wǎng)絡(luò)防火墻自身配置�����、設(shè)置等導(dǎo)致第一數(shù)據(jù)包轉(zhuǎn)發(fā)不正確出現(xiàn)的問題���,從而建議用戶更改設(shè)置以使第一數(shù)據(jù)包準(zhǔn)確轉(zhuǎn)發(fā)。根據(jù)本發(fā)明的上述實(shí)施例�����,第三處理模塊可以包括第一獲取模塊����,用于獲取第二過程數(shù)據(jù)的標(biāo)識信息����;讀取模塊��,用于讀取與標(biāo)識信息所對應(yīng)的第一報(bào)文信息����,第一報(bào)文信息為第一數(shù)據(jù)包的報(bào)文信息;分析模塊��,用于對第一報(bào)文信息和第一配置參數(shù)進(jìn)行對比分祈����,以獲取診斷參數(shù),第一配置參數(shù)是網(wǎng)絡(luò)防火墻的配置參數(shù)�����;保存模塊�,用于保存第二過程數(shù)據(jù)、標(biāo)識信息以及診斷參數(shù)�,得到診斷結(jié)果。其中��,預(yù)設(shè)診斷第一數(shù)據(jù)包括網(wǎng)絡(luò)防火墻與第一數(shù)據(jù)包中斷通信的數(shù)據(jù),診斷參數(shù)包括用于修改第一配置參數(shù)的修改數(shù)據(jù)�����,使用修改數(shù)據(jù)修改第一配置參數(shù)以使網(wǎng)絡(luò)防火墻與所述第一數(shù)據(jù)包恢復(fù)通信���。在本發(fā)明的上述實(shí)施例中,裝置可以包括第二獲取模塊���,用于獲取對第一數(shù)據(jù)包進(jìn)行過濾的過濾條件�����;過濾模塊���,用于根據(jù)過濾條件對通過網(wǎng)絡(luò)防火墻的第一數(shù)據(jù)包進(jìn)行過濾處理,以獲取第一數(shù)據(jù)包中符合過濾條件的第二數(shù)據(jù)包�;第四處理模塊,用于將網(wǎng)絡(luò)防火墻對第二數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程中的數(shù)據(jù)進(jìn)行記錄��,以獲取處理過程中產(chǎn)生的第一過程數(shù)據(jù)���。根據(jù)本發(fā)明的上述實(shí)施例����,第一數(shù)據(jù)包包括實(shí)時(shí)數(shù)據(jù)包、模擬數(shù)據(jù)包以及預(yù)設(shè)數(shù)據(jù)包中的至少ー個(gè)數(shù)據(jù)包���,其中��,裝置還包括第三獲取模塊�����,用于獲取通過網(wǎng)絡(luò)防火墻的實(shí)時(shí)數(shù)據(jù)包���,并將實(shí)時(shí)數(shù)據(jù)包作為第一數(shù)據(jù)包;第一子處理模塊��,用于生成模擬數(shù)據(jù)包���,并使模擬數(shù)據(jù)包通過網(wǎng)絡(luò)防火墻以便網(wǎng)絡(luò)防火墻將模擬數(shù)據(jù)包作為第一數(shù)據(jù)包���;第ニ子處理模塊,用于解析預(yù)設(shè)數(shù)據(jù)包��,并將解析后的預(yù)設(shè)數(shù)據(jù)包在網(wǎng)絡(luò)防火墻中回放�����,以便網(wǎng)絡(luò)防火墻將處理后的預(yù)設(shè)數(shù)據(jù)包作為第一數(shù)據(jù)包。在本發(fā)明的上述實(shí)施例中�,第三處理模塊50可以包括第四獲取模塊,用于獲取診斷時(shí)間�;檢測模塊,用于檢測診斷時(shí)間是否達(dá)到預(yù)設(shè)診斷時(shí)間����;第五處理模塊�����,用于在診斷時(shí)間達(dá)到預(yù)設(shè)診斷時(shí)間的情況下��,對第二過程數(shù)據(jù)進(jìn)行診斷��,得到診斷結(jié)果�����。圖2是根據(jù)本發(fā)明實(shí)施例的診斷網(wǎng)絡(luò)防火墻的方法的流程圖��,如圖2所示該方法包括如下步驟步驟S102�����,將網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程進(jìn)行記錄,以獲取處理過程中產(chǎn)生的過程數(shù)據(jù)���。
步驟S104�����,將第一過程數(shù)據(jù)與預(yù)設(shè)診斷數(shù)據(jù)進(jìn)行對比��,以獲取第二過程數(shù)據(jù)�,其中�,第二過程數(shù)據(jù)為第一過程數(shù)據(jù)中與預(yù)設(shè)診斷數(shù)據(jù)相匹配的數(shù)據(jù)。步驟S106�����,對第二過程數(shù)據(jù)進(jìn)行診斷���,得到診斷結(jié)果�����。采用本發(fā)明��,通過將網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程進(jìn)行記錄��,以獲取所述處理過程中產(chǎn)生的過程數(shù)據(jù)���,然后將過程數(shù)據(jù)與預(yù)設(shè)診斷數(shù)據(jù)進(jìn)行對比����,以獲取過程數(shù)據(jù)中與預(yù)設(shè)診斷數(shù)據(jù)相一致的第二過程數(shù)據(jù)��,并對第二過程數(shù)據(jù)進(jìn)行診斷���,得到診斷結(jié)果��。通過對網(wǎng)絡(luò)防火墻處理第一數(shù)據(jù)包的處理過程進(jìn)行記錄,對網(wǎng)絡(luò)防火墻中的每ー步相關(guān)模塊的處理過程都會進(jìn)行相關(guān)記錄和分析�����,并在出現(xiàn)第一數(shù)據(jù)包丟棄或第一數(shù)據(jù)包在某個(gè)模塊處理出錯時(shí)會進(jìn)行綜合分析����,得到診斷結(jié)果,井根據(jù)相關(guān)分析情況給出針對該錯誤的處理建議���,幫助用戶正確診斷出本次第一數(shù)據(jù)包出錯的原因��,解決了現(xiàn)有技術(shù)中對通過網(wǎng)絡(luò)防火墻的數(shù)據(jù)包的診斷不準(zhǔn)確��,從而導(dǎo)致數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)不正確的問題��,實(shí)現(xiàn)了準(zhǔn)確快速定位網(wǎng)絡(luò)故障的原因�,并給出相關(guān)的解決方案的效果,幫助用戶準(zhǔn)確���、快速�、自動定位和分析網(wǎng)絡(luò)防火墻自身配置��、設(shè)置等導(dǎo)致第一數(shù)據(jù)包轉(zhuǎn)發(fā)不正確出現(xiàn)的問題����,從而建議用戶更改設(shè)置以使第一數(shù)據(jù)包準(zhǔn)確轉(zhuǎn)發(fā)。其中�,預(yù)設(shè)診斷數(shù)據(jù)可以是通過學(xué)習(xí)模式得到的防火墻不能正常轉(zhuǎn)發(fā)第一數(shù)據(jù)包的各個(gè)處理過程產(chǎn)生的異常過程數(shù)據(jù),預(yù)設(shè)診斷數(shù)據(jù)可以包括預(yù)設(shè)的網(wǎng)絡(luò)防火墻在對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理過程中丟棄第一數(shù)據(jù)包的數(shù)據(jù)�����、也可以包括網(wǎng)絡(luò)防火墻將第一數(shù)據(jù)包轉(zhuǎn)發(fā)錯誤的數(shù)據(jù)。通過記錄網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包處理過程的記錄�����,獲取第一過程數(shù)據(jù)���,并將與預(yù)設(shè)診斷數(shù)據(jù)匹配的第一過程數(shù)據(jù)提取出來����,以獲取第二過程數(shù)據(jù)�����,然后分析第二過程數(shù)據(jù)��,以分析網(wǎng)絡(luò)防火墻中各處理模塊對第二過程數(shù)據(jù)的處理過程的數(shù)據(jù)信息�,從而自動定位和解決問題,并給出診斷報(bào)告��。具體地��,系統(tǒng)在執(zhí)行記錄網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程�,并獲取過程數(shù)據(jù)的步驟中�����,會實(shí)時(shí)記錄第一數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)防火墻的從入接ロ到出接ロ的每ー個(gè)模塊的處理過程,并通過動態(tài)流程圖形式真實(shí)地展現(xiàn)給用戶����。并且在獲取到過程數(shù)據(jù)之后,將過程數(shù)據(jù)與預(yù)設(shè)診斷數(shù)據(jù)進(jìn)行匹配處理�,當(dāng)出現(xiàn)第一數(shù)據(jù)包處理不當(dāng)?shù)扰c預(yù)設(shè)診斷數(shù)據(jù)一致的第二過程數(shù)據(jù)時(shí),系統(tǒng)會將該第二過程數(shù)據(jù)標(biāo)識出來���,具體地�,當(dāng)某個(gè)模塊第一數(shù)據(jù)包正常通過時(shí)�,用綠燈來顯示,當(dāng)?shù)谝粩?shù)據(jù)包通過但是該模塊仍存在一定問題時(shí)用黃燈表示�,當(dāng)?shù)谝粩?shù)據(jù)包未能通過時(shí)用紅燈來表示并流程圖會停止在該模塊上。在上述實(shí)施例中�,動態(tài)流程圖可以使得用戶了解第一數(shù)據(jù)包在網(wǎng)絡(luò)防火墻中處理第一數(shù)據(jù)包的流程動態(tài)過程,并且便于在網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包的處理出現(xiàn)問題時(shí)能智能分析并給出參考建議��,以便于用戶及時(shí)地獲取準(zhǔn)確的診斷結(jié)果����,并依據(jù)該診斷結(jié)果解決問題。通過本申請的上述實(shí)施例�����,用動態(tài)流程圖形式展現(xiàn)第一數(shù)據(jù)包通過網(wǎng)絡(luò)防火墻各模塊的路徑情況,有助于用戶了解網(wǎng)絡(luò)防火墻內(nèi)部處理第一數(shù)據(jù)包過程�,將網(wǎng)絡(luò)防火墻變成白盒。根據(jù)本發(fā)明的上述實(shí)施例�,對第二過程數(shù)據(jù)進(jìn)行診斷,得到診斷結(jié)果的步驟可以包括獲取與第二過程數(shù)據(jù)相對應(yīng)的標(biāo)識信息�;讀取與標(biāo)識信息所對應(yīng)的第一報(bào)文信息,第一報(bào)文信息為第一數(shù)據(jù)包的報(bào)文信息��;對第一報(bào)文信息和第一配置參數(shù)進(jìn)行對比分析�,以獲取診斷參數(shù),第一配置參數(shù)是網(wǎng)絡(luò)防火墻的配置參數(shù)��;保存第二過程數(shù)據(jù)���、標(biāo)識信息以及診斷參數(shù)���,得到診斷結(jié)果。具體地�����,當(dāng)記錄到的網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包處理過程的過程數(shù)據(jù)中出現(xiàn)第二過程數(shù)據(jù)時(shí)�����,獲取與第二過程數(shù)據(jù)相對應(yīng)的標(biāo)識信息����,該標(biāo)識信息可以是錯誤代碼,如1或12等用阿拉伯?dāng)?shù)字表示的錯誤類型�����,`該標(biāo)識信息還可以是錯誤類型的語言描述��,如圖7中所示的“被路由規(guī)則阻斷”�����,在獲取標(biāo)志信息之后讀取該標(biāo)識信息號對應(yīng)的第一報(bào)文信息�����,該第一報(bào)文信息可以是預(yù)存的第一數(shù)據(jù)包的報(bào)文信息����,也可以包括預(yù)存的網(wǎng)絡(luò)防火墻可以正確轉(zhuǎn)發(fā)該第一數(shù)據(jù)包的配置參數(shù),還可以包括通過該網(wǎng)絡(luò)防火墻的所有流量�����;然后將第一報(bào)文信息與網(wǎng)絡(luò)防火墻的第一配置參數(shù)進(jìn)行對比分析,以獲取診斷參數(shù)���。其中的診斷參數(shù)可以包括該第一數(shù)據(jù)包不可以正常通過該網(wǎng)絡(luò)防火墻的原因����,以及該網(wǎng)絡(luò)防火墻正常通過該第一數(shù)據(jù)包應(yīng)有的配置參數(shù)����,診斷參數(shù)還可以包括給與用戶的修改第一配置參數(shù)的修改參數(shù),也即修改建議�。其中,報(bào)文信息可以包括第一數(shù)據(jù)包的IP地址�、協(xié)議以及報(bào)文內(nèi)容。其中的第二過程數(shù)據(jù)還可以是網(wǎng)絡(luò)防火墻丟棄第一數(shù)據(jù)包的過程數(shù)據(jù)���。其中�����,診斷參數(shù)還可以包括第一報(bào)文信息以及第一配置參數(shù)�����,即出現(xiàn)錯誤的配置參數(shù)如策略配置�、NAT配置等�����;診斷參數(shù)還可以包括參考建議����,如上述的修改建議,幫助用戶正確診斷出本次第一數(shù)據(jù)包出錯的原因���,以供用戶使用參考建議調(diào)整網(wǎng)絡(luò)防火墻配置等來解決第一數(shù)據(jù)包不能正常轉(zhuǎn)發(fā)的問題����。
另外�,診斷結(jié)果還可以包括與第二過程數(shù)據(jù)相對應(yīng)的網(wǎng)絡(luò)防火墻的處理模塊的詳細(xì)信息,如源地址��、目的地址���。具體地�,系統(tǒng)還可以根據(jù)診斷結(jié)果給出診斷報(bào)告��,診斷報(bào)告中會包含第二過程數(shù)據(jù)、標(biāo)識信息以及診斷參數(shù)�����,還可以包括第一數(shù)據(jù)包在網(wǎng)絡(luò)防火墻中處理的動態(tài)流程圖��、診斷時(shí)間��,檢測結(jié)果中會給出本次檢測中第一數(shù)據(jù)包是否通過網(wǎng)絡(luò)防火墻所有模塊處理的結(jié)果��。根據(jù)本發(fā)明的上述實(shí)施例��,將網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程中的數(shù)據(jù)進(jìn)行記錄�,以獲取處理過程中產(chǎn)生的第一過程數(shù)據(jù)的步驟可以包括接收對第一數(shù)據(jù)包進(jìn)行過濾的過濾條件;根據(jù)過濾條件對通過網(wǎng)絡(luò)防火墻的第一數(shù)據(jù)包進(jìn)行過濾處理��,以獲取第一數(shù)據(jù)包中符合過濾條件的第二數(shù)據(jù)包��;將網(wǎng)絡(luò)防火墻對第二數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程中的數(shù)據(jù)進(jìn)行記錄���,以獲取處理過程中產(chǎn)生的第一過程數(shù)據(jù)����。根據(jù)本發(fā)明的上述實(shí)施例,第一數(shù)據(jù)包包括實(shí)時(shí)數(shù)據(jù)包���、模擬數(shù)據(jù)包以及預(yù)設(shè)數(shù)據(jù)包中的至少ー個(gè)數(shù)據(jù)包�,其中����,在根據(jù)過濾條件對通過網(wǎng)絡(luò)防火墻的數(shù)據(jù)包進(jìn)行過濾處理�,以獲取符合過濾條件的數(shù)據(jù)包之前,方法還包括獲取通過網(wǎng)絡(luò)防火墻的實(shí)時(shí)數(shù)據(jù)包生成模擬數(shù)據(jù)包���,以使模擬數(shù)據(jù)包通過網(wǎng)絡(luò)防火墻����;解析預(yù)設(shè)數(shù)據(jù)包���,并將解析后的預(yù)設(shè)數(shù)據(jù)包在網(wǎng)絡(luò)防火墻中回放�����。
具體地����,在開啟診斷后,網(wǎng)絡(luò)防火墻根據(jù)過濾條件對經(jīng)過網(wǎng)絡(luò)防火墻的第一數(shù)據(jù)包(真實(shí)的和模擬的流量)進(jìn)行過濾�,然后記錄網(wǎng)絡(luò)防火墻中每一個(gè)處理模塊對符合條件的第一數(shù)據(jù)包進(jìn)行處理的處理過程(如第一數(shù)據(jù)包的通過情況),當(dāng)?shù)谝粩?shù)據(jù)包在某個(gè)模塊出現(xiàn)問題時(shí)���,系統(tǒng)獲取到第二過程數(shù)據(jù)�����,然后根據(jù)第二過程數(shù)據(jù)獲取診斷參數(shù)���,(如第一數(shù)據(jù)包不能通過的錯誤原因及解決問題的建議)。具體地��,本發(fā)明中的第一數(shù)據(jù)包可以包括實(shí)時(shí)數(shù)據(jù)包���、模擬數(shù)據(jù)包或預(yù)設(shè)數(shù)據(jù)包��,由于這三種第一數(shù)據(jù)包的生成方式不同����,用戶也可以根據(jù)自己的需求在不同的診斷處理中使用不同的第一數(shù)據(jù)包��。其中�����,具體地,可以獲取通過網(wǎng)絡(luò)防火墻的實(shí)時(shí)數(shù)據(jù)包�,并將實(shí)時(shí)數(shù)據(jù)包作為第一數(shù)據(jù)包;或者����,生成模擬數(shù)據(jù)包,并使模擬數(shù)據(jù)包通過網(wǎng)絡(luò)防火墻以便網(wǎng)絡(luò)防火墻將模擬數(shù)據(jù)包作為第一數(shù)據(jù)包�;或者,解析預(yù)設(shè)數(shù)據(jù)包���,并將解析后的預(yù)設(shè)數(shù)據(jù)包在網(wǎng)絡(luò)防火墻中回放,以便網(wǎng)絡(luò)防火墻將處理后的預(yù)設(shè)數(shù)據(jù)包作為第一數(shù)據(jù)包����。圖3是根據(jù)圖2所示實(shí)施例的根據(jù)模擬數(shù)據(jù)包診斷網(wǎng)絡(luò)防火墻的系統(tǒng)結(jié)構(gòu)圖。圖4是根據(jù)圖3所示實(shí)施例的過濾條件配置的示意圖�����。圖5是根據(jù)本發(fā)明所示實(shí)施例的網(wǎng)絡(luò)防火墻對數(shù)據(jù)包的處理過程的示意圖���。模擬數(shù)據(jù)包是根據(jù)用戶的需求而生成的����,具體地,系統(tǒng)獲取到用戶的過濾條件之后�,根據(jù)用戶的過濾條件生成模擬數(shù)據(jù)包,目前系統(tǒng)只支持TCP���、UDP�、ICMP格式的第一數(shù)據(jù)包����,該第一數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)防火墻,模擬真實(shí)的流量來進(jìn)行相關(guān)問題的診斷�����。通過該種第一數(shù)據(jù)包可以使得用戶在設(shè)備未上線時(shí)診斷網(wǎng)絡(luò)防火墻配置以及網(wǎng)絡(luò)防火墻對真實(shí)流量處理是否正確�����,從而保證設(shè)置上線時(shí)萬無一失���。其中�,如圖4所示����,在進(jìn)行“新建模擬檢測”時(shí)�����,也即通過記錄網(wǎng)絡(luò)防火墻對模擬數(shù)據(jù)包的處理�����,完成對網(wǎng)絡(luò)防火墻的診斷���,該種診斷手段中,設(shè)置的過濾條件可以包括第一數(shù)據(jù)包的診斷接ロ���、源地址�����、目的地址、協(xié)議����、源端ロ、目的端ロ����。
例如�,某公司新購一臺web服務(wù)器����,如圖3所示的網(wǎng)絡(luò)環(huán)境已搭建完成,該架構(gòu)中辦公終端區(qū)以及測試終端區(qū)通過防火墻與服務(wù)器區(qū)連接����,在該網(wǎng)絡(luò)環(huán)境中,設(shè)備未到位之前��,管理員需要檢測web服務(wù)器到位后能否立即投入使用��,可以使用網(wǎng)絡(luò)防火墻對模擬數(shù)據(jù)包的處理過程來驗(yàn)證web服務(wù)器上線前網(wǎng)絡(luò)情況�����。如圖5所示���,模擬數(shù)據(jù)包通過入接ロ進(jìn)入網(wǎng)絡(luò)防火墻�����,在網(wǎng)絡(luò)防火墻驗(yàn)證模擬數(shù)據(jù)包中的數(shù)據(jù)報(bào)文為合法報(bào)文之后����,攻擊防護(hù)模塊對該數(shù)據(jù)包進(jìn)行攻擊檢測,然后對該數(shù)據(jù)包進(jìn)行會話匹配����,如果該數(shù)據(jù)包中攜帯的會話為阻斷型會話,則允許其進(jìn)行會話�,或者找到匹配的會話,在找到匹配的會話之后���,策略匹配對該模擬數(shù)據(jù)包進(jìn)行策略匹配處理�����;如果沒有匹配的會話�,則進(jìn)入防火墻工作模式匹配����,對該會話進(jìn)行匹配。其中���,如果進(jìn)入的是透明的匹配模式,則對該模擬數(shù)據(jù)包進(jìn)行MAC檢查���,如果進(jìn)入的是路由模式��,則在對該數(shù)據(jù)包中的地址進(jìn)行轉(zhuǎn)換處理之后��,檢測該路由配置����。在執(zhí)行上述步驟之后,如果數(shù)據(jù)包的會話受到限制�����,則創(chuàng)建會話�,然后進(jìn)行策略匹配、安全策略處理以及ARP防護(hù)檢測��,模擬檢測結(jié)束����。在本發(fā)明的上述實(shí)施例中,需要將上述的防火墻中各個(gè)處理模塊對模擬數(shù)據(jù)包的處理過程中產(chǎn)生的第一過程數(shù)據(jù)全部記錄下來�����,然后對第一過程數(shù)據(jù)進(jìn)行分析處理���。在圖5所示的實(shí)施例中�����,對web服務(wù)器進(jìn)行了檢測����,模擬數(shù)據(jù)包完成了所有的解封裝和檢測處理,并且在整個(gè)網(wǎng)絡(luò)防火墻對模擬數(shù)據(jù)包進(jìn)行處理的過程都沒有出現(xiàn)第二過程數(shù)據(jù)���,則網(wǎng)絡(luò)防火墻在對該數(shù)據(jù)包進(jìn)行處理的過程中沒有出現(xiàn)異常的處理情況��。圖6是根據(jù)圖2所示實(shí)施例的根據(jù)實(shí)時(shí)數(shù)據(jù)包過濾條件的示意圖�。實(shí)時(shí)數(shù)據(jù)包即為網(wǎng)絡(luò)中實(shí)時(shí)生成的第一數(shù)據(jù)包���,用戶可以在在線診斷中使用����。具體地���,用戶可以設(shè)置需要診斷的第一數(shù)據(jù)包的過濾條件�,然后根據(jù)用戶設(shè)置的過濾條件����,系統(tǒng)對流經(jīng)網(wǎng)絡(luò)防火墻的實(shí)時(shí)數(shù)據(jù)包(即從網(wǎng)絡(luò)防火墻流過的真實(shí)的流量)進(jìn)行路徑檢測,然后在實(shí)時(shí)數(shù)據(jù)包不能準(zhǔn)確轉(zhuǎn)發(fā)的情況下���,自動分析實(shí)時(shí)數(shù)據(jù)包在網(wǎng)絡(luò)防火墻中出現(xiàn)問題的原因所在�����。其中�,如圖6所示��,進(jìn)行“新建在線檢測”時(shí)�����,也即通過記錄網(wǎng)絡(luò)防火墻對實(shí)時(shí)數(shù)據(jù)包的處理�,完成對網(wǎng)絡(luò)防火墻的診斷,該種診斷手段中���,設(shè)置的過濾條件可以過濾條件包括實(shí)時(shí)數(shù)據(jù)包的診斷接ロ����、源地址、用戶�����、URL�����、源端ロ��、目的端ロ���、協(xié)議�����、應(yīng)用����。
同樣地�����,在如圖5所示的防火墻對數(shù)據(jù)包的處理過程中�����,實(shí)時(shí)數(shù)據(jù)包通過入接ロ進(jìn)入網(wǎng)絡(luò)防火墻,在網(wǎng)絡(luò)防火墻驗(yàn)證實(shí)時(shí)數(shù)據(jù)包中的數(shù)據(jù)報(bào)文為合法報(bào)文之后����,攻擊防護(hù)模塊對該數(shù)據(jù)包進(jìn)行攻擊檢測��,然后對該數(shù)據(jù)包進(jìn)行會話匹配��,如果該數(shù)據(jù)包中攜帯的會話為阻斷型會話���,則允許其進(jìn)行會話�����,或者找到匹配的會話����,在找到匹配的會話之后�����,策略匹配對該實(shí)時(shí)數(shù)據(jù)包進(jìn)行策略匹配處理��;如果沒有匹配的會話,則進(jìn)入防火墻工作模式匹配����,對該會話進(jìn)行匹配。其中����,如果進(jìn)入的是透明的匹配模式,則對該實(shí)時(shí)數(shù)據(jù)包進(jìn)行MAC檢查�����,如果進(jìn)入的是路由模式���,則在對該數(shù)據(jù)包中的地址進(jìn)行轉(zhuǎn)換處理之后���,檢測該路由配置。在執(zhí)行上述步驟之后���,如果數(shù)據(jù)包的會話受到限制�,則創(chuàng)建會話��,然后進(jìn)行策略匹配����、安全策略處理以及ARP防護(hù)處理�����,在本發(fā)明的上述實(shí)施例中�����,需要將上述的防火墻中各個(gè)處理模塊對實(shí)時(shí)數(shù)據(jù)包的處理過程中產(chǎn)生的第一過程數(shù)據(jù)全部記錄下來,然后對第一過程數(shù)據(jù)進(jìn)行分析處理���。如果在記錄的圖5所示的處理過程中��,發(fā)現(xiàn)網(wǎng)絡(luò)防火墻在對實(shí)時(shí)數(shù)據(jù)包進(jìn)行路由檢測的過程中出現(xiàn)了第二過程數(shù)據(jù)�����,獲取實(shí)時(shí)數(shù)據(jù)包被路由規(guī)則阻斷的錯誤詳情����,然后獲取實(shí)時(shí)數(shù)據(jù)包的第一報(bào)文信息和網(wǎng)絡(luò)防火墻的路由設(shè)置信息��,并根據(jù)該兩個(gè)信息的對比結(jié)果獲取診斷參數(shù)�,診斷參數(shù)包括實(shí)時(shí)數(shù)據(jù)包未能通過的錯誤原因“無法找到目的地的路由��,報(bào)文被丟棄”��,以及解決問題的建議“請檢查該報(bào)文目的地址路由是否有效”����,另外���,還可以獲取該第二過程數(shù)據(jù)對應(yīng)的標(biāo)識信息��。圖7是根據(jù)圖2所示實(shí)施例的根據(jù)預(yù)設(shè)數(shù)據(jù)包過濾條件的示意圖����。在使用預(yù)設(shè)數(shù)據(jù)包時(shí)����,系統(tǒng)會將導(dǎo)入的預(yù)設(shè)數(shù)據(jù)包進(jìn)行解析,根據(jù)文件模擬該預(yù)設(shè)數(shù)據(jù)包的交互情況���,并在網(wǎng)絡(luò)防火墻中回放��,然后根據(jù)接收到的過濾條件��,對預(yù)設(shè)數(shù)據(jù)包進(jìn)行診斷�,獲取用戶定位的該預(yù)設(shè)數(shù)據(jù)包所模擬的真實(shí)流量中的問題,并可以幫用戶在設(shè)備上線之前模擬真實(shí)流量交互情況���。其中�����,預(yù)設(shè)數(shù)據(jù)包可以是用戶預(yù)設(shè)的抓包文件(pcap格式)����,如圖7所示���,在進(jìn)行“新建導(dǎo)入檢測”時(shí),也即通過記錄網(wǎng)絡(luò)防火墻對實(shí)時(shí)數(shù)據(jù)包的處理�,完成對網(wǎng)絡(luò)防火墻的診斷,在該種診斷手段中���,設(shè)置的過濾條件可以是診斷接ロ���、源地址、目的地址����、源端ロ�����、目的端ロ����、應(yīng)用�、協(xié)議。其中的回放�,即為使用預(yù)設(shè)數(shù)據(jù)包中的數(shù)據(jù)再現(xiàn)網(wǎng)絡(luò)防火墻與第一數(shù)據(jù)包進(jìn)行交互、網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理等的通信過程�����。例如����,某公司員エ在辦公終端區(qū)不能訪問FTP服務(wù)器,但員エ無權(quán)限登錄到設(shè)備上查看原因�����。這時(shí)可以在自己PC上用第三方軟件抓取訪問FTP服務(wù)器的第一數(shù)據(jù)包����,然后傳給管理員���,管理員可以通過預(yù)設(shè)數(shù)據(jù)包檢測查看具體原因。如圖5所示���,預(yù)設(shè)數(shù)據(jù)包通過入接ロ進(jìn)入網(wǎng)絡(luò)防火墻���,在網(wǎng)絡(luò)防火墻驗(yàn)證預(yù)設(shè)數(shù)據(jù)包中的數(shù)據(jù)報(bào)文為合法報(bào)文之后,攻擊防護(hù)模塊對該數(shù)據(jù)包進(jìn)行攻擊檢測�,然后對該數(shù)據(jù)包進(jìn)行會話匹配,如果該數(shù)據(jù)包中攜帯的會話為阻斷型會話�����,則允許其進(jìn)行會話�����,或者找到匹配的會話�����,在找到匹配的會話之后����,策略匹 配對該預(yù)設(shè)數(shù)據(jù)包進(jìn)行策略匹配處理;如果沒有匹配的會話��,則進(jìn)入防火墻工作模式匹配�����,對該會話進(jìn)行匹配����。其中,如果進(jìn)入的是透明的匹配模式���,則對該預(yù)設(shè)數(shù)據(jù)包進(jìn)行MAC檢查��,如果進(jìn)入的是路由模式��,則在對該數(shù)據(jù)包中的地址進(jìn)行轉(zhuǎn)換處理之后���,檢測該路由配置。在執(zhí)行上述步驟之后�����,如果數(shù)據(jù)包的會話受到限制,則創(chuàng)建會話�,然后進(jìn)行策略匹配、安全策略處理以及ARP防護(hù)處理���,在本發(fā)明的上述實(shí)施例中����,需要將上述的防火墻中各個(gè)處理模塊對預(yù)設(shè)數(shù)據(jù)包的處理過程中產(chǎn)生的第一過程數(shù)據(jù)全部記錄下來�,然后對第一過程數(shù)據(jù)進(jìn)行分析處理。如果在記錄的圖5所示的處理過程中�,發(fā)現(xiàn)網(wǎng)絡(luò)防火墻在對預(yù)設(shè)數(shù)據(jù)包進(jìn)行安全策略檢測的過程中出現(xiàn)了第二過程數(shù)據(jù),獲取預(yù)設(shè)數(shù)據(jù)包被路由規(guī)則阻斷的錯誤詳情“數(shù)據(jù)包被安全策略規(guī)則阻斷”�����,然后獲取預(yù)設(shè)數(shù)據(jù)包的第一報(bào)文信息和網(wǎng)絡(luò)防火墻的安全策略設(shè)置信息���,并根據(jù)該兩個(gè)信息的對比結(jié)果獲取診斷參數(shù)�����,診斷參數(shù)包括預(yù)設(shè)數(shù)據(jù)包未能通過的錯誤原因“數(shù)據(jù)包被安全策略拒絕”,以及解決問題的建議“請檢查該數(shù)據(jù)報(bào)文的安全策略”��,另外,還可以獲取該第二過程數(shù)據(jù)對應(yīng)的標(biāo)識信息����。由上可知,系統(tǒng)可以通過上述三種第一數(shù)據(jù)包通過三種診斷手段根據(jù)相關(guān)過濾條件來對模擬或真實(shí)的流經(jīng)網(wǎng)絡(luò)防火墻的流量進(jìn)行過濾和路徑跟蹤檢測�,從而可以使得用戶在設(shè)備上線前或設(shè)備使用中準(zhǔn)確、快速�、自動定位和分析網(wǎng)絡(luò)防火墻自身配置、設(shè)置等導(dǎo)致第一數(shù)據(jù)包轉(zhuǎn)發(fā)不正確出現(xiàn)的問題����,并且分析出現(xiàn)的問題,并給出參考建議����。另外,在使用三種不同的診斷手段對網(wǎng)絡(luò)防火墻進(jìn)行診斷的過程中��,還會實(shí)時(shí)給出當(dāng)前時(shí)間及對當(dāng)前第一數(shù)據(jù)包診斷的情況��,這其中包含模擬數(shù)據(jù)包在每個(gè)模塊中的通過情況�,實(shí)時(shí)數(shù)據(jù)包和預(yù)設(shè)數(shù)據(jù)包的通過和未通過的第一數(shù)據(jù)包數(shù)目的情況。其中���,在根據(jù)實(shí)時(shí)數(shù)據(jù)包進(jìn)行診斷的過程中�����,系統(tǒng)還可以實(shí)時(shí)抓取符合過濾條件的實(shí)時(shí)數(shù)據(jù)包��,而在根據(jù)模擬數(shù)據(jù)包進(jìn)行診斷時(shí)則可以根據(jù)用戶的過濾條件自動生成第一數(shù)據(jù)包的抓包文件�����,在診斷過程中生成的這些抓包文件可以在診斷結(jié)束后通過抓包文件導(dǎo)出�,以供用戶查看。由于本發(fā)明可以根據(jù)三種第一數(shù)據(jù)包對網(wǎng)絡(luò)防火墻進(jìn)行診斷�����,則在診斷之前�,本系統(tǒng)可以通過獲取用戶的診斷請求選擇針對不同第一數(shù)據(jù)包的診斷手段,如診斷真實(shí)的流量問題的診斷請求選擇在線檢測��,診斷網(wǎng)絡(luò)防火墻對實(shí)時(shí)數(shù)據(jù)包的處理過程�,模擬真實(shí)流量或上線前檢測設(shè)備是否正確可用,可以選擇模擬檢測或?qū)霗z測���,并診斷網(wǎng)絡(luò)防火墻對模擬數(shù)據(jù)包或預(yù)設(shè)數(shù)據(jù)包的處理過程�。根據(jù)本發(fā)明的上述實(shí)施例�����,第二過程數(shù)據(jù)進(jìn)行診斷�,得到診斷結(jié)果的步驟還可以包括獲取診斷時(shí)間;檢測診斷時(shí)間是否達(dá)到預(yù)設(shè)診斷時(shí)間����;在診斷時(shí)間達(dá)到預(yù)設(shè)診斷時(shí)間的情況下,對第二過程數(shù)據(jù)進(jìn)行診斷���,得到診斷結(jié)果�。其中�����,預(yù)設(shè)診斷時(shí)間可以為30分鐘��,也可以為24小時(shí)����,還可以為30分鐘至24小時(shí)之間的任意一個(gè)時(shí)間范圍。其中�,用戶還可以通過獲取第二過程數(shù)據(jù)的數(shù)量結(jié)束診斷,也即出現(xiàn)一定數(shù)量的錯誤的時(shí)候����,系統(tǒng)就會自動結(jié)束診斷并給出診斷報(bào)告�����。另外�����,用戶也可以手動來停止某次診斷�����,通過用戶手動或通過檢測診斷時(shí)間而停止診斷時(shí)�,不管診斷過程中是否有問題出現(xiàn)�,系統(tǒng)都會自動停止并給出診斷報(bào)告。需要說明的是�����,在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行��,并且��,雖然在流程圖中示出了邏輯順序��,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟�����。從以上的描述中��,可以看出����,本發(fā)明實(shí)現(xiàn)了如下技術(shù)效果通過本發(fā)明��,對網(wǎng)絡(luò)防火墻處理第一數(shù)據(jù)包的處理過程進(jìn)行記錄��,對網(wǎng)絡(luò)防火墻中的每ー步相關(guān)模塊的處理過程都會進(jìn)行相關(guān)記錄和分析����,并在出現(xiàn)第一數(shù) 據(jù)包丟棄或第一數(shù)據(jù)包在某個(gè)模塊處理出錯時(shí)會進(jìn)行綜合分析,獲取診斷結(jié)果��,井根據(jù)相關(guān)分析情況給出針對該錯誤的處理建議��,幫助用戶正確診斷出本次第一數(shù)據(jù)包出錯的原因�,解決了現(xiàn)有技術(shù)中對通過網(wǎng)絡(luò)防火墻的第一數(shù)據(jù)包的診斷不準(zhǔn)確,從而導(dǎo)致數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)不正確的問題����,實(shí)現(xiàn)了準(zhǔn)確快速定位網(wǎng)絡(luò)故障的原因�,并給出相關(guān)的解決方案的效果��,幫助用戶準(zhǔn)確���、快速����、自動定位和分析網(wǎng)絡(luò)防火墻自身配置����、設(shè)置等導(dǎo)致第一數(shù)據(jù)包轉(zhuǎn)發(fā)不正確出現(xiàn)的問題,從而建議用戶更改設(shè)置以使第ー數(shù)據(jù)包準(zhǔn)確轉(zhuǎn)發(fā)��。顯然�����,本領(lǐng)域的技術(shù)人員應(yīng)該明白����,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算裝置上,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上����,可選地,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn)�,從而,可以將它們存儲在存儲裝置中由計(jì)算裝置來執(zhí)行�����,或者將它們分別制作成各個(gè)集成電路模塊����,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)����。這樣,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合��。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已���,并不用于限制本發(fā)明����,對于本領(lǐng)域的技術(shù)人員來說���,本發(fā)明可以有各種更改和變化����。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�、等同替換、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.ー種診斷網(wǎng)絡(luò)防火墻的方法,其特征在于���,包括 將網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程中的數(shù)據(jù)進(jìn)行記錄����,以獲取所述處理過程中產(chǎn)生的第一過程數(shù)據(jù)���; 將所述第一過程數(shù)據(jù)與預(yù)設(shè)診斷數(shù)據(jù)進(jìn)行對比�����,以獲取第二過程數(shù)據(jù)��,其中����,第二過程數(shù)據(jù)為所述第一過程數(shù)據(jù)中與所述預(yù)設(shè)診斷數(shù)據(jù)相匹配的數(shù)據(jù); 對所述第二過程數(shù)據(jù)進(jìn)行診斷����,得到診斷結(jié)果。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在干�����,對所述第二過程數(shù)據(jù)進(jìn)行診斷����,得到診斷結(jié)果的步驟包括 查詢獲取所述第二過程數(shù)據(jù)的標(biāo)識信息; 讀取與所述標(biāo)識信息所對應(yīng)的第一報(bào)文信息����,所述第一報(bào)文信息為所述第一數(shù)據(jù)包的報(bào)文信息����; 對所述第一報(bào)文信息和第一配置參數(shù)進(jìn)行對比分析��,以獲取診斷參數(shù)�,其中,所述第一配置參數(shù)是所述網(wǎng)絡(luò)防火墻的配置參數(shù)�����; 保存所述第二過程數(shù)據(jù)�、所述標(biāo)識信息以及所述診斷參數(shù),得到所述診斷結(jié)果�����。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在干�,將網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程中的數(shù)據(jù)進(jìn)行記錄�,以獲取所述處理過程中產(chǎn)生的第一過程數(shù)據(jù)的步驟包括 獲取對所述第一數(shù)據(jù)包進(jìn)行過濾的過濾條件; 根據(jù)所述過濾條件對通過所述網(wǎng)絡(luò)防火墻的第一數(shù)據(jù)包進(jìn)行過濾處理�,以獲取所述第一數(shù)據(jù)包中符合所述過濾條件的第二數(shù)據(jù)包�����; 將網(wǎng)絡(luò)防火墻對所述第二數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程中的數(shù)據(jù)進(jìn)行記錄�����,以獲取所述處理過程中產(chǎn)生的所述第一過程數(shù)據(jù)����。
4.根據(jù)權(quán)利要求3所述的方法��,其特征在于�,所述網(wǎng)絡(luò)防火墻通過以下方法獲取所述第一數(shù)據(jù)包 獲取通過所述網(wǎng)絡(luò)防火墻的所述實(shí)時(shí)數(shù)據(jù)包,并將所述實(shí)時(shí)數(shù)據(jù)包作為所述第一數(shù)據(jù)包�����;或者���, 生成模擬數(shù)據(jù)包,并使所述模擬數(shù)據(jù)包通過所述網(wǎng)絡(luò)防火墻以便所述網(wǎng)絡(luò)防火墻將所述模擬數(shù)據(jù)包作為所述第一數(shù)據(jù)包�;或者, 解析預(yù)設(shè)數(shù)據(jù)包��,并將解析后的預(yù)設(shè)數(shù)據(jù)包在所述網(wǎng)絡(luò)防火墻中回放,以便所述網(wǎng)絡(luò)防火墻將所述處理后的預(yù)設(shè)數(shù)據(jù)包作為所述第一數(shù)據(jù)包�����。
5.根據(jù)權(quán)利要求1所述的方法���,其特征在干��,對所述第二過程數(shù)據(jù)進(jìn)行診斷�����,得到診斷結(jié)果的步驟包括 獲取診斷時(shí)間��; 判斷所述診斷時(shí)間是否達(dá)到預(yù)設(shè)診斷時(shí)間���; 在所述診斷時(shí)間達(dá)到所述預(yù)設(shè)診斷時(shí)間的情況下,對所述第二過程數(shù)據(jù)進(jìn)行診斷���,得到所述診斷結(jié)果��。
6.ー種診斷網(wǎng)絡(luò)防火墻的裝置�����,其特征在于��,包括 第一處理模塊����,用于將網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程進(jìn)行記錄,以獲取所述處理過程中產(chǎn)生的過程數(shù)據(jù)�����;第二處理模塊���,用于將所述第一過程數(shù)據(jù)與預(yù)設(shè)診斷數(shù)據(jù)進(jìn)行對比���,以獲取第二過程數(shù)據(jù),其中�����,第二過程數(shù)據(jù)為所述第一過程數(shù)據(jù)中與所述預(yù)設(shè)診斷數(shù)據(jù)相匹配的數(shù)據(jù)����; 第三處理模塊�,用于對所述第二過程數(shù)據(jù)進(jìn)行診斷�����,得到診斷結(jié)果��。
7.根據(jù)權(quán)利要求6所述的裝置���,其特征在于,所述第三處理模塊包括 第一獲取模塊�����,用于查詢獲取所述第二過程數(shù)據(jù)的標(biāo)識信息�; 讀取模塊,用于讀取與所述標(biāo)識信息所對應(yīng)的第一報(bào)文信息��,所述第一報(bào)文信息為所述第一數(shù)據(jù)包的報(bào)文信息����; 分析模塊,用于對所述第一報(bào)文信息和第一配置參數(shù)進(jìn)行對比分析��,以獲取診斷參數(shù)����,其中�����,所述第一配置參數(shù)是所述網(wǎng)絡(luò)防火墻的配置參數(shù)�; 保存模塊����,用于保存所述第二過程數(shù)據(jù)、所述標(biāo)識信息以及所述診斷參數(shù)�����,得到所述診斷結(jié)果���。
8.根據(jù)權(quán)利要求6所述的裝置����,其特征在于���,所述第一處理模塊包括 第二獲取模塊���,用于獲取對所述第一數(shù)據(jù)包進(jìn)行過濾的過濾條件; 過濾模塊,用于根據(jù)所述過濾條件對通過所述網(wǎng)絡(luò)防火墻的第一數(shù)據(jù)包進(jìn)行過濾處理���,以獲取所述第一數(shù)據(jù)包中符合所述過濾條件的第二數(shù)據(jù)包; 第四處理模塊�,用于將網(wǎng)絡(luò)防火墻對所述第二數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程中的數(shù)據(jù)進(jìn)行記錄,以獲取所述處理過程中產(chǎn)生的第一過程數(shù)據(jù)����。
9.根據(jù)權(quán)利要求8所述的裝置,其特征在于�����,所述裝置還包括 第三獲取模塊�����,用于獲取通過所述網(wǎng)絡(luò)防火墻的所述實(shí)時(shí)數(shù)據(jù)包��,并將所述實(shí)時(shí)數(shù)據(jù)包作為所述第一數(shù)據(jù)包�����; 第一子處理模塊����,用于生成模擬數(shù)據(jù)包��,并使所述模擬數(shù)據(jù)包通過所述網(wǎng)絡(luò)防火墻以便所述網(wǎng)絡(luò)防火墻將所述模擬數(shù)據(jù)包作為所述第一數(shù)據(jù)包�����; 第二子處理模塊���,用于解析預(yù)設(shè)數(shù)據(jù)包,并將解析后的預(yù)設(shè)數(shù)據(jù)包在所述網(wǎng)絡(luò)防火墻中回放����,以便所述網(wǎng)絡(luò)防火墻將所述處理后的預(yù)設(shè)數(shù)據(jù)包作為所述第一數(shù)據(jù)包。
10.根據(jù)權(quán)利要求6所述的裝置���,其特征在于�����,所述第三處理模塊包括 第四獲取模塊��,用于獲取診斷時(shí)間�; 檢測模塊���,用于檢測所述診斷時(shí)間是否達(dá)到預(yù)設(shè)診斷時(shí)間�; 第五處理模塊,用于在所述診斷時(shí)間達(dá)到所述預(yù)設(shè)診斷時(shí)間的情況下����,對所述第二過程數(shù)據(jù)進(jìn)行診斷,得到診斷結(jié)果��。
全文摘要
本發(fā)明公開了一種診斷網(wǎng)絡(luò)防火墻的方法及裝置�����。其中���,該方法包括將網(wǎng)絡(luò)防火墻對第一數(shù)據(jù)包進(jìn)行解封裝和檢測處理的處理過程中的數(shù)據(jù)進(jìn)行記錄,以獲取處理過程中產(chǎn)生的第一過程數(shù)據(jù)��;將第一過程數(shù)據(jù)與預(yù)設(shè)診斷數(shù)據(jù)進(jìn)行對比�,以獲取第二過程數(shù)據(jù),其中��,第二過程數(shù)據(jù)為第一過程數(shù)據(jù)中與預(yù)設(shè)診斷數(shù)據(jù)相匹配的數(shù)據(jù)�����;對第二過程數(shù)據(jù)進(jìn)行診斷,得到診斷結(jié)果��。通過本發(fā)明���,實(shí)現(xiàn)了準(zhǔn)確快速定位網(wǎng)絡(luò)故障的原因����,并給出相關(guān)的解決方案的效果����,幫助用戶準(zhǔn)確、快速���、自動定位和分析網(wǎng)絡(luò)防火墻自身配置�����、設(shè)置等導(dǎo)致第一數(shù)據(jù)包轉(zhuǎn)發(fā)不正確出現(xiàn)的問題��,從而建議用戶更改設(shè)置以使第一數(shù)據(jù)包準(zhǔn)確轉(zhuǎn)發(fā)�����。
文檔編號H04L29/06GK103067395SQ20121059199
公開日2013年4月24日 申請日期2012年12月31日 優(yōu)先權(quán)日2012年12月31日
發(fā)明者胡仁豪 申請人:蘇州山石網(wǎng)絡(luò)有限公司