址、MAC地址、主机名或者banner信息,将该设备上新发现的所有网段定义为设备新发现全部网段,并对设备新发现全部网段中包含的每个网段执行设备网段扫描,直到设备新发现全部网段中的所有网段都完成设备网段扫描为止; C:设备网段扫描的步骤如下:判断所扫描的网段是否为已扫描网段或者设备的IP地址及MAC地址是否在已扫描网段的设备列表当中;如果所扫描的网段为已扫描网段且该设备的IP地址及MAC地址在已扫描网段的设备列表当中,则不对该网段进行扫描,并退出该网段的设备网段扫描;如果所扫描的网段不属于已扫描网段或者该设备的IP及MAC地址不在已扫描网段的设备列表当中,则在设备上针对该网段包含的所有IP执行设备存活性扫描和设备存活性判断,并将发现的存活主机定义为设备网段存活设备; D:对设备网段设备逐一远程登录核实,对不能登录的设备网段设备,当作有风险的设备处理,对能成功登录的设备网段设备,在设备上执行外联情况测试,直到探测到网络安全设备或者互联网地址为止; 7)汇总所有存活设备上的主机名信息、所有存活设备上的所有IP以MAC对应信息、所有存活设备上的接口连接情况、所有存活设备上互联网连接情况信息、所有网络设备及网络安全设备上的端口连接信息及路由信息,绘制系统真实的拓扑图,生成信息系统当前在运的资产表;同时,根据将信息系统当前在运的资产表与初步的信息系统资产表对比,生成资产表对比表,并标示出系统存在的非法外联设备。2.根据权利要求1所述的方法,其特征在于:所述步骤1)中,所述的导入初步的信息系统资产表是指管理员提供信息系统初步资产表,并将其导入网络拓扑排查的过程中,所述的信息系统初步资产表被认为是不可信的资产表,被认为是并不能全面真实反映系统信息网络连接情况的。3.根据权利要求1所述的方法,其特征在于:所述步骤2)中,获取网络设备及网络安全设备的网络配置是指通过串口登录网络设备或者网络安全设备的方式读取设备配置或者以外部存储设备导入设备配置的方式读取设备配置。4.根据权利要求1所述的方法,其特征在于:所述步骤4)中,通过设备存活性判断获得信息系统所有存活设备的IP信息、MAC信息、主机名信息或者banner信息,并将已经扫描过的网段标记成已扫描网段。5.根据权利要求1所述的方法,其特征在于:所述的trunk接口扫描是指配置网卡为trunk接口模式,并将该配置成trunk接口模式的网卡连接至网络设备的trunk接口,并对网络设备trunk接口承载的各网段进行设备存活性扫描和设备存活性判断;所述的各网段扫描是指接入网络设备的各个VLAN,对每一个VLAN承载的网段进行设备存活性扫描。6.根据权利要求1所述的方法,其特征在于:所述的设备存活性扫描是指通过发送数据包的方法进行网络扫描的方法,所述数据包为ICMP数据包、ARP/RARP数据包或IP业务端口探测包。7.根据权利要求1所述的方法,其特征在于:所述的设备存活性判断是指综合利用通过网络物理连线状态、数据链路层状态、IP存活状态、通信业务状态判断指定IP或MAC的设备是否连接在信息系统中的方法;其中,网络物理连接状态是指网络设备、网络安全设备及主机端口 UP及DOWN状态;数据链路层状态是指通过ARP及RARP协议探测到的MAC地址存活状态,或者通过网络设备及网络安全设备内部的MAC地址表获得的MAC地址存活状态;IP存活状态是指通过ICMP协议探测到的IP地址存活状态;通信业务状态是指通过应用层端口判断设备的存活性。同时,在设备存活性扫描或者设备存活性判断阶段,获得并保存各设备IP与MAC地址的匹配关系,并将探测到的有MAC地址,无IP地址的设备,当作有风险的设备处理。8.根据权利要求1所述的方法,其特征在于:所述步骤5)中,所述的远程登录是指采用telnet、SSH、r login、rsh、远程桌面、VNC、xmanager或radmin中的一种或多种方式对存活设备进行登录。9.一种网络拓扑排查系统,其特征在于包括如下模块:资产导入及设备分类模块、配置获取及自动解析模块、边界界定模块、设备存活性扫描模块、设备登录核实模块、设备外联情况测试模块、信息汇总及报告生成模块,其中设备外联情况测试模块包含:互联网连通测试子模块、设备网络接口测试子模块、设备网段扫描子模块、设备网段设备登录核实及外联情况测试子模块; 所述资产导入及设备分类模块用于导入初步的信息系统资产表,并根据初步的信息系统资产表对信息系统所包含的网络设备、网络安全设备及主机的三类设备进行分类; 所述配置获取及自动解析模块用于连接网络设备及网络安全设备,获取网络设备及网络安全设备的网络配置,并自动解析设备的网络配置,并通过解析设备配置获得信息系统所有在运的网段信息、网络设备及网络安全设备的各端口连接信息、设备路由表、IP-MAC转发表、MAC地址信息; 所述边界界定模块用于自动以网络安全设备设定为信息系统的边界; 所述设备存活性扫描模块用于分别配置信息系统所包含的各个通信网段非在用的IP地址,采用trunk接口扫描或者各网段扫描的方式对信息系统所包含所有通信网段中的所有IP进行设备存活性扫描,通过设备存活性判断获得信息系统所有存活设备的IP信息、MAC信息、主机名信息或者banner信息,并将已经扫描过的网段标记成已扫描网段;所述设备登录核实模块用于对各个通信网段所有存活的设备逐一远程登录核实,对不能登录的设备,当作有风险的设备处理; 所述设备外联情况测试模块用于登录存活设备之后,对存活设备的网络接口连接情况进行深度测试,并反馈保存测试结果,设备外联情况测试模块包括:互联网连通测试子模块、设备网络接口测试子模块、设备网段扫描子模块、设备网段设备登录核实及外联情况测试子模块; 所述信息汇总及报告生成模块汇总所有存活设备上的主机名信息、所有存活设备上的所有IP以MAC对应信息、所有存活设备上的接口连接情况、所有存活设备上互联网连接情况信息、所有网络设备及网络安全设备上的端口连接信息及路由信息,绘制系统真实的拓扑图,生成信息系统当前在运的资产表;同时,根据将信息系统当前在运的资产表与初步的信息系统资产表对比,生成资产表对比表,并标示出系统存在的非法外联设备。 所述的互联网连通测试子模块执行互联网连通测试,即通过ICMP方式探测互联网公开IP地址; 所述的设备网络接口测试子模块执行设备网络接口连接情况测试,即:执行设备网络接口查看指令,如果发现设备只有一个IP地址或者同一网段多个IP地址,则记录该设备全部的IP地址、MAC地址、主机名或者banner信息,并退出外联情况测试;如果发现设备有多个网段的IP地址,则记录该设备全部的IP地址、MAC地址、主机名或者banner信息,将该设备上新发现的所有网段定义为设备新发现全部网段,并对设备新发现全部网段中包含的每个网段执行设备网段扫描,直到设备新发现全部网段中的所有网段都完成设备网段扫描为止;所述的设备网段扫描子模块用于判断所扫描的网段是否为已扫描网段或者设备的IP地址及MAC地址是否在已扫描网段的设备列表当中。如果所扫描的网段为已扫描网段且该设备的IP地址及MAC地址在已扫描网段的设备列表当中,则不对该网段进行扫描,并退出该网段的设备网段扫描;如果所扫描的网段不属于已扫描网段或者该设备的IP及MAC地址不在已扫描网段的设备列表当中,则在设备上针对该网段包含的所有IP执行设备存活性扫描和设备存活性判断,并将发现的存活主机定义为设备网段存活设备; 所述的设备网段设备登录核实及外联情况测试子模块用于对设备网段设备逐一远程登录核实,对不能登录的设备网段设备,当作有风险的设备处理,对能成功登录的设备网段设备,在设备上执行外联情况测试,直到探测到网络安全设备或者互联网地址为止。
【专利摘要】本发明的目的在于提供一种网络拓扑排查方法及其系统。基于该方法及其系统能快速有效探明信息系统网络连接情况,自动生成系统真实的、与系统在运情况一致的拓扑图,有效发现信息系统中存在的非法外联情况,辅助运维人员、测试人员快速定位排除系统安全隐患,保障信息系统的安全。本发明的方法步骤包括资产导入及设备分类、配置获取及自动解析、边界界定、设备存活性扫描、设备登录核实、设备外联情况测试、信息汇总及报告生成。本发明的系统包括资产导入及设备分类模块、配置获取及自动解析模块、边界界定模块、设备存活性扫描模块、设备登录核实模块、设备外联情况测试模块、信息汇总及报告生成模块。
【IPC分类】H04L29/06, H04L12/24
【公开号】CN105450442
【申请号】CN201510757668
【发明人】胡朝辉, 梁智强, 江泽鑫, 林丹生, 黄曙, 陈炯聪, 李闯, 伍晓泉
【申请人】广东电网有限责任公司电力科学研究院
【公开日】2016年3月30日
【申请日】2015年11月6日