防火墙隐性NAT故障判断的方法及装置与流程

本发明涉及移动通信技术核心网领域，具体涉及一种防火墙隐性nat故障判断的方法及装置。

背景技术：

在移动通信核心网领域或者其他防火墙nat(networkaddresstranslation，网络地址转换)应用的领域，由于nat功能的应用，使得少量的公有ip地址代表较多的私有ip地址，有助于减缓可用的ip地址空间的枯竭。而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的终端(或计算机)。nat的基本流程图如图1所示。

由于nat功能的应用，使得不可避免的存在一些nat转换问题导致系统资源不足的问题，从而引起防火墙故障，造成业务的不可用。

而目前对防火墙的监控主要是对端口告警的监控，一些领域也引入了对session(会话)数量的监控。现有对防火墙nat功能的监控还停留在对session数量的监控，判定其是否超出门限、是否激增等。但由于转换错误、网络攻击或者系统错误等原因，可能导致防火器会话数量缓慢变化并触发设备故障。目前缺少挖掘该类故障判断的方法及装置。

技术实现要素：

有鉴于此，本发明提供一种防火墙隐性nat故障判断的方法及装置，能够实现防火墙隐性nat故障的判断。

一方面，本发明实施例提出一种防火墙隐性nat故障判断的方法，包括：

s10、周期性统计防火墙设备的tcp会话数量和udp会话数量，并计算当前周期统计的tcp会话数量和udp会话数量的比值；

s11、根据所述比值确定所述防火墙设备是否存在隐性nat故障。

另一方面，本发明实施例提出一种防火墙隐性nat故障判断的方法，包括：

s20、周期性统计防火墙设备的half-open会话数量和half-close会话数量；

s21、根据所述half-open会话数量和half-close会话数量确定所述防火墙设备是否存在隐性nat故障。

另一方面，本发明实施例提出一种防火墙隐性nat故障判断的装置，包括：

第一统计单元，用于周期性统计防火墙设备的tcp会话数量和udp会话数量，并计算当前周期统计的tcp会话数量和udp会话数量的比值；

第一确定单元，用于根据所述比值确定所述防火墙设备是否存在隐性nat故障。

另一方面，本发明实施例提出一种防火墙隐性nat故障判断的装置，包括：

第二统计单元，用于周期性统计防火墙设备的half-open会话数量和half-close会话数量；

第二确定单元，用于根据所述half-open会话数量和half-close会话数量确定所述防火墙设备是否存在隐性nat故障。

在防火墙的nat会话中，最主要的会话是tcp和udp会话，这两种会话的数量和业务量紧密相关，同时也和tcp和udp的老化时间相关，但在应用中，tcp和udp的老化时间通常保持不变(紧急情况可能调整)。所以一般情况下业务量基本决定了tcp和udp会话的数量。

在tcp的会话类型里面，除了currenttcpsession外，还存在half-open(半开)和half-close(半关闭)两种会话。由于网络攻击(比如syn攻击)或者系统bug等，可能造成half-open会话的增加。由于系统bug(比如fin_wait状态老化时间过长连接)等，可能造成half-close会话的增加。

在一定规模的业务量下，短时间内会话模型基本保持不变，即tcp和udp会话的占比会处于一定的比例，所以可以通过对tcp会话和udp会话占比的分析来判断设备的运行状态。而对于具备查看half-open和half-close的设备，则可以通过分析这两种会话的波动情况来判断设备状态。

本发明具有如下有益效果：

一方面，基于当存在一定业务量时，tcp和udp会话占比会基本保持一定的比例，而当出现系统bug、网络攻击等会造成tcp和udp会话占比的波动的规律，可以通过统计分析的方法对tcp和udp会话的占比进行分析，能够实现防火墙隐性nat故障的判断；另一方面，基于当出现系统bug、网络攻击等会造成half-open会话或者half-close会话激增的规律，对于具备查看half-open和half-close的防火墙设备，可以通过分析half-open会话、half-close会话的波动情况，能够实现防火墙隐性nat故障的判断。

附图说明

图1为nat的基本流程示意图；

图2为本发明防火墙隐性nat故障判断的方法一实施例的流程示意图；

图3为本发明防火墙隐性nat故障判断的方法另一实施例的流程示意图；

图4为本发明防火墙隐性nat故障判断的装置一实施例的结构示意图；

图5为本发明防火墙隐性nat故障判断的装置另一实施例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参看图2，本实施例公开一种防火墙隐性nat故障判断的方法，包括：

s10、周期性统计防火墙设备的tcp会话数量和udp会话数量，并计算当前周期统计的tcp会话数量和udp会话数量的比值；

需要说明的是，可以通过第三方服务器统计防火墙设备的tcp会话数量和udp会话数量。

s11、根据所述比值确定所述防火墙设备是否存在隐性nat故障。

本实施例中，在进行防火墙设备是否存在隐性nat故障的判断时，可以通过判断当前周期统计的tcp会话数量和udp会话数量的比值相比前一周期统计的tcp会话数量和udp会话数量的比值增加的比率是否不小于第一阈值、所述比值相比当前周期之前预设时间段内各个周期统计的tcp会话数量和udp会话数量的比值的均值增加的比率是否不小于第二阈值，以及所述比值相比其它至少一台同型号同配置的防火墙设备当前周期统计的tcp会话数量和udp会话数量的比值的统计值增加的比率是否不小于第三阈值实现，当所述比值相比前一周期统计的tcp会话数量和udp会话数量的比值增加的比率不小于第一阈值、所述比值相比当前周期之前预设时间段内各个周期统计的tcp会话数量和udp会话数量的比值的均值增加的比率不小于第二阈值或者所述比值相比其它至少一台同型号同配置的防火墙设备当前周期统计的tcp会话数量和udp会话数量的比值的统计值增加的比率不小于第三阈值时，确定所述防火墙设备存在隐性nat故障。需要说明的是，所述预设时间段可以为一个星期，五天等，具体可以根据需要设置，此处不再赘述。所述统计值可以根据需要设置，一般为平均值、方差。所述第一阈值、第二阈值和第三阈值具体可以通过实验获取，一般取值为30％-60％。

此外，当确定出防火墙设备存在隐性nat故障时，还可以进行预警，以提醒用户进行设备故障的处理，从而避免业务的影响。

本发明实施例提供的防火墙隐性nat故障判断的方法，基于当存在一定业务量时，tcp和udp会话占比会基本保持一定的比例，而当出现系统bug、网络攻击等会造成tcp和udp会话占比的波动的规律，可以通过统计分析的方法对tcp和udp会话的占比进行分析，能够实现防火墙隐性nat故障的判断。

参看图3，本实施例公开一种防火墙隐性nat故障判断的方法，包括：

s20、周期性统计防火墙设备的half-open会话数量和half-close会话数量；

需要说明的是，可以通过第三方服务器统计防火墙设备的half-open会话数量和half-close会话数量。

s21、根据所述half-open会话数量和half-close会话数量确定所述防火墙设备是否存在隐性nat故障。

本实施例中，在进行防火墙设备是否存在隐性nat故障的判断时，可以通过判断当前周期统计的half-open会话数量相比前一周期统计的half-open会话数量增加的比率是否不小于第四阈值、当前周期统计的half-close会话数量相比前一周期统计的half-close会话数量增加的比率是否不小于第五阈值、所述half-open会话数量相比当前周期之前预设时间段内各个周期统计的half-open会话数量的均值增加的比率是否不小于第六阈值、所述half-close会话数量相比当前周期之前预设时间段内各个周期统计的half-close会话数量的均值增加的比率是否不小于第七阈值、所述half-open会话数量相比其它至少一台同型号同配置的防火墙设备当前周期统计的half-open会话数量的统计值增加的比率是否不小于第八阈值，以及所述half-close会话数量相比其它至少一台同型号同配置的防火墙设备当前周期统计的half-close会话数量的统计值增加的比率是否不小于第九阈值实现，当所述half-open会话数量相比前一周期统计的half-open会话数量增加的比率不小于第四阈值、所述half-close会话数量相比前一周期统计的half-close会话数量增加的比率不小于第五阈值、所述half-open会话数量相比当前周期之前预设时间段内各个周期统计的half-open会话数量的均值增加的比率不小于第六阈值、所述half-close会话数量相比当前周期之前预设时间段内各个周期统计的half-close会话数量的均值增加的比率不小于第七阈值、所述half-open会话数量相比其它至少一台同型号同配置的防火墙设备当前周期统计的half-open会话数量的统计值增加的比率不小于第八阈值或者所述half-close会话数量相比其它至少一台同型号同配置的防火墙设备当前周期统计的half-close会话数量的统计值增加的比率不小于第九阈值时，确定所述防火墙设备存在隐性nat故障。需要说明的是，所述预设时间段可以为一个星期，五天等，具体可以根据需要设置，此处不再赘述。所述统计值可以根据需要设置，一般为平均值、方差。所述第四阈值、第五阈值、第六阈值、第七阈值、第八阈值和第九阈值具体可以通过实验获取，一般取值为30％-60％。

本发明实施例提供的防火墙隐性nat故障判断的方法，基于当出现系统bug、网络攻击等会造成half-open会话或者half-close会话激增的规律，对于具备查看half-open和half-close的防火墙设备，可以通过分析half-open会话、half-close会话的波动情况，能够实现防火墙隐性nat故障的判断。

参看图4，本实施例公开一种防火墙隐性nat故障判断的装置，包括：

第一统计单元10和第一确定单元11；其中，

所述第一统计单元10会周期性统计防火墙设备的tcp会话数量和udp会话数量，并计算当前周期统计的tcp会话数量和udp会话数量的比值，之后将所述当前周期统计的tcp会话数量和udp会话数量的比值发送给所述第一确定单元11；

需要说明的是，可以借助于第三方服务器来周期性采集防火墙设备的tcp会话数量和udp会话数量，而第一统计单元10统计的tcp会话数量和udp会话数量从第三方服务器获取。

所述第一确定单元11在接收到所述当前周期统计的tcp会话数量和udp会话数量的比值后，会根据所述比值确定所述防火墙设备是否存在隐性nat故障。

本发明实施例提供的防火墙隐性nat故障判断的装置，基于当存在一定业务量时，tcp和udp会话占比会基本保持一定的比例，而当出现系统bug、网络攻击等会造成tcp和udp会话占比的波动的规律，可以通过统计分析的方法对tcp和udp会话的占比进行分析，能够实现防火墙隐性nat故障的判断。

在前述装置实施例的基础上，所述第一确定单元，具体可以用于：

根据所述比值判断所述防火墙设备是否满足如下条件中的一个条件，若满足，则确定所述防火墙设备存在隐性nat故障；

其中，所述条件包括：

所述比值相比前一周期统计的tcp会话数量和udp会话数量的比值增加的比率不小于第一阈值；和

所述比值相比当前周期之前预设时间段内各个周期统计的tcp会话数量和udp会话数量的比值的均值增加的比率不小于第二阈值；和

所述比值相比其它至少一台同型号同配置的防火墙设备当前周期统计的tcp会话数量和udp会话数量的比值的统计值增加的比率不小于第三阈值。

需要说明的是，所述预设时间段可以为一个星期，五天等，具体可以根据需要设置，此处不再赘述。所述统计值可以根据需要设置，一般为平均值、方差。所述第一阈值、第二阈值和第三阈值具体可以通过实验获取，一般取值为30％-60％。

参看图5，本实施例公开一种防火墙隐性nat故障判断的装置，包括：

第二统计单元20和第二确定单元21；其中，

所述第二统计单元20会周期性统计防火墙设备的half-open会话数量和half-close会话数量，并将所述half-open会话数量和half-close会话数量发送给所述第二确定单元21；

需要说明的是，可以借助于第三方服务器来周期性采集防火墙设备的half-open会话数量和half-close会话数量，而第二统计单元20统计的half-open会话数量和half-close会话数量从第三方服务器获取。

所述第二确定单元21在接收到所述half-open会话数量和half-close会话数量后，会根据所述half-open会话数量和half-close会话数量确定所述防火墙设备是否存在隐性nat故障。

本发明实施例提供的防火墙隐性nat故障判断的装置，基于当出现系统bug、网络攻击等会造成half-open会话或者half-close会话激增的规律，对于具备查看half-open和half-close的防火墙设备，可以通过分析half-open会话、half-close会话的波动情况，能够实现防火墙隐性nat故障的判断。

在前述装置实施例的基础上，所述第二确定单元，具体可以用于：

根据所述half-open会话数量和half-close会话数量判断所述防火墙设备是否满足如下条件中的一个条件，若满足，则确定所述防火墙设备存在隐性nat故障；

其中，所述条件包括：

所述half-open会话数量相比前一周期统计的half-open会话数量增加的比率不小于第四阈值；和

所述half-close会话数量相比前一周期统计的half-close会话数量增加的比率不小于第五阈值；和

所述half-open会话数量相比当前周期之前预设时间段内各个周期统计的half-open会话数量的均值增加的比率不小于第六阈值；和

所述half-close会话数量相比当前周期之前预设时间段内各个周期统计的half-close会话数量的均值增加的比率不小于第七阈值；和

所述half-open会话数量相比其它至少一台同型号同配置的防火墙设备当前周期统计的half-open会话数量的统计值增加的比率不小于第八阈值；和

所述half-close会话数量相比其它至少一台同型号同配置的防火墙设备当前周期统计的half-close会话数量的统计值增加的比率不小于第九阈值。

需要说明的是，所述预设时间段可以为一个星期，五天等，具体可以根据需要设置，此处不再赘述。所述统计值可以根据需要设置，一般为平均值、方差。所述第四阈值、第五阈值、第六阈值、第七阈值、第八阈值和第九阈值具体可以通过实验获取，一般取值为30％-60％。

以上统计分析的时间段为业务稳定期，凌晨时间段、突发事件日期等不纳入统计分析。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

本发明的说明书中，说明了大量具体细节。然而能够理解的是，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。类似地，应当理解，为了精简本发明公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释呈反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面，也不局限于任何单一的实施例，也不局限于这些方面和/或实施例的任意组合和/或置换。而且，可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。