多个防火墙的ip连通性的测试方法
【技术领域】
[0001]本发明涉及网络安全领域,特别涉及一种多个防火墙的IP(Internet Protocol,网络之间互连的协议)连通性的测试方法。
【背景技术】
[0002]防火墙是网络安全的屏障,位于计算机和它所连接的网络之间,该计算机流入流出的所有网络通信和数据包均要经过此防火墙。通过以防火墙为中心的安全方案能够极大地提高内部网络的安全性,并过滤不安全的服务而降低风险。
[0003]在实际的应用中,由于存在多种多样的防火墙,为了确定两个IP是否可以透过防火墙进行通信,往往需要人工对每一个防火墙进行IP连通性测试。这样复杂繁琐的测试操作,使得安全工作人员的工作效率和准确性不能达到理想的效果。
【发明内容】
[0004]本发明要解决的技术问题是为了克服现有技术中确定两个IP是否可以透过防火墙进行通信时,需要人工对每一个防火墙进行测试,从而导致工作效率低下的缺陷,提供一种能够自动化测试并且测试效率高的多个防火墙的IP连通性的测试方法。
[0005]本发明是通过下述技术方案来解决上述技术问题的:
[0006]一种多个防火墙的IP连通性的测试方法,其特点在于,包括以下步骤:
[0007]S1、解析该多个防火墙的配置信息,得到每个防火墙的路由信息、地址信息库以及规则信息,
[0008]其中,每个防火墙中,路由信息包括多个接口信息,地址信息库包括若干个地址信息,规则信息包括多个源地址信息和多个目的地址信息,该多个源地址信息和该多个目的地址信息构成该若干个地址信息中的部分地址信息;
[0009]S2、将该多个防火墙的路由信息、地址信息库和规则信息存储至一数据库;
[0010]S3、获取源IP和目的IP ;
[0011]S4、依次测试每个防火墙,执行以下步骤:
[0012]S41、分别将该源IP和该目的IP与该数据库中待测试防火墙的路由信息进行匹配判断,当该源IP和该目的IP同时与该待测试防火墙的路由信息匹配时,获取第一接口信息和第二接口信息,否则,结束对该待测试防火墙的测试,
[0013]其中,该第一接口信息为该待测试防火墙的路由信息中与该源IP对应的接口信息,该第二接口信息为该待测试防火墙的路由信息中与该目的IP对应的接口信息;
[0014]S42、判断该第一接口信息和该第二接口信息是否相同,若否,则执行步骤S43,若是,则结束对该待测试防火墙的测试;
[0015]S43、判断在该数据库内是否查找到第一地址信息和第二地址信息,若是,则执行步骤S44,若否,则结束对该待测试防火墙的测试,
[0016]其中,该第一地址信息为该待测试防火墙的地址信息库中与该源IP对应的地址信息,该第二地址信息为该待测试防火墙的地址信息库中与该目的IP对应的地址信息;
[0017]S44、判断该待测试防火墙的规则信息中该多个源地址信息是否包含任意地址或该第一地址信息,且该多个目的地址信息是否包含任意地址或该第二地址信息,若是,则该源IP和该目的IP能通过该待测试防火墙,若否,则该源IP和该目的IP不能通过该待测试防火墙。
[0018]本方案中,每个防火墙的路由信息、地址信息库和规则信息都是通过解析配置信息而得到的,其中,源地址信息和目的地址信息代表位于防火墙两侧并能通过该防火墙的地址信息。
[0019]步骤S41中,若源IP和目的IP同时与待测试防火墙的路由信息匹配,则在该待测试防火墙的路由信息中分别获取与该源IP和该目的IP对应的接口信息。本领域技术人员应当理解,当一个IP与防火墙的路由信息匹配时,路由信息包含的多个接口信息中必定存在与该IP对应的接口信息。
[0020]步骤S42中,若第一接口信息和第二接口信息相同,说明与第一接口信息对应的源IP和与第二接口信息对应的目的IP位于待测试防火墙的同一侧,这种情况下不需要对源IP和目的IP进行该待测试防火墙的连通性测试。
[0021]步骤S43中,待测试防火墙的地址信息库中不一定包含有分别与源IP和目的IP对应的地址信息,当查找不到与源IP和目的IP对应的接口信息时,结束对该待测试防火墙的测试。
[0022]步骤S44中,待测试防火墙的规则信息中的多个源地址信息是否包含任意地址是指,是否允许任意地址通过该待测试防火墙,当多个源地址信息中包含任意地址时,任何源IP都能通过该待测试防火墙,同样地,当多个目的地址信息中包含任意地址时,任何目的IP都能通过该待测试防火墙。容易理解地,源IP和目的IP能通过待测试防火墙是指,源IP和目的IP之间能通过该待测试防火墙进行通信,源IP和目的IP不能通过待测试防火墙是指,源IP和目的IP之间不能通过该待测试防火墙进行通信。
[0023]需要说明的是,步骤S41中源IP和目的IP同时与待测试防火墙的路由信息匹配并不代表源IP和目的IP能通过该待测试防火墙,源IP和目的IP通过防火墙的条件是:在源IP和目的IP同时与待测试防火墙的路由信息匹配的前提下,与源IP和目的IP对应的地址信息需要匹配到该待测试防火墙的一条规则。所述规则包含两种情况:第一种情况为,该待测试防火墙的源地址信息和目的地址信息可以为任意地址;第二种情况为,该待测试防火墙的源地址信息包含与该源IP对应的地址信息且该待测试防火墙的目的地址信息包含与该目的IP对应的地址信息。
[0024]本方案中,通过对多个防火墙配置文件的解析,以及将解析得到的路由信息、地址信息库和规则信息存储至数据库中,采用统一的查询入口即数据库依次对每个防火墙进行测试,实现了自动化的IP连通性测试,有效提高了防火墙管理员的工作效率和准确性。
[0025]较佳地,步骤S44替换为以下步骤:
[0026]S441、判断该待测试防火墙的规则信息中该多个源地址信息是否包含任意地址,且该多个目的地址信息是否包含任意地址,若是,则该源IP和该目的IP能通过该待测试防火墙,并结束对该待测试防火墙的测试,若否,则执行步骤S442;
[0027]S442、判断该待测试防火墙的规则信息中该多个源地址信息是否包含任意地址,且该多个目的地址信息是否包含该第二地址信息,若是,则该源IP和该目的IP能通过该待测试防火墙,并结束对该待测试防火墙的测试,若否,则执行步骤S443;
[0028]S443、判断该待测试防火墙的规则信息中该多个源地址信息是否包含该第一地址信息,且该多个目的地址信息是否包含任意地址,若是,则该源IP和该目的IP能通过该待测试防火墙,并结束对该待测试防火墙的测试,若否,则执行步骤S444;
[0029]S444、判断该待测试防火墙的规则信息中该多个源地址信息是否包含该第一地址信息,且该多个目的地址信息是否包含该第二地址信息,若是,则该源IP和该目的IP能通过该待测试防火墙,若否,则该源IP和该目的IP不能通过该待测试防火墙。
[0030]本方案中,首先判断多个源地址信息和多个目的地址信息中是否包含任意地址,即判断是否允许任意地址通过待测试防火墙,当多个源地址信息和/或多个目的地址信息中包含任意地址时,则不需要再进行多个源地址信息是否包含第一地址信息和/或多个目的地址信息中是否包含第二地址信息的判断。
[0031]较佳地,步骤S1*采用python( —种计算机程序设计语言)语言的xml (Extensible Markup Language,可扩展标记语言)模块进行解析。
[0032]较佳地,步骤S41中采用最长掩码匹配方法进行匹配判断。
[0033]本方案中,最长掩码匹配方法为路由信息匹配的现有方法,不再赘述。
[0034]在符合本领域常识的基础上,上述各优选条件,可任意组合,即得本发明各较佳实例。
[0035]本发明的积极进步效果在于:与现有技术相比,本发明通过对多个防火墙配置文件的解析,以及将解析得到的路由信息、地址信息库和规则信息存储至数据库中,采用统一的查询入口依次对每个防火墙进行测试,实现了自动化的IP连通性测试,有效提高了防火墙管理员的工作效率和准确性。
【附图说明】
[0036]图1为本发明实施例的IP连通性的测试方法的流程图。
[0037]图2为本发明实施例