本公开涉及计算机信息处理领域,具体而言,涉及用于下一代防火墙的自动检测方法及装置。
背景技术:
1、在网络安全硬件子市场中,防火墙是体量最大的单品,具有最广泛的应用场景。即便是今日在云化大潮下,防火墙依然占有体量第一的首要位置。防火墙大量的部署在网络边界,随着互联网越来越繁荣,网络应用的类型和数量大大增加,上网人数急剧增多,带宽也大大增加,与此同时,网络应用也变得日益复杂起来,边界的安全防护功能越来越复杂,往往需要fw、ips、waf、审计、清洗设备集合组成边界安全防护,多个安全设备串行在边界以实现多种安全防护业务,但此种部署对网络的维护和故障率带来了非常大的挑战,在此种大环境下,下一代防火墙应运而生,下一代墙可实现基础网络设备的路由交换功能的同时,继承了传统防火墙功能,又新增了丰富的应用层防护功能,实现了在边界只部署一台下一代防火墙即可实现丰富安全防护功能的边界安全池。
2、下一代墙集成了非常丰富的网络特性和安全防护特性,报文在下一代墙内部做软件转发时,不仅要经过必须的路由交换及传统防火墙防护,还要经过大量的安全防护流程,这为下一代墙增加了故障概率,无论哪个软件环节出现故障,均会导致网络传输异常,且由于报文均在软件间转发,故障的定位难度很大,通过简单的抓包已无法满足诊断需求,软件手段也只能够在事发后去分析,且恢复业务的时间过长,这无疑无法满足当前网络的高实时性要求。
3、因此,需要一种新的用于下一代防火墙的自动检测方法及装置。
4、在所述背景技术部分公开的上述信息仅用于加强对本申请的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
1、有鉴于此,本申请提供一种用于下一代防火墙的自动检测方法及装置,能够自动检测下一代防火墙中转发路径的各软件模块,并可自动记录异常模块,从而使得在出现防火墙故障时能够自动快速恢复网络,还可提供故障原因提供诊断效率。
2、本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
3、根据本申请的一方面,提出一种用于下一代防火墙的自动检测方法,该方法包括:基于报文头信息和探测表生成skb报文;将所述skb报文定时发送到下一代防火墙的软件收包入口;下一代防火墙基于预设策略对所述skb报文进行多项安全检测;将所述多项安全检测的检测结果储存到所述探测表中;基于所述探测表中的探测结果确定出异常软件模块;基于所述异常软件模块生成告警日志以自动通告用户。
4、在本申请的一种示例性实施例中,基于报文头信息和探测表生成skb报文,包括:通过下一代防火墙的配置信息生成报文头信息;根据探测表的表项确定探测表字段;通过所述报文头信息和所述探测表字段生成所述skb报文。
5、在本申请的一种示例性实施例中,通过下一代防火墙的配置信息生成报文头信息,包括:通过下一代防火墙的配置信息提取转发软件模块标识、转发原则;通过软件模块标识、转发原则生成所述报文头信息。
6、在本申请的一种示例性实施例中,通过所述报文头信息和所述探测表字段生成所述skb报文,包括:确定数据段信息;确定探测标识;将所述报文头信息、所述数据段信息、所述探测表字段和所述探测标识进行拼装以生成所述skb报文。
7、在本申请的一种示例性实施例中,将所述skb报文定时发送到下一代防火墙的软件收包入口,包括:网卡驱动定时将所述skb报文发送到下一代防火墙的软件收包入口。
8、在本申请的一种示例性实施例中,下一代防火墙基于预设策略对所述skb报文进行多项安全检测,包括:下一代防火墙对所述skb报文进行报文合法性检验;和/或下一代防火墙为所述skb报文匹配二层或三层表项;和/或下一代防火墙为所述skb报文匹配目的nat;和/或下一代防火墙对所述skb报文进行协议状态检测;和/或下一代防火墙为所述skb报文匹配黑白名单;和/或下一代防火墙对所述skb报文进行安全域检测;和/或下一代防火墙为所述skb报文匹配包过滤;和/或下一代防火墙为所述skb报文进行安全防护检测。
9、在本申请的一种示例性实施例中,将所述多项安全检测的检测结果储存到所述探测表中,包括:在多项安全检测的检测过程中,根据检测项目确定探测标识;根据检测结果更新所述探测标识,所述探测标识包括:1和0。
10、在本申请的一种示例性实施例中,基于所述异常软件模块生成告警日志以自动通告用户,包括:根据所述异常软件模块的标识、探测表编号、错误码生成告警日志;将所述告警日志自动发送给关联用户。
11、在本申请的一种示例性实施例中,还包括:在多项安全检测结束后,将所述skb报文丢弃。
12、根据本申请的一方面,提出一种用于下一代防火墙的自动检测装置,该装置包括:报文模块,用于基于报文头信息和探测表生成skb报文;发生模块,用于将所述skb报文定时发送到下一代防火墙的软件收包入口;检测模块,用于下一代防火墙基于预设策略对所述skb报文进行多项安全检测;储存模块,用于将所述多项安全检测的检测结果储存到所述探测表中;探测模块,用于基于所述探测表中的探测结果确定出异常软件模块;告警模块,用于基于所述异常软件模块生成告警日志以自动通告用户。
13、根据本申请的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
14、根据本申请的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
15、根据本申请的用于下一代防火墙的自动检测方法及装置,通过基于报文头信息和探测表生成skb报文;将所述skb报文定时发送到下一代防火墙的软件收包入口;下一代防火墙基于预设策略对所述skb报文进行多项安全检测;将所述多项安全检测的检测结果储存到所述探测表中;基于所述探测表中的探测结果确定出异常软件模块;基于所述异常软件模块生成告警日志以自动通告用户的方式,能够自动检测下一代防火墙中转发路径的各软件模块,并可自动记录异常模块,从而使得在出现防火墙故障时能够自动快速恢复网络,还可提供故障原因提供诊断效率。
16、应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
1.一种用于下一代防火墙的自动检测方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,基于报文头信息和探测表生成skb报文,包括:
3.如权利要求2所述的方法,其特征在于,通过下一代防火墙的配置信息生成报文头信息,包括:
4.如权利要求2所述的方法,其特征在于,通过所述报文头信息和所述探测表字段生成所述skb报文,包括:
5.如权利要求1所述的方法,其特征在于,将所述skb报文定时发送到下一代防火墙的软件收包入口,包括:
6.如权利要求1所述的方法,其特征在于,下一代防火墙基于预设策略对所述skb报文进行多项安全检测,包括:
7.如权利要求1所述的方法,其特征在于,将所述多项安全检测的检测结果储存到所述探测表中,包括:
8.如权利要求1所述的方法,其特征在于,基于所述异常软件模块生成告警日志以自动通告用户,包括:
9.如权利要求1所述的方法,其特征在于,还包括:
10.一种用于下一代防火墙的自动检测装置,其特征在于,包括: