多個防火墻的ip連通性的測試方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種多個防火墻的IP(Internet Protocol,網(wǎng)絡(luò)之間互連的協(xié)議)連通性的測試方法。
【背景技術(shù)】
[0002]防火墻是網(wǎng)絡(luò)安全的屏障,位于計算機(jī)和它所連接的網(wǎng)絡(luò)之間,該計算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。通過以防火墻為中心的安全方案能夠極大地提高內(nèi)部網(wǎng)絡(luò)的安全性,并過濾不安全的服務(wù)而降低風(fēng)險。
[0003]在實際的應(yīng)用中,由于存在多種多樣的防火墻,為了確定兩個IP是否可以透過防火墻進(jìn)行通信,往往需要人工對每一個防火墻進(jìn)行IP連通性測試。這樣復(fù)雜繁瑣的測試操作,使得安全工作人員的工作效率和準(zhǔn)確性不能達(dá)到理想的效果。
【發(fā)明內(nèi)容】
[0004]本發(fā)明要解決的技術(shù)問題是為了克服現(xiàn)有技術(shù)中確定兩個IP是否可以透過防火墻進(jìn)行通信時,需要人工對每一個防火墻進(jìn)行測試,從而導(dǎo)致工作效率低下的缺陷,提供一種能夠自動化測試并且測試效率高的多個防火墻的IP連通性的測試方法。
[0005]本發(fā)明是通過下述技術(shù)方案來解決上述技術(shù)問題的:
[0006]一種多個防火墻的IP連通性的測試方法,其特點在于,包括以下步驟:
[0007]S1、解析該多個防火墻的配置信息,得到每個防火墻的路由信息、地址信息庫以及規(guī)則信息,
[0008]其中,每個防火墻中,路由信息包括多個接口信息,地址信息庫包括若干個地址信息,規(guī)則信息包括多個源地址信息和多個目的地址信息,該多個源地址信息和該多個目的地址信息構(gòu)成該若干個地址信息中的部分地址信息;
[0009]S2、將該多個防火墻的路由信息、地址信息庫和規(guī)則信息存儲至一數(shù)據(jù)庫;
[0010]S3、獲取源IP和目的IP ;
[0011]S4、依次測試每個防火墻,執(zhí)行以下步驟:
[0012]S41、分別將該源IP和該目的IP與該數(shù)據(jù)庫中待測試防火墻的路由信息進(jìn)行匹配判斷,當(dāng)該源IP和該目的IP同時與該待測試防火墻的路由信息匹配時,獲取第一接口信息和第二接口信息,否則,結(jié)束對該待測試防火墻的測試,
[0013]其中,該第一接口信息為該待測試防火墻的路由信息中與該源IP對應(yīng)的接口信息,該第二接口信息為該待測試防火墻的路由信息中與該目的IP對應(yīng)的接口信息;
[0014]S42、判斷該第一接口信息和該第二接口信息是否相同,若否,則執(zhí)行步驟S43,若是,則結(jié)束對該待測試防火墻的測試;
[0015]S43、判斷在該數(shù)據(jù)庫內(nèi)是否查找到第一地址信息和第二地址信息,若是,則執(zhí)行步驟S44,若否,則結(jié)束對該待測試防火墻的測試,
[0016]其中,該第一地址信息為該待測試防火墻的地址信息庫中與該源IP對應(yīng)的地址信息,該第二地址信息為該待測試防火墻的地址信息庫中與該目的IP對應(yīng)的地址信息;
[0017]S44、判斷該待測試防火墻的規(guī)則信息中該多個源地址信息是否包含任意地址或該第一地址信息,且該多個目的地址信息是否包含任意地址或該第二地址信息,若是,則該源IP和該目的IP能通過該待測試防火墻,若否,則該源IP和該目的IP不能通過該待測試防火墻。
[0018]本方案中,每個防火墻的路由信息、地址信息庫和規(guī)則信息都是通過解析配置信息而得到的,其中,源地址信息和目的地址信息代表位于防火墻兩側(cè)并能通過該防火墻的地址信息。
[0019]步驟S41中,若源IP和目的IP同時與待測試防火墻的路由信息匹配,則在該待測試防火墻的路由信息中分別獲取與該源IP和該目的IP對應(yīng)的接口信息。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,當(dāng)一個IP與防火墻的路由信息匹配時,路由信息包含的多個接口信息中必定存在與該IP對應(yīng)的接口信息。
[0020]步驟S42中,若第一接口信息和第二接口信息相同,說明與第一接口信息對應(yīng)的源IP和與第二接口信息對應(yīng)的目的IP位于待測試防火墻的同一側(cè),這種情況下不需要對源IP和目的IP進(jìn)行該待測試防火墻的連通性測試。
[0021]步驟S43中,待測試防火墻的地址信息庫中不一定包含有分別與源IP和目的IP對應(yīng)的地址信息,當(dāng)查找不到與源IP和目的IP對應(yīng)的接口信息時,結(jié)束對該待測試防火墻的測試。
[0022]步驟S44中,待測試防火墻的規(guī)則信息中的多個源地址信息是否包含任意地址是指,是否允許任意地址通過該待測試防火墻,當(dāng)多個源地址信息中包含任意地址時,任何源IP都能通過該待測試防火墻,同樣地,當(dāng)多個目的地址信息中包含任意地址時,任何目的IP都能通過該待測試防火墻。容易理解地,源IP和目的IP能通過待測試防火墻是指,源IP和目的IP之間能通過該待測試防火墻進(jìn)行通信,源IP和目的IP不能通過待測試防火墻是指,源IP和目的IP之間不能通過該待測試防火墻進(jìn)行通信。
[0023]需要說明的是,步驟S41中源IP和目的IP同時與待測試防火墻的路由信息匹配并不代表源IP和目的IP能通過該待測試防火墻,源IP和目的IP通過防火墻的條件是:在源IP和目的IP同時與待測試防火墻的路由信息匹配的前提下,與源IP和目的IP對應(yīng)的地址信息需要匹配到該待測試防火墻的一條規(guī)則。所述規(guī)則包含兩種情況:第一種情況為,該待測試防火墻的源地址信息和目的地址信息可以為任意地址;第二種情況為,該待測試防火墻的源地址信息包含與該源IP對應(yīng)的地址信息且該待測試防火墻的目的地址信息包含與該目的IP對應(yīng)的地址信息。
[0024]本方案中,通過對多個防火墻配置文件的解析,以及將解析得到的路由信息、地址信息庫和規(guī)則信息存儲至數(shù)據(jù)庫中,采用統(tǒng)一的查詢?nèi)肟诩磾?shù)據(jù)庫依次對每個防火墻進(jìn)行測試,實現(xiàn)了自動化的IP連通性測試,有效提高了防火墻管理員的工作效率和準(zhǔn)確性。
[0025]較佳地,步驟S44替換為以下步驟:
[0026]S441、判斷該待測試防火墻的規(guī)則信息中該多個源地址信息是否包含任意地址,且該多個目的地址信息是否包含任意地址,若是,則該源IP和該目的IP能通過該待測試防火墻,并結(jié)束對該待測試防火墻的測試,若否,則執(zhí)行步驟S442;
[0027]S442、判斷該待測試防火墻的規(guī)則信息中該多個源地址信息是否包含任意地址,且該多個目的地址信息是否包含該第二地址信息,若是,則該源IP和該目的IP能通過該待測試防火墻,并結(jié)束對該待測試防火墻的測試,若否,則執(zhí)行步驟S443;
[0028]S443、判斷該待測試防火墻的規(guī)則信息中該多個源地址信息是否包含該第一地址信息,且該多個目的地址信息是否包含任意地址,若是,則該源IP和該目的IP能通過該待測試防火墻,并結(jié)束對該待測試防火墻的測試,若否,則執(zhí)行步驟S444;
[0029]S444、判斷該待測試防火墻的規(guī)則信息中該多個源地址信息是否包含該第一地址信息,且該多個目的地址信息是否包含該第二地址信息,若是,則該源IP和該目的IP能通過該待測試防火墻,若否,則該源IP和該目的IP不能通過該待測試防火墻。
[0030]本方案中,首先判斷多個源地址信息和多個目的地址信息中是否包含任意地址,即判斷是否允許任意地址通過待測試防火墻,當(dāng)多個源地址信息和/或多個目的地址信息中包含任意地址時,則不需要再進(jìn)行多個源地址信息是否包含第一地址信息和/或多個目的地址信息中是否包含第二地址信息的判斷。
[0031]較佳地,步驟S1*采用python( —種計算機(jī)程序設(shè)計語言)語言的xml (Extensible Markup Language,可擴(kuò)展標(biāo)記語言)模塊進(jìn)行解析。
[0032]較佳地,步驟S41中采用最長掩碼匹配方法進(jìn)行匹配判斷。
[0033]本方案中,最長掩碼匹配方法為路由信息匹配的現(xiàn)有方法,不再贅述。
[0034]在符合本領(lǐng)域常識的基礎(chǔ)上,上述各優(yōu)選條件,可任意組合,即得本發(fā)明各較佳實例。
[0035]本發(fā)明的積極進(jìn)步效果在于:與現(xiàn)有技術(shù)相比,本發(fā)明通過對多個防火墻配置文件的解析,以及將解析得到的路由信息、地址信息庫和規(guī)則信息存儲至數(shù)據(jù)庫中,采用統(tǒng)一的查詢?nèi)肟谝来螌γ總€防火墻進(jìn)行測試,實現(xiàn)了自動化的IP連通性測試,有效提高了防火墻管理員的工作效率和準(zhǔn)確性。
【附圖說明】
[0036]圖1為本發(fā)明實施例的IP連通性的測試方法的流程圖。
[0037]圖2為本發(fā)明實施例