本发明涉及网络
技术领域:
:,特别涉及一种针对防火墙配置文件的检测方法及装置。
背景技术:
::防火墙(iptables)组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。目前,通常都是人为直接设置iptables,从而进行信息包的过滤。但是如果防火墙规则改变,但并不是系统管理员已知的修改,则系统管理员无法知道防火墙配置文件被修改了什么,也不知道什么时间被修改的。由于无法实时监控防火墙的配置文件的状态,无法及时了解防火墙的配置文件是否被修改,这样会对系统管理人员排查问题造成困难,导致系统的安全性下降。技术实现要素:本发明实施例的目的在于提供一种针对防火墙配置文件的检测方法及装置,以提高系统的安全性。为达到上述目的,本发明实施例公开了一种针对防火墙配置文件的检测方法,方法包括:利用预设算法对防火墙的当前配置文件进行计算;根据计算所得到的值以及预先存储的值,检测所述防火墙的当前配置文件是否被修改,其中,预先存储的值为预先利用所述预设算法对防火墙的配置文件进行计算得到的。较佳的,所述预设算法为以下算法的一种:消息摘要算法、安全哈希算法。较佳的,所述根据计算所得到的值以及预先存储的值,检测所述防火墙的当前配置文件是否被修改,包括:对比计算所得到的值以及预先存储的值是否相同,如果相同,表示所述防火墙的当前配置文件未被修改,如果不相同,表示所述防火墙的当前配置文件被修改。较佳的,在检测出所述防火墙的当前配置文件被修改的情况下,所述方法还包括:向用户展示提示信息,其中,所述提示信息用于提示用户防火墙的当前配置文件被修改。较佳的,在检测出所述防火墙的当前配置文件被修改的情况下,所述方法还包括:对比所述当前配置文件与预先存储的所述防火墙的配置文件;向用户展示对比结果。为达到上述目的,本发明实施例公开了一种针对防火墙配置文件的检测装置,装置包括:计算模块,用于利用预设算法对防火墙的当前配置文件进行计算;检测模块,用于根据计算所得到的值以及预先存储的值,检测所述防火墙的当前配置文件是否被修改,其中,预先存储的值为预先利用所述预设算法对防火墙的配置文件进行计算得到的。较佳的,所述预设算法为以下算法的一种:消息摘要算法、安全哈希算法。较佳的,所述检测模块,具体用于:对比计算所得到的值以及预先存储的值是否相同,如果相同,表示所述防火墙的当前配置文件未被修改,如果不相同,表示所述防火墙的当前配置文件被修改。较佳的,所述装置还包括:第一展示模块,在检测出所述防火墙的当前配置文件被修改的情况下,用于向用户展示提示信息,其中,所述提示信息用于提示用户防火墙的当前配置文件被修改。较佳的,所述装置还包括:对比模块,用于在检测出所述防火墙的当前配置文件被修改的情况下,对比所述当前配置文件与预先存储的所述防火墙的配置文件;第二展示模块,用于向用户展示对比结果。由上述的技术方案可见,本发明实施例提供了一种针对防火墙配置文件的检测方法及装置,利用预设算法对防火墙的当前配置文件进行计算;根据计算所得到的值以及预先存储的值,检测所述防火墙的当前配置文件是否被修改,其中,预先存储的值为预先利用所述预设算法对防火墙的配置文件进行计算得到的。可见,利用算法对防火墙的当前配置文件进行计算,并利用计算得到的值和预先存储的值检测防火墙当前配置文件是否被修改,可以及时排查并处理防火墙的当前配置文件出现的问题,减少对系统可能造成的危害,从而提高了系统的安全性。当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例提供的针对防火墙配置文件的检测方法的一种流程示意图;图2为本发明实施例提供的针对防火墙配置文件的检测方法的另一种流程示意图;图3为本发明实施例提供的针对防火墙配置文件的检测方法的再一种流程示意图;图4为本发明实施例提供的针对防火墙配置文件的检测装置的一种结构示意图;图5为本发明实施例提供的针对防火墙配置文件的检测装置的另一种结构示意图;图6为本发明实施例提供的针对防火墙配置文件的检测装置的再一种结构示意图。具体实施方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。下面首先对本发明实施例提供的一种针对防火墙配置文件的检测方法进行详细说明。参见图1,图1为本发明实施例提供的针对防火墙配置文件的检测方法的一种流程示意图,可以包括如下步骤:S101,利用预设算法对防火墙的当前配置文件进行计算;具体的,所述预设算法可以为以下算法的一种:消息摘要算法、安全哈希算法。其中,在实际应用中,预设算法可以为加密算法,例如消息摘要算法第五版(MD5)、安全散列算法(SHA-1)等算法。S102,根据计算所得到的值以及预先存储的值,检测所述防火墙的当前配置文件是否被修改,其中,预先存储的值为预先利用所述预设算法对防火墙的配置文件进行计算得到的。具体的,在实际应用中,可以对比计算所得到的值以及预先存储的值是否相同,如果相同,表示所述防火墙的当前配置文件未被修改,如果不相同,表示所述防火墙的当前配置文件被修改。其中,还可以通过短信、邮件等方式将当前配置文件被修改的信息发送给系统管理员等相关用户,以供管理人员及时排查并处理防火墙出现的问题。示例性的,可以预先利用MD5(中文名为消息摘要算法第五版)算法对现有生产环境服务器的iptables(防火墙)配置文件做MD5值的计算,并且把MD5值和配置文件存储到远端数据库中,从而得到预先存储的值a。利用shell(计算机壳层)命令语言判断语句,将上述利用MD5算法对防火墙的当前配置文件计算所得到的值b与a进行对比,并做操作日志记录。如果两个值对比相同,说明防火墙的当前配置文件没有被修改,如果对比不相同,说明防火墙的当前配置文件被修改。在实际应用中,可以通过后台命令把shell脚本设置到系统后台运行,并且记录相关日志,实时监控iptables(防火墙)当前配置文件的MD5值,这样对系统管理员保障系统安全起到了非常好的作用。可见,利用算法对防火墙的当前配置文件进行计算,并利用计算得到的值和预先存储的值检测防火墙当前配置文件是否被修改,可以及时排查并处理防火墙的当前配置文件出现的问题,减少对系统可能造成的危害,从而提高了系统的安全性。参见图2,图2为本发明实施例提供的针对防火墙配置文件的检测方法的另一种流程示意图,本发明图2所示实施例在图1所示实施例的基础上,增加S103:在检测出防火墙的当前配置文件被修改的情况下,向用户展示提示信息,其中,所述提示信息用于提示用户防火墙的当前配置文件被修改。具体的,在检测出防火墙的当前配置文件被修改的情况下,可以向相关用户(诸如系统管理员)展示防火墙的当前配置文件被修改的提示信息。在实际应用中,可以通过短信、邮件等方式将提示信息发送给用户,以提示用户及时进行相应处理。可见,利用算法对防火墙的当前配置文件进行计算,并利用计算得到的值和预先存储的值检测防火墙当前配置文件是否被修改,可以及时排查并处理防火墙的当前配置文件出现的问题,减少对系统可能造成的危害,从而提高了系统的安全性。参见图3,图3为本发明实施例提供的针对防火墙配置文件的检测方法的再一种流程示意图,本发明图3所示实施例在图1所示实施例的基础上,增加以下两个步骤:S104:在检测出防火墙的当前配置文件被修改的情况下,对比所述当前配置文件与预先存储的所述防火墙的配置文件;S105:向用户展示对比结果。示例性的,在实际应用中,可以利用diff命令对预先存储在数据库中的防火墙的配置文件和当前配置文件进行对比,对比出不一致的参数c、d、e,并写入到操作日志中,通过短信收发设备(例如短信猫)以短信方式或者通过邮件群发设备以邮件方式,将不一致的参数通知给用户(例如系统管理员),从而向用户展示对比结果,即对比得到的不一致的参数。可见,利用算法对防火墙的当前配置文件进行计算,并利用计算得到的值和预先存储的值检测防火墙当前配置文件是否被修改,可以及时排查并处理防火墙的当前配置文件出现的问题,减少对系统可能造成的危害,从而提高了系统的安全性。参见图4,图4为本发明实施例提供的针对防火墙配置文件的检测装置的一种结构示意图,与图1所示的流程相对应,该检测装置包括:计算模块401、检测模块402。计算模块401,用于利用预设算法对防火墙的当前配置文件进行计算;具体的,所述预设算法可以为以下算法的一种:消息摘要算法、安全哈希算法。检测模块402,用于根据计算所得到的值以及预先存储的值,检测所述防火墙的当前配置文件是否被修改,其中,预先存储的值为预先利用所述预设算法对防火墙的配置文件进行计算得到的。具体的,检测模块402,具体可以用于:对比计算所得到的值以及预先存储的值是否相同,如果相同,表示所述防火墙的当前配置文件未被修改,如果不相同,表示所述防火墙的当前配置文件被修改。可见,利用算法对防火墙的当前配置文件进行计算,并利用计算得到的值和预先存储的值检测防火墙当前配置文件是否被修改,可以及时排查并处理防火墙的当前配置文件出现的问题,减少对系统可能造成的危害,从而提高了系统的安全性。参见图5,图5为本发明实施例提供的针对防火墙配置文件的检测装置的另一种结构示意图,与图2所示的流程相对应,本发明图5所示实施例在图4所示实施例的基础上,增加第一展示模块403,用于在检测出防火墙的当前配置文件被修改的情况下,向用户展示提示信息,其中,所述提示信息用于提示用户防火墙的当前配置文件被修改。可见,利用算法对防火墙的当前配置文件进行计算,并利用计算得到的值和预先存储的值检测防火墙当前配置文件是否被修改,可以及时排查并处理防火墙的当前配置文件出现的问题,减少对系统可能造成的危害,从而提高了系统的安全性。参见图6,图6为本发明实施例提供的针对防火墙配置文件的检测装置的再一种结构示意图,与图3所示的流程相对应,本发明图6所示实施例在图4所示实施例的基础上,增加以下两个模块:对比模块404,用于在检测出防火墙的当前配置文件被修改的情况下,对比所述当前配置文件与预先存储的所述防火墙的配置文件;第二展示模块405,用于向用户展示对比结果。可见,利用算法对防火墙的当前配置文件进行计算,并利用计算得到的值和预先存储的值检测防火墙当前配置文件是否被修改,可以及时排查并处理防火墙的当前配置文件出现的问题,减少对系统可能造成的危害,从而提高了系统的安全性。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。当前第1页1 2 3 当前第1页1 2 3