ip地址所經(jīng)過的防火墻的查詢方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種ip地址所經(jīng)過的防火墻的查詢方法及系統(tǒng)�,查詢方法包括:S1��、構(gòu)建防火墻信息庫��,其中存儲有源地址數(shù)組、目的地址數(shù)組����、防火墻數(shù)組、防火墻路由數(shù)組以及防火墻接口數(shù)組���;S2��、接收輸入的ip地址,包括目標(biāo)源地址及目標(biāo)目的地址��;S3����、查詢與目標(biāo)源地址相匹配的第一防火墻路由數(shù)組、第一防火墻接口數(shù)組及第一防火墻數(shù)組���;S4���、查詢與目標(biāo)目的地址相匹配的第二防火墻路由數(shù)組��、第二防火墻接口數(shù)組及第二防火墻數(shù)組;S5�、從第一、第二防火墻數(shù)組中刪除當(dāng)?shù)谝?����、第二防火墻接口?shù)組相同時(shí)所對應(yīng)的防火墻數(shù)組���;S6�、提取第一��、第二防火墻數(shù)組的交集�����。本發(fā)明能自動化查詢兩個ip地址經(jīng)過的防火墻���,提高了查詢準(zhǔn)確率���。
【專利說明】
i P地址所經(jīng)過的防火墻的查詢方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及一種ip地址所經(jīng)過的防火墻的查詢方法及系統(tǒng),特別是涉及一種用于判斷兩個ip地址所經(jīng)過的防火墻的查詢方法及系統(tǒng)�����。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的高速發(fā)展,網(wǎng)絡(luò)中會出現(xiàn)各種類型的攻擊�����,大型企業(yè)往往會使用較多的網(wǎng)絡(luò)防火墻設(shè)備��,在防火墻較多的情況下���,安全工程師往往也難以準(zhǔn)確判斷兩個ip(網(wǎng)絡(luò)之間互連的協(xié)議)地址是否要經(jīng)過防火墻,或者經(jīng)過哪臺或哪幾臺防火墻����,往往只能根據(jù)經(jīng)驗(yàn)去模糊判斷�����,或者根據(jù)整理的列表去查詢��,導(dǎo)致費(fèi)時(shí)費(fèi)力��,還有可能做出錯誤的判斷�����,甚至對業(yè)務(wù)生產(chǎn)系統(tǒng)帶來影響。
【發(fā)明內(nèi)容】
[0003]本發(fā)明要解決的技術(shù)問題是為了克服現(xiàn)有技術(shù)中ip地址經(jīng)過防火墻需要人為判斷導(dǎo)致費(fèi)時(shí)費(fèi)力并有可能做出錯誤判斷的缺陷��,提供一種ip地址所經(jīng)過的防火墻的查詢方法及系統(tǒng)�����。
[0004]本發(fā)明是通過下述技術(shù)方案來解決上述技術(shù)問題的:
[0005]本發(fā)明提供了一種ip地址所經(jīng)過的防火墻的查詢方法��,其特點(diǎn)在于��,包括以下步驟:
[0006]S1����、構(gòu)建防火墻信息庫,所述防火墻信息庫中存儲有多個防火墻策略信息�����,每個防火墻策略信息均包括源地址數(shù)組��、目的地址數(shù)組��、防火墻數(shù)組�、防火墻路由數(shù)組以及防火墻接口數(shù)組�����;
[0007]S2�、接收輸入的ip地址�,所述ip地址包括目標(biāo)源地址以及目標(biāo)目的地址;
[0008]S3�����、從所述防火墻信息庫中查詢出與所述目標(biāo)源地址相匹配的第一防火墻路由數(shù)組�,并根據(jù)所述第一防火墻路由數(shù)組查詢出對應(yīng)的第一防火墻接口數(shù)組以及第一防火墻數(shù)組;
[0009]S4��、從所述防火墻信息庫中查詢出與所述目標(biāo)目的地址相匹配的第二防火墻路由數(shù)組���,并根據(jù)所述第二防火墻路由數(shù)組查詢出對應(yīng)的第二防火墻接口數(shù)組以及第二防火墻數(shù)組���;
[0010]&、分別從所述第一防火墻數(shù)組以及所述第二防火墻數(shù)組中刪除當(dāng)所述第一防火墻接口數(shù)組與所述第二防火墻接口數(shù)組相同時(shí)所對應(yīng)的防火墻數(shù)組���;
[0011]s6、提取所述第一防火墻數(shù)組和所述第二防火墻數(shù)組的交集�����。
[0012]較佳地,步驟S3中按照最長掩碼匹配原則查詢所述第一防火墻路由數(shù)組�。
[0013]較佳地,步驟S4中按照最長掩碼匹配原則查詢所述第二防火墻路由數(shù)組���。
[0014]本發(fā)明的目的在于還提供了一種ip地址所經(jīng)過的防火墻的查詢系統(tǒng)�,其特點(diǎn)在于��,包括:
[0015]防火墻信息庫�,用于存儲多個防火墻策略信息,每個防火墻策略信息均包括源地址數(shù)組��、目的地址數(shù)組���、防火墻數(shù)組����、防火墻路由數(shù)組以及防火墻接口數(shù)組����;
[0016]接收模塊,用于接收輸入的ip地址,所述ip地址包括目標(biāo)源地址以及目標(biāo)目的地址��;
[0017]第一查詢模塊���,用于從所述防火墻信息庫中查詢出與所述目標(biāo)源地址相匹配的第一防火墻路由數(shù)組����,并根據(jù)所述第一防火墻路由數(shù)組查詢出對應(yīng)的第一防火墻接口數(shù)組以及第一防火墻數(shù)組����;
[0018]第二查詢模塊,用于從所述防火墻信息庫中查詢出與所述目標(biāo)目的地址相匹配的第二防火墻路由數(shù)組��,并根據(jù)所述第二防火墻路由數(shù)組查詢出對應(yīng)的第二防火墻接口數(shù)組以及第二防火墻數(shù)組�;
[0019]刪除模塊,用于分別從所述第一防火墻數(shù)組以及所述第二防火墻數(shù)組中刪除當(dāng)所述第一防火墻接口數(shù)組與所述第二防火墻接口數(shù)組相同時(shí)所對應(yīng)的防火墻數(shù)組�;
[0020]提取模塊,用于提取所述第一防火墻數(shù)組和所述第二防火墻數(shù)組的交集����。
[0021]較佳地,所述第一查詢模塊用于按照最長掩碼匹配原則查詢所述第一防火墻路由數(shù)組�����。
[0022]較佳地�����,所述第二查詢模塊用于按照最長掩碼匹配原則查詢所述第二防火墻路由數(shù)組�。
[0023]本發(fā)明的積極進(jìn)步效果在于:本發(fā)明能夠自動化地查詢兩個ip地址所經(jīng)過的防火墻,并且為查詢兩個ip地址所經(jīng)過的防火墻提供了統(tǒng)一的查詢接口���,提高了查詢及判斷的準(zhǔn)確率以及防火墻的管理效率���,降低了工作量,使得查詢步驟標(biāo)準(zhǔn)化���,提高了策略查詢的準(zhǔn)確性����。
【附圖說明】
[0024]圖1為本發(fā)明的較佳實(shí)施例的ip地址所經(jīng)過的防火墻的查詢方法的流程圖���。
[0025]圖2為本發(fā)明的較佳實(shí)施例的ip地址所經(jīng)過的防火墻的查詢系統(tǒng)的模塊示意圖����。
【具體實(shí)施方式】
[0026]下面通過實(shí)施例的方式進(jìn)一步說明本發(fā)明�����,但并不因此將本發(fā)明限制在所述的實(shí)施例范圍之中。
[0027]如圖1所示����,本發(fā)明的ip地址所經(jīng)過的防火墻的查詢方法包括以下步驟:
[0028]步驟101、構(gòu)建防火墻信息庫��,所述防火墻信息庫中存儲有多個防火墻策略信息�,每個防火墻策略信息均包括源地址數(shù)組(ip(srcip))、目的地址數(shù)組(ip(dstip))�、防火墻數(shù)組(fwobj)、防火墻路由數(shù)組(route)以及防火墻接口數(shù)組(interface);
[0029]本發(fā)明中主要是對現(xiàn)有網(wǎng)絡(luò)中的線上防火墻的配置進(jìn)行獲取和解析出組成防火墻策略的要素信息����,這樣就可以將多品牌的防火墻的信息抽象為統(tǒng)一的表示信息,為本發(fā)明中的查詢方法提供了基礎(chǔ)數(shù)據(jù)��。
[0030]步驟102���、接收輸入的ip地址����,所述ip地址包括目標(biāo)源地址(srcjp)以及目標(biāo)目的地址(dst_ip)���;
[0031]步驟103��、從所述防火墻信息庫中取出防火墻路由數(shù)組(route)����,與所述目標(biāo)源地址(src_ip)按照最長掩碼匹配原則��,從所述防火墻信息庫中查詢出與所述目標(biāo)源地址相匹配的第一防火墻路由數(shù)組�����,并根據(jù)所述第一防火墻路由數(shù)組查詢出對應(yīng)的第一防火墻接口數(shù)組(interface I)以及第一防火墻數(shù)組(fwob jl)�;
[0032]步驟104、從所述防火墻信息庫中取出防火墻路由數(shù)組(route)�����,與所述目標(biāo)目的地址(dst_ip)按照最長掩碼匹配原則����,從所述防火墻信息庫中查詢出與所述目標(biāo)目的地址相匹配的第二防火墻路由數(shù)組,并根據(jù)所述第二防火墻路由數(shù)組查詢出對應(yīng)的第二防火墻接口數(shù)組(interface2)以及第二防火墻數(shù)組(fwob j2)����;
[0033]步驟105��、分別從所述第一防火墻數(shù)組(fwobjl)以及所述第二防火墻數(shù)組(fwob j2)中刪除當(dāng)所述第一防火墻接口數(shù)組與所述第二防火墻接口數(shù)組相同時(shí)(gpinterfacel = interf ace2)所對應(yīng)的防火墻數(shù)組����;
[0034]步驟106�、提取所述第一防火墻數(shù)組(fwobjl)和所述第二防火墻數(shù)組(fwobj2)的交集(fwob j3),即是所述目標(biāo)源地址(srcjp)和所述目標(biāo)目的地址(dst_ip)所經(jīng)過的防火墻���,從而實(shí)現(xiàn)了防火墻的查詢�。
[0035]如圖2所示�,本發(fā)明的ip地址所經(jīng)過的防火墻的查詢系統(tǒng)包括防火墻信息庫1、接收模塊2����、第一查詢模塊3、第二查詢模塊4�����、刪除模塊5以及提取模塊6�����。
[0036]其中��,所述防火墻信息庫I用于存儲多個防火墻策略信息,每個防火墻策略信息均包括源地址數(shù)組�、目的地址數(shù)組、防火墻數(shù)組���、防火墻路由數(shù)組以及防火墻接口數(shù)組;所述接收模塊2用于接收輸入的ip地址�,所述ip地址包括目標(biāo)源地址以及目標(biāo)目的地址;所述第一查詢模塊3用于從所述防火墻信息庫中查詢出與所述目標(biāo)源地址相匹配的第一防火墻路由數(shù)組����,并根據(jù)所述第一防火墻路由數(shù)組查詢出對應(yīng)的第一防火墻接口數(shù)組以及第一防火墻數(shù)組;所述第二查詢模塊4用于從所述防火墻信息庫中查詢出與所述目標(biāo)目的地址相匹配的第二防火墻路由數(shù)組�,并根據(jù)所述第二防火墻路由數(shù)組查詢出對應(yīng)的第二防火墻接口數(shù)組以及第二防火墻數(shù)組;所述刪除模塊5用于分別從所述第一防火墻數(shù)組以及所述第二防火墻數(shù)組中刪除當(dāng)所述第一防火墻接口數(shù)組與所述第二防火墻接口數(shù)組相同時(shí)所對應(yīng)的防火墻數(shù)組;所述提取模塊6用于提取所述第一防火墻數(shù)組和所述第二防火墻數(shù)組的交集,即查詢并獲得所述目標(biāo)源地址和所述目標(biāo)目的地址所經(jīng)過的防火墻���。
[0037]優(yōu)選地��,所述第一查詢模塊3可以按照最長掩碼匹配原則查詢所述第一防火墻路由數(shù)組���,所述第二查詢模塊4可以按照最長掩碼匹配原則查詢所述第二防火墻路由數(shù)組�。
[0038]雖然以上描述了本發(fā)明的【具體實(shí)施方式】,但是本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解����,這些僅是舉例說明�����,本發(fā)明的保護(hù)范圍是由所附權(quán)利要求書限定的���。本領(lǐng)域的技術(shù)人員在不背離本發(fā)明的原理和實(shí)質(zhì)的前提下,可以對這些實(shí)施方式做出多種變更或修改�,但這些變更和修改均落入本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種ip地址所經(jīng)過的防火墻的查詢方法�,其特征在于,包括以下步驟: S1��、構(gòu)建防火墻信息庫��,所述防火墻信息庫中存儲有多個防火墻策略信息����,每個防火墻策略信息均包括源地址數(shù)組、目的地址數(shù)組����、防火墻數(shù)組、防火墻路由數(shù)組以及防火墻接口數(shù)組�����; &、接收輸入的ip地址�����,所述ip地址包括目標(biāo)源地址以及目標(biāo)目的地址�����; &��、從所述防火墻信息庫中查詢出與所述目標(biāo)源地址相匹配的第一防火墻路由數(shù)組���,并根據(jù)所述第一防火墻路由數(shù)組查詢出對應(yīng)的第一防火墻接口數(shù)組以及第一防火墻數(shù)組; S4�����、從所述防火墻信息庫中查詢出與所述目標(biāo)目的地址相匹配的第二防火墻路由數(shù)組���,并根據(jù)所述第二防火墻路由數(shù)組查詢出對應(yīng)的第二防火墻接口數(shù)組以及第二防火墻數(shù)組�����;s5��、分別從所述第一防火墻數(shù)組以及所述第二防火墻數(shù)組中刪除當(dāng)所述第一防火墻接口數(shù)組與所述第二防火墻接口數(shù)組相同時(shí)所對應(yīng)的防火墻數(shù)組��; S6��、提取所述第一防火墻數(shù)組和所述第二防火墻數(shù)組的交集���。2.如權(quán)利要求1所述的ip地址所經(jīng)過的防火墻的查詢方法����,其特征在于����,步驟S3中按照最長掩碼匹配原則查詢所述第一防火墻路由數(shù)組。3.如權(quán)利要求1所述的ip地址所經(jīng)過的防火墻的查詢方法�,其特征在于,步驟S4中按照最長掩碼匹配原則查詢所述第二防火墻路由數(shù)組�。4.一種ip地址所經(jīng)過的防火墻的查詢系統(tǒng),其特征在于��,包括: 防火墻信息庫��,用于存儲多個防火墻策略信息�����,每個防火墻策略信息均包括源地址數(shù)組、目的地址數(shù)組��、防火墻數(shù)組����、防火墻路由數(shù)組以及防火墻接口數(shù)組; 接收模塊�����,用于接收輸入的ip地址���,所述ip地址包括目標(biāo)源地址以及目標(biāo)目的地址���;第一查詢模塊,用于從所述防火墻信息庫中查詢出與所述目標(biāo)源地址相匹配的第一防火墻路由數(shù)組��,并根據(jù)所述第一防火墻路由數(shù)組查詢出對應(yīng)的第一防火墻接口數(shù)組以及第一防火墻數(shù)組�; 第二查詢模塊����,用于從所述防火墻信息庫中查詢出與所述目標(biāo)目的地址相匹配的第二防火墻路由數(shù)組,并根據(jù)所述第二防火墻路由數(shù)組查詢出對應(yīng)的第二防火墻接口數(shù)組以及第二防火墻數(shù)組; 刪除模塊�,用于分別從所述第一防火墻數(shù)組以及所述第二防火墻數(shù)組中刪除當(dāng)所述第一防火墻接口數(shù)組與所述第二防火墻接口數(shù)組相同時(shí)所對應(yīng)的防火墻數(shù)組; 提取模塊���,用于提取所述第一防火墻數(shù)組和所述第二防火墻數(shù)組的交集�。5.如權(quán)利要求4所述的ip地址所經(jīng)過的防火墻的查詢系統(tǒng)����,其特征在于,所述第一查詢模塊用于按照最長掩碼匹配原則查詢所述第一防火墻路由數(shù)組����。6.如權(quán)利要求4所述的ip地址所經(jīng)過的防火墻的查詢系統(tǒng),其特征在于��,所述第二查詢模塊用于按照最長掩碼匹配原則查詢所述第二防火墻路由數(shù)組���。
【文檔編號】H04L29/06GK105978881SQ201610319198
【公開日】2016年9月28日
【申請日】2016年5月13日
【發(fā)明人】鄭晨, 吳善鵬, 田國華, 雷兵, 朱志博
【申請人】上海攜程商務(wù)有限公司